11 Июля, 2011

Как идентифицировать активы?

Алексей Лукацкий
Классификация информация, как элемент инвентаризации и классификации активов, подлежащих защите, очень важный процесс. От него зависит, насколько адекватно мы сможем построить систему защиты и не упустить ничего лишнего. Неправильная классификация приведут к тому, что мы можем забыть какие-то типы данных, которые останутся беззащитными, или, наоборот, затраты на защиту станут непомерными из необоснованного повышения категории (класса) защищаемой информации. Например, в Министерстве Обороны США стоимость только одной классификации информации обходится бюджету в миллиарды долларов и эта цифра растет год за годом. Не думаю, что в России кто-нибудь осмечивал данный этап, но могу предположить, что речь идет (если классификация реализуется на практике) о миллионах или десятках миллионов рублей. А уж затраты на избыточную безопасность по причине ненужного повышения класса и вовсе не поддаются подсчету. Есть и другой аспект, заставляющий нас задумываться о классификации. Речь идет о нормативных и регулятивных требованиях, которые описывают процесс классификации информации и которые являются обязательными де-юре или де-факто - СТО БР ИББС, 98-ФЗ, 149-ФЗ, Р Газпром 4.2-3-001-20хх, СТО Газпром 4.2-3-004-2009, ISO/IEC 27002:2005, ISO/IEC 20000-2, ISO/IEC TR 13569:2005 и т.д. Но классификация информация - это только один из важных и первоочередных этапов при обеспечении ИБ. Ведь защищать мы должны не только информацию, но и другие активы - СУБД, ПО, сервера, сервисы и т.д. Их тоже надо классифицировать, а перед этим идентифицировать. Именно эта тема часто всплывает на bankir.ru и четкого ответа на вопрос "как идентифицировать активы" до сих пор нет. Или точнее не было. В конце июня NIST вновь порадовал очередным документом - "Specification for Asset Identification 1.1" ( NISTIR 7693 ). В этом документе описывается модель, позволяющая идентифицировать следующие активы: персонаорганизациясистемапрограммное обеспечениебаза данныхсетьсервисданныевычислительное устройствоWeb-сайтлиния связи. Очень интересный, а главное практичный документ, с примерами описания различных активов. Предложенная модель легко автоматизируется (даже с помощью Excel, не говоря уже о более мощных СУБД).