Наше життя постійно ускладнюється у всіх сферах. Виникають нові, небачені раніше підходи, технології, активи. Для сучасних великих підприємств велику роль відіграють інформаційні активи. Що вони собою являють?
Загальна інформація
Перш ніж приступати до основної теми, давайте торкнемося необхідний теоретичний мінімум. А саме, поговоримо про інформацію. Вона є одним з найбільш важливих виробничих активів, від якого значною мірою залежить ефективність діяльності підприємства та його життєздатність. Це може бути як секрет створення певного товару, так і внутрішні фінансові дані. Будь-яка більш-менш велика організація має свої інформаційні активи, щодо яких дуже небажано, щоб вони потрапили в сторонні руки. Тому гостро стоять питання збереження та безпеки.
Про загальних поняттях
Щоб успішно розібратися з усіма представленими даними, необхідно знати кілька моментів:
Інформаційний актив. Це дані з реквізитами, які дозволяють провести ідентифікацію. Мають цінність для певної організації і знаходяться в її розпорядженні. Представлені на будь-якому матеріальному носії у формі, яка дозволяє обробляти її, зберігати або передавати.
Класифікація інформаційних активів. Це розділення наявних даних організації за типами, які відповідають ступеню тяжкості виникають наслідків як результат втрати важливих властивостей.
Як можна зрозуміти, важливі не тільки окремі цифри і їх пояснення, але і можливість оперативно використовувати, захист від несанкціонованого доступу і ряд інших моментів. Коли виділені і сформовані інформаційні активи підприємства, гостро постає питання їх правильної класифікації з подальшим забезпеченням безпеки. Чому саме так? Справа в тому, що за допомогою класифікації можна оформити ключові метрики для використовуваної інформації, її цінність, сила впливу на підприємство, вимоги до забезпечення/супроводу/захисту тощо. Багато в чому від цього залежить, як дані будуть оброблятися і захищатися. Крім цього, існує ряд нормативних стандартів, які передбачають проведення обов’язкової інвентаризації інформаційних активів організації. Хоча єдиної процедури для цього не існує.
Трохи про класифікації для підприємств
Підхід до даних залежить від того, в яких умовах і з чим ми маємо справу. Розглянемо інформаційні активи на прикладі приватного підприємства. Класифікація проводиться з метою забезпечити диференційований підхід до даних з урахуванням рівня їх критичності, що впливають на діяльність, репутацію, ділових партнерів, працівників та клієнтів. Це дозволяє визначити економічну доцільність та пріоритетність різних заходів по формуванню інформаційної безпеки підприємства. Відповідно до законодавством Російської Федерації виділяють:
Загальнодоступну (відкриту) інформацію.
Персональні дані.
Інформацію, яка містить відомості, що становлять банківську таємницю.
Дані, що відносяться до комерційних секретів.
Як оцінити їх важливість? Для цього використовують спеціальні моделі. Давайте розглянемо їх більш уважно.
Класифікаційні моделі
Найчастіше зустрічаються дві з них:
Однофакторная класифікація. Базується на ступені шкоди. Тут просто. Розглянемо невеликий приклад. Активи інформаційної системи розподіляються на чотири блоки в залежності від ступеня ймовірного заподіяння шкоди при витоку даних. Як приклад – мінімальний, потім – середній, високий і наостанок – критичний. Якщо невизначеному колу осіб буде відомо, кого директор приймає сьогодні у своєму кабінеті, то це можна класифікувати як мінімальний вид шкоди. Але от якщо інформація про підкуп державного чиновника витече в прокуратуру, це критичне становище.
Багатофакторна модель класифікації. Базується на трьох класичних параметрах. У даному випадку вся інформація представляє інтерес з точки зору конфіденційності, доступності та цілісності. По кожній позиції вимоги наводяться окремо – високі, середні, низькі. По сукупності вони оцінюються, наприклад, як критичної або базової важливості.
Про класах
Щоб оцінка інформаційних активів була максимально ефективною і зрушеної від кількості до якості, можна ввести класи, що будуть відображати цінність даних і рівень вимог до них. У таких випадках зазвичай виділяють:
Відкритий клас. В даному випадку не передбачені обмеження на поширення і використання, фінансовий збиток від популярності відсутня.
Для службового користування. Для використання всередині організації. Фінансовий збиток відсутній. Але можуть виникнути інші види збитків для працівників організації або всієї структури.
Конфіденційна. Передбачено використання всередині організації, при роботі з клієнтами і контрагентами. Розголошення принесе фінансовий збиток.
Про конфіденційних даних
Таку інформацію умовно можна розділити на кілька категорій. Перші дві використовуються в комерційних структурах, решта, як правило, виключно державою:
З обмеженим доступом. Передбачає використання певним колом співробітників організації. Фінансовий збиток зазвичай оцінюється в суму до мільйона рублів.
Секретна. Передбачає використання виключно визначеними членами керівного складу організації. Фінансовий збиток зазвичай починається від значень в мільйон рублів.
Абсолютно секретна. Це дані з військової, економічної, зовнішньополітичної, розвідувальної, науково-технічної сфер, оперативно-розшукової діяльності, розголошення яких може завдати шкоди міністерству або галузі економіки в одній або декількох перерахованих областях.
Особливої важливості. Це дані з військової, економічної, зовнішньополітичної, розвідувальної, науково-технічної сфер, оперативно-розшукової діяльності, розголошення яких може завдати істотної шкоди Російській Федерації в одній або декількох перерахованих областях.
Як же обробляються інформаційні активи?
Давайте розглянемо один з можливих алгоритмів:
Виявляються інформаційні активи, наявні в будь-якому вигляді (електронні і паперові документи, потоки даних, флешки тощо), що циркулюють між підрозділами в організації. Все це збирається, уточнюється, і будується велика схема, на якій все відображено.
Робимо все те ж, але вже по відношенню до кожного окремого підрозділу.
Інформаційні активи прив’язуються до інфраструктури, в якій зберігаються, зазначається, по яким передаються каналами, де і в яких системах містяться тощо. Тут є один важливий момент! Цей пункт передбачає роботу з кожним окремим інформаційним активом. Для нього малюється вся середовище проживання (чим більше детализовано, тим краще, адже легше буде виявити загрози). Потрібно відобразити порти передачі, канали та інше.
Беремо всі напрацювання і повторно класифікуємо їх, використовуючи такі характеристики, як конфіденційність, доступність, цілісність.
Життєвий цикл
Ось такий шлях проходить перед своєю класифікацією цей цінний актив. Інформаційна безпека, повірте, відіграє чималу роль, і не потрібно нехтувати нею. При цьому значну увагу необхідно приділяти життєвому циклу. Що це таке? Життєвий цикл – це набір певних періодів, після закінчення яких важливість об’єкта, як правило, знижується. Умовно можна виділити такі стадії:
Інформація використовується в операційному режимі. Це означає, що вона бере участь у виробничому циклі і затребувана постійно.
Інформація використовується в архівному режимі. Це означає, що вона не бере безпосередньої участі у виробничому циклі, хоча періодично потрібно для здійснення аналітичної або іншої діяльності.
Інформація зберігається в архівному режимі.
Ось, мабуть, і все. Які дані зберігаються – інформаційна база активів або щось інше – це не важливо. Головне – забезпечити конфіденційність, доступність, цілісність. Тоді не доведеться переживати за репутацію і рахувати збитки.
