В данном Положении формируется порядок, направленный на проведение инвентаризации информационной безопасности банковской системы. Осуществляются такие работы не реже одного раза в год.
Распоряжение для проведения инвентаризации выдает Председатель Правления, главный бухгалтер или же заместители председателя. Понятие информационных ресурсов в соответствии с Национальным стандартом это:
непосредственно сам комплекс информационных ресурсов, который включает в себя базы данных, всю системную документацию, архивные и обучающие материалы, исследовательские документы, рабочие процедуры и многое другое;
классификация программных ресурсов, включающая в свой состав программное обеспечение (прикладное, системное), инструменты, предназначенные для разработки, и утилиты;
категория физических ресурсов, к которой можно отнести компьютерное оборудование, средства телекоммуникаций, сменные носители;
сервисы, куда необходимо отнести службы оповещения, отопления, кондиционирования, вентиляции.
Стоит отметить, что к списку информационных ресурсов относятся все имеющиеся из них, которые подключены к ресурсам предприятия.
Инвентаризация информационных ресурсов проводится для того, чтобы предоставить им должный уровень защиты.
Цели:
ведение учета ресурсов, обеспечение достаточной уверенности их защиты;
идентификация владельцев, распределение их ответственности, связанной с управлением информационной безопасности;
идентификация ценности для того, чтобы выстроить мероприятия для управления рисками;
другие цели, в том числе обеспечение безопасности трудящихся предприятия, их страхования и различные решения финансового плана. Подробнее на сайте https://u-connect.ru.
Общие правила проведения инвентаризации
В Приказе Председателя правления устанавливается список ресурсов, которые подлежат информационной инвентаризации.
Те должностные лица, которые отвечают за наличие информационной безопасности, проверяют наличие ресурсов.
До того, как начинается проверка, комиссия должна получить такие документы:
акты о том, что перемещались устройства, в том числе о списании и вводе в эксплуатацию, о перемещении на ремонт;
карточки, описывающие рабочие места.
Все полученные базы данных должны сохраняться в двух экземплярах.
Фактическое наличие ресурсов можно определить только с помощью подсчетов, обмеров и обязательного взвешивания.
Процесс описи сопровождается обязательным использованием средства компьютерной техники.
Полученные результаты подписывают все члены службы, отвечающей за опись.
Правила проведения инвентаризации отдельных видов ресурсов
К системе информационных ресурсов относят:
базы и файлы данных;
системные документы;
различные учебные данные и руководства для пользователя;
всевозможные операционные процедуры;
планы, обеспечивающие бесперебойную работу предприятия;
процедуры, которые позволяют переходить в аварийный режим.
К категории, которая включает в себя все виды программных ресурсов, относят:
системное и прикладное ПО (программное обеспечение);
инструменты и утилиты.
К категории, которая включает в себя все виды физических ресурсов, относят:
компьютерные, коммуникационные средства;
диски, съемные носители данных;
другие носители;
оборудование рабочих мест и само помещение.
К категории, которая включает в себя все виды сервисов, относят:
отопление, освещение, вентиляция, кондиционирование;
вычислительные/телекоммуникационные сервисы.
Порядок оформления результатов инвентаризации
По результатам информационной инвентаризации составляются специальные описи, при этом для каждой категории отдельно.
После того, как они будут оформлены, составляется акт о том, что проведены работы.
Положение об инвентаризации ресурсов информационной системы компании
Во время инвентаризации информационной системы учитывают следующие факторы:
инвентаризация информационных ресурсов должна быть простой, доступной и максимально полной, чтобы благодаря ней можно было полностью обеспечить максимальную степень защиты информационных ресурсов предприятия;
список ресурсов пригодится для различных производственных целей, например, для обеспечения техники безопасности, а также для страхования;
данная деятельность охватывает все ресурсы информации, в том числе и на реализацию работы каждой информационной системы;
все ресурсы должны быть идентифицированы, а владельцы и категории критичности – согласованы.
Пример инвентаризации ресурсов в компании
Для каждого предприятия предусматривается несколько категорий ресурсов: информационные, программные, физические и сервисы. К первой относятся базы и файлы данных, процедуры, позволяющие работать бесперебойно или в автономном режиме, учебные пособия и руководства, различная системная документация. Вторая категория включает прикладное/системное ПО, различные программы и инструментальные средства. Физические ресурсы включают в себя компьютеры, комплектующие, носители данных, техническое оборудование, мебельные элементы и само помещение. К сервисам относятся вычислительные, телекоммуникационные, другие технические ресурсы.
Принципы и направления инвентаризации информационных систем
Стоит отметить, что для инвентаризации информационных ресурсов существует несколько основополагающих принципов. В первую очередь это однообразный подход ко всем видам проверок, во-вторых, это критический анализ и объективный подход ко всем предстоящим процедурам. Кроме того, обязательно практикуется многоуровневый подход, при этом сначала выделяются приоритетные направления. Также существует такой принцип, как сопряжение, при котором узнают, откуда поступают данные и куда они уходят. Контролируют проведение инвентаризации сразу несколько сторон, среди которых есть внешний аудитор, специальные фирмы и руководство предприятия.
Что касается направлений, то здесь также можно выделить несколько основных сфер, в соответствии с которыми осуществляются основные задачи. Если это физическая область, то имеют в виду расположение компонентов информационной системы и их схемы. К технологической области относят описание программного обеспечения, всех аппаратных средств, алгоритмы, в соответствии с которыми работает оборудование и соответствующие схемы сети.
Для функциональной сферы описываются задачи, которые выполняются для каждого элемента ИС отдельно. Организационное направление подразумевает под собой основные обязанности и рекомендации, которые выполняют пользователи и администраторы. Нормативная сфера представлена в виде документов, которые служат основой для осуществления всей работы системы. Информационная область дает возможность описать все базы данных, владельцев и доступ к получению такой информации.