Перечень информационных активов банка. Что такое информационные активы? Примеры. Риск-ориентированный подход к обеспечению информационной безопасности

Материал продолжает начатный цикл статей, в который информационную безопасность рассматривается с точки зрения ее экономической составляющей. В данной публикации остановимся на вопросах определения информации как ценного актива компании, а также рассмотрим методику оценки его стоимости. По мнению автора данная методика позволяет наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.

Введение

Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании. Более того, информация, зачастую, сама является исходным сырьем или результатом производства – товаром, предлагаемым конечному потребителю. С данной позиции информация становится активом компании, который нуждается, в каком то измерении, учете и выражении в общепринятых количественных показателях.

В отличие от других фундаментальных ресурсов, теоретическому и практическому рассмотрению которых уделено много научных работ, информационные активы это своего рода феномен современного общества. Поэтому столь долгое время отсутствовали инструменты их оценки и учета. А, тем временем, информационные активы – это тоже поддающийся измерению результат деятельности компании за определённый период времени. Применяя достижения в области информационных технологий и опыт бухгалтерского учета, автор попытается изложить новую точку зрения на следующие вопросы:

Насколько же ценен информационный актив для собственника? Какой ущерб может понести компания в случае его компрометации? Каким образом выразить ценность информации в общепринятых количественных параметрах (денежном выражении)?

Информация как самостоятельный актив

В независимости от форм собственности и вида деятельности учреждения информация является основой для принятия важнейших управленческих решений, например, определения стратегии поведения на рынке, планов дальнейшего развития, инвестирования в проект, заключений сделок. Одним из основных поставщиком такой информации для руководства компании является бухгалтерия. Главная проблема заключается в том, что, как правило, в итоговом балансе основное внимание уделяется материальным составляющим – имуществу, оборотным активам, обязательствам, дебиторской и кредиторской задолженности, и мало внимания уделяется нематериальным активам.

А, тем временем, информация может являться едва ли не самым ценным фактором, приносящим прибыль. Проиллюстрировать подобную ситуацию можно на примере брокерского обслуживания, оказывающего услуги по управлению ценными бумагами на международных биржах. Любая информация, даже неправдоподобные слухи, мгновенно могут изменить картину происходящего на рынке. Что говорить, если, к примеру, произойдет утечка информации о заключении сделки или судебном разбирательстве, просочится инсайдерская информация о новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят. Или компании разработчики программного обеспечения, для которых информация это одновременно и рабочий материал и итоговый продукт. Новые технологии, инновационные идеи, производственные ноу-хау, исходный код программного продукта, – это все информация, и ее использование как ресурса значительно влияет на итоговые результаты деятельности. Следовательно, информация перестает быть просто сведениями, она становится ценным информационным активом компании. И для защиты интересов собственника такой информации существует федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» , позволяющий законными методами защищать часть таких активов в режиме коммерческой тайны .

Поскольку вся информация обрабатывается с использованием информационных технологий, она неразрывно связана с вычислительной техникой и сотрудниками, которые ее используют. Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий. Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. И, соответственно, конечная стоимость информационных активов тоже будет формироваться суммарной стоимостью всех составляющих описанных выше.

И, раз есть информационные активы, необходимо иметь механизмы по оценке и учёту такого рода активов. Из-за специфичности эта функцию часто перекладывают на службу информационной безопасности, где процесс учета и оценки является составной частью риск-менеджмента, хотя данный вопрос уже давно выходит за рамки одной лишь службы. Правильно учтенные и оцененные активы позволяют, во-первых эффективно управлять уже имеющимися выгодами и оценить потенциал использования их в будущем, и, во-вторых, учитывать эти параметры в итоговом балансе, что может значительно сказаться на показателях и индексах общей кредитоспособности, инвестиционной привлекательности, финансовой устойчивости компании.

Проблемы оценки стоимости информационных активов

Информационные активы являются нематериальными и, поэтому, первой из проблем является их формирование как объекта. Выделение именно ценных и полезных в коммерческом плане сведений из всего массива информации вовлеченной в бизнес-процессы компании. Вопрос решается путем создания экспертной комиссии, в состав которой входят непосредственно сами участники бизнес-процесса – руководители, узкоквалифицированные специалисты, способные определить на каком этапе производства какие именно сведения используются как ценный ресурс. Качество и достоверность полученных результатов напрямую зависит от компетентности и профессионального опыта комиссии. Общий перечень возможных конфиденциальных сведений представлен в приложении N. Однако, формируя такой перечень, необходимо помнить о том, что не все сведения могут защищаться в режиме коммерческой тайны. ограничения установлены ст. 5 98-ФЗ «О коммерческой тайне».

Другой, более сложной и глобальной проблемой, является определение ценности информационного актива и объективное выражение его в общепринятом количественном показателе – денежном выражении. Задача является слабо формализуемой, поэтому все значения, полученные в результате оценки будут приближенными. Только собственник информационного актива или другое лицо, извлекающего с его помощью прибыль, может объективно выразить его денежную стоимость.

Для определения стоимости актива применяются различные методы. Самый простой – это определение стоимости путем расчета трудозатрат на единицу полученной ценной информации. К примеру, произведение среднечасовой ставки сотрудника на затраченное им время для получении этих сведений. Однако такой метод не позволяет оценивать уже имеющиеся активы или активы, полученные иным путем. Как определились считать ранее, информационный актив – это не просто ценные сведения, его нужно рассматривать как неотделимую совокупность вышеуказанных элементов. Поэтому, более прогрессивный подход предполагает комбинированную оценку стоимости путем учета многих факторов, среди которых, например, стоимость получения информации, ее обработки и хранения с использованием вычислительной техники, человеческие трудозатраты.

Еще одной проблемой является то, что, по сравнению другими объектами, например, основными средствами организации, информационные активы являются очень динамической структурой, срок полезного использования которых, в виду быстрой потери актуальности информации, крайне неопределенный и стоимость которых также может значительно меняться в очень короткие промежутки времени. Это требует их периодической переоценки. Причем оценка по резервному значению, которая берется на начало и конец года не отражает реальной картины, эффективным вариантом признан метод оценка исходя из среднего значения по всем дням в течении отчетного года.

В виду своей специфичности обладание ценными сведениями также не всегда ведет к прямому росту прибыли, к примеру, большое значение может иметь имиджевое положение компании (англ. goodwill ) . В данном случае, упрощая, можно сказать, что порой неоправданные с экономической точки зрения действия дают определенные выгоды компании. Это, к примеру, больше всего распространено среди азиатских стран, где дань уважения и сохранения традиций имеет гораздо больший смысл, чем сугубо экономические преимущества. Такой имиджевый показатель как рейтинг очень сложно измерить и выразить его стоимость в денежном эквиваленте. Однако в определенный момент именно эти критерии могут оказать существенное влияние в пользу увеличения статуса компании, совершения крупной сделки с компанией-партнером и т.д.

Методика оценки стоимости

Первоначальным этапом необходимо сформировать информационные активы как объект учета и оценки. Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям:

человеческие ресурсы;
информационные активы (открытая и конфиденциальная информация);
программные ресурсы (программные продукты, базы данных, корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение);
физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование, в том силе мобильные устройства);
сервисные ресурсы (электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.п.);
помещения (в которых обрабатывается и хранится информация).

Далее экспертная комиссия, сформированная по приказу директора и состоящая из узкоквалифицированых специалистов – экспертов, проводит детальную категоризацию имеющейся корпоративной информации, т.е. выделение защищаемой информации из всего объема информационных активов, а далее из категории защищаемых информационных активов – выделение конкретно ценой конфиденциальной информации (см. приложение 1).

Категоризация заключается в определении уровня ценности информации, его критичности. Под критичностью понимается степень влияния информации на эффективность функционирования хозяйственных процессов компании. Различные варианты методик категоризации приведены в международном стандарте ISO/IEC TR 13335 отечественным аналогом которого является ГОСТ Р ИСО/МЭК ТО 13335-х .

Например, определение ценности информации по вышеназванным параметрам может быть отражено в таблице 1, где сумма баллов, расположенных на пересечении столбцов и строк таблицы, указывает на ценность информации в целом для организации, включающей в себя вид информации с точки зрения ограниченности доступа к ней и критичность информации для компании.

Таблица 1. Определение ценности информации

Параметр/значение	Критичность информации
Ценность вида информации	Критичная (3 балла)	Существенная (2 балла)	Незначи-тельная (1 балл)
Строго конфиденциальная (4 балла)	7	6	5
Конфиденциальная (3 балла)	6	5	4
Для внутреннего пользования (2 балла)	5	4	3
Открытая (1 балл)	4	3	2

Можно использовать отраслевой дифференцированный подход: присвоить параметру ценности информации определенное весовое значение для определения уровня значимости ресурса с точки зрения его участия в деятельности компании. Например, можно определить коэффициент ценности различных категорий информации, отраженных в таблице 2.

Таблица 2. Коэффициент ценности информации

Категорияинформации	Открытая информа-ция	Конфиденциальная информация
Категорияинформации	Открытая информа-ция	Управленч., коммерч.	Технологи-ческая	Финансовая, бухгалтер.	Персональ-ные данные
Коэффициент ценности	1	1,4	1,3	1,2	1,1

Также имеется еще один подход к определению ценности информации (в результате возможности восполнения потерь в случае реализации угроз) в соотношении с вероятностью проявления угроз (таблица 3).

Таблица 3. Определение потерь и вероятности реализации угроз

Потери	Вероятности реализации угроз
Потери	Несущественная, <1%	Существенная, от 1% до 10%	Высокая, свыше 10%
Незначительные (меньше 1% стоимости предприятия)	1	2	2
Значительные (от 1% до 10%)	2	2	2
Критические высокие(свыше 10%)	2	3а*	3б*

В итоге оценивается суммарная значимость информации и применяемых информационных технологий в деятельности хозяйствующего субъекта. Показатель может иметь приблизительную качественную оценку – «весьма значимо», «существенно значимо», «мало значимо», «не значимо». А также приблизительную количественную оценку – процентную (на сколько % деятельность организации зависит от используемой информации) или в рублевом эквиваленте (какую часть общей капитализации организации составляет информация в рублях).

Экспертными методами с применением математического методов также высчитывается «субъективная» и «объективная» вероятность той или иной угрозы, общее результирующее значение которой учитывается при составлении таблицы (таблица 3.1).

Таблица 3.1. Преобразование вероятности реализации угрозы к ежегодной частоте (Ву)

Частота (Ву)	Вероятность возникновения угрозы за определенный период	Уровень вероятности
0,05	угроза практически никогда не реализуется	очень низкий уровень
0,6	примерно 2-3 раза в пять лет	очень низкий уровень
1	примерно 1 раз в год и реже (180<У>366 (дней))	низкий уровень
2	примерно 1 раз в полгода (90<У<180 (дней))	низкий уровень
4	примерно 1 раз в 3 месяца (60<У<90 (дней))	средний уровень
6	примерно 1 раз в 2 месяца (30<У<60 (дней))	средний уровень
12	примерно 1 раз в месяц (15<У<30 (дней))	высокий уровень
24	примерно 2 раза в месяц (7<У<15 (дней))	высокий уровень
52	примерно 1 раз в неделю (1<У<7 (дней))	очень высокий уровень
365	ежедневно (1<У<24 (часов))	очень высокий уровень

Для денежного выражения стоимости представляется целесообразным рассматривать ценность информационных ресурсов как с точки зрения ассоциированных с ними возможных финансовых потерь (выражаемое в рублевом эквиваленте), так и с точки зрения ущерба репутации организации (непрямых финансовых потерь), дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и.т.д. Таким образом, ценность актива определяется экспертами путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности).

Чтобы избежать избыточного суммирования по ущербу (иначе говоря затрат на ликвидацию последствий), необходимо анализировать возможность реализации угроз безопасности по видам информационных активов организации. Для экспертной оценки возможного ущерба от реализации угроз используются следующие категории: стоимость восстановления и ремонта вычислительной техники, сетей и иного оборудования; упущенная (потенциальная) прибыль; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования.

В управлении рисками информационной безопасности для оценки стоимости информации применяется метод ожидаемых потерь (ALE – Annualised Loss Expectency), показывающий возможные потери организации в результате несоответствующих мер защиты информации. Производится вычисление уровня риска, т.е. показателя возможных потерь (ущерба) – далее Ущ , учитывая такие аспекты, как вероятность и частота проявления той или иной угрозы в течение года, возможный ущерб от ее реализации, степень уязвимости информации.

Консолидируя все вышеописанное получаем, что суммарная величина экономического ущерба разделена на несколько категорий:

1) упущенная прибыль (не выпущенная проекция, срыв сделки и т.д.) – на эту категории приходится большая доля экономического ущерба. В малых компаниях упущенная прибыль составляет приблизительно 50% от общего размера экономического ущерба, а в больших компаниях – приблизительно 80%;

2) стоимость замены, восстановления и ремонта вычислительной техники, сетей и иного оборудования составляет приблизительно 20% от экономического ущерба в небольших компаниях и 8% – в крупных компаниях;

3) потеря производительности (простой) – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях.

По итогам исследования составляется заключение, характеризующее общий уровень защищенности информационных активов организации на текущий момент (в качественных показателях), определяется уровень зрелости организации к вопросам ИБ и совокупная психологическая готовность организации к внедрению режима защиты (мера эффективности и скорости отдачи от мероприятий направленных на защиту).

Последние исследования показывают, что большинство предприятий тратит на защиту информационных активов 2-5% от бюджета на информационные технологии, другие организации в ситуациях, когда чрезвычайно важны работоспособность информационных систем, целостность данных и конфиденциальность информации, затрачивают на это 10-20% от совокупного бюджета на ИТ, у некоторых организаций на поддержание инфраструктуры (в т.ч. на ИБ) уходит приблизительно 40% (J et Info № 10(125)/2003, Информационная безопасность: экономические аспекты).

Стоимость защитных мероприятий может значительно отличаться для разных организаций, это зависит от многих обстоятельств, в том числе от величины и характера деятельности, нормативно-правовой базы, текущей оперативной обстановки, уровня зависимости от информационно-телекоммуникационных технологий, вовлеченности в электронный бизнес, профессиональных и личностных качеств персонала и др. В таблице 3.14 показано распределение бюджета на информационные технологии с отражением в этих категориях расходов на информационную безопасность (А. Леваков. Анатомия информационной безопасности США, 07 октября 2002).

Таблица 3.3. Распределение бюджета на информационные технологии и информационную безопасность (

Классификация и виды активов предприятия подразделяются в зависимости от характера владения, формы использования, состава, степени ликвидности и прочим основным признакам. Что представляют собой активы компании? Как отражаются в балансе предприятия? Разберем структуру имущественных ценностей бизнеса с позиции финансового менеджмента – подробная таблица показателей с примерами приведена ниже.

Понятие и классификация активов

Все активы делятся на большие группы, охватывающие как материальные объекты, так и нематериальные. При этом к имуществу предприятия относят не только ТМЦ, основные средства , НМА , но и денежные средства и приравненные к ним, а также финансовые вложения, то есть любые ценности, чья стоимость может быть выражена в денежной оценке. Существует много разновидностей активов, которые отражаются в правой части баланса , уравновешивая общий капитал предприятия (пассив).

Классификация активов:

По скорости оборота – на долгосрочные внеоборотные (со скоростью обращения в финансово-хозяйственной деятельности больше 12 мес.) и краткосрочные оборотные (непрерывно участвуют в деятельности компании).
По степени ликвидности – в зависимости от скорости трансформации актива в свободные денежные средства подразделяются на максимально ликвидные (А1), труднореализуемые (А4) и средние – оперативно реализуемые (А2), а также медленно реализуемые (А3).
По вещественности или материальности – на материальные или реальные активы – это , к примеру, готовая продукция, товары, сырье, топливо и прочие физические ценности. Также в эту группу входят нематериальные объекты (деловая репутация, ПО, товарные знаки и др.) и финансовые (вложения, наличные и безналичные средства, дебиторские обязательства).
По источникам формирования – на общие валовые и чистые . Первые также именуются суммарными совокупными активами – в балансе это итоговый показатель раздела «Активы». Чистые рассчитываются в установленном порядке, исходя из сформированных активов только за счет собственных средств компании. Получение в результате показателя отрицательных активов может являться одним из основных признаков необходимости принудительной ликвидации бизнеса.
По характеру владения – на арендованные, используемые безвозмездно или собственные.
По виду налоговых расчетов – на отложенные активы, учитываемые по сч. 09, и отложенные налоговые обязательства, принимаемые по сч. 77. Понятия применяются теми фирмами, которые используют нормы ПБУ 18/02 в целях законного снижения налогооблагаемой базы по налогу с прибыли.
По степени условности оценочности обязательств – на условные обязательства и условные активы в соответствии с ПБУ 8/2010.
При работе с различными финансовыми инструментами – выделяют базовые активы.
При приобретении основных средств за счет заемных обязательств – используется термин инвестиционный актив, то есть такой имущественный объект, работа с которым требует дополнительного финансирования и длительного времени.
Прочие активы – это те объекты, которые по решению предприятия не представляют для него преимущественной ценности. Такая градация устанавливается каждой компанией самостоятельно в зависимости от отраслевой специфики деятельности, правового статуса, особенностей производства и прочих экономических факторов.

Виды активов – таблица

Для удобства восприятия информации основные виды активов собраны в таблице ниже. Отдельно приведены конкретные примеры в соответствии с упомянутой классификацией.

Таблица активов:

Классификационный признак	Вид актива	Пример актива
По скорости оборота	Внеоборотные Оборотные (мобильные активы в балансе – это раздел II)	Здания, сооружения, оборудование к установке, НМА, транспорт, объекты для передачи по лизинговым сделкам Сырье, топливо, материалы, инструменты, произведенные товары, закупленная продукция, деньги на счетах и в кассе, дебиторка
По ликвидности	А1 – высоколиквидные А2 – быстрореализуемые А3 – медленно реализуемые А4 – труднореализуемые	Денежные средства на банковских счетах и депозитах, наличные в кассе, ценные бумаги Краткосрочные дебиторские обязательства (меньше 12 мес.) Сырье и другие запасы Оборудование, недвижимость, дебиторская задолженность долгосрочного характера (больше 12 мес.)
По материальности	Вещественные Невещественные Финансовые	Реальные или физические активы – это все основные средства, материалы, товары, запасы, сырье и т.д. Патенты, торговые марки и знаки, гудвилл, деловая репутация Денежные резервы в любой валюте, страховые полисы, ценные бумаги, паи, путевые расчетные листки
По правовому характеру владения	Собственные Арендованные Полученные безвозмездно	Все основные активы, приобретенные за средства компании Полученные по договорам аренды Переданные безвозмездно, к примеру, вклады участников в уставник общества
По источникам формирования	Суммарные активы Чистые	Совокупные активы в балансе по строке 1600 Рассчитанные по специальной формуле
По привлечению заемных денег	Инвестиционные активы	Здание, приобретенное за счет кредита банка
По степени важности для предприятия	Прочие активы – это те, которые не играют главной роли в деятельности компании	Оборудование к монтажу и установке, вложения во внеоборотные объекты, расходы будущих периодов

Редкие виды активов:

Проблемные активы – то есть те, которые реализовать крайне трудно по причине различных юридических и финансовых обременений. К примеру, проблемные активы – это имущество под арестом, в залоге; денежные долги компаний, отказывающихся исполнять обязательств; объекты с оспариваемым титулом и пр.
Резервные активы – те, которые находятся в юрисдикции прямого контроля государства. Акции крупных компаний, международные счета в банках, монетарное золото, СДР (специальные права заимствования) и пр., - это все резервные активы.
Информационные активы – невещественные объекты, имеющие важное значение для предприятия. К примеру, информационный актив – это базы данных компании, имидж бизнеса и пр.
Экономические активы – это те объекты, индивидуальное или совместное владение которыми приносит собственникам определенную экономическую выгоду.

Информационные активы

"...Информационные активы (information asset): или средства обработки информации организации..."

Источник:

(утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое "Информационные активы" в других словарях:

информационные активы - 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. Источник: ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности 3.35 информационные активы… …

активы организации - Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды информации, циркулирующие в… …

активы - 2.2 активы (asset): Все, что имеет ценность для организации. Источник … Словарь-справочник терминов нормативно-технической документации

активы организации - 3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды… … Словарь-справочник терминов нормативно-технической документации

активы организации банковской системы Российской Федерации - 3.2. активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации БС РФ могут относиться: банковские… … Словарь-справочник терминов нормативно-технической документации

3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал),… … Официальная терминология

Бизнес-активы Михаила Прохорова - Ниже приводится справочная информация об активах Прохорова. В рейтинге самых богатых бизнесменов 2012 по версии русского Forbes Михаил Прохоров занимает седьмое место с 13,2 миллиарда долларов. Основные активы Михаила Прохорова сосредоточены в… … Энциклопедия ньюсмейкеров

интеллектуальные активы - Включают накопленную информацию и знания сотрудников. Тематики информационные технологии в целом EN intellectual assets … Справочник технического переводчика

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности - Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации . Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

Управление информационной безопасностью - крайне важная задача для любой организации. Менеджмент должен видеть и понимать нужды организаций в информационном обеспечении, решать существующие информационные проблемы. Конечно же, в какой-то мере каждая организация уже работает над обеспечением информационной безопасности, однако этого недостаточно.

