Инвентаризация информационных активов

14-Jun-13
Инвентаризация информационных активов
Информация одна из ключевых составляющих бизнеса - АКТИВ,
приносящий прибыль
Роман Чаплыгин
НАЧАЛО ПРОЕКТА
Мы хотели понять:
 с какой информацией мы работаем
 где она находится и кто имеет к ней доступ
 какой у нее класс
Мы ожидали получить:
 разделение информации на классы
 правила работы с информацией
 основу для управления активами и развития ИБ
Мы собрали команду
 организатор – ИБ+ИТ
 команда: менеджеры по всем направлениям деятельности +
внешние консультанты
14-Jun-13
2
ХОД ПРОЕКТА
Название задачи
Срок
Стадия 1. Обследование и анализ бизнес-процессов Заказчика
154 дней
Стадия 2. Инвентаризация и классификация информационных активов Заказчика
59 дней
14-Jun-13
3
ИСПЫТАНИЯ
Что такое информация:
 в каком виде и форме она бывает?
 какой состав у информации?
 зачем она нужна?
 кто с ней работает?
Кто Владелец информации:
 зачем нужен Владелец?
 как определить Владельца?
 что Владелец должен делать?
Как классифицировать информацию
 какие классы использовать?
 как определить классы?
 как отнести информацию к конкретному классу (признаки и критерии)?
Как изменить отношение к информации
 что в ней ценного?
 как воспринимать информацию без привязки к документу?
14-Jun-13
4
ОТВЕТЫ И РЕШЕНИЯ
Обучение и документирование
 договориться о понятиях и терминах
 использовать привычные примеры
 использовать язык бизнеса
 проводить изменения постепенно
 обсуждать и согласовывать каждый результат
Изменение субъективного восприятия информации
Формирование культуры обращения с информацией как с активом
14-Jun-13
5
РОЛИ И ОБЯЗАННОСТИ
Владелец информации/АБС – определяет и классифицирует информацию и
правила ее использования
Пользователь информации/АБС – соблюдает правила Владельца и требования
ИБ
Менеджер ИБ – организовывает классификацию и определяет меры защиты
Менеджер ИТ – предоставляет сведения об ИТ-инфраструктуре
Риск-менеджер – подтверждает и контролирует оценку негативных последствий и
корректность классов
Рабочая группа по классификации
информации и АБС
(контроль и согласование)
14-Jun-13
6
КЛАССИФИКАЦИЯ
Свойства
информации
Негативное
воздействие
(количественно)
 основные
 финансовое воздействие
 дополнительные
 регуляторное воздействие
 юридическое и правовое
 воздействие на репутацию
 воздействие на опер.
деятельность
14-Jun-13
Классы
информации
(качественно)
 определение и
описание классов
 взаимосвязь
негативных
воздействий и классов
 присвоение
информации классов
7
МАРКИРОВАНИЕ
Содержание классификационной отметки
 владелец
 наименование класса
 логотип Банка
Способы маркировки
 для носителей
 для форм отображения
Правила маркировки
 при создании
 при получении
 при печати
 при загрузке и
 выгрузке
Визуализация класса
14-Jun-13
8
ПЕРЕЧЕНЬ ИНФОРМАЦИИ
14-Jun-13
9
РЕЗУЛЬТАТЫ ПРОЕКТА
Создана основа для управления информационными активами
 Информации определена и сгруппирована
 Определены Владельцы информации
 Введена классификация информация
 Определены меры защиты информации в соответствии с ее классом
Повышен уровень ИБ
 выполнены требования стандартов
 формализация процедур и требований
Изменено отношение к информации
 повышена общая осведомленность в области ИБ
 усовершенствована культура обращения и отношения к информации
14-Jun-13
10
ДАЛЬНЕЙШИЕ ДЕЙСТВИЯ
Организационные
мероприятия и обучение
Документационные
мероприятия
Технические мероприятия
и программные средства
Контрольные мероприятия
14-Jun-13
 Обучать правилам работы с
классифицированной информацией
 Провести маркировку документов и
носителей
 Пересмотреть и скорректировать
настройки СЗИ
 Запустить и настроить новые СЗИ
 Оценить изменения в уровне
соответствия и ИБ
11
Спасибо за внимание!
14-Jun-13
12