Объекты и субъекты информационной безопасности

Этот раздел определяет, что именно понимается под состоянием защищенности в конкретной компании. Кроме того, в нем описывается информация, которая требует защиты, мотивируется необходимость ее защиты и указывается, кто именно осуществляет работу с защищаемой информацией, т.е. субъекты информационной безопасности:

1. сотрудники компании;
2. подразделения компании;
3. организации, которым передается или от которых получается информация;
4. клиенты компании;
5. злоумышленники;
6. прочие лица.

Для компании — оператора сотовой связи стандарта GSM выделим следующие типовые бизнес-процессы:

1. Организация рассылки продукции в регионы: экспедиторские процессы; учет отгрузки.
2. Производство услуг.
3. Мониторинг производства услуг.
4. Контроль качества производства услуг: контроль действий персонала при производстве услуг.
5. Внедрение новых услуг: разработка; вывод на рынок; сопровождение.
6. Продажа услуг и обслуживание абонентов.
7. Мониторинг обслуживания абонентов.
8. Контроль качества обслуживания абонентов.
9. Контроль действий персонала при обслуживания абонентов.
10. Расторжение договора по инициативе абонента.
11. Расторжение договора по инициативе компании.
12. Взаимодействие с филиалами и представительствами.
13. Проведение внутреннего аудита.
14. Управление документацией.
15. Организация внутреннего обучения сотрудников компании.
16. Мониторинг дилерского обслуживания.
17. Регулирование дебиторской задолженности дилеров.
18. Взаимодействие подразделений компании при обслуживании абонентов.
19. Внедрение АСУП.
20. Заключение и сопровождение договоров.
21. Документооборот.

Типовые технические средства операторской компании:

1. Каналы связи: собственные; арендуемые.
2. Коммутационное и каналообразующее оборудование: маршрутизаторы; коммутаторы; мосты.
3. Центры хранения и обработки данных: архивы электронные и бумажные; серверы.
4. Абонентское оборудование: модемы; телефонные аппараты.
5. Рабочие места (рабочие станции).

Из приведенных перечней видно, что операторская компания характеризуется высокой сложностью организации как со стороны технических средств, так и со стороны бизнес-логики. Также очевидно, что и сама организационная структура компании оператора является весьма нетривиальной.

Из вышесказанного следует, что для данной компании оптимальной будет являться КИБ смешанного типа.

Раздел «Объекты и субъекты информационной безопасности (уровень ПИБ)». В данном разделе описывается, как осуществляется привязка информации, подлежащей защите, к конкретным техническим средствам и носителям информации, используемым в компании.

Устанавливается соответствие вида: защищаемая информация→цель защиты (конфиденциальность, целостность или доступность)→технический ресурс (ресурсы), в котором обрабатывается, хранится или циркулирует информация.

Далее осуществляется привязка защищаемой информации к субъектам информационной безопасности.

Устанавливается соответствие вида: информация→технический ресурс→права доступа (полный доступ, только чтение и т.д.) →объект информационной безопасности.

Составляется общая структурная схема информационной системы компании.

Пример архитектуры информационной системы для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета, приведен на рис. 3.1.

Рис. 3.1. Пример архитектуры КИС для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета