Информационные активы организации примеры

Основные понятия и определения

Информация, информационная инфраструктура, информационные активы (ресурсы)

Первоначальное значение слова информация — сообщение, осведомление о чем-либо, придворная сплетня; сейчас информация трактуется как явление жизни (взаимодействия) организмов, сведения об окружающем мире, знания, «сырье» для мышления и управления; как обмен сведениями, обмен сигналами в животном и растительном мире, передача генетических признаков и т.п.

Сформулированные к настоящему времени строгие научные определения информации концентрируют внимание на одном из основных аспектов этого многозначного понятия — соотношении информации и материи. Согласно традиционной точке зрения информация — фундаментальная философская категория, о которой (как и о материи) только и можно сказать, что она существует независимо от человека и неотделима от ее материального носителя; информация — отраженное разнообразие движения объектов окружающей действительности.

Информация — одно из основных кибернетических понятий. В частности, она рассматривается как отражение организованности (упорядоченности) кибернетических объектов. Для подчеркивания кибернетического аспекта под информацией понимают сведения (данные, сообщения, факты и т.п.), позволяющие уменьшить имеющуюся неопределенность истинной ситуации или состояния объекта и на основе этого сделать выбор варианта решения из множества возможных равноправных альтернатив.

Остановимся на конкретных, имеющих прикладное значение, определениях понятия «информация», которые в наибольшей степени отражают правовой и технократический аспекты проблемы информационной безопасности и защиты информации.

В настоящее время при определении информации как многозначного понятия и объекта информационной безопасности подчеркиваются следующие ее стороны [17]:

• 1) сведения (сообщения, данные), документированная информация, важнейший информационный актив (ресурс);
• 2) объект правовых отношений, ценный товар;
• 3) сила, поднимающая или «убивающая» человека, приводящая в движение общественные структуры, производственные мощности, армии и т.д.

В мире взаимодействующих организмов и человеко-машинных систем информация проявляется прежде всего как сведения (сообщения, данные).

Для передачи, преобразования, обработки или хранения информации используются различные сигналы — знаки (символы) и материальные носители. Это позволяет представить ее в любой форме (письменный текст, изображение на бумаге, пленке или на экране монитора, речь или звуковая волна, отображенная на том или ином физическом носителе, цифровая последовательность, циркулирующая в ЭВМ или хранящаяся в памяти, флэш-памяти, компакт-диске, радиосигнал и т.п.). Информация может быть представлена в виде сообщений и данных (алфавитных, цифровых и алфавитно-цифровых последовательностей тех или иных символов (знаков) и упорядоченных структур), а также программ. Информация переносится или отображается с помощью сигнала — некоторого физического процесса.

На этом обстоятельстве сделан акцент в определении, сформулированном в Федеральном законе (ФЗ) «Об информации, информационных технологиях и о защите информации» (2006). В нем к информации относятся сведения (сообщения, данные) независимо от формы их представления. Дополнительно в ФЗ устанавливается такое понятие как документированная информация — зафиксированная на материальном носителе информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель, а также ряд других важных понятий.

Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация как объект правовых отношений может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Информация может быть товаром, т.е. всем тем, что может удовлетворить потребность или нужду и предлагается рынку с целью привлечения внимания, приобретения, использования или потребления.

При исследовании вопросов информационного или компьютерного права, правовых аспектов проблемы защиты информации (и защиты от информации), необходим нетрадиционный подход к понятию «информация». Он должен учитывать «силовой» характер воздействия информации, отмеченный в работе [22]. Согласно философским принципам, информация не является чем-то самостоятельным, не представляет собой нечто абсолютное, но имеет информационный характер только в отношении системы, воспринимающей информацию.

Информация является отношением соответствия двух систем. При информационном процессе информирующая (воздействующая) система производит в информируемой (реагирующей) системе определенное преобразование, на что требуется расходование свободной энергии. Эта энергия принадлежит самой реагирующей системе, которая освобождается при получении сигнала от информирующей системы. При этом информационное содержание, которое только и делает воздействие вообще конкретным сигналом, заключается в соответствии (качественном и количественном) энергии воздействия и энергии разрядки отражающей системы.

