Разработка специальной классификации информационных активов в сфере информационной безопасности

Это работа © 2022 Манжосов А. В., Болодурина И. П., Сабуров В. С., Долгушев Н. А. лицензиру- ется под CC BY 4.0. Чтобы просмотреть копию этой лицензии, посетите

Ключевым составным элементом любого риска является актив. Наличие рисков информационной безопасности (далее – ИБ) как раз и обусловлено наличием информационных активов (далее – ИА). Значительную часть капитализации всей организации составляет информация, циркулирующая в ее информационных системах. К ИА относится практически любая информация, которая представляет ценность для предприятия. К ним можно отнести и имущество предприятия, его финансы, кадры, технологии и инновации, информационную систему предприятия, а также его организационную структуру. Под активами (ресурсами) понимаются не только материальные объекты, но и сервисы, функционирование которых критично для процессов, а также данные, используемые в процессе операционной деятельности.

Цель идентификации активов – определение перечня активов, в отношении которых требуется управление рисками, а также перечня связанных с активами бизнес-процессов.

1.    Обзор определений понятия "информационный актив"

В настоящее время определение понятия "информационный актив" представлено в разных источниках.

Информационный актив – информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы Российской Федерации; находящаяся в распоряжении организации банковской системы Российской Федерации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме [1].

Информационный актив – информационные ресурсы или средства обработки информации организации [2]. Информационный актив – знания или данные, которые имеют значение для организации [3].

Информационные ресурсы – документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, депозитариях, музейных хранилищах и т.п. [4].

Защищаемые ресурсы (информационной системы) – ресурсы, использующиеся в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности [5].

Защищаемые информационные ресурсы (автоматизированной информационной системы) – информационные ресурсы автоматизированной информационной системы, для которых должен быть обеспечен требуемый уровень их защищенности [3].

Информационный актив – это поддающийся измерению результат деятельности компании за определенный период времени [6].

Информационный актив – это информация, находящаяся в распоряжении организации и имеющая ценность для нее, в независимости от вида ее представления [7].

Для каждой организации чаще всего ценными являются свои индивидуальные ИА. Определить их можно, ответив на вопрос: "Потеря или нанесение ущерба каким ИА или информационным ресурсам причинит вред всей организации"?

2.    Обзор источников

Статья [8] содержит исследования, касающиеся классификации ИА и предлагает собственную систему классификации, учитывающую особенности небольших IT организаций и бизнес-процессов. В частности, авторы дифференцируют ИА с помощью метода качественного наблюдения и статистического метода. Статья "A Study on Classification of Information Asset Considering Business Process Characteristics for Small IT Service Organization" предлагает исключительно теоретическое описание классификации ИА, без конкретной модели построения классификации, статья не связана с законодательством РФ, а также не предо- ставляет механизм получения итогового перечня ИА.

В статье "Information Asset Classification and Labelling Model Using Fuzzy Approach for Effective Security Risk Assessment" [9] авторы анализируют эффективность моделей классификации ИА по соответствующим уровням риска безопасности, требуемому уровню защиты и приоритету. В исследовании предложена структура классификации и маркировки ИА на основе нечеткой оценки безопасности и классификации ИА (FIACL) и их экспертной оценки, базирующаяся на стандарте безопасности ISO/IEC 27001.

Публикация автора [10] посвящена динамической когнитивной модели оценки уровня безопасности ИА, также основанной на нечетком методе оценки. Статья посвящена повышению уровня ИБ высших учебных заведений по законодательству РФ.

В статье "Идентификация активов как ключевых факторов риска информационной безопасности" [11] представлен сравнительный анализ классификаций активов по международным и российским стандартам ИБ. Автор также предлагает пример реестра ИА на примере отдельной организации. Статья содержит примеры классифицированных активов.

Автор статьи "Совершенствование системы обеспечения информационной безопасности финансовой организации с применением процессов моделирования, классификации информационных активов и учетных записей" [12] рассматривает процессы моделирования и классификации ИА банковского сектора, а также приводит базовые классификации активов и учетных записей подконтрольного объекта с целью выявления возможных путей совершенствования системы обеспечения ИБ. Статья предлагает анализ законодательства банковского сектора и механизм определения актуальных угроз ИБ.

Зарегистрированный модуль ePlat4m [13] "Управление категорированием объектов КИИ (УКИИ)" разработан с целью автоматизации процессов сбора, учета и обработки результатов инвентаризации информационных ресурсов (программных и аппаратных компонентов) АСУ ТП.

Проведенный анализ литературы показал, что тема исследования является обсуждаемой, актуальной в российской и международной повестке. Уровень проработанности темы остается низким, требует проведения исследований и общественной дискуссии на форумах и конференциях.

• 3.    Сопоставительный анализ существующих классификаций информационных активов нормативно-правовых актов

  Стандарт BS 7799-3 описывает ресурсы как "то, что имеет ценность или находит полезное применение для организации, ее деловых операций и их непрерывности" [14]. Информацию и другие ресурсы стандарт рекомендует классифицировать в соответствии с идентифицированной стоимостью ресурсов, законодательными и бизнес-требованиями, и уровнем критичности, а реестры этих ресурсов должны быть собраны вместе и поддерживаться в актуальном состоянии. Допускается объединение похожих или связанных ресурсов в управляемые наборы, чтобы сократить усилия, затрачиваемые на процесс.

Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца ресурса. Информация должна быть защищена, независимо от того, какую форму она принимает, например, базы данных или файлы данных, документация компании или системная документации, контракты, руководства пользователя, учебный материал, операционные процедуры и процедуры поддержки, инструкции, документы, содержащие важные бизнес-результаты, планы обеспечения непрерывности или соглашения о переходе на аварийный режим.

Для каждого из идентифицированных ресурсов или группы ресурсов должен быть определен их владелец, и ответственность за сопровождение соответствующих механизмов безопасности должна быть возложена на этого владельца. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем ресурса.

Стандарт ISO/IEC 27005 понимает под ИА нечто, имеющее ценность для организации и, следовательно, нуждающееся в защите [15]. Стандарт также отмечает, что под влиянием угрозы может оказаться не только один, но и большее количество активов, а также только отдельная часть актива.

В связи с этим, ценность активов может быть определена в зависимости от их финансовой стоимости и масштабов последствий для бизнеса в случае их порчи или компрометации. Так же, как и BS 7799-3, стандарт ISO/IEC 27005 допускает группировку активов или их разбиение на элементы и связывание сценариев с элементами. Основными активами обычно являются базовые процессы и информация о деятельности организации в границах процесса менеджмента риска. Могут рассматриваться также и другие основные активы, такие как процессы жизнедеятельности организации, которые будут иметь отношение к формированию политики ИБ или плана непрерывности бизнеса. Процессы и информация, которые не были идентифицированы как чувствительные относительно данной деятельности, не будут иметь определенной классификации в оставшейся части исследования. Это означает, что, если даже такие процессы или информация будут скомпрометированы, организация по-прежнему будет успешно осуществлять свою деятельность. Тем не менее, они часто будут наследовать средства управления, реализуемые для защиты процессов и информации, идентифицированных как чувствительные.

Методический документ ФСТЭК России от 5 февраля 2021 года "Методика оценки угроз безопасности информации» определяет информационный ресурс как «информацию, данные, представленные в форме, предназначенной для хранения и обработки в системах и сетях" [16].

Документ предписывает определять ценность активов с помощью их классификации, в соответствии с их критичностью и их важности для осуществления бизнес-целей организации. Ценность определяется с использованием двух мер: восстановительной стоимости актива (стоимости очистки с целью восстановления и замены информации) и последствий для бизнеса от потери или компрометации актива (например, возможные неблагоприятные деловые и/или законодательные или регулирующие последствия раскрытия, модификации, недоступности и/или разрушения информации и других ИА).

В таблице представлен сопоставительный анализ существующих классификаций ИА нормативно-правовых актов.

Сопоставительный анализ существующих классификаций ИА нормативно-правовых актов

	Стандарт ISO/IEC 27005	Стандарт BS 7799-3		Методика оценки угроз безопасности информации
Типы ИА	бизнес-процессы	пер-вич-ные активы	информация	информация, содержащаяся в системах и сетях
	действия		бизнес- процессы	программно аппаратные средства обработки и хранения информации
	информация	активы поддерж ки	сервисы	программные средства
	аппаратные сред ства		программное обес печение	машинные носи тели информации
	программное обеспече ние		физические объ екты, ис-пользуемые для поддержки обработки информации	телекоммуникационное оборудование
	сеть		люди, участвующие в процессах хранения или обработки информации	средства защиты информации
	персонал			пользователи систем и сетей
	организационная структура			обеспечивающие системы

Опираясь на Методический документ ФСТЭК России от 5 февраля 2021 года "Методика оценки угроз безопасности информации", можно получить перечень ИА.

Такой список носит общий характер, и для более эффективного формирования перечня ИА необходимо составить классификацию на основе вышеупомянутого методического документа.

4.    Специальная классификация информационных активов

Идентификацию ИА с целью управления рисками ИБ, необходимо проводить с той степенью точности детализации, которая обеспечила бы получение достаточной информации для оценки критичности риска. Классификацию ИА следует начинать "сверху вниз", а не наоборот, как это делает в последнее время большое количество ИТ-специалистов, формируя таким образом списки различных ни к чему не привязанных активов.

Критерий разработки специальной классификации: ИА считается такой актив, на который распространяются риски ИБ.

Первый ярус классификационного иерархического древа преимущественно основан на методическом документе ФСТЭК России от 5 февраля 2021 года "Методика оценки угроз безопасности информации".

На рис. 1 представлена базовая версия специальной классификации ИА в сфере ИБ.

Рис. 1. Базовая версия специальной классификации ИА в сфере ИБ

Разработанная специальная классификация позволит упростить процесс идентификации ИА на предприятии за счет систематизации и структурирования ИА.

Полная специальная классификация ИА в сфере ИБ в исходном размере доступна к скачиванию по ссылке mTzfoX или QR-коду, представленному на рис. 2.

Рис. 2. Ссылка для скачивания специальной классификации информационных активов в сфере информационной безопасности

Заключение

При разработке специальной классификации ИА в сфере ИБ поэтапно были выполнены нескольких аналитических задач.

Проведен анализ определений понятия "информационный актив", который показал разностороннюю направленность ИА в сфере ИБ.

Проведен обзор источников по теме исследования, в результате которого определено, что тема исследования является обсуждаемой, актуальной в российской и международной повестке.

Выполнен сопоставительный анализ классификаций ИА нормативно-правовых актов. Определен рекомендуемый базовый перечень ИА, на который можно опираться при разработке классификации информационных активов и управлением рисками ИБ.

Разработанная специальная классификация ИА, которая предлагает систематизацию классов ИА по критерию распространения рисков ИБ на классифицированный тип ИА.