Определение границ управления информационной безопасностью объекта

 

Целью этого этапа является определение всех возможных «болевых точек» объекта, которые могут доставить неприятности с точки зрения безопасности информационных ресурсов, представляющих для организации определенную ценность.

Для работ на данном этапе должны быть собраны следующие сведения:

1. Перечень сведений, составляющих коммерческую или служебную тайну.

2. Организационно-штатная структура предприятия или организации.

3. Характеристика и план объекта, размещение средств вычислительной техники и поддерживающей инфраструктуры.

На плане объекта указывается порядок расположения административных зданий, производственных и вспомогательных помещений, различных строений, площадок, складов, стендов и подъездных путей с учетом масштаба изображения. Дополнительно на плане указываются структура и состав автоматизированной системы, помещения, в которых имеются технические средства обработки критичной информации с учетом их расположения.

Указываются также контуры вероятного установления информационного контакта с источником излучений по видам технических средств наблюдения с учетом условий среды, по времени и месту.

4. Перечень и характеристика используемых автоматизированных рабочих мест, серверов, носителей информации.

5. Описание информационных потоков, технология обработки информации и решаемые задачи, порядок хранения информации. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов. 6. Используемые средства связи (цифровая, голосовая и т. д.).

Знание элементов системы дает возможность выделить критичные ресурсы и определить степень детализации будущего обследования. Инвентаризация информационных ресурсов должна производиться исходя из последующего анализа их уязвимости. Чем качественнее будут проведены работы на этом этапе, тем выше будет достоверность оценок на следующем.

В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности. В идеале такой документ должен включать информационно-логическую модель объекта, иллюстрирующую технологию обработки критичной информации с выделением вероятных точек уязвимости, по каждой из которых необходимо иметь полную характеристику. Такая модель является базой, а ее полнота - залогом успеха на следующем этапе построения системы информационной безопасности.