Во всеобщем понимании информационная безопасность связана с ограничением доступа третьих лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью. Мировые корпорации решают гораздо больший комплекс проблем, связанный с информационной безопасностью. Их работа над безопасностью экономит средства предприятия, как в процессе работы, так и за счет нейтрализации неприятных последствий.

Информационная безопасность ни в коем случае не должна ассоциироваться с параноидальным желанием спрятать, закрыть и удалить коммерческую информацию. Т.к. при таком подходе благие намерения по защите информации приведут как минимум к потере доступности многих информационных ресурсов, что может привести к гораздо более тяжелым финансовым последствиям, чем их утечка. Всегда нужно помнить о разумном равновесии, обеспечивая одновременно все три свойства – конфиденциальность, целостность, доступность. При этом, всегда нужно понимать единственно правильную цель работы предприятия. Эта цель не может быть рассмотрена в плоскости лучшей оснащенности оборудованием или высокой компетентности персонала. Единственная цель предприятия – получение финансовых выгод. Исключение могут составлять благотворительные и подобные им организации.

Рассмотрим основные понятия современного подхода к информационной безопасности.

Основным объектом информационной безопасности является Информационный актив

Что такое Информационный актив?

Это материальный или нематериальный объект, который:

является информацией или содержит информацию;
служит для обработки, хранения или передачи информации;
имеет ценность для организации.

Информационные активы обладают основными свойствами финансовых и материальных активов предприятия: стоимость, ценность для организации, возможность накопления, возможность трансформации в другие активы. Зачастую ценность информационного актива предприятия превосходит ценность всех финансовых. Примером такого актива является имидж предприятия.

Сегодняшние реалии таковы, что и финансовые, и материальные, и информационные активы нуждаются в защите. Надежная защита информационных активов существенна для работы предприятия. Поэтому несоответствующий уровень защиты – часто недооцененный фактор риска, который может стать угрозой для существования.

Внедрение управления информационной безопасностью имеет ряд преимуществ, среди которых можно выделить следующие:

понятность информационных активов для менеджмента компании;
результативное выполнение политики безопасности;
регулярное выявление угроз и уязвимостей для существующих бизнес-процессов;
эффективное управление предприятием в критических ситуациях;
снижение и оптимизация стоимости поддержки системы безопасности.

Чтобы достичь уровня информационной безопасности, который удовлетворяет потребностям организаций, необходима четкая и слаженная система, для построения которой можно обратиться к следующим источникам:

International Standard. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation criteria for IT security
International Standard. ISO/IEC 18028-4. Information technology - Security techniques - IT network security
Payment Card Industry Data Security Standard (PCI DSS)
NIST Information security standards
и др.

В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.

Введение

Одна из самых важных причин создания политики безопасности компьютеров – это уверенность в том, что затраченные средства на безопасность помогут компании защитить более ценную информацию.

В наше время бизнес компаний напрямую связан с информационными технологиями, для многих именно информация является главным средством получения денег. Излишне говорить, что, как и любые материальные активы, информационные активы нуждаются в безопасности. Высокий профессионализм атакующего и отсутствие оного у пользователей говорит не в пользу уровня защиты информации, и делает вашу фирму, а так же весь ваш бизнес, уязвимым. Но, к сожалении, это лишь часть проблемы, которую предстоит решать отделу безопасности и системному администратору. Согласно исследованиям Ernst & Young за 2003 год самый большой урон компаниям принесли вредоносные программы и нарушения со стороны сотрудников. Никогда не можно быть уверенным на все сто, что сотрудник, работающий с ценной информацией не похитит или уничтожит ее. Согласно RFC 2196 для информационных активов существуют следующие угрозы:

Очень часто доступ к данным намного легче получить изнутри, чем снаружи сети. Многие администраторы защищают свою сеть от атак неизвестных взломщиков с помощью различных систем обнаружения вторжения, межсетевых экранов, забывая о том, что пользователи их сети могут принести намного больший урон информационным активам.

2. Ненамеренное и/или неправомерное раскрытие информации

Здесь речь идет о пользователях, способных случайно или специально раскрыть атакующему важную информацию о политике безопасности или даже передать конфиденциальные данные в руки взломщиков.

3. Отказ в обслуживании

Приведение актива в нерабочее состояние вследствие неумышленных или специальных действий пользователей (удаление, повреждение файла или нескольких файлов общей БД)

Давайте рассмотрим варианты защиты от этих угроз подробнее.

Решается на уровне ACL. Разрабатывается политика безопасности относительно информационных ресурсов к которым пользователи имеют доступ, а также определяется уровень доступа к информационному ресурсу.
Комплексные действия по отношению к охраняемой информации. Этот пункт рассматривается позже.
Резервирование данных. Этот процесс ресурсоемок, но стоит этого!

В данной статье мы будем рассматривать вторую угрозу, так как именно от этой угрозы сложнее всего защитить информационные активы.

Для сохранности информационных активов используются комплексные меры защиты:

контроль над передаваемыми по сети данными
Аппаратный (снифферы, маршрутизаторы, свитчи)
Программный (снифферы, контентные фильтры, системы обнаружения вторжения)
контроль за использованием информационных активов
Аппаратный (системы видео наблюдения, прослушивания и т.д.)
Программный (кейлогеры, системы мониторинга и т.д.)
контроль съемных носителей, принтеров, копиров
Аппаратный
Программный

Понимание инцидента.

Попытка повышения привилегий на системе с целью завладеть тем или иным информационным активом
Попытка несанкционированного доступа к информационным активам
Попытка порчи или кражи информационных активов
.Раскрытие важной информации

Для системного администратора и сотрудника отдела безопасности понимание инцидента и наличие политики защиты от него являются самыми главными средствами в борьбе за информационные ресурсы предприятия.

Пользователи, которые работают с важной информацией, являются объектами наблюдения для службы безопасности. Контроль за почтовыми сообщениями пользователей, за использованием Интернета, попыткам доступа к ресурсам можно осуществить с помощью различных снифферов, систем обнаружений вторжения, всевозможных лог файлов и т.д. Но как выявить нарушителя, который пытается украсть информационные активы путем их записи на съемные носители? Аудит файлов и папок не позволяет обнаружить простую операцию копирования содержимого секретного файла в новый.

Защита от кражи информации. DeviceLock.

В этой статье рассматривается решение по защите информационных активов средствами утилиты DeviceLock.

Утилита DeviceLock от SmartLine позволяет контролировать доступ к различным устройствам в системе: дисководам, магнитно-оптическим дискам, CD-ROM, ZIP, USB, FireWire, serial и parallel портам, WiFi и Bluetooth адаптерам и т.д.

Характеристики ПО:

Версия: 5.52

Платформы: Windows NT 4.0/2000/XP/2003

Удаленное управление: Да

Удаленная установка: Да

Взаимодействие с Active Directory: Да

Обычно компьютеры покупаются со стандартной комплектацией аппаратного обеспечения, в которой присутствуют порты USB, дисковод CD-ROM или CD-RW, порты serial и parallel и т.д., что позволяет пользователю без проблем воспользоваться одним из этих устройств для копирования информации. Бороться с этим можно как аппаратными так и программными средствами, именно последним и отдают предпочтение, так как часто требуется создание политики доступа к подобным ресурсам для каждого отдельного пользователя.

1. Установка

Утилита поддерживает три вида установки: обычная установка с графическим интерфейсом, установка с помощью Microsoft Systems Management Server (SMS), установка из командной строки.

Для установки с помощью Microsoft Systems Management Server следует использовать файлы, которые находятся в архиве sms.zip дистрибутива.

Установка с использование командной строки:

Для этого типа установки важно, чтобы конфигурационный файл devicelock.ini находился в том же каталоге, что и файл setup.exe

Синтаксис файла devicelock.ini:

Ключ	Параметр	Описание
Floppy	1 или 0	Запрещает доступ ко всем дисководам.
Removable	1 или 0	Запрещает доступ ко всем съемным носителям.
CDROM	1 или 0	Запрещает доступ ко всем устройствам CD-ROM
Serial	1 или 0	Запрещает доступ ко всем портам serial
Parallel	1 или 0	Запрещает доступ ко всем портам parallel
Tape	1 или 0	Запрещает доступ ко всем устройствам записи на магнитную пленку
USB	1 или 0	Запрещает доступ ко всем устройствам USB
IRDA	1 или 0	Запрещает доступ ко всем устройствам IRDA.
FireWire	1 или 0	Запрещает доступ ко всем портам IEEE 1394
Bluetooth	1 или 0	Запрещает доступ ко всем адаптерам Bluetooth
WiFi	1 или 0	Запрещает доступ ко всем адаптерам WiFi
CreateGroups	1 или 0	Создает локальные группы для каждого типа устройств
AccessTo...	{Имя пользователя или группы с правами полного доступа к устройству}	Разрешает доступ отдельных пользователей для каждого типа устройств
CtrlUSBHID	1 или 0	Контролирует USB порты для клавиатуры, мыши…
CtrlUSBPrint	1 или 0	Контролирует USB порты для принтеров, сканеров
CtrlUSBBth	1 или 0	Контролирует адаптеры USB Bluetooth
CtrlFWNet	1 или 0	Контролирует сетевые адаптеры USB и FireWire
Service	1 или 0	Устанавливает службу DeviceLock
Manager	1 или 0	Устанавливает менеджер для DeviceLock
Documents	1 или 0	Устанавливает документацию к программе
InstallDir	{путь к каталогу}	Определяет путь к установочному каталогу
RegFileDir	{путь к файлу}	Определяет путь к лицензионному ключу
Run	{путь к файлу}	Запускает приложение в случае успешной установки

Пример файла конфигураций devicelock.ini:

;Конфигурация для установки DeviceLock на пользовательские компьютеры:
AccessToFloppy= Domain\privileged
AccessToRemovable= Domain\privileged
AccessToCDROM= Domain\privileged
AccessToUSB=Domain\privileged
InstallDir=C:\Program files\devicelock\
RegFileDir=C:\RegistrationKey\xxxxxx

Для установки программы в этом режиме следует запустить файл setup.exe с ключом /s (silent)

D:\Distributives\DeviceLock\setup.exe /s

К сожалению в процессе установки утилита позволяет создать лишь локальные группы пользователей. Если у вас доменная сеть, значительно удобней создать группы для всего домена. Для этого воспользуйтесь оснасткой Active Directory Users and Computers: dsa.msc или утилитой net group.

2. Использование. Возможности программы.

Для нормального функционирования программы на машинах в вашей сети должны быть открыты следующие порты:

Порт135 (TCP) – для службы RPC
Порт 137 (UDP) – для службы NetBIOS Name Service
Порт 138 (UDP) - для службы NetBIOS Netlogon and Browsing
Порт 139 (TCP) - для службы NetBIOS session (NET USE)
Порты после 1024 (TCP) - для службы RPC

С помощью менеджера DeviceLock утилита устанавливается на нужные машины в сети двойным щелчком мыши на объекте. Управление проводится централизованно с машины, на которой установлен менеджер

Определение политик доступа для определенного устройства осуществляется с помощью диалогового окна Permissions, которое вызывается двойным нажатием левой кнопки мыши на устройстве или через меню File->Set Permissions.

Утилита позволяет управлять доступом как для групп, так и для отдельных пользователей. Возможные виды доступа к устройству:

Также возможно управлять доступом пользователей к устройствам по времени.

Разрешения Allow Eject действительны лишь для программного изъятия носителя из устройства, по этому особой нужды в таком правиле по нашему мнению нет, так как пользователь всегда сможет нажать на кнопку привода и изъять или вставить носитель.

Обратите внимание, что политика доступа назначается для всей группы устройств, а не для отдельного устройства. Т.е. если на машине присутствуют 2 устройства CD-ROM, то невозможно для одного пользователя создать разные разрешения для каждого устройства.

Программа позволяет одновременно создавать политики для определенного типа устройств на всех компьютерах в сети. Для этого используется диалоговое окно Batch Permissions (File->Batch Permissions).

Преимущества программы:

1. Позволяет создавать правила доступа к устройствам, что делает ее незаменимой в среде, где требуется жесткий контроль над информационными активами

2. Проста в обращении

3. Не требует больших ресурсов для работы

Недостатки:

1. Немного неудобный интерфейс

2. Было бы неплохо выставлять разрешения для каждого устройства, а не для группы устройств. Например, виртуальный CD-ROM и физический распознаются как одна группа устройств, что не позволяет запретить некоторым пользователям доступ на чтение с физического устройства.

Заключение

Енвд