Пример идентификация и оценка информационных активов банка. Анализ рисков информационной безопасности. О конфиденциальных данных

Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения её сохранности (рис. 5).

Рис. 5. Взаимосвязь процессов управления и защиты в организации

Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется её обработка.

В условиях крупной современной организации количество информационных активов должна быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).

Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация воспринимается как один из типов ресурсов. Задача несколько упрощается, в случае если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.

Ворганизационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.

Рис.1 Организационно-функциональная структура предприятия

1.2. Анализ рисков информационной безопасности.

Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).

Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск

Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.

Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.

Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.

Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:

кто принимает решение о проведении анализа рисков?

кто проводит анализ рисков, с какой периодичностью?

в какой форме представлена оценка рисков?

если данный анализ не проводится, то по каким причинам?

1.2.1. Идентификация и оценка информационных активов

Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:

информация/данные (например, файлы, содержащие информацию о платежах или продукте);

аппаратные средства (например, компьютеры, принтеры);

программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);

оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);

программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);

документы (например, контракты);

фонды (например, в банковских автоматах);

продукция организации;

услуги (например, информационные, вычислительные услуги);

конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);

Оборудование, обеспечивающее необходимые условия работы;

Персонал организации;

Престиж (имидж) организации.

В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.

Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоятьцелостность данных. Режимная организация в первую очередь будет заботиться оконфиденциальности информации, то есть о ее защите от несанкционированного доступа.

Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.

Пункт должен содержать:

а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.

б) перечень видов деятельности организации (определенных в п.1.1.1), а такженаименование и краткое описание используемых (создаваемых) информационных активов для каждого вида,форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);

в) перечень владельцев активов , определенных в п.п(б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;

г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.

Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.

Ответственность за определение ценности активов должны нести их владельцы.

Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.

Необходимо определить критерии определения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:

первоначальная стоимость актива,

стоимость его обновления или воссоздания.

ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов предполагает учет возможных затрат, вследствие

утраты конфиденциальности;

нарушения целостности;

утраты доступности.

Необходимо определить размерность оценки , которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.

Например, для количественной шкалы используется размерность тыс. рублей . Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".

Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.

Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.

Информация по подпунктам б-г должна быть сведена в таблицу 2

Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Количественная оценка (ед.изм)	Качественная
Информационные активы


Активы программного обеспечения


Физические активы

Таблица 2

Оценка информационных активов предприятия

В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться

д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.

Таблица 3

Перечень

сведений конфиденциального характера ООО «Информ-Альянс»

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.
	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.		Гражданский кодекс РФ ст.ХХ
	Персональные данные сотрудников		Федеральный закон ХХ-ФЗ

е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.

Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.

Таблица 4

Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
Информационный актив №1
Физический актив № 3

Информационный актив №3
Актив программного обеспечения №2
Физический актив №4

Активы, имеющие наибольшую ценность:

Управление информационной безопасностью - крайне важная задача для любой организации. Менеджмент должен видеть и понимать нужды организаций в информационном обеспечении, решать существующие информационные проблемы. Конечно же, в какой-то мере каждая организация уже работает над обеспечением информационной безопасности, однако этого недостаточно.

Во всеобщем понимании информационная безопасность связана с ограничением доступа третьих лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью. Мировые корпорации решают гораздо больший комплекс проблем, связанный с информационной безопасностью. Их работа над безопасностью экономит средства предприятия, как в процессе работы, так и за счет нейтрализации неприятных последствий.

Информационная безопасность ни в коем случае не должна ассоциироваться с параноидальным желанием спрятать, закрыть и удалить коммерческую информацию. Т.к. при таком подходе благие намерения по защите информации приведут как минимум к потере доступности многих информационных ресурсов, что может привести к гораздо более тяжелым финансовым последствиям, чем их утечка. Всегда нужно помнить о разумном равновесии, обеспечивая одновременно все три свойства – конфиденциальность, целостность, доступность. При этом, всегда нужно понимать единственно правильную цель работы предприятия. Эта цель не может быть рассмотрена в плоскости лучшей оснащенности оборудованием или высокой компетентности персонала. Единственная цель предприятия – получение финансовых выгод. Исключение могут составлять благотворительные и подобные им организации.

