Инвентаризация информационных активов! Что делать и куда бежать?

В очередной раз столкнулся с проблемой проведения инвентаризации информационных активов (ИА). Проблема, в настоящее время, довольно актуальная, в связи с чем я счел необходимым поделиться своим опытом.

При проведении инвентаризации  ИА применялся следующий подход, основанный на различных документах и представляющий некую солянку:

Буду придерживаться терминологии СТО БР ИББС (информационный актив - ИА и объект инфраструктуры ИА - сервера, ПК итд).

Вопреки многим советам, которые дают на многочисленных форумах, классификацию можно проводить только после проведения инвентаризации, иначе вы запутаетесь и неправильно их классифицируете.

Итак, буду писать по этапам:

Этап 1: Построение перечня ИА и схемы ИА

На данном этапе необходимо выявить ИА в любом виде (электронные документы, бумажные документы, флешки итп итд) циркулирующие между подразделениями в вашей организации, не углубляясь в документооборот внутри подразделений.

Для этого в подразделения рассылается анкета с полями вида:

Какую информацию, в каком виде и от каких подразделений вы получаете?

Какую информацию, в каком виде и в какие подразделения вы передаете?

После этого собираете данные от подразделений, уточняете её и на основе этого строите большую схему, показывающую циркуляцию информации. Сразу скажу, что схема будет большая, А0 или А1, но зато сразу покажет весь процесс оборота ИА.

В итоге на выходе получаются следующие документы:

1. Перечень ИА (попытайтесь установить владельцев ИА - те подразделения, которые отвечают за этот ИА (если подразделение генерит ИА, это не значит, что оно за него отвечает) и пользователей ИА) 

2. Схема ИА

Не обязательно конкретизировать ИА до конкретной бумажки, можно группировать (например, заявки на тендер, счета фактуры, договора аренды, договора закупки итд). Можно консультироваться с подразделениями на тему оптимальной группировки ИА. Уже на этом этапе можно совместно с бизнесом определять важность ИА по характеристикам (целостность, конфиденциальность, доступность и др.)

На данном этапе очень важна поддержка руководства и понимание подразделений, если они будут саботировать процесс, то ничего не получится.

Соответственно, уже на этом этапе будет понятно, кто чем занимается. Рекомендую после получения ответа от подразделения проводить интервью, на котором, например, начальник подразделения описывает процесс документооборота для своего направления.

Этап 2: Спускаемся на уровень подразделений, работа та же самая, что и на 1м этапе, но уже рассматриваем каждое подразделение отдельно.

Этап 3: Начинаем привязывать ИА к инфраструктуре, где хранятся, по каким каналам передаются, в каких информационных системах содержатся и тд.

Тут уже берем один ИА и рисуем всю его среду обитания (чем подробнее, тем лучше, тк. потом будет проще выявлять угрозы. Т.е. пишем порты передачи, по каким каналам итд, думаю вам, как ИТшнику это будет проще всего).

Этап 4: Берем все, что наработали и повторно классифицируем (для окончательной ясности) ИА по характеристикам (К,Ц,Д).

По поводу руководства организации, они любят считать деньги. Важно донести до них, что такая работа может привести к оптимизации бизнес процессов. Очень часто ИА гуляют по организации совершенно немыслимыми путями, порождая излишние звенья и тормозя рабочий процесс. После того, как вы нарисуете схему ИА, все это будет очень хорошо видно.

Таким образом, конечная цель инвентаризации ИА не столько защита информации, сколько цели, направленные на развитие бизнеса:

1. Оптимизация бизнес-процессов --> снижение времени выполнения задач, перераспределение нагрузки на сотрудников и подразделения и.т.д.

2. Построение эффективной схемы непрерывности бизнеса. После проведения классификации ИА будет видно, какие из них наиболее критичны для организации, а какие могут повисеть без существенного снижения качества основных бизнес-процессов.

3. Оценка рисков --> грамотное планирование затрат на обеспечение безопасности --> снижение убытков за счет реализации различных категорий рисков итд.

В итоге вы работаете на бизнес, сохраняя ему деньги.

Все это желательно запилить в презентацию и показать руководству, что ваша деятельность не является безопасностью ради безопасности, а направлена именно на поддержку бизнеса.

Ну в кратце вроде все, на основе этой информации можно работать дальше, писать модели угроз и нарушителей, выделять коммерческую тайну, проводить анализ рисков итд.

Но повторюсь, должна быть стимулирующая сила сверху, иначе люди будут вас футболить, тк им это не нужно, и словосочетание "ответственное подразделение" иногда нагоняет на них ужас, что их заставят работать)))

P.S. Я немного забросил данную тему в связи с загрузкой, постараюсь этой статьей начать более подробное рассмотрение проблемы)