ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002
7.1 Ответственность за активы
Цель: Обеспечить соответствующую защиту активов организации. Все активы должны быть учтены и должны иметь назначенного владельца. Необходимо определять владельцев для всех активов, и следует определять ответственного за поддержку соответствующих мер и средств контроля и управления. Реализация определенных мер и средств контроля и управления при необходимости может быть делегирована владельцем, но владелец остается ответственным за надлежащую защиту активов. |
7.1.1 Инвентаризация активов
Мера и средство контроля и управления
Все активы должны быть четко определены, должна составляться и поддерживаться опись всех важных активов.
Рекомендация по реализации
Организация должна идентифицировать все активы и документально оформлять значимость этих активов. Опись активов должна содержать всю информацию, необходимую для восстановления после бедствия, включая тип актива, формат, местоположение, информацию о резервных копиях, информацию о лицензировании и ценности для бизнеса. Опись не должна без необходимости дублировать другие описи, но следует обеспечивать уверенность в том, что ее содержание выверено.
Кроме того, владение (см. 7.1.2) и классификация информации (см. 7.2) должны быть согласованы и документально оформлены в отношении каждого актива. Основываясь на важности актива, его ценности для бизнеса и его категории секретности, должны быть определены уровни защиты, соответствующие значимости активов (более подробную информацию о том, как оценивать активы, чтобы учесть их важность, можно найти в ИСО/МЭК 27005).
Рекомендация по реализации, характерная для телекоммуникаций
При разработке и поддержке описи активов должны быть точно определены и документально оформлены четкие обязанности в отношении собственных телекоммуникационных средств организации и средств других связанных или дочерних телекоммуникационных организаций.
Список активов должен быть всеобъемлющим и охватывать все имеющие ценность телекоммуникационные активы, включая информационные активы для сетевого оборудования, сетевых услуг и прикладных программ.
Дополнительные источники можно найти в "Библиографии".
Дополнительная информация
Существует много типов активов, включающих:
a) информацию - базы данных и файлы данных, договоры и соглашения, системная документация, исследовательская информация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки, планы непрерывности бизнеса, меры по переходу на аварийный режим, контрольные записи и архивированная информация;
b) программные активы - прикладные программные средства, системные программные средства, средства разработки и утилиты;
c) физические активы - компьютерное оборудование, средства связи, съемные носители информации и другое оборудование;
d) услуги - вычислительные услуги и услуги связи, основные поддерживающие услуги, например отопление, освещение, электроэнергия и кондиционирование воздуха;
e) персонал, его квалификация, навыки и опыт;
f) нематериальные ценности, например репутация и имидж организации.
Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены, данные описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые (менеджмент активов) вопросы. Процесс инвентаризации активов - важное условие для менеджмента рисков.
Дополнительная информация для телекоммуникаций
Активы, относящиеся к телекоммуникационным организациям, включают много типов активов, таких как:
a) информация - данные о соединении, данные таблиц маршрутизации, информация об абонентах, данные "черного списка", информация о зарегистрированных услугах, эксплуатационная информация, информация о неисправностях, конфигурационная информация, информация о клиентах, платежная информация, шаблоны клиентских запросов, географическое местонахождение клиентов, статистические данные о трафиках, договоры и соглашения, системная документация, исследовательская информация, руководства пользователя, учебные материалы, методики эксплуатации или поддержки, планы обеспечения непрерывности бизнеса, мероприятия восстановления в плане действий в чрезвычайных ситуациях, записи аудита и архивированная информация;
b) программные активы - программные средства управления связью, программные средства менеджмента операций, программные средства управления информацией об абонентах, платежные программные средства, прикладные программные средства, системные программные средства, инструментальные средства разработки и утилиты;
c) физические активы - коммутаторы, кабели, терминальное оборудование, компьютерное оборудование (например, серверы и персональные компьютеры/рабочие станции), сменные носители данных и другое оборудование;
d) услуги - услуги стационарной телефонной связи, услуги мобильной телефонной связи, услуги асимметричной цифровой абонентской линии/оптической абонентской линии, услуги выделенной/коммутируемой линии, услуги подключения к Интернету, услуги информационного центра, услуги кабельного телевидения, услуги предоставления контента, услуги по аренде прикладных программ и клиентские услуги, включая платежные услуги и услуги центра обработки вызовов;