ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
7.1 Ответственность за активы
Цель: Обеспечить соответствующую защиту активов организации. Все активы должны учитываться и иметь назначенного владельца. Необходимо определять владельцев всех активов, и следует определять ответственного за поддержку соответствующих мер и средств контроля и управления. Реализация определенных мер и средств контроля и управления при необходимости может быть делегирована владельцем, но владелец остается ответственным за надлежащую защиту активов. |
7.1.1 Инвентаризация активов
Мера и средство контроля и управления
Все активы должны быть четко определены, должна составляться и поддерживаться опись всех важных активов.
Рекомендация по реализации
Организации следует идентифицировать все активы и документально оформлять значимость этих активов. В опись активов следует включить всю информацию, необходимую для восстановления после бедствия, в том числе тип актива, формат, местоположение, информацию о резервных копиях, информацию о лицензировании и ценности для бизнеса. Опись не должна без необходимости дублировать другие описи, но следует обеспечивать уверенность в том, что ее содержание выверено.
Кроме того, владение (см. 7.1.2) и классификация информации (см. 7.2) должны быть согласованы и документально оформлены в отношении каждого актива. Основываясь на важности актива, его ценности для бизнеса и его категории секретности, надлежит определить уровни защиты, соответствующие значимости активов (более подробную информацию о том, как оценивать активы, чтобы учесть их важность, можно найти в ИСО/МЭК 27005).
Дополнительная информация
Существует много типов активов, включающих:
a) информацию: базы данных и файлы данных, договоры и соглашения, системная документация, исследовательская информация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки, планы непрерывности бизнеса, меры по переходу на аварийный режим, контрольные записи и архивированная информация;
b) программные активы: прикладные программные средства, системные программные средства, средства разработки и утилиты;
c) физические активы: компьютерное оборудование, средства связи, съемные носители информации и другое оборудование;
d) услуги: вычислительные услуги и услуги связи, основные поддерживающие услуги, например отопление, освещение, электроэнергия и кондиционирование воздуха;
e) персонал, его квалификация, навыки и опыт;
f) нематериальные ценности, например репутация и имидж организации.
Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены, данные описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые (менеджмент активов) вопросы. Процесс инвентаризации активов - важное условие для менеджмента риска.
7.1.2 Владение активами
Мера и средство контроля и управления
Вся информация и активы, связанные со средствами обработки информации должны находиться во владении определенной части организации.
_______________
Термином "владелец" определяется физическое или юридическое лицо, которое наделено административной ответственностью за руководство изготовлением, разработкой, хранением, использованием и безопасностью активов. Термин "владелец" не означает, что данный человек фактически имеет право собственности на этот актив.
Рекомендация по реализации
Владелец актива должен нести ответственность за:
а) обеспечение уверенности в том, что информация и активы, связанные со средствами обработки информации, классифицированы соответствующим образом;
b) определение и периодический пересмотр ограничений и классификаций доступа, принимая в расчет применимые политики управления доступом.
Владение может распространяться на: