Управление IT-активами и информационная безопаснос

                Управление IT-активами и информационная безопасность
   
    Сердюкова И. Д. Управление IT-активами и информационная безопасность / И. Д. Сердюкова, - Брянск. – Электронный ресурс. – 2024. – 20 с.

    1. Понятие IT-ресурсов предприятия
    Ресурсами предприятия (организации) называют всю совокупность объектов трудового воздействия, участвующих в процессе производства и реализации продукции, товаров, услуг, и служащих инструментом извлечения прибыли или другого полезного результата. То есть ресурсы предприятия – это главные элементы его экономического базиса, которые используются для достижения некоторых конкретных целей:
;     Экономического развития и повышения конкурентоспособности.
;     Обеспечения финансовой устойчивости.
;     Технического и технологического развития.
    IT-ресурсы (IT resources) – это информационные ресурсы. Считается, что IT-ресурсы - это оборудование, программное обеспечение или информация, имеющие значимость для организации.
    Однако, так считают в России только некоторые авторы, а другие придерживаются других обозначений и другого толкования.
    ИР (информационный ресурс, IT-ресурс) – совокупность знаний (т.е. усвоенной информации), используемых в быту и в трудовой деятельности. В российском законодательстве под ИР понимаются базы данных для быстрого запроса параметров, сведений, документов.
    В современном научном экономическом сообществе, информационные ресурсы приравниваются к важнейшим факторам производства, наравне с капиталом, землей, трудом, предпринимательским талантом.
    Термин IT-ресурс, т.е. «информационный ресурс» может понимается как упорядоченная совокупность документированной информации (базы данных, другие массивы информации), содержащейся в информационных системах.
    Или так: информационный ресурс – организованная совокупность документированной информации, включающая базы данных и знаний, другие массивы информации в информационных системах.
    Считается, что информационные ресурсы – это продукты интеллектуальной деятельности наиболее квалифицированной и творческой части населения.
    Информационные ресурсы конкретного предприятия представляют собой сложную систему взаимосвязанных элементов, основными из которых являются данные о деятельности предприятия, знания и профессиональный опыт персонала, миссия и цели предприятия, система менеджмента, маркетинговые приемы, корпоративная культура и другие компоненты.
    Под информационными ресурсами (IT-ресурсами) предприятия (организации) будем понимать совокупность собственных и внешних (поступающих извне) данных, как на бумажных, так и электронных, предназначенных для его функционирования и развития. Формами существования таких ресурсов могут быть: – бумажные документы, – электронные документы, – базы данных и базы знаний, – web–сайты, – систематизированные файлы различной природы.
    Именно информационные ресурсы формируют информационное поле (или среду) предприятия. Таким образом, информационную среду предприятия обеспечивают и формируют различные информационные ресурсы.
    Информационные ресурсы используют для принятия конкретных управленческих решений. От уровня владения информационными ресурсами и общей информационной средой зависит уровень успешности бизнес-процесса в целом, уровень развития предприятия в частности, его конкурентоспособность и актуальность присутствия его на рынке. Эффективное управление организацией сегодня невозможно без управления её информационной деятельностью, т.е. всей системой корпоративной деловой информации.
    Информационные ресурсы промышленного предприятия – это, как правило, техническая, конструкторская и прочая документация. Информационные ресурсы любого предприятия представляют собой комплекс знаний, сведений, иных данных, которые зафиксированы на материальных носителях и используются в производственной деятельности.
    Существуют разные формы представления информационных ресурсов предприятия:
    1 Архивы и документы.
    2 Базы данных предприятия.
    3 Производственные библиотеки.
    4 Информационные фонды и проч.
    От сюда вытекает, что одним из важнейших факторов успешного управления является наличие достоверной оперативной информации о происходящих на предприятии процессах.
    Собственные информационные ресурсы могут быть структурированными (базы данных, хранилища данных, базы знаний) и неструктурированными. Эти ресурсы подлежат арифметической, логической обработке и обработке программными средствами.
    Информационные ресурсы требуют привлечения значительного количества материальных ресурсов, они формируют информационный потенциал и конкурентоспособность экономики предприятия.
    Информационные ресурсы существовали у предприятий всегда, однако только в последнее время они осознаны всем обществом как самостоятельные экономические факторы развития.
    Эффективное использование информационных ресурсов невозможно представить без использования следующих принципов:
    а) использование информационных ресурсов должно быть вызвано производственной необходимостью, но не влиянием научно-технического прогресса;
    б) использование информационных ресурсов должно основываться на возможности получения финансовой выгоды предприятием и служить средством достижения данной цели;
    в) структура информационной системы предприятия должна быть гибкой;
    г) получение результата от использования информационных ресурсов должно происходить с момента внедрения и на протяжении всего жизненного цикла данных ресурсов;
    д) должна быть обеспечена постоянная модернизация информационных ресурсов и последовательное повышение производительности их использования;
    е) должна быть высокая квалификация у сотрудников, осуществляющих работу с использованием информационных ресурсов.
    Информационные ресурсы в своей совокупности образуют информационную систему предприятия. Она находится в постоянном развитии и изменении за счет трансформации состава включенных в нее сведений. Главная цель системы управления внутрифирменной информацией – создание эффективной системы информационного обеспечения процессов управления. Основное внимание должно уделяться не вопросам техники и организации, а вопросам создания информации, которая будет проходить через систему информационного обеспечения.
    Активы (asset) - все, что имеет ценность для организации. Её имущество.
    Под активами понимается совокупность различного вида имущества (включая финансовые и нематериальные активы), принадлежащего предприятию (здания, сооружения, машины и оборудование, материальные запасы, банковские вклады, вложения в ценные бумаги, патенты, авторские права и др.), в которое вложены средства владельцев.
    Имущество организации – материальные и нематериальные ресурсы, а также финансовые активы, используемые данным предприятием в производственной деятельности. Имущество трактуется как хозяйственный, экономический ресурс, использование которого обеспечивает успешную деятельность организации. Обычно в составе имущества выделяют материально-вещественные и нематериальные элементы.
    К числу нематериальных видов имущества относят IT-ресурсы, их называют интеллектуальными активами. Они являются нематериальной частью ИТ-активов.
    К числу материально-вещественных видов имущества обычно относят земельные участки, здания, сооружения, машины, оборудование, сырье, полуфабрикаты, готовые изделия, финансовые активы. При этом у каждой такой вещи есть материально-ответственное лицо.
    Электронная техника относится к материальным ИТ-активам: основным и оборотным.
    Оборотные средства (капитал, активы) предприятия – это совокупность краткосрочных финансовых и материальных активов, находящихся в материально-производственных запасах, процессах производства и обращения.
    Активы, связанные с информационными системами:
    1. Информационные активы:
•     базы данных и файлы данных;
•     системная документация;
•     руководства пользователя;
•     учебные материалы;
•     процедуры эксплуатации или поддержки (обслуживания);
•     планы по обеспечению непрерывности функционирования информационного обеспечения;
•     процедуры действий при сбоях;
•     архивированная информация;
    2. Физические активы:
•     компьютерное оборудование;
•     оборудование связи;
•     магнитные носители, другое техническое оборудование (электропитание, кондиционеры);
•     мебель;
•     помещения;
    3. Программные активы:
•     прикладное программные обеспечения;
•     системное программные обеспечения;
•     инструментальные средства разработчиков;
•     утилиты.
    4. Интеллектуальные активы: знания, умения и навыки сотрудников организации с их квалификацией, умением и опытом. В том числе:
    Служб:
•     вычислительных служб;
•     служб связи;
•     коммунальных услуг, например: обогрев, освещение, кондиционирование, ассенизация;
    5. Другие нематериальные активы, типа репутации и имиджа организации.
    Помимо таких активов, как компьютеры, программное обеспечение и средства защиты информации (СЗИ), организации имеют еще и нематериальные активы в виде контрактов на поддержку и техническое обслуживание, гарантийные обязательства и лицензионные соглашения. Это тоже активы, про важность которых, как и про многие физические ресурсы, часто забывают.
    2. Понятие электронной техники организации
    Понятие «техника» многоаспектно и многогранно, и в частности под ним понимается: совокупность технических устройств. Техника (от греч. techne – искусство) – совокупность технических средств производственно-экономической деятельности, предназначенных для повышения производительности труда и качества продукции, облегчения труда, уменьшения доли ручного труда, автоматизации и механизации производства, улучшения бытового обслуживания, совершенствования образа жизни людей; Машины и механизмы.
    Основное назначение техники – частичная или полная замена производственных функций человека, избавление сотрудников от выполнения физически тяжёлой или рутинной (однообразной) работы.
    Под электронной техникой понимают приборы и устройства, основанные на электронных потоках и их взаимодействии с веществом и электромагнитными полями.
    Электронная техника – это электронные, ионные и полупроводниковые приборы в устройствах, системах и установках для различных областей применения.
    В настоящее время к электронной технике главным образом относят полупроводниковые приборы и устройства.
    Число различных типов электронных устройств так велико, что не представляется возможным подробно их рассматривать.
    Электронная техника – это полупроводниковые, электровакуумные, оптоэлектронные приборы и приборы отображения информации.
    Электронная техника – та часть техники, которая связанна с разработкой и применением электронных приборов и устройств, используемых для передачи, обработки и хранения информации.
    Электронные устройства не предназначены для простого преобразования электрической энергии в свет, тепло или движение, а для управления электрическим током таким образом, что этот ток несет некоторую информацию в дополнение к энергии.
    Электронными приборами называются активные вакуумные, газоразрядные и полупроводниковые элементы электрических цепей. Наряду с пассивными элементами (резисторами, катушками индуктивности и конденсаторами) они входят в электрические схемы устройств, в которых происходит преобразование электромагнитной энергии и сигналов. Различают вакуумные и полупроводниковые электронные приборы.
    К электровакуумным приборам относятся электронные лампы (диоды, триоды, тетроды, пентоды и др.), вакуумные фотоэлементы и фотоумножители, электронно-лучевые трубки осциллографов, телевизоров, мониторов ЭВМ, сверхвысокочастотные генераторы (клистроны, магнетроны, митроны и др.).
    Электронные приборы – это устройства, работа которых основана на использовании электрических, тепловых, оптических и акустических явлений в твёрдом теле, жидкости, вакууме, газе или плазме. Наиболее общие функции, выполняемые электронными приборами, состоят в преобразовании информационных сигналов или энергии.
    Классификация электронных приборов по виду рабочего пространства:
    а) электровакуумные;
    б) полупроводниковые;
    в) газоразрядные;
    г) на основе специальных типов проводников (например, с нелинейной зависимостью);
    д) жидкостные и жидкокристаллические.
    В настоящее время используются в основном полупроводниковые электронные приборы.
    В основе развития электронной техники лежит непрерывное усложнение функций, выполняемых электронными устройствами. На определенных этапах развития организации невозможно решать новые задачи старыми электронными средствами, поэтому появляются предпосылки для дальнейшего совершенствования элементной базы. Основные факторы, способствующие разработке новых электронных устройств на другой элементной базе, – это повышение надежности, уменьшение габаритов, массы, стоимости и потребляемой мощности.
    Под электронной техникой организации в рамках данной ВПКР, мы подразумеваем в основном компьютерную технику и оргтехнику, а именно: компьютеры, принтеры, сканеры, МФУ, ноутбуки, планшеты, смартфоны, мобильные телефоны, стационарные телефоны, комплектующие (клавиатуры, мышки, колонки, веб-камеры), сетевое оборудование (свитчи, маршрутизаторы, кабель, патч-корды и пр.), расходные материалы (зап. части для ремонта и обслуживания принтеров и МФУ), зап. части для ремонта и модернизации компьютеров (процессоры, мат. платы, оперативную память, блоки питания и пр.).
    Часть оборотного капитала имеет материальную форму и называется производственными запасами.
    Активы, стоимостью в пределах лимита, установленного в учетной политике организации, но не более 100 тыс. рублей за единицу, могут отражаться в бухгалтерском учете и финансовой отчетности в составе материально-производственных запасов. В качестве материально-производственных запасов (МПЗ) в бухгалтерском учете принимаются активы:
    – используемые в качестве сырья, материалов и т.п. при производстве продукции, предназначенной для продажи (выполнения работ, оказания услуг);
    – предназначенные для продажи (готовая продукция и товары);
    – используемые для управленческих нужд организации.
    Основными средствами в бухгалтерском учете признается дорогостоящая часть имущества, которая числится на балансе организации долгосрочный период (более 12 месяцев). И используется ею в производственном цикле при выполнении работ или оказании услуг, а также с целью осуществления управленческой деятельности.
    К основным средствам относятся: здания, сооружения, рабочие и силовые машины и оборудование, измерительные и регулирующие приборы и устройства, вычислительная техника, транспортные средства, инструмент, производственный и хозяйственный инвентарь и принадлежности, рабочий, продуктивный и племенной скот, многолетние насаждения, внутрихозяйственные дороги и прочие соответствующие объекты.
    В целях обеспечения сохранности этих объектов в производстве или при эксплуатации в организации должен быть организован надлежащий контроль за их движением. Но инвентарный номер обязательно присваивают только основным средствам.
    Процесс физического и морального износа основного капитала называется его амортизацией. Амортизация с точки зрения бухгалтера – это стоимостная оценка износа основного капитала за определенный период времени. На основе этой оценки происходит ежемесячное списание части стоимости основных фондов, так называемые амортизационные отчисления.
    Задачей учета электронной техники является отслеживание и регистрация прохождения ею отдельных этапов своего жизненного цикла. Все изменения должны быть учтены в управленческом и бухгалтерском учете.
    Обычно бухгалтерский учет упрощённо подразделяют на две подсистемы – финансовый и управленческий. Однако их больше.
    В системе финансовой бухгалтерии формируется информация о доходах и расходах организации, о дебиторской и кредиторской задолженности, о финансовых инвестициях, состоянии источников финансирования, взаимоотношениях с государством по уплате налогов и т. д. Потребителями информации результатов финансового учета являются в основном внешние по отношению к предприятию пользователи: налоговые органы, банки, биржи, другие финансовые институты, а также поставщики, покупатели, потенциальные и реальные инвесторы, служащие данного предприятия.
    Управленческий учет является процессом в рамках организации, который обеспечивает управленческий аппарат информацией, используемой для принятия адекватных и своевременных управленческих решений.
    Управленческий учет представляет собой систему учета, планирования, контроля, анализа доходов, расходов и результатов хозяйственной деятельности в необходимых аналитических разрезах, оперативного принятия различных управленческих решений в целях оптимизации финансовых результатов деятельности предприятия в краткосрочной и долгосрочной перспективе.
    Информация управленческого учета предназначена для руководства и менеджеров предприятия, является коммерческой тайной и носит строго конфиденциальный характер.
    В целом, бухгалтерский учет (счетоводство) – это процесс формирования документированной, систематизированной информации об объектах учета и составление на ее основе бухгалтерской (финансовой и управленческой) отчетности.
    Бухгалтерский учет включает и налоговый учет – систему обобщения информации для определения налоговой базы по налогам на основе данных, которые должны быть сгруппированы в соответствии с НК РФ, а также для оформления результатов налоговых расчетов с целью оптимального налогообложения и составления налоговой отчетности.
    Бюджетный учет – это процесс формирования документированной и систематизированной информации о финансово-хозяйственной деятельности экономического субъекта бюджетной сферы РФ. Он и применяется в некоммерческих организациях.
    Обязанность вести бухгалтерский учет и составлять финансовую (публичную) отчетность по унифицированным требованиям возложена в Российской Федерации на все предприятия и организации, независимо от их организационно-правовой формы.
    Инвентаризация (в торговле – этот процесс называют «переучет») – это обязательный ежегодный пересчет всего имущества, числящегося на балансе предприятия (т.е. в составе активов). Считают все имущество, от зданий и сырья до канцелярии. Задача инвентаризации – определение действительных остатков и выявление расхождения факта с документально-учтенным. Эта процедура организуется бухгалтерией. Её результатом является инвентарная ведомость. Однако, каждый месяц или другой равный период времени материально-ответственному лицу нужно проводить собственный переучет (мини-инвентаризацию), чтобы знать о достоверных объемах и состоянии подотчетного ему имущества.
    Бухгалтерская информационная система структурно состоит из обеспечивающей и функциональной частей. В состав обеспечивающей части входят подсистемы: информационного, технического, программного, математического, организационного, правового, эргономического и лингвистического обеспечения.
    В функциональном аспекте бухгалтерские информационные системы должны обеспечивать: выполнение необходимых расчетов, подготовку, заполнение, проверку и распечатку первичных и отчетных документов; перенос данных из одной отчетной формы в другую, накопление итогов, представление возможности обращения к данным и отчетам прошлых периодов.
    Эффективная система учета электронной техники, подразумевает:
    – определение границ учетной системы;
    – разработку справочника категорий этой техники;
    – учет этапа в модели жизненного цикла;
    – определение правил идентификации техники;
    – разработку атрибутной модели.
    3. Управление активами предприятия
    Управление предприятием реально представляется как исключительно информационно-управленческий процесс. Для эффективного управления предприятием его руководителю необходимо пользовать подходящую информационную систему, что возможно только при грамотном управляя информационными ресурсами. В современных условиях практически все бизнес-процессы как правило любой организации в большей или меньшей степени связаны с компьютеризированной обработкой данных. Одной из важнейших задач повседневной реальности является совершенствование процессов управления, в числе которых применение современных информационных технологий является залогом результативности работы практически любых организаций. При этом, повышение эффективности управленческой деятельности является определяющим фактором при совершенствовании результатов деятельности любого предприятия. А наиболее действенным приёмом повышения эффективности результата трудового процесса является его автоматизация.
    Управление активами должно обеспечивать соответствующую защиту активов организации и подразумевает ответственность за обеспечение их безопасности, поэтому включает в себя:
•     владение активами;
•     использование активов;
•     инвентаризация активов.
    От того, насколько эффективно используются информационные ресурсы, зависит развитие самого предприятия и, отрасли экономики страны в целом.
    Таким образом электронная техника играет важную роль в бизнес-процессах организаций. Она используется для автоматизации производственных процессов, управления складскими запасами, обработки, хранения данных, информации и для многих других задач. Однако учет и контроль за этим ресурсом являются сложными задачами для компаний. Нередко возникают проблемы с отслеживанием перемещения электронной техники, ее использованием и обслуживанием. Кроме того, недостаточный контроль может привести к утечкам конфиденциальной информации и увеличению расходов на обслуживание техники.
    В связи с этим возникает необходимость оптимизации всех процессов управления электронной техникой. Организации должны иметь эффективную систему учета и контроля за этим ресурсом, которая позволит снизить расходы на его обслуживание и увеличить эффективность бизнес-процессов.
    3.1. Владение активами
    Вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного во владение представителя организации.
    Владелец - личность или объект, которые утвердили административную ответственность за управление производством, разработкой, поддержанием в рабочем состоянии, использованием и защитой активов. Термин «владелец» не означает, что человек действительно имеет какие-либо права собственности в отношении актива.
    Владелец актива должен быть ответственен за:
    обеспечение того, что информация и активы, связанные со средствами обработки информации классифицированы;
    определение и периодически рассмотрение классификаций и ограничения доступа, принятие во внимание соответствующих политик контроля доступа.
   
    3.2. Использование активов
    Определение, документирование и реализация правил безопасного использования информации и активов, связанных со средствами обработки информации.
    Приемлемое использование активов - правила для допуска на использование информации и активов, связанных со средствами обработки информации.
    Правила должны быть идентифицированы, задокументированы и внедрены.
    Все служащие, работники по контракту и третьи лица должны следовать правилам для допуска на использования информации и активов, связанных со средствами обработки информации, включая:
•      правила для электронной почты и пользователей Internet;
•      рекомендации для использования переносных устройств, особенно для использования вне помещений учреждения.
    Служащие, работники по контракту и третьи лица, использующие или имеющие доступ к активам учреждения должны знать, что существуют границы использования информации учреждения и активов, связанных со средствами обработки информации и ресурсами. Они должны нести ответственность за использование любых обработки информации и любого такого использования под их ответственностью.
   
    Информационная безопасность в управлении IT-активами обеспечивает уверенность в том, что информация защищена на надлежащем уровне:
    Основными угрозами безопасности, которые могут привести к утрате корпоративных ресурсов (активов) предприятия, являются:
    - чрезвычайная ситуация (пожар, разрушение, затопление, авария, хищение опасных веществ и т.п.);
    - хищение или порча имущества;
    - несанкционированный съем конфиденциальной информации;
    - ухудшение эффективности функционирования, устойчивости развития.
    Компьютерная преступность — это противоправная и осознанная деятельность образованных людей и, следовательно, наиболее опасная для общества.
    Самой опасной угрозой безопасности любого предприятия являются чрезвычайная ситуация, которая может привести к большому материальному ущербу, вызвать угрозу для жизни и здоровья людей, а на потенциально опасных объектах — катастрофические последствия для окружающей среды и населения.
   
    4. Процедуры защиты активов организации
    4.1. Место и назначение учета в системе управления организацией
   
    Система управления представляет собой, с одной стороны, совокупность объектов управления, с другой стороны, совокупность реализуемых в отношении этих объектов управленческих функций.
    Управленческие воздействия реализуются с помощью основных функций управления, взаимосвязь и взаимодействие которых образуют замкнутый повторяющийся цикл управления:
   
    ; Анализ ; Планирование ; Организация ; Учет ; Контроль ; Регулирование ; Анализ.
   
    С точки зрения классической российской теории управления - любой учет есть функция управления.
    Бухгалтерский учет заключается в документальном сборе и систематизации информации о финансовых и хозяйственных операциях, результаты которых, выраженные в продуцируемых формах отчетности.
    В силу универсальности показателей бухгалтерская информация позволяет анализировать активы, пассивы (обязательства), капитал, доходы, расходы и финансовые результаты деятельности организаций.
    Объектами бухгалтерского учета экономического субъекта являются:
    1) факты хозяйственной жизни;
    2) активы;
    3) обязательства;
    4) различные источники финансирования деятельности;
    5) доходы;
    6) расходы;
    7) иные объекты в случае, если это установлено федеральными стандартами бухгалтерского учета.
    4.2. Понятие инвентаризации и категорирования
    Инвентаризация активов - составление и актуализация описи всех важных активов организации.
    Имеются проблемы ошибок и потери рабочего времени IT-специалиста и пользователя при ручной инвентаризации автоматизированного рабочего места. Поэтому более эффективно будет в этих целях - использование IT-ресурсов для инвентаризации и учёта электронного оборудования. Для повышения эффективности работы по учету техники необходимо проводить мероприятия по обновлению материально-технической и информационной базы, внедрению современных методов управления с использованием автоматизированных подсистем и автоматизированных рабочих мест работников, созданию базы данных о технике предприятия, его своевременному пополнению, оперативному предоставлению необходимой информации пользователям.
    Автоматизация рабочих процессов за счет внедрения разработанной системы учета компьютерного оборудования позволит сократить трудозатраты, требуемые для учета оборудования, за счет упрощения операции пополнения и представления информации по ремонтам, добавлениям, использованию и отказам, постоянного контроля за корректностью вводимой информации. Это значительно упрощает работу сотрудников и исключает ошибки, часто встречающиеся при обычной организации работы.
    Наличие удобного специализированного программного обеспечения для учета электронной техники сильно облегчает задачу учета специалисту профильного отдела.
   
    Опись активов должна включать всю информацию, необходимую для восстановления после бедствия, включая:
;     тип актива, формат, местоположение;
;     дублирующую информацию;
;     информацию о лицензиях, а также ценность для бизнеса.
    Опись не должна излишне дублировать другие описи, но следует обеспечить, чтобы содержимое было синхронизировано.
    Собственность и классификация информации должны быть согласованы и документально подтверждены для каждого из активов. На основе важности актива, должны быть определены его ценность для бизнеса и категория защиты, уровни защиты, соразмерные с важностью активов.
   
    Инвентаризация информационных ресурсов -  это процедура анализа хранимой и обрабатываемой на объекте информатизации информации в интересах отнесения ее к защищаемой, разделения защищаемой информации на именованные блоки с обеспечением возможности нахождения любого блока по его имени при решении задач защиты, а также определение носителей защищаемой информации.
   
    Основные задачи инвентаризации
;     выделение блоков информации в соответствии с заданной тематикой и перечнем защищаемых сведений, а также блоков пользовательской информации (данных, программ), представляющих ценность для пользователей;
;     оценка важности каждого блока информации с позиции обеспечения его конфиденциальности, целостности и доступности;
;     выделение файлов технологической информации, на которую имеет возможность воздействовать пользователь или нарушитель и уничтожение или модификация которой может привести к сбою в работе компьютерной сети или ее элементов, оценка важности технологической информации;
;     выбор в соответствии с установленными правилами (критериями) блоков защищаемой информации (среди всех блоков информации выделение тех, которые подлежат защите);
;     формирование сводных данных об атрибутах блоков защищаемой информации (в том числе местоположения блока в файловой системе компьютерной сети, метки соответствия пользовательской или технологической информации, установленного грифа конфиденциальности и т.д.).
   
    Категорирование защищаемой информации - это присвоение именованному блоку информации соответствующей категории из заранее определенного списка категорий.
    Задачи категорирования информационных ресурсов:
•     разделение блоков защищаемой информации на относящиеся к государственной тайне и к конфиденциальной информации;
•     определение системы категорий важности конфиденциальной и технологической защищаемой информации на объекте информатизации с позиции обеспечения ее конфиденциальности, целостности, доступности;
•     определение категорий важности блоков пользовательской защищаемой информации (в том числе относящейся к государственной тайне) с позиции обеспечения ее конфиденциальности;
•     определение важности блоков пользовательской защищаемой информации с позиции обеспечения ее доступности и целостности;
•     определение важности технологической информации с позиции обеспечения функционирования автоматизированной системы;
•     определение важности технологической информации с позиции обеспечения целостности и доступности пользовательской информации (в том числе прикладных программ).
   
    Правила определения уровней важности (ценности) информации
;     если в файле (текстовом, графическом, файле базы данных и т.д.) имеется защищаемая информация, то весь файл подлежит защите и файлу присваивается соответствующий уровень важности;
;     градация важности информации с позиций обеспечения ее конфиденциальности полностью определяется присвоенным ей грифом секретности или конфиденциальности. Для конфиденциальной информации гриф конфиденциальности определяется в зависимости от того, какой круг лиц имеет право ознакомления с ней, и определяется преимущественно пользователем;
;     градация важности информации с позиции обеспечения ее целостности или доступности определяется пользователем и зависит от уровня и приемлемости затрат (времени, трудовых ресурсов, финансовых средств) на восстановление целостности или доступности информации;
;     исполняемые файлы прикладных программ, запуск которых обусловливает доступ к файлам с данными пользователя, имеют не меньшую важность с позиции обеспечения как целостности, так и их доступности, чем сами файлы с данными пользователя;
;     файлы информации, нарушение целостности или доступности которых приводит к срыву работы операционной системы, имеют большую важность с позиции обеспечения их целостности или доступности, чем остальные хранящиеся в системе файлы;
;     если в помещении хранится конфиденциальная информация или помещение выделено для конфиденциальных переговоров, то считается, что распространяемая в ходе разговоров должностных лиц или при передаче по линиям связи информация имеет высший уровень конфиденциальности, предусмотренный для данного помещения, то есть, возможна утечка информации с наибольшим уровнем важности для данного помещения.
    4.2.1. Алгоритм инвентаризации информационных ресурсов
    Шаг 1.
    Определение перечня носителей информации.
    Шаг 2.
    Разделение информации на блоки с именованием каждого блока.
    Шаг 3.
    Отнесение каждого блока к пользовательским данным, прикладным программам или технологической информации.
    Шаг 4.
    Определение видов тайн, которые могут быть раскрыты на основе перехвата (выявления содержания) информации на объекте информатизации.
    Шаг 5.
    Определение блоков пользовательской информации, которые относятся к тому или иному виду тайны, то есть блоков защищаемой информации.
    Шаг 6.
    Определение размещения блоков защищаемой конфиденциальной пользовательской информации в выделенных областях памяти:
•     определение обладателя (собственника информационных ресурсов или их владельца);
•     определение порядка использования информационных ресурсов.
    Шаг 7.
    Выделение блоков технологической и пользовательской информации, целостность или доступность которой должна быть защищена.
    Шаг 8.
    Учет блоков пользовательской и технологической защищаемой информации в электронном журнале учета.
    Выявление изменений в содержании и структуре защищаемой информации по сравнению с последней инвентаризацией.
    Шаг 9.
    Составление ведомости информационных ресурсов на объекте информатизации.
    Определение служебных помещений, в которых может быть разглашена конфиденциальная информация в ходе разговоров или с применением средств связи.
    Категорирование информационных ресурсов.
    Выявление средств связи, по которым может передаваться конфиденциальная информация.
    Шаг 10.
    Составление докладной записки о результатах инвентаризации и категорирования.
   
    5. Защищенность и эффективность защиты информации:
•     защищенностью информации понимается такой уровень ее безопасности, который характеризуется возможностью противостоять в соответствии с выбранными критериями определенной совокупности угроз безопасности информации
•     эффективность какого-либо действия - степень достижения цели выполнения этого действия
•     эффективность защиты информации в широком смысле - степень достижения цели защиты, а в узком смысле   степень выполнения поставленной задачи защиты информации (в интересах достижении определенной цели).
   
    Организация, обслуживающий персонал которой самостоятельно устраняют неисправности технических средств, с еще не закончившимся гарантийным сроком, просто даром тратит деньги. Однако знать наверняка, на какой компьютер, ПО или СЗИ еще распространяются гарантийные обязательства поставщика, можно только при развитой системе учета гарантий.
    Кроме того, если в организации отсутствует учет контрактов на компоненты ИТ и СЗИ, то можно запутаться в том, какие контракты на какие компоненты ИТ и СЗИ распространяются. Если какими-либо программами или оборудованием в организации больше не пользуются, то платить деньги по контракту за поддержку нет необходимости.
    Аренда оборудования также имеет свои "подводные камни". Как уже говорилось, организация должна отслеживать использование и изменение состояния своих активов на протяжении всего их жизненного цикла. В некоторых случаях в эти активы вкладываются дополнительные средства. Допустим, в организации увеличили память на нескольких арендуемых компьютерах. Если подобные изменения не отслеживать, то по истечении срока аренды компьютеры будут возвращены их владельцу вместе с микросхемами памяти, которые по праву принадлежат организации и могли быть использованы для других целей.
    Таким образом, в организации необходимо вести учет того, какие у нее есть контракты. Такая практика позволяет обнаружить другие формы неправильного управления активами. Например, при правильном учете можно выявить тот факт, что организация платит нескольким компаниям за одни и те же услуги. Ограничивая круг своих партнеров, можно добиться экономии и за счет более выгодных массовых контрактов.
   
    5.1. Классификация информации
    Любая деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных цифровых информационных потоков. Поэтому возникает масса проблем, связанных с обеспечением сохранности и целостности такого рода информации.
    Обычно, когда речь заходит о экономической безопасности предприятия, его руководство недооценивает важность информационной безопасности. Основной упор делается, как правило, на физической защите материальных активов, в то время как нематериальные активы и их составная часть - интеллектуальные активы так же являются объектом приложения охранных усилий.
   
    Цель классификации - обеспечить, чтобы информация получала надлежащий уровень защиты.
   
    5.1.2. Основные принципы классификации
    Основные принципы классификации:
•     использования нормативных правовых требований;
•     учета конфиденциальности, ценности и критичности обрабатываемой информации;
•     ответственности владельца актива за определение классификации актива, ее периодический анализа и обеспечение поддержания его на уровне современных требований.
   
    Информация должна быть классифицирована, с целью определения потребности в защите, приоритетов защиты и ожидаемой степени защиты при обращении с информацией.
    Информация имеет различные степени важности и критичности. Некоторые элементы могут потребовать дополнительного уровня защиты или специального обращения. Для определения требуемого набора уровней защиты и сообщений о потребности в мерах по специальному обращению должна быть использована схема классификации информации.
    Информация должна быть классифицирована с точки зрения ее значимости, требований законодательста, конфиденциальности и критичности для организации.
    Классификации и связанные с ней защитные средства управления для информации должны учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями.
    Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом.
    Владелец актива должен быть ответственен за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований.
    Классификация должна учитывать эффект агрегации.
    Следует уделить внимание числу категорий классификации и выгодам, которые нужно получить из их использования. Чрезмерно сложные схемы могут стать громоздкими и неэкономичными для использования или на практике оказаться невыполнимыми. Следует быть внимательным при интерпретации классификационных этикеток на документах из других организаций, которые могут иметь другие определения для этикеток с тем же самым или аналогичным названием.
    Уровень защиты может быть оценен путем анализа конфиденциальности, целостности и доступности, а также любых других требований для рассматриваемой информации.
    Информация часто перестает быть важной или критической спустя определенный период времени, например, когда информация была сделана общеизвестной. Эти аспекты должны быть приняты во внимание, поскольку чрезмерная классификация может провести к реализации необязательных средств управления, дающих в результате дополнительные расходы.
    Рассмотрение документов с аналогичными требованиями защиты вместе с назначением уровней классификации может помочь упростить задачу классификации.
    В общих чертах, классификация, придаваемая информации – это краткий способ определить то, как надлежит обращаться с этой информацией, и как ее надо защищать.
   
    Если говорить о классификации информации, то нужно сказать, что критериев классификации может быть достаточно много, и в зависимости от избранного критерия можно выделить большое число видов и разновидностей информации.
    Рассмотрим основные критерии и виды:
    1) по объекту, информация на предприятии, как объекте управления, может быть показателем качества продукции, показателем социального развития коллектива, показателем организационно-технического уровня производства, критерием охраны окружающей среды и так далее;
    2) по принадлежности к определенной системе или подсистеме – информация в этом случае может быть обеспечивающей, сопровождающей, управляющей, информацией из внешней среды и так далее.
    3) по форме передачи информация может быть словесной и несловесной (невербальной);
    4) по изменчивости во времени любая информация может быть недолговечной, то есть условно-переменной, а также условно-постоянной;
    5) по способу передачи любая информация может классифицироваться на письменную, телефонную, электронную и так далее;
    6) по режиму передачи данных, информация может быть с нерегламентированными сроками, принудительной по срокам, информацией по запросу;
    7) по назначению информация может быть социальной, экономической, технической, организационной и так далее;
    8) по стадиям жизненного цикла информация может быть первичной, общей, вторичной, итоговой и так далее;
    9) по отношению объекта к субъекту управления, любую информацию можно классифицировать, как информацию между компанией и внешней средой, между подразделениями внутри компании (горизонтальная и вертикальная информация), между руководителями и исполнителями, неформальную информацию.
   