Отношение соответствия энергетических состояний двух систем приобретает знаковый характер, а сам сигнал становится знаком, когда он моделируется механизмом отражательных аппаратов отдельного человека, массового сознания, человеко-машинных систем, автоматизированных систем управления и т.п. в виде возбуждения их соответствующих элементов.

Информационное воздействие, будучи «силовым» по характеру, может иметь для реагирующей системы различные, иногда прямо противоположные последствия: оно обеспечивает сохранение или развитие этой системы либо разрушает ее.

В дальнейшем, не исключая из рассмотрения все стороны этого многозначного понятия, под информацией будем понимать сведения (сообщения, данные) независимо от формы их представления, являющиеся объектом сбора, хранения, обработки и передачи.

Информация — один из важных объектов информационной безопасности и важнейший защищаемый актив (ресурс) государства, организации, в том числе корпорации, предприятия и т.п. или информационной системы (сети), в которой она находится или может находиться.

Другим важным объектом информационной безопасности и защищаемым активом (ресурсом) является информационная инфраструктура.

Следуя работе [23], под информационной инфраструктурой будем понимать совокупность используемых (государством, обществом, организацией, корпорацией, предприятием) информационных технологий и технических средств (информационных систем и сетей, автоматизированных средств и других), а также социальных институтов и персонала, реализующих функции информационного взаимодействия и обеспечивающих создание, эксплуатацию и модернизацию технических систем.

Иногда говорят об информационной и телекоммуникационной инфраструктуре, выделяя важную коммуникационную компоненту информационного взаимодействия.

Информационные технологии могут выступать самостоятельным объектом информационной безопасности. Здесь они трактуются как ключевой элемент информационной инфраструктуры, во многом определяющим ее содержание. Под информационными технологиями понимаются процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов [24].

В законе «Об информации, информационных технологиях и о защите информации» используются также следующие основные понятия:

• — информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
• — информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

В соответствии с ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технология. Практические правила управления информационной безопасностью» информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационные активы (ресурсы) — информация и/или ресурсы (информационные, технические, программные), подлежащие защите в организации, ее информационных системах и сетях.

Примерами активов организации, связанных с информационными системами, являются [25J:

• — собственно информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
• — активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
• — физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
• — услуги: информационные, вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.

Что такое информационные активы? Примеры

Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?

Общая информация

Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.

Об общих понятиях

Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:

1. Информационный актив. Это данные с реквизитами, которые позволяют провести идентификацию. Имеют ценность для определенной организации и находятся в ее распоряжении. Представлены на любом материальном носителе в форме, которая позволяет обрабатывать ее, хранить, или передавать.
2. Классификация информационных активов. Это разделение имеющихся данных организации по типам, которые соответствуют степени тяжести возникающих последствий как результат потери их важных свойств.

Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.

Немного о классификации для предприятий

Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:

1. Общедоступную (открытую) информацию.
2. Персональные данные.
3. Информацию, содержащую сведения, что составляют банковскую тайну.
4. Данные, что относятся к коммерческим секретам.

Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.

Классификационные модели

Чаще всего встречаются две из них:

1. Однофакторная классификация. Базируется на степени ущерба. Здесь во просто. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический. Если неопределенному кругу лиц будет известно, кого директор принимает сегодня в своем кабинете, то это можно классифицировать как минимальный вид ущерба. Но вот если информация о подкупе государственного чиновника утечет в прокуратуру, это критическое положение.
2. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.

О классах

Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:

1. Открытый класс. В данном случае не предусмотрены ограничения на распространение и использование, финансовый ущерб от известности отсутствует.
2. Для служебного пользования. Для использования внутри организации. Финансовый ущерб отсутствует. Но могут возникнуть иные виды убытков для работников организации или всей структуры.
3. Конфиденциальная. Предусмотрено использование внутри организации, при работе с клиентами и контрагентами. Разглашение принесет финансовый ущерб.

О конфиденциальных данных

Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:

1. С ограниченным доступом. Предусматривает использование определенным кругом сотрудников организации. Финансовый ущерб обычно оценивается в сумму до миллиона рублей.
2. Секретная. Предусматривает использование исключительно определенными членами руководящего состава организации. Финансовый ущерб обычно начинается от значений в миллион рублей.
3. Совершенно секретная. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести ущерб министерству или отрасли экономики в одной или нескольких перечисленных областях.
4. Особой важности. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести существенный ущерб Российской Федерации в одной или нескольких перечисленных областях.

Как же обрабатываются информационные активы?

Давайте рассмотрим один из возможных алгоритмов:

1. Выявляются информационные активы, существующие в любом виде (электронные и бумажные документы, потоки данных, флешки и тому подобное), что циркулируют между подразделениями в организации. Все это собирается, уточняется, и строится большая схема, на которой все отображено.
2. Делаем все то же, но уже по отношению к каждому отдельному подразделению.
3. Информационные активы привязываются к инфраструктуре, в которой хранятся, отмечается, по каким каналам передаются, где и в каких системах содержатся и тому подобное. Здесь есть один важный момент! Этот пункт предусматривает работу с каждым отдельным информационным активом. Для него рисуется вся среда обитания (чем более детализовано, тем лучше, ведь легче будет выявить угрозы). Нужно отобразить порты передачи, каналы и прочее.
4. Берем все наработки и повторно классифицируем их, используя такие характеристики, как конфиденциальность, доступность, целостность.

Жизненный цикл

Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл – это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:

1. Информация используется в операционном режиме. Это значит, что она принимает участие в производственном цикле и востребована постоянно.
2. Информация используется в архивном режиме. Это значит, что она не принимает непосредственного участия в производственном цикле, хотя периодически требуется для совершения аналитической или иной деятельности.
3. Информация хранится в архивном режиме.

Вот, пожалуй, и все. Какие данные хранятся – информационная база активов или что-то другое – это не важно. Главное – обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.

Информационные активы

«. Информационные активы (information asset): информационные ресурсы или средства обработки информации организации. «

Источник:

«ФИНАНСОВЫЕ УСЛУГИ. РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/ТО 13569-2007»

(утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое «Информационные активы» в других словарях:

информационные активы — 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. Источник: ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности 3.35 информационные активы… … Словарь-справочник терминов нормативно-технической документации

активы организации — Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды информации, циркулирующие в… … Справочник технического переводчика

активы — 2.2 активы (asset): Все, что имеет ценность для организации. Источник … Словарь-справочник терминов нормативно-технической документации

активы организации — 3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды… … Словарь-справочник терминов нормативно-технической документации

активы организации банковской системы Российской Федерации — 3.2. активы организации банковской системы Российской Федерации : все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации БС РФ могут относиться: банковские… … Словарь-справочник терминов нормативно-технической документации

Активы организации банковской системы — 3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал),… … Официальная терминология

Бизнес-активы Михаила Прохорова — Ниже приводится справочная информация об активах Прохорова. В рейтинге самых богатых бизнесменов 2012 по версии русского Forbes Михаил Прохоров занимает седьмое место с 13,2 миллиарда долларов. Основные активы Михаила Прохорова сосредоточены в… … Энциклопедия ньюсмейкеров

интеллектуальные активы — Включают накопленную информацию и знания сотрудников. [http://www.morepc.ru/dict/] Тематики информационные технологии в целом EN intellectual assets … Справочник технического переводчика

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

Идентификация и оценка информационных активов.

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

1) Определить ценность этих активов

2) Определить перечень угроз и вероятность их реализации

3) Произвести оценивание и ранжирование рисков

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.

Типы активов ООО «Торговый Дом ЛФЗ»:

· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)

· Документы (договора, контракты, служебные записки)

· Программное обеспечение, включая прикладные программы

· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

ООО «Торговый Дом ЛФЗ» — является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Продолжение Таблицы 1.2.1.1

Продолжение Таблицы 1.2.1.1

Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

Оценка уязвимостей активов.

Уязвимость информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

Результаты оценки уязвимости активов представлены в таблице 3.

Оценка угроз активам.

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации — оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

Рисунок 2. Основные виды угроз информационной безопасности.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

— ошибки и упущения;
— мошенничество и кража;
— случаи вредительства со стороны персонала;
— ухудшение состояния материальной части и инфраструктуры;
— программное обеспечение хакеров, например имитация действий законного пользователя;

— программное обеспечение, нарушающее нормальную работу системы;

При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:
— частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
— мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
— географические факторы — такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

Что такое информационные активы? Примеры

Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?

Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.

Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:

1. Информационный актив. Это данные с реквизитами, которые позволяют провести идентификацию. Имеют ценность для определенной организации и находятся в ее распоряжении. Представлены на любом материальном носителе в форме, которая позволяет обрабатывать ее, хранить, или передавать.
2. Классификация информационных активов. Это разделение имеющихся данных организации по типам, которые соответствуют степени тяжести возникающих последствий как результат потери их важных свойств.

Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.

Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:

1. Общедоступную (открытую) информацию.
2. Персональные данные.
3. Информацию, содержащую сведения, что составляют банковскую тайну.
4. Данные, что относятся к коммерческим секретам.

Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.

Чаще всего встречаются две из них:

1. Однофакторная классификация. Базируется на степени ущерба. Здесь во просто. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический. Если неопределенному кругу лиц будет известно, кого директор принимает сегодня в своем кабинете, то это можно классифицировать как минимальный вид ущерба. Но вот если информация о подкупе государственного чиновника утечет в прокуратуру, это критическое положение.
2. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.

Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:

1. Открытый класс. В данном случае не предусмотрены ограничения на распространение и использование, финансовый ущерб от известности отсутствует.
2. Для служебного пользования. Для использования внутри организации. Финансовый ущерб отсутствует. Но могут возникнуть иные виды убытков для работников организации или всей структуры.
3. Конфиденциальная. Предусмотрено использование внутри организации, при работе с клиентами и контрагентами. Разглашение принесет финансовый ущерб.

Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:

1. С ограниченным доступом. Предусматривает использование определенным кругом сотрудников организации. Финансовый ущерб обычно оценивается в сумму до миллиона рублей.
2. Секретная. Предусматривает использование исключительно определенными членами руководящего состава организации. Финансовый ущерб обычно начинается от значений в миллион рублей.
3. Совершенно секретная. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести ущерб министерству или отрасли экономики в одной или нескольких перечисленных областях.
4. Особой важности. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести существенный ущерб Российской Федерации в одной или нескольких перечисленных областях.

Давайте рассмотрим один из возможных алгоритмов:

1. Выявляются информационные активы, существующие в любом виде (электронные и бумажные документы, потоки данных, флешки и тому подобное), что циркулируют между подразделениями в организации. Все это собирается, уточняется, и строится большая схема, на которой все отображено.
2. Делаем все то же, но уже по отношению к каждому отдельному подразделению.
3. Информационные активы привязываются к инфраструктуре, в которой хранятся, отмечается, по каким каналам передаются, где и в каких системах содержатся и тому подобное. Здесь есть один важный момент! Этот пункт предусматривает работу с каждым отдельным информационным активом. Для него рисуется вся среда обитания (чем более детализовано, тем лучше, ведь легче будет выявить угрозы). Нужно отобразить порты передачи, каналы и прочее.
4. Берем все наработки и повторно классифицируем их, используя такие характеристики, как конфиденциальность, доступность, целостность.

Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл – это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:

1. Информация используется в операционном режиме. Это значит, что она принимает участие в производственном цикле и востребована постоянно.
2. Информация используется в архивном режиме. Это значит, что она не принимает непосредственного участия в производственном цикле, хотя периодически требуется для совершения аналитической или иной деятельности.
3. Информация хранится в архивном режиме.

Вот, пожалуй, и все. Какие данные хранятся – информационная база активов или что-то другое – это не важно. Главное – обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.

Источники:

http://studref.com/431867/informatika/osnovnye_ponyatiya_opredeleniya
http://businessman.ru/chto-takoe-informatsionnyie-aktivyi-primeryi.html
http://official.academic.ru/8343/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B5_%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D1%8B
http://lektsia.com/5x84ea.html
http://bez-tebya.ru/biznes-i-finansy/chto-takoe-informacionnye-aktivy-primery