Информационный актив компании – часть либо компонент организационной системы, в которую вкладываются средства и которая нуждается в защите. Активы необходимо идентифицировать с учетом понимания факта комплексного состава актива. Любая информационная система, кроме непосредственно данных содержит еще и ПО, средства аппаратного обеспечения и прочее.
Типы активов:
- данные (информация) о процессе или объекте (платежи, данные о продукте);
- компьютеры или другие средства аппаратного обеспечения;
- ПО и различные прикладные программы;
- оборудование для связи;
- физическая продукция компании;
- фонды и услуги (вычислительные, аппаратные, информационные);
- оборудование, создающее условия для выполнения обязанностей сотрудниками компании;
- имидж компании;
- персонал.
Необходимо определить содержание информации, подлежащей безусловной защите, а затем ранжировать активы с учетом важности. Защита данных – это способ предотвращения утечек, несанкционированных действий или любых других процессов по отношению к информации, следовательно, результаты анализа содержания данных должны быть целостными, доступными и конфиденциальными.
Например, если компания что-либо продает, приоритетом является актуальная информация о ценах и услугах, и ее доступность для потенциального покупателя. Если же компания занимается поддержкой баз данных критического значения, целостность данных – в приоритете. Организация режимного назначения, прежде всего, должна обеспечить конфиденциальность данных и защиту от разглашения несанкционированным лицам.
Ранжирование активов обязано согласовываться с целью, которая подана во введении к квалификационной работе. Если речь идет о защите данных способами криптографии, приоритетной должна быть информация, переданная на бумажных носителя. Если тематика работы взывает к защите определенных активов, все активы должны быть оценены и размещены по приоритетам.
В пункте необходимо указать:
а) аргументированная обоснование выбора того или иного актива для оценки;
б) перечисление видов деятельности компании описание активов и их наименования, а также форму отображения (бумажный документ, электронный и т.д.);
в) список владельцев активов, указанных в п б). То есть, перечень субъектов или лиц, несущих ответственность за разработку, использование, производство, контроль и безопасности активов
г) оценку активов с использованием рекомендаций, приведенных далее.
Ценность актива рекомендуется выражаться с учетом юридического лица, ведущего деятельности и способом, максимально соответствующим активу. За определение ценности активов отвечают владельцы.
Чтобы обеспечить комплексный учет активов, необходимо разделить их по группам (информация, ПО, услуги и т.д.). Следует найти критерии выражения стоимости актива. Термины для оценки активов должны быть понятными и однозначными.
Рекомендуемые критерии оценки актива это:
- стартовая стоимость;
- компенсация воссоздания или обновления;
- нематериальная ценность (имидж компании, репутация).
Альтернативный подход к оценке актива допускает учет затрат из-за потери:
- конфиденциальности;
- доступности;
- целостности.
Рекомендуется выбрать размерность производимой оценки (денежные единицы, то есть количественная шкала оценивания или качественные показатели). Для количественной можно применять размерность в миллионах или тысячах рублей, для качественной – термины «малый», «критический», «ничтожно малый», «средний» и т.д.
Актив одного типа должен иметь определение как в количественной так и качественной оценке.
Подпункт (а) можно подать в форме теста. Желательно предоставить данные внутренней проверки системы ИБ. Допускается использование статистических показателей, взятых из источников извне.
а) список информационных активов с обязательным ограничением доступа (согласно действующему законодательству РФ).
б) итог ранжирования. Подается в виде оценке «веса» актива для компании пятибалльной шкале.
Активны с наивысшей ценностью нужно рассматривать в будущем как объекты защиты. Их количество колеблется и зависит от сферы деятельности компании. Для рассмотрения в квалификационной работе рекомендовано взять от 5 до 9 активов.