Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.
Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.
_____________________________________
Виды активов организации
материальные;
финансовые;
имущественные и неимущественные права;
интеллектуальная собственность;
кадровые;
информационные;
процессы и сервисы;
имидж и репутация.
_______________________________________
Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.
Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.
Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT -специалистов, специалистов по управлению непрерывностью бизнеса.
Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.
Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).
Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.
- Для комментирования войдите или зарегистрируйтесь
Идентификация и оценка информационных активов
Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.
Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.
Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.
1. Информация/данные.
Данные о разработках;
Данные по продукции.
2. Аппаратные средства.
8 серверов;
374 компьютера;
36 принтеров;
22 сканера.
3. Программное обеспечение.
1C: Предприятие;
MS Windows XP/7
4. Документы.
Контракты с вендорами;
Контракты с клиентами;
Бухгалтерская отчетность;
Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.
В таблице 1.1. представлена информация по выделенным активам организации.
Таблица 1.1.
Оценка информационных активов предприятия
| Вид деятельности | Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка | Качественная | |||||
| Информационные активы | ||||||
| Кадровое обеспечение | Электронная | Специалист по кадрам | Стоимость воссоздания | 170 тыс. руб. | Средняя | |
| Реализация продукции | Данные по продукции | Электронная | Бухгалтер | Стоимость воссоздания | 500 тыс. руб. | Критическая |
| Активы аппаратного обеспечения | ||||||
| Обработка информации | Сервера | Материальная | Системный администратор | Первоначальная стоимость | 300 тыс. руб. | Критическая |
| Обработка информации | Компьютеры | Материальная | Системный администратор | Первоначальная стоимость | 100 тыс. руб. | Средняя |
| Обработка информации | Принтеры | Материальная | Системный администратор | Первоначальная стоимость | 25 тыс. руб. | Малая |
| Обработка информации | Сканера | Материальная | Системный администратор | Первоначальная стоимость | 15 тыс. руб. | Малая |
| Активы программного обеспечения | ||||||
| Обработка информации | Microsoft Windows | Электронная | Системный администратор | Стоимость воссоздания | 15 тыс. руб. | Малая |
| Обработка информации | Microsoft Office | Электронная | Системный администратор | Стоимость воссоздания | 17 тыс. руб. | Малая |
| Обработка информации | 1C: Предприятие | Электронная | Системный администратор | Стоимость воссоздания | 120 тыс. руб. | Средняя |
| Обработка информации | SAP WMS | Электронная | Системный администратор | Стоимость воссоздания | 400 тыс. руб. | Критическая |
| Физические активы | ||||||
| Реализация продукции | Документация по разработкам | Бумажная | Стоимость воссоздания | 55 тыс. руб. | Малая | |
| Реализация продукции | Контракты с клиентами | Бумажная | Менеджер по работе с клиентами | Стоимость воссоздания | 82 тыс. руб. | Малая |
| Бухгалтерия | Бухгалтерская отчетность | Бумажная | Бухгалтер | Стоимость воссоздания | 75 тыс. руб. | Малая |
Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.
Таблица 1.2.
Перечень сведений конфиденциального характера
Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.
Таблица 1.3.
Результаты ранжирования активов.
| Наименование актива | Ценность актива (ранг) |
| Данные контрагентов | |
| Данные по продажам | |
| 8 серверов | |
| Персональные данные сотрудников | |
| Данные по продукции | |
| 1C: Предприятие | |
| Компьютеры | |
| Microsoft Windows | |
| SAP WMS | |
| Microsoft Office | |
| Принтеры | |
| Сканеры | |
| Контракты с клиентами | |
| Бухгалтерская отчетность |
Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:
Данные контрагентов;
Данные по продажам;
Сервера;
Компьютеры;
Персональные данные сотрудников;
Данные по продукции;
1C: Предприятие;
Контракты с клиентами;
Бухгалтерская отчетность
Остальные активы представляют минимальную ценность по сравнению с выделенными.
Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.
Оценка уязвимостей активов
Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.
Таблица 1.4.
Результаты оценки уязвимости активов
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Среда и инфраструктура | ||||||||||
| Ненадежная охрана здания | Низкая | Низкая | Низкая | Низкая | ||||||
| Проблемы с электропитанием | Средняя | Средняя | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | |
| 2. Аппаратное обеспечение | ||||||||||
| Передача или повторное использование средств хранения информации без надлежащей очистки | Средняя | Средняя | Низкая | Средняя | ||||||
| 3. Программное обеспечение | ||||||||||
| Недостаточное обслуживание носителей данных | Средняя | Средняя | Низкая | Средняя | Низкая | |||||
| Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Низкая | ||
| 4. Коммуникации | ||||||||||
| Незащищенные соединения с сетями общего пользования | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | |||
| 5. Физический доступ | ||||||||||
| Незащищенное хранение | Низкая | Низкая | Низкая | Низкая | ||||||
| 6. Персонал | ||||||||||
| Неосведомленность в вопросах безопасности | Средняя | Средняя | Средняя | Средняя | Средняя | Средняя | Низкая | |||
| 7. Общие уязвимые места | ||||||||||
| Внедрение аппаратных и программных закладок | Высокая | Высокая | Высокая | Высокая |
Оценка угроз активам
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.
Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.
Таблица 1.5.
Результаты оценки угроз активам
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Угрозы обусловленные преднамеренными действиями | ||||||||||
| Кража документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Подмена документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Высокая | Высокая | Высокая | Низкая | |||||||
| Несанкционированное копирование документов и носителей информации | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Несанкционированное обращение к данным. | Высокая | Высокая | Высокая | Низкая | Низкая | Высокая | ||||
| Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| 2. Угрозы, обусловленные случайными действиями | ||||||||||
| Утечка информации из сети по каналам связи | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| Неумышленное раскрытие информации сотрудниками компании | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | ||
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||||
| Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба) | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая |
1.2.4. Оценка существующих и планируемых средств защиты
Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.
Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.
Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.
В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:
Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.
Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.
Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.
Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.
Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.
Схема технической архитектуры информационной системы представлена на рисунке 1.2.
Рис. 1.2. Техническое обеспечение предприятия
На рисунке 1.3 представлена схема программного обеспечения предприятия.
Рис. 1.3. Схема программного обеспечения
В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.
Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.
Рис. 1.4. Расположение датчиков движение
Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак
Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.
Таблица 1.6.
Анализ выполнения основных задач по обеспечению информационной безопасности
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной; | Частично |
| Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны; | Частично |
| Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | Частично |
| Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | Частично |
| Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях; | Частично |
| Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | Не выполняется |
| Обеспечение охраны территории, зданий помещений, с защищаемой информацией. | Частично |
Оценка рисков
Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.
Таблица 1.7.
Результаты оценки рисков информационным активам организации
| Риск | Актив | Ранг риска |
| Уничтожение документов и других носителей | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Несанкционированное обращение к данным | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Недостаточное обслуживание компьютерной техники | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Программное обеспечение | Высокий | |
| Сервера | Высокий | |
| 1С: Предприятие | Высокий | |
| SAP WMS | Высокий | |
| Компьютеры | Высокий |
Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.
Информационные активы
"...Информационные активы (information asset): или средства обработки информации организации..."
Источник:
(утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
Официальная терминология . Академик.ру . 2012 .
Смотреть что такое "Информационные активы" в других словарях:
информационные активы - 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. Источник: ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности 3.35 информационные активы… …
активы организации - Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды информации, циркулирующие в… …
активы - 2.2 активы (asset): Все, что имеет ценность для организации. Источник … Словарь-справочник терминов нормативно-технической документации
активы организации - 3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды… … Словарь-справочник терминов нормативно-технической документации
активы организации банковской системы Российской Федерации - 3.2. активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации БС РФ могут относиться: банковские… … Словарь-справочник терминов нормативно-технической документации
3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал),… … Официальная терминология
Бизнес-активы Михаила Прохорова - Ниже приводится справочная информация об активах Прохорова. В рейтинге самых богатых бизнесменов 2012 по версии русского Forbes Михаил Прохоров занимает седьмое место с 13,2 миллиарда долларов. Основные активы Михаила Прохорова сосредоточены в… … Энциклопедия ньюсмейкеров
интеллектуальные активы - Включают накопленную информацию и знания сотрудников. Тематики информационные технологии в целом EN intellectual assets … Справочник технического переводчика
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности - Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации . Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?
Общая информация
Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.
Об общих понятиях
Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:
- Информационный актив. Это данные с реквизитами, которые позволяют провести идентификацию. Имеют ценность для определенной организации и находятся в ее распоряжении. Представлены на любом материальном носителе в форме, которая позволяет обрабатывать ее, хранить, или передавать.
- Классификация информационных активов. Это разделение имеющихся данных организации по типам, которые соответствуют степени тяжести возникающих последствий как результат потери их важных свойств.
Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации - ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.
Немного о классификации для предприятий
Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:
- Общедоступную (открытую) информацию.
- Персональные данные.
- Информацию, содержащую сведения, что составляют банковскую тайну.
- Данные, что относятся к коммерческим секретам.
Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.
Классификационные модели
Чаще всего встречаются две из них:
- Однофакторная классификация. Базируется на степени ущерба. Здесь во просто. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример - минимальный, затем - средний, высокий и напоследок - критический. Если неопределенному кругу лиц будет известно, кого директор принимает сегодня в своем кабинете, то это можно классифицировать как минимальный вид ущерба. Но вот если информация о подкупе государственного чиновника утечет в прокуратуру, это критическое положение.
- Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно - высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
О классах
Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:
- Открытый класс. В данном случае не предусмотрены ограничения на распространение и использование, финансовый ущерб от известности отсутствует.
- Для служебного пользования. Для использования внутри организации. Финансовый ущерб отсутствует. Но могут возникнуть иные виды убытков для работников организации или всей структуры.
- Конфиденциальная. Предусмотрено использование внутри организации, при работе с клиентами и контрагентами. Разглашение принесет финансовый ущерб.
О конфиденциальных данных
Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:
- С ограниченным доступом. Предусматривает использование определенным кругом сотрудников организации. Финансовый ущерб обычно оценивается в сумму до миллиона рублей.
- Секретная. Предусматривает использование исключительно определенными членами руководящего состава организации. Финансовый ущерб обычно начинается от значений в миллион рублей.
- Совершенно секретная. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести ущерб министерству или отрасли экономики в одной или нескольких перечисленных областях.
- Особой важности. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести существенный ущерб Российской Федерации в одной или нескольких перечисленных областях.
Как же обрабатываются информационные активы?
Давайте рассмотрим один из возможных алгоритмов:
- Выявляются информационные активы, существующие в любом виде (электронные и бумажные документы, потоки данных, флешки и тому подобное), что циркулируют между подразделениями в организации. Все это собирается, уточняется, и строится большая схема, на которой все отображено.
- Делаем все то же, но уже по отношению к каждому отдельному подразделению.
- Информационные активы привязываются к инфраструктуре, в которой хранятся, отмечается, по каким каналам передаются, где и в каких системах содержатся и тому подобное. Здесь есть один важный момент! Этот пункт предусматривает работу с каждым отдельным информационным активом. Для него рисуется вся среда обитания (чем более детализовано, тем лучше, ведь легче будет выявить угрозы). Нужно отобразить порты передачи, каналы и прочее.
- Берем все наработки и повторно классифицируем их, используя такие характеристики, как конфиденциальность, доступность, целостность.
Жизненный цикл
Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл - это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:
- Информация используется в операционном режиме. Это значит, что она принимает участие в производственном цикле и востребована постоянно.
- Информация используется в архивном режиме. Это значит, что она не принимает непосредственного участия в производственном цикле, хотя периодически требуется для совершения аналитической или иной деятельности.
- Информация хранится в архивном режиме.
Вот, пожалуй, и все. Какие данные хранятся - информационная база активов или что-то другое - это не важно. Главное - обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.
Материал продолжает начатный цикл статей, в который информационную безопасность рассматривается с точки зрения ее экономической составляющей. В данной публикации остановимся на вопросах определения информации как ценного актива компании, а также рассмотрим методику оценки его стоимости. По мнению автора данная методика позволяет наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.
Введение
Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании. Более того, информация, зачастую, сама является исходным сырьем или результатом производства – товаром, предлагаемым конечному потребителю. С данной позиции информация становится активом компании, который нуждается, в каком то измерении, учете и выражении в общепринятых количественных показателях.
В отличие от других фундаментальных ресурсов, теоретическому и практическому рассмотрению которых уделено много научных работ, информационные активы это своего рода феномен современного общества. Поэтому столь долгое время отсутствовали инструменты их оценки и учета. А, тем временем, информационные активы – это тоже поддающийся измерению результат деятельности компании за определённый период времени. Применяя достижения в области информационных технологий и опыт бухгалтерского учета, автор попытается изложить новую точку зрения на следующие вопросы:
Насколько же ценен информационный актив для собственника? Какой ущерб может понести компания в случае его компрометации? Каким образом выразить ценность информации в общепринятых количественных параметрах (денежном выражении)?
Информация как самостоятельный актив
В независимости от форм собственности и вида деятельности учреждения информация является основой для принятия важнейших управленческих решений, например, определения стратегии поведения на рынке, планов дальнейшего развития, инвестирования в проект, заключений сделок. Одним из основных поставщиком такой информации для руководства компании является бухгалтерия. Главная проблема заключается в том, что, как правило, в итоговом балансе основное внимание уделяется материальным составляющим – имуществу, оборотным активам, обязательствам, дебиторской и кредиторской задолженности, и мало внимания уделяется нематериальным активам.
А, тем временем, информация может являться едва ли не самым ценным фактором, приносящим прибыль. Проиллюстрировать подобную ситуацию можно на примере брокерского обслуживания, оказывающего услуги по управлению ценными бумагами на международных биржах. Любая информация, даже неправдоподобные слухи, мгновенно могут изменить картину происходящего на рынке. Что говорить, если, к примеру, произойдет утечка информации о заключении сделки или судебном разбирательстве, просочится инсайдерская информация о новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят. Или компании разработчики программного обеспечения, для которых информация это одновременно и рабочий материал и итоговый продукт. Новые технологии, инновационные идеи, производственные ноу-хау, исходный код программного продукта, – это все информация, и ее использование как ресурса значительно влияет на итоговые результаты деятельности. Следовательно, информация перестает быть просто сведениями, она становится ценным информационным активом компании. И для защиты интересов собственника такой информации существует федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» , позволяющий законными методами защищать часть таких активов в режиме коммерческой тайны .
Поскольку вся информация обрабатывается с использованием информационных технологий, она неразрывно связана с вычислительной техникой и сотрудниками, которые ее используют. Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий. Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. И, соответственно, конечная стоимость информационных активов тоже будет формироваться суммарной стоимостью всех составляющих описанных выше.
И, раз есть информационные активы, необходимо иметь механизмы по оценке и учёту такого рода активов. Из-за специфичности эта функцию часто перекладывают на службу информационной безопасности, где процесс учета и оценки является составной частью риск-менеджмента, хотя данный вопрос уже давно выходит за рамки одной лишь службы. Правильно учтенные и оцененные активы позволяют, во-первых эффективно управлять уже имеющимися выгодами и оценить потенциал использования их в будущем, и, во-вторых, учитывать эти параметры в итоговом балансе, что может значительно сказаться на показателях и индексах общей кредитоспособности, инвестиционной привлекательности, финансовой устойчивости компании.
Проблемы оценки стоимости информационных активов
Информационные активы являются нематериальными и, поэтому, первой из проблем является их формирование как объекта. Выделение именно ценных и полезных в коммерческом плане сведений из всего массива информации вовлеченной в бизнес-процессы компании. Вопрос решается путем создания экспертной комиссии, в состав которой входят непосредственно сами участники бизнес-процесса – руководители, узкоквалифицированные специалисты, способные определить на каком этапе производства какие именно сведения используются как ценный ресурс. Качество и достоверность полученных результатов напрямую зависит от компетентности и профессионального опыта комиссии. Общий перечень возможных конфиденциальных сведений представлен в приложении N. Однако, формируя такой перечень, необходимо помнить о том, что не все сведения могут защищаться в режиме коммерческой тайны. ограничения установлены ст. 5 98-ФЗ «О коммерческой тайне».
Другой, более сложной и глобальной проблемой, является определение ценности информационного актива и объективное выражение его в общепринятом количественном показателе – денежном выражении. Задача является слабо формализуемой, поэтому все значения, полученные в результате оценки будут приближенными. Только собственник информационного актива или другое лицо, извлекающего с его помощью прибыль, может объективно выразить его денежную стоимость.
Для определения стоимости актива применяются различные методы. Самый простой – это определение стоимости путем расчета трудозатрат на единицу полученной ценной информации. К примеру, произведение среднечасовой ставки сотрудника на затраченное им время для получении этих сведений. Однако такой метод не позволяет оценивать уже имеющиеся активы или активы, полученные иным путем. Как определились считать ранее, информационный актив – это не просто ценные сведения, его нужно рассматривать как неотделимую совокупность вышеуказанных элементов. Поэтому, более прогрессивный подход предполагает комбинированную оценку стоимости путем учета многих факторов, среди которых, например, стоимость получения информации, ее обработки и хранения с использованием вычислительной техники, человеческие трудозатраты.
Еще одной проблемой является то, что, по сравнению другими объектами, например, основными средствами организации, информационные активы являются очень динамической структурой, срок полезного использования которых, в виду быстрой потери актуальности информации, крайне неопределенный и стоимость которых также может значительно меняться в очень короткие промежутки времени. Это требует их периодической переоценки. Причем оценка по резервному значению, которая берется на начало и конец года не отражает реальной картины, эффективным вариантом признан метод оценка исходя из среднего значения по всем дням в течении отчетного года.
В виду своей специфичности обладание ценными сведениями также не всегда ведет к прямому росту прибыли, к примеру, большое значение может иметь имиджевое положение компании (англ. goodwill ) . В данном случае, упрощая, можно сказать, что порой неоправданные с экономической точки зрения действия дают определенные выгоды компании. Это, к примеру, больше всего распространено среди азиатских стран, где дань уважения и сохранения традиций имеет гораздо больший смысл, чем сугубо экономические преимущества. Такой имиджевый показатель как рейтинг очень сложно измерить и выразить его стоимость в денежном эквиваленте. Однако в определенный момент именно эти критерии могут оказать существенное влияние в пользу увеличения статуса компании, совершения крупной сделки с компанией-партнером и т.д.
Методика оценки стоимости
Первоначальным этапом необходимо сформировать информационные активы как объект учета и оценки. Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям:
- человеческие ресурсы;
- информационные активы (открытая и конфиденциальная информация);
- программные ресурсы (программные продукты, базы данных, корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение);
- физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование, в том силе мобильные устройства);
- сервисные ресурсы (электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.п.);
- помещения (в которых обрабатывается и хранится информация).
Далее экспертная комиссия, сформированная по приказу директора и состоящая из узкоквалифицированых специалистов – экспертов, проводит детальную категоризацию имеющейся корпоративной информации, т.е. выделение защищаемой информации из всего объема информационных активов, а далее из категории защищаемых информационных активов – выделение конкретно ценой конфиденциальной информации (см. приложение 1).
Категоризация заключается в определении уровня ценности информации, его критичности. Под критичностью понимается степень влияния информации на эффективность функционирования хозяйственных процессов компании. Различные варианты методик категоризации приведены в международном стандарте ISO/IEC TR 13335 отечественным аналогом которого является ГОСТ Р ИСО/МЭК ТО 13335-х .
Например, определение ценности информации по вышеназванным параметрам может быть отражено в таблице 1, где сумма баллов, расположенных на пересечении столбцов и строк таблицы, указывает на ценность информации в целом для организации, включающей в себя вид информации с точки зрения ограниченности доступа к ней и критичность информации для компании.
Таблица 1. Определение ценности информации
| Параметр/значение | Критичность информации | ||
| Ценность вида информации | Критичная (3 балла) |
Существенная (2 балла) |
Незначи-тельная (1 балл) |
| Строго конфиденциальная (4 балла) | 7 | 6 | 5 |
| Конфиденциальная (3 балла) | 6 | 5 | 4 |
| Для внутреннего пользования (2 балла) | 5 | 4 | 3 |
| Открытая (1 балл) | 4 | 3 | 2 |
Можно использовать отраслевой дифференцированный подход: присвоить параметру ценности информации определенное весовое значение для определения уровня значимости ресурса с точки зрения его участия в деятельности компании. Например, можно определить коэффициент ценности различных категорий информации, отраженных в таблице 2.
Таблица 2. Коэффициент ценности информации
| Категорияинформации | Открытая информа-ция | Конфиденциальная информация | |||
| Управленч., коммерч. | Технологи-ческая | Финансовая, бухгалтер. | Персональ-ные данные | ||
| Коэффициент ценности | 1 | 1,4 | 1,3 | 1,2 | 1,1 |
Также имеется еще один подход к определению ценности информации (в результате возможности восполнения потерь в случае реализации угроз) в соотношении с вероятностью проявления угроз (таблица 3).
Таблица 3. Определение потерь и вероятности реализации угроз
| Потери | Вероятности реализации угроз | ||
| Несущественная,
<1% |
Существенная,
от 1% до 10% |
Высокая,
свыше 10% |
|
| Незначительные (меньше 1% стоимости предприятия) | 1 | 2 | 2 |
| Значительные (от 1% до 10%) | 2 | 2 | 2 |
| Критические высокие(свыше 10%) | 2 | 3а* | 3б* |
В итоге оценивается суммарная значимость информации и применяемых информационных технологий в деятельности хозяйствующего субъекта. Показатель может иметь приблизительную качественную оценку – «весьма значимо», «существенно значимо», «мало значимо», «не значимо». А также приблизительную количественную оценку – процентную (на сколько % деятельность организации зависит от используемой информации) или в рублевом эквиваленте (какую часть общей капитализации организации составляет информация в рублях).
Экспертными методами с применением математического методов также высчитывается «субъективная» и «объективная» вероятность той или иной угрозы, общее результирующее значение которой учитывается при составлении таблицы (таблица 3.1).
Таблица 3.1. Преобразование вероятности реализации угрозы к ежегодной частоте (Ву)
| Частота (Ву) | Вероятность возникновения угрозы за определенный период | Уровень вероятности |
| 0,05 | угроза практически никогда не реализуется | очень низкий уровень |
| 0,6 | примерно 2-3 раза в пять лет | очень низкий уровень |
| 1 | примерно 1 раз в год и реже (180<У>366 (дней)) | низкий уровень |
| 2 | примерно 1 раз в полгода (90<У<180 (дней)) | низкий уровень |
| 4 | примерно 1 раз в 3 месяца (60<У<90 (дней)) | средний уровень |
| 6 | примерно 1 раз в 2 месяца (30<У<60 (дней)) | средний уровень |
| 12 | примерно 1 раз в месяц (15<У<30 (дней)) | высокий уровень |
| 24 | примерно 2 раза в месяц (7<У<15 (дней)) | высокий уровень |
| 52 | примерно 1 раз в неделю (1<У<7 (дней)) | очень высокий уровень |
| 365 | ежедневно (1<У<24 (часов)) | очень высокий уровень |
Для денежного выражения стоимости представляется целесообразным рассматривать ценность информационных ресурсов как с точки зрения ассоциированных с ними возможных финансовых потерь (выражаемое в рублевом эквиваленте), так и с точки зрения ущерба репутации организации (непрямых финансовых потерь), дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и.т.д. Таким образом, ценность актива определяется экспертами путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности).
Чтобы избежать избыточного суммирования по ущербу (иначе говоря затрат на ликвидацию последствий), необходимо анализировать возможность реализации угроз безопасности по видам информационных активов организации. Для экспертной оценки возможного ущерба от реализации угроз используются следующие категории: стоимость восстановления и ремонта вычислительной техники, сетей и иного оборудования; упущенная (потенциальная) прибыль; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования.
В управлении рисками информационной безопасности для оценки стоимости информации применяется метод ожидаемых потерь (ALE – Annualised Loss Expectency), показывающий возможные потери организации в результате несоответствующих мер защиты информации. Производится вычисление уровня риска, т.е. показателя возможных потерь (ущерба) – далее Ущ , учитывая такие аспекты, как вероятность и частота проявления той или иной угрозы в течение года, возможный ущерб от ее реализации, степень уязвимости информации.
Консолидируя все вышеописанное получаем, что суммарная величина экономического ущерба разделена на несколько категорий:
1) упущенная прибыль (не выпущенная проекция, срыв сделки и т.д.) – на эту категории приходится большая доля экономического ущерба. В малых компаниях упущенная прибыль составляет приблизительно 50% от общего размера экономического ущерба, а в больших компаниях – приблизительно 80%;
2) стоимость замены, восстановления и ремонта вычислительной техники, сетей и иного оборудования составляет приблизительно 20% от экономического ущерба в небольших компаниях и 8% – в крупных компаниях;
3) потеря производительности (простой) – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях.
По итогам исследования составляется заключение, характеризующее общий уровень защищенности информационных активов организации на текущий момент (в качественных показателях), определяется уровень зрелости организации к вопросам ИБ и совокупная психологическая готовность организации к внедрению режима защиты (мера эффективности и скорости отдачи от мероприятий направленных на защиту).
Последние исследования показывают, что большинство предприятий тратит на защиту информационных активов 2-5% от бюджета на информационные технологии, другие организации в ситуациях, когда чрезвычайно важны работоспособность информационных систем, целостность данных и конфиденциальность информации, затрачивают на это 10-20% от совокупного бюджета на ИТ, у некоторых организаций на поддержание инфраструктуры (в т.ч. на ИБ) уходит приблизительно 40% (J et Info № 10(125)/2003, Информационная безопасность: экономические аспекты).
Стоимость защитных мероприятий может значительно отличаться для разных организаций, это зависит от многих обстоятельств, в том числе от величины и характера деятельности, нормативно-правовой базы, текущей оперативной обстановки, уровня зависимости от информационно-телекоммуникационных технологий, вовлеченности в электронный бизнес, профессиональных и личностных качеств персонала и др. В таблице 3.14 показано распределение бюджета на информационные технологии с отражением в этих категориях расходов на информационную безопасность (А. Леваков. Анатомия информационной безопасности США, 07 октября 2002).
Таблица 3.3. Распределение бюджета на информационные технологии и информационную безопасность (
Справочники
