Алгоритм описания информационной системы

На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ.

Описание рекомендуется делать в соответствии со следующим планом:

– аппаратные средства ИС, их конфигурация;

– используемое ПО;

– интерфейсы системы, то есть внешние и внутренние связи с позиции информационной технологии;

– типы данных и информации;

– персонал, работающий в данной ИС (обязанности);

– миссия данной ИС (основные цели);

– критичные типы данных и информационные процессы;

– функциональные требования к ИС;

– категории пользователей системы и обслуживающего персонала;

– формальные требования в области ИБ, применимые к данной ИС (законодательство, ведомственные стандарты и т.д.);

– архитектура подсистемы ИБ;

– топология локальной сети;

– программно-технические средства обеспечения ИБ;

– входные и выходные потоки данных;

– система управления в данной ИС (должностные инструкции, система планирования в сфере обеспечения ИБ);

– существующая система управления в области ИБ (резервное копирование, процедуры реагирования на нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.);

– организация физической безопасности;

– управление и контроль внешней по отношению к ИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и т.д.).

Для системы, находящейся в стадии проектирования, и для уже существующей системы характер описания и степень подробности ответов будут разными. В первом случае (стадия проектирования) достаточно указать общие требования в области ИБ.

Методы сбора информации

Для получения информации по перечисленным пунктам на практике рекомендуется использовать:

– разнообразные вопросники (check-листы), которые могут быть адресованы к различным группам управленческого и обслуживающего персонала;

– интервью аналитиков (внешних), которые проводят неформальные беседы с персоналом и затем готовят формализованное описание;

– анализ формальных документов и документации предприятия;

– специализированный инструментарий (ПО). Существует разнообразное ПО, благодаря которому удается частично автоматизировать процесс описания. К нему относятся разнообразные сканеры, дающие возможность составить схему информационной системы, программы для структурированного описания информационных систем, позволяющие создать необходимые отчетные формы.