Інвентаризция автоматизованих інформаційно-телекомунікаційних систем (ІТС)

Инвентаризация – это составление списка систем (объектов), которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве и оказывают влияние на информационную защиту систем.

Эта работа выполняется службой информационной безопасности с привлечением экспертов.

Общий алгоритм действий:

1. Составление списка объектов и связанных с ними субъектов.

2. Определение первичных характеристик объектов с точки зрения информационной безопасности.

3. Работа с администраторами, пользователями и т.д. с целью уточнения и дополнения первичных характеристик.

Цель. Выявить возникшие уязвимости и угрозы.

Перед началом инвентаризации необходимо разработать, согласовать и утвердить порядок и методику проведения обследования, которые должны содержать цели и принципы проведения аудита.

2. Необходимо утвердить у руководителя предприятия полномочия службы и специалистов, проводящих инвентаризацию, а также список и обязанности привлекаемых экспертов.

3. Рекомендуется дополнить вышеперечисленные документы, заранее разработанными формами, с целью максимального обеспечения их заполнения.

Принцип проведения аудита:

1. Прицип единообразного подхода

2. Принцип объективности

3. Принцип сопряжения, или комплексности

Направление проведения инвентаризации:

1. Физическое направление

2. Технологическое

3. Функциональное (место данной системы в производственных процессах)

4. Организационная

5. Нормативная (проверка документов, регламентирующую работу)

6. Информационное (характер информации, с которой работает система)

На основе проведения инвентаризации проводится детальный анализ существующей системы и разрабатывается перечень мероприятий, необходимых для повышения уровней информационной безопасности.

Собранная во время аудита информация служит основой для модели управления рисками и помогает при проведении расследований, связанных с утечкой информации и нарушения ее целостности.

8. Захист державних інформаційних ресурсів: державна політика, шляхи реалізації.

Згідно наказу «Про затвердження Порядку захисту державних інформаційних
ресурсів у інформаційно-телекомунікаційних системах»:

Основними завданнями підприємств (установ, організацій), які є операторами МПД (мереж передачі даних), щодо забезпечення захисту державних інформаційних ресурсів є:

створення, упровадження та супроводження КСЗІ в МПД;

контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підриємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС.

Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у МПД, несуть відповідальність згідно з чинним законодавством України.

9. Інвентаризция автоматизованих інформаційно-телекомунікаційних систем (ІТС): цілі, задачі, етапи та загальний алгоритм дій. Контроль за проведенням.