18 октября, четверг 07:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Инвентаризация ресурсов

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Инвентаризация ресурсов

    Приветсвую!
    Необходимо провести инвентаризацию ресурсов (с последующим их категорированием).....подскажите,пожалуйста, с чего начать?

  • #2
    Начните с формулирования того, что есть такое "ресурс".

    Комментарий


    • #3
      Исходя из ИСО 27001 и СТО БР ИББС
      актив - все, что имеет ценность для организации.

      С определением понятий все более-менее ясно. Меня интересуют конкретные действия...что мне делать, каким образом выделить ресурсы? Насколько должны быть детализированы выделенные ресурсы?

      Комментарий


      • #4
        Так актив или ресурс?
        Насколько детализированы - смотря зачем.
        Если "для галочки", то, наверное, можно крупно, не заморачиваясь. Почта, сетевые диски, АБС, етц.
        Если "для себя" и "как положено", то это, думаю, от процессов идти надо. "Top-down approach", как говорят у нас в деревне.

        Комментарий


        • #5
          Давайте подробнее остановимся на вашей деревне.
          Как от процессов предполагается плясать?
          З.Ы. А может кто-нить выложить на обозрение методику по проведению инвентаризации информационных ресурсов? в частности интересны моменты классификация, категоризации...и оценки активов.

          з.ы.ы. в теории то все понятно, а вот на практике хотелось бы увидеть практические документы.

          Комментарий


          • #6
            Ну для примера (полностью придумываю из головы):
            Возьмите какой-нибудь процесс - "кредитование населения".
            Начинаем смотреть чего там и как.
            На простом детализации: в "кредитовании населения" участвует кредитный отдел, отдел приёма клиентов, отдел бухгалтерии.
            При этом кредитный отдел использует - информационную систему "Расчёт кредитов" и "Статистики кредитов", отдел приём клиентов - "Заведение кредитов" и "База данных физ. лиц", бухгалтерия - информационную систему "1П Супербухгалтерия".
            На следующем уровне детализации:
            ПО "Расчёт кредитов" - это сервер SERVER-KRED, с ОС Win2k3, c СУБД Oracle, БД "KredStat и клиентское ПО "РассКредт" установленное на 5 рабочих станциях в отделе кредитования с ОС WinXPProf. Причём работу всего этого поддерживают сервера DNS1, DNS2, AD1, AD1, куча комутационного оборудования с проводами, всё это обслуживают сотрудники отдела ИТ со своими рабочими станциями.
            Если необходимо - включаем сюда бумажную документацию.
            В итоге вырисовываются таблицы, где куча повторяющихся DNS, AD, свитчей и сотрудников ИТ отдела
            Последний раз редактировалось nremezov; 24.07.2008, 15:31.

            Комментарий


            • #7
              А может кто-нить выложить на обозрение методику по проведению инвентаризации информационных ресурсов? в частности интересны моменты классификация, категоризации...и оценки активов
              OCTAVE Method Implementation Guide Version 2.0
              http://webfile.ru/2111670
              Последний раз редактировалось barmalei; 24.07.2008, 17:51.

              Комментарий


              • #8
                Сообщение от sunny Посмотреть сообщение
                Так актив или ресурс?
                Насколько детализированы - смотря зачем.
                Если "для галочки", то, наверное, можно крупно, не заморачиваясь. Почта, сетевые диски, АБС, етц.
                Если "для себя" и "как положено", то это, думаю, от процессов идти надо. "Top-down approach", как говорят у нас в деревне.
                Процесс - конструкция логическая, образованная из физических элементов (эт если отбросить людей). Только занимаясь декомпозицией не упустить бы чего-нибудь. Строя здание - с крыши не начинают (частное мнение).

                Комментарий


                • #9
                  Идущий Спросите топ-менеджера: "В случае наступления катаклизмов типа наводнения или землетрясения или ещё чего-нибудь, что нам надо сохранить или восстановить как можно быстрее?"
                  Он Вам и ответит, что не СУБД, и не каналы связи, и не ОС, ПО, и не данные. А скажет он Вам: "надо сохранить операционный день".
                  Вот и думайте, где тут крыша, а где что.

                  Комментарий


                  • #10
                    Сообщение от sunny Посмотреть сообщение
                    Идущий Спросите топ-менеджера: "В случае наступления катаклизмов типа наводнения или землетрясения или ещё чего-нибудь, что нам надо сохранить или восстановить как можно быстрее?"
                    Он Вам и ответит, что не СУБД, и не каналы связи, и не ОС, ПО, и не данные. А скажет он Вам: "надо сохранить операционный день".
                    Вот и думайте, где тут крыша, а где что.
                    О, да "надо сохранить операционный день". И Вы пойдете его восстанавливать именно так, как предлагаете описать "от процесса".
                    Но только перед "походом" придется спросить:
                    1. По какому адресу
                    2. А есть ли там электричество
                    3. А кондиционер для сервера там есть, а то через 10 минут на серваке можно жарить яишницу
                    4. А СКС там водится?
                    5. А есть ли сам сервак - поднимать на чем-то это надо
                    6. А ИБП к серваку есть?
                    7. А коммутатор или хаб какой-нить будет?
                    8. А три-четыре РС там найдутся?

                    И Вы не будете спрашивать о столах, стульях, чайниках, телефонах и т.д. (сопутствующего сервиса), но при этом изначально подразумевается, что найдется хоть один независимый носитель с дампом (пусть и месячной давности, хоть и не хорошо).

                    Только очень сомневаюсь, что хоть один здравомыслящий топ-менеджер возьмется отвечать на этот вопрос сам, а не переадресует его к ИБ+ИТ (потому как подразумевается, что он действительно здравомыслящий).

                    Комментарий


                    • #11
                      А malotavr утверждал, что СМИБ - это и есть жизнь.

                      Комментарий


                      • #12
                        Сообщение от Идущий Посмотреть сообщение
                        О, да "надо сохранить операционный день". И Вы пойдете его восстанавливать именно так, как предлагаете описать "от процесса".
                        Но только перед "походом" придется спросить:
                        1. По какому адресу
                        2. А есть ли там электричество
                        3. А кондиционер для сервера там есть, а то через 10 минут на серваке можно жарить яишницу
                        4. А СКС там водится?
                        5. А есть ли сам сервак - поднимать на чем-то это надо
                        6. А ИБП к серваку есть?
                        7. А коммутатор или хаб какой-нить будет?
                        8. А три-четыре РС там найдутся?

                        И Вы не будете спрашивать о столах, стульях, чайниках, телефонах и т.д. (сопутствующего сервиса), но при этом изначально подразумевается, что найдется хоть один независимый носитель с дампом (пусть и месячной давности, хоть и не хорошо).

                        Только очень сомневаюсь, что хоть один здравомыслящий топ-менеджер возьмется отвечать на этот вопрос сам, а не переадресует его к ИБ+ИТ (потому как подразумевается, что он действительно здравомыслящий).
                        Брррр.... или у вас мысли скачуь, или я что-то не понял.

                        Вопросы 1-8 решаются в рамках BCP. Есть методологии BCP, и они как раз отталкиваются от процессов. При планировании непрерывности решается, какие функции нужно уметь восстанавливать, и что нужно, чтобы их восстановить удалось. А дальше уже задаются вопросы к соответствующим подразделениям: операционный департамент говорит сколько ему нужно рабочих мест, ИТ - сколько нужно серверов и электричества и т.п.

                        Так что для резервирования подход "от железа" просто не катит. Из того, что у вас АБС крутится на четырех серваках, вовсе не следует, что на рзервном сайте вам нужны такие же 4 сервера, и что на нем нужно поднимать все модули вашей АБС.

                        Комментарий


                        • #13
                          Сообщение от malotavr Посмотреть сообщение
                          Брррр.... или у вас мысли скачуь, или я что-то не понял.
                          Значит не умею выражать свои мысли.

                          Сообщение от malotavr Посмотреть сообщение
                          Вопросы 1-8 решаются в рамках BCP. Есть методологии BCP, и они как раз отталкиваются от процессов. При планировании непрерывности решается, какие функции нужно уметь восстанавливать, и что нужно, чтобы их восстановить удалось.
                          Ну если BCP так говорит, то зачем мне нужно знать что такое BCP. Я наивно полагал, что восстановлению подлежит весь утраченный комплекс, а при планировании непрерывности следует учитывать очередность восстановления бизнеспроцессов в порядке их значимости (единовременно ни у кого не получалось почему-то). И почему-то "непрерывность" у меня больше ассоциируется со словом "резервирование", а восстановление после катастроф(типа в наводнение молния остатки дожгла) как-то само по себе.
                          Но что бы планировать "какие функции нужно уметь восстанавливать", а какие функции нужно НЕ уметь восстанавливать или нужно уметь НЕ восстанавливать - для меня слишком сложно.

                          Сообщение от malotavr Посмотреть сообщение
                          А дальше уже задаются вопросы к соответствующим подразделениям: операционный департамент говорит сколько ему нужно рабочих мест, ИТ - сколько нужно серверов и электричества и т.п.
                          Это конечно значимо, но перебьются как-нибудь: будут работать на том что осталось(удалось восстановить/спасти).


                          Сообщение от malotavr Посмотреть сообщение
                          Так что для резервирования подход "от железа" просто не катит. Из того, что у вас АБС крутится на четырех серваках, вовсе не следует, что на рзервном сайте вам нужны такие же 4 сервера, и что на нем нужно поднимать все модули вашей АБС.
                          При восстановлении исходят не из того, что требуется для функционирования, а из того что осталось работоспособным. Как правило, заявленные 4 сервера гибнут - удалось бы из 4-х хоть половинку одного собрать.
                          Ну а непрерывность обеспечивается резервированием в разных видах.


                          Но это все мелочи. Я так и не понял - зачем все делить, дробить и отрывать от реальности создавая отдельные классификации, процедуры, документы и тд, которые простой пользователь (а с ним и топ-менеджер) и через 5 лет не поймет. Ведь все разработанные для этих целей документы (взять хотя бы "политику безопасности") утверждать должны как раз топы, а исполнять простые пользователи.

                          Комментарий


                          • #14
                            Идущий
                            Но только перед "походом" придется спросить
                            Не знаю, как Вам, а мне придётся не спросить, а, наоборот, всё это самостоятельно выяснить и дать предложения к утверждению. Топ-менеджер это сам делать не будет, у него другие задачи.
                            А без этого подхода "от процессов" как Вы собираетесь понять, что действительно необходимо восстановить в первую очередь и в каком объёме и качестве?

                            о столах, стульях, чайниках, телефонах и т.д. (сопутствующего сервиса), но при этом изначально подразумевается, что найдется хоть один независимый носитель с дампом
                            Это Вами изначально подразумевается, потому что Ваша деятельность связана в основном с ИТ. Но что Вы будете делать с этим дампом, если людям сидеть будет физически негде?

                            Комментарий


                            • #15
                              Сообщение от sunny Посмотреть сообщение
                              ИдущийНе знаю, как Вам, а мне придётся не спросить, а, наоборот, всё это самостоятельно выяснить и дать предложения к утверждению. Топ-менеджер это сам делать не будет, у него другие задачи.
                              Угу. Вы составите "план от процессов", топ Вам его молча подпишет - он, то в нем не разберется. А потом, когда Вам придется реализовывать указанный план - обязательно надо ссылаться, что вот это не восстанавливается, потому как в плане не указано. Топ Вас естественно поддержит и выдаст премию на "пряники".

                              Сообщение от sunny Посмотреть сообщение
                              А без этого подхода "от процессов" как Вы собираетесь понять, что действительно необходимо восстановить в первую очередь и в каком объёме и качестве?
                              Очень странная постановка вопроса. Если речь идет о БД, то мне очень хочется посмотреть на человека, который сможет/сумеет принять решение о "частичном восстановлении" БД. И как можно восстанавливать БД с параметрами "в каком объёме и качестве"? В любом банке первым будет восстанавливаться процесс управления корсчетом в ЦБ, потому как если сутки не обрабатывать платежи - на вторые отзовут лицензию. И я наивно полагаю, что у всех банков эта часть функционирует с полным резервированием всех компонентов, а также разработаны и проверены схемы бумажного документооборота с ЦБ - включая Вас.

                              Сообщение от sunny Посмотреть сообщение
                              Это Вами изначально подразумевается, потому что Ваша деятельность связана в основном с ИТ. Но что Вы будете делать с этим дампом, если людям сидеть будет физически негде?
                              Постоят - пока новые не купят, но корсчет не остановится. Или Вы предложите отправиться за стульями, а потом (только после их приобретения) приступать к восстановлению ИС.

                              Комментарий


                              • #16
                                Сообщение от Идущий Посмотреть сообщение
                                Очень странная постановка вопроса. Если речь идет о БД, то мне очень хочется посмотреть на человека, который сможет/сумеет принять решение о "частичном восстановлении" БД.
                                Постановка правильная, и ниже Вы её сами обосновываете (тезис об управлении коррсчётом). А полное восстановление базы СРАЗУ не всегда актуально - вряд ли для критичных бизнес-процессов понадобятся данные о проводках пятилетней давности.
                                Сообщение от Идущий Посмотреть сообщение
                                В любом банке первым будет восстанавливаться процесс управления корсчетом в ЦБ, потому как если сутки не обрабатывать платежи - на вторые отзовут лицензию.
                                Ещё за отчётность несвоевременно сданную бъют больно.
                                Причём если файл с реестром платежей клиентов можно и на отдельно стоящем компьютере набить, с помощью программы, предоставленной МЦИ, а потом на дискете туда отвезти, то отчётность сформировать - задача уже не тривиальная...
                                Помнится, ещё во время истерии по "проблеме 2000", когда ЦБ требовал наличия "аварийных планов", была создана рабочая группа, куда вошли в том числе и ключевые сотрудники бизнес-подразделений, а уже потом руководство утвердило последовательность восстановления "порушенного" процесса...

                                Комментарий


                                • #17
                                  Malotavr и Sunny, Вы действительно считаете, что инвентаризация, классификация, защита, обеспечение непрерывности функционирование, восстановление после сбоев и катастроф и т.д. должны рассматриваться каждый сам по себе, друг с другом не связаны и обязаны управляться(нормативные документы и рекомендации) множеством противоречащих друг другу документов.

                                  Комментарий


                                  • #18
                                    Идущий
                                    друг с другом не связаны
                                    обязаны управляться(нормативные документы и рекомендации) множеством противоречащих друг другу документов
                                    Откуда Вы сделали такие неожиданные выводы?

                                    Комментарий


                                    • #19
                                      Сообщение от SNAK Посмотреть сообщение
                                      Постановка правильная, и ниже Вы её сами обосновываете (тезис об управлении коррсчётом). А полное восстановление базы СРАЗУ не всегда актуально - вряд ли для критичных бизнес-процессов понадобятся данные о проводках пятилетней давности.
                                      Нет, не обосновываю, т.к. знаю, что есть для "отдельно стоящем компьютере набить, с помощью программы, предоставленной МЦИ" второй такой же, который будет функционировать. А нет - так достану треитий и разверну на нем, потому как система управления корсчетом автономна.
                                      АБС, для которой БД, - здесь не причем. Я говорю об очередности восстановления, а не "решается, какие функции нужно уметь восстанавливать".

                                      Комментарий


                                      • #20
                                        Сообщение от sunny Посмотреть сообщение
                                        ИдущийОткуда Вы сделали такие неожиданные выводы?
                                        Но если Вы пользуетесь с Malotavr-ом одними и теми же документами, то что вы друг с другу поясняете? Почему у Вас модели, подходы, классификации и т.д. разные? По "крупному" а не "мелочи"?
                                        Я не знаю кто такой BCP. Хотел изучить, но полагаю что это действие только навредит мне. От "процессов" я уже ходил - не рекомендую - рвется множество связей, не позволяет получить целостную картину, но есть достоинство - очень современно, проверяющие просто млеют от одних терминов, правда на третьей странице "башню срывает"(если до нее добираются).
                                        Полагаю, что не сумел оценить достоинства такого подхода.

                                        Комментарий


                                        • #21
                                          Тему увели в сторону непрерывности бизнеса.

                                          Комментарий


                                          • #22
                                            Идущий У нас с Малотавром разные подходы потому, что мы с ним разные люди Как Карл Маркс и Фридрих Энгельс - не муж и жена, а четыре разных человека. Главное, чтобы каждый подход не противоречил сам себе, не так ли?

                                            nremezov Да. Но тут настолько грамотные и тактичные модераторы, что мы с Вами не успеем заметить, как несовместимые темы будут разнесены по разным веткам

                                            Комментарий


                                            • #23
                                              Malotavr и Sunny, Вы действительно считаете, что инвентаризация, классификация, защита, обеспечение непрерывности функционирование, восстановление после сбоев и катастроф и т.д. должны рассматриваться каждый сам по себе, друг с другом не связаны и обязаны управляться(нормативные документы и рекомендации) множеством противоречащих друг другу документов.
                                              Из слов Malotavra и Sunny не следовали ваши доводы.
                                              Какой подход вы предлагаете и какие задачи планируете решать?

                                              Комментарий


                                              • #24
                                                Сообщение от Идущий Посмотреть сообщение
                                                Ну если BCP так говорит, то зачем мне нужно знать что такое BCP. Я наивно полагал, что восстановлению подлежит весь утраченный комплекс, а при планировании непрерывности следует учитывать очередность восстановления бизнеспроцессов в порядке их значимости (единовременно ни у кого не получалось почему-то).
                                                Ну вот видите, много нового узнаете. Нет, не весь комплекс (для этого нужно на резервном сайте продублировать все расурсы в горячем резерве, а это слишком дорого), а ровно то, что нужно организации для работы в "аварийном" режиме. Причем что именно должно работать, без чего можно обойтись и как долго может длиться аварийный режим опеделяет бизнес. Например, в аварийном режиме можно обойтись без HRовских систем, без части бухгалтерии, без электронного документоборота, без корпоративной электронной почты. Эти системы можно относительно спокойно восстанавливать в течение нескольких дней - например, закупая новое железо взамен сгоревшего при пожаре. Системы управления банкоматами, клиент-банк, ядро АБС ждать не могут - их нужно дублировать на резервном сайте. Причем резервные сервера не обязательно должны быть такими же мощными, как основные, а резервные каналы - меньшую пропускную способность. - если операционный день будет закрываться не пять часов, а восемь, ничего страшного не произойдет.

                                                Сообщение от Идущий Посмотреть сообщение
                                                И почему-то "непрерывность" у меня больше ассоциируется со словом "резервирование", а восстановление после катастроф(типа в наводнение молния остатки дожгла) как-то само по себе. Но что бы планировать "какие функции нужно уметь восстанавливать", а какие функции нужно НЕ уметь восстанавливать или нужно уметь НЕ восстанавливать - для меня слишком сложно.
                                                Точнее, какие системы нужно восстановить мгновенно, а какие - в течение одного-двух дней.

                                                Возможно, перед вами просто не ставят таких задач. Пока вам достаточно "плясать от железа". Но если поставят задачу по обеспечению непрерывности бизнеса, методику придется менять.


                                                Сообщение от Идущий Посмотреть сообщение
                                                Это конечно значимо, но перебьются как-нибудь: будут работать на том что осталось(удалось восстановить/спасти).

                                                ]При восстановлении исходят не из того, что требуется для функционирования, а из того что осталось работоспособным. Как правило, заявленные 4 сервера гибнут - удалось бы из 4-х хоть половинку одного собрать.
                                                Ну а непрерывность обеспечивается резервированием в разных видах.
                                                При таком подходе в случае серьезного инцидента мне и ИТ-директору пришлось бы искать новую работу

                                                Восстановление - это часть процесса disaster recovery, который в свою очередь является частью процесса business continuity. Если вы опасаетесь масштабных сбоев, вы должны быть готовыми к ним. Для этого нужно понимать, что вы можете потерять, c потерей чего бизнес готов временно смириться и с потерей чего он мириться не будет. Для этих двух категорий применяются разные стратегии восстановления и резервирования. Дублировать систему полностью вам вряд ли позволят.

                                                Сообщение от Идущий Посмотреть сообщение
                                                Но это все мелочи. Я так и не понял - зачем все делить, дробить и отрывать от реальности создавая отдельные классификации, процедуры, документы и тд, которые простой пользователь (а с ним и топ-менеджер) и через 5 лет не поймет. Ведь все разработанные для этих целей документы (взять хотя бы "политику безопасности") утверждать должны как раз топы, а исполнять простые пользователи.
                                                Вы приходите к топу и говорите - нам нужно потратить лимон долларов на резервирование каналов связи. Первое что он спросит - почему столько? На этот вопрос нужно уметь убедительно отвечать. Для того, чтобы ответ был убедительным, нужны рассчеты и понятные топу принципы, из которых вы при этих рассчетах исходите. Остальное - детали.

                                                Комментарий


                                                • #25
                                                  Сообщение от barmalei Посмотреть сообщение
                                                  Из слов Malotavra и Sunny не следовали ваши доводы.
                                                  Какой подход вы предлагаете и какие задачи планируете решать?
                                                  Задача одна - организация ИБ в банке как стиль жизни всех сотрудников. Потому как решают ее все без исключения, начиная с дворника.
                                                  Отсюда выработка подхода и выяснение вопросов "что такое информационный актив" и так, что бы не пришлось людям учить это наизусть - определение должно быть ясным и коротким.
                                                  Почему с этой точки - это "введение единой понятийной базы", иначе никода не договриться.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от malotavr Посмотреть сообщение
                                                    Вы приходите к топу и говорите - нам нужно потратить лимон долларов на резервирование каналов связи. Первое что он спросит - почему столько? На этот вопрос нужно уметь убедительно отвечать. Для того, чтобы ответ был убедительным, нужны рассчеты и понятные топу принципы, из которых вы при этих рассчетах исходите. Остальное - детали.
                                                    Только расчет потерь должны предоставить не Вы, как безопасник, а кто-нить из риск-менеджеров (не безопасник). А что бы эти люди могли посчитать - они должны понимать, что цифры для расчета берутся из баланса (стоимость оборудования, з/п, доходы и т.д.). А вашему расчету (даже супер правильному) верить не обязательно - т.к. не Ваша задача делать экономические расчеты.
                                                    Да, совсем забыл умолчание: сумма затрат не должна во много раз превышать потери.
                                                    Последний раз редактировалось Идущий; 25.07.2008, 13:16.

                                                    Комментарий


                                                    • #27
                                                      Да, совсем забыл умолчание: сумма затрат не должна во много раз превышать потери.
                                                      Сумма затрат должна быть меньше потерь, иначе смысл в затратах?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от barmalei Посмотреть сообщение
                                                        Сумма затрат должна быть меньше потерь, иначе смысл в затратах?
                                                        Кто будет спорить из-за двух рублей - если формально.
                                                        А реальные потери просчитать не удастся - типа репутация и т.д.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от sunny Посмотреть сообщение
                                                          Начните с формулирования того, что есть такое "ресурс".
                                                          Ваау!
                                                          Тема плавно перешла в филосовские дебаты в сфере высшего пилотажа. Всё это конечно очень интересно, но...

                                                          nremezov, спс за пример. В итоге мы учли всё "железо", ПО, персонал участвующие в процессе. И так же остается определить ценность активов (с точки зрения их критичности для бизнес-процесса)и можно задать для каждой железки категорию в зависимости от ценности активов и решаемыех на ней задач. и соответственно применять, подходящий уровень защиты.

                                                          barmalei, а практических действующих документов методик, шаблов (конечно обезличенных)?

                                                          Комментарий


                                                          • #30
                                                            Тема плавно перешла в филосовские дебаты в сфере высшего пилотажа
                                                            При чём здесь высший пилотаж и философия? Это просто уточняющий вопрос - я хотел узнать, что же именно хочет инвентаризировать автор. По ответу (про актив) понял, что коллега Chydo не заморачивается по поводу определений и инвентаризировать надо нечто интуитивно-понятное. Отсюда и предположил, что это нужно, вероятно, "для галочки", что и написал в следующем сообщении.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X