    Классификация по уровню конфиденциальности
    Уровень конфиденциальности информации является одной из самых важных категорий, принимаемых в рассмотрение при создании определенной политики безопасности организации.
    Пример классификации информации
   
Класс Тип информации Описание Примеры
0 Общедоступная информация Общедоступная информация Информационные брошюры, сведения, публиковавшиеся в СМИ
1 Информация ограниченного доступа Доступ к информации ограничен федеральными законами
1.1 Информация ограниченного доступа, содержащая сведения, составляющие государственную тайну Раскрытие информации приведет к финансовой гибели компании (зависит от ситуации)
1.2 Информация конфиденциального характера
1.2.1 Служебная информация Информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы
1.2.2 Коммерческая тайна Раскрытие информации ведет к значительным потерям на рынке Реальные финансовые данные, планы, проекты, полный набор сведений о клиентах,
1.2.3 Персональные данные Нанесение негативных последствия субъекту ПДн, падение имиджа компании Персональные данные сотрудников организации

    Одним из самых распространенных источников получения информации являются компьютерные сети. Они превратились в повседневность. Множество предприятий имеют свои собственные официальные страницы в Internet, подразделения предприятий используют компьютерные сети для оперативного обмена коммерческой информацией, рядовые граждане используют сеть для получения важных для них данных. Т.е. в Internet храниться и передаётся важная информация. Обычная практика - подключение корпоративной компьютерной сети к Internet. Имеется множество пользователей, чей компьютер, обладая важной информацией, используется и для работы в Internet.
    Кроме того, всемирная компьютерная «паутина» - эффективное средство совершения финансовых сделок и серьезное подспорье в бизнесе. Информационная сфера сама по себе является одной из самых эффективных для вложения капитала. В 21-м веке появился особый сектор отраслей хозяйства страны — информационная экономика.
    Структуру информационной экономики можно представить в виде совокупности следующих основных компонентов:
;     производство средств информационной техники, включая средства связи и передачи данных;
;     производство информационных продуктов (баз данных и знаний, мультимедийных продуктов и информационных технологий);
;     оказание информационных услуг пользователям.
    Поскольку информационная сфера в своей структуре имеет объективные и субъективные составляющие, то и информационная безопасность должна быть направлена на защиту субъективного и объективного, материального и идеального.
    Безусловно, опасность вмешательства извне весьма актуальна. Но она слишком уж преувеличена. Статистика свидетельствует, что до 70—80% всех компьютерных преступлений связаны с внутренними нарушениями. Доказано, что именно некорректные или сознательно провокационные действия персонала становятся причиной нарушения работы сети, утечек информации и, в конечном счете, финансовых и моральных потерь предприятия.
   
    5.2. Маркировка и обработка информации
   
    Для маркировки информации и обращения с информацией разрабатывается и реализуется соответствующий набор процедур в соответствии со схемой классификации, принятой организацией.
    Необходимо, чтобы процедуры для маркировки информации охватывали информационные активы в физических и электронных форматах.
   
    При осуществлении вывода данных из систем, содержащих информацию, которая классифицирована как чувствительная (важная) или критичная, следует использовать соответствующую метку классификации (при выводе).
    Для каждой классификации следует определять процедуры маркировки, учитывающие следующие типы обработки информации:
•     копирование;
•     хранение;
•     передачу по почте, факсом и электронной почтой;
•     передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
•     уничтожение.
    Сюда также следует включить процедуры последовательности заботы о сохранности информации и регистрации любого значимого события в системе защиты.
    Объекты маркировки: напечатанные отчеты, экранные устройства отображения, записанные носители (например, ленты, диски, компакт-диски), электронные сообщения и передачи файлов.
   
    Маркировка и защищенное обращение с важной информацией является ключевым требованием для мероприятий по совместному использованию информации.
    Соглашения с другими организациями, которые включают совместное использование информации, должны включать процедуры для идентификации классификации этой информации и для интерпретации классификационных этикеток других организаций.
    Физические метки являются, в общем случае, наиболее подходящей формой маркировки.
    Однако некоторые информационные активы, такие как документы в электронной форме, физически не могут быть промаркированы, и поэтому необходимо использовать электронные аналоги маркировки. Например, уведомляющая маркировка может появляться на экране или на устройстве отображения. Если маркировка не осуществима, то можно применить другие средства определения классификации, например, посредством процедур или метаданных.
    5.3. База данных
    Всю совокупность записей о деятельности какого-либо предприятия можно назвать базой данных этого предприятия.
    База данных (БД) – именованная совокупность данных, отражающая состояние объектов и их отношений в рассматриваемой предметной области. База данных – это ориентированное на пользователя непрограммиста множество взаимосвязанных данных, структурированных таким образом, что достигается их минимальная избыточность и максимальная независимость от прикладных программ.
    Информация, хранимая с помощью специализированного программного обеспечения в базе данных (БД) имеет целый ряд преимуществ перед аналогичной информацией, хранимой в голове человека («забыл», заболел, уволился) или в бумажном виде – очевидна. Информация в БД легко позволяет отслеживать динамику состояния техники.
    Также подобная информация удобна для формирования отчетов по технике в различных разрезах (сколько в организации устаревших компьютеров, требующих замены, каковы ежемесячные расходы на расходные материалы, кто больше всех расходует картриджи и пр.). Анализ подобных отчетов позволяет руководству ИТ-подразделений оптимизировать затраты на приобретение, ремонт и обслуживание техники, рационально распределять нагрузку на принтеры и МФУ (МФУ – многофункциональное устройство, которое совмещает в себе сразу принтер, сканер, копировальный аппарат, иногда и факс).