Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Ведение реестра информационных активов

1 27

Цель: учёт, инвентаризация активов различного типа
Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей.
Варианты реализации:

Бумажные реестры
Электронные таблицы (excel)
CMDB/ITAM системы
Сервис SECURITM (модуль Активы)

В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM.

Рекомендации к заполнению карточки:

Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ
Указать перечень учитываемых типов активов

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

По событию

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Низкая	Средняя	Низкая	Неизвестно	Неизвестно	6 - Низкая
OPEX ^?	Низкая	Низкая	Низкая	Неизвестно	Неизвестно	6 - Низкая

Связанные риски

Ничего не найдено

Заметки

Николай Казанцев

2 года назад

Community

Регламент учета информационных активов

Регламент устанавливает требования в отношении учета и контроля информационных активов Общества.
Активом является любой физический или логический объект, имеющий ценность для Общества.
Активы, подлежащие контролю и учету, классифицируются по типу:
1. Бизнес-активы
  1. Информация (данные, сведения)
  2. Системы
  3. Процессы
2. ИТ-активы
  1. Оборудование
  2. Программное обеспечение
  3. Внешние сервисы
  4. Каналы связи (канал передачи информации)
  5. Сети (IP-адреса)
  6. Объекты файловой системы
3. Базовые активы
  1. Физические лица (люди, человек, человеческий ресурс)
  2. Юридические лица (юридическая структура, компания, организация, общество)
  3. Физические пространства (место, локация, недвижимое имущество)
Каждый из типов активов может быть детализирован и уточнен подтипами. Детализация осуществляется по необходимости.
Активы могут быть физически и логически связаны друг с другом. Один актив может располагаться на другом (входить в состав другого актива).
Владелец и администратор актива
1. За каждым активом (за исключением физических лиц) закрепляется владелец. Владелец актива — это лицо, являющееся ключевым заказчиком (потребителем) актива, устанавливающее требования к функционированию актива и права доступа к нему.
2. За каждым ИТ активом закрепляется администратор. Администратор — это лицо, обеспечивающее исправное функционирование актива.
3. Владелец и Администратор могут назначаться для целого типа (группы) активов.
Приоритет активов
1. Для активов определяется их приоритет (критичность). Приоритет актива — это уровень влияния работоспособности и доступности актива на достижение Компанией своих целей.
2. Приоритет актива определяется через серьезность последствий для Компании в случае потери активом одного или нескольких из своих свойств (конфиденциальности, целостности, доступности). Учитываются:
  1. критичность бизнес-процессов и систем, использующих актив;
  2. количество пользователей актива;
  3. финансовые и репутационные потери.
3. Приоритет актива может быть низкий, средний, высокий или критической.
4. Приоритет актива определяется владельцем актива и может быть скорректирована руководством Компании.
5. Приоритет актива используется для оценки рисков информационной безопасности, определения схемы резервирования и резервного копирования (для ИТ активов), приоритезации задач, связанных с активом.
6. Приоритеты связанных активов влияют друг на друга. Высокий приоритет актива повышает приоритет активов, на которых он размещен (расположен, содержится).
Учет активов
1. Учет активов ведется в электронном виде в реестре активов в сервисе управления информационной безопасностью, расположенном по адресу https://service.securitm.ru
2. Учёт ведётся работниками Службы ИТ, каждым в части своей области ответственности и полномочий.
3. За актуализацию сведений в реестре активов и в карточке актива несёт ответственность администратор актива, его владелец или администратор(владелец) соответствующего типа активов.
4. Базовыми сведениями (полями), подлежащими учёту для каждого актива вне зависимости от его типа, являются:
  1. тип;
  2. название;
  3. описание;
  4. приоритет;
  5. владелец;
  6. администратор;
  7. место расположения.
5. В зависимости от типа актива осуществляется учёт дополнительных данных (полей):
  1. ip;
  2. hostname;
  3. подразделение;
  4. должность;
  5. url;
  6. и т.д.
6. Все дополнительные сведения, инструкции, файлы, обсуждения и комментарии, связанные с активом, ведутся и хранятся в карточке актива.
7. При изменении состава и характеристик актива, в т. ч. его создании и удалении, реестр активов подлежит корректировке. Корректировка осуществляется сотрудником, проводившим изменение актива в течение 1 рабочего дня с момента изменения актива.
8. Сведения об активах, первичная информация о которых содержится в корпоративных системах, обновляются в реестре автоматически. К первичным источникам сведений об ИТ активах относятся:
  1. Служба каталогов Active Directory;
  2. Сканеры технических уязвимостей.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.