Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Определение и установление ценности активов и оценка влияния
В.1 Примеры определения активов
Для установления ценности активов организация должна в первую очередь определить все свои активы на соответствующем уровне детализации. Могут различаться два вида активов:
- основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию;
- вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации, структуру организации.
В.1.1 Определение основных активов
Данная деятельность заключается в определении основных активов (бизнес-процессы и бизнес-деятельность, информация). Такое определение осуществляется сотрудниками совместной рабочей группы, участвующими в процессе (руководители, специалисты в сфере информационных систем и пользователи).
Основными активами обычно являются базовые процессы и информация о деятельности организации в ее сфере действия. Могут рассматриваться также и другие основные активы, такие, как процессы жизнедеятельности организации, которые будут иметь отношение к формированию политики ИБ или плана непрерывности бизнеса. В зависимости от цели, иногда не требуется исчерпывающий анализ всех элементов, входящих в процесс менеджмента риска. В таких случаях рамки изучения могут быть ограничены наиболее значимыми элементами.
Основные активы бывают двух типов.
1 Бизнес-процессы (или подпроцессы) и бизнес-деятельность, например:
- процессы, утрата или ухудшение которых делает невозможным реализацию целей и задач организации;
- процессы, содержащие засекреченные процессы или процессы, созданные с использованием патентованной технологии;
- процессы, модификация которых может значительно повлиять на реализацию целей и задач организации;
- процессы, которые необходимы организации для выполнения договорных, законодательных или нормативных требований.
2 Информация. В общем основная информация включает в себя:
- информацию, необходимую для реализации назначения или бизнеса организации;
- информацию личного характера, которая определена особым образом, соответствующим национальным законам о неприкосновенности частной жизни;
- стратегическую информацию, необходимую для достижения целей, определяемых направлением стратегии организации;
- ценную информацию, сбор, хранение, обработка и передача которой требуют продолжительного времени и/или связаны с большими затратами на ее приобретение.
Процессы и информация, которые не были определены как чувствительные относительно данной деятельности, не будут иметь определенной классификации в оставшейся части исследования. Это означает, что если такие процессы или информация будут скомпрометированы, организация по-прежнему будет успешно осуществлять свое назначение. Тем не менее они часто наследуют меры и средства контроля и управления, реализуемые для защиты процессов и информации, определенных как чувствительные.
В.1.2 Перечень и описание вспомогательных активов
Сфера рассмотрения включает активы, которые должны быть определены и описаны. Этим активам присущи уязвимости, которые могут быть использованы угрозами, нацеленными на порчу основных активов сферы рассмотрения (процессов и информации). Они могут быть различных типов.
Аппаратные средства
Тип "аппаратные средства" включает все физические элементы, поддерживающие процессы.
Аппаратура обработки данных (активная). Аппаратура автоматизированной обработки информации состоит из элементов, необходимых для независимой работы.
Мобильная аппаратура. Портативная вычислительная техника.
Пример - Портативный компьютер (ноутбук), карманный компьютер.
Стационарная аппаратура. Вычислительная техника, используемая в помещениях организации.
Пример - Сервер, микрокомпьютер, используемый в качестве рабочей станции.
Периферийное обрабатывающее оборудование. Аппаратура, подсоединенная к компьютеру посредством связного порта (соединение через последовательные, параллельные каналы и т. п.) для ввода, перемещения или передачи данных.
Пример - Принтер, сменный дисковод.
Носитель данных (пассивный)
Это носители для хранения данных или функций.
Электронный носитель. Носитель информации, который может быть подсоединен к компьютеру или компьютерной сети для хранения данных. Несмотря на компактный размер, такие носители могут содержать большой объем данных. Они могут использоваться со стандартной вычислительной аппаратурой.
Пример - Гибкие диски, CD ROM, резервный картридж, сменный жесткий диск, ключ защиты памяти, магнитная лента.
Другие носители. Статичные, неэлектронные носители, содержащие данные.
Примеры - Бумага, слайд, диапозитив, документация, факс.
Программное обеспечение
Программное обеспечение включает программы, содействующие работе устройства по обработке данных.
Операционная система. Такое наименование подразумевает включение всех программ компьютера, создающего операционную основу, на которой исполняются все другие программы (сервисы или приложения). Оно означает включение ядра и основных функций или сервисов. В зависимости от архитектуры операционная система может быть монолитной или состоящей из микроядра и совокупности системных сервисов. Главными элементами операционной системы являются все сервисы менеджмента оборудования (центральное процессорное устройство, запоминающее устройство, диски и сетевые интерфейсы), сервисы менеджмента задач или процессов, а также сервисы менеджмента пользователей и прав пользователей.
Программное обеспечение обслуживания, сопровождения или администрирования. Программное обеспечение дополняет сервисы операционной системы, но не обслуживает непосредственно пользователей или приложения (даже если это обычно является важным или обязательным для общей работы информационной системы).
Пакетное программное обеспечение или стандартные программы. Стандартные программы или пакетное программное обеспечение являются завершенными продуктами, предназначенными для получения прибыли (а не одноразовыми или специфическими разработками), продаваемыми вместе с носителем, версией и сопровождением. Они обеспечивают сервисы для пользователей и приложений, но не являются персонифицированными или специфичными в отличие от бизнес-приложений.
Пример - Программное обеспечение управления базой данных, программное обеспечение электронного обмена сообщениями, программное обеспечение коллективного пользования, программное обеспечение каталогов, программное обеспечение Web-сервера и т.д.
Бизнес-приложение
Стандартное бизнес-приложение. Коммерческое программное обеспечение, предназначенное для предоставления пользователям прямого доступа к сервисам и функциям, требуемым ими от своей информационной системы в своем профессиональном контексте. Существует огромное разнообразие видов такого программного обеспечения.
Пример - Программное обеспечение учетных записей, программное обеспечение управления станками, программное обеспечение медицинского наблюдения за пациентами, программное обеспечение менеджмента компетентности персонала, административное программное обеспечение и т.д.
Специфическое бизнес-приложение. Программное обеспечение, в котором различные аспекты (главным образом, поддержка, сопровождение, модернизация и т.д.) были разработаны специально для предоставления пользователям прямого доступа к сервисам и функциям, требуемым ими от своей информационной системы. Существует огромное разнообразие видов такого программного обеспечения.
Пример - Менеджмент счетов клиентов операторов дальней связи, приложение мониторинга запуска ракет в реальном времени.
Сеть
Тип "сеть" состоит из всех телекоммуникационных устройств, используемых для соединения нескольких физически удаленных компьютеров или элементов информационной системы.
Среда и поддержка. Среда или оборудование связи и дальней связи характеризуются, главным образом, физическими и техническими характеристиками оборудования ("точка-точка", ретрансляция) и протоколами связи (канальный или сетевой - уровни 2 и 3 семиуровневой модели взаимодействия открытых систем).
Пример - Коммутируемая телефонная сеть общего пользования (PSTN - Public Switching Telephone Network), Ethernet, Gigabit Ethernet, асимметричная цифровая абонентская линия (ADSL - Asymmetric Digital Subscriber Line), стандарты на беспроводную связь (например, WiFi 802.11), спецификация Bluetooth, стандарт FireWire.
Пассивные или активные ретрансляторы. Данный подтип включает все устройства, являющиеся не оконечными, а промежуточными устройствами связи. Ретрансляторы характеризуются поддерживающими сетевыми протоколами связи. В дополнение к базовому ретранслятору они зачастую обеспечивают функции и сервисы маршрутизации и/или фильтрации с использованием связных коммутаторов и маршрутизаторов с фильтрами. Управление ими зачастую может осуществляться на расстоянии, и обычно они способны генерировать журналы регистрации.
Пример - Мост, маршрутизатор, концентратор, коммутатор, автоматический коммутатор каналов.
Связной интерфейс. Связные интерфейсы процессоров подсоединены к процессорам, но характеризуются средой и поддерживающими протоколами, любыми установленными функциями фильтрации, регистрации или генерации предупреждений и их функциональными возможностями, а также возможностью и необходимостью удаленного управления.
Пример - Пакетная радиосвязь общего назначения (GPRS - General Packet Radio Service), Ethernet-адаптер.
Персонал
Тип "персонал" состоит из всех групп сотрудников, участвующих в работе информационной системы.
Лицо, принимающее решения. Лицами, принимающими решения, являются владельцы основных активов (информации и функций) и руководители организации или определенного проекта.
Пример - Высшее руководство, руководитель проекта.
Пользователи. Пользователями является персонал, обрабатывающий чувствительные элементы в контексте своей деятельности и несущий в этой связи определенную ответственность. Они могут обладать особыми правами доступа к информационной системе, необходимыми им для решения своих повседневных задач.
Пример - Руководитель отдела кадров, руководитель финансового отдела, руководитель, осуществляющий менеджмент риска.
Персонал по эксплуатации и сопровождению. Это персонал, занимающийся эксплуатацией и сопровождением информационной системы. Он обладает особыми правами доступа к информационной системе, необходимыми ему для решения своих повседневных задач.
Пример - Системный администратор, администратор данных, оператор резервирования, справочного стола, развертывания приложений, сотрудники службы безопасности.
Разработчики. Разработчики занимаются разработкой приложений организации. Они обладают высокоуровневыми правами доступа к части информационной системы, но не выполняют каких-либо действий в отношении данных, связанных с выпуском продукции.
Пример - Разработчики бизнес-приложений.
Место функционирования организации
Тип "место функционирования организации" включает в себя все площадки, имеющие отношение к области применения или части области применения, и физические средства, необходимые для ее функционирования.
Внешняя среда. Внешней средой являются все места, в которых не могут применяться средства обеспечения безопасности организации.
Пример - Жилища персонала, помещения другой организации, среда за пределами места функционирования организации (городская зона, опасная зона).
Владения организации. Это пространство ограничивается периметром организации, непосредственно контактирующим с внешней средой. Речь может идти о физической защитной границе, обеспечиваемой созданием физических барьеров, или о средствах наблюдения, установленных вокруг зданий.
Пример - Штат организации, здания.
Зона. Зона создается физической защитной границей, образующей отдельные участки на территории организации. Она обеспечивается с помощью создания физических барьеров вокруг инфраструктур обработки информации организации.
Пример - Офисы, зарезервированная зона доступа, безопасная зона.
Основные сервисы. Все сервисы, необходимые для функционирования оборудования организации.
Связь. Телекоммуникационные сервисы и оборудование, обслуживаемые оператором.
Пример - Телефонная линия, АТС организации с исходящей и входящей связью, внутренние телефонные сети.
Коммуникации. Сервисы и средства (источники и электропроводка), необходимые для снабжения энергией информационно-технологического оборудования и периферийных устройств:
Пример - Источники электропитания с низким напряжением, инвертор, распределительное устройство электрической цепи.
- водоснабжение;
- удаление отходов;
- сервисы и средства (оборудование, контроль) для охлаждения и очистки воздуха.
Пример - Трубы водяного охлаждения, кондиционеры воздуха.
Организация
Тип "организация" связан с описанием схемы организации, состоящей из всех кадровых структур, выполняющих некую работу, и процедур, управляющих этими структурами.
Административные органы. Структуры, от которых указанная организация получает свои полномочия. Они могут быть юридически оформленными филиалами организации или внешними структурами. Это налагает ограничения на оцениваемую организацию в плане правил, решений и действий.
Пример - Контролирующая организация, правление организации.
Структура организации. Она состоит из различных отделений организации, включая деятельность организации с пересекающимися функциями под управлением ее руководства.
Пример - Кадровый менеджмент, менеджмент ИТ, снабженческий менеджмент, менеджмент бизнес-подразделений, служба безопасности зданий, пожарная служба, менеджмент аудита.
Организация проекта или системы. Организация, созданная для определенного проекта или сервиса.
Пример - Проект разработки нового приложения, проект миграции информационной системы.
Контрагенты/поставщики/изготовители. Организация, обеспечивающая данную организацию сервисом или ресурсами и связанная с ней договором.
Пример - Компания по управлению оборудованием, аутсорсинговая компания, консалтинговые компании.
В.2 Установление ценности активов
Следующий шаг после определения активов состоит в согласовании используемой шкалы ценностей и критериев для присвоения каждому активу определенного положения на шкале, основанного на установлении ценности. Вследствие разнообразия активов, встречающихся в большинстве организаций, вероятно, что некоторые активы, имеющие известную денежную ценность, будут оценены в единицах местной валюты, тогда как другим, обладающим в большей степени качественной ценностью, может быть присвоена ценность, колеблющаяся, например, в пределах от "очень низкой" до "очень высокой". Решение о том, какую шкалу использовать, количественную или качественную, в действительности является вопросом предпочтения организации, но она должна быть уместна для оцениваемых активов. Оба вида определения ценности могут быть использованы для одного и того же актива.
Типичные термины, используемые для качественного установления ценности активов, включают следующие определения: пренебрежимо малая, очень низкая, низкая, средняя, высокая, очень высокая, критичная. Выбор и диапазон терминов, подходящих для организации, сильно зависят от потребности в безопасности организации, размера организации и других, характерных для организации факторов.
