ГОСТ Р ИСО/МЭК 27005—2010
Приложение В
(справочное)
Определение и установление ценности активов и оценка влияния
В.1 Примеры определения активов
Для установления ценности активов организация должна в первую очередь определить все свои активы на
соответствующем уровне детализации. Могут различаться два вида активов:
- основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию:
- вспомогательные (поддерживающие) активы, от которых зависят основные составные части области при
менения всех типов, включающие аппаратные средства, программное обеспечение. сеть, персонал, место фун
кционирования организации, структуру организации.
В.1.1 Определение основных активов
Данная деятельность заключается в определении основных активов (бизнес-процессы и бизнес-деятель
ность. информация). Таков определение осуществляется сотрудниками совместной рабочей группы, участвующи
ми в процессе (руководители, специалисты в сфере информационных систем и пользователи).
Основными активами обычно являются базовые процессы и информация о деятельности организации в ее
сфере действия. Могут рассматриваться также идругие основные активы, такие, как процессы жизнедеятельнос ти
организации, которые будут иметь отношение к формированию политики ИБ или плана непрерывности бизне са. В
зависимости от цепи, иногда не требуется исчерпывающий анализ всех элементов, входящих в процесс
менеджмента риска. В таких случаях рамки изучения могут быть ограничены наиболее значимыми элементами.
Основные активы бывают двух типов.
1 Бизнес-процессы (или подпроцессы) и бизнес-деятельность, например:
- процессы, утрата или ухудшение которых делает невозможным реализацию целей и задач организации;
- процессы, содержащие засекреченные процессы или процессы, созданные с использованием патенто
ванной технологии;
- процессы, модификация которых может значительно повлиять на реализацию целей и задач организа
ции;
- процессы, которые необходимы организации для выполнения договорных, законодательных или норма
тивных требований.
2 Информация. В общем основная информация включает в себя:
- информацию, необходимую для реализации назначения или бизнеса организации;
- информацию личного характера, которая определена особым образом, соответствующим национальным
законам о неприкосновенности частной жизни:
- стратегическую информацию, необходимую для достижения целей, определяемых направлением стра
тегии организации;
- ценную информацию, сбор, хранение, обработка и передача которой требуют продолжительного времени
и/или связаны с большими затратами на ее приобретение.
Процессы и информация, которые не были определены как чувствительные относительно данной деятель
ности, не будут иметь определенной классификации в оставшейся части исследования. Это означает, что если
такие процессы или информация будут скомпрометированы, организация по-прежнему будет успешно осуществ
лять свое назначение. Тем не менее они часто наследуют меры и средства контроля и управления, реализуемые
для защиты процессов и информации, определенных как чувствительные.
В.1.2 Перечень и описание вспомогательных активов
Сфера рассмотрения включает активы, которые должны быть определены и описаны. Этим активам прису
щи уязвимости, которые могут быть использованы угрозами, нацеленными на порчу основных активов сферы
рассмотрения (процессов и информации). Они могут быть различных типов.
Аппаратные средства
Тип «аппаратные средства» включает все физические элементы, поддерживающие процессы.
Аппаратура обработки данных (активная). Аппаратура автоматизированной обработки информации состо
ит из элементов, необходимых для независимой работы.
Мобильная аппаратура. Портативная вычислительная техника.
П р и м е р — Портативный компьютер (ноутбук), карманный компьютер.
Стационарная аппаратура. Вычислительная техника, используемая в помещениях организации.
П р и м е р — Сервер, микрокомпьютер, используемый в качестве рабочей станции.
25