Інвентаризація інформаційних активів підприємства в процесі створення комплексної системи захисту інформації.
Інформація існує в різних формах. Її
можна зберігати на комп'ютерах, передавати по мережах, друкувати або записувати
на папері, а також озвучувати в розмовах. Інформація, інформаційні системи та
мережі, що її підтримують, є важливими виробничими ресурсами підприємства. З
точки зору безпеки всі види інформації, включаючи паперову документацію, бази
даних, а також інформаційні системи та мережі, що використовуються для передачі
даних, вимагають належного захисту.
Під інформаційною безпекою будемо
розуміти стан захищеності інформаційного середовища підприємства, який
забезпечує його функціонування і розвиток в інтересах організації. Управляння
інформаційною безпекою – це сукупність заходів, призначених для досягнення і
підтримання стану захищеності.[7]
Управління інформаційною безпекою
базується на створенні комплексної системи захисту (КСЗІ) на підприємстві. Під
комплексною системою захисту інформації будемо розуміти взаємопов'язану
сукупність організаційних та інженерно-технічних заходів, засобів і методів
захисту інформації. [3]
Процес створення КСЗІ включає:
1 Формування загальних вимог до КСЗІ в
ІТС:
1.1 Обґрунтування необхідності
створення КСЗІ;
1.2 Обстеження середовищ функціонування
ІТС;
1.3 Формування завдання на створення
КСЗІ;
2 Розробка політики безпеки інформації
в ІТС:
2.1 Вивчення об’єкта, на якому
створюється КСЗІ, проведення науково-дослідних робіт;
2.2 Вибір варіанту КСЗІ;
2.3 Оформлення політики безпеки;
3 Розробка технічного завдання на
створення КСЗІ.
Для оформлення ТЗ на КСЗІ можуть бути
використані такі варіанти:
·
у вигляді окремого розділу ТЗ на створення ІТС;
·
у вигляді окремого (часткового) ТЗ;
·
у вигляді доповнення до ТЗ на створення ІТС.
4 Розробка проекту КСЗІ:
4.1 Порядок розробки проекту КСЗІ;
4.2 Ескізний проект КСЗІ;
4.3 Технічний проект КСЗІ;
4.4 Робочий проект КСЗІ;
5 Введення КСЗІ в дію та оцінка
захищеності інформації в ІТС:
5.1 Підготовка КСЗІ до введення в дію;
5.2 Навчання користувачів;
5.3 Комплектування КСЗІ;
5.4 Будівельно-монтажні роботи;
5.5 Пусконалагоджувальні роботи;
5.6 Попередні випробування;
5.7 Дослідна експлуатація;
5.8 Державна експертиза КСЗІ;
6 Супроводження КСЗІ. [1]
При формування загальних вимог до КСЗІ
в ІТС виділяється, як зазначалось вище, три етапи.
На першому етапі необхідно обґрунтувати
створення КСЗІ, тобто визначити чи є на підприємстві інформація яка підлягає
захисту. Це може бути інформація до якої встановлюється обмеження доступу чи
заборона такого обмеження, або визначатися необхідність забезпечення захисту
інформації згідно з іншими критеріями.
Другим етапом є обстеження середовищ
функціонування інформаційно-телекомунікаційної системи (ІТС). Під
інформаційно-телекомунікаційна система будемо розуміти сукупність інформаційних
та телекомунікаційних систем, які у процесі обробки інформації діють як єдине
ціле. [2]
В рамках обстеження проводиться
інвентаризація інформаційних активів підприємства. Неможливо створити і
підтримувати успішну КСЗІ, якщо не була проведена інвентаризація інформаційних активів.
