Основные активы информационной системы предприятия. Информационные активы организации


Идентификация и оценка информационных активов.

 

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

 

1) Определить ценность этих активов

2) Определить перечень угроз и вероятность их реализации

3) Произвести оценивание и ранжирование рисков

 

 

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.

 

 

Типы активов ООО «Торговый Дом ЛФЗ»:

 

· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)

· Документы (договора, контракты, служебные записки)

· Программное обеспечение, включая прикладные программы

· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

 

ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

 

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

 

 

Таблица 1.2.1.1

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм.) Качественная
Информационные активы
База данных бухгалтерии Электронная Бухгалтерия Степень важности - Имеющая критическое значение
База данных поставщиков Электронная Директор Степень важности - Имеющая критическое значение
Персональные данные о сотрудниках Электронная Кадровый отдел Степень важности - Высокая
Штатное расписание и кадровый учет   Бумажный документ, электронный документ Кадровый отдел стоимость обновления или воссоздания - критически высокая

 

 

 

Продолжение Таблицы 1.2.1.1

 

Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм.) Качественная
Активы аппаратных средств
Принтеры Материальный объект IT-отдел Первоначальная стоимость - Малая
Оборудование для обеспечения связи Материальный объект IT-отдел Первоначальная стоимость - Средняя
Сервер баз данных Материальный объект IT-отдел Первоначальная стоимость - Имеющая критическое значение
Почтовый сервер Материальный объект IT-отдел Первоначальная стоимость - Имеющая критическое значение
Персональный компьютер Материальный объект Консультанты, товароведы, администрация. Первоначальная стоимость - Средняя
База данных заказав (MySQL) Материальный объект IT-отдел Первоначальная стоимость   Высокая
           

 

 

Продолжение Таблицы 1.2.1.1

Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм.) Качественная
Активы программного обеспечения
Учетная Система Электронная Дирекция технического сопровождения Обновление и воссоздание - Высокое
Программы целевого назначения Электронная Дирекция программного сопровождения и разработки Обновление и воссоздание - Высокое
Windows 7 Ultimate Электронная Дирекция технического сопровождения Первоначальная стоимость - Малая
MS Office 2010 Электронная Дирекция технического сопровождения Первоначальная стоимость - Малая

 

 

Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

 

Таблица 1.2.1.3

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»

Наименование актива Ценность актива (ранг)
База данных бухгалтерии
Почтовый сервер
База данных поставщиков
Персональные данные о сотрудниках
Кадровый учет
Учетная Система
База данных заказов (MySQL)
Программы целевого назначения
Windows 7 Ultimate
MS Office 2010
Принтеры
Оборудование для обеспечения связи

 

 

 

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

 

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

8. Windows 7.

 

 

 

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

 

Таблица 1.2.1.2

Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ, реквизиты, №№ статей
1. Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа Информация ограниченного доступа
2. Требования по обеспечению сохранения служебной тайны сотрудниками предприятия Информация ограниченного доступа ст. 139, 857 ГК РФ
3. Персональные данные сотрудников Информация ограниченного доступа; подлежат разглашению с согласия сотрудника Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ
4. Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам). подлежит разглашению только по решению предприятия Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

 

 

 

Оценка уязвимостей активов.

 

Уязвимость информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

 

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

Результаты оценки уязвимости активов представлены в таблице 3.

 

Группа уязвимостей   Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон Средняя Средняя   Средняя Средняя      
Нестабильная работа электросети     Средняя Низкая Низкая Низкая    
2. Аппаратное обеспечение
Отсутствие схем периодической замены     Средняя Средняя Средняя Средняя    
Подверженности воздействию влаги, пыли, загрязнения     Высокая Высокая Высокая Средняя    
Отсутствие контроля за эффективным изменением конфигурации     Средняя Низкая Низкая      
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения             Высокая Высокая
Сложный пользовательский интерфейс             Средняя Средняя
Плохое управление паролями     Среднее Среднее Среднее   Высокая Высокая

 

 

Группа уязвимостей   Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя     Средняя Низкая Средняя   Высокая Высокая
Незащищенные подключения к сетям общего пользования     Средняя Средняя Средняя   Средняя Средняя
Отсутствие идентификации и аутентификации отправителя и получателя     Средняя Низкая Средняя   Высокая Высокая
5. Документы (документооборот)
Хранение в незащищенных местах Среднее Среднее            
Бесконтрольное копирование Высокая Среднее            
7. Общие уязвимые места
Отказ системы вследствие отказа одного из элементов       Средняя Средняя   Высокая  
Неадекватные результаты проведения технического обслуживания     Средняя Низкая Низкая Средняя    

 

 

 

Группа уязвимостей   Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя     Средняя Низкая Средняя   Высокая Высокая
Незащищенные подключения к сетям общего пользования     Средняя Средняя Средняя   Средняя Средняя
Отсутствие идентификации и аутентификации отправителя и получателя     Средняя Низкая Средняя   Высокая Высокая

 

 

 

Оценка угроз активам.

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

 

 

Рисунок 2. Основные виды угроз информационной безопасности.

 

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

 

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

- ошибки и упущения;- мошенничество и кража;- случаи вредительства со стороны персонала;- ухудшение состояния материальной части и инфраструктуры;- программное обеспечение хакеров, например имитация действий законного пользователя;

- программное обеспечение, нарушающее нормальную работу системы;

- промышленный шпионаж.

При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

 

 

Группа уязвимостей   Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
1. Угрозы, обусловленные преднамеренными действиями
Похищение информации Средняя Средняя         Средняя  
Вредоносное программное обеспечение     Высокая Средняя Средняя     Средняя
Взлом системы     Средняя Средняя Высокая     Средняя
2. Угрозы, обусловленные случайными действиями
Ошибки пользователей Средняя Средняя         Средняя  
Программные сбои     Средняя       Средняя Средняя
Неисправность в системе кондиционирова ния воздуха     Низкая Низкая Низкая      
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения     Средняя Низкая Низкая      
Воздействие пыли     Высокая Средняя Средняя Средняя    
Пожар     Высокая Низкая Низкая Средняя    

 

 

1.2.4 Оценка существующих и планируемых средств защиты.

 

Под защитой информации– понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.

Задачи по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.

2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;

2. Контроль состояния и безопасности сети и сетевого оборудования;

3. Назначение пользователям сети прав доступа;

4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;

5. Установка, настройка и управление программными и аппаратными системами Организации;

6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;

7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;

8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;

9. Обеспечение правильности переноса исходных данных на машинные носители;

10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;

11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.

 

Читайте также:

lektsia.com

Основные активы информационной системы предприятия

ТОП 10:

Категории активов Компоненты информационной системы
Аппаратное обеспечение Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части
Программное обеспечение Исходные, объектные и загрузочные модули операционных систем, вспомогательных системных и коммуникационных программ, инструментальных средств разработки, прикладных программных пакетов
Информационное обеспечение Вводимые и обрабатываемые, хранимые, передаваемые и резервные (сохранные копии) данные и метаданные  
Персонал Обслуживающий персонал и пользователи
Документация Конструкторская, техническая, пользовательская и иная документация
Расходные материалы Бумага, магнитные носители, картриджи и т.д.

 

В некоторых специфичных АС активы, уникальные для организации, могут быть выделены в отдельные группы, например: коммуникационное, алгоритмическое или лингвистическое обеспечение. Кроме того, могут подлежать защите части инфраструктуры, в частности подсистемы электроснабжения и др.

В процессе идентификации активов фиксируются технологии ввода, хранения, обработки и передачи информации в системе. Главным результатом процесса идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на некоторый момент времени, информации.

Анализ угроз

После идентификации активов АС следует рассмотреть все возможные угрозы указанным активам, оценить риски и ранжировать их по степени возможного ущерба.

Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения нарушению конфиденциальности, целостности или доступности информации. Угрозы могут быть преднамеренными, являющимися следствием умышленных (злонамеренных) действий людей, и непреднамеренные, вызванные ошибками человека или сбоями и отказами работы технических и программных средств, или стихийными действиями.

В таблице 6.3. приведены примеры общих угроз, способных привести к нарушению конфиденциальности, целостности и доступности информации.

 

Таблица 6.3.

Примеры угроз информационной системы

  Объекты воздействия      
Реализация угроз Информацион-ное обеспечение Программное обеспечение Техническое обеспечение Персонал
Нелегальное ознакомление (чтение) НСД, копирование, размножение, хищение, перехват, дешифрование НСД, внедрение вирусов и закладок, использование дефектов, ошибки НСД, внедрение закладок, нарушение режимов работы, хищение носителей, отказы, ошибки некомпетентность, халатность, разглашение, подкуп, вербовка
Несанкционированное уничтожение или модификация НСД, искажение, удаление, модификация НСД, внедрение вирусов и закладок, использование дефектов, ошибки НСД, внедрение закладок, нарушение режимов работы, отказы, ошибки некомпетентность, халатность, подкуп, вербовка
Отказ в обслуживании НСД, удаление, искажение адресации НСД, искажение, удаление, подмена, внедрение вирусов и закладок, использование дефектов, ошибки НСД, внедрение закладок, разрушение, перегрузка, выход из строя, нарушение режимов работы, отказы, ошибки некомпетентность, халатность, нарушение режимов работы, болезнь
               

 

В реальной жизни список существенно полнее и конкретнее. Например, распространенными угрозами в среде Интернет являются:нарушение работы сетевых устройств и служб, макровирусы, передаваемые вместе с присоединяемыми файлами электронной почты, вандалы — плохо отлаженные апплеты Java и ActiveX, перехват электронной почты, взлом корпоративных сетей, кража или неавторизованное изменение корпоративной информации.

При анализе угроз необходимо выявить их источники (см. табл. 6.4) и условия реализации. Это поможет в выборе дополнительных средств защиты. Часто одни угрозы могут быть следствием или условием проявления ряда других угроз. Например, несанкционированный доступ (в различных формах его проявления) к ресурсам облегчает реализацию практически любой угрозы: от порчи магнитного носителя до комплексной удаленной атаки.

 

Таблица 6.4.



infopedia.su

Активы организации как ключевые факторы риска

Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.

Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.

 

_____________________________________

Виды активов организации

  • материальные;

  • финансовые;

  • имущественные и неимущественные права;

  • интеллектуальная собственность;

  • кадровые;

  • информационные;

  • процессы и сервисы;

  • имидж и репутация.

_______________________________________

 

Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.

Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT-специалистов, специалистов по управлению непрерывностью бизнеса.

Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.

Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.

xn----7sbab7afcqes2bn.xn--p1ai

Управление информационными активами организации | R-Vision

Активы – это то, что имеет ценность или находит полезное применение для организации, ее деловых операций и их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов являются жизненно важными и должны стать основной обязанностью для руководства всех уровней.

Важные активы  должны быть четко идентифицированы и должным образом оценены, а реестры этих активов должны быть собраны вместе и поддерживаться в актуальном состоянии.

В стандарте ISO 27001 есть блок контролей, который отвечает за управление активами и классификацию информации:

А.8 Управление активами

А.8.1 Ответственность за активы

Цель: Определить активы организации и определить соответствующие ответственности по защите.

A.8.1.1 Инвентаризация активовАктивы, связанные с информацией и средствами для обработки информации, должны быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем виде.

A.8.1.2 Владельцы активовАктивам, приведенным в реестре активов, должны быть определены владельцы

A.8.1.3 Допустимое использование активовПравила допустимого использования информации и активов, связанных с информацией и средствами для обработки информации, должны быть определены, документированы и внедрены.

A.8.1.4 Возврат активовВсе сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые они имеют, после прекращения работы или окончания контракта.

A.8.2 Классификация информации

Цель: Обеспечить, чтобы различные типы информации были надлежащим образом защищены в соответствии с их значением для организации

A.8.2.1 Классификация информацииИнформация должна быть классифицированы с точки зрения правовых требований, ценности, критичности и чувствительности к нарушению конфиденциальности или изменению.

A.8.2.2 Маркировка информацииСоответствующий набор правил для маркировки информации должен быть разработан и внедрен в соответствии со схемой классификации информации, принятой в организации.

A.8.2.3 Приемлемое использование активовПроцедуры по приемлемому использованию активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.

rvision.pro

Виды активов предприятия | Современный предприниматель

Классификационный признак

Вид актива

Пример актива

По скорости оборота

 

 

 

  • Оборотные (мобильные активы в балансе – это раздел II)
  • Здания, сооружения, оборудование к установке, НМА, транспорт, объекты для передачи по лизинговым сделкам

 

  • Сырье, топливо, материалы, инструменты, произведенные товары, закупленная продукция, деньги на счетах и в кассе, дебиторка

По ликвидности

  • А1 – высоколиквидные

 

  • А2 – быстрореализуемые
  • А3 – медленно реализуемые
  • А4 – труднореализуемые
  • Денежные средства на банковских счетах и депозитах, наличные в кассе, ценные бумаги
  • Краткосрочные дебиторские обязательства (меньше 12 мес.)
  • Сырье и другие запасы

 

  • Оборудование, недвижимость, дебиторская задолженность долгосрочного характера (больше 12 мес.)

По материальности

 

  • Невещественные

 

  • Реальные или физические активы – это все основные средства, материалы, товары, запасы, сырье и т.д.
  • Патенты, торговые марки и знаки, гудвилл, деловая репутация
  • Денежные резервы в любой валюте, страховые полисы, ценные бумаги, паи, путевые расчетные листки

По правовому характеру владения

 

 

 

 

  • Полученные безвозмездно
  • Все основные активы, приобретенные за средства компании
  • Полученные по договорам аренды

 

  • Переданные безвозмездно, к примеру, вклады участников в уставник общества

По источникам формирования

  • Суммарные активы

 

  • Совокупные активы в балансе по строке 1600
  • Рассчитанные по специальной формуле

По привлечению заемных денег

  • Инвестиционные активы
  • Здание, приобретенное за счет кредита банка

По степени важности для предприятия

  • Прочие активы – это те, которые не играют главной роли в деятельности компании
  • Оборудование к монтажу и установке, вложения во внеоборотные объекты, расходы будущих периодов

spmag.ru

Защита цифровых активов — задача стратегическая

Организациям, встающим на путь цифровой трансформации, следует основательно задуматься о защите информационных активов, чтобы не подвергать свой бизнес весьма серьезным рискам.

Мировая экономика вступила в эпоху цифровых перемен — точнее, цифровой трансформации бизнеса. В ближайшие несколько лет именно эта тенденция станет определяющим вектором развития для подавляющего большинства организаций. Причем речь идет не только о банках и телекоммуникационных компаниях, которые «традиционно» зависят от ИТ. Предприятия будут активно наращивать свои информационные активы, чтобы устанавливать новые рекорды операционной эффективности, использовать самые современные возможности по привлечению клиентов и выходу на рынки и создавать продукты и услуги, в которых ИТ-составляющая будет если не главным, то одним из центральных факторов успеха. В этих условиях защита информационных активов становится одним из ключевых направлений цифровой трансформации.

В самом деле, ценность цифровых активов существенно возрастает — они рассматриваются как вполне реальные, без которых добиться желаемых результатов весьма и весьма проблематично. Поскольку объемы цифровых активов постоянно увеличиваются, часть их будет размещаться вне организации (в первую очередь в облаках), структура усложнится, а управление ими окажется затруднительным. Столь масштабные изменения приведут к появлению множества решений по защите данных. Все это говорит о том, что цифровые активы станут весьма уязвимыми.

Неизбежно возрастет и число злоумышленников, стремящихся заполучить доступ к цифровым активам и рычаги управления ими, появятся новые методики и инструменты для кибератак. Причем их себестоимость, вероятнее всего, снизится, а результативность увеличится. И самое главное, усилятся бизнес-риски, связанные с вредоносным воздействием на цифровые активы: «удачно» проведенная кибератака способна нанести очень серьезный, а в ряде случаев непоправимый, ущерб.

Осознавая это, компания Hewlett Packard Enterprise определила защиту цифровых активов как одно из ключевых направлений своей стратегии в области цифровой трансформации. HPE намерена оказывать помощь в адаптации, с одной стороны, к новым требованиям бизнеса, а с другой — к меняющемуся ландшафту угроз.

Предлагая заказчикам широкий набор технологий и услуг в области защиты информационных активов, HPE помогает обеспечивать высочайший уровень защищенности и успешно противостоять даже самым хитроумным угрозам. Целый ряд услуг ориентирован на противостояние новым вызовам, причем обновляются и способы предоставления таких услуг — это связано не только с изменениями ИТ-ландшафтов организаций, но и с усовершенствованием подходов злоумышленников, применяющих ИТ для нанесения вреда предприятиям.

Защита от атак злоумышленников

HPE тщательно оценивает потребности заказчиков по управлению рисками, угрожающими сохранности цифровых активов предприятия, и подбирает решения, обеспечивающие необходимую защиту. Нередко особое беспокойство вызывают не только риски ИБ (совокупный ущерб от них может оказаться весьма существенным и даже болезненным — вплоть до полной потери конкурентоспособности), но и экономические риски.

Согласно недавнему исследованию «2015 Cost of Cyber Crime Study: Global», проведенному компанией Ponemon Institute, наиболее сильно страдают от угроз информационной безопасности предприятия энергетики, производственные, финансовые, транспортные и технологические компании. В нефтегазовой и энергетической отраслях регистрируется много случаев мошенничества и хищений товарно-материальных ценностей, в первую очередь расходных материалов, — потери иногда достигают 12-15% годовой выручки. Банкам приходится противостоять рискам, связанным с отмыванием капиталов, их выводом из активов, дроблением платежей, мошенническими транзакциями. Большое число инцидентов в финансовых организациях тесно связано с наличием у них многочисленных электронных сервисов, посредством которых можно получить доступ к активам.

Противостоять угрозам кибератак можно при помощи средств HPE ArcSight. Они позволяют собирать в режиме онлайн любую информацию о работе инфраструктурных систем (программно-аппаратных ИТ-комплексов, телекоммуникационных систем, инженерных инфраструктур, производственных объектов и их АСУТП). Эти данные можно анализировать, выявлять закономерности, свойственные инцидентам, и затем на основе системы правил предельно быстро обнаруживать новые инциденты. Причем можно рассматривать не только сферы ИТ и ИБ, но и экономическую деятельность, производственную безопасность и другие направления. Адаптация технологии ArcSight к решению текущих задач предприятия не занимает много времени.

Немало российских заказчиков уже применяют продукты информационной безопасности HPE в своих системах, предназначенных для предотвращения мошенничества. Существенный выигрыш, в частности, дает интеграция этих продуктов с бизнес-системами других поставщиков. Например, в тесном сотрудничестве с SAP удалось выделить ряд типовых сценариев мошенничества, популярных у инсайдеров, работающих с бизнес-приложениями этого вендора, и реализовать защиту от мошенничества посредством инструментария ArcSight. Такая интегрированная система защиты позволяет отслеживать нарушения бизнес-процессов (при согласовании документов, совершении платежей, предоставлении скидок и пр.), контролировать доступ к зарплатным листам и персональным данным пользователей, выявлять мошеннические комбинации, связанные, например, с выдачей кредитов, дисконтных карт или отменой ранее совершенных действий. Применять такие системы всегда выгодно, особенно в крупных организациях, где случаи мошенничества нередки и вопрос минимизации ущерба от них стоит достаточно остро.

На выявление действий злоумышленников, угрожающих цифровым активам, нацелен продукт User Behavior Analytics. Он позволяет выстраивать профили типичного поведения пользователей и приложений, а также элементов инфраструктуры, с которыми они взаимодействуют. На основе этих профилей распознается нетипичное поведение и, таким образом, выявляются действия злоумышленника или вредоносного кода в ходе таргетированной атаки или мошеннических операций.

Еще один недавно вышедший аналитический продукт, не имеющий аналогов на рынке, DNS Malware Analytics, позволяет выявлять активность вредоносного кода путем анализа трафика DNS. Определенного рода активность, исходящая, например, от отдельных рабочих станций, может служить сигналом того, что они заражены вредоносными кодами. Кстати, крупнейшим заказчиком этого продукта является сама компания HPE — с его помощью анализируется трафик, который генерируют клиентские устройства 200 тыс. ее сотрудников. Эффективность технологии проверена историей создания системы DNS Malware Analytics. Она приобрела «товарный вид» после нескольких лет эволюции компании HP: начало было положено набором правил обработки тревог о событиях ИБ, а итогом стал вывод на рынок законченного коммерческого продукта.

Защита данных

Защита информационных активов невозможна без защиты данных, в первую очередь от несанкционированного доступа к ним и их потери. В портфеле HPE имеется около полутора десятка продуктов, позволяющих оградить от кибератак электронные письма (включая вложенные файлы), банковские транзакции, трансграничные бизнес-транзакции и другие цифровые активы предприятия. Во всем мире решениями HPE для защиты данных пользуются многие крупные компании, например международные платежные системы Visa и MasterCard, а в России — ведущие банки страны.

Обеспечить надежную криптозащиту разных видов данных, наряду с применением электронных ключей-токенов, помогают решения семейства HPE Security Voltage. Они могут работать в различных корпоративных ИТ-инфраструктурах, в том числе облачных, мобильных средах и системах Больших Данных. Решения из другого семейства, HPE Atalla, отвечают за автоматизированную классификацию неструктурированных данных и их защиту от утраты, а также за шифрование данных, которыми предприятие обменивается с внешним облаком или удаленными серверными площадками. Для поддержания безопасности финансовых данных (требования такого рода нередко выдвигают регуляторы банковского бизнеса) предназначено программно-аппаратное решение Atalla Network Security Processor (NSP). Кстати, именно Atalla стала первой технологией, используемой для защиты транзакций, осуществляемых при помощи пластиковых карт.

Защита данных не должна ограничиваться только шифрованием, зачастую целью злоумышленников является уничтожение или изменение данных. В таких условиях становится весьма актуальной, казалось бы, такая очевидная и простая задача, как резервное копирование. Сегодня выполнение резервного копирования и восстановления усложняется из-за разрозненности сред виртуализации и облачных платформ. Портфель решений НРЕ в области резервного копирования и восстановления (HPE Data Protector, StoreOnce, StoreEver и другие решения) позволяет эффективно ответить на многие вызовы. Эту тему мы постараемся более подробно осветить в других статьях.

Защита приложений

Еще один важный класс информационных активов — приложения. Именно они лежат в основе предоставления бизнесу и внешним клиентам все большего количества сервисов. Нередко вводимые в строй программные системы становятся еще одним фактором риска информационной безопасности. Уязвимости, вызванные дефектами кодирования (незлоумышленными ошибками) нередко возникают из-за рассеянности разработчиков, спешки или неправильного программирования.

Практика показывает, что в ходе даже самого поверхностного сканирования десятков прикладных программных продуктов, находящихся в промышленной эксплуатации, выявляются СОТНИ критических ошибок в программном коде — от типичных «мастер-ключей», оставляемых разработчиками «на всякий случай, если клиент забудет пароль», до серьезнейших «дыр», не раз описанных в соответствующих документах.

Эти уязвимости становятся причиной сбоев в работе ИТ-систем, а кроме того, ими могут воспользоваться злоумышленники. HPE пропагандирует идею управления ИБ еще в ходе разработки программного обеспечения и является сторонником развертывания процесса создания безопасного ПО (Security Development Life Cycle). Конечно, программисты не обязаны быть экспертами по ИБ, но в их силах — не допускать дефектов в своих продуктах. В то же время заказчики программных средств должны получить доступ к инструментарию, позволяющему оценить качество оплаченных ими разработок, — либо собственному, находящемуся в распоряжении службы ИБ предприятия, либо принадлежащему сервисным организациям рынка ИТ и ИБ.

Избежать дефектов программирования можно, научив разработчиков навыкам безопасного программирования и правильным образом выстроив процесс разработки. Конечно, понадобятся различные виды тестирования, но и этого недостаточно — велик риск, что несовершенный код будет передан в промышленную эксплуатацию. И тогда устранение недочетов потребует значительных финансовых затрат — в 20-30 раз больших, чем затраты на предотвращение или выявление ошибок на этапе проектирования ПО. Да и времени понадобится в 10 раз больше, ведь придется совершить откат к предыдущим сборкам, проверить и исправить весь код, заново перекомпилировать его, провести функциональное и нагрузочное тестирование, переустановить и сдать заказчику.

Наибольшую заинтересованность в выстраивании процесса создания безопасного ПО проявляют организации, которые создают серьезные, критически важные системы. Они внедряют этот процесс постепенно и последовательно переводят на него команды, работающие над отдельными ключевыми проектами, — обычно выполняется не более двух таких проектов одновременно.

Чтобы выявить дефекты программирования и уязвимости в готовых приложениях, HPE предлагает проводить, по крайней мере, два типа тестов ПО. Динамическое сканирование (на проникновение извне) позволяет на 80% снизить риск взлома приложения. Сканирование исходных кодов ПО помогает обнаруживать наиболее критические дефекты на этапе разработки. В России уже около двух десятков компаний используют этот подход, реализованный с применением инструментария HPE. В первую очередь речь идет о средствах статического анализа программного кода Fortify Static Code Analyzer и динамического анализа безопасности веб-приложений и сервисов Fortify WebInspect. Выстроить процесс создания безопасного ПО помогает решение Fortify Software Security Center — репозиторий централизованного управления разработкой, обеспечивающий целостный и прозрачный взгляд на безопасность приложений в целом.

В общих чертах процесс выглядит следующим образом. После сканирования приложения выявленные дефекты кода автоматически сортируются, а затем группируются по степени критичности: самые опасные, достаточно серьезные и не слишком важные (последними в случае цейтнота можно пренебречь). Эксперт по безопасности просматривает найденные уязвимости и подтверждает задания по их устранению. Руководители команд разработки назначают исполнителей, которые должны устранить дефекты, после чего полученные результаты передаются обратно по цепочке и проходят необходимую проверку. Никаких дополнительных процедур, кроме предусмотренных регламентом, не требуется. ИТ-поддержка этого процесса реализуется средствами инструментария нагрузочного тестирования LoadRunner и системы управления качеством создаваемого программного обеспечения Quality Center Enterprise.

Информация, полученная в ходе сканирования приложений, может быть использована для подготовки отчетности ИТ-департамента или передана в систему мониторинга безопасности. Это бывает полезно, например, для адекватного реагирования на подозрительные активности: если они связаны с программными модулями, в безопасности которых обнаружены «дыры», следует обратить на эти атаки пристальное внимание, поскольку велика вероятность того, что злоумышленники попытаются воспользоваться дефектом в коде.

Центры защиты информационных активов

Ключевую роль в защите цифровых активов призваны сыграть центры управления инцидентами информационной безопасности (Security Operation Center, SOC). Они собирают и анализируют в реальном времени все, что касается защиты данных, и заблаговременно выявляют растущие угрозы (в первую очередь кибератаки), помогая предпринимать необходимые меры. В крупнейших SOC-центрах мира обрабатывается свыше 1 млн событий ИБ в секунду. В России, по крайней мере, у десяти организаций имеются SOC, которые обрабатывают по 200 тыс. и более событий ИБ в секунду. Есть свой SOC и у компании HPE. В него передаются и анализируются сведения о событиях информационной безопасности, происходящих на устройствах 365 тыс. сотрудников; за сутки анализируется около 20 млрд запросов DNS.

Сотрудники HPE отмечают, что и в России повышается спрос на услуги по созданию центров управления инцидентами информационной безопасности (Security Operation Center, SOC) и независимой оценке уровня зрелости уже построенных центров этого уровня. Оценку проходят три ключевых аспекта SOC: технологии, сотрудники и процессы. В ходе аудита проверяются оргструктура и правильность выстраивания процессов, а кроме того, оцениваются возможности применяемых в SOC технологий с точки зрения их достаточности и избыточности.

Российским заказчикам доступны сервисы, предоставляемые не только компанией HPE, но и ее партнерами, имеющими статус Managed Security Services Provider. Около 30 организаций уже сотрудничают с одним из таких владельцев центра SOC. Вероятнее всего, в ближайшее время круг поставщиков сервисов ИБ на базе продуктов HPE будет расширяться — в первую очередь за счет телекоммуникационных компаний, стремящихся пополнить свои портфели предложений для корпоративных клиентов.

Чтобы руководители организаций имели возможность контролировать бизнес-процессы, сопоставлять и оценивать взаимосвязь различных рисков с ИТ-факторами, специалисты HPE разработали консоль Executive Value Dashboard. Она выстроена на базе функций ArcSight, Business Service Management, Universal CMDB и Service Manager. Есть среди пользователей этой консоли и российские заказчики, которые уже занимаются внедрением данного решения.

В ряде российских предприятий уже накоплен большой опыт по защите цифровых активов. Некоторые из них, опираясь на имеющуюся компетенцию и инструментарий в области информационной безопасности, осваивают новый для себя бизнес — предоставление услуг защиты цифровых активов другим организациям, причем как собственным дочерним компаниям, так и внешним заказчикам. Можно с уверенностью утверждать, что инвестиции, направленные на защиту информационных активов, способны не только снижать риски, но и приносить реальный доход, помогая извлекать из цифровой трансформации дополнительную выгоду.

habr.com

Информационный актив организации банковской системы

 Информационный актив организации банковской системы

"...3.23. Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы Российской Федерации; находящаяся в распоряжении организации банковской системы Российской Федерации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме..."

Источник:

"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010" (принят и введен в действие Распоряжением Банка России от 21.06.2010 N Р-705)

Официальная терминология. Академик.ру. 2012.

  • Информационные фонды мониторинга реализации Генерального плана города Москвы
  • Информационный контур Интернет-банкинга

Смотреть что такое "Информационный актив организации банковской системы" в других словарях:

  • Standard Bank — (Стэндерт Банк) Сведения о банке Standard Bank, активы и отделения Информация о банке Standard Bank, развитие банка, новые цели Содержание Содержание Определения описываемого предмета Справочная о В Standard Bank новый руководитель… …   Энциклопедия инвестора

  • Финансовый регулятор — (Financial regulator) Финансовый регулятор это орган, осуществляющий надзор, регулирование и контроль над оборотом финансовых инструментов Регуляторы финансового рынка – понятие, цели деятельности и роль финансовых регуляторов, самые известные… …   Энциклопедия инвестора

  • Денежная масса — (Money supply) Денежная масса это наличные средства, находящиеся в обращении, и безналичные средства, находящиеся на счетах в банках Понятие денежной массы: агрегаты денежной массы М0, М1, М2, М3, М4, ее ликвидность, наличные и безналичные… …   Энциклопедия инвестора

  • Финансовый кризис 2007—2010 годов в Казахстане — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Мировой финансовый кризис 2008 2010 года негативно повлиял на …   Википедия

  • Евро — (Euro) Евро это единая европейская валюта Евро: описание монет и банкнот, история создания и развития, место в мировой экономике Содержание >>>>>>>>>> …   Энциклопедия инвестора

  • Средний бизнес — (Medium business) Определение среднего бизнеса, нюансы среднего бизнеса Информация об определении среднего бизнеса, нюансы среднего бизнеса Содержание Содержание О “Что делать” и “с чего начать” вот в чем вопрос! О пользе… …   Энциклопедия инвестора

  • Торговый баланс — (Trade balance) Торговый баланс это экономический показатель, отражающий соотношение между экспортом и импортом страны Торговый баланс страны, активный и пассивный торговый баланс, сальдо торгового баланса, роль торгового баланса в экономике… …   Энциклопедия инвестора

  • Конъюнктура — (Conjuncture) Конъюнктура это сформировавшийся комплекс условий в определенной области человеческой деятельности Понятие конъюнктуры: виды конъюнктуры, методы прогнозирования конъюнктуры, конъюнктура финансового и товарного рынков Содержание… …   Энциклопедия инвестора

  • Резервная валюта — (reserve currency) Резервная валюта это иностранная валюта, которой владеет государство, доверяя ее стабильности Мировые резервные валюты, функции резервных валют, преимущества и недостатки их использования, доллар, евро, фунт, франк и рубль как… …   Энциклопедия инвестора

  • Дилинговый центр — (Dealing Center) Дилинговый центр это посредник между трейдером и валютным рынком Форекс Понятие дилингового центра, схема работы дилингового центра, технологии обмана кухни Форекс, способы мошенничества дилинговых центров Содержание >>>>>>>>>>> …   Энциклопедия инвестора

official.academic.ru