Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто — СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.
Но классификация информация — это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы — СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос «как идентифицировать активы» до сих пор нет. Или точнее не было.
В конце июня NIST вновь порадовал очередным документом — «Specification for Asset Identification 1.1» (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:
- персона
- организация
- система
- программное обеспечение
- база данных
- сеть
- сервис
- данные
- вычислительное устройство
- Web-сайт
- линия связи.
Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).
Ещё бы какой-нибудь хороший документ на родном языке…
Практично это ровно до того момента, пока ты занят идентификацией активов и не перешел к анализу рисков — там и выясняется, что объекты без общего знаменателя или наплывающие друг на друга не так хороши.
Алексей, спасибо за документ.
Только вот основная его цель — это стандартизировать документирование активов, обеспечить обмен базами активов (например между средством инвентаризации активов и системой управления активами).
Хотелось бы методики — как именно идентифицировать активы и в каком порядке? Cначала определить критические классы активов и их подробно идентифицировать или наоборот сначала все активы идентифицировать а потом определить классы?
Ригелю: В блоге отпишись "как надо". А то критиковать все мастера 😉
Про активы кратко описано в ИСО/МЭК 13335-3, более подробно в стандарте ISO 27005, правда в этих документах инфа не формализована.
Мне кажеться намного сложнее не идентифицировать, а оценить активы (хотя бы качественно), а еще сложнее оценить активы с учетом их взаимосвязей.
Может Алексей Вы подскажите какой нибудь документ по этому вопросу.
Очень важная тема!
Полная идентификация и оценка активов невозможна! Это тоже нужно понимать. Думаю идентификацию нужно начинать исходя из целей ведения конкретного бизнеса(о чем Алексей уже намекал в том году).
Идентификация активов затруднительна не только потому что нет документов методик и т.п. Но и потому что архитектор системы часто сам не представляет какие есть активы в используемых технологиях. Они как правило не документированы на уровне, позволяющем их идентифицировать.
Это огромная проблема в области ИБ — когда из массы информационных потоков защищаются несколько только потому, что остальные или неизвестны разработчикам СрЗИ или "скрыты" или замалчиваются!
Дополнительно возникает проблема — как реагировать на изменения активов! Уши красные от Утечек, но идентифицировав все активы и защитив все потоки мы соберем СЗИ для текущего состояния системы. Что делаем в случае изменения …
в Стандарте ИБ БС, в методике оценки соответствия есть отдельные показатели по классификации активов, при этом методики классификации в Стандарте нет. странно получается тогда, невозможно получить высший уровень защищенности.