Рассмотрим основные понятия современного подхода к информационной безопасности.

Основным объектом информационной безопасности является Информационный актив

Что такое Информационный актив?

Это материальный или нематериальный объект, который:

является информацией или содержит информацию;
служит для обработки, хранения или передачи информации;
имеет ценность для организации.

Информационные активы обладают основными свойствами финансовых и материальных активов предприятия: стоимость, ценность для организации, возможность накопления, возможность трансформации в другие активы. Зачастую ценность информационного актива предприятия превосходит ценность всех финансовых. Примером такого актива является имидж предприятия.

Сегодняшние реалии таковы, что и финансовые, и материальные, и информационные активы нуждаются в защите. Надежная защита информационных активов существенна для работы предприятия. Поэтому несоответствующий уровень защиты – часто недооцененный фактор риска, который может стать угрозой для существования.

Внедрение управления информационной безопасностью имеет ряд преимуществ, среди которых можно выделить следующие:

понятность информационных активов для менеджмента компании;
результативное выполнение политики безопасности;
регулярное выявление угроз и уязвимостей для существующих бизнес-процессов;
эффективное управление предприятием в критических ситуациях;
снижение и оптимизация стоимости поддержки системы безопасности.

Чтобы достичь уровня информационной безопасности, который удовлетворяет потребностям организаций, необходима четкая и слаженная система, для построения которой можно обратиться к следующим источникам:

International Standard. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation criteria for IT security
International Standard. ISO/IEC 18028-4. Information technology - Security techniques - IT network security
Payment Card Industry Data Security Standard (PCI DSS)
NIST Information security standards
и др.

Для финансовых компаний риски информационной безопасности являются, пожалуй, наиболее критичными из всего многообразия операционных рисков. От того, насколько эффективно банки, страховые и инвестиционные компании и другие организации финансового сектора управляют этими рисками, зависит их конкурентоспособность и капитализация. Существует множество подходов к обеспечению информационной безопасности. Часть из них отражена в различных международных, национальных и отраслевых стандартах, в частности, в стандарте ISO 27001:2005, на основе которого была построена система управления рисками информационной безопасности в «Банке24.ру». Методология внедрения системы была разработана сотрудниками банка совместно со специалистами консалтинговой компании «Траектория роста».

В ее основе лежат четыре основных принципа:

Для эффективного обеспечения информационной безопасности требуются системные решения;
Система менеджмента информационной безопасности должна быть основана на подходах современного риск-менеджмента;
Система менеджмента информационной безопасности должна быть интегрирована в общую систему управления операционным риском организации;
Для обеспечения информационной безопасности необходимо формирование соответствующей корпоративной культуры.

Стандарт ISO 27001:2005 «Требования к системе менеджмента информационной безопасности» был опубликован Международной организацией по стандартизации в ноябре 2005 года и сейчас активно внедряется в организациях по всему миру. 1 В апреле 2007 года Банк24.ру стал первым российским банком, успешно прошедшим сертификацию на соответствие требованиям этого стандарта.

По результатам исследования IT Governance Institute , объявление об инциденте информационной безопасности негативно влияет на рыночную стоимость компании. Организации, в которых произошел инцидент информационной безопасности, в среднем потеряли 2,1% рыночной стоимости в течение двух дней после объявления – около $1,65 млрд. на один инцидент.

Зачастую информационная безопасность ассоциируется в первую очередь с защитой от вирусов и хакеров, однако деятельность по ее обеспечению значительно шире. Она подразумевает систематическую защиту всех информационных активов компании. Под определение информационного актива, согласно ISO 27001:2005, подпадает все, что так или иначе связано с информацией и имеет ценность для организации – документы, серверы, компьютеры, программное обеспечение, базы данных, сотрудники и т.д. Естественно, найти в банке бизнес-процесс, который так или иначе не был бы связан с информационными активами, сложно.

Любой информационный актив обладает как минимум тремя нуждающимися в защите свойствами, сохранение соответствия которых заданным значениям и определяет уровень информационной безопасности. Это конфиденциальность, целостность и доступность (рис.1). Информационная безопасность – это сохранение всех свойств актива.

Рис. 1 Свойства информационных активов

Сохранение свойства конфиденциальности подразумевает, что, например, к информации о банковских счетах клиентов будут иметь доступ только сотрудники, получившие соответствующую авторизацию, и эта информация не будет разглашена.

Если же вдруг из-за сбоя в работе базы данных у клиента на счете вместо тысячи рублей окажется миллион (или наоборот), это будет ярким примером нарушения свойства целостности информационного актива.

Если же информация из базы никуда не ушла, сохранена целостность данных, однако сведения недоступны, – это нарушение третьего свойства, которое определяет нашу возможность воспользоваться информационным активом, когда это необходимо.

Эффективный менеджмент информационной безопасности не может быть «точечным». Подобное несистемное управление информационной безопасностью чаще всего приводит к тому, что проблемы возникают совсем не там, где их ожидали.

Риск-ориентированный подход к обеспечению информационной безопасности

Не зная рисков информационной безопасности и не управляя ими, очень сложно оценить адекватность мер защиты. А это очень важно, поскольку:

безопасность, безусловно, необходима, однако ее меры зачастую тормозят бизнес;
у проектов по обеспечению безопасности очень сложно посчитать ROI или NPV.

К примеру, ни один аэропорт в мире с точки зрения эффективности бизнеса не заинтересован во внедрении мер обеспечения безопасности: досмотр пассажиров уменьшает пропускную способность, а специальное оборудование стоит дорого. Но при этом очевидно, что безопасность, во-первых, необходима, во-вторых, должна быть не больше и не меньше, чем это на самом деле требуется.

Единственный способ определить адекватность мер информационной безопасности – принимать решения об их внедрении на основе анализа рисков. Необходимо идентифицировать риски, реализация которых может повлечь наиболее тяжелые последствия, и рассматривать меры обеспечения информационной безопасности как стратегию управления этими рисками.

Почему был выбран стандарт ISO 27001:2005

Риски информационной безопасности – это операционные риски. Поэтому совершенно естественно, что система управления информационной безопасностью, а это, по сути, система управления рисками информационной безопасности, должна быть интегрирована в общую систему управления операционным риском.

В «Банке24.ру» система управления операционным риском основана на подходах, определенных в международном стандарте ISO 9001:2000 (в 2003 году «Банк24.ру» стал первым российским банком, успешно прошедшим сертификацию на соответствие ISO 9001:2000).

Возможность интеграции системы управления информационной безопасностью в общую систему управления операционным риском была одним из немаловажных факторов, повлиявших на то, что в качестве основы для построения системы был выбран стандарт ISO 27001:2005.

Решение ISO 27001:2005 было выбрано «Банком24.ру», поскольку оно позволяет реализовать четыре основных принципа, перечисленных в начале статьи. Помимо того, что ISO 27001:2005 – это система, которая интегрируется в общую систему управления операционным риском (первый и третий принципы), она основана на подходах современного риск-менеджмента, а также позволяет сформировать корпоративную культуру, необходимую для обеспечения информационной безопасности (второй и четвертый принципы). Еще одно немаловажное достоинство ISO 27001:2005 – это возможность использовать инструменты аккредитованной сертификации на соответствие международным стандартам, благодаря чему компания может получить дополнительную экспертизу и независимую оценку системы, подтверждаемую международным сертификатом от признанного сертифицирующего органа.

Как на практике работает система менеджмента информационной безопасности ISO 27001:2005

Для того чтобы понять, как работает на практике система менеджмента информационной безопасности, необходимо, в первую очередь, представить себе более общую систему – систему управления операционным риском. Система управления операционным риском «Банка24.ру» основана на ISO 9001:2000. Это задает общий формат управления бизнес-процессами банка и помимо прочего определяет общую процедуру управления операционным риском. В банке разработана процедура, в которой определены методы:

идентификации операционного риска;
проведения оценки риска;
формирования рабочей группы;
определения уязвимостей и причин риска;
определения стратегий управления риском (на языке ISO 9001 – это «корректирующие и предупреждающие действия»);
внедрения стратегий управления риском;
оценки результативности внедренных стратегий управления риском.

Как известно, названия функций процесса управления риском (идентификация – оценка – определение и внедрение стратегии управления – оценка действий) мало зависят от типа рисков. Специфика заключается в том, как реализовать эти функции применительно к тому или иному виду рисков. Идентификация операционных рисков может проходить по-разному. В «Банке24.ру» информация об операционных рисках (их идентификация) поступает из трех основных источников:

наблюдения сотрудников – каждый сотрудник может зарегистрировать несоответствие (реализовавшийся риск) или наблюдение (риск) во внутрикорпоративной сети (рис. 2);

Рис. 2 Форма регистрации несоответствия

результаты обратной связи с клиентами – жалоба клиента – это реализовавшийся риск, анализ обратной связи позволяет выявить риски (рис.3);

результаты внутренних аудитов.

Процесс управления операционным риском реализуется в интранете (внутренней компьютерной сети банка) с помощью специальных форм, поля которых отображают типовой процесс управления риском.

Процесс управления риском информационной безопасности незначительно отличается от общего процесса управления риском. Разница заключается в технологии идентификации рисков и в определении стратегий управления ими. ISO 27001:2005 как раз содержит рекомендации о том, каким образом идентифицировать риски информационной безопасности (для этого необходимо внедрить соответствующие процессы, речь о которых пойдет далее) и каким образом их смягчать (для этого необходимо внедрить множество процедур).

Общая логика системы управления операционным риском в соответствии с ISO 27001:2005 показана на рис. 4, из которого видно, что после интеграции системы ISO 27001:2005 операционные риски идентифицируются из четырех источников: «от сотрудников», по результатам анализа обратной связи с клиентом, на основе результатов внутренних аудитов, на основе идентификации рисков информационной безопасности. После того как риски идентифицированы, они проходят через стандартный процесс «отработки» риска (процесс управления риском типичен для всех видов рисков).

Рис 4. Система управления операционным риском

Управление рисками информационной безопасности

С организационной точки зрения процедуры управления рисками информационной безопасности курируются группой координации информационной безопасности, которая включает в себя представителей различных функциональных подразделений и занимается разработкой политик, целей в области информационной безопасности, систематическим анализом работы системы. Для идентификации рисков информационной безопасности в системе ISO 27001:2005 функционируют два процесса: управление информационными активами и управление информационными рисками. Эти два процесса задают общую логику системы (рис. 5).

Рис. 5 Логика системы менеджмента информационной безопасности

Управление информационными активами

Этот процесс дает ответ на вопрос «Что мы защищаем?». Для определения информационных рисков в первую очередь необходим всегда актуальный перечень информационных активов, проранжированных по важности. Для этого в банке разработан процесс «Управление информационными активами» – это одна из ключевых, основополагающих процедур, обеспечивающая функционирование системы. Логика здесь очень проста: поскольку информационные активы – это объекты, к изменению свойств которых приводит реализация рисков информационной безопасности, перечень этих объектов вместе с их свойствами должен быть перед глазами как у сотрудников отдела и группы координации информационной безопасности, так и у собственников бизнеса.

В банке разработан реестр информационных активов – это список, в котором отражены уровни конфиденциальности, целостности и доступности каждого актива и получающийся из них общий уровень критичности актива. Наряду с этим для каждого актива в реестре определен сотрудник (или подразделение), несущий ответственность за этот актив (то есть владелец информационного актива), и сотрудники (подразделения), которые этим активом пользуются. Процесс управления информационными активами – это процесс актуализации реестра. В общем виде он представлен в табл. 1.

Таблица 1 Реестр информационных активов

Управление информационными рисками

После получения ответа на вопрос «Что мы защищаем?» необходимо понять «От чего мы защищаем?». Для этого в системе функционирует процесс «Управление информационными рисками». По каждому информационному активу систематически определяются информационные риски, причем применяется как регулярная, системная, так и спонтанная идентификация рисков (когда любой сотрудник, который видит риск, может его зарегистрировать). Систематическая идентификация рисков информационной безопасности проходит в банке регулярно под эгидой отдела информационной безопасности. «Под эгидой» означает, что риски активов определяют их владельцы, а группируют и обрабатывают информацию сотрудники отдела информационной безопасности. Они же проводят количественную оценку и анализ рисков и в результате получают проранжированный перечень рисков, по каждому из которых (совместно с владельцами информационных активов) определяют стратегии управления. Отчет о рисках рассматривается группой координации информационной безопасности. Основная роль данной группы заключается в выделении ресурсов, необходимых для внедрения процедур, помогающих смягчить риски.

Внедрение мер управления рисками

Поняв, от чего мы защищаем активы, можно перейти к определению адекватных мер защиты – к внедрению стратегий управления рисками, которые определяются на основе анализа рисков. Действия по смягчению информационных рисков внедряются в практику точно так же, как и любые другие стратегии управления операционными рисками, – через общий механизм.

В большинстве случаев смягчение рисков информационной безопасности подразумевает внедрение процедур: например, для смягчения риска несанкционированного доступа внедряется процедура «управление правами доступа пользователей». В приложении А к стандарту ISO 27001:2005 приведен перечень контролей – процедур, которые должны быть внедрены в организации для систематического смягчения рисков информационной безопасности. Это типовые методы смягчения некоторых рисков. Если организация соответствующие риски не принимает, то эти процедуры обязательны к внедрению. Без детализации перечень процедур выглядит следующим образом:

организация информационной безопасности;
обеспечение безопасности персонала;
обеспечение физической безопасности;
операционный менеджмент;
управление правами доступа;
управление инцидентами информационной безопасности;
приобретение, разработка и поддержка информационных систем;
управление непрерывностью бизнеса;
обеспечение соответствия законодательным требованиям.

Результат процесса управления рисками информационной безопасности можно свести в таблицу (табл. 2).

Таблица 2. Результаты процесса управления рисками

Если для управления риском в стандарте предусмотрено внедрение процедуры (контроля), в таблице делается ссылка на соответствующий пункт стандарта. Также важно, что при определении стратегии управления риском оценивается остаточный риск – то есть риск после внедрения процедур по его смягчению.

Как и в ситуации с любыми другими рисками, управление рисками информационной безопасности требует инвестиций. В принципе такие риски могут быть приняты высшим руководством (в «Банке24.ру» это председатель координации группы информационной безопасности). В этом случае в реестре рисков делается соответствующая отметка.

Таким образом, по результатам процесса управления рисками в банке был внедрен ряд процедур, направленных на систематическое адекватное обеспечение информационной безопасности. Эти процедуры регулярно оцениваются в ходе внутренних аудитов, что гарантирует их функционирование и задает основу для непрерывного повышения их эффективности.

Сертификация системы

Проект внедрения системы менеджмента информационной безопасности в «Банке24.ру» реализовывался в течение 15 месяцев силами консалтинговой компании и сотрудников отдела информационной безопасности банка. В ходе проекта были идентифицированы тысячи информационных активов, было отработано около 380 рисков. Сегодня действие системы распространяется только на процессы обслуживания клиентов через интернет – услуги, для которых обеспечение информационной безопасности наиболее критично. В дальнейшем система будет распространена на все услуги банка. В проекте было задействовано 18 структурных подразделений банка, которые так или иначе участвовали во внедрении процедур, определенных международным стандартом ISO 27001:2005. Все эти действия были направлены на реальное предотвращение информационных рисков и на внедрение процессов, которые сделают управление информационными рисками системной деятельностью.

