Конференция по вопросам информационной безопасности Суббота, 18.11.2017, 11:31
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Страница 1 из 11
Модератор форума: Kostik, anvolkov 
Форум » Персональные данные » Этапы проведения работ » Предварительное обследование системы (Сбор и анализ исходных данных ИСПДн)
Предварительное обследование системы
Kostik (Иванов Константин)Дата: Пятница, 12.03.2010, 12:26 | Сообщение # 1
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Зачастую, самым сложным в работе является начало. Перед специалистом возникает множество вопросов:
1. С чего начать работу?
2. Какие данные о информационной системе необходимо собрать?
3. Каким образом это лучше всего сделать?
4. Как систематизировать полученные сведения?

На эти и другие вопросы мы постараемся ответить вам в рамках данной темы.

Для начала ответим на первый вопрос:
Первое и самое важное, что вы должны сделать - это поставить перед собой цель. Ответы на вопросы "Что мы хотим сделать? Какие результаты мы должны получить?" будут во многом определять все последующие работы, проводимые во время этого сложного процесса.
После постановки цели определите Ваши возможности. Какие финансовые, вычислительные, трудовые и т.д. ресурсы у Вас имеются? Полный комплекс работ по приведению ИСПДн к требованиям текущего законодательства, зачастую оказывается не дешевым удовольствием.
Далее необходимо четко сформулировать цели и задачи, временные рамки выполнения, расходуемые ресурсы на данный процесс. Это позволит не только упорядочить работу, но и точно донести Ваши требования до исполнителей, что предотвратит случаи повторного выполнения работ из-за "недопонимания".
После следует переходить к процессу сбора сведений о информационной системе организации.

 
Kostik (Иванов Константин)Дата: Среда, 17.03.2010, 11:55 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Продолжая данную тему, хочется отметить тот перечень данных, который целесообразно собрать о информационной системе (если я ошибаюсь - поправьте).
1. Полное наименование и адрес организации.
2. Наименование информационной системы, в которой осуществляется обработка конфиденциальной информации (в том числе и ПДн)
3. Цели и задачи работ (которые Вы сформулировали ранее)
4. Ограничить область действия системы защиты конфиденциальных данных
5. Изучить нормативную и законодательную документацию, регулирующую деятельность организации (данное действие позволит не только выявить дополнительные требования к ИСПДн по обеспечению безопасности данных, но и глубже понять схему информационного взаимодействия - пригодится на будущих этапах)
6. Внутренние документы, регулирующие работу информационной системы
7. Планируемые сроки по выполнению работ (поэтапно) - сформулированы и утверждены ранее.
8. Характер защищаемых активов в информационной системе (гос.тайна, ПДн, налоговая тайна, коммерческая тайна и т.п.)
9. Важность информационных активов для функционирования организации
10. Объем ресурсов, которые доступны для реализации ИБ (оговорены и утверждены ранее)
Этот список подходит для любых работ по аудиту информационной системы, далее приведены данные исключительно по ПДн
11. Общее количество субъектов ПДн (для каждой ИСПДн)
12. Характер территории, охватываемой при обработке ПДн (ПДн только сотрудников, субъектов в рамках одного региона, все страны или нескольких регионов и т.п.)
13. Категория ПДн (обезличенные, только идентифицирующие субъекта...)
14. Степень автоматизации обработки данных (только средствами автоматизации, смешанная обработка, только бумажная обработка...)
15. Технология обработки и хранения данных (локальная, локальная СУБД, сетевая СУБД, трехслойный клиент, терминал-сервер...)
16. Перечень программного обеспечения, при помощи которого производится обработка
17. Каналы взаимодействия ИСПДн (доверенные, общедоступные....)
18. Примерный объем трафика, транспортируемого между элементами ИС
19. Порядок взаимодействия с сетью Интернет
20. Технические характеристики связи с Интернет
21. Наличие удаленного доступа сотрудников, реализация.
22. Перечень ОС
23. Имеющиеся в ИСПДн средства ЗИ (защиты информации)
24. Общее количество серверов, задействованных в обработке ПДн
25. Общее количество рабочих станций в ИСПДн
26. Общее количество сотрудников, осуществляющих обработку ПДн
27. Осуществляется ли акустическая обработка ПДн?
28. Какие средства обеспечения непрерывности бизнеса используются?
Далее необходимо нарисовать схемы расположения элементов ИСПДн относительно границ контролируемой зоны, схему расположения вспомогательных технических средств (кондиционирование, телефоны...)
Перечисленных сведений хватит на начальном этапе работ smile Если что-либо забыл, то думаю меня поправят)
 
anvolkov (Алексей Волков)Дата: Среда, 17.03.2010, 12:17 | Сообщение # 3
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Поправлю - большинство из сказанного выше имеет смысл реализовывать тогда, когда все организационные мероприятия разработаны и решаются вопросы технической защиты.
 
Форум » Персональные данные » Этапы проведения работ » Предварительное обследование системы (Сбор и анализ исходных данных ИСПДн)
Страница 1 из 11
Поиск:

Copyright Ivanov Konstantin © 2017Используются технологии uCoz