Предлагаю скинуться и создать универсальную анкету для классификации активов/потоков.
Основные вопросы которые следует учесть.
Начну по активам
Таблица:
Наименование Актива
Класс информации
Конфиденциальность
Целостность
Доступность
Приоритет(К,Ц,Д)
Последствия атаки на актив
Класс информации
(Какого рода информация обрабатывается?)
Открытая информация Предназначенная для официальной передачи во внешние организации и средства массовой информации
Внутренняя банковская информация Предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей
Информация ограниченного распространения Информация содержащая сведения ограниченного распространения в соответствии с утвержденными организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например банковская тайна, персональные данные
Информация из федеральных органов Информация, полученная из федеральных органов исполнительной власти и содержащая сведения ограниченного распространения
Государственная тайна Информация, содержащая сведения, составляющие государственную тайну.
Классификация взята из стандарта ИББС
Категории информации
Доступность
(Что страшного с точки зрения бизнеса произойдет, если информация будет временно недоступна)
Доступность Описание ЖЦ
Д0 Критическая Без нее работа субъекта останавливается
Д1 Очень важная Без нее можно работать, но очень короткое время
Д2 Важная Без нее можно работать некоторое время, но рано или поздно она понадобится
Д3 Полезная Без нее можно работать, но ее использование экономит ресурсы
Д4 Несущественная Устаревшая или неиспользуемая, не влияющая на работу субъекта
Д5 Вредная Ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб
Целостность
(Что страшного с точки зрения бизнеса произойдет, если информация будет несанкционированно изменена)
Целостность Описание ЖЦ
Ц0 Критическая Ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы
Ц1 Очень важная Ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы
Ц2 Важная Ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы
Ц3 Значимая Ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы
Ц4 Незначимая Ее несанкционированное изменение не скажется на работе системы
Конфиденциальность
(Что страшного с точки зрения бизнеса произойдет, если информация будет разглашена)
Доступность Описание ЖЦ
К0 Критическая Ее разглашение приведет к краху работы субъекта или значительным его материальным потерям
К1 Очень важная Ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия
К2 Важная Ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия
К3 Значимая Приносит скорее моральный ущерб, может быть использована только в определенных ситуациях
К4 Малозначимая Может принести моральный ущерб в очень редких случаях
К5 Незначимая Не влияет на работу субъекта
Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.
Приоритет
На какой параметр(Д,К,Ц) воздействие нарушителя могут быть выгодны?
Основные вопросы которые следует учесть.
Начну по активам
Таблица:
Наименование Актива
Класс информации
Конфиденциальность
Целостность
Доступность
Приоритет(К,Ц,Д)
Последствия атаки на актив
Класс информации
(Какого рода информация обрабатывается?)
Открытая информация Предназначенная для официальной передачи во внешние организации и средства массовой информации
Внутренняя банковская информация Предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей
Информация ограниченного распространения Информация содержащая сведения ограниченного распространения в соответствии с утвержденными организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например банковская тайна, персональные данные
Информация из федеральных органов Информация, полученная из федеральных органов исполнительной власти и содержащая сведения ограниченного распространения
Государственная тайна Информация, содержащая сведения, составляющие государственную тайну.
Классификация взята из стандарта ИББС
Категории информации
Доступность
(Что страшного с точки зрения бизнеса произойдет, если информация будет временно недоступна)
Доступность Описание ЖЦ
Д0 Критическая Без нее работа субъекта останавливается
Д1 Очень важная Без нее можно работать, но очень короткое время
Д2 Важная Без нее можно работать некоторое время, но рано или поздно она понадобится
Д3 Полезная Без нее можно работать, но ее использование экономит ресурсы
Д4 Несущественная Устаревшая или неиспользуемая, не влияющая на работу субъекта
Д5 Вредная Ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб
Целостность
(Что страшного с точки зрения бизнеса произойдет, если информация будет несанкционированно изменена)
Целостность Описание ЖЦ
Ц0 Критическая Ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы
Ц1 Очень важная Ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы
Ц2 Важная Ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы
Ц3 Значимая Ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы
Ц4 Незначимая Ее несанкционированное изменение не скажется на работе системы
Конфиденциальность
(Что страшного с точки зрения бизнеса произойдет, если информация будет разглашена)
Доступность Описание ЖЦ
К0 Критическая Ее разглашение приведет к краху работы субъекта или значительным его материальным потерям
К1 Очень важная Ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия
К2 Важная Ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия
К3 Значимая Приносит скорее моральный ущерб, может быть использована только в определенных ситуациях
К4 Малозначимая Может принести моральный ущерб в очень редких случаях
К5 Незначимая Не влияет на работу субъекта
Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.
Приоритет
На какой параметр(Д,К,Ц) воздействие нарушителя могут быть выгодны?
Комментарий