Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Примерный объем собираемой информации

Наряду с проведением общей инвентаризации, имеющей целью определить объекты защиты, из подобного обследования можно получить и другие данные, являющиеся для самой инвентаризации вспомогательными, но имеющие самостоятельную ценность. Это, например, список программного обеспечения (системного и прикладного), используемого на предприятии. Имея подобный список, при условии поддержания его в актуальном состоянии, можно отслеживать автоматизированными или иными способами появление в информационном пространстве предприятия постороннего программного обеспечения, установленного без санкции уполномоченных служб. Ближайший пример - компьютерные игры.

Можно просто составить список программного обеспечения с рядом ключевых характеристик (производитель, номер версии, дата установки, назначение, если есть возможность - контрольная сумма файлов), но лучше сразу произвести его классификацию, например, по следующим параметрам:

• категория применения (общее, специализированное, индивидуальное);
• функциональное назначение (производственная или иного рода задача, для которой используется данное программное обеспечение);
• принадлежность пользователю (кто управляет использованием данного программного обеспечения, т. е. его администратор);
• размещение компонент программного обеспечения (рабочие станции, серверы);
• способы доступа (локальный, удаленный).

Дополнительно в порядке инвентаризации стоит предусмотреть формы документов, которые будут использованы, а именно:

• опросные листы или анкеты - источник получения данных для анализа;
• промежуточные документы - средства обработки данных;
• отчеты - результат проведенного обследования.

При работе по направлениям инвентаризации информационной системы необходимо будет зафиксировать ряд деталей, которые могут показаться излишними на данном этапе, но в дальнейшем будут весьма полезными.

По физическому размещению:

• здание, помещение;
• номера телефонов помещений;
• механизмы контроля доступа в помещение и другие защитные механизмы;
• номера или адреса сетевых точек;
• ответственный за помещение, если таковой существует.

По аппаратному обеспечению:

• физическое размещение в помещении;
• наименование фирмы-производителя;
• серийный номер;
• функциональное назначение в системе;
• встроенные механизмы защиты;
• адреса портов и прочие сетевые адреса (MAC, IP и др.);
• ответственный за данную единицу оборудования, если есть.

По программному обеспечению (кроме уже указанных параметров):

• производитель;
• номер версии;
• встроенные механизмы защиты;
• статистика сбоев, если есть.

По функциональному назначению (данный раздел очень зависит от особенностей производства, но скорее всего следующие пункты должны присутствовать):

• какие подразделения являются потребителем данных системы;
• кто занимается технической поддержкой системы;
• роль системы в общем производственном цикле.

По организационному обеспечению:

• функциональные и/или должностные обязанности персонала;
• профессиональный уровень подготовки персонала (образование, дополнительное обучение);
• существующие процедуры по обеспечению безопасности;
• временной график выполнения работ в системе;
• логические схемы движения информации между пользователями.

По нормативному обеспечению:

• список имеющихся документов - правил, инструкций и т.п.;
• отдельно - документы по безопасности;
• даты последнего внесения изменений в документы;
• сертификаты на аппаратное и/или программное обеспечение.

По данным (этот раздел также очень зависит от особенностей производства, но следующие пункты обязательны вне зависимости от его специфики):

• откуда поступают данные для системы;
• куда поступают данные от системы;
• какая работа с данными происходит в системе;
• формат хранения данных в системе;
• вид данных - первичные таблицы данных, транзакции, отчеты и т.п.;
• логические схемы движения информации между объектами.

Все собранные данные, кроме того что послужат основой для модели управления рисками, еще и помогут (при поддержании их в актуальном состоянии) в дальнейшей работе, например при предварительной подготовке проведения расследования в случаях нарушения информационной безопасности, о которых будет рассказано на страницах сайта далее.

Последний совет - необходимо продумать всю последовательность действий и необходимых данных от начала до конца, с тем чтобы не пришлось на этапе собственно оценки рисков спохватываться и возвращаться к началу - инвентаризации - за пропущенными сведениями.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна