Журнал "Information Security/ Информационная безопасность" #4, 2019

Задача третьего этапа – получение ответов на вопро- сы. 1. Какие ИС обеспечи- вают основные бизнес-про- цессы организации, их назначение и состав? На базе какого ПО функцио- нируют? Кто является адми- нистратором ИС, а кто их эксплуатирует? 2. Какие ИС обеспечи- вают вспомогательные биз- нес-процессы организации, их назначение и состав? На базе какого ПО функцио- нируют? Кто является их администратором, а кто экс- плуатирует ИС? 3. Есть ли необходимая организационно-распоряди- тельная документация, рег- ламентирующая функциони- рование ИС? 4. Какое прикладное ПО используется в организации, его состав и назначение, порядок установки и учета? l имеющиеся организационно- распорядительные докумен- тальные материалы, регламен- тирующие деятельность орга- низации; l перечень основных и вспо- могательных бизнес-процессов организации, подразделений, которые обеспечивают их функ- ционирование, а также их руко- водителей и заместителей. Итогом первого этапа являет- ся наличие полной обобщенной информации об объекте защиты (рис. 1). Данную информацию целе- сообразно закрепить в каком- либо документе (справка, отчет и т.д.). Второй этап Цель: установить полный перечень и состав информа- ционно-телекоммуникационных систем (далее – ИТКС), которые обеспечивают (или не обеспечи- вают) бесперебойное функцио- нирование бизнес-процессов организации. Задачи, которые должны быть решены на втором этапе, – это получение инфор- мации о: l топологии локальной вычис- лительной сети (далее ЛВС) организации; l схеме ЛВС организации (L1, L2, L3); l таблицах маршрутизации; l составе сетевого оборудования ЛВС (активное, пассивное сете- вое оборудование, рабочие стан- ции сети, серверы, системы хра- нения данных, коммутация сети); l расположении серверных (ЦОД), организации бесперебой- ного питания и порядка допуска в указанные помещения; l каналах связи, посредством которых осуществляется взаи- модействие ДЗО с главным офисом, наличии мобильных пользователей, подключающих- ся через удаленный доступ; l доменной структуре сети (Unix, Windows Server и т.д); l используемых операционных системах, установленных на серверах и рабочих станциях; l порядке и способах выхода в глобальную информационную сеть Интернет; l почтовых, Web-, VPN-, тер- минальных серверах, исполь- зуемых в организации; l используемых в организации модемах, съемных накопителях информации или флэш-картах; l наличии внешних Интернет- сервисов (Web-сайтах); l используемых базах данных. Как правило, вся интересую- щая нас информация по вто- рому этапу должна быть сосре- доточена в подразделении информационных технологий. Вместе с тем на практике это встречается крайне редко. Таким образом, настраивай- тесь на совместную кропотли- вую работу со специалистами ИТ. Итог второго этапа: наличие полной информации об объ- екте защиты, о локальной вычислительной сети органи- зации (рис. 2). Третий этап Цель: получить полный пере- чень информационных систем и прикладного программного обеспечения, обеспечивающего функционирование бизнес-про- цессов в организации, и данных об эффективности его исполь- зования. Задача третьего этапа – полу- чение ответов на вопросы. 1. Какие ИС обеспечивают основные бизнес-процессы организации, их назначение и состав (ИС, обеспечивающие непосредственно управление производством, такие как MES, CAD, CAM-системы, АСУ про- изводственными и технологи- ческими процессами и т.д.)? На базе какого ПО функциони- руют? Кто является админи- стратором ИС, а кто их экс- плуатирует? 2. Какие ИС обеспечивают вспомогательные бизнес-про- цессы организации, их назначе- ние и состав (ИС, обеспечи- вающие автоматизацию кадро- вых, планово-экономических, бухгалтерских и т.д. подразде- лений)? На базе какого ПО функционируют? Кто является их администратором, а кто экс- плуатирует ИС? 3. Есть ли необходимая орга- низационно-распорядительная документация, регламентирую- щая функционирование ИС (техническое задание, резуль- таты опытной эксплуатации, ввод в эксплуатацию, порядок проведения регламентных работ на ИС и т.д.)? 4. Какое прикладное ПО используется в организации, его состав и назначение, поря- док установки и учета? На данном этапе считаю необходимым более детально изучить функционирующие в организации автоматизирован- ные системы управления про- изводством и автоматизирован- ные системы управления про- изводственными процессами. Основные усилия следует сосре- доточить на получении и изуче- нии информации в отношении: l состава аппаратного обору- дования, обеспечивающего работоспособность АСУ ПП и АСУ ТП (сетевые устройства, серверное оборудование, стан- ки, установки, программное обеспечение и т.д.); l перечня программного обес- печения, используемого в АСУ ПП и АСУ ТП; l должностных лиц, ответствен- ных за администрирование и эксплуатацию АСУ; l регламента поддержки АСУ (локально или удаленно); l схему сетевого взаимодей- ствие между "производствен- ными" и "офисными" сетями. Данный этап является наибо- лее объемным и трудоемким, так как информация, которую необхо- димо собрать, обобщить и про- анализировать, сосредоточена в разных подразделениях – от тех- нологов/разработчиков/наладчи- ков (станки с ЧПУ, различные производственные установки) до кадровых и бухгалтерских. • 19 УПРАВЛЕНИЕ www.itsec.ru Рис. 2. Второй этап аудита