Управление информацией

Евгений
Безгодов

Исполнительный директор компании Deiteriy

Инвентаризация информационных активов – чья это задача?

Одним из первых и наиболее важных шагов на пути к обеспечению информационной безопасности является выполнение инвентаризации информационных активов, а также идентификация и оптимизация потоков передачи информации и мест и способов ее хранения и обработки. Действительно, перед тем как приступить к защите, нужно понять, что защищать. Поэтому логично предположить, что в организации эти задачи должны выполняться именно подразделением, ответственным за защиту информации. Однако давайте проверим, насколько оптимально такое решение.

Обратимся к сравнению обеспечения информационной безопасности с обеспечением безопасности материальных ценностей, инвентаризацию которых производит отнюдь не подразделение, ответственное за физическую безопасность. Этим обычно занимается бухгалтерия. Сделано это неспроста – охранное подразделение не должно само ставить себе задачу, определяя перечень объектов, подлежащих защите. Теперь посмотрим, как обстоят дела с выполнением инвентаризации информации на практике. Для этого есть достаточное количество примеров, в том числе благодаря тому, что соответствующие требования содержатся в наиболее актуальных на данный момент стандартах информационной безопасности. Мы говорим о классическом активо-ориентированном подходе к анализу информационных рисков, поскольку иные подходы, а именно инциденто- и процессоориентированный, встречаются в российской практике пока еще крайне редко. Активо-ориентированный подход предполагает наличие в той или иной степени детализированного перечня информационных активов, формируемого в процессе их инвентаризации.

Немного статистики

Собранная нами в ходе аудитов статистика показывает, что выполнение инвентаризации информационных активов нередко вызывает затруднения у специалистов по информационной безопасности. Эффективно работающий на практике реестр информационных активов представляет собой перечень видов информации, присутствующей в организации, то есть хранимой, обрабатываемой и передаваемой ее информационными системами и сотрудниками. Каждое наименование в перечне должно отвечать на вопрос: "Информация о чем?". Например, "Информация о планируемых сделках", "Информация о применяемых технологиях     производства",

"Персональные данные клиентов" и т.д. При этом любая информация, присутствующая в организации, независимо от ее формы, местонахождения, степени конфиденциальности и других параметров, должна обязательно попадать под определение одного или нескольких наименований в перечне информационных активов.

Для создания такого перечня необходимо плотное сотрудничество с представителями всех направлений деятельности организации и серьезная аналитическая работа. Детализация перечня и количество позиций в нем зависят от размеров и потребностей организации. Существуют различные способы получения и представления таких перечней, выбираемые в зависимости от уровня зрелости процесса инвентаризации информационных активов. На начальном этапе подойдет обычный плоский список, а для более зрелых организаций удобнее будет использовать древовидный классификатор. Для крупных, территориально распределенных компаний, объем обрабатываемых данных в которых колоссален, применимо датацентричное представление структуры информационных  активов.  Способ  такого представления информации описан в стандарте ISO 15926, разработанном для интеграции информационных потоков сложных бизнес-процессов, например таких, как добыча и переработка нефти.

Возможности по применению реестра информационных активов достаточно широки. В рамках обеспечения информационной безопасности его можно применять для выполнения анализа рисков и управления правами доступа. Кроме того, он может применяться при проектировании информационных систем, анализе и оптимизации бизнес-процессов, организации поиска необходимой информации.

Однако в большинстве проаудированных нами организаций на момент начала работ такой реестр либо отсутствовал, либо не был актуален и присутствовал лишь "для галочки". Кроме того, в перечне часто перемешиваются такие понятия, как информация, содержащие ее документы, обрабатывающие ее системы и серверы и даже помещения архивов. Вследствие допущения такого смешения понятий создаваемые перечни не могут эффективно применяться на практике и воспринимаются сотрудниками организации как очередная бюрократическая повинность.

К счастью, встречаются примеры качественного исполнения инвентаризации, доказывающие свою высокую эффективность.

Финансами управляет финдиректор, а информацией?

В мире есть множество направлений деятельности, связанных с информацией. В рамках информационных технологий анализируются способы хранения, обработки и передачи информации, которые впоследствии могут быть частично или полностью автоматизированы. Для планирования затрат на рекламу производится изучение способов доведения необходимой информации до целевой аудитории. В целях информационного обеспечения бизнеса и проведения маркетинговых исследований осуществляется отбор и классификация источников информации, а сама информация оценивается по степени ее достоверности и актуальности. Вопросы анализа оборота информации с целью обеспечения информационной безопасности мы уже рассмотрели. Многие подразделения организации при решении своих прикладных задач выполняют различные действия, связанные с информацией.

Логичным будет предположение, что все эти "информационные вопросы" стоит объединить в отдельное направление – управление информацией, предоставляющее результаты своей деятельности нуждающимся в них подразделениям организации и внешним субъектам. Это позволило бы придать процессу анализа оборота информации и управления им большую системность, а также избавиться от дублирования многих функций и сократить затраты.

Возвращаясь к примеру с инвентаризацией материальных ценностей, можно сказать, что обязанности по инвентаризации информационных активов стоит возложить на подразделение, выполняющее функции управления информационными активами. Теперь нужно понять, что это за подразделение, и как следует организовать его работу.

Комментарий эксперта

Валерий Конявский

д.т.н., член научного совета при Совете Безопасности РФ, научный руководитель ФГУП ВНИИПВТИ

Постановка вопроса авторами крайне актуальна. Действительно, информация стремительно становится сырьем, которое обрабатывается информационными системами, исполняющими информационные технологии. В результате такой обработки из информационного сырья, материалов получаются информационные продукты. Если материалы были качественные, а технологии не нарушались – получаются хорошие информационные продукты, приобретающие в силу использования правильных технологий статус документа, в данном случае электронного документа. При использовании плохих технологий получается спам.

Как в материальном мире технология – это последовательность операций обработки материала, так и в виртуальности – только операции информационные, а материал – сообщения в электронном виде, отражающие информацию о реальном мире. Технологию производства на заводе иногда нарушают – тогда   получается   не   товар,   а   брак.   Можно   нарушить и информационную технологию – тоже ничего хорошего не получится.

Но технологию можно сделать такой, чтобы брак выпустить было невозможно. Может быть такой и информационная технология. В этом случае информационная технология обладает замечательным свойством сохранять последовательность операций, и ее можно назвать защищенной информационной технологией.

Информационное общество – это общество, в ВВП которого доля информационного производства (производства информационного продукта – электронных документов) заметна (то есть составляет по крайней мере 10–15%). Начиная строить информационное общество, мы должны ясно понимать, что является результатом этой деятельности, а что нет. Документооборот – да, услуги в электронном виде – да, торговля ксероксами – нет. Это другой срез общественных и экономических отношений, он касается не производства, а торговли, и его изучает традиционная экономика и статистика.

Впервые аналогию между материальным производством и производством информационным заметил и описал примерно 10 лет назад доктор технических наук Герман Тимофеевич Артамонов. Как видим, зерна дали всходы, и задумываться над этим феноменом начинает широкая научная общественность.

Я очень доволен началом обсуждения этого вопроса и буду ждать продолжения с нетерпением.