[МУЗЫКА] Еще один раздел
политики безопасности желательно посвятить вопросу управления активами.
Целью такого раздела является обеспечение защиты активов организации от любых
нежелательных воздействий: разрушения, похищения, уничтожения,
несанкционированного использования, компрометации.
Под активами, напомню, понимаются в самом широком смысле любые объекты,
которые представляют ценность для организации, то есть информация,
устройства, которые работают на контролируемой территории, и,
в общем-то, любые подобные объекты имущества организации,
которые так или иначе представляют для нее какую-то ценность.
Все эти объекты попадают в определение понятия актива.
В данном случае речь идет в первую очередь об объектах информации,
то есть о каких-то файлах, документах и устройствах,
связанных с обработкой, хранением и передачей информации.
Основными рекомендациями для реализации эффективного и безопасного
управления активами являются следующие советы.
Во-первых, желательно учесть все активы и назначить конкретного
владельца для каждого из них.
Желательно, чтобы за каждое устройство, за каждый файл,
за каждый документ кто-то отвечал, и был бы некий владелец,
который может разрешать другим лицам доступ к этим объектам либо не разрешать.
В противном случае в ситуации, когда получен несанкционированный доступ
к тому или иному объекту, сложно найти лицо, которое, например,
предоставило этот доступ либо допустило утечку информации, проявило
халатность или осуществило иное нарушение требований политики безопасности.
Поэтому для каждого актива желательно наличие владельца.
Вторая рекомендация заключается в назначении лица, ответственного за
поддержку соответствующих мер, то есть некоего администратора,
который мог бы в рамках своих основных должностных обязанностей контролировать
работоспособность принятых мер защиты информации, соблюдение требований по
защите информации сотрудниками и в том числе руководителями всех уровней,
а в случае если по той или иной причине данные меры не работают,
предпринимать требуемые действия, как-то реагировать и добиваться того,
чтобы эти меры снова работали.
Нельзя исключать ситуации, когда просто для облегчения собственных
задач пользователи информационной системы либо даже руководители
низшего и среднего звена будут такие меры стараться игнорировать по той причине,
что это замедляет процессы деятельности, например, замедляет вопросы согласования
каких-то документов, требует дополнительных действий,
требующих времени, таких как, допустим, выработка электронной цифровой подписи,
зашифровывание передаваемой по локальной сети информации,
если это требуется, это может вносить какие-то дополнительные ошибки в работу,
если сотрудники не слишком опытные, каким-то образом создавать им трудности.
Вот для того чтобы не было соблазна игнорировать эти меры по защите
информации, желательно наличие такого лица-контролера,
и это лицо должно поддерживать работоспособность данных средств.
В данном разделе, посвященном управлению активами,
желательно сформулировать следующие положения.
Во-первых, вопросы инвентаризации активов,
то есть процедуру составления и актуализации их описи,
описание значимости активов, а также, что существенно, сбор необходимой информации,
необходимой для скорейшего восстановления актива в случае инцидента.
Если речь идет о каких-то информационных объектах, то есть документах, файлах,
то желательно записать все реквизиты, возможно иметь информацию о наличии
резервной копии, для того чтобы в случае нарушения доступности данного актива,
то есть его, например, уничтожения или серьезного повреждения,
можно было бы максимально оперативно из резервной копии его восстановить и,
таким образом, восстановить, собственно, сам актив и, возможно,
работоспособность системы, если актив является критичным.
Также желательно сформулировать вопросы владения активами,
то есть для каждого актива, связанного со средствами обработки информации,
также назначить владельца, то есть не только для объектов информации,
но и для средств обработки информации назначить владельца.
В данном случае не обязательно конкретное лицо, возможно,
определенную часть организации, то есть отдел,
но в любом случае у каждого такого актива должен быть конкретный владелец,
который отвечает за его безопасность и работоспособность.
Имеется в виду информационная безопасность в аспектах целостности,
доступности, конфиденциальности и при этом работоспособность как защита от
повреждений.
В этом же разделе желательно рассмотреть вопросы приемлемого использования активов,
то есть правил такого использования, обязательных или рекомендуемых к
исполнению для всех сотрудников, подрядчиков и представителей третьих лиц.
Иными словами, сформулировать регламенты, по которым все лица,
так или иначе взаимодействующие с организацией,
могут использовать активы так, чтобы не нанести им никакого ущерба.
Также важно рассмотреть вопросы классификации информации для определения
уровней важности и необходимости обеспечения защиты на основе их ценности,
требований законов, важности для организации.
То есть желательно создать несколько уровней важности информации,
например: информация, составляющая государственную тайну,
информация, составляющая коммерческую тайну, персональные данные и информация,
не являющаяся конфиденциальной.
Здесь вы можете вспомнить схему,
которая иллюстрировала работу мандатной системы контроля доступа.
Есть несколько уровней, и в зависимости от уровня не только обеспечивается доступ
различных субъектов, но и применяются более серьезные меры защиты информации.
[МУЗЫКА] [МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
