18 сентября, вторник 18:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анкета для руководителей. Классификация активов/потоков.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Анкета для руководителей. Классификация активов/потоков.

    Предлагаю скинуться и создать универсальную анкету для классификации активов/потоков.
    Основные вопросы которые следует учесть.
    Начну по активам

    Таблица:
    Наименование Актива
    Класс информации
    Конфиденциальность
    Целостность
    Доступность
    Приоритет(К,Ц,Д)
    Последствия атаки на актив


    Класс информации
    (Какого рода информация обрабатывается?)

    Открытая информация Предназначенная для официальной передачи во внешние организации и средства массовой информации

    Внутренняя банковская информация Предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей

    Информация ограниченного распространения Информация содержащая сведения ограниченного распространения в соответствии с утвержденными организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например банковская тайна, персональные данные

    Информация из федеральных органов Информация, полученная из федеральных органов исполнительной власти и содержащая сведения ограниченного распространения

    Государственная тайна Информация, содержащая сведения, составляющие государственную тайну.

    Классификация взята из стандарта ИББС


    Категории информации
    Доступность
    (Что страшного с точки зрения бизнеса произойдет, если информация будет временно недоступна)

    Доступность Описание ЖЦ
    Д0 Критическая Без нее работа субъекта останавливается
    Д1 Очень важная Без нее можно работать, но очень короткое время
    Д2 Важная Без нее можно работать некоторое время, но рано или поздно она понадобится
    Д3 Полезная Без нее можно работать, но ее использование экономит ресурсы
    Д4 Несущественная Устаревшая или неиспользуемая, не влияющая на работу субъекта
    Д5 Вредная Ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб



    Целостность
    (Что страшного с точки зрения бизнеса произойдет, если информация будет несанкционированно изменена)

    Целостность Описание ЖЦ
    Ц0 Критическая Ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы
    Ц1 Очень важная Ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы
    Ц2 Важная Ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы
    Ц3 Значимая Ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы
    Ц4 Незначимая Ее несанкционированное изменение не скажется на работе системы
    Конфиденциальность
    (Что страшного с точки зрения бизнеса произойдет, если информация будет разглашена)

    Доступность Описание ЖЦ
    К0 Критическая Ее разглашение приведет к краху работы субъекта или значительным его материальным потерям
    К1 Очень важная Ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия
    К2 Важная Ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия
    К3 Значимая Приносит скорее моральный ущерб, может быть использована только в определенных ситуациях
    К4 Малозначимая Может принести моральный ущерб в очень редких случаях
    К5 Незначимая Не влияет на работу субъекта
    Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.


    Приоритет

    На какой параметр(Д,К,Ц) воздействие нарушителя могут быть выгодны?

  • #2
    Для начала им надо дать определение актива. У меня народ сразу же озадачился - что собственно надо оценивать.
    Поэтому я пока придумала следующую анкетку:
    1. Бизнес-процесс
    2. Технологический процесс
    3. Технологические этапы
    4. Обрабатываемая информация
    а далее уже можно и ваши:
    Конфиденциальность
    Целостность
    Доступность
    Приоритет(К,Ц,Д)
    Последствия атаки на актив
    Чем больше связей, тем меньше степеней свободы.

    Комментарий


    • #3
      1. Бизнес-процесс
      2. Технологический процесс
      3. Технологические этапы
      Наименование Б-процесса, тех-процесса и этапы?
      Можете гипотетический пример привести?

      Комментарий


      • #4
        Бизнес-процесс - Кредитные карты
        Технологический процесс - Выдача кредитной карты
        Технологические этапы:
        - подписание договора
        - изготовление карты
        - открытие кредита в АБС
        - отправка лимитов в процессинг
        и т.д.
        Чем больше связей, тем меньше степеней свободы.

        Комментарий


        • #5
          а далее уже можно и ваши:
          Конфиденциальность
          Целостность
          Доступность
          Приоритет(К,Ц,Д)
          Последствия атаки на актив
          Вы предлогаете на каждый тех. этап пот таблице с Ц,К,Ц и т.д.?

          Комментарий


          • #6
            barmalei, наверное, нет. Скорее это способ найти все активы, а заодно описать все процессы.
            Чем больше связей, тем меньше степеней свободы.

            Комментарий


            • #7
              barmalei, а зачем в анкете класс информации? Разве это не есть Конфедициальность?
              Чем больше связей, тем меньше степеней свободы.

              Комментарий


              • #8
                Никак не могу себе уяснить, что есть информационный актив (не нашла конкретного определения в стандартах). Пока получилось:
                Информационный актив – имеющая ценность информация, содержащаяся в хранилищах информации (носители, файлы, базы данных) и процессы обработки этой информации. Каждый информационный актив характеризуется набором информации и хранилищем данных. Например, платежная информация в АБС Банка и платежная информация в Документах дня – это два разных информационных актива.
                Покритикуйте.
                Чем больше связей, тем меньше степеней свободы.

                Комментарий


                • #9
                  активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
                  Примечание.
                  К активам организации БС РФ могут относиться:
                  — банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
                  — информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
                  — банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
                  — банковские продукты и услуги, предоставляемые клиентам.

                  Комментарий


                  • #10
                    barmalei, это, конечно, хорошо, но... из данного определения можно сделать вывод, что
                    информационные активы - виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение и что-то еще; Отсюда я и отталкивалась.
                    Чем больше связей, тем меньше степеней свободы.

                    Комментарий


                    • #11
                      Я думаю, нужно еще указывать владельца ИА. Но возникает вопрос - кто же является владельцем ИА и на каком этапе это определяется?
                      Чем больше связей, тем меньше степеней свободы.

                      Комментарий


                      • #12
                        Сообщение от Чернушка Посмотреть сообщение
                        кто же является владельцем ИА и на каком этапе это определяется?
                        а действительно, как определить владельца? не редкая ситуация, когда одно подразделение создает ресурс(вводит/редактирует/удаляет/обновляет и пр), а использует его другое подразделение (готовит отчеты, анализирует и пр.). Наверное придется чисто административными мерами в приказном порядке закреплять владельца с вытекающими отсюда последствиями в части ответственности.
                        Мне кажется, что анкета в целом получается работоспособная (рыба Бармалея + дополнение Чернушки с учетом конфиденциальности). Но работы с этой анкетой будет выше крыши. Недавно столкнулся анкетирование подразделений на предмет планов непрерывности бизнеса. Там используется цепочка "бизнес процесс - техпроцесс - ресурс".

                        Комментарий


                        • #13
                          Владелец ИА - человек который может авторитетно говорить о информации и о результатах использования этой информации, бизнесом.
                          Этот пользователь обычно привлекается из подразделения использующий ИА.
                          Владельцы ИА должны быть назначены руководством, обычно на начальной стадии процесса управления рисками.

                          Возможно, что специфический ИА, может использоваться различными подразделениями организации, каждая из которых имеет различные требования для конфиденциальности, целостности и доступности.
                          В это случае для ИА может быть назначено несколько владельцев.

                          Идеальный владелец ИА - тот кто ежедневно несет ответственность за бизнес-процесс и кто в состоянии описать точно последствия нарушения:
                          Доступности, Целостности, Конфиденциальности для информации.

                          Комментарий


                          • #14
                            Возможно, что специфический ИА, может использоваться различными подразделениями организации, каждая из которых имеет различные требования для конфиденциальности, целостности и доступности.
                            В это случае для ИА может быть назначено несколько владельцев.

                            Мне кажется что ИА не может классифицироваться по разному. Для актива выбирается наиболее строгая классификация из предложенных подразделениями.
                            И владельцев тоже не может быть несколько ... владелец ИМХО должен быть один ... только он может определять порядок доступа к ИА и менять его классификацию ... а если будет насколько владельцев то ето уже анархия

                            Комментарий


                            • #15
                              2evgeniy_v В такой ситуации, можно разделить актив на части, если такое возможно и за каждой частью закрепить владельца. Либо выбрать владельца который работает в подразделении более важном для безнеса чем другой владелец.
                              Я надеюсь ответил на вопрос Чернушки

                              Комментарий


                              • #16
                                Пользователям, не связанным с ИТ, весь этот птичий язык - информационные активы, ресурсы, информационные системы, автоматизированные системы, вычислительные сети, сервисы, целостность, доступность, конфиденциальность, угрозы, идентификация, авторизация, неотрекаемость, метки времени... и т.д. - до лампочки.
                                Активом или системой действительно могут пользоваться совсем разные люди с совсем разными целями. Поэтому очень часто невозможно определить владельца актива, услуги, системы, етц.
                                Пример актива - база данных АБС. Пример сервиса или системы - электронная почта. Нельзя классифицировать почту по ЦКД, не указывая, применительно к какому процессу мы её классифицируем. Один использует её для рассылки анекдотов, а другой - для обмена стратегически важными данными.
                                Поэтому, думаю, всё же стОит идти от процессов.
                                "В чём заключается Ваша работа?"
                                "Что Вы используете для работы? Компьютер, ксерокс, телефон... В компьютере что? Почта? Как используете почту? Ага, берёте данные оттуда, обрабатываете так-то, посылаете туда-то. Отлично. А что за данные? А что будет, если почта не работает час, день, неделю? А что будет, если данные попадут к конкурентам? А что будет, если..." и т.д. Получаем процесс. Назовите как хотите - бизнес-процесс, технологический или какой-то другой. Получаем владельца процесса и получаем схему процесса. И риски, связанные с процессом.
                                Если разные процессы используют один и тот же актив, но у них разные требования и риски по ЦКД, то можно определить ЦКД всего актива как максимум ЦКД всех процессов, использующих этот актив, и даже больше, чем этот максимум (в некоторых случаях). Если кому-то это чем-то поможет. А за актив можем принять хоть всю информационную систему банка, только есть ли смысл такой актив классифицировать? Вывод: нужно гибко выбирать "scope" - область рассмотрения - исходя из поставленных целей и задач.
                                Последний раз редактировалось sunny; 24.01.2008, 12:03. Причина: громатическая

                                Комментарий


                                • #17
                                  Вывод: нужно гибко выбирать "scope" - область рассмотрения - исходя из поставленных целей и задач.
                                  Приведите пример Задача - scope.
                                  ИБ охватывает всю компанию. Как можно заострять внимание на одном и оставлять на самотек другой сектор компании?
                                  2sunny - То что вы написали - это и так понятно, мы здесь люди разговаривающие на птичем языке и можем себе это позволить

                                  Комментарий


                                  • #18
                                    barmalei на самотёк оставлять я ничего не предлагал. Сразу все активы и всю компанию Вы не охватите, слона всё равно придётся есть по частям. Я предлагаю в качестве основных частей слона брать процессы, а не информационные ресурсы.

                                    Примеры.
                                    1. Задача: разработать workflow процесса предоставления доступа к АБС. Scope: процессы, в которых задействована АБС, владельцы этих процессов, роли пользователей. Каждый владелец отвечает за группу ролей, ими и командует, согласует заведение нового пользователя с такой ролью.
                                    2. Задача: написать документ для галочки, чтобы ЦБ был доволен, в соответствии с их стандартом. Scope: делим ИС банка произвольно на крупные активы (АБС, почта, сетевые диски, етц). Классифицируем каждый по ЦКД "очень экспертным" способом. Вопросы типа "АБС недоступна 3 дня - приемлемо для бизнеса? Нет? Пишем: по АБС доступность высокая." ЦБ доволен.

                                    Комментарий


                                    • #19
                                      Сообщение от Чернушка Посмотреть сообщение
                                      Никак не могу себе уяснить, что есть информационный актив (не нашла конкретного определения в стандартах). Пока получилось:
                                      Информационный актив – имеющая ценность информация, содержащаяся в хранилищах информации (носители, файлы, базы данных) и процессы обработки этой информации. Каждый информационный актив характеризуется набором информации и хранилищем данных. Например, платежная информация в АБС Банка и платежная информация в Документах дня – это два разных информационных актива.
                                      Покритикуйте.
                                      Если речь идет о руководителях, то очень тяжело читается и совсем не привязано к бизнесу ;-( Описание понятно безопаснику и ИТшнику, но не "рядовому" сотруднику. Я бы не ограничивался таким определением, а на пальцах (или аналогиях) объяснил, что такое информационный актив с точки зрения ценности для бизнеса.

                                      Комментарий


                                      • #20
                                        Сообщение от barmalei Посмотреть сообщение
                                        ИБ охватывает всю компанию. Как можно заострять внимание на одном и оставлять на самотек другой сектор компании?
                                        А как по ISO 27001 сертифицирует один процесс, а не всю компанию? Слона целиком и за раз не съешь ;-)

                                        Сообщение от barmalei Посмотреть сообщение
                                        2sunny - То что вы написали - это и так понятно, мы здесь люди разговаривающие на птичем языке и можем себе это позволить
                                        Так изначально речь шла о руководителях бизнеса, которые этот птичий язык не понимают ;-)

                                        Комментарий


                                        • #21
                                          Сообщение от barmalei Посмотреть сообщение
                                          Предлагаю скинуться и создать универсальную анкету для классификации активов/потоков.
                                          ...
                                          Итог не подведен

                                          Комментарий


                                          • #22
                                            Мы, например, используем такую форму для сбора первичной информации.

                                            Комментарий


                                            • #23
                                              Garson#2, в выложенной Вами форме инвентаризации основная колонка - это тип ИА. Получается, что сами активы вы не описываете?

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X