Инвентаризация – это составление списка систем (объектов), которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве и оказывают влияние на информационную защиту систем.
Эта работа выполняется службой информационной безопасности с привлечением экспертов.
Общий алгоритм действий:
1. Составление списка объектов и связанных с ними субъектов.
2. Определение первичных характеристик объектов с точки зрения информационной безопасности.
3. Работа с администраторами, пользователями и т.д. с целью уточнения и дополнения первичных характеристик.
Цель. Выявить возникшие уязвимости и угрозы.
Перед началом инвентаризации необходимо разработать, согласовать и утвердить порядок и методику проведения обследования, которые должны содержать цели и принципы проведения аудита.
2. Необходимо утвердить у руководителя предприятия полномочия службы и специалистов, проводящих инвентаризацию, а также список и обязанности привлекаемых экспертов.
|
|
3. Рекомендуется дополнить вышеперечисленные документы, заранее разработанными формами, с целью максимального обеспечения их заполнения.
Принцип проведения аудита:
1. Прицип единообразного подхода
2. Принцип объективности
3. Принцип сопряжения, или комплексности
Направление проведения инвентаризации:
1. Физическое направление
2. Технологическое
3. Функциональное (место данной системы в производственных процессах)
4. Организационная
5. Нормативная (проверка документов, регламентирующую работу)
6. Информационное (характер информации, с которой работает система)
На основе проведения инвентаризации проводится детальный анализ существующей системы и разрабатывается перечень мероприятий, необходимых для повышения уровней информационной безопасности.
Собранная во время аудита информация служит основой для модели управления рисками и помогает при проведении расследований, связанных с утечкой информации и нарушения ее целостности.
8. Захист державних інформаційних ресурсів: державна політика, шляхи реалізації.
Згідно наказу «Про затвердження Порядку захисту державних інформаційних
ресурсів у інформаційно-телекомунікаційних системах»:
Основними завданнями підприємств (установ, організацій), які є операторами МПД (мереж передачі даних), щодо забезпечення захисту державних інформаційних ресурсів є:
створення, упровадження та супроводження КСЗІ в МПД;
контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.
Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.
|
|
Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.
Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підриємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.
Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.
Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС.
Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у МПД, несуть відповідальність згідно з чинним законодавством України.
9. Інвентаризция автоматизованих інформаційно-телекомунікаційних систем (ІТС): цілі, задачі, етапи та загальний алгоритм дій. Контроль за проведенням.