Разведопрос: Алексей Балаганский про основы информационной безопасности
Опубликовано: 11.04.2017
Построение защиты информационной системы индивидуальных данных (ИСПДн) начинается с обследования ИСПДн, ее систематизации и составления конкретных требований к защите.
Обследование проводит особая комиссия, состоящая из спеца по защите информации*, админа ИС и оператора ИС. Соответственно, предварительно нужно издать приказ о предназначении комиссии и проведении обследования.
Перед тем, как начинать какие-либо деяния, нужно установить перечень хранящихся и обрабатываемых на предприятии индивидуальных данных.
Documental "PINOCHET" // Documentary "Pinochet" //"Пиночет" Документальные
Тут у нас получится документ с таблицей из 3-х колонок: № п\п; наименование (файла, БД, таблицы); содержание файла (ФИО, серия\номер паспорта и т.д).
Во время обследования необходимо установить последующее:
1. Доступ на местность организации. Кто и в какое время может туда пройти. По пропускам или без, записывается ли он в журнальчик посещений и т.д. Имеют ли сотрудники возможность пройти на местность организации в нерабочее время.
2. Контролируемая зона (КЗ) организации.
Контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих неизменного либо разового доступа.
Итак, границами контролируемой зоны будут являться ограждающие конструкции помещений, принадлежащих Организации (стенки, двери, окна, потолок).
Может быть, вашей организации принадлежит весь этаж либо какое-то его крыло. В этом случае холл и коридор меж кабинетами будут являться контролируемой зоной только при наличии там злой старушки с шваброй сторожа/админа либо камеры видеонаблюдения.
В контролируемой зоне вероятны некие особенности. К примеру, в ней может вестись постоянный прием третьих лиц (клиентов) – это тоже необходимо отметить.
3. Электропитание строения. Тут требуется указать на какой местности находится трансформаторная подстанция и какой организацией обслуживается. Все очень просто, никаких ООО «Мосгорсвет» знать не надо (это никого не интересует) — ответа может быть всего два: подстанция находится в границах КЗ, или за ее пределами и соответственно обслуживаться она может или своим подразделением организации, или посторонней организацией (заглавие и адресок организации не требуются).
Также, требуется указать по какой схеме изготовлено заземление трансформатора и где оно находится (в границах КЗ либо за пределами). Знаний из Википедии здесь больее, чем довольно ru.wikipedia.org/wiki/%D0%A2N-S
4. Телефонная связь. Организована через свою АТС либо общую. Выходят ли кабели телефонной связи за границы КЗ.
5. Пожарная и охранная сигнализация. Где установлена, куда подключена. Если подключена на пульт охраны, то указать где находится этот пульт. Выходят ли кабели этих систем за границы КЗ.
6. Вычислительная сеть организации. По какой технологии построена, какая схема, структура, имеются ли сабсети и т.д.
7. Обработка инфы.
— Ввод инфы: осуществляется в ручном/автоматическом режиме на всех компьютерах (АРМ) при помощи манипулятора типа «мышь», клавиатуры, сканера и т.д.
Под ручным обычно понимается ввод с картонных носителей, а под автоматическим – с флэшек, дисков и пр.
— Отображение инфы: информация отображается на мониторе во время ввода и вывода инфы юзером и работы с ПО.
— Обработка инфы: делается на компьютере с помощью такого-то ПО. Не нужно писать про все ПО на компьютере, а только про то, в котором обрабатываются персональные данные.
— Хранение инфы: информация остается на жестком диске компьютера либо автоматом передается на сервер.
— Передача инфы: меж АРМ юзеров, меж компом и сканером\принтером, меж АРМ и сервером.
— Вывод инфы: на бумажные\электрические носители с помощью таких-то устройств.
8. Составляющие процесса обработки инфы:
— Субъекты доступа: персонал, который в силу должностных обязательств должен взаимодействовать с ПДн; процессы, происходящие в прикладном и системном ПО компьютера.
— Объекты доступа: информационные ресурсы (пример: файлы, таблицы, массивы, документы, базы данных и т.д.); элементы системы (флэшки, принтеры, ПО, сам компьютер).
Доступ субъектов к объектам должен быть как-то разграничен либо регламентирован (пароли к учетным записям на ПК, флэшки только под роспись, доступ к файлам).
9. Группы субъектов доступа: админы (описание кто такие и какие функции выполняют), юзеры (аналогично), обслуживающий персонал (аналогично). Лучше также раздельно в этом пт обрисовать, какие функции по администрированию ОС и защите инфы делает администратор (запасное копирование, создание учетных записей и пр.)
10. Система запасного копирования: как нередко, куда и где\у кого\как это позже хранится.
11. Дополнительно… Тут можно указать другие принципиальные моменты, соответствующие для вашей информационной системы.
По результатам всего этого мы составили Акт обследования ИСПДн.
ru.wikipedia.org/wiki/Контролируемая_зона