Этот раздел определяет, что именно понимается под состоянием защищенности в конкретной компании. Кроме того, в нем описывается информация, которая требует защиты, мотивируется необходимость ее защиты и указывается, кто именно осуществляет работу с защищаемой информацией, т.е. субъекты информационной безопасности:
Для компании — оператора сотовой связи стандарта GSM выделим следующие типовые бизнес-процессы:
Типовые технические средства операторской компании:
Из приведенных перечней видно, что операторская компания характеризуется высокой сложностью организации как со стороны технических средств, так и со стороны бизнес-логики. Также очевидно, что и сама организационная структура компании оператора является весьма нетривиальной.
Из вышесказанного следует, что для данной компании оптимальной будет являться КИБ смешанного типа.
Раздел «Объекты и субъекты информационной безопасности (уровень ПИБ)». В данном разделе описывается, как осуществляется привязка информации, подлежащей защите, к конкретным техническим средствам и носителям информации, используемым в компании.
Устанавливается соответствие вида: защищаемая информация→цель защиты (конфиденциальность, целостность или доступность)→технический ресурс (ресурсы), в котором обрабатывается, хранится или циркулирует информация.
Далее осуществляется привязка защищаемой информации к субъектам информационной безопасности.
Устанавливается соответствие вида: информация→технический ресурс→права доступа (полный доступ, только чтение и т.д.) →объект информационной безопасности.
Составляется общая структурная схема информационной системы компании.
Пример архитектуры информационной системы для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета, приведен на рис. 3.1.
Рис. 3.1. Пример архитектуры КИС для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета