2014-02-17
1188
Идентификация активов
Предварительный этап анализа риска
На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа риска.
Первым делом выбираются компоненты АС и степень детальности их рассмотрения. Всеобъемлющий анализ требует рассмотрения всей инфраструктуры АС. Но на практике на основе принципа разумной достаточности из состава АС могут быть выделены и подвергнуты большей детализации отдельные наиболее важные компоненты, в первую очередь те, в которых риски велики или неизвестны. Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а также компоненты, в которых имели место новые инциденты и нарушения безопасности.
Далее выбираются методики оценки рисков как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методики носят частный характер, присущий организации и АС, и зависят от конкретного множества дестабилизирующих факторов и условий функционирования АС, возможности их количественной оценки, степени их неточности, неполноты, нечеткости и т.д. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые наглядные методы расчета, основанные на элементах теории вероятности и математической статистики.
Основу процесса анализа риска составляет определение того, что надо защищать, от кого и как. Для этого выявляются активы – компоненты АС, нуждающиеся в защите. Некоторые активы, например технические и программные средства, идентифицируются очевидным образом. О некоторых активах (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например, репутация, моральный климат в коллективе. В табл.6.2 представлены основные категории активов АС.
Таблица 6.2
| Категории активов | Компоненты АС |
| Аппаратное обеспечение | Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части |
| Программное обеспечение | Исходные, объектные и загрузочные модули операционных систем, вспомогательных системных и коммуникационных программ, инструментальных средств разработки, прикладных программных пакетов |
| Информационное обеспечение | Вводимые и обрабатываемые, хранимые, передаваемые и резервные (сохранные копии) данные и метаданные |
| Персонал | Обслуживающий персонал и пользователи |
| Документация | Конструкторская, техническая, пользовательская и иная документация |
| Расходные материалы | Бумага, магнитные носители, картриджи и т.д. |
В некоторых специфичных АС активы, уникальные для организации, могут быть выделены в отдельные группы, например, коммуникационное, алгоритмическое или лингвистическое обеспечение. Кроме того, могут подлежать защите части инфраструктуры, в частности подсистемы электроснабжения и др.
В процессе идентификации активов фиксируются технологии ввода, хранения, обработки и передачи информации в системе. Главным результатом процесса идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной информации, зафиксированной на некоторый момент времени.
