Что должно быть защищено
Схемы информационных потоков и живучести системы
Живучесть – это способность системы выполнять свои задачи и важные процессы во время атак, повреждений и аварийных ситуаций. Она основывается на исследованиях, проведенных координационным центром CERT (www.cert.org) университета Карнеги Меллон. Эти исследования показывают, что вместо того, чтобы использовать традиционную модель защиты типа крепости, сети нужно рассматривать как несвязанные независимые объекты с определенными маршрутами коммуникаций и специфическими надежными взаимосвязями.
Анализ системы на предмет живучести включает в себя определение требований к сети, предъявляемых со стороны особенностей ведения бизнеса, архитектуру сети, насколько она удовлетворяет этим требованиям, а также поиск компромиссных решений для обеспечения того, чтобы средства, обеспечивающие живучесть системы, не нарушали бизнес-процесс. Частью такого анализа является исследование потоков информации в системе. Исследование этих потоков и анализ критических процессов помогут выявить точки, в которых должны быть усилены меры защиты, а также показать, какие ограничения на архитектуру системы накладываются требованиями технологии.
Для получения дополнительной информации об исследованиях CERT на живучесть см. Приложение Б "Ресурсы".
Подобным образом должна быть проведена инвентаризация всех формуляров, бланков особого учета организации и других материалов с названием организации, используемых в качестве официальных бумаг. Использование бланков счет-фактур и бланков организации может дать кому-то возможность имитировать официальную деятельность компании и использовать информацию для похищения денег или даже дискредитации организации. Поэтому необходимо учитывать все эти бланки во время инвентаризации, чтобы можно было разработать правила защиты этих активов.
Учет трудовых ресурсов
Наиболее важным и ценным ресурсом компании является персонал, который работает и хранит активы компании, учтенные при инвентаризации. Учет персонала, задействованного в технологическом процессе компании и имеющего доступ к системам, данным и внекомпьютерным ресурсам, обеспечит понимание того, какие правила информационной безопасности необходимо разработать.
Учет персонала можно упростить вплоть до составления типовой схемы организации компании. Но может оказаться весьма обременительным включение тысячи или даже нескольких сотен служащих в один большой документ. Более того, структурные схемы организации пользуются дурной славой негибких документов, не предполагающих изменений или роста в структуре компании. Помимо этого, в инвентаризационный документ может быть включен тип работы, выполняемой подразделением, наряду с уровнем доступа служащих этих подразделений к данным предприятия. Например, если у компании имеется крупный отдел продаж, то создание структурной схемы этого подразделения с указанием имени каждого сотрудника, может спровоцировать самолюбивые устремления служащих, а сама схема перестанет служить по своему прямому назначению. Так что будет лучше, если структурная схема будет включать "Отдел продаж", помеченный отдельным номером, где точно может быть и не указана работа продавцов.
Положительный аспект такой реализации заключается в том, что руководство будет понимать, кто работает в организации и в каком подразделении. В качестве одного из этапов этого процесса руководство может увидеть дублирование работ, определить сильные и слабые стороны персонала, а также выявить узкие места в организационной структуре. Такой анализ похож на анализ живучести сетей с той разницей, что он проводится в социальной сфере. Руководителям не нужно напоминать, что они должны руководствоваться результатами такого анализа.