Определение: Активы (assets) для ИБ

Коллеги, расскажите пожалуйста что Вы или ваша организация вкладывает в понятие Актив, в частности интересует как это понятие можно довести до широкого круга сотрудников, что бы каждый мог идентифицировать информацию с которой он работает как ценность которую необходимо защищать. Как пример могу привести определение актива из одного из наших СТБ :
Активы (Assets) – информация или ресурсы, которые должны быть защищены средствами объекта оценки.
Буду рад если каждый участник выскажет свое мнение об определении актива на предприятии (в разрезе информационной безопасности)
В любом случае заранее благодарю за отзывы.

11 days ago

Vladimir Matviychuk, CISA, CISM • А что ту обсуждать ? В ISO есть четкое определение :-/

Dima Evdokimov • Как пример одно из вопросов. При описании активов на предприятии какие критерии необходимо учитывать? Используется ли check list для выявления актива который необходимо защищать или владелец ценности сам определяет относится ли она к активу. Потому как определение в ISO очень широкого спектра:
Актив - что либо имеющее ценность для организации (ISO/IEC 13335-1:2004) например монитор это актив для предприятия но он не имеет значения с точки зрения ИБ (только физическая безопасность) а вот финансовый отчет отображенный на этом мониторе это уже актив в сфере ИБ который не должен попадать в поле зрения посторонних лиц. Или я утрирую данный вопрос?

Volodymyr Styran • Согласен с Vladimir Matviychuk. Давайте использовать общепринятые термины.

Dima Evdokimov, вы утрируете. Монитор - не information asset, потому что он не information =)

Vladimir Matviychuk, CISA, CISM • ISO/IEC 13335-1:2004 отменен.

А вообще можно почитать NIST Special Publication 800-60 Guide for Mapping Types of Information and Information Systems to Security Categories

Vladimir Gninyuk • Пардон, за оффтопик

Владимир, а кто пришел на смену ISO/IEC 13335-1:2004?

ISO/IEC 27005:2008 отменил 13335-3:1998, 13335-4:2000, а здесь куда смотреть?

Vladimir Gninyuk • Dima Evdokimov:
О важности стандартов поддерживаю коллег.
Одно дело определение Актива, а другое дело оценка, классификация, и т.п. (короче "управление Активами").

Приведенная Вами формулировака во многих случаях самая правильная и емкая (несмотря на краткость). Но если вдруг, Вам кажется, что не до конца ее понимаете, то посмотрите 27002 параграф 7. Взгляд на то, что нужно контролировать и учитывать, должен помочь.
Разобравшись с этим рекомендовал бы посмотреть Cobit (EXECUTIVE OVERVIEW и Framework, как минимум). Если станет интересно обязательно посмотрите PO2, PO4, DS9 ну и наверное AI2... ИМХО

И тогда Вы сами увидете в каких случаях "монитор" может быть критическим Активом ;-)

Dima Evdokimov • Информации для обработки хватит. А вот еще подскажите есть ли официальные переводы тех самых стандартов о которых тут упоминается. Потому как я могу перевести например так что смысл фразу поменяется ведь я не являюсь специалистом в переводах. Или там все четко написано и не требует дополнительных знаний и навыков? Кстати в 27002 я уже нашел содержимое седьмой главы.
И еще подскажите есть ли упоминание в стандартах понятия информационный актив (information assets) поскольку упоминание о нем в ваших сообщениях присутствует. Или все же стандарты в том числе серии 27000 используют в принципе понятие актив не деля его на информационный и физический?

Volodymyr Styran • ISO/IEC 27000:2009

2.18
information asset
knowledge or data that has value to the organization

P.S. Копания в недрах 27к всегда советую начинать с Glossary
http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip

Dima Evdokimov • Спасибо за стандарт очень пригодился.
только вот вопрос о знаниях которые также являются информационным активом как их описывать, оценивать и далее охранять? или я не в ту степь опять полез?

Vladimir Tkachenko • Для обычных людей, не пододоревающих о существовании 27к...
Інформаційний актив – це будь-яка інформація (відомості), яка представляє цінність для (ТОВ, ПАТ, ПрАТ) і його клієнтів, ділових партнерів та співробітників, а також будь-яка система обробки інформації або фізичного місця її зберігання.

Vladimir Gninyuk • Дима, судя по вопросам, Вы в самом начале пути. Таким образом я хотел бы порекомендовать следующее:

1. Читайте и изучайте стандарты и лучшие методики.

2. Если не можете найти англ оригинал (а они платные) берите переводы. Их можно найти в инете.

Например, http://www.bank.gov.ua/B_zakon/Draft/02022010/27002.pdf , http://www.bank.gov.ua/B_zakon/Draft/02022010/27001.pdf . Они раньше были в открытом доступе, а сейчас "не поймешь" ;-) В данных версиях есть моменты модификации, но их видно.

Так же можно найти "аутентику" среди российских ГОСТов

Ну а если вернуться к теме предложенной Вами дискуссии, хочу сказать:

Что бы Вы не читали, помните, миссия ИБ - защита БИЗНЕСА, для реализации которой необходимо, например, защищать "Активы (assets)"... Но приоритет именно такой. Не забывайте об этом.

Vladimir Matviychuk, CISA, CISM • 2Vladimir Gninyuk
>Владимир, а кто пришел на смену ISO/IEC 13335-1:2004?
А я не писал, что его чем-то заменили :) Просто отменен. Еще в марте

Vladimir Gninyuk • :) Спасибо