Как идентифицировать активы?

Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится бюджету в миллиарды долларов и эта цифра растет год за годом. Не думаю, что в России кто-нибудь осмечивал данный этап, но могу предположить, что речь идет (если классификация реализуется на практике) о миллионах или десятках миллионов рублей. А уж затраты на избыточную безопасность по причине ненужного повышения класса и вовсе не поддаются подсчету.

Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто — СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.

Но классификация информация — это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы — СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос «как идентифицировать активы» до сих пор нет. Или точнее не было.

В конце июня NIST вновь порадовал очередным документом — «Specification for Asset Identification 1.1» (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:

  • персона
  • организация
  • система
  • программное обеспечение
  • база данных
  • сеть
  • сервис
  • данные
  • вычислительное устройство
  • Web-сайт
  • линия связи.

Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Алексей

    Ещё бы какой-нибудь хороший документ на родном языке…

    Ответить
  2. Ригель

    Практично это ровно до того момента, пока ты занят идентификацией активов и не перешел к анализу рисков — там и выясняется, что объекты без общего знаменателя или наплывающие друг на друга не так хороши.

    Ответить
  3. Сергей Борисов

    Алексей, спасибо за документ.

    Только вот основная его цель — это стандартизировать документирование активов, обеспечить обмен базами активов (например между средством инвентаризации активов и системой управления активами).

    Хотелось бы методики — как именно идентифицировать активы и в каком порядке? Cначала определить критические классы активов и их подробно идентифицировать или наоборот сначала все активы идентифицировать а потом определить классы?

    Ответить
  4. Алексей Лукацкий

    Ригелю: В блоге отпишись "как надо". А то критиковать все мастера 😉

    Ответить
  5. Гаврилин Алексей

    Про активы кратко описано в ИСО/МЭК 13335-3, более подробно в стандарте ISO 27005, правда в этих документах инфа не формализована.
    Мне кажеться намного сложнее не идентифицировать, а оценить активы (хотя бы качественно), а еще сложнее оценить активы с учетом их взаимосвязей.
    Может Алексей Вы подскажите какой нибудь документ по этому вопросу.

    Ответить
  6. Анонимный

    Очень важная тема!
    Полная идентификация и оценка активов невозможна! Это тоже нужно понимать. Думаю идентификацию нужно начинать исходя из целей ведения конкретного бизнеса(о чем Алексей уже намекал в том году).
    Идентификация активов затруднительна не только потому что нет документов методик и т.п. Но и потому что архитектор системы часто сам не представляет какие есть активы в используемых технологиях. Они как правило не документированы на уровне, позволяющем их идентифицировать.
    Это огромная проблема в области ИБ — когда из массы информационных потоков защищаются несколько только потому, что остальные или неизвестны разработчикам СрЗИ или "скрыты" или замалчиваются!
    Дополнительно возникает проблема — как реагировать на изменения активов! Уши красные от Утечек, но идентифицировав все активы и защитив все потоки мы соберем СЗИ для текущего состояния системы. Что делаем в случае изменения …

    Ответить
  7. Анонимный

    в Стандарте ИБ БС, в методике оценки соответствия есть отдельные показатели по классификации активов, при этом методики классификации в Стандарте нет. странно получается тогда, невозможно получить высший уровень защищенности.

    Ответить