Когда стало очевидно, что система менеджмента информационной безопасности созрела для сертификации, в банк были приглашены международные аудиторы для проведения независимой оценки – компания Bureau Veritas Cetrification (BVC). В ходе четырехдневного аудита были проанализированы все процедуры обеспечения информационной безопасности и все процессы, входящие в область сертификации.

В роли главного аудитора выступил сотрудник израильского отделения BVC Ярив Диамант, который выявил несколько слабых мест системы. Такая информация очень важна, поскольку внедрение системы – лишь начало пути ее непрерывного совершенствования, и информация о слабых местах системы необходима для повышения ее эффективности.

Аудит был проведен на высокопрофессиональном уровне – помимо прочего, оценивая обеспечение сохранности конфиденциальной информации, ведущий аудитор потрудился посмотреть, не выкидывают ли сотрудники банка конфиденциальные документы в мусорные корзины. Для этого потребовалось довольно тщательное исследование последних. Со стороны процесс выглядел весьма забавно, но что поделать – в этом хлеб аудитора. Возможно, такая доскональность была навеяна получившим широкую огласку случаем, когда администрация Белого дома выкинула в помойку подробный график перемещения президента Буша во время одной из его поездок, документ, естественно, секретный.

Всего в результате аудита была выявлено около 10 несоответствий, которые затем были зарегистрированы в системе, что означало, что по ним началась работа и что они пройдут стандартный цикл управления риском. В ходе следующего надзорного аудита работа по выявленным несоответствиям будет проанализирована в первую очередь. Внешние аудиты помогают реализовать процесс непрерывного улучшения менеджмента информационной безопасности. Международная сертификация в случаях, когда аудит проводится на высоком профессиональном уровне, служит экспертизой, которая позволяет организации все время быть «в тонусе», а это необходимо для постоянного повышения конкурентоспособности бизнеса.

Внедрение и сертификация системы менеджмента информационной безопасности вовсе не гарантирует избавления компании от рисков. Главным результатом проекта стало не столько выявление конкретных рисков, сколько организация процесса систематического управления рисками информационной безопасности. Это означает, что банк готовится к возможной реализации рисков и внедряет механизмы, которые позволяют смягчить их последствия. Кроме того, за время реализации проекта сотрудники банка осознали важность информационной безопасности и знают, как действовать, если произошел инцидент.

1 Полный перечень организаций, сертифицированных по стандарту, опубликован на сайте

Классификация и виды активов предприятия подразделяются в зависимости от характера владения, формы использования, состава, степени ликвидности и прочим основным признакам. Что представляют собой активы компании? Как отражаются в балансе предприятия? Разберем структуру имущественных ценностей бизнеса с позиции финансового менеджмента – подробная таблица показателей с примерами приведена ниже.

Понятие и классификация активов

Все активы делятся на большие группы, охватывающие как материальные объекты, так и нематериальные. При этом к имуществу предприятия относят не только ТМЦ, основные средства , НМА , но и денежные средства и приравненные к ним, а также финансовые вложения, то есть любые ценности, чья стоимость может быть выражена в денежной оценке. Существует много разновидностей активов, которые отражаются в правой части баланса , уравновешивая общий капитал предприятия (пассив).

Классификация активов:

