Управление информацией

---

Евгений Безгодов, Сергей Шустиков

---

Опыт обеспечения информационной безопасности и проведения аудитов в последние годы показал актуальность таких вопросов, как инвентаризация информационных активов, идентификация и оптимизация потоков передачи информации, а также мест и способов ее хранения и обработки. Работа в этом направлении необходима для эффективного обеспечения информационной безопасности и снижения затрат на информационные технологии в целом.

---

Инвентаризация активов: здания, сооружения, оборудование... информация?

Требования наиболее актуальных на данный момент стандартов информационной безопасности, а также требования регуляторов указывают на необходимость решения вопросов инвентаризации информационных активов. Так, стандарт Банка России требует наличия в коммерческом банке актуального перечня информационных активов, а для подтверждения соответствия требованиям стандарта безопасности индустрии платежных карт PCI DSS требуется наличие схемы, отражающей все потоки данных о держателях карт. Кроме того, требования международных платежных систем регламентируют регулярное выполнение анализа информационных рисков, для которого крайне желательно знать, какая информация подвержена этим рискам.

Выполнение таких мероприятий нередко вызывает затруднения у специалистов по информационной безопасности. Рассмотрим в качестве примера выполнение инвентаризации информационных активов. Реестр информационных активов, который можно эффективно применять на практике, представляет собой перечень всех видов информации, присутствующей в организации, то есть хранимой, обрабатываемой и передаваемой ее информационными системами и сотрудниками. Каждое наименование в этом перечне должно отвечать на один вопрос: «Информация о чем?» Примерами таких наименований могут быть: «Информация о структуре бюджета», «Информация о структуре вычислительной сети», «Персональные данные сотрудников организации» и т.д.

Проверить полноту такого перечня можно следующим образом: любая информация, присутствующая в организации, независимо от ее формы, местонахождения, степени конфиденциальности и других параметров, должна однозначно попадать под определение одного из наименований в перечне информационных активов. Для составления такого перечня необходимо плотное сотрудничество с представителями всех направлений деятельности организации и серьезная аналитическая работа. При этом стоит отметить, что детализация перечня может быть различной в зависимости от размеров и потребностей организации. Он может содержать как пять позиций, так и несколько десятков, а то и сотен.

Способ получения и вид представления такого перечня может быть разным, в зависимости от уровня зрелости процесса инвентаризации информационных активов.

На начальном этапе подойдет обычный плоский список, а для более зрелых структур удобнее будет древовидный классификатор. Стоит упомянуть также о «датацентричном» представлении инвентаризованных информационных активов и о стандарте ISO 15926, который описывает принципы управления такими данными. Разработанный для интеграции информационных потоков сложных бизнес-процессов, таких как добыча и переработка нефти, он вполне подходит для описания информационных активов организации. Однако, на наш взгляд, применение этого подхода в информационной безопасности – дело хоть и не очень далекого, но будущего.

Полученный в том или ином виде перечень можно применять для выполнения анализа рисков и управления правами доступа к данным. Кроме того, он может быть применен не только в рамках деятельности по обеспечению ИБ, но и для проектирования информационных систем, анализа и оптимизации бизнес-процессов, поиска необходимой информации внутри организации. На практике же такой перечень информационных активов – явление достаточно редкое. В большинстве проаудированных нами организаций на момент начала работ он либо отсутствовал, либо был неактуален и присутствовал «для галочки». Распространен также случай, когда в перечне перемешиваются в одну кучу такие понятия, как информация, содержащие ее конкретные документы, серверы и даже помещения архивов. В результате подобного смешения понятий такой перечень не