(343)286-12-03
Новости
Статьи
Управление информационной безопасностью. Классификация ИТ-активов
Дата: 18.12.2017

Классификация ИТ-активов является одним из основных процессов управления ИБ, но многие организации продолжают уделять ему недостаточное внимание. Для исправления данной ситуации необходимо выстроить эффективный процесс идентификации и оценки важности активов.

Классификация ИТ-активов может проводиться следующим образом:

1. Идентификация сетевых узлов корпоративных информационных систем является важным первым шагом в классификации ИТ-активов. Идентификация ИТ-активов осуществляется с использованием систем инвентаризации и/или сканеров уязвимостей (например, MaxPatrol, RedCheck или др.). Все идентифицированные ИТ-активы относятся к одному из следующих типов: информационные активы, технические средства, программное обеспечение.

2. На следующем этапе осуществляется определение владельцев ИТ-активов. Это необходимо как для согласования и утверждения результатов оценки критичности ИТ-активов компетентными в этом вопросе работниками организации, так и для контроля доступа к ним.

3. Оценка критичности и классификация ИТ-активов. Для всех идентифицированных ИТ-активов определяется уровень их критичности, который характеризуется различной степенью тяжести возможных последствий нарушения ИБ.

Степень тяжести возможных последствий в случае нарушения ИБ ИТ-активов / уровень критичности ИТ-активов может быть определен по трехуровневой качественной шкале тяжести последствий/критичности:

– максимальный уровень;

– средний уровень;

– минимальный уровень.

Пороговые значения тяжести последствий / критичности для каждого уровня определяются экспертным путем.

Нарушение свойства информационных активов считается критичным в случае, если это приводит к наступлению негативных последствий для организации в результате нарушений хотя бы по одному из следующих направлений:

- требований государственных нормативных правовых актов;

- требований контрактных обязательств;

- бизнес-требований по ИБ;

- требований непрерывности деятельности организации.

Степень тяжести возможных последствий нарушения ИБ программного обеспечения определяется исходя из стоимости его восстановления или замены.

Степень тяжести последствий нарушения ИБ технических средств определяется исходя из стоимости их ремонта или замены.

Исходя из полученного уровня критичности ИТ-активов относят к одной из групп:

– ИТ-активы максимального уровня критичности;

– ИТ-активы среднего уровня критичности;

– ИТ-активы минимального уровня критичности.

При планировании реализации защитных мер в отношении ИТ-активов с учетом результатов оценки рисков ИБ первоочередное внимание уделяется активам максимального уровня критичности.

4. Повтор классификации ИТ-активов. Важно отметить, что при классификации ИТ-активов должен быть применен процессный подход, а сама классификация должна регулярно повторяться. Так должно происходить потому, что бизнес-процессы не являются статичными, функционал ИТ-активов и требования по ИБ будут меняться со временем. Также со временем может измениться и владелец ИТ-актива. Кроме того, в связи с развитием корпоративных информационных систем ИТ-активы могут выводиться из эксплуатации.

В дальнейшем информация, полученная в результате идентификации и классификации ИТ-активов с помощью Security GRC систем, например, в ePlat4m Security GRC, может использоваться в системах управления корпоративными рисками, DLP-системах и т.п. Эффективно проведенная идентификация и классификация ИТ-активов служит важной составляющей в правильном выборе мер по их защите, надежном управлении уязвимостями и реагировании на инциденты ИБ.