Основная цель этапа - изучение бизнес-процессов организации, инвентаризация и классификация информационных активов АКБ «X-trimBank». К активам, связанным с информационными системами, относят:
- Базы данных (основные и резервные копии): Клиенты, Счета, Сотрудники, Кредиты, Депозиты, Расчетно-кассовое обслуживание, Ипотека, Ценные бумаги, Валютные операции, Мобильный банкинг, Межбанковские переводы, Отчетность, Бухгалтерский учет, Материальные активы, Нематериальные активы.
- Системную документацию по АСУ, программному обеспечению, операционным системам.
- Руководства и инструкции должностных лиц по работе с информационными системами.
- Инструкции по обеспечению информационной безопасности.
- Учебные материалы по функциональным процедурам, выполняемым сотрудниками АКБ.
- Планы по обеспечению непрерывности функционирования информационного обеспечения.
- Документированная политика информационной безопасности АКБ.
- Документация по процедурам действий должностных лиц при сбоях информационных систем, нарушении режимов работы и архивирования информации.
- Активы программного обеспечения (инсталляции и установленное ПО): операционные системы прикладное программное обеспечение, АСУ банковскими процессами, системное программное обеспечение, инструментальные средства разработки и утилиты.
- Учебные базы данных АСУ АКБ.
- Периодически обновляемые образы системных разделов дисков АРМ и серверов.
- Антивирусное ПО (инсталляции и установленное).
- Средства криптографической защиты информации (СКЗИ): системы идентификации и аутентификации пользователей; системы шифрования дисковых данных; системы шифрования данных, передаваемых по сетям; системы аутентификации электронных данных; средства управления ключевой информацией).
- Компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски).
- Другое техническое оборудование (источники бесперебойного питания, кондиционеры).
- Система видеонаблюдения (видеокамеры и регистраторы).
- Услуги: связь, ИНТЕРНЕТ, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование).
В результате выполнения этого этапа определяются приоритеты активов по их ценности. Модель классификации информационных активов необходимо представить в форме кортежа
<A, F, H, V > (1)
где
А (active) – информационный актив филиала АКБ «X-trimBank».
F (form) – форма представления актива (база данных, бумажный документ, программное обеспечение и т.д.).
H (holder) –владелец актива и его ответственность за актив и/или процессы работы с активом.
V (value)– оценка ценности активов в форме терм-переменной, принимающей значения «высокая», «средняя», «низкая». Возможна и количественная оценка ценностей активов при его утрате и последующем восстановлении..
Результаты представляются в форме таблицы, ранжированной по уровню ценности активов. По результатам анализа таблицы делаются выводы о ценности информационных активов и ответственных за их безопасность. Результаты представляются в электронных таблицах и в форме графиков. По результатам анализа делаются выводы.