Общий характер инвентаризации информационных систем.
Организационно-административные методы защиты информации.
Организационно-административные мероприятия:
- выделение специального защищенного помещения для обработки информации секретного характера
- выделение специального АРМ
- организация хранения защищаемой информации
- использование соответствующих технических и программных средств, имеющих сертификаты
- организация специального делопроизводства для обработки конфиденциальной информации
- организация регламентированного доступа субъектов к тем объектам, которые содержат защищенную информацию
- запрет использования открытых телекоммуникационных каналов
- разработка организационно-распорядительных документов (ОРД) по организации защиты
- организация контроля за установленными требованиями по защите информации
Структура системы информационной безопасности предприятия.
Задачи службы информационной безопасности.
- Администрирование имеющихся средств безопасности
- Разработка моделей ЗИ
- Контроль работы субъектов с информационными объектами
- Контроль внешнего доступа
Варианты организации работы СИБ.
При создании СБ необходимо обратить внимание на:
- Помещение, где будет располагаться СБ
- Взаимодействие СБ с другими штатными подразделениями (особенно охраной)
- Кому должна подчиняться СБ
Варианты работы СБ:
1) ИТ подразделение занимается администрированием, распределением ресурсов и т.д. СБ- контролирует работу, приобретение оборудования, админ. средства ЗИ.
2) СБ занимается администрированием ресурсов, сама настраивает политики безопасности.
Требования к специалистам по защите информации.
Сотрудник СБ должен знать:
1) Системы контроля доступа и методы их создания
2) Телекоммуникации и сетевая связь
3) Практическое управление безопасностью (настройка, отладка, модернизация и т.д.)
4) Безопасность разработки приложений систем
5) Криптография
6) Архитектура и модель безопасности
7) Планирование продолжения бизнес-процесса после аварии и сбоев
8) Методика проведения расследований и вопросов корпоративной этики
9) Вопросы физической защиты ИС
Методика подбора кадров СИБ.
Если кадровая служба подбирает сотрудников без участия СБ, необходимо ознакомиться с документами представленные в кадровую службу, загружать сотрудника работой на испытательном сроке и возможно провести анкетирование с целью определения понимания задачи.
Основные принципы кадровой политики:
- сохранение кадрового потенциала (беречь людей)
- эффективная мотивация
- взаимозаменяемость сотрудников
- создание команды единомышленников
Психологические особенности ИТ-специалиста:
- стремление к развитию
- интерес к выполнению поставленных задач
- креативное мышление
- не лидеры
- не клиентоориетированы
- свобода и независимость
Общий характер инвентаризации информационных систем.
Инвентаризация является одной из составляющих анализа рисков. Объект инвентаризации – что-то осязаемое. Субъект инвентаризации – то, что влияет на объект.
Инвентаризация – составление списка систем (объектов) и субъектов, которые задействованы в ИС и влияющих на СЗИ.
План проведения инвентаризации:
1) Издание приказа об инвентаризации (плановый или неплановый)
2) В приложении к приказу определяются объекты инвентаризации, субъекты, объем необходимой информации, форма представления отчёта, сроки, ответственные лица.
3) Общее знакомство с системой в ходе которого определяется расположение объектов, их составляющих.
4) Предварительная беседа с ключевыми субъектами(TOP-менеджерами, руководителями подразделений, администрация ИС). Выясняется общее функционирование системы, её задачи.
5) Изучение документации по ИС.
6) Общее описание системы с точки зрения её безопасности.
7) Внешний небольшой аудит.
Составляющие для инвентаризации:
1) Аппаратные составляющие («железо»)
2) Системное ПО, СУБД
3) Прикладное ПО
4) Сетевая инфраструктура
5) Организационное обеспечение – перечень пользователей и их функциональные обязанности.
6) Нормативное обеспечение – вся текущая и рабочая документация по работе системы
7) Данные