Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Контроль инвентаризации

Этап вебстраница будет интересна трем категориям специалистов:

• аудиторам, проводящим проверку качества работы службы информационной безопасности предприятия, например, для вынесения решения об общем уровне надежности организации;
• руководителю предприятия, проверяющему качество работы своей или, особенно, нанятой со стороны команды по созданию или совершенствованию информационной защиты;
• привлеченной команде по созданию или совершенствованию информационной защиты для того, чтобы понять, какая работа и насколько качественно уже была проделана.

В любом из перечисленных случаев необходимо убедиться, что работа по инвентаризации информационных систем была произведена качественно. Правда, для того чтобы тщательно проверить выполненную работу, специалисту придется ознакомиться с предыдущим разделом "Причины и направления".

Предложим краткий конспект проведения такой проверки.

1. Для анализа результатов следует получить отчеты по выполненной инвентаризации, структурированные по информационным системам. Отсутствие таких отчетов не обязательно означает, что подобной работы не проводилось. Возможно, она проводилась без соответствующего оформления, что бывает характерно для небольших организаций, где все сотрудники знают друг друга и предпочитают неформальное общение по служебным вопросам.

Другой возможный вариант - работа по построению информационной защиты проводилась только силами службы информационной безопасности, без привлечения специалистов других подразделений, и потому документально оформлены только окончательные результаты (стандарты безопасности, процедуры и другие документы), без фиксации промежуточных результатов.

Тем не менее это все же результат скорее отрицательного характера, так как в целом он затрудняет работу службы информационной безопасности. Например, при добавлении новой системы в общее информационное пространство для качественного обеспечения ее безопасности и безопасности информационного пространства в целом, часть работы по инвентаризации придется провести заново. Особенно трудно придется в точках сопряжения новой системы с уже существующими. Если же в распоряжении службы безопасности имеются актуальные данные по инвентаризованным системам, а также соответствующие порядок и методика, интеграция новой системы будет произведена гораздо быстрее и более гладко.

2. Если результаты инвентаризации присутствуют, необходимо ознакомиться с порядком и методикой ее проведения, а также анкетами и опросными листами, если таковые имеются. Эти документы прояснят, насколько можно доверять результатам инвентаризации в том смысле, что они не взяты из головы специалистов службы безопасности, проводивших обследование.

Отсутствие этих документов еще не показатель недобросовестности работы, а вот их наличие - скорее признак качественного проведения инвентаризации.

Если же документов нет, то, возможно, способы проведения обследования были согласованы устно. В этом случае тем не менее следует попросить уполномоченного специалиста оформить принципы проведения инвентаризации письменно постфактум. Так будет легче их оценить.

В принципе для профессионала ознакомление с этими двумя видами документов по инвентаризации (по способам проведения и по результатам) будет вполне достаточно для того, чтобы сделать вывод о качестве проведения мероприятия. Однако для окончательной убежденности можно выбрать более коварный, правда, и более трудоемкий способ.

При необходимости, консультируясь с соответствующими специалистами, следует выбрать одну из информационных систем предприятия, не самую главную, а второго-третьего уровня важности. Далее, на выбор - либо ознакомиться с документацией по системе (руководство по установке или конфигурации, руководство администратора или продвинутого пользователя и т.д.), либо провести беседу с администратором и/или подготовленным пользователем системы. Целью исследования является выявление ключевой особенности работы системы, возможно, нестандартной настройки, используемого протокола или пользовательской процедуры.

Теперь следует обратиться к письменным результатам инвентаризации (стандартным или заранее подготовленным по запросу соответствующим специалистом) и оценить, как найденная характеристика или особенность отражена в представленных документах.

Примерную категорию оценок можно распределить следующим образом.

• В результирующих документах исследуемая система не упомянута вообще - очень плохо.
• Система описана, однако выявленная характеристика в ней не отражена, уполномоченный специалист ничего не может пояснить по этому поводу - плохо.
• Система описана, выявленная характеристика в ней не отражена, однако уполномоченный специалист без дополнительных усилий рассказывает по поводу особенностей выявленной характеристики - скорее всего формальные результаты инвентаризации просто устарели, либо оформлены не полностью.
• Система и соответствующая характеристика описаны достаточно подробно, чтобы служить основой для дальнейших оценок - инвентаризация проведена качественно.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна