Информационный актив это информация с реквизитами

• Открытый (О) – ограничения на распространение и использование не накладываются, финансовый ущерб отсутствует;

• Для служебного использования (ДСП) – для использования внутри организации, финансовый ущерб отсутствует, возможно возникновения иных видов ущерба для организации или работников организации;

• Конфиденциальная (КТ) – для использования как внутри организации так и при обмене с клиентами и контрагентами, финансовый ущерб реален

В свою очередь Конфиденциальную информацию (КТ) можно условно разделить на несколько подкатегорий для градации по степени ценности:

• С ограниченным доступом (Д) – для использования определенным кругом работников организации, финансовый ущерб, к примеру до 1 млн. рублей;

• Секретный (С) – для использования только определенными членами руководящего состава организации, финансовый ущерб, к примеру, более 1 млн. рублей.

Независимо от характера самих информационных ресурсов, они обязательно обладают одной или несколькими из следующих характеристик:

В целом схема выполенеия классифиакции ИА может быть следующей:

Этап 1. Построение перечня ИА и схемы ИА

На данном этапе необходимо выявить ИА в любом виде (электронные документы, бумажные документы, флешки, информационный потоки и т.п.) циркулирующие между подразделениями в вашей организации, не углубляясь в документооборот внутри подразделений.

Для этого в подразделения рассылается анкета с полями вида:

Какую информацию, в каком виде и от каких подразделений вы получаете?

Какую информацию, в каком виде и в какие подразделения вы передаете?

После этого собираете данные от подразделений, уточняете её и на основе этого строите большую схему, показывающую циркуляцию информации. 

В итоге на выходе получаются следующие документы:

1. Перечень ИА 

2. Схема ИА

Этап 2. Построение перечня ИА и схемы ИА на уровне подразделений, 

Работа та же самая, что и на 1м этапе, но уже рассматриваем каждое подразделение отдельно.

Этап 3. Начинаем привязывать ИА к инфраструктуре, где хранятся, по каким каналам передаются, в каких информационных системах содержатся и тд.

Тут уже берем один ИА и рисуем всю его среду обитания (чем подробнее, тем лучше, тк. потом будет проще выявлять угрозы. Т.е. пишем порты передачи, по каким каналам итд, думаю вам, как ИТшнику это будет проще всего).

Этап 4. Берем все, что наработали и повторно классифицируем (для окончательной ясности) ИА по характеристикам (К,Ц,Д).

Примерная модель классификации (буквено-цифровое кодирование)

Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера «Д» означает «доступность», «Ц» — «целостность»* «К» — «конфиденциальность», цифры возрастают с убыванием значимости критерия).

По наличию (доступность)

По несанкционированной модификации (целостность)

По разглашению (конфиденциальность)

Каждая из указанных выше категорий информации имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Жизненный цикл обычно можно обозначить следующими стадиями.

Законы

Как защитить коммерческую информацию от вирусов, хакеров и конкурентов

База клиентов, бухгалтерия, бизнес-планы — всё это ценная информация: если потеряете её, попадёте на деньги. Полностью защитить ценную информацию невозможно, но можно грамотно оценить риски и защитить самое важное, сэкономив на остальном. Рассказываем, как это сделать.

В небольшой торговой компании уволили сисадмина. Он быстро нашёл работу у конкурентов, а бывший работодатель через год потерял всех заказчиков. Оказалось, обиженный сотрудник оставил себе полный доступ к сети: переписка руководства, база клиентов, договоры с поставщиками, отчёты — всё попало к конкурентам.

Работодатель обратился к специалистам по информационной безопасности — они подбирают программы и железо для защиты данных. Бизнесмену посчитали смету на 3 млн рублей: продвинутый файервол (защита сети от взлома через интернет), антивирус в максимальной комплектации, система против утечек данных, шифрование каналов связи.

Чтобы не переплатить за защиту информации, нужно оценить риски — понять, что и как защищать. Можно обратиться за оценкой к экспертам, но тогда придётся потратить на консультации 200-300 тыс. рублей. А можно оценить их самостоятельно — бесплатно, но по методике, которую используют сами эксперты.

Когда вы оцените риски по этой методике, то поймёте, на какие средства защиты нужно тратить деньги, а без каких можно обойтись. Специалисты по информационной безопасности не смогут навязать вам лишнее — вы сэкономите.

