Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ CIA - как вычислить?

CIA - как вычислить?

Операции с документом
Вверх к Общие вопросы ИБ

CIA - как вычислить?

Послано ученик в 26.Апрель.2016 11:26

Добрый день, необходимо вычислить по формуле являются ли файлы(допустим договора) информационными активами? есть ли формула? в интернете формулы встречаются для расчета доступности сайта (uptime)

может быть подход в корне не правильный, направьте плз на правильный путь. 

заранее спасибо. 

Re: CIA - как вычислить?

Послано Александр Астахов в 26.Апрель.2016 13:37

информационные активы - это любая информация, представляющая ценность для бизнеса. поэтому для отнесения информации к активам, формулы не нужны. вот для того, чтобы оценить реальную ценность актива, формулы могут понадобиться при расчете ущерба, связанного с компрометацией данного актива, в том случае, если будут использоваться количественные методики оценки.

Re: CIA - как вычислить?

Послано ученик в 26.Апрель.2016 14:25
Предыдущий Александр Астахов писал:

информационные активы - это любая информация, представляющая ценность для бизнеса. поэтому для отнесения информации к активам, формулы не нужны. вот для того, чтобы оценить реальную ценность актива, формулы могут понадобиться при расчете ущерба, связанного с компрометацией данного актива, в том случае, если будут использоваться количественные методики оценки.

Мне необходимо собрать список информационных активов, как подойти к вопросу чтобы собрать реально важные активы? 
например как объяснить пользователю, ведь им важны все их документы, а их тысяча в департаменте, и департаментов около 50, в итоге получается активов 50,000? и как гарантировать их CIA (конфиденциальность, целостность, доступность), по сути получается не реальной задачей.

Re: CIA - как вычислить?

Послано Александр Астахов в 26.Апрель.2016 19:19

при инвентаризации информационных активов не нужно каждый документ учитывать, как это делается при бухгалтерской инвентаризации. надо разделить активы на группы, классифицировать их. тогда у вас получится не 50 000 документов, а где-нибудь 50 групп однородных активов.

вот здесь можно почитать:

http://xn----7sbab7afcqes2bn.xn--p1ai/content/identifikaciya-aktivov

Re: CIA - как вычислить?

Послано ученик в 27.Апрель.2016 06:06
Предыдущий Александр Астахов писал:

при инвентаризации информационных активов не нужно каждый документ учитывать, как это делается при бухгалтерской инвентаризации. надо разделить активы на группы, классифицировать их. тогда у вас получится не 50 000 документов, а где-нибудь 50 групп однородных активов.

вот здесь можно почитать:

http://xn----7sbab7afcqes2bn.xn--p1ai/content/identifikaciya-aktivov

Доброе утро, 
1. а как потом гарантировать CIA если они просто сгруппированы? Например отдел по работе с юридическими лицами говорят что вся информация для них критичная, например договора бумажные, и файлы на рабочих станциях сотрудников, как бы можно сгруппировать как "договора", назначить ответственного, например начальника отдела, а по факту это ничего не дает, никто не знает какие есть договора, из 1000 если кто то один удалит то уже никто об этом не узнает, тут уже CIA обеспечить становиться не реальным.
2. и как доказать что например txt с нужными контактами (образно говоря) который есть у пользователя не есть информационный актив критичный для банка, ведь им то важен этот файл, и они будут говорить что в их понимании это актив.
 
может быть опускаться сверху вниз? 
перечислить процессы департамента, например АБС, 1с, shared folder(server ip), сводная таблица (которую собирают с разных юнитов), и уже рассматривать БД отдельно, шару отдельно и файл собираемую общими усилиями отдельно?

Re: CIA - как вычислить?

Послано Александр Астахов в 27.Апрель.2016 10:36

инвентаризация активов, оценка их ценности и рисков нарушения их безопасности действительно производится сверху вниз. дальнейшая детализация выполняется по мере необходимости.

инвентаризация активов - это не самоцель. она выполняется для решения вполне определенные практических задач, таких как управление доступом, резервное копирование, анализ вполне определенных рисков, распределение ответственности и ресурсов в рамках конкретных бизнес-процессов. при решении этих задач становится вполне очевидным и какая степень детализации вам нужна и в каком виде надо вести реестр активов и что является критичным.

Re: CIA - как вычислить?

Послано ученик в 27.Апрель.2016 10:43
Предыдущий Александр Астахов писал:

инвентаризация активов, оценка их ценности и рисков нарушения их безопасности действительно производится сверху вниз. дальнейшая детализация выполняется по мере необходимости.

инвентаризация активов - это не самоцель. она выполняется для решения вполне определенные практических задач, таких как управление доступом, резервное копирование, анализ вполне определенных рисков, распределение ответственности и ресурсов в рамках конкретных бизнес-процессов. при решении этих задач становится вполне очевидным и какая степень детализации вам нужна и в каком виде надо вести реестр активов и что является критичным.

cпасибо, будем пробовать.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex