Инвентаризация – в данном случае это составление списка систем, т.е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы. При этом необходимо не просто составить список, а указать ряд особенностей той или иной системы. Т.е. кратко описать ее с точки зрения информационной безопасности. Чем подробнее сделать это на начальном этапе, тем легче будет дальше производить уточнения и строить окончательную модель защиты. Данная работа обычно инициируется службой информационной безопасности, но выполняется обычно с привлечением специалистов других служб.
Это происходит потому, что специалисты по безопасности скорее всего не обладают полным видением модели и способов функционирования конкретного объекта или информационной системы, таким, каким обладает администратор системы или ее активные пользователи. Способы проведения такой инвентаризации могут быть различными, но мы бы рекомендовали следующий. На первом этапе уполномоченный специалист службы информационной безопасности составляет, при необходимости консультируясь с подразделением информационных технологий, общий список объектов/систем и связанных с ними субъектов. Затем в этот список вносятся первичные характеристики объектов с целью описать их именно с точки зрения информационной безопасности. На следующем этапе начинается работа с администраторами (если таковые есть), пользователями и/или бизнес-менеджерами объектов и систем. В рамках заданных специалистом по безопасности характеристик они производят уточнения и дополнения описаний объектов, с тем чтобы описать де-факто сложившиеся процедуры и способы работы с системой для выявления в дальнейшем возможных уязвимостей и угроз. Извлечение данных о субъектах специалист по безопасности может производить самостоятельно, опираясь на данные, полученные из описаний работы с объектами/системами, либо он может выделить его в отдельный раздел, ориентированный только на субъектов. Проведение такого рода обследования обычно осуществляется по следующей схеме: 1. Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих. Необходимо отметить, что для качественной дальнейшей работы данные характеристики следует хорошо структурировать, например, по следующим параметрам: • аппаратное обеспечение информационной системы (компьютеры, модемы, маршрутизаторы, мосты, повторители, принтеры и прочие периферийные устройства); В зависимости от конкретной организации, описание может быть дополнено другими разделами. Например, можно включать функциональное назначение отдельных объектов системы. Кроме того, необходимо определиться с тем, что считать отдельным объектом системы, подлежащим защите? Отдельный компьютер? Отдельный логический модуль? Если взять в качестве примера систему с трехзвенной архитектурой (клиент-сервер приложений – сервер данных), то в зависимости от особенностей, классификация может быть различной. Можно посчитать всю систему единым объектом, а можно каждое звено рассматривать отдельно (получив три объекта). |