Оцените информационные активы

Информационные активы — это сведения о компании, которые представляют для неё ценность. Это финансовая информация, данные о продажах, закупках, базы данных клиентов, стратегические планы руководства, содержание корпоративного сайта. Занесите их в таблицу и оцените по трём показателям: конфиденциальность, целостность и доступность. Используйте 5-балльную шкалу.

Конфиденциальность — это то, насколько критична утечка секретной информации. Например, что будет, если база клиентов и контрактов попадёт к конкурентам? Если считаете, что это совсем не страшно, ставьте 1 балл. Если это тотальная катастрофа — 5 баллов.

Доступность — это то, насколько часто вы обращаетесь к данным. Например, ежегодный финансовый отчёт сотрудники открывают редко — ставим 1 балл. А доступ к базе товаров и цен нужен каждый день, иначе торговля остановится — 5 баллов.

Целостность — это то, насколько важно, чтобы в данных не было ошибок. Например, ошибка в архивных документах не критична, она ни на что не повлияет — ставим 1 балл. А если исказить цифры в 1С:Бухгалтерии, то можно продать товар по заниженной цене или напутать в налоговой отчётности — 5 баллов.

Теперь определите итоговую ценность каждого актива. Возьмите максимальный балл из трёх полученных. Например, у списка заказчиков конфиденциальность — 4, а целостность и доступность — по 2. Итоговый балл — 4.

1. Ценность информационных активов

Определите информационные системы

Активы содержатся в разных информационных системах: 1С:Бухгалтерия, программа «клиент-банк», корпоративный портал, рабочие компьютеры сотрудников, файловые сервера, электронная почта, планшеты, смартфоны, ноутбуки, интернет-сайт, внешние носители информации (флешки, переносные жёсткие диски, карты памяти). Если будут защищены информационные системы, то и данные в них будут в безопасности. Чтобы понять, защищены ли ваши данные, составьте список систем, в которых хранится информация.

Информация может находиться одновременно в нескольких системах. Например, база клиентов обрабатывается в бухгалтерской программе, при этом хранится на файловом сервере. Информация одна, но системы разные, угрозы и защита для них тоже разные.

Составив список, определите ценность каждой информационной системы. Для этого возьмите значение самого ценного актива, который в ней обрабатывается или хранится. Например, на компьютерах сотрудников хранятся списки заказчиков (4) и деловая переписка (3). Их итоговая ценность — 4.

2. Ценность информационных систем

Выясните, что угрожает информационным системам

Угрозы — это то, из-за чего информация может пострадать: кто-то или что-то может повредить ваши данные так, что бизнес понесёт убытки.

Определять угрозы нужно для тех информационных систем, чья ценность высока — 4 и 5 баллов. Про остальные системы можете забыть: если с ними что-то и случится, бизнес от этого не пострадает.

Сначала выясните, кто может угрожать ценным системам. Для этого разделите возможных нарушителей на группы — так будет проще понять, как они могут воздействовать. Обычно достаточно разделить нарушителей на внешних (хакеры, сотрудники конкурентов, уволенные работники) и внутренних (сотрудники компании). Когда поймёте, кто может угрожать системам — поймёте, как именно они могут это сделать.

Теперь опишите, как нарушители могут украсть, уничтожить или исказить данные в конкретной информационной системе. Способы могут быть очевидными — например, сотрудник скопирует файлы на флешку. Но бывают и сложными — хакер перехватит данные по незашифрованному каналу. Если вы не разбираетесь во всех технических тонкостях, то можете что-то упустить. Чтобы этого не случилось, подключите вашего ИТ-специалиста. Если его нет — воспользуйтесь каталогом, который разработали эксперты.

Каталог угроз

Физический доступ:

• сотрудник украдёт компьютер, флешку или другой носитель информации;
• посторонний украдёт компьютер, флешку или другой носитель информации;
• посторонний проникнет в офис и украдёт информацию.

Утечка конфиденциальной информации:

• сотрудник специально отправит конфиденциальную информацию через мессенджер, электронную почту, раскроет секреты фирмы на форумах в интернете;
• сотрудник случайно передаст конфиденциальную информацию посторонним людям — лично или через интернет;
• сотрудник потеряет ноутбук, флешку, жёсткий диск;
• с помощью специального оборудования и программ посторонний перехватит сведения, которые вы передадите через интернет;
• сотрудники фирмы, которая ремонтирует компьютеры, обслуживает 1С или настраивает интернет, получат конфиденциальную информацию.

Несанкционированный доступ:

• сотрудник использует чужой пароль, чтобы получить конфиденциальную информацию;
• посторонний войдёт в корпоративную сеть по чужому паролю;
• сотрудник или посторонний используют чужой пароль, чтобы получить доступ к резервным копиям файло;
• сотрудник или посторонний, используя чужой пароль, запустят в корпоративную сеть вирус.

Недоступность ИТ-сервисов и утрата информационных активов:

• из-за аварии на электросетях не будут работать компьютеры;
• пропадёт интернет;
• новая программа или её обновление выведут компьютеры из строя;
• сотрудник специально или случайно сотрёт важные файлы;
• посторонний уничтожит важные данные;
• сотрудник случайно внесёт неверные данные;
• сотрудник специально исказит информацию, подменит файлы.

Нарушителей и угрозы из этого списка занесите в таблицу. Если вы детально представляете негативные сценарии, опишите их подробно. Например: вы потеряли ключевого клиента, потому что посторонний подобрал пароль к электронной почте и украл данные из деловой переписки. В остальных случаях сделайте общее описание ситуации. Например: бухгалтерия не может работать из-за того, что сотрудник стёр информацию в 1С.

В итоге таблица превратится в набор возможных негативных сценариев для компании.

3. Возможные негативные сценарии

Переведите риски в деньги

Дальше важно понять, что защищать в первую очередь и сколько на это потратить сил и денег. Для этого оцените риски в рублях: сколько компания потеряет, если сотрудник сольёт базу клиентов конкурентам. Потом определите вероятность того, что сотрудник это сделает.

Эксперты советуют применять вербально-числовую шкалу — по ней вы вычислите вероятность. Как это сделать: из таблицы выберите утверждение, которое подходит вам больше всего. При этом подставляйте конкретный временной промежуток — например, один год. Оценивать вероятность за бесконечное время не надо — тогда она будет 100%.

4. Вербально-числовая шкала для определения вероятности того, что угроза станет реальностью

После того, как вы определили сумму ущерба в деньгах (У) и коэффициент вероятности (В), посчитайте величину риска (Р): Р=У×В.

5. Подсчёт суммы риска

В итоге ваша таблица превратится в перечень рисков, оценённых в рублях. Это деньги, которые вы как минимум не заработаете, а как максимум — их придётся вынуть из оборота и потратить на устранение последствий.

Посмотрите на итоговую сумму рисков в таблице. Готовы ли вы её принять? Если нет, остаётся только снижать риски.

Снижайте риски и расходы

В первую очередь примите меры предосторожности. Не пускайте посторонних в офис, защитите пароли, ограничьте их распространение, обучите сотрудников основам безопасности. Поможет даже простая рассылка с предупреждением об эпидемии нового вируса и призывом не открывать подозрительные вложения. ИТ-специалист может регулярно проводить семинары и инструктаж новых сотрудников. Это не требует больших затрат.

Для серьёзной защиты нужны антивирусы, программы от утечек информации, специальное железо. Оценка, которую вы провели, поможет поставить чёткую задачу специалистам по информационной безопасности. Они подберут конкретное средство защиты, а не предложат делать всё сразу — расходы уменьшатся.

Сравните смету с суммой риска — так вы поймёте, окупятся ли вложения. Например, для победы над новыми вирусами производители предлагают системы класса Sandbox. Они эффективны, но стоят не меньше двух миллионов рублей. Если сумма рисков сопоставима или меньше этой суммы, выгоднее использовать средство подешевле — даже если оно не защитит вашу информацию полностью.

Памятка

Защита информации обойдётся дешевле, если знать, что и от чего защищать. Вот как это выяснить:

1. Составьте список информационных активов. Оцените по 5-балльной шкале конфиденциальность, доступность и целостность каждого актива. В каждой тройке выберите самый большой балл — это итоговая ценность актива.
2. Определите информационные системы, в которых работаете с активами. Ценность каждой системы равна ценности самого ценного актива. Защитите системы, которым поставили 4 или 5 — они самые ценные.
3. Подумайте, что может угрожать ценным информационным системам. Тут нужен опыт — поручите это сисадмину или используйте каталог угроз.
4. Оцените, сколько денег потеряете, если что-то случится с ценной информацией. Подумайте, насколько вероятно, что это случится за год. Рассчитайте сумму риска по формуле Риск = Ущерб × Вероятность угрозы.
5. Покупая антивирус или файервол, сравните его стоимость с суммой риска: если потратите на них меньше, чем на восстановление ущерба берите; если больше — нет.