Современные компании динамично развиваются и изменяются, создают новые информационные системы, оптимизируют и перестраивают процессы обработки информации и информационную инфраструктуру. При этом необходимо учитывать, что информация – один из ценных бизнес-активов и, как и другие активы, подлежит учету и оценке.

Кроме того, результаты идентификации информационных активов – это важные данные, необходимые при решении таких задач ИБ, как

  • моделирование угроз и оценка рисков ИБ;
  • управление и контроль прав доступа к информационным ресурсам;
  • управление инцидентами ИБ;
  • аудит, оценка соответствия и аттестация.

Идентификация информационных активов требуется как при создании и изменении информационных систем и бизнес-процессов, так и в плановом порядке с целью контроля актуальности. Для создания или модернизации информационных систем часто привлекаются внешние компании-интеграторы. Соответственно, идентификация и описание информационных активов осуществляется в рамках соответствующих проектов. Плановая идентификация информационных активов для собственных подразделений компании заказчика –  достаточно сложная и трудоемкая задача, связанная с большим объемом работ и особенностями информации как актива (многообразие форм и способов существования, слабо выраженные идентификационные признаки, скрытность обработки).  В условиях ограниченных ресурсов и времени решение данной задачи собственными силами зачастую является нерациональным, и необходимо привлечение внешних экспертов, имеющих практику выполнения подобных задач.

Накопленный опыт и экспертиза применения лучших практик и нормативных требований по защите информация позволили СТЭП ЛОДЖИК выработать собственный гибкий и эффективный подход к идентификации информационных активов. Данный подход, исходя из потребностей и желаемого результата заказчика, может включать в себя

  • привязку активов к конечным продуктам и технологическим/бизнес процессам;
  • описание действий с информацией в рамках бизнес-процесса;
  • визуализацию собранных данных (Data Flow Diagrams (DFD), Business Process Model and Notation (BPMN), ARIS Business Process, IDEF);
  • классификацию активов по ценности информации и нормативным требованиям к её обработке;
  • идентификацию информационных ресурсов и участников обработки информации.

Работы в данной области включают в себя

1. Сбор исходных данных и определение области работ.

2. Опрос участников бизнес-процессов, владельцев информационных активов и операторов информационных ресурсов.

3. Разработка отчетных документов.