Опис активу
Початок роботи ризик-менеджера полягає в тому, щоб визначити важливі для організації активи. Під поняттям «актив» розумітимемо все, що має цінність для організації, наприклад, токарний верстат, будівля цеху, шафа, паперовий або електронний документ, гроші в будь-якому вигляді і навіть персонал. Залежно від сфери застосування ризик-менеджменту необхідно вибрати певну категорію активів. Спеціалісту з інформаційної безпеки достатньо обмежитися лише інформаційними активами. Інформаційний актив – це матеріальний або нематеріальний об’єкт, який є інформацією або містить інформацію, або необхідний для оброблення інформації.
Перше практичне завдання ризик-менеджера – створити реєстр активів. Реєстр активів – це таблиця, яка повністю відображає зміст активів. Для виконання вимог стандарту ISO/IEC 27001 необхідно описати активи, використовуючи такі атрибути:
- Найменування активу. Краще використовувати типові (стандартні) найменування активів, наприклад, «Персональний комп’ютер бухгалтерії № 12» можна задекларувати так: «ПК 12 тип Б». Це дає змогу отримати просту і наочну таблицю.
- Власник активу. Власником варто призначати особу, яка реально працює з активом і здатна впливати на властивості і стан активу.
- Місцезнаходження активу. Місцезнаходження активу найчастіше визначають територіально згідно з проектом будівлі, споруди, наприклад: «Цех № 1», «Бухгалтерія», «Кабінет № 2».
- Категорія активу. Категоріювання активів дає змогу згрупувати схожі активи і спростити роботу з ними. Вибір категорій – справа індивідуальна. Наприклад, для інформаційної безпеки часто вибирають такі категорії: «Паперові документи (ПД)», «Електронні документи (ЕД) », «Програмне забезпечення (ПЗ)», «Комп’ютерна техніка (КТ)», «Мережеве обладнання (МО)», «Допоміжне обладнання (ДО)», «Персонал (П)», «Віртуальна інформація (ВІ)». Приклад реєстру інформаційних активів наведено в табл. 3.1.
В процесі підготовки реєстру активів необхідно пам’ятати «золоті» правила :
- необхідно визначати лише дійсно важливі для організації активи; детальний список активів перетворить ризик-менеджмент в складний процес, що в результаті зумовить виникнення додаткових фінансових витрат;
- необхідно групувати схожі й складні активи. Наприклад, для інформаційної безпеки допустимим може бути визначення як одного активу такий набір: системний блок ПК + монітор + клавіатура + мишка + всі електронні документи, які розміщені на дисках ПК + все програмне забезпечення, яке встановлене на ПК.
Таблиця 3.1
Реєстр інформаційних активів
Етап 1. Опис активу
Етап 2. Опис ризику
Етап 3. Попередня оцінка ризику
Актив
Власник
Місце розташування
Категорія активу
Ймовірність
Збиток
РИЗИК
Архів паперових документів №4
Зав. канце-лярії
Каб. №1
БД
Втрата декількох папок внаслідок неуважності персоналу
7
7
49
Недоступність активу внаслідок втрати ключа від архіву
3
3
9
Персональний комп’ютер Тип «А» №192
Гол. бухгалтер
Каб. №2
КТ
Повна втрата інформації внаслідок виходу з ладу жорсткого диску
3
9
27
Часткова втрата інформації внаслідок дії вірусів
7
5
35
Ділянка локальної мережі Тип «В» №15
Сис. адміністратор
Цех №2
СО
Вихід з ладу внаслідок дії третіх осіб
3
7
21
Часткове пошкодження внаслідок випадкового прориву кабеля
7
5
35
Основні та допоміжні активи
Говорячи про ризики для бізнесу ми маємо на увазі можливість з певною вірогідністю зазнати певних збитків. Це може бути як прямий матеріальний збиток, так і непрямий збиток, що виражається, наприклад, в упущеної вигоди, аж до виходу з бізнесу, адже, якщо ризиком не управляти, то бізнес можна втратити.
Власне, суть питання полягає в тому, що організація має в своєму розпорядженні та використовує для досягнення результатів своєї діяльності (своїх бізнес цілей) кілька основних категорій...