Информационные активы
«. Информационные активы (information asset): информационные ресурсы или средства обработки информации организации. «
Источник:
«ФИНАНСОВЫЕ УСЛУГИ. РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/ТО 13569-2007»
(утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
Смотреть что такое «Информационные активы» в других словарях:
информационные активы — 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. Источник: ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности 3.35 информационные активы… … Словарь-справочник терминов нормативно-технической документации
активы организации — Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды информации, циркулирующие в… … Справочник технического переводчика
активы — 2.2 активы (asset): Все, что имеет ценность для организации. Источник … Словарь-справочник терминов нормативно-технической документации
активы организации — 3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды… … Словарь-справочник терминов нормативно-технической документации
активы организации банковской системы Российской Федерации — 3.2. активы организации банковской системы Российской Федерации : все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации БС РФ могут относиться: банковские… … Словарь-справочник терминов нормативно-технической документации
Активы организации банковской системы — 3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал),… … Официальная терминология
Бизнес-активы Михаила Прохорова — Ниже приводится справочная информация об активах Прохорова. В рейтинге самых богатых бизнесменов 2012 по версии русского Forbes Михаил Прохоров занимает седьмое место с 13,2 миллиарда долларов. Основные активы Михаила Прохорова сосредоточены в… … Энциклопедия ньюсмейкеров
интеллектуальные активы — Включают накопленную информацию и знания сотрудников. [http://www.morepc.ru/dict/] Тематики информационные технологии в целом EN intellectual assets … Справочник технического переводчика
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Управление ИТ-активами: как мифы влияют на проекты
Все счастливые проекты похожи друг на друга, каждый несчастливый проект несчастлив по-своему.
6 лет занимаюсь внедрением и автоматизацией бизнес-процессов, из них 3 года – внедрением ITAM-решений. В проектах по автоматизации процессов управления ИТ-активами постоянно боремся с различными мифами.
Природа этих заблуждений самая разная: непонимание методологии, технических аспектов, ошибки в построении взаимосвязей процессов, неоправданные ожидания и пр.
Рассмотрим эти мифы подробнее, попробуем развеять их или подтвердить.
Что такое ИТ-актив
Чтобы исключить разночтения, для начала – о терминах.
Процессы управления ИТ-активами описывают несколько источников знаний: IAITAM (IBPL), ITIL, COBIT5, ISO 19770 и мн. др. Компания Наумен в своей практике использует для организации управления ИТ-активами вышеперечисленные источники знаний, но опирается на ITIL и IBPL. Поэтому ИТ-актив определяем как объект, который участвует в сервисных процессах, в формировании себестоимости оказания ИТ-услуги и вносит вклад в формирование ее ценности для клиента.
Кроме того, ИТ-актив и конфигурационная единица (КЕ) для нас не одно и тоже. Разница в том, что ИТ-актив имеет расширенный по сравнению с КЕ жизненный цикл и охватывает вопросы планирования, предоставления, закупки и списания. ИТ-актив может рассматриваться как КЕ, но не каждая КЕ является ИТ-активом.
Разбираем мифы и избавляемся от заблуждений
Автоматическая инвентаризация гарантирует актуальность информации об ИТ-активах
Первый миф один из самых популярных. В 8 из 10 проектов цель внедрения звучит так: автоматизировать рутинный процесс сбора информации об оборудовании и ПО. С этим сложно спорить, т.к. современные инструменты инвентаризации помогают отказаться от ручного ведения данных об ИТ-активах.
Из чего складываются сведения об ИТ-активе:
Нюанс в том, что часть свойств ИТ-актива собрать автоматически не получится. Например, как определить местоположение актива? Это свойство физического мира. Как вариант, прописать в модели конфигурации принцип ведения IP-подсетей, далее вести базу правил на соответствие расположения и IP-подсети.
Статус ИТ-актива должен управляться через процессы эксплуатации. Связь с Основным средством должна задаваться вручную, но и это можно автоматизировать. Для этого достаточно наладить интерфейс с процессом планирования закупок: предоставить информацию по закупкам в виде тех позиций закупки, которые потом будет легко сопоставить с ИТ-активом.
Информацию о месте ИТ-актива в ресурсно-сервисной модели либо в ресурсно-финансовой и лицензионной моделях можно получать автоматически, но тогда первостепенная задача – скрупулезно вести эту модель.
В результате автоматическая инвентаризация обеспечивает актуальность данных по ИТ-активам, НО без дополнительного проектирования и «ручной» донастройки обойтись сложно.
Связка с ITSM-системой не обязательна
Следующий распространенный миф – внедрение учета ИТ-активов не требует тесной интеграции с ITSM-системами и другими процессами поддержки пользователей.
Опровергнем этот тезис. Для этого рассмотрим упрощенную модель объектов управления в рамках процессов управления ИТ-активами.
На схеме видно, что запросы на ИТ-активы и запросы пользователей взаимосвязаны. Также прослеживается их связь с услугами. В свою очередь, информация о классификации и типовых конфигурациях ИТ-активов используется в типовых запросах на обслуживание и типовых запросах на изменение. И сами процессы управления ИТ-активами тесно связаны с процессами управления ИТ-услугами.
Таким образом, ITSM-система – это и источник, и потребитель информации по ИТ-активам, поэтому связь между ИТ-системами очевидна.
Управление ИТ-активами не повлияет на Каталог Услуг
«Классический» ITIL разделяет категоризацию ИТ-активов (Конфигурационных единиц) и Каталог Услуг. С одной стороны, это справедливо, а с другой – обязывает вести 2 справочника:
Давайте разберемся, какая информация определяется этими справочниками.
Категории содержат определенную информацию:
Услуги содержат информацию, которая определяет порядок обработки запросов:
Убираем лишние сущности
Применяем принцип «бритвы Оккама», выносим за скобки лишнее и сокращаем количество сущностей управления. В результате появляется возможность отказаться от справочника категорий.
Если мы учитываем какую-то категорию ИТ-активов, ее кто-то должен поддерживать, т.е. оказывать услугу внутри ИТ. Информацию, которая ведется в привязке к Услуге, можно дополнить недостающими атрибутами и получить единую сущность, Услугу-Категорию.
Подобный подход добавит дополнительную проверку на полноту Каталога услуг и заставит внимательнее относиться к категоризации ИТ-активов.
ИТ-актив и Основное средство идентичные понятия
С этим тезисом сложно согласиться, т.к. ИТ-актив содержит учет тех сущностей, которые могут и не учитываться в бухгалтерском учете. Поэтому правильный шаг – на старте проекта договориться и выбрать первоисточник информации об ИТ-активах: система учета ИТ-активов либо бухгалтерская система. Затем в обязательном порядке нужно организовать процесс сопоставления Основных средств (а также нематериальных активов и малоценки) и ИТ-активов.
Почему нельзя загружать Основные средства и сопоставлять их один к одному с ИТ-активами? Потому что в противном случае вместо ИТ-активов получится очередной справочник номенклатуры товаров.
Правильная схема – разделение сущностей ИТ-актива и Основного средства и связка их между собой для дальнейшего получения полезной информации из систем бухгалтерского учета (например, затраты по Основным средствам).
Информация по затратам на услуги может аккумулироваться автоматически
Проектный опыт показывает, что полная автоматизация сбора информации по затратам на ИТ-услуги может быть очень дорогой. Например, может потребоваться специальный сотрудник в штат, который будет заниматься актуализацией ресурсно-финансовой модели. Что в итоге эффективнее: полная автоматизация и ручная актуализация модели либо частично ручной учет – вопрос конкретного проекта.
Что потребуется для полной автоматизации процесса учета затрат по Услуге
| Область учета | Как автоматизируется | |||||
| Реализация товаров и услуг | Заказы клиентов | Устная информация | Менеджер | Утрата доступности | 6 | средняя |
| Реализация товаров и услуг | Переписка внутри компании | Текстовая информация | Менеджер, специалист | Потери в результате перехвата данных | 9 | критическое значение |
| Реализация товаров и услуг | Скидки клиентов | Документ | Менеджер | Утрата доступности | 0,5 | очень малая |
| Реализация товаров и услуг | Цены на товары и услуги | Прайс-лист | Менеджер | Утрата доступности | 7 | высокая |
| Реализация товаров и услуг | Наряд на выполнение работ | Документ | Менеджер | Утрата доступности | 6 | средняя |
| Реализация товаров и услуг | Инвентаризационная ведомость | Документ | Администратор | Утрата доступности | 9 | критическое значение |
| Реализация товаров и услуг | Расходные накладные | Документ | Менеджер | Утрата доступности | 6 | средняя |
| Закупка товаров и запчастей | Приходные накладные | Документ | Заведующий складом | Утрата доступности | 8 | высокая |
| Бухгалтерский и налоговый учет | Бухгалтерская и налоговая отчетность | Документ | Бухгалтер | Утрата доступности | 1,5 | малая |
| Реализация товаров и услуг | Программное обеспечение | Информация на электронном носителе | Специалист тех. поддержки | Первоначальная стоимость актива | 32 | средняя |
| Реализация товаров и услуг | Персонал компании | Материальный объект | Специалист тех. поддержки | Первоначальная стоимость | 17 | малая |
| Реализация товаров и услуг | Компьютерные средства | Материальный объект | Специалист тех. поддержки | Первоначальная стоимость | 23 | средняя |
| Реализация товаров и услуг | Информационные услуги | Устная информация | Менеджер | Утрата доступности | 6 | средняя |
Так, как организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступностьмаксимальному числу потенциальных покупателей, в связи с этим данным активам выставлены наивысшие качественные оценки.
В таблице 2 представлен перечень информационных активов, к которым согласно действующего законодательства, обязательно ограничение доступа.
Таблица 2 – Перечень сведений конфиденциального характера
| № п\п | Наименование сведений | Гриф конфиденциальности | Нормативный документ, реквизиты, №№ статей |
| 1 | Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа. | Коммерческая тайна | Устав компании «Домашний компьютер» |
| 2 | Требования по обеспечению сохранения служебной тайны сотрудниками предприятия. | Коммерческая тайна | Гражданский кодекс РФ ст. 1465 |
| 3 | Персональные данные сотрудников | Коммерческая тайна | Федеральный закон 152-ФЗ |
| 4 | Персональные данные клиентов | Коммерческая тайна | Федеральный закон 152-ФЗ |
Оценка степени важности активов представленна в таблице 3, полученная в результате распределения активов и взятая по пятибальной шкале. Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.
Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделены наиболее ценные информационные активы (имеющие максимальный ранг).
Таблица 3 – Результаты ранжирования активов
| Наименование актива | Ценность актива (ранг) |
| Заказы клиентов | 4 |
| Скидки клиентов | 1 |
| Цены на товары и услуги | 5 |
| Расходные накладные | 4 |
| Наряд н выполнение работ | 4 |
| Инвентаризационная ведомость | 5 |
| Приходные накладные | 5 |
| Бухгалтерская и налоговая отчетность | 4 |
| Программное обеспечение | 3 |
| Персонал компании | 1 |
| Компьютерные средства | 2 |
| Информационные услуги | 4 |
| Текстовые сообщения | 5 |
В результате проделанной работы, были выделены следующие, наиболее ценные, активы: Бухгалтерская и налоговая отчетность, внутренняя переписка, цены на товары и услуги, приходные накладные, информационные услуги, инвентаризационная ведомость, наряд на выполнение работ, заказы клиентов, расходные накладные, программное обеспечение.
Что такое информационные активы? Примеры
Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?
Общая информация
Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.
Об общих понятиях
Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:
Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.
Немного о классификации для предприятий
Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:
Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.
Классификационные модели
Чаще всего встречаются две из них:
О классах
Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:
О конфиденциальных данных
Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:
Как же обрабатываются информационные активы?
Давайте рассмотрим один из возможных алгоритмов:
Жизненный цикл
Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл – это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:
Вот, пожалуй, и все. Какие данные хранятся – информационная база активов или что-то другое – это не важно. Главное – обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.
Активы, уязвимости (конспект лекции)
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Актив – это ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.
Актив в контексте ИБ – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности.
• материальные: программное и аппаратное обеспечение, платформа, устройство;
• нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.
Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.
Программные (ОС, ПО, файлы) и аппаратные (серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:
• бизнес-владелец (business owner) актива,
• риск-владелец (risk owner) актива,
• ответственный за актив со стороны ИТ (IT custodian),
• выполняемая активом техническая или бизнес-роль/функция,
• зависимый от актива бизнес-процесс,
• местоположение (адрес, этаж, номер стойки в серверной и т.д.),
• конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.
Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:
• первоначальное наполнение информацией,
• автоматизированное обогащение и поддержание сведений в актуальном состоянии,
• интеграция с системами, содержащими актуальные сведения об ИТ-активах,
• интеграция с СЗИ для помощи в реагировании на инциденты ИБ.
Модуль позволяет автоматизировать процесс управления активами:
• инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);
• определение взаимосвязей между активами;
• определение владельцев и ответственных за обслуживание активов;
• мониторинг сетевой доступности и состояния работоспособности.
Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).
• сбор и агрегация актуальной информации об активах в едином модуле управления,
контроль сетевой доступности, качества связи и текущего состояния активов.
Скриншот модуля «Управление активами» системы Security Vision:
Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.
Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).
Для расчета характеристики уязвимости описываются в трех группах метрик:
1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:
2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:
• возможность эксплуатации (например, наличие готового эксплойта);
• уровень устранения уязвимости (например, наличие официального исправления от разработчика);
• степень достоверности отчета об уязвимости (например, подтверждение от вендора).
3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:
· модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;
· указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).
Пример расчета CVSS v3.1:
Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.
Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):
Описание уязвимости на сайте производителя уязвимого ПО:
Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.
Процесс управления уязвимостями состоит из этапов:
• инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);
• анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;
• поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);
• последующей проверки и оценки эффективности пройденных шагов.
Документальная поддержка процесса:
• стандарты ИБ для аппаратного и программного обеспечения;
• разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;
• согласование целевых показателей защищенности систем компании;
• непрерывный контроль соответствия.
Инструменты для обеспечения процесса управления уязвимостями:
Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.
Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).
Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).
Управление уязвимостями в системе Security Vision:
• интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;
• определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);
• выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.