Критерии
Критерии, используемые в качестве основы для присвоения ценности каждому активу, должны быть записаны в однозначных выражениях. Это часто является одним из наиболее сложных аспектов установления ценности активов, поскольку ценность некоторых активов, возможно, должна устанавливаться субъективно и принимать решения, вероятно, будут разные люди. Возможные критерии, используемые для определения ценности актива, включают его исходную стоимость, стоимость его замены или воссоздания, или ценность, которая может быть абстрактной, например ценность репутации организации.
Еще одной основой для установления ценности активов являются расходы, понесенные из-за потери конфиденциальности, целостности и доступности в результате инцидента. Неотказуемость, учетность, подлинность и надежность также должны рассматриваться соответствующим образом. Такое установление ценности обеспечит изменения важных элементов ценности актива в дополнение к восстановительной стоимости, основанных на приблизительных оценках неблагоприятных последствий для бизнеса, вытекающих из инцидентов безопасности с предполагаемой совокупностью обстоятельств. Следует подчеркнуть, что при этом подходе принимаются во внимание последствия, которые необходимо включать в оценку риска.
Многим активам в ходе установления ценности могут присваиваться несколько значений ценности. Например, бизнес-план может оцениваться на основе труда, затраченного на его разработку, он может оцениваться на основе труда, необходимого для ввода данных, или он может оцениваться на основе его значимости для конкурентов. Все эти присвоенные значения ценности скорее всего будут существенно различаться. Присвоенное значение может быть максимальным из всех возможных значений или суммой некоторых или всех возможных значений. В окончательном анализе должно быть тщательно определено, какое значение или значения ценности присваиваются активу, потому что окончательная присвоенная ценность включается в определение ресурсов, которые должны быть затрачены на защиту актива.
Сведение к общей основе
В конечном счете все установления ценности активов должны быть сведены к общей основе. Это можно сделать с помощью критериев, приведенных ниже. Критерии, которые могут использоваться для оценки возможных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости, учетности, подлинности или надежности активов, включают:
- нарушение законодательства и/или норм;
- ухудшение функционирования бизнеса;
- потеря "неосязаемого капитала"/негативное влияние на репутацию;
- нарушения, связанные с личной информацией;
- создание угрозы личной безопасности;
- неблагоприятное влияние на обеспечение правопорядка;
- нарушение конфиденциальности;
- нарушение общественного порядка;
- финансовые потери;
- нарушение бизнес-деятельности;
- создание угрозы для безопасности окружающей среды.
Другим подходом к оценке последствий могут быть:
- прерывание сервиса - невозможность обеспечения сервиса;
- утрата доверия клиента - утрата доверия международной информационной системе, потеря репутации;
- нарушение внутреннего функционирования - нарушения внутри самой организации, дополнительные внутренние расходы;
- нарушение функционирования третьей стороны - нарушения в функционировании третьих сторон, ведущих дела с организацией, различные виды убытков;
- нарушение законов/норм - неспособность выполнения правовых обязательств;
- нарушение договора - неспособность выполнения договорных обязательств;
- опасность для персонала/безопасность пользователей - опасность для персонала и/или пользователей организации;
- вторжение в частную жизнь пользователей;
- финансовые потери;
- финансовые потери, связанные с чрезвычайными обстоятельствами или ремонтом - касающиеся персонала, касающиеся оборудования, касающиеся исследований, отчетов экспертов;
- потеря товаров/фондов/активов;
- потеря клиентов, потеря поставщиков;
- судебные дела и штрафы;
- потеря конкурентного преимущества;
- потеря технологического/технического лидерства;
- потеря эффективности/надежности;
- потеря технической репутации;
- снижение способности к заключению соглашений;
- промышленный кризис (забастовки);
- правительственный кризис;
- увольнения;
- материальный ущерб.
Эти критерии являются примерами проблем, которые должны рассматриваться при установлении ценности активов. Для проведения оценок организации нужно выбрать критерии, уместные для ее вида бизнеса и требований безопасности. Это может означать, что некоторые из перечисленных выше критериев неприменимы и может потребоваться дополнение к этому списку.
Шкала
После установления критериев для рассмотрения организации следует согласовать шкалу, которая будет использоваться в масштабах организации. Первым шагом является принятие решения о числе используемых уровней. Не существует правил, определяющих наиболее уместное число уровней. Большее число уровней обеспечивает больший уровень детализации, но иногда слишком мелкая дифференциация затрудняет присвоение согласованных оценок в масштабе организации. Обычно может использоваться любое число уровней от 3 (например низкий, средний и высокий) до 10 в соответствии с подходом, используемым организацией для всего процесса оценки риска.
Организация может установить собственные пределы ценности активов, такие, как "низкий", "средний" или "высокий". Эти пределы должны оцениваться в соответствии с выбранными критериями, (так, для возможных финансовых потерь пределы должны быть указаны в денежном выражении, но при рассмотрении, например угрозы личной безопасности, определить их денежную ценность может быть затруднительно и неприемлемо для всех организаций). Наконец, решение о том, что считать незначительными или серьезными последствиями, полностью зависит от организации. Последствия, катастрофические для небольшой организации, могут быть незначительными или даже пренебрежимо малыми для очень крупной организации.
Зависимости
Чем более значимые и многочисленные бизнес-процессы поддерживаются активом, тем больше ценность этого актива. Должна быть также определена зависимость одних активов от других, поскольку это может влиять на ценность активов. Например, конфиденциальность данных должна сохраняться в течение всего их жизненного цикла, на всех стадиях, включая хранение и обработку, т.е. необходимость обеспечения безопасности хранения данных и программ обработки данных должна быть напрямую связана с ценностью, отображающей конфиденциальность хранящихся и обрабатываемых данных. Также, если бизнес-процесс зависит от целостности определенных данных, создаваемых программой, входные данные этой программы должны иметь соответствующую степень надежности. Кроме того, целостность информации будет зависеть от аппаратных и программных средств, используемых для ее хранения и обработки. Аппаратные средства, в свою очередь, будут зависеть от энергоснабжения и, возможно, от кондиционирования воздуха. Таким образом, информация о зависимостях поможет в определении угроз и особенно в выявлении уязвимостей. Кроме того, это поможет обеспечить правильное присвоение значения ценности активам (благодаря зависимым взаимосвязям), показывая, таким образом, соответствующий уровень защиты.
Ценность активов, от которых зависят другие активы, может изменяться следующим образом:
- если ценность зависимых активов (например данных) ниже или равна ценности рассматриваемого актива (например, программного обеспечения), его ценность остается такой же;
- если ценность зависимых активов (например данных) выше ценности рассматриваемого актива (например, программного обеспечения), его ценность должна быть увеличена в соответствии со степенью зависимости или ценностью других активов.
У организации могут быть некоторые активы, являющиеся доступными более одного раза, такие, как копии компьютерных программ или компьютеры одного и того же вида, использующиеся в большинстве офисов. Этот факт необходимо учитывать при установлении ценности активов. С одной стороны, эти активы легко упустить из виду, поэтому следует заботиться о том, чтобы определить каждый из них; с другой стороны, они могут быть использованы для уменьшения проблем доступности.
Результат
Окончательным результатом этого шага будет перечень активов и их ценности по отношению к раскрытию (сохранение конфиденциальности), модификации (сохранение целостности, подлинности, неотказуемости и учетности), недоступности и разрушению (сохранение доступности и надежности) и восстановительной стоимости.
В.3 Оценка влияния
Инцидент ИБ может оказывать влияние более чем на один актив или только на часть актива. Влияние связано со степенью успешности инцидента. Как следствие, существует важное различие между ценностью актива и влиянием, являющимся результатом инцидента. Влияние рассматривается как имеющее либо незамедлительный (операционный) эффект, либо будущий (бизнес-) эффект, который включает финансовые и рыночные последствия.
Непосредственное (операционное) влияние бывает прямым или косвенным.
Прямое:
- финансовая восстановительная стоимость потерянного актива (части актива);
- стоимость приобретения, конфигурирования и установки нового актива или резервной копии;
- стоимость приостановленных из-за инцидента операций, пока услуга, предоставляемая активом (активами), не будет восстановлена;
- влияние приводит к нарушению ИБ.
Косвенное:
- издержки упущенных возможностей (финансовые ресурсы, необходимые для замены или восстановления актива, могли быть использованы где-либо еще);
- стоимость прерванных операций;
- возможное злоупотребление информацией, полученной в результате нарушения безопасности;
- нарушение установленных законом или нормативных обязательств;
- нарушение этических норм поведения.
Первая оценка (без мер и средств контроля и управления любого рода) будет оценивать влияние как очень близкое к ценности связанного с этим актива или комбинации активов. При каждой последующей итерации для этого (этих) актива (активов) влияние будет отличаться (обычно будет гораздо ниже) вследствие наличия и эффективности реализованных мер и средств контроля и управления.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.