Информационная безопасность



              

Рецептура - часть 2


Ведь даже если мы выполним все настройки, но забудем прописать разрешающее правило на внутреннем межсетевом экране, решение всей задачи будет сорвано.
  • Штатная структура компании. Какой доступ и к каким ресурсам имеет сотрудник, занимающий на определенную должность.

    На базе полученной информации система управления выстраивает идеальную модель ИС. Этот момент можно считать стартовым в работе системы управления безопасностью.

    Отныне все общение по вопросам изменений настроек информационной системы начинает происходить через специализированную систему документооборота, входящую в состав системы управления безопасностью.

    Кстати, от зарубежных аналогов отечественную систему КУБ отличает специальный транслятор, который позволяет преодолевать языковой барьер и предоставляет возможность каждому работать с понятными ему терминами: менеджменту компании - с терминами "сотрудник", "должность", IT-специалистам - с терминами типа "учетная запись", "права доступа" и т. п.

    Заявка на изменение доступа, составленная в системе управления безопасностью, будет проверена на непротиворечивость требованиям политики безопасности, согласована с владельцами ресурсов и направлена на выполнение администраторам.

    Выявлять несоответствие модели ИС и ее текущего состояния системе управления безопасностью позволяют агенты-сенсоры. Такие агенты регулярно следят за всеми связанными с безопасностью ИС настройками операционных систем, приложений, средств защиты, сетевого оборудования.

    Под несоответствием системы управления безопасностью ИС предприятия следует понимать либо невыполненные администратором необходимых действий по администрированию информационной системы, либо действия, совершенные им в обход принятого и утвержденного в организации порядка. Например, предоставление лишних полномочий какому-либо пользователю или неправомерное ограничение пользователя в правах.

    Информация о несоответствиях тут же поступает в службы безопасности и в службу IT. Ведь каждое из них связано с тем, что кто-то из сотрудников либо приобретает права на доступ к ресурсам ИС, либо теряет их.Это означает, что он может получить лишнюю информацию или лишиться доступа к необходимых ему сведений. А это, как уже отмечалось, равнозначно недопустимо, поскольку таит угрозу безопасности или же приводит к срыву выполнения бизнес-задач.

    Наличие в системе документооборота механизма архивирования заявок на изменения доступа к информационной системе позволит в любой момент понять, кто имеет доступ к ресурсам информационной системы и кто запрашивал предоставление этого доступа.




    Содержание  Назад  Вперед