Узнайте нужен ли в Вашей компании Service Desk

8 (495) 726-15-52

Инвентаризация информационных ресурсов

Положение об инвентаризации ресурсов информационной системы

Общие термины и определения:

ИБС – информационная банковская система

Общие положения

В данном Положении формируется порядок, направленный на проведение инвентаризации информационной безопасности банковской системы. Осуществляются такие работы не реже одного раза в год.

Распоряжение для проведения инвентаризации выдает Председатель Правления, главный бухгалтер или же заместители председателя. Понятие информационных ресурсов в соответствии с Национальным стандартом это:

непосредственно сам комплекс информационных ресурсов, который включает в себя базы данных, всю системную документацию, архивные и обучающие материалы, исследовательские документы, рабочие процедуры и многое другое;

классификация программных ресурсов, включающая в свой состав программное обеспечение (прикладное, системное), инструменты, предназначенные для разработки, и утилиты;

категория физических ресурсов, к которой можно отнести компьютерное оборудование, средства телекоммуникаций, сменные носители;

сервисы, куда необходимо отнести службы оповещения, отопления, кондиционирования, вентиляции.

Стоит отметить, что к списку информационных ресурсов относятся все имеющиеся из них, которые подключены к ресурсам предприятия.

Инвентаризация информационных ресурсов проводится для того, чтобы предоставить им должный уровень защиты.

Цели:

  • ведение учета ресурсов, обеспечение достаточной уверенности их защиты;
  • идентификация владельцев, распределение  их ответственности, связанной с управлением информационной безопасности;
  • идентификация ценности для того, чтобы выстроить мероприятия для управления рисками;
  • другие цели, в том числе обеспечение безопасности трудящихся предприятия, их страхования и различные решения финансового плана.

Общие правила проведения инвентаризации

В Приказе Председателя правления устанавливается список ресурсов, которые подлежат информационной инвентаризации.

Те должностные лица, которые отвечают за наличие информационной безопасности, проверяют наличие ресурсов.

До того, как начинается проверка, комиссия должна получить такие документы:

  • акты о том, что перемещались устройства, в том числе о списании и вводе в эксплуатацию, о перемещении на ремонт;
  • карточки, описывающие рабочие места.

Все полученные базы данных должны сохраняться в двух экземплярах.

Фактическое наличие ресурсов можно определить только с помощью подсчетов, обмеров и обязательного взвешивания.

Процесс описи сопровождается обязательным использованием средства компьютерной техники.

Полученные результаты подписывают все члены службы, отвечающей за опись.

Правила проведения инвентаризации отдельных видов ресурсов

К системе информационных ресурсов относят:

  • базы и файлы данных;
  • системные документы;
  • различные учебные данные и руководства для пользователя;
  • всевозможные операционные процедуры;
  • планы, обеспечивающие бесперебойную работу предприятия;
  • процедуры, которые позволяют переходить в аварийный режим.

К категории, которая включает в себя все виды программных ресурсов, относят:

  • системное и прикладное  ПО (программное обеспечение);
  • инструменты и утилиты.

К категории, которая включает в себя все виды физических ресурсов, относят:

  • компьютерные, коммуникационные средства;
  • диски, съемные носители данных;
  • другие носители;
  • оборудование рабочих мест и само помещение.

К категории, которая включает в себя все виды сервисов, относят:

  • отопление, освещение, вентиляция, кондиционирование;
  • вычислительные/телекоммуникационные сервисы.

 

Порядок оформления результатов инвентаризации

По результатам информационной инвентаризации составляются специальные описи, при этом для каждой категории отдельно.

После того, как они будут оформлены, составляется акт о том, что проведены работы.

Положение об инвентаризации ресурсов информационной системы компании

Во время инвентаризации информационной системы учитывают следующие факторы:

  • инвентаризация информационных ресурсов должна быть простой, доступной и максимально полной, чтобы благодаря ней можно было полностью обеспечить максимальную степень защиты информационных ресурсов предприятия;
  • список ресурсов пригодится для различных производственных целей, например, для обеспечения техники безопасности, а также для страхования;
  • данная деятельность охватывает все ресурсы информации, в том числе и на реализацию работы каждой информационной системы;
  • все ресурсы должны быть идентифицированы, а владельцы и категории критичности – согласованы.

Пример инвентаризации ресурсов в компании

Для каждого предприятия предусматривается несколько категорий ресурсов: информационные, программные, физические и сервисы. К первой относятся базы и файлы данных, процедуры, позволяющие работать бесперебойно или в автономном режиме, учебные пособия и руководства, различная системная документация. Вторая категория включает прикладное/системное ПО, различные программы и инструментальные средства. Физические ресурсы включают в себя компьютеры, комплектующие, носители данных, техническое оборудование, мебельные элементы и само помещение. К сервисам относятся вычислительные, телекоммуникационные, другие технические ресурсы.

Принципы и направления инвентаризации информационных систем

Стоит отметить, что для инвентаризации информационных ресурсов существует несколько основополагающих принципов. В первую очередь это однообразный подход ко всем видам проверок, во-вторых, это критический анализ и объективный подход ко всем предстоящим процедурам. Кроме того, обязательно практикуется многоуровневый подход, при этом сначала выделяются приоритетные направления. Также существует такой принцип, как сопряжение, при котором узнают, откуда поступают данные и куда они уходят. Контролируют проведение инвентаризации сразу несколько сторон, среди которых есть внешний аудитор, специальные фирмы и руководство предприятия.

Что касается направлений, то здесь также можно выделить несколько основных сфер, в соответствии с которыми осуществляются основные задачи. Если это физическая область, то имеют в виду расположение компонентов информационной системы и их схемы. К технологической области относят описание программного обеспечения, всех аппаратных средств, алгоритмы, в соответствии с которыми работает оборудование и соответствующие схемы сети.

Для функциональной сферы описываются задачи, которые выполняются для каждого элемента ИС отдельно. Организационное направление подразумевает под собой основные обязанности и рекомендации, которые выполняют пользователи и администраторы. Нормативная сфера представлена в виде документов, которые служат основой для осуществления всей работы системы. Информационная область дает возможность описать все базы данных, владельцев и доступ к получению такой информации.

 

Инвентаризация элементов информационной системы

На первом этапе специалист, работающий в службе по информационной безопасности, составляет перечень тех объектов и систем, а также субъектов, которые подлежат анализу. При этом он может заручиться поддержкой соответствующих служб и подразделений. Далее в такой перечень вносят первичные признаки и свойства таких объектов для того, чтобы их можно было описать с точки зрения информационной безопасности. Затем специалист проводит работу с различными пользователями, системами, администраторами, если они имеются на предприятии. С их помощью уточняются нюансы и дополнительные сведения по исследуемым объектам и субъектам. Причем действуют пользователи и администраторы в строго заданных рамках, установленных специалистом. Извлечением необходимых данных специалист занимается самостоятельно. Основой служат ранее полученные сведения и описания работы.

Существует определенная схема обследования, которая практически для всех компаний представлена в едином образце с корректировкой на направление деятельности организации. Сначала проводится знакомство со всей системой, визуально осматриваются все имеющиеся объекты, далее проводится интервьюирование менеджеров и администраторов о том, как функционирует вся система в общем. Затем специалист начинает знакомиться со всей необходимой документацией, которая присутствует в сфере информационной безопасности. После этого описывается вся система, и предоставляются уточнения такого описания.

Служба защиты информации: первые шаги

Стоит отметить, что информационная безопасность представляет собой целый комплекс мер, которые не могут быть более и менее важными. Такие меры защиты необходимо соблюдать в любой из точек сети, а также при обработке информации внешними субъектами. Компьютер отдельного пользователя, внешние носители, целый сервер, которой управляет всей сетью.

На 100% обеспечить защиту невозможно. Но при этом нужно понимать, что слишком сложная защищенность всей системы ведет к дополнительным сложностям в работе и делает ее более уязвимой. Например, при работе в 1С пользователь каждый раз может забывать слишком сложный пароль, поэтому может приклеивать стикеры на монитор со всеми паролями. Именно поэтому доступ к системе 1С могут иметь все, кто видит этот стикер.

Сегодня существует огромное количество самых разнообразных программных средств, обеспечивающих надежную защиту системы. Это могут быть антивирусные средства, специальное программное обеспечение, брандмауэры и многое другое. Самым уязвимым фактором для всей системы безопасности является человек. Именно поэтому в компаниях часто создается  целый отдел, который обеспечивает информационную безопасность.

Информационная безопасность как система

Система информационной безопасности предполагает наличие средств, которые защищают как от случайных внедрений, так и от действий злоумышленников. Она является эффективным инструментом, который защищает данные и обычных пользователей, и руководства организации. Особенно актуальной такая система является для защиты персональной информации в банковских учреждениях и в заведениях открытого типа: школа, ВУЗах и т. д.

Необходимо понимать, что для всех сфер организация системы безопасности основывается на одинаковых принципах, поэтому подход к ее реализации всегда одинаков с определенными корректирующими элементами по типу деятельности. Также стоит отметить, что она требует постоянной модернизации, отличается уязвимостью при наличии определенных проблем, поэтому своевременная инвентаризация дает возможность снизить риск уязвимости такой системы.

Чем же занимается служба информационной безопасности? Она формирует многофункциональную структуру, а также осуществляет все виды мероприятий, которые обеспечивают должную защиту данных на предприятии. При этом для большинства организаций проще пользоваться услугами сторонних структур, чем пользоваться услугами собственной службы.

Внутренняя безопасность: подводные камни практического применения

Обеспечение внутренней безопасности – это проблема, которая сегодня остается очень актуальной для многих компаний. Они страдают из-за того, что неправильно используют сетевые ресурсы, при этом происходит утечка данных, которая угрожает безопасности компании. Инсайдером может оказаться каждый. Это может быть и администратор, и тот, кто находится в руководстве. В то же время на сегодняшний день существует достаточно большое количество средств, которые позволяют  обеспечить информ. безопасность.

Как же происходит процесс вмешательства ИБ в деятельность фирмы? Сначала ставится задача, которая подразумевает под собой создание системы защиты, обеспечивающей предупреждение утечки информации. Также требуется вводить режим коммерческой тайны, а после этого выявляются злоумышленники.

Стоит отметить, что для коммерческих структур классификация защищаемых объектов по категориям достаточно простая. Более сложные процессы присутствуют в государственных структурах. Итак, в такую классификацию входят:

  • общедоступная (открытая) информация, при работе с которой отсутствуют какие-либо ограничения;
  • чувствительная информация с ограниченным доступом;
  • персональные данные, включающие в себя зарплатные ведомости, больничные листы, анкетные данные каждого сотрудника;
  • конфиденциальная информация с ограничениями для каждого пользователя по уровню допусков.

Важно понимать, что грамотно организованная защита на предприятии чувствительных данных – это очень сложный процесс. Для этого проводится классификация данных, инвентаризация всех имеющихся ресурсов, выбирается оптимальное программное обеспечение, составляются все необходимые документы по информационной безопасности. Самыми важными составляющими такой деятельности являются политики и различные программные средства. Кроме того, в организации должен действовать режим коммерческой тайны.