Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.
Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.
________________________________________
Идентификация активов:
- формирование модели бизнес-процессов;
- инвентаризация активов;
- формирование реестров активов;
- определение взаимосвязей между реестрами активов;
- построение модели активов;
- определение владельцев активов и их обязанностей;
- делегирование обязанностей по обеспечению безопасности активов;
- классификация и категорирование активов;
- определение правил допустимого использования активов.
_________________________________________
Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.
Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.
Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.
