Читайте также:
|
Чтобы уменьшить количество требуемых попыток, в каждом случае только наиболее важные ИТ-приложения, работающие или планирующиеся к работе на рассматриваемых ИТ-системах, включаются. В терминах эффективного использования нет необходимости записывать все приложения полностью, если хотя бы ИТ-приложения, работающие на имеющих отношение к делу ИТ-системах, записаны.
• Для которых важно, чтобы их данные/информация и программы оставались конфиденциальными (т.е. максимальные требования конфиденциальности);
• Для которых обязательно, чтобы их данные/информация и программы были корректными и не изменялись (т.е. максимальные требования целостности);
• У которых самое малое допустимое время простоя (т.е. максимальные требования к доступности).
Чтобы обеспечить это, при записи ИТ-приложений следует спросить оценки пользователей или ответственных за приложения
Определение или документирование ИТ-приложений легче, если ИТ-приложения перечислены рядом со своими системами. Из-за их широкого влияния, сервера должны быть первыми элементами, на которых собирается информация. Чтобы достичь как можно лучшего баланса, документирование может быть завершено для клиентских и индивидуальных система рабочих мест. Затем должно быть установлено, какие переключающие элементы сети какие ИТ-приложения поддерживают.
В таком контексте полезно назначить серийный номер каждому приложению в качестве справочной информации. Так как многие сотрудники отдела безопасности ИТ также несут ответственность за защиту персональных данных как сотрудник отдела защиты данных, полезно отметить сохраняет ли и/или обрабатывает ли персональные данные ИТ-приложение. Т.к. требования защиты приложений обычно следуют из требований безопасности информации, которую оно (приложение) обрабатывает, этот тип информации также должно быть зарегистрировано в таблице.
Тогда в каждом случае приложения назначаются ИТ-системам, которые должны их запустить. Это могут быть ИТ-системы, в которых выполняются ИТ-приложения, но также это могут быть ИТ-системы, которые передают данные, созданные в приложениях.
Результат этих действий – обзор, какие основные ИТ-приложения на каких ИТ-системах обрабатываются, используются и передаются.
Стоит отметить, какие бизнес-процессы поддерживают ИТ-приложения и какую информацию они обрабатывают. У каждого бизнес-процесса есть владелец или ответственное лицо. У соответствующих ИТ-приложений есть пользователи. Эта информация также должна быть записана, чтобы легче можно было определить и связаться с людьми по вопросам ИТ-безопасности или быстро добраться до затронутых групп пользователей.
Рекомендуется записывать результаты в форме таблицы.
Пример: Bundesamt für Organisation und Verwaltung (Федеральная служба организации и администрирования, Federal Agency for Organisation and Administration, BOV) – Часть 3
Следует выдержка из документации по ИТ-приложениям и назначение затронутых ИТ-систем в выдуманном примере BOV:
| Описание ИТ-приложений | ИТ-системы | ||||||||
| Прилож. №. | ИТ приложение / информация | Личные данные | S1 | S2 | S3 | S4 | S5 | S6 | S7 |
| A1 | Обработка данных персонала | X | X | ||||||
| A2 | Обработка выгод | X | X | ||||||
| A3 | Учет дорожных расходов | X | X | ||||||
| A4 | Аутентификация пользователя | X | X | X | |||||
| A5 | Системное управление | X | |||||||
| A6 | Обмен информацией (E-mail, календарь деловых встреч) | X | X | ||||||
| A7 | Центральное управление документацией | X |
Ключ: AiX Sj= выполнение ИТ-приложения Aiзависит от ИТ-системы Sj.
Дата добавления: 2015-11-14; просмотров: 46 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Сбор информации об ИТ-системах | | | Регистрация участков |