Информационные активы предприятия реферат

Обновлено: 03.07.2024

Классификация информационных активов (ИА) это важнейший процесс не только для обеспечения ИБ, но так же и построения управляемой ИТ-инфраструктуры всей компании. Классификация позволяет получить ключевые метрики для используемой информации - ценность, степень влияния на бизнес-процессы, требования к обеспечению т.д. От качества выполненной классификации во многом зависит то как будет защищаться и обрабатываться информация. Более того, многие нормативные стандарты требует проведения обязательной инвентаризации и классификации ИА. Однако, какой либо единой процедуры на этот счет не существует. В сегодняшнем материалы мы попытаемся систематизировать имеющийся опыт по методике классификации ИА, а так же рассмотрим общие подходы существующие на сегодняшний день

Если, вспомнить определения, приведенные в отраслевом стандарте Банка России СТО БР ИББС-1.0-2014, то там четко прописаны определения:

• Информационный актив - Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

• Классификация информационных активов - Разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.

Классификация – это схема, разделяющая информацию на категории, такие как: возможность мошенничества, конфиденциальность или критичность информации, с целью возможности применения соответствующих защитных мер

Классификация объектов защиты выполняется с целью обеспечения дифференцированного подхода к организации их защиты с учетом уровня критичности, характеризующего влияние на деятельность и репутацию организации, ее деловых партнеров, клиентов и работников

Классификация позволяет определить приоритетность и экономическую целесообразность проведения дальнейших мероприятий по обеспечению информационной безопасности объекта защиты

• ISO/IEC 27002:2005 Информационные технологии – Свод правил по управлению защитой информации

• ISO/IEC 20000-2 Информационные технологии – Управление услугами. Свод практик

Для проведения классификации ИА в соответствии с нормами действующего законодательства РФ определены следующие типы информации:

• открытая (общедоступная) информация;

• персональные данные (ПДн) ;

• информация, содержащая сведен ия, составляющие банковскую тайну (БТ), согласно федеральному закону , в том числе неплатежная информация;

• информация, содержащая сведения, составляющие коммерческую тайну (КТ)

По сути здесь все просто, классифицируем информацию, к примеру на четыре блока по степени нанесения ущерба в случае ее утечки - минимальный, средний, высокий и критический. Так, например, если неопределенному кругу лиц станет известно о том, кого сегодня директор принимает в своем кабинете это один вид ущерба (минимальный), другое дело если утекут условия и детали сделки по какому-либо крупному проекту (высокий или критический)

Здесь вся информация рассматривается с точки зрения обеспечения ее конфиденциальности, целостности и доступности. И так для каждого отдельного ИА проставляется требования отдельно по трем описанным позициям - высокий, средний, низкий. По совокупности так можно будет качественно оценить ИА, к примеру, критичной важности или базовой важности.

Для перехода к количественной оценке информационных активов необходимо ввести классы, отражающие как ценность ИА, так и уровень требований к защите ИА.

• Открытый (О) – ограничения на распространение и использование не накладываются, финансовый ущерб отсутствует;

• Для служебного использования (ДСП) – для использования внутри организации, финансовый ущерб отсутствует, возможно возникновения иных видов ущерба для организации или работников организации;

• Конфиденциальная (КТ)– для использования как внутри организации так и при обмене с клиентами и контрагентами, финансовый ущерб реален

В свою очередь Конфиденциальную информацию (КТ) можно условно разделить на несколько подкатегорий для градации по степени ценности:

• С ограниченным доступом (Д) – для использования определенным кругом работников организации, финансовый ущерб, к примеру до 1 млн. рублей;

• Секретный (С) – для использования только определенными членами руководящего состава организации, финансовый ущерб, к примеру, более 1 млн. рублей.

Независимо от характера самих информационных ресурсов, они обязательно обладают одной или несколькими из следующих характеристик:

• Они признаются ценными для организации.

• Их невозможно заменить без затрат средств, времени, иных ресурсов или их сочетания.

• Они существенно влияют на деятельность организации, без этих ре- сурсов возникает угроза для основной деятельности организации.

На данном этапе необходимо выявить ИА в любом виде (электронные документы, бумажные документы, флешки, информационный потоки и т.п.) циркулирующие между подразделениями в вашей организации, не углубляясь в документооборот внутри подразделений.

После этого собираете данные от подразделений, уточняете её и на основе этого строите большую схему, показывающую циркуляцию информации.

Этап 3. Начинаем привязывать ИА к инфраструктуре, где хранятся, по каким каналам передаются, в каких информационных системах содержатся и тд.

Тут уже берем один ИА и рисуем всю его среду обитания (чем подробнее, тем лучше, тк. потом будет проще выявлять угрозы. Т.е. пишем порты передачи, по каким каналам итд, думаю вам, как ИТшнику это будет проще всего).

Этап 4. Берем все, что наработали и повторно классифицируем (для окончательной ясности) ИА по характеристикам (К,Ц,Д).

Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера "Д" означает "доступность", "Ц" — "целостность"* "К" — "конфиденциальность", цифры возрастают с убыванием значимости критерия).

• Критическая — без нее работа субъекта останавливается (ДО).

• Очень важная — без нее можно работать, но очень короткое время (Д1).

• Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2)

• Полезная — без нее можно работать, но ее использование экономит ресурсы (ДЗ).

• Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).

• Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

• Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части; последствия модификации необратимы (ЦО)

• Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы (Ц1).

• Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы (Ц2).

• Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы (ЦЗ).

• Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

• Критическая — разглашение информации приведет к краху работы субъекта или к очень значительным материальным потерям (КО).

• Очень важная — разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).

• Важная — разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некоторые действия (К2).

• Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (КЗ).

• Малозначимая — может принести моральный ущерб в очень редких случаях (К4).

• Незначимая — не влияет на работу субъекта (К5).

Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Читайте также:

  
• Реферат на тему электросковороды
  
• Авторитет спортивного педагога реферат
  
• Развитие мировой культуры реферат
  
• Реферат по философии на тему развитие
  
• Реферат этические проблемы философии