Проект

Общее

Профиль

Действия
История

Sidebar »

Лекция 2. Информационные активы и модель защищаемых ресурсов

Введение

На предыдущей лекции мы определили объект информатизации — физическую и логическую границу того, что подлежит защите. Теперь нужно ответить на следующий вопрос: что именно внутри этой границы представляет ценность и от чего мы, собственно, защищаем?

Типичная ошибка начинающего специалиста по ИБ — защищать всё одинаково. Серверная комната получает тот же уровень внимания, что и архивный склад. Пароль от корпоративного Wi-Fi хранится с той же тщательностью, что и ключи шифрования клиентской базы. Результат предсказуем: бюджет растрачивается на защиту незначимых ресурсов, а критичные активы остаются уязвимыми.

Выход — систематическая работа с понятием информационного актива: его идентификация, классификация и оценка ценности. Именно это является фундаментом для любой осмысленной системы защиты.

Информационный актив — информация или ресурс, имеющий ценность для организации, который необходимо защищать.
(ISO/IEC 27001:2022, термины и определения)

Виды информационных активов

Информационные активы организации делятся на несколько категорий. Важно понимать, что защите подлежат не только сами данные, но и всё, что обеспечивает их обработку.

Категория Примеры Основное свойство защиты
Информация Базы данных клиентов, финансовая отчётность, персональные данные, коммерческая тайна, проектная документация Конфиденциальность, целостность
Программное обеспечение Прикладные системы, операционные системы, утилиты, исходный код Целостность, доступность
Физические активы Серверы, рабочие станции, сетевое оборудование, носители информации Доступность, целостность
Сервисы Интернет, электроэнергия, телекоммуникации, облачные сервисы Доступность
Персонал Сотрудники с доступом к критичным данным, администраторы, разработчики Все три свойства КДЦ
Нематериальные активы Репутация, лицензии, торговые марки Конфиденциальность, целостность

Связь с курсом «Основы менеджмента ИБ»: триада КДЦ (конфиденциальность, доступность, целостность) и общая классификация активов подробно рассматривались в курсе. Здесь мы применяем эти понятия к практике построения модели защищаемых ресурсов конкретного объекта.

Идентификация активов

Идентификация — первый и наиболее трудоёмкий этап. Цель: составить исчерпывающий реестр активов в границах объекта информатизации, определённых на предыдущей лекции (см. Лекция 1).

Методы идентификации

Интервьюирование владельцев процессов. Руководители подразделений знают, какая информация критична для их работы, даже если никогда не формулировали это явно. Вопрос «что случится, если этих данных не будет завтра утром?» даёт быстрый ответ о ценности актива.

Анализ бизнес-процессов. Прохождение по основным процессам организации «вручную» позволяет выявить информационные потоки и точки, где данные хранятся, обрабатываются или передаются.

Инвентаризация технических средств. Сканирование сети, анализ конфигураций систем управления активами (CMDB), сверка с договорами на обслуживание.

Анализ нормативных требований. Регуляторные документы прямо указывают, какие категории информации подлежат защите: персональные данные (152-ФЗ), государственная тайна, коммерческая тайна.

Реестр активов

Результат идентификации фиксируется в реестре информационных активов — основном рабочем документе системы защиты.

Типовая структура реестра:

Поле Содержание
Идентификатор Уникальный номер актива
Наименование Понятное название (например, «База данных клиентских договоров»)
Категория Тип актива (информация, ПО, оборудование и т.д.)
Владелец Подразделение или должность, несущая ответственность
Местонахождение Физическое и/или логическое расположение
Конфиденциальность Оценка (высокая / средняя / низкая)
Целостность Оценка (высокая / средняя / низкая)
Доступность Оценка (высокая / средняя / низкая)
Итоговая ценность Агрегированная оценка критичности
Взаимосвязи Другие активы, от которых зависит данный

Классификация информации

Классификация — присвоение информации уровня защиты в соответствии с её ценностью и требованиями законодательства. Это ключевой механизм, позволяющий избежать «защиты всего одинаково».

Государственная классификация

Категория Правовая основа Регулятор
Государственная тайна Закон РФ №5485-1 «О государственной тайне» ФСБ, ФСТЭК
Персональные данные 152-ФЗ «О персональных данных» Роскомнадзор, ФСТЭК
Коммерческая тайна 98-ФЗ «О коммерческой тайне» Организация самостоятельно
Служебная тайна ГК РФ и специальные нормы Различные ведомства
Общедоступная информация 149-ФЗ «Об информации»

Корпоративная классификация

На практике большинство организаций используют собственную многоуровневую классификацию, согласованную с требованиями законодательства:

  1. Строго конфиденциально — критичные данные, утечка которых нанесёт существенный ущерб (сведения о сделках M&A, ключевые материалы, персональные данные специальных категорий).
  2. Конфиденциально — данные ограниченного распространения (коммерческая тайна, персональные данные сотрудников и клиентов, финансовые данные).
  3. Для внутреннего использования — информация, не предназначенная для публичного доступа, но не критичная при утечке.
  4. Открытая информация — данные, которые организация готова раскрывать.

Классификация бессмысленна без политики обращения с каждым уровнем: правил маркировки, хранения, передачи и уничтожения. Подробнее — в (Организационные меры).

Оценка ценности активов

После идентификации необходимо количественно или качественно оценить ценность каждого актива. Это даёт приоритеты для распределения ресурсов защиты.

Качественная оценка

Наиболее распространённый подход для большинства организаций — трёхуровневая шкала по каждому из свойств КДЦ:

Уровень Конфиденциальность Целостность Доступность
Высокий Утечка причинит значительный ущерб (финансовый, репутационный, правовой) Искажение данных повлечёт серьёзные последствия для бизнеса или безопасности людей Недоступность более 1 часа критична для бизнес-процессов
Средний Утечка нежелательна, но последствия ограничены Искажение обнаруживается и устраняется без серьёзных последствий Недоступность до 1 рабочего дня приемлема
Низкий Информация практически открыта Незначительные искажения не влияют на процессы Кратковременные перерывы не критичны

Количественная оценка

Используется реже — когда требуется финансовое обоснование инвестиций в защиту. Основные метрики:

  • AV — стоимость актива.
  • EF — доля актива, утрачиваемая при реализации угрозы (0–100%).
  • SLE = AV × EF — ожидаемый ущерб от одного инцидента.
  • ARO — ожидаемое количество инцидентов в год.
  • ALE = SLE × ARO — годовой ожидаемый ущерб.

ALE используется для принятия решения об инвестиции в защиту: если стоимость меры защиты ниже ALE, инвестиция экономически обоснована.

Связь с курсом аудита: подходы к количественной оценке рисков и активов подробно рассматривались в теме «Оценка рисков в аудите». Здесь важно понимать, что оценка активов — входные данные для модели угроз, которую мы строим в Лекции 3.

Взаимозависимости активов

Один из наиболее недооцениваемых аспектов — зависимости между активами. Нарушение одного актива может каскадно затронуть другие.

Пример: база данных клиентов (высокая ценность) зависит от:
  • сервера СУБД (физический актив),
  • операционной системы (ПО),
  • системы резервного копирования (сервис),
  • сетевой инфраструктуры (физический актив),
  • учётных записей администраторов (персонал).

Компрометация любого из зависимых активов потенциально влечёт нарушение защиты основного. Это означает, что при оценке рисков нельзя рассматривать активы изолированно.

Рекомендуется нарисовать схему зависимостей активов — граф, где узлы это активы, а стрелки показывают зависимости. Пример: «БД клиентов» → «Сервер СУБД» → «Сеть» → «ИБП». Такую схему удобно запросить у Claude или нарисовать вручную для конкретного объекта.

Модель защищаемых ресурсов

Совокупность реестра активов, их классификации, оценки ценности и карты зависимостей образует модель защищаемых ресурсов — структурированное описание того, что необходимо защищать и почему.

Модель защищаемых ресурсов является входными данными для:

  • Модели угроз (Лекция 3) — угрозы формулируются именно относительно конкретных активов.
  • Модели нарушителя (Лекция 4) — нарушитель интересуется конкретными активами.
  • Выбора мер защиты (Лекции 6–9) — меры подбираются под ценность и характеристики активов.
  • Аттестации (Лекция 11) — аттестационная комиссия проверяет защиту конкретных ресурсов.

Пример: модель защищаемых ресурсов ИСПДн кадровой службы

Продолжим пример из Лекции 1 — информационная система кадрового учёта.

Актив Категория К Ц Д Итог Владелец
База данных личных дел сотрудников Информация (ПДн) Высокая Высокая Средняя Критичный HR-директор
Сервер СУБД Физический актив Средняя Высокая Высокая Высокий ИТ-отдел
Приложение кадрового учёта ПО Низкая Высокая Высокая Высокий ИТ-отдел
Резервные копии БД Информация Высокая Высокая Средняя Критичный ИТ-отдел
Учётные записи HR-специалистов Сервис/персонал Высокая Высокая Средняя Критичный HR-директор
Канал VPN для удалённого доступа Сервис Средняя Средняя Высокая Средний ИТ-отдел
Рабочие станции кадровой службы Физический актив Средняя Средняя Средняя Средний ИТ-отдел

К — конфиденциальность, Ц — целостность, Д — доступность.

Критичные активы (три позиции) получат приоритет при проектировании системы защиты и станут основным объектом внимания при разработке модели угроз.

Что дальше

Список литературы и нормативных актов

  • ISO/IEC 27001:2022 — раздел 8.1: инвентаризация активов как мера защиты (Annex A, 5.9)
  • ISO/IEC 27005:2022 — управление рисками ИБ; раздел 5.5: идентификация активов
  • ГОСТ Р ИСО/МЭК 27001-2021 — российская редакция стандарта
  • Методика оценки угроз безопасности информации ФСТЭК России (2021) — раздел 3: характеристика систем и сетей как объектов защиты
  • 152-ФЗ «О персональных данных» — категории ПДн и требования к их обработке
  • 98-ФЗ «О коммерческой тайне» — определение и режим коммерческой тайны

Обновлено С. Антошкин около 21 часа назад · 1 изменени(я, ий)