Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
В сервисе активами могут являться любые объекты, имеющие ценность.
В рамках команды вы сами определяете с какими типами активов будете работать, можете использовать предложенную классификацию или разработать свою.
Активы обладают уязвимостями (слабостями, свойствами), которые могут приводить к реализации угроз безопасности. Комбинация типа актива, его уязвимости и реализуемой через эту уязвимость угрозы в сервисе считается риском безопасности.
Активы могут быть многогранно связаны между собой и влиять друг на друга, являться источником рисков безопасности, быть инструментом для реализации защитных мер. Участники процессов управления (пользователи, роли) так же являются активами.
Через активы сервис позволяет сформировать информационную модель организации и ее системы защиты.

Общий алгоритм работы с активами следующий:
  1. Определить актуальные для команды типы активов
  2. Для типов активов определить риски безопасности
  3. Добавить конкретные активы, связать их между собой
Добавление конкретных активов не обязательно для управления рисками т.к. риски оперируют не конкретными экземплярами активов а их типами.

Перейти к разделу Типы активов
Перейти к разделу Активы

Типы активов

Сервис позволяет управлять активами любого типа, по умолчанию предлагается следующая классификация:

Бизнес активы:
  • Информация
  • Процессы
  • Системы
ИТ активы:
  • Оборудование
  • Программное обеспечение
  • Каналы передачи информации
  • Внешние сервисы
Базовые активы:
  • Люди
  • Юридические структуры
  • Места (физические пространства)
В рамках команды вы можете полностью или частично использовать предложенную модель классификации типов активов, а так же создать свою собственную.

Родительский и дочерний тип актива

Для типов активов возможна многоуровневая классификация по цепочке родительский/дочерний тип, например:
Программное обеспечение > Системное ПО > Операционная система > ОС Windows > Windows Server > Windows Server 2012
Такая классификация позволяет при формировании рисков безопасности формировать как высокоуровневые риски (например, общие для всех видов программного обеспечения), так и более конкретные риски для дочерних типов (например, актуальные только для активов типа  Windows Server).
Также связи родительского и дочерних типов активов используются для формирования связей между рисками безопасности и проведения оценки рисков.

Места расположения

Типы активов связаны между собой не только через классификацию родительского/дочернего типа, но и через возможное расположение.
Для каждого типа актива можно определить его возможные места расположения по отношению к другим типам. Например, вот такой может быть цепочка возможных мест расположения типа актива Windows Server 2012:
Физическое пространство > Серверное помещение > Физический сервер > ESXi сервер > Виртуальная машина > Windows Server 2012
Для конкретных активов в результате может быть сформирована такая цепочка:
Центральный офис (Физическое пространство) > Серверное помещение № 13 (Физическое пространство) > HP Blade 13-21 (ESXi сервер, Оборудование) > myserver.local (Windows 2012, ОС) > БД 1С Кадры (База данных) > Сведения о работниках (ПДн, Информация)
Данная классификация позволяет связать между собой конкретные активы в единую информационную модель организации, рассчитывать величину рисков безопасности для активов различного типа во взаимосвязи между собой.

Чем детальнее будет сформирована цепочка расположения актива тем точнее будут результаты расчета рисков безопасности, но для быстрого старта работы с сервисом это не требуется.
В простом варианте можно указать что есть актив myserver.local (тип Windows Server 2012) размещенный в активе Центральный офис (тип актива Физическое пространство).
Детализация информационной модели является непрерывным процессом развития и зависит от имеющейся информации об инфраструктуре и доступных ресурсов. 

Владельцы и администраторы

Вы можете определять владельцев и администраторов для активов и для типов активов.

В широком смысле синонимом владельца является лицо, ответственное за актив.
Термин "владелец" (owner) определен как лицо или организация, на которую возложена установленная ответственность управления по контролю производства, разработке, поддержке, использованию и безопасности активов. Термин "владелец" не означает, что данное лицо фактически имеет права собственности на этот актив.
Определение из ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (источник)

Администратором актива является лицо, обеспечивающее исправное функционирование актива.

Логика определения владельца и администратора для актива в сервисе следующая:
  1. Администратор/владелец актива может быть явно определен на уровне конкретного актива.
  2. Если администратор/владелец явно не определены для актива, то администратор/владелец будут взяты из числа определенных по умолчанию для типа актива.
    Пример: вы можете установить администратором по умолчанию для всех активов типа "Windows Server" ИТ-отдел компании. В таком случае при появлении нового сервера его администратором будет считаться ИТ-отдел компании, пока не будет определено иное на уровне актива.
  3. Если для актива и его типов не определен администратор/владелец, то ими становятся администратор/владелец актива на котором размещен данный актив.
    Пример: если не определен администратор для ПО "MS Exchange", но определен администратор для экземпляра операционной системы "Windows Server" на котором развернуто это ПО, то он будет считаться администратором и всего установленного на этом сервере ПО.
Такой подход к определению администраторов/владельцев позволяет сократить количество активов, за которые никто не несет ответственности и снизить объем ручного труда по определению владельцев и администраторов активов.

Подключение активов к учетной записи

Все активности связаны с пользователями сервиса не напрямую, а через активы. 
Это сделано для того, чтобы:
  1. Одному пользователю сервиса в рамках команды можно было назначить несколько ролей.
  2. Можно было назначать активности (например, ответственность за риски или защитные меры) на людей, не зарегистрированных в SECURITM в качестве пользователей.
Активность -> Актив (Люди или Юридические структуры) -> Учетная запись SECURITM
Все активности (задачи, внедряемые защитные меры, контролируемые активы) для связанных с пользователем активов выводятся на домашнюю страницу пользователя.
Для того чтобы подключить к своей учетной записи актив нужно:
  1. Создать актив в категории Человек или Юридическая структура.
    Например, создать актив типа Работник с вашим ФИО.
  2. В параметрах актива в разделе Общее\Учетная запись привязать к активу вашу учетную запись.
После этого все активности связанные с созданным активом (назначение ответственным, исполнителем, владельцем или администратором по задачам, защитным мерам, рискам или другим активам) будут попадать на вашу домашнюю страницу, а уведомления будут приходить на вашу электронную почту или в мессенджеры.
К одной учетной записи SECURITM можно подключить неограниченное количество активов.

Определения актива

Различные определения того, что такое актив, встречающиеся в нормативных документах:
Актив - это идентифицируемый предмет, вещь или объект, который имеет потенциальную или действительную ценность для организации. Ценность может по-разному определяться различными организациями и их заинтересованными сторонами, и может быть материальной или не материальной, финансовой или не финансовой.
Определение из ГОСТ Р 55.0.01-2014/ИСО 55000:2014 Управление активами. Национальная система стандартов. Общее представление, принципы и терминология (источник)