пятница, 29 августа 2014 г.

Нужно больше про активы....!


Решил ответить на комментарий коллеги в отдельном посте, так как есть о чем подискутировать. Итак:

coalmandrake26 августа 2014 г., 8:50
Мне кажется, категорирование информационных активов - это не одно и то же, что категорирование информации: я делаю так, прошу оценить и высказать замечания:
1. Автоматизированные банковские системы:
1.1. программное обеспечение:
1.1.1. операционные системы;
1.1.2. прикладное ПО
1.1.3. СЗИ
1.1.4. СУБД
1.2. СКЗИ:
1.2.1. ПО
1.2.2. ПАК (токены, аккорд)
1.3. средства вычислительной техники:
1.3.1. ПК, включая прошивки компонент ПК
1.3.2. Тонкие клиенты
1.3.3. Серверное оборудование
1.3.4. носители информации:
1.3.4.1. Отчуждаемые
1.3.4.2. Неотчуждаемые
1.3.4.3. бумажные
1.4. телекоммуникационное оборудование:
1.4.1. коммутаторы
1.4.2. маршрутизаторы
1.4.3. модемы
1.4.4. СКС
2. информация
2.1. информация ограниченного доступа:
2.1.1. ПДн,
2.1.2. БТ,
2.1.3. КТ,
2.1.4. ИИ,
2.1.5. СИ
2.2. общедоступная информация (целостность, доступность)
2.2.1. отчетность
2.2.2. информация в сми, социальных сми, репутация банка, отзывы клиентов и сотрудников о работе банка, информация об участии работников в схемах сомнительного характера
2.2.3. информация на сайте и в помещениях
3. работники и лица, оказывающие услуги
3.1. допуск к информации, разглашение 3м лицам
3.2. лояльность банку
4. бизнес-процессы:
4.1. платежный технологический:
4.1.1. ДБО
4.1.2. Пластик
4.1.3. Переводы
4.1.4. Кор отношения
4.1.5. Биржи
4.1.6. РКО клиентов
4.1.7. Внутренние перемещения между счетами, в т.ч. при кредитовании
4.2. неплатежный технологический
4.2.1. отчетность
4.2.2. внутренние процессы
4.3. иные (менеждмент и проч)


Сразу хотелось бы отметить, что представленный мной подход основан на нормативной базе СТО БР ИББС, в которой существуют следующие определения:

Актив – все, что имеет ценность для организации БС РФ и находится в ее распоряжении.

К активам организации БС РФ могут относиться:
  • работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.;
  • различные виды банковской информации — платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.;
  • банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);
  • банковские продукты и услуги, предоставляемые клиентам.


Информационный актив – информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

Классификация информационных активов – разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.

Объект среды информационного актива – материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

Также в СТО БР ИББС-1.0-2014 приведено определение информации из Федерального закона от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”.

Информация – сведения (сообщения, данные) независимо от формы их представления

Таким образом, как только информация получает реквизиты, она становится информационным активом, а значит словосочетание «категорирование информационных активов» является подмножеством определения «категорирование информации». Есть информация, которая отнесена к банковской тайне, если подобная информация содержится в информационном активе, то данный актив так же будет отнесен к банковской тайне, но еще можно будет оценить его ценность для организации по КЦД или потенциальному ущербу. Установление данной связи, на мой взгляд, является основной задачей любого категорирования. Особо хочу отметить, что речь идет не о категорировании активов, этим занимается завхоз, проставляющий инвентарные номера на столы, стулья, и моргающие железные ящики, а о категорировании информации об этих предметах.
Теперь рассмотрим представленный перечень. Я позволил себе для наглядности немного порисовать. И вот что получилось.

Весь представленный список можно сложить как матрешку. У нас есть бизнес-процессы, в которых крутятся определенные информационные активы. Таким образом, по логике вещей, начинать перечень нужно было именно с бизнес-процессов. Определив перечень бизнес-процессов, можно переходить к перечислению задействованных в них информационных активов. Данные информационные активы могут быть БТ, КТ, ПДн  итд., и располагаться на бумажных или отчуждаемых и неотчуждаемых электронных носителях, расположенных на рабочих станциях и серверах входящих в АБС. На мой взгляд, большой ошибкой является отделения информационного актива от объектов окружения. Информация о том, что у вас есть 500 жестких дисков фирмы IBM имеет одну ценность, а вот информация, что база данных ваших клиентов, содержащая определенные поля, храниться на 500 дисках фирмы IBM и доступ к этой базе получается из АБС, клиенты которой установлены на ПК с определенной конфигурацией и тд. стоит уже гораздо больше. В свою очередь, информация об объектах окружения, например схема ЛВС с указанием средств сетевой безопасности является информационным активом, задействованном в определенном бизнес-процессе и также может быть отнесена к одной из тайн и быть зафиксирована на любом типе носителей информации. Кроме того, ИА могут быть задействованы в различных бизнес-процессах одновременно, по этому в более продвинутых перечнях желательно эту связь отражать, хотя можно это сделать и на схеме ИА.
В итоге, я бы пересмотрел представленный перечень в сторону конкретизации самого понятия «информационный актив». Например:
1.      Бизнес-процессы
1.1. Платежные
1.1.1.      ДБО
1.1.1.1  ИА1(БТ)
1.1.1.2  ИА2(КТ)
1.1.1.3  ……
1.1.2.      ….
1.1.3.      ….
1.2. Неплатежные
1.2.1.

В принципе, по перечню можно судить, что проделан огромный объем работы, но на мой взгляд, отталкиваясь именно от бизнес-процессов, гораздо легче можно реагировать на любые изменения. Сказать что-то более подробно сложно из-за недостатка информации. В свою очередь, состав перечня, его вид, подробность и тд. могут быть продиктованы определенными обстоятельствами, пожеланием заказчика, ресурсами, временем и целями. В общем как-то так... 

5 комментариев:

  1. Сама по себе классификация может быть любой. Вопрос в том, насколько такая классификация удобна при интерпретации бизнес-задач, бизнес-процессов, IT-процессов, организационных процессов и т.п. для решения задач ИБ в целом. В какой то среде удобно классифицировать сегменты ИТ инфраструктуры и организационной архитектуры для локализации по принципу обработки информации по данной классификации в какой то может быть нет. В любом случае классификация по одному вектору может быть ущербна. Нужно проводить итерации и со стороны нормативки и со стророны IT и со стороны бизнес-процессов и быть готовым к тому, что процесс не останавливается.

    ОтветитьУдалить
  2. Собирать информацию от бизнеса и интерпретировать ее на информационные системы - та еще задачка...

    ОтветитьУдалить
  3. Способ классификации зависит от целей, с какими она делается. Судя по определению ЦБ (на самом деле НПФ "Кристалл", но неважно), дернутому из ISO, дальше идет оценка рисков, которая раньше (!!) бралась из уязвимостей активов. Но с прошлого года подход "от уязвимостей" стал в ISO антинаучным Зачем ЦБ хочет инвентаризацию/классификацию активов - вопрос на засыпку

    ОтветитьУдалить
    Ответы
    1. На мой взгляд,основной целью инвентаризации ИА является ответ на вопрос, а что мы вообще защищаем. В большинстве компаний, где я проводил такую работу, защита информации строилась по принципу, "а давайте еще воткнем DLP, SIEM и EMM и какой нибудь VPN, бюджет же надо запилить". По рискам в 2011 г. был выпущен стандарт ISO/IEC 27005:2011, подробно раскрывающий данную тему, поэтому из основного стандарта было исключено детальное описание рекомендуемого подхода к оценке рисков. Теперь компания может самостоятельно выбирать подходящую методологию (метод "актив - угроза - уязвимость" останется как лучшая практика для этого стандарта). Нюанс только в том,что из стандарта убрали термин "владелец актива" (asset owner), вместо него используется термин "владелец риска" (risk owner) а так же более широкие понятия "информация" и "сервис", а ЦБ использует данный подход по инерции. На сколько я знаю, на более детальную переработку стандартов нет ресурсов и времени.

      Удалить