Материалы курса В. И. Королёва / Лекция 8
.docxИнвентаризация и структуризация инф. ресурсов на ОИ
-
Введение в проблему
Информационные ресурсы (ИР) и информационные технологии (ИТ) являются базовыми составляющими в части обеспечения управления информационно-аналитической поддержки функционирования организации любой сферы деятельности (предприятия, банк и т.д.).
В соответствии с значимостью информатизации и ИТ в современном инф. обществе любая организация является ОИ.
Приступая к инвентаризации и структуризации ИР, прежде всего, необходимо:
-
Внести определенность и четкость в используемые на объекте понятия, касающиеся назначения, содержания, состава и структуры ИР.
-
Обеспечить однозначность представления этих понятий руководством и различными службами ОИ
-
Определиться с критериями выделения инф. объектов
-
Подготовить основу для постоянного ведения реестра ИР и создания нормативной базы разграничения доступа к ИО
К основным внедрениям в ИР инф. Объектами, в отношении которых целесообразно разрабатывать политику разграничения доступа, целесообразно отнести такие ИО, как:
-
Базы данных и массив данных
-
Документы и массивы документов
-
Сообщения
-
Иные виды инф. объектов
Инф. ресурсы, технологии обработки информации, телекоммуникационные и другие транспортные технологии и средства реализации этих технологий, организ. службы и структуры эксплуатации и поддержания инф. систему ОИ (ИИС ОИ).
Автоматизированный контур ИИС ОИ состоит из эксплуатируемых на ОИ АС различного назначения (АИС, АСУ, АСУ ТП и т.д.) вместе с их информационно-техническим комплексом и телекоммуникационной сетью.
Стратегические задачи (основные) политики разглашения доступа на ОИ, решаемые с помощью инвентаризации и структуризации ИР.
-
Разграничение инф. ИР ОИ по уровню конфиденциальности( открытые сведения, сведения для служебного пользования и т.д.), что позволит выделить из общего массива инф. ресурсы, которые нуждаются в ограниченном доступе к ним
-
Разграничение информации по принадлежности к входящим в ОИ функциональным подразделениям, что позволит упорядочить инф. обмен как внутри ОИ, так и с внешними объектами.
-
Определение субъектов, которым предоставляется доступ к защищаемой информации, разработка нормативных регламентированных документов по работе субъектов в АС ОИ с учетом соблюдения требований и условий ИБ
-
Выделение из всей защищаемой информации наиболее критичной для производственной деятельности, вынесение ее на отдельные серверы и обеспечение безопасного регламенты работы с этой инф. в случае чрезвычайных ситуаций
-
Выработка политики безопасности использования внутренних и внешних средств электронного и неэлектронного информационного обмена в интересах ОИ
-
Упорядочивание технологии разграничения доступа к программно-техническим ресурсам автомату контура ИИС, что позволит определить дисциплину доступа к программно-техническим ресурсам, выбрать средства и механизмы реализации разграничения доступа к ним и внести контроль исполнения дисциплины доступа в ИИС в целом.
-
Определение конкретных угроз информации в эксплуатируемых АС, оценка степени их внесения на бизнес-процесс в различных сферах деятельности ОИ и возможного ущерба для организации
Политика разграничения доступа в информации является частью политики ИБ ОИ, позволяет создать систему разграничения доступа для эксплуатации на ОИ АС, которая включает в себя набор настраиваемых моделей разграничения доступа для конкретных РС и ИТ, определяющих в формальном виде права и полномочия пользователей и обслуживающего персонала по доступу к информационным и техническим ресурсам.
В перечень организационных и реализуемых функций целесообразно внести следующие функции:
-
Функции распорядения и утверждения результатов
-
Функция координации работ
-
Функция организационного обеспечения
-
Функция сбора и фиксирования сведений о потребности информации из эксплуатируемых в АС в подразделениях ОИ
-
Функция классификации фактически используемых в АС информационных объектов
-
Функция сбора и фиксирования сведений о фактическом наличии, использовании и характеристиках ИР и мест размещения их в программно-технической среде
-
Функция сбора и фиксировании сведений по использованию информационного обмена через интернет
-
Функция аналитической интеграции сведений для всех АС в целом по результатам других функций
-
Функция аналитической обработки сводных сведений по информационным ресурсам - разработка и представление на утверждение Реестра информационных ресурсов АС ОИ
-
Функция отказа и принятия решений по конфиденциальности информационных объектов - подготовки и представлении на утверждение перечня сведений, относящихся к конфиденциальной информации с внесение отсчета показателя конфиденциальности ИС в Реестр информационных ресурсов АС ОИ
-
Функция анализа существующей системы разграничения доступа к информационным ресурсам АС - подготовка аналитического отчета по состоянию системы разграничения доступа
-
Функция обеспечения конфиденциальности проведенных работ и оформления результатов
Инвентаризацию целесообразно проводить в составе следующих участников с соответствующим поручением им функций:
-
Руководство организации - Ф1
-
Рабочие группы - Ф2, Ф4, Ф5, Ф6, Ф7, Ф10
-
С подразделением пользователей - Ф3, Ф4, Ф5, Ф6, Ф7
-
Подразделения пользователей АС - Ф4, Ф5, Ф6
-
Управление ИТ -Ф3, Ф8, Ф9 - выполнение Ф11
-
Управление безопасностью - Ф3, Ф11, Ф12, функции Ф8 , Ф9
Работа по проведению инвентаризации структуризации и классификации ИР включают:
-
Подготовительный этап
-
Сбор сведений по информационным ресурсам
-
Выполнение анализа и процедур инвентаризации, структуризации и классификации ИР
Общие организационно-технологическая схема проведения инвентаризации ИР