В работающих информационных системах мероприятия по управлению информационной безопасностью следует начинать с инвентаризации и оценки активов. От качества проведения этих работ на прямую зависит эффективность будущих защитных мер. Эта задача сравнительно простая если компания не большая или если в область рассмотрения включены только активы принадлежащие сотрудникам ИТ и ИБ. В противном случае, в больших компаниях, оценка активов представляет собой достаточно сложный и трудоемкий процесс. Эта статья посвящена именно этому случаю и содержит некоторые, как мне кажется, полезные рекомендации.
Подготовка опросника
В процессе инвентаризации активов кроме собственно их перечня должны быть определены следующие их основные свойства:
Ценность в различных смыслах.
Уязвимые места.
Взаимозависимость.
Значение этих свойств могут быть определены экспертным путем, при этом должно быть задействовано как можно большее количество сотрудников фирмы. Для этого удобно использовать заранее подготовленные опросники.
В основе опросника лежат следующие идеи:
Опросник должен помочь в идентификации и определении свойств активов.
Ответы опросника должны быть достоверными.
Процесс заполнения опросника не должен быть особенно сложным.
Опросник не должен компрометировать ИБ.
Перед формированием опросника может быть проведена предварительная инвентаризация активов силами только сотрудников ИТ и ИБ. Ее целью является определение проблемных вопросов инвентаризации, которые должны быть озвучены в опроснике. Очевидно, что они касаются активов принадлежащих другим под компании, например, отделам бухгалтерии, кадрам или маркетингу. Обычно в ИТ и ИБ бывает что-то известно об их существовании, но не известны свойства перечисленные ранее. Кроме того, предварительно должен быть определен подход к определению ценности активов.
После определения проблемных вопросов они должны быть сформулированы в виде доступном для понимания обычным сотрудником компании. Для этого надо заменить все специальные термины на общеупотребительные и постараться упростить сами вопросы, например, один большой вопрос на несколько мелких. С другой стороны некоторые вопросы, которые относятся к одной теме и в целом близки по смыслу, но отличаются специфическими деталями, могут быть объединены в один. Также для каждого вопроса можно подобрать несколько показательных ответов. Это облегчит понимание сути вопроса отвечающими.
К содержимому опросников необходимо подходить ответственно, поскольку не обоснованные вопросы могут вызвать не понимание и чувство отторжение у сотрудников компании. Также в их составе не должно быть вопросов, которые явно могут быть восприняты как враждебные и ответы на которые с высокой степенью вероятности будут не достоверными. наличие не обоснованных и враждебных вопросов вызовет пренебрежение и не доверие к опроснику и как следсвие затруднит работы по управлению ИБ. Вместо них следует задавать вопросы на которые сотрудники смогут ответить честно без ущерба для себя. В случае если ответы на "враждебные" вопросы всетаки необходимы, то они должны быть сформулированы так чтобы не вызывать подозрения у ответчика.
Для распространения опросников могут использоваться различные модели. Например, они могту распространяться между всеми сотрудниками фирмы, или только между руководителями структурных под. Также они могут быть оформлены на твердом носителе в виде листовок или в виде расслок электронной почты. Использование того или иного метода должен определяться уровнем корпоративной культуры и предполагаемым отношением к вопросам обеспечения ИБ. В зависимости от модели распространения опросник может быть один для всех сотрудников компании, либо создаваться для каждого уровня управления отдельно.
Вместе с опросником рекомендуется распространять небольшое описание. В нем должно приводиться краткое обоснование необходимости опроса, а также должны даваться указания по правилам заполнения. Последние не должны отличаться сложностью и запутанностью.
Последующие мероприятия
Скорее всего, заполненные опросники не будут содержать исчерпывающие ответы готовые для использования в ИБ. Это объясняется спецификой мышления ответчиков. По этому собранная информация должна быть обработана и систематизирована сотрудниками ИБ. Может оказаться что она фрагментарна, в этом случае необходимо связаться непосредственно с ответчиком и устранить пробелы в предметной беседе.
Кроме того предоставленная информация может косвенно указать на явно не описанные активы. В этом случае также понадобится дополнительная работа с ответчиком.
Для обеспечения возможность обратной связи заполненные опросники должны быть персонифицированы. В случае использования рассылок электронной почты, данное требование удовлетворяется автоматически.
Заключение
Идентификация активов и определение их ценности является начальным этапом процеса управления ИБ компании. Непосредственно за ним следует этап оценки рисков ИБ. В конечном счете должны быть определены обоснованные и подходящие для Компании защитные меры.
Приложения
К настоящей статье прилогаются следующие документы:
