"Шаг третий. Определение критичности актива"

Мы продолжаем цикл статей, посвященных комплексному и последовательному построению системы информационной безопасности в организации. Компания SearchInform, один из ведущих российских разработчиков систем ИБ, обобщает опыт своих сотрудников и партнеров – экспертов в области информационной безопасности

В предыдущей статье мы рассматривали подходы (процедуру) инвентаризации информационных активов. Напомним, что в ходе инвентаризации активы учитываются по типам и категориям.

Переходя к следующему этапу работы с информационными активами, необходимо уяснить, что каждый из типов ресурсов имеет те или иные уязвимости. Кроме того, в информационной сфере существует ряд угроз, которые потенциально могут воздействовать на информационный актив. Угрозы, воздействуя на актив, реализуются через уязвимость актива. Каждый актив обладает только ему присущими уязвимостями. Каждая из угроз может использовать только определенные типы уязвимостей.

Реализуемая угроза – это и есть риск. В результате воздействия угрозы изменяются свойства актива и его стоимость.

Что же следует из всего сказанного? Для чего нам нужно выявлять какие-либо угрозы, проводить оценку рисков и т. д.?

Ответ «лежит на поверхности». Выявление актуальных угроз, оценка рисков необходимы для того, чтобы построить систему защиты для своих информационных активов, адекватную существующим угрозам и соответствующую важности (критичности) активов. Критичность активов определяется исходя из потребностей бизнеса (целей деятельности организации).

Соответствие требованиям законодательства и требованиям подзаконных актов – это первая из приоритетных задач. Не менее важной задачей для любой организации (бизнеса) является защита своей коммерческой тайны. Исходя из этого допустимо определить следующие приоритеты в защите активов (см. табл. 1, статья «Шаг второй. Инвентаризация информационных ресурсов», Директор по безопасности №4, апрель 2011г.):

Приоритет первый (высший) – раздел 1 и «Коммерческая тайна» из раздела 2.

Приоритет второй – «Служебная тайна» из раздела 2.

Приоритет третий – раздел 3.

Определение уязвимостей актива, выявление угроз

Определение уязвимостей актива – это экспертная оценка, основанная на изучении свойств актива и выявлении характеристик актива, которые могут быть использованы теми или иными угрозами.

Выявление (определение) перечня угроз допустимо начать с анализа деструктивных факторов, приведенных в ГОСТ Р 51275-99 «Объект информатизации. Факторы, воздействующие на информацию».

Применительно к организациям, работающим с информацией конфиденциального характера, наиболее актуальными факторами являются:

§   дефекты, сбои, отказы, аварии технических средств и систем;

§   дефекты, сбои и отказы программного обеспечения;

§   разглашение защищаемой информации лицами, имеющими к ней право доступа;

§   неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации;

§   несанкционированный доступ к защищаемой информации;

§   неправильное организационное обеспечение защиты информации;

§   ошибки обслуживающего персонала;

§   блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку.

 КАК СДЕЛАТЬ БЕЗОПАСНОСТЬ ВЫГОДНОЙ?

КАК ПОЛУЧИТЬ ПРИБЫЛЬ, ИНВЕСТИРУЯ В БЕЗОПАСНОСТЬ?

 Уважаемый коллега!

Интерес российского делового сообщества к вопросам корпоративной безопасности в последнее время растет поразительными темпами. Тысячи руководителей разного уровня, также как и Вы, могут существенно повысить результативность бизнеса, благодаря возможности всецело сосредоточиться на коммерческих вопросах, не натыкаясь на досадные препятствия, вроде проблем с открытием новых филиалов, «сюрпризов» в виде недостачи товара на складе, внезапных встречных проверок, угрожающих уголовной ответственностью. 

Читайте на страницах журнала:   

• Уголовная ответственность топ-менеджеров как угроза безопасности компании
• Как использовать «сарафанное радио» в работе с кадрами
• Обоснование инвестиций в безопасность. Как измерить выгоду 
• Календарь событий и мероприятий по безопасности
• Топ-100 российских ЧОПов 
• Обзор техники обнаружения скрытых видеокамер
• Расследование компьютерных инцидентов
• Обзор уровней зарплат специалистов и руководителей в области безопасности
• Передача безопасности на аутсорсинг. Возможно ли это в России?
• Инструменты бизнес-разведки в системе безопасности коммерческого предприятия 
• Разработка  действенного "Положения о коммерческой тайне" компании 
• Российские и международные стандарты в области коммерческой безопасности 
• Системы мониторинга рабочих процессов
• Проблемы взаимодействия подразделения безопасности с коммерческими отделами
• Противодействие угрозам в области авторских прав
• Снижение и предотвращение потерь в финансовых процессах 
• Рейтинг российских консалтинговых компаний в области безопасности 
• Методики работы с персоналом. Опросы и беседы 
• Комплексная безопасность производственного предприятия. Процессы, методики, схемы
• Создание Отдела финансового контроля

Просто и быстро вернуть «зависшие» деньги (либо, наоборот, безболезненно уладить противоречия с кредиторами), получить максимально полную информацию о контрагентах и собственных сотрудниках, снизить потери за счет искоренения воровства – все эти возможности, не требующие серьезных материальных и временных затрат, позволят Вам вплотную заняться неотложными делами по развитию бизнеса, расширению ассортимента, новыми интересными проектами. 

Сейчас Вы имеете возможность обеспечить качественную защиту Вашего бизнеса, не расходуя ежедневно часы своего драгоценного времени на «разруливание» вопросов безопасности (на большинство этих вопросов уже есть ответы) и не «вбухивая» отчаянно-шокирующие бюджеты в безопасность.Подписавшись на ежемесячный журнал «Директор по безопасности», Вы получите в свое распоряжение бесценный опыт Директоров по безопасности ведущих Российских компаний, владельцев и руководителей предприятий различных отраслей, лучших экспертов в этой области. Вы получите доступ:  к готовым решениям, основанным на реальном опыте; более 1000 страниц практической информации в области безопасности бизнеса; к электронной копии этих статей.