КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Инвентаризация элементов информационной системы
|
|
|
|
Лекция 8. Инвентаризация и категорирование элементов информационной системы
Прежде чем начинать строить защиту информационного пространства, необходимо перейти от абстрактных понятий к конкретным информационным системам (ИС) или, проще говоря, ответить на вопрос: а что мы будем защищать?
Для ответа на этот вопрос необходимо провести процедуры инвентаризации и категорирования объектов и субъектов информационной системы. Эти процедуры диктуются, например, национальным стандартом по управлению информационной безопасностью ГОСТ Р ИСО/МЭК 17799-2005 [4]. Раздел 5 данного стандарта посвящен классификации и учету активов, под которыми понимаются элементы всех подсистем ИС и оказываемые ими услуги. Учет информационных активов организации проводится с целью обеспечения соответствующей их защиты, а классификация – чтобы определить ее приоритетность, необходимость и степень ее защиты. В соответствии с [4] «Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами». Процедура инвентаризации здесь названа описью, которая должна выполняться следующим образом: «Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении)».
|
|
|
Процедура категорирования в [4] названа классификацией и выполняется с учетом следующих требований: «При классификации информации и связанных с ней мероприятий по управлению информационной безопасностью следует учитывать требования бизнеса в совместном использовании или ограничении доступа к информации, а также последствия для бизнеса, связанные с такими требованиями, например, неавторизованный доступ или повреждение информации. Классификация информации позволяет определить, как эта информация должна быть обработана и защищена.
Информацию и выходные отчеты систем, обрабатывающих классифицированные данные, следует отнести к какой-либо категории с точки зрения ее ценности и чувствительности для организации. Можно также оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности.
Информация обычно перестает быть чувствительной или критичной к компрометации по истечении некоторого периода времени, например, когда она становится общедоступной. Эти аспекты следует принимать во внимание, поскольку присвоение повышенной категории может вести к ненужным дополнительным расходам. В руководящих принципах классификации следует предвидеть и учитывать, что категория любого вида информации необязательно должна быть постоянной в течение всего времени - она может изменяться в соответствии с некоторой принятой политикой безопасности в организации. Чрезмерно сложные схемы категорирования информации могут стать обременительными и неэкономичными для использования или оказываются неосуществимыми. Следует проявлять осмотрительность при интерпретации категорий (грифов) классификации на документах от других организаций, которые могут иметь другие определения или содержание для тех же самых или подобных категорий.
|
|
|
Ответственность за определение категории информации (например, документа, записи данных файла или дискеты с данными) и периодичность пересмотра этой категории должны оставаться за создателем, назначенным владельцем или собственником информации».
В работе [9] отмечено, что инвентаризация — это составление списка объектов, которые будут подлежать защите, и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы. При этом необходимо не просто составить список, а указать ряд особенностей той или иной системы, т. е. кратко описать ее с точки зрения информационной безопасности. Чем подробнее сделать это на начальном этапе, тем легче будет дальше производить уточнения и строить окончательную модель защиты информации.
Данная работа обычно инициируется службой информационной безопасности, но выполняется обычно с привлечением специалистов других служб. Это происходит потому, что специалисты по безопасности скорее всего не обладают полным видением модели и способов функционирования конкретного объекта или информационной системы, таким, каким обладает администратор системы или ее активные пользователи. Весьма большую пользу во время выполнения данной работы могут оказать модели бизнес-процессов хозяйствующего субъекта, которые помогают разобраться в технологиях обработки информации, в их связи с основными производственными процессами, в используемых ресурсах.
Способы проведения такой инвентаризации могут быть различными, В работе [9], например, рекомендован следующий. Во-первых, следует разработать, согласовать и утвердить порядок и методику проведения обследования. Этот документ (или документы) должен содержать цели и принципы проведения данного мероприятия, с тем, чтобы они были прозрачны для тех, кто будет вовлечен в процесс. Возможно, необходимо утвердить у руководителя предприятия полномочия службы или специалиста, производящего инвентаризацию, а также список участников — привлеченных специалистов, для придания процессу необходимого статуса значимости.
|
|
|
В методической части документа должно быть описано, что нужно сделать привлеченным специалистам, чтобы выполнить свою работу. Целесообразно укомплектовать документ в качестве приложения анкетами, которые структурировать таким образом, чтобы максимально облегчить их заполнение — выбор из уже имеющихся вариантов, числовые оценки и т. д. Разработка документов и процесс проведения инвентаризации должны опираться на ряд принципов:
· Принцип единообразного подхода подразумевает рассмотрение любого объекта/системы с точки зрения технологии создания, обработки, хранения, отправки или приема информации.
· Принцип объективности означает подход с позиций оценки информационной безопасности при критическом анализе системы/объекта.
· Принцип многоуровневого подхода означает рассмотрение объекта/системы путем разделения его на составные части (аппаратное обеспечение, программное обеспечение и т. п.).
· Принцип сопряжения означает, что необходимо указать, от каких систем информация поступает в данную, и в какие системы информация направляется из данной.
Перед инвентаризацией необходимо определиться с тем, что считать отдельным объектом системы, подлежащим защите, кого считать субъектом и каким образом они могут взаимодействовать друг с другом.
· Объектом будем называть информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую.
· Субъектом будет выступать любой пользователь системы, ориентированный как на производственные или иные задачи, так и на поддержку самой системы (администратор).
· Средство работы с информацией — это набор аппаратного и программного обеспечения, с помощью которого производится работа в системе, т. е. субъекты воздействуют на объекты.
На первом этапе уполномоченный Специалист службы информационной безопасности составляет, при необходимости консультируясь с подразделением информационных технологий, общий список объектов/систем и связанных с ними субъектов. Затем в этот список вносятся первичные характеристики объектов с целью описать их именно с точки зрения информационной безопасности. На следующем этапе начинается работа с администраторами (если таковые есть), пользователями и/или бизнес-менеджерами объектов и систем. В рамках заданных специалистом по безопасности характеристик они производят уточнения и дополнения описаний объектов, с тем, чтобы описать де-факто сложившиеся процедуры и способы работы с системой для выявления в дальнейшем возможных уязвимостей и угроз. Извлечение данных о субъектах специалист по безопасности может производить самостоятельно, опираясь на данные, полученные из описаний работы с объектами/системами, либо он может выделить его в отдельный раздел, ориентированный только на субъектов.
|
|
|
Проведение такого рода обследования обычно осуществляется по следующей схеме:
1) Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих.
2) Предварительная беседа с администратором/менеджером об общем направлении функционирования системы.
3) Ознакомление с документацией по информационной системе.
4) Составление описания системы с точки зрения информационной безопасности.
5) Уточнение описания на основе работы с документацией и с привлеченными специалистами.
Необходимо отметить, что для качественной дальнейшей работы характеристики объектов и субъектов следует хорошо структурировать, например, по подсистемам ИС.
Все собранные данные, кроме того, что послужат основой для модели управления рисками, еще и помогут (при поддержании их в актуальном состоянии) в дальнейшей работе, например при предварительной подготовке проведения расследования в случаях нарушения информационной безопасности.
Для того чтобы поддерживать данные по инвентаризации в актуальном состоянии, необходимо выполнение ряда требований, а именно:
· служба информационной безопасности в обязательном порядке должна быть вовлечена в процесс проектирования или приобретения новых систем, реконфигурации существующих, перемещений систем в информационном пространстве, как физически, так и логически, и во все другие процессы, которые производят изменения в существующем информационном пространстве, причем на самой ранней стадии;
· сведения о приеме на работу новых сотрудников, перемещении по службе существующих, а также об отпусках, командировках, болезнях и увольнения сотрудников предприятия должны регулярно поступать в службу информационной безопасности.
|
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 1509; Нарушение авторских прав?; Мы поможем в написании вашей работы!