По скорости оборота – на долгосрочные внеоборотные (со скоростью обращения в финансово-хозяйственной деятельности больше 12 мес.) и краткосрочные оборотные (непрерывно участвуют в деятельности компании).
По степени ликвидности – в зависимости от скорости трансформации актива в свободные денежные средства подразделяются на максимально ликвидные (А1), труднореализуемые (А4) и средние – оперативно реализуемые (А2), а также медленно реализуемые (А3).
По вещественности или материальности – на материальные или реальные активы – это , к примеру, готовая продукция, товары, сырье, топливо и прочие физические ценности. Также в эту группу входят нематериальные объекты (деловая репутация, ПО, товарные знаки и др.) и финансовые (вложения, наличные и безналичные средства, дебиторские обязательства).
По источникам формирования – на общие валовые и чистые . Первые также именуются суммарными совокупными активами – в балансе это итоговый показатель раздела «Активы». Чистые рассчитываются в установленном порядке, исходя из сформированных активов только за счет собственных средств компании. Получение в результате показателя отрицательных активов может являться одним из основных признаков необходимости принудительной ликвидации бизнеса.
По характеру владения – на арендованные, используемые безвозмездно или собственные.
По виду налоговых расчетов – на отложенные активы, учитываемые по сч. 09, и отложенные налоговые обязательства, принимаемые по сч. 77. Понятия применяются теми фирмами, которые используют нормы ПБУ 18/02 в целях законного снижения налогооблагаемой базы по налогу с прибыли.
По степени условности оценочности обязательств – на условные обязательства и условные активы в соответствии с ПБУ 8/2010.
При работе с различными финансовыми инструментами – выделяют базовые активы.
При приобретении основных средств за счет заемных обязательств – используется термин инвестиционный актив, то есть такой имущественный объект, работа с которым требует дополнительного финансирования и длительного времени.
Прочие активы – это те объекты, которые по решению предприятия не представляют для него преимущественной ценности. Такая градация устанавливается каждой компанией самостоятельно в зависимости от отраслевой специфики деятельности, правового статуса, особенностей производства и прочих экономических факторов.

Виды активов – таблица

Для удобства восприятия информации основные виды активов собраны в таблице ниже. Отдельно приведены конкретные примеры в соответствии с упомянутой классификацией.

Таблица активов:

Классификационный признак	Вид актива	Пример актива
По скорости оборота	Внеоборотные Оборотные (мобильные активы в балансе – это раздел II)	Здания, сооружения, оборудование к установке, НМА, транспорт, объекты для передачи по лизинговым сделкам Сырье, топливо, материалы, инструменты, произведенные товары, закупленная продукция, деньги на счетах и в кассе, дебиторка
По ликвидности	А1 – высоколиквидные А2 – быстрореализуемые А3 – медленно реализуемые А4 – труднореализуемые	Денежные средства на банковских счетах и депозитах, наличные в кассе, ценные бумаги Краткосрочные дебиторские обязательства (меньше 12 мес.) Сырье и другие запасы Оборудование, недвижимость, дебиторская задолженность долгосрочного характера (больше 12 мес.)
По материальности	Вещественные Невещественные Финансовые	Реальные или физические активы – это все основные средства, материалы, товары, запасы, сырье и т.д. Патенты, торговые марки и знаки, гудвилл, деловая репутация Денежные резервы в любой валюте, страховые полисы, ценные бумаги, паи, путевые расчетные листки
По правовому характеру владения	Собственные Арендованные Полученные безвозмездно	Все основные активы, приобретенные за средства компании Полученные по договорам аренды Переданные безвозмездно, к примеру, вклады участников в уставник общества
По источникам формирования	Суммарные активы Чистые	Совокупные активы в балансе по строке 1600 Рассчитанные по специальной формуле
По привлечению заемных денег	Инвестиционные активы	Здание, приобретенное за счет кредита банка
По степени важности для предприятия	Прочие активы – это те, которые не играют главной роли в деятельности компании	Оборудование к монтажу и установке, вложения во внеоборотные объекты, расходы будущих периодов

Редкие виды активов:

Проблемные активы – то есть те, которые реализовать крайне трудно по причине различных юридических и финансовых обременений. К примеру, проблемные активы – это имущество под арестом, в залоге; денежные долги компаний, отказывающихся исполнять обязательств; объекты с оспариваемым титулом и пр.
Резервные активы – те, которые находятся в юрисдикции прямого контроля государства. Акции крупных компаний, международные счета в банках, монетарное золото, СДР (специальные права заимствования) и пр., - это все резервные активы.
Информационные активы – невещественные объекты, имеющие важное значение для предприятия. К примеру, информационный актив – это базы данных компании, имидж бизнеса и пр.
Экономические активы – это те объекты, индивидуальное или совместное владение которыми приносит собственникам определенную экономическую выгоду.