Під інвентаризацією будемо розуміти
складання списку інформаційних активів підприємства, тобто об'єктів, які
підлягатимуть захисту і суб'єктів, які задіяні в даному інформаційному
просторі, і впливатимуть на інформаційний захист системи. [6]
Активи інформаційної системи
підприємства розглядаються як цінності підприємства, які повинні мати
гарантований захист. До інформаційних активів підприємства належать:
·
інформація/дані (файли, що містять інформацію про платежі
або продукт);
·
апаратні засоби (комп'ютери, принтери);
·
програмне забезпечення, включаючи прикладні програми
(програми обробки текстів, програми цільового призначення);
·
устаткування для забезпечення зв'язку (телефони, мідні і
оптоволоконні кабелі);
·
програмно-апаратні засоби (гнучкі магнітні диски CD-ROM,
програмовані ROM);
·
документи (контракти);
·
фонди (в банківських автоматах);
·
продукція організації;
·
послуги ( інформаційні, обчислювальні послуги);
·
конфіденційність і довіра при наданні послуг (послуг із
здійснення платежів);
·
устаткування, що забезпечує необхідні умови роботи;
·
персонал організації;
·
престиж (імідж) організації. [5]
Інвентаризація інформаційних активів
підприємства досить трудомісткий процес. Проведення цієї процедури
супроводжується заповненням анкета або контрольних листів по кожному
структурному підрозділу підприємства. Анкету необхідно структурувати таким
чином, щоб максимально полегшити її заповнення. Наприклад, це може бути вибір з
вже наявних варіантів, числові оцінки і т. д. Однак за допомогою анкети
врахувати всі особливості інформаційного середовище неможливо. Тому поряд з
роботою, що проводиться вручну, використовуються автоматизовані програми. Наприклад,
це можуть бути такі програмні продукти:
·
сканери безпеки;
·
засоби інвентаризації мережі;
·
комплексні системи управління підприємствами;
·
спеціалізовані програмні комплекси;
·
системи управління взаємовідносинами з клієнтами;
·
системи управління персоналом і кадрами.
Основним інструментом аналізу
захищеності комп'ютерних мереж є сканер безпеки. Його функції дозволяють вчасно
знайти уразливість і запропонувати варіанти її усунення, що в цілому знижує
вірогідність успішних атак на об'єкти захисту. Для пошуку можуть
використовуватися стандартні засоби тестування та збору інформації або спеціальні,
що копіюють дії злочинця. Ще однією властивістю сканерів безпеки є
ідентифікація апаратного та програмного забезпечення. Наприклад, при
інвентаризації, можна скористатися такими сканерами безпеки: Nessus Security Scanner, Internet Scanner, Maxpatrol - Network Security
Scanner, Shadow Security Scanner, Retina Network Security Scanner.
Засоби інвентаризації мережі дозволяють
створити опис мережі, систематизувати у звіт інформацію про операційну систему,
апаратне забезпечення, встановлене програмне забезпечення і запущені процеси на
комп’ютері. Передбачено здобуття детальних відомостей про: процесор, системну
плату, BIOS, жорсткий диск, відео карту, принтерах, USB-накопичувачах,
периферійних пристроях та інше. Для проведення інвентаризації можна
використати: 10-Strike Network Inventory Explorer (NIE), Asset
Tracker for Networks (ATN), EMCO Network Inventory, Hardware Inspector,
LOGINventory.
Комплексі системи управління
підприємством мають у своєму переліку програмні модулі які також можна
використовувати для проведення інвентаризації інформаційних активів. З
допомогою «Бухгалтерського модулю» можна скласти список активів та вказати
особливості кожного з них. Використання модулю «Управління персоналом» дозволяє
визначити яким інформаційним активом користується кожний з працівників. Цей
модуль створений для автоматизації кадрового обліку. Також до складу подібних
комплексі систем управління підприємством входить модуль «Управління
взаємовідносинами з клієнтами», який створений для управляння клієнтською базою
підприємства. Найпоширенішими комплексними системами управління підприємством є
1с: Підприємство 8, Парус – Підприємство 7.
Спеціалізовані програмні комплекси націлені
на оптимізацію процесу прийняття рішення в управлінні інформаційною безпекою,
тому з їх допомогою можна провести детальну інвентаризацію інформаційних
активів підприємства. Зафіксувати місцезнаходження та роль ресурсу, повний
перелік користувачів, що мають доступ з урахуванням виду та прав доступу, врахувати
всі засоби захисту інформаційного ресурсу. Така систематизація даних дозволяє
ефективніше реагувати на зміни в інформаційному середовищі підприємства. До
спеціалізованих програмних комплексів належать, наприклад, продукти компанії Digital Security ‑ це LifeCycle Management System та Office 2006/система ГРИФ.
Програми управління взаєминами з
клієнтами включають збір, зберігання і аналіз інформації про споживачів,
постачальників, партнерів – це реквізити, контактні особи, телефони, а також
зберігання історії співробітництва, проектів, рахунків, договорів, документів. Так
як інформація про клієнтів підприємства є важливим інформаційним ресурсом, тому
вона також підлягає інвентаризації, а програми управління взаєминами з
клієнтами допоможуть її врахувати. В процесі інвентаризації можна скористатись,
наприклад: «АТЛАС: Системи управління взаємовідносинами з клієнтами», «АПЕК CRM
Lite» 3.0, Terrasoft CRM 3.0.
Системи управління персоналом покликані
значно полегшити роботу по обліку кадрів підприємства. З їх
допомогою проводять: планування ієрархічної структури
підприємства і ведення довільного числа штатних розкладів для кожної філії;
оперативний облік персоналу і його переміщень; підбір персоналу і ведення
кадрового резерву; записи про кар’єру робітників; розділення прав користувачів
та інше. Подібні програмі, наприклад, «АТЛАС: Системи управління персоналом і
кадрами», PersonPro 2.0, PeopleSoft можуть
використовуватися для отримання інформації про кожного працівника, що значно
спростить процес проведення інвентаризації.
Для проведення інвентаризації
інформаційних активів на підприємстві, зазвичай, використовуються наявні
автоматизовані програми. В разі відсутності подібних засобів, використання
одного або декількох з перерахованих програмних продуктів значно полегшить цю
процедуру. Який би засіб для проведення інвентаризації інформаційних активів не
був би обраним, треба уважно та детально описувати всі складові системи, щоб у
майбутньому мати точну і достовірну інформацію. У подальшому, зібрані дані,
сприятимуть процесу прийняття рішень, наприклад, при попередній підготовці
проведення розслідування у випадках порушення інформаційної безпеки, послужать
основою для побудови моделі управління ризиками та створення комплексної
системи захисту інформації. Разом з проведенням загальної інвентаризації, можна
отримати і інші дані, що є для самої інвентаризації допоміжними, але які мають
самостійну цінність. Це, наприклад, може бути список програмного забезпечення,
що використовуваного на підприємстві. За умови підтримки його в актуальному
стані, можна відстежувати появу в інформаційному просторі підприємства стороннього
програмного забезпечення.
Можна зробити висновок, що інвентаризація
інформаційних активів на підприємстві завжди актуальна задля зменшення
економічних витрат та часу при створенні, супроводженні комплексної системи
захисту інформації та вирішенні інших питань інформаційної безпеки.
Захистившись, можна уникнути небажаних
наслідків, а для цього треба точно знати об’єкт захисту.
Ахтирко А. В.
Література:
1.
Порядок проведення робіт із створення комплексної системи
захисту інформації. НДТЗІ 3.7-003-05;
2.
Верховна Рада України; Закон від 05.07.1994 № 8094-ВР Про
захист інформації в інформаційно-телекомунікаційних системах;
3.
Захист інформації. Технічний захист інформації. Терміни і
визначення. ДСТУ 3396.2-97;
4.
Інформаційні технології. Настанови з управління безпекою інформаційних
технологій. Частина 4. Вибирання засобів захисту. ДСТУ ISO/IEC TR
13335-4:2005. (ISO/IEC TR 13335-4:2000, IDT);
5.
Інформаційні технології. Настанови з управління безпекою інформаційних
технологій. Частина 5. Настанова з управління мережною безпекою. ДСТУ
ISO/IEC TR 13335-5:2005. (ISO/IEC TR 13335-5:2001, IDT);
6.
Конеев И.Р. Беляев А.В. Информационная безопасность предприятия.
-СПб.:БХВ-Петербург,2003.-752с.;
7.
Богуш В. М., Юдін О. К. Інформаційна безпека
держави. – К: «МК - Прес», 2005. – 432с., іл.
8.
Захист інформації. Технічний захист інформації. Порядок
проведення робіт. ДСТУ 3396.1-96;
9.
Захист інформації на об'єктах інформаційної діяльності.
Створення комплексу технічного захисту інформації. Порядок розробки та
впровадження заходів щодо захисту інформації. НД ТЗІ 3.3-001-07.