1. Важным этапом в проведении аудита считается сбор исходных данных.
Методы сбора исходных данных:
- Запрос необходимых документов;
- Анкетирование сотрудников;
- Анализ исходных данных (агрегирование и инференция).
Общие исходные данные:
- Полное,точное наименование системы и ее назначение;
- Схема организационной структуры пользователей;
- Общая функциональная схема;
- Техническое задание на создание системы;
- Перечень технических средств, входящих в информационную систему;
- Перечень программного обеспечения с разделением на общесистемное и прикладное ПО;
- Описание технических процессов;
- Перечень помещений в которых размещается информационная система;
- План размещения ОТСС и ВТСС;
- Схема с границей КЗ;
- Схемы коммуникаций ( электропитание, передача данных,заземления,иные коммуникации);
- Сведения о системах сетевого мониторинга и управления;
- Топология информационной системы с IP-адресацией;
- Сведения об использовании протоколов обмена информацией;
- Нормативно- распорядительная информация.
Исходные данные об обрабатываемой информации:
- Характер защищаемой информации;
- Перечень сведений, относящихся к конфиденциальной информации;
- Перечень защищаемых информационных ресурсов;
- Схемы размещения защищаемых ресурсов в информационной системе.
Исходные данные о подсистемах информационной безопасности:
- Перечень применяемых средств защиты информации
- Документация на средства обработки, средства защиты;
- Сведения о подсистемах информационной безопасности, наличие у разработчиков лицензий на проведение работ;
- Сведения о наличии физической защиты объекта.
Исходные данные о персонале:
- Сведения о распределении обязанностей по защите информации.
- Сведения по уровню подготовки кадров;
- Положения, приказы выпущенные в рамках обеспечения информационной безопасности;
- Должностные инструкции пользователей,администраторов, технической службы.
Получаем четыре основные направления сбора исходных данных
1. Общая информация (в том числе технического характера).
2. Информация об обрабатываемой информации.
3. Данные о подсистемах ИБ.
4. Данные о персонале.
По результатам сбора исходных данных составляется документ "Заключение по результатам обследования"
Структура документа представлена ниже:
-Общие положения
-Основание проведения работ.
-Сведения об учреждении.
-Цель проведения мероприятий по аудиту.
-Задачи проведения работ:
-Законодательная, нормативная и методическая база.
-Характеристика и структура информационной системы
-Общее описание информационной системы.
-Сведения об информационных системе для определения требований к защите информации.
- Реализация системы защиты информационной системы.
|