Pages - Menu

Страницы

11.7.11

Как идентифицировать активы?

Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится бюджету в миллиарды долларов и эта цифра растет год за годом. Не думаю, что в России кто-нибудь осмечивал данный этап, но могу предположить, что речь идет (если классификация реализуется на практике) о миллионах или десятках миллионов рублей. А уж затраты на избыточную безопасность по причине ненужного повышения класса и вовсе не поддаются подсчету.

Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто - СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.

Но классификация информация - это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы - СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос "как идентифицировать активы" до сих пор нет. Или точнее не было.

В конце июня NIST вновь порадовал очередным документом - "Specification for Asset Identification 1.1" (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:
  • персона
  • организация
  • система
  • программное обеспечение
  • база данных
  • сеть
  • сервис
  • данные
  • вычислительное устройство
  • Web-сайт
  • линия связи.

Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).

7 комментариев:

  1. Ещё бы какой-нибудь хороший документ на родном языке...

    ОтветитьУдалить
  2. Практично это ровно до того момента, пока ты занят идентификацией активов и не перешел к анализу рисков - там и выясняется, что объекты без общего знаменателя или наплывающие друг на друга не так хороши.

    ОтветитьУдалить
  3. Алексей, спасибо за документ.

    Только вот основная его цель - это стандартизировать документирование активов, обеспечить обмен базами активов (например между средством инвентаризации активов и системой управления активами).

    Хотелось бы методики - как именно идентифицировать активы и в каком порядке? Cначала определить критические классы активов и их подробно идентифицировать или наоборот сначала все активы идентифицировать а потом определить классы?

    ОтветитьУдалить
  4. Ригелю: В блоге отпишись "как надо". А то критиковать все мастера ;-)

    ОтветитьУдалить
  5. Про активы кратко описано в ИСО/МЭК 13335-3, более подробно в стандарте ISO 27005, правда в этих документах инфа не формализована.
    Мне кажеться намного сложнее не идентифицировать, а оценить активы (хотя бы качественно), а еще сложнее оценить активы с учетом их взаимосвязей.
    Может Алексей Вы подскажите какой нибудь документ по этому вопросу.

    ОтветитьУдалить
  6. Очень важная тема!
    Полная идентификация и оценка активов невозможна! Это тоже нужно понимать. Думаю идентификацию нужно начинать исходя из целей ведения конкретного бизнеса(о чем Алексей уже намекал в том году).
    Идентификация активов затруднительна не только потому что нет документов методик и т.п. Но и потому что архитектор системы часто сам не представляет какие есть активы в используемых технологиях. Они как правило не документированы на уровне, позволяющем их идентифицировать.
    Это огромная проблема в области ИБ - когда из массы информационных потоков защищаются несколько только потому, что остальные или неизвестны разработчикам СрЗИ или "скрыты" или замалчиваются!
    Дополнительно возникает проблема - как реагировать на изменения активов! Уши красные от Утечек, но идентифицировав все активы и защитив все потоки мы соберем СЗИ для текущего состояния системы. Что делаем в случае изменения ...

    ОтветитьУдалить
  7. в Стандарте ИБ БС, в методике оценки соответствия есть отдельные показатели по классификации активов, при этом методики классификации в Стандарте нет. странно получается тогда, невозможно получить высший уровень защищенности.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.