Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится бюджету в миллиарды долларов и эта цифра растет год за годом. Не думаю, что в России кто-нибудь осмечивал данный этап, но могу предположить, что речь идет (если классификация реализуется на практике) о миллионах или десятках миллионов рублей. А уж затраты на избыточную безопасность по причине ненужного повышения класса и вовсе не поддаются подсчету.
Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто - СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.
Но классификация информация - это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы - СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос "как идентифицировать активы" до сих пор нет. Или точнее не было.
В конце июня NIST вновь порадовал очередным документом - "Specification for Asset Identification 1.1" (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:
Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).
Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто - СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д.
Но классификация информация - это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы - СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос "как идентифицировать активы" до сих пор нет. Или точнее не было.
В конце июня NIST вновь порадовал очередным документом - "Specification for Asset Identification 1.1" (NISTIR 7693). В этом документе описывается модель, позволяющая идентифицировать следующие активы:
- персона
- организация
- система
- программное обеспечение
- база данных
- сеть
- сервис
- данные
- вычислительное устройство
- Web-сайт
- линия связи.
Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).
Ещё бы какой-нибудь хороший документ на родном языке...
ОтветитьУдалитьПрактично это ровно до того момента, пока ты занят идентификацией активов и не перешел к анализу рисков - там и выясняется, что объекты без общего знаменателя или наплывающие друг на друга не так хороши.
ОтветитьУдалитьАлексей, спасибо за документ.
ОтветитьУдалитьТолько вот основная его цель - это стандартизировать документирование активов, обеспечить обмен базами активов (например между средством инвентаризации активов и системой управления активами).
Хотелось бы методики - как именно идентифицировать активы и в каком порядке? Cначала определить критические классы активов и их подробно идентифицировать или наоборот сначала все активы идентифицировать а потом определить классы?
Ригелю: В блоге отпишись "как надо". А то критиковать все мастера ;-)
ОтветитьУдалитьПро активы кратко описано в ИСО/МЭК 13335-3, более подробно в стандарте ISO 27005, правда в этих документах инфа не формализована.
ОтветитьУдалитьМне кажеться намного сложнее не идентифицировать, а оценить активы (хотя бы качественно), а еще сложнее оценить активы с учетом их взаимосвязей.
Может Алексей Вы подскажите какой нибудь документ по этому вопросу.
Очень важная тема!
ОтветитьУдалитьПолная идентификация и оценка активов невозможна! Это тоже нужно понимать. Думаю идентификацию нужно начинать исходя из целей ведения конкретного бизнеса(о чем Алексей уже намекал в том году).
Идентификация активов затруднительна не только потому что нет документов методик и т.п. Но и потому что архитектор системы часто сам не представляет какие есть активы в используемых технологиях. Они как правило не документированы на уровне, позволяющем их идентифицировать.
Это огромная проблема в области ИБ - когда из массы информационных потоков защищаются несколько только потому, что остальные или неизвестны разработчикам СрЗИ или "скрыты" или замалчиваются!
Дополнительно возникает проблема - как реагировать на изменения активов! Уши красные от Утечек, но идентифицировав все активы и защитив все потоки мы соберем СЗИ для текущего состояния системы. Что делаем в случае изменения ...
в Стандарте ИБ БС, в методике оценки соответствия есть отдельные показатели по классификации активов, при этом методики классификации в Стандарте нет. странно получается тогда, невозможно получить высший уровень защищенности.
ОтветитьУдалить