Идентификация и оценка информационных активов

Общие положения 1. Настоящая Методика проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности далее — Методика разработана в соответствии с подпунктом 26 статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" далее — Закон. Настоящая Методика предназначена для проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.

Все мероприятия Классификация информационных активов Построение системы информационной безопасности как целостного решения или внедрение отдельных ее частей, направленных на работу с одной или несколькими угрозами информационной безопасности, должно всегда начинаться с самого главного с понимания ценности той информации, защищать которую признана система. Классификация информационных активов, это возможность понять: с какой информацией мы имеем дело; где она находится, хранится, модифицируется; кто имеет доступ к информации и как с ней работает; какую ценность эта информация для нас представляет; сколько вы готовы инвестировать, чтобы защитить эту информацию. Все эти знания важны как оценка возможностей и потребностей в системах информационной безопасности, их уровня и полноты. Классификация информационных активов позволяет получить: разделение информации по классам, согласно выбранной методике; представление для формирования правил работы с информацией; основу для управления активами и развития системы информационной безопасности компании.

Вы точно человек?

Идентификация и оценка активов Методика оценки рисков информационной безопасности Введение Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании. Более того, информация, зачастую, сама является исходным сырьем или результатом производства — товаром, предлагаемым конечному потребителю.

С данной позиции информация становится активом компании, который нуждается, в каком то измерении, учете и выражении в общепринятых количественных показателях. В отличие от других фундаментальных ресурсов, теоретическому и практическому рассмотрению которых уделено много научных работ, информационные активы это своего рода феномен современного общества.

Поэтому столь долгое время отсутствовали инструменты их оценки и учета. А, тем временем, информационные активы — это тоже поддающийся измерению результат деятельности компании за определённый период времени. Применяя достижения в области информационных технологий и опыт бухгалтерского учета, автор попытается изложить новую точку зрения на следующие вопросы: Насколько же ценен информационный актив для собственника?

Какой ущерб может понести компания в случае его компрометации? Каким образом выразить ценность информации в общепринятых количественных параметрах денежном выражении? Информация как самостоятельный актив В независимости от форм собственности и вида деятельности учреждения информация является основой для принятия важнейших управленческих решений, например, определения стратегии поведения на рынке, планов дальнейшего развития, инвестирования в проект, заключений сделок.

Одним из основных поставщиком такой информации для руководства компании является бухгалтерия. Главная проблема заключается в том, что, как правило, в итоговом балансе основное внимание уделяется материальным составляющим — имуществу, оборотным активам, обязательствам, дебиторской и кредиторской задолженности, и мало внимания уделяется нематериальным активам.

А, тем временем, информация может являться едва ли не самым ценным фактором, приносящим прибыль. Проиллюстрировать подобную ситуацию можно на примере брокерского обслуживания, оказывающего услуги по управлению ценными бумагами на международных биржах.

Любая информация, даже неправдоподобные слухи, мгновенно могут изменить картину происходящего на рынке. Что говорить, если, к примеру, произойдет утечка информации о заключении сделки или судебном разбирательстве, просочится инсайдерская информация о новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят.

Или компании разработчики программного обеспечения, для которых информация это одновременно и рабочий материал и итоговый продукт. Новые технологии, инновационные идеи, производственные ноу-хау, исходный код программного продукта, — это все информация, и ее использование как ресурса значительно влияет на итоговые результаты деятельности.

Следовательно, информация перестает быть просто сведениями, она становится ценным информационным активом компании. И для защиты интересов собственника такой информации существует федеральный закон от Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий.

Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. И, соответственно, конечная стоимость информационных активов тоже будет формироваться суммарной стоимостью всех составляющих описанных выше. И, раз есть информационные активы, необходимо иметь механизмы по оценке и учёту такого рода активов.

Из-за специфичности эта функцию часто перекладывают на службу информационной безопасности, где процесс учета и оценки является составной частью риск-менеджмента, хотя данный вопрос уже давно выходит за рамки одной лишь службы. Проблемы оценки стоимости информационных активов Информационные активы являются нематериальными и, поэтому, первой из проблем является их формирование как объекта.

Выделение именно ценных и полезных в коммерческом плане сведений из всего массива информации вовлеченной в бизнес-процессы компании. Качество и достоверность полученных результатов напрямую зависит от компетентности и профессионального опыта комиссии.

Общий перечень возможных конфиденциальных сведений представлен в приложении N. Однако, формируя такой перечень, необходимо помнить о том, что не все сведения могут защищаться в режиме коммерческой тайны.

Другой, более сложной и глобальной проблемой, является определение ценности информационного актива и объективное выражение его в общепринятом количественном показателе — денежном выражении. Задача является слабо формализуемой, поэтому все значения, полученные в результате оценки будут приближенными.

Только собственник информационного актива или другое лицо, извлекающего с его помощью прибыль, может объективно выразить его денежную стоимость. Для определения стоимости актива применяются различные методы. Самый простой — это определение стоимости путем расчета трудозатрат на единицу полученной ценной информации. К примеру, произведение среднечасовой ставки сотрудника на затраченное им время для получении этих сведений.

Однако такой метод не позволяет оценивать уже имеющиеся активы или активы, полученные иным путем. Как определились считать ранее, информационный актив — это не просто ценные сведения, его нужно рассматривать как неотделимую совокупность вышеуказанных элементов. Поэтому, более прогрессивный подход предполагает комбинированную оценку стоимости путем учета многих факторов, среди которых, например, стоимость получения информации, ее обработки и хранения с использованием вычислительной техники, человеческие трудозатраты.

Еще одной проблемой является то, что, по сравнению другими объектами, например, основными средствами организации, информационные активы являются очень динамической структурой, срок полезного использования которых, в виду быстрой потери актуальности информации, крайне неопределенный и стоимость которых также может значительно меняться в очень короткие промежутки времени.

Это требует их периодической переоценки. Причем оценка по резервному значению, которая берется на начало и конец года не отражает реальной картины, эффективным вариантом признан метод оценка исходя из среднего значения по всем дням в течении отчетного года. В виду своей специфичности обладание ценными сведениями также не всегда ведет к прямому росту прибыли, к примеру, большое значение может иметь имиджевое положение компании англ.

В данном случае, упрощая, можно сказать, что порой неоправданные с экономической точки зрения действия дают определенные выгоды компании. Это, к примеру, больше всего распространено среди азиатских стран, где дань уважения и сохранения традиций имеет гораздо больший смысл, чем сугубо экономические преимущества. Такой имиджевый показатель как рейтинг очень сложно измерить и выразить его стоимость в денежном эквиваленте.

Однако в определенный момент именно эти критерии могут оказать существенное влияние в пользу увеличения статуса компании, совершения крупной сделки с компанией-партнером и т. Методика оценки стоимости Первоначальным этапом необходимо сформировать информационные активы как объект учета и оценки. Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям: человеческие ресурсы; информационные активы открытая и конфиденциальная информация ; программные ресурсы программные продукты, базы данных, корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение ; физические ресурсы сервера, рабочие станции, сетевое и телекоммуникационное оборудование, в том силе мобильные устройства ; сервисные ресурсы электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.

Далее экспертная комиссия, сформированная по приказу директора и состоящая из узкоквалифицированых специалистов — экспертов, проводит детальную категоризацию имеющейся корпоративной информации, то есть выделение защищаемой информации из всего объема информационных активов, а далее из категории защищаемых информационных активов — выделение конкретно ценой конфиденциальной информации см.

Категоризация заключается в определении уровня ценности информации, его критичности. Под критичностью понимается степень влияния информации на эффективность функционирования хозяйственных процессов компании. Например, определение ценности информации по вышеназванным параметрам может быть отражено в таблице 1, где сумма баллов, расположенных на пересечении столбцов и строк таблицы, указывает на ценность информации в целом для организации, включающей в себя вид информации с точки зрения ограниченности доступа к ней и критичность информации для компании.

Таблица 1. Систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы. Достижение заданных целей осуществляется в ходе решения следующих задач: ввода в систему терминов информационной безопасности; классификации информационных ресурсов предприятия; определения владельцев процессов, ответственных за информационную безопасность; разработки спектра рисков информационной безопасности и проведения их экспертных оценок; определения группы доступа к информационным ресурсам; разработки системы управления рисками информационной безопасности методы и их оценка ; составления перечней административных и технических мероприятий для минимизации и компенсации рисков; осуществления мероприятий информационной безопасности и периодического контроля за состоянием рисков; обеспечения физической безопасности и безопасности персонала; разработки требований к информационной системе с точки зрения информационной безопасности; контроллинга информационной безопасности на предприятии.

Разработка методики классификации объектов защиты в корпоративных информационных системах Организационно-функциональная структура предприятия. В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия.

Схема должна носить целостный характер. В организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений. Анализ рисков информационной безопасности. Положения действующей нормативной базы в области информационной безопасности международные стандарты, ГОСТы требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, где риск — комбинация вероятности события и его последствий.

Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя тыс. Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией. Совместное решение Ваших задач! Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

Классификация информационных активов: Разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ. Для проведения классификации ИА в соответствии с нормами действующего законодательства РФ определены следующие типы информации: -открытая общедоступная информация ОД согласно федеральному закону [4]; -персональные данные ПДн [2]; -информация, содержащая сведения, составляющие банковскую тайну БТ , согласно федеральному закону [4], в том числе неплатежная информация; -информация, содержащая сведения, составляющие коммерческую тайну КТ , согласно федеральному закону [5] и перечню КТ, принятому в организации может быть определена как БТ.

Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов 7. Статьи и публикации Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками в соответствии с выбранной методологией , критерии управления рисками включая критерии оценки ущерба, оценки рисков и принятия рисков , функциональные роли по оценке рисков.

Составляющие В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.

На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Впоследствии область оценки рисков должна охватить всю организацию в целом по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью - СУИБ.

Идентификация активов На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков. Начнем с идентификации информационных активов. Полезное видео: Вы точно человек? Введение Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании.

Анализ информационной безопасности предприятия Поделиться в соц. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.

Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена.

Идентификация и оценка информационных активов Конфиденциальная информация документы компании, электронные сообщения. Оценка стоимости информационных активов В рамках процедуры идентификации информационных активов осуществляется: идентификация источников информации; определение лиц, ответственных за управление информационными активами владельцев информационных активов ; выявление дубликатов информационных активов; выявление факторов, препятствующих получению информационных активов; формализация правил хранения информационных активов.

В рамках процедуры оценки стоимости информационных активов осуществляется: оценка критичности информационных активов в случае нарушения его доступности; оценка критичности информационных активов в случае их уничтожения или потери; оценка изменения ценности информационных активов на различных этапах жизненного цикла.

В рамках процедуры классификации информационных активов осуществляется: классификация информационных активов по периоду их использования краткосрочные, среднесрочные, долгосрочные ; классификация информационных активов по требования обеспечения информационной безопасности; классификация информационных активов по уровню представления уровень организации, уровень бизнес-функции, уровень ИТ-услуги.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты: полнота описания процесса и составляющих его процедур: высокая; полнота используемой терминологии: высокая; однозначность используемого классификационного признака: недостаточная не определены пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов ; однозначность выделенных классов объектов защиты: недостаточная не выделены классы информационных ресурсов по требованиям информационной безопасности ; гибкость подхода: недостаточная не допускается актуализация выделенных классов по некоторым признакам ; простота реализации процесса: низкая классификация осуществляется по большому числу признаков, при этом не описан порядок определения.

Размер потенциального ущерба оценивается отдельно по трем основным аспектам информационной безопасности конфиденциальность, целостность, доступность с последующим расчетом интегральной оценки.

Размер ущерба оценивается по трехуровневой шкале: высокий - потеря свойств ИБ информационных активов оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал; умеренный - потеря свойств ИБ информационных активов оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал; низкий - потеря свойств ИБ информационных активов оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.

Для каждого уровня определены виды информации, вероятно относящиеся к нему. Организационно-функциональная структура предприятия. В компании работают более инженеров, консультантов, аналитиков. Высокую квалификацию специалистов подтверждают более сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Определение активов при внедрении и сертификации СМИБ в авторской редакции Корректное формулирование требований информационной безопасности ИБ невозможно без предварительной оценки рисков.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Риски - идентификация и качественный анализ

Приведено содержание реестра информационных активов, дан пример реестра. в подборки: Всего оценок: 0, Средняя оценка: Всего отзывов: 0. Оценка рисков информационной безопасности · Идентификация активов. Активы Надлежащее управление и учет активов должны являться одной из.

Анализ рисков Анализ рисков, который на самом деле представляет собой инструмент для управления рисками, является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер. Анализ рисков имеет четыре основные цели: Идентификация активов и их ценности для компании Идентификация угроз и уязвимостей Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать потенциальный годовой ущерб. Также, анализ рисков позволяет связать программу безопасности с целями и требованиями бизнеса компании, что крайне важно для успеха и в том, и в другом. Перед началом работы по выявлению и анализу рисков важно понять цель данной работы, ее объем и ожидаемый результат. Следует учитывать, что попытка проанализировать все риски во всех областях за один раз может оказаться невыполнимой. Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов. Высшее руководство должно проанализировать этот отчет и определить сферу деятельности для IRM-проекта объем работы , исключив из него те активы, которые не важны на данном этапе. При определении объема работ следует также учитывать бюджет проекта, а также требования законодательства.

Идентификация и оценка активов Методика оценки рисков информационной безопасности Введение Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании.

Организационно-функциональная структура предприятия. В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия.

Идентификация и оценка активов

Общий пример представления программной архитектуры Положения действующей нормативной базы в области информационной безопасности международные стандарты, ГОСТы требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск — комбинация вероятности события и его последствий. Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя тыс. Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации. Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией. Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.

Анализ рисков информационной безопасности

Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков. Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива. Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности.

.

.

Идентификация активов и описание процессов обработки информации

.

Совместное решение Ваших задач!

.

Совместное решение Ваших задач!

.

Оценка рисков нарушения информационной безопасности

.

1.1.2. Организационно-функциональная структура предприятия.

.

.

ВИДЕО ПО ТЕМЕ: Методы управления рисками информационной безопасности в информационных сетях
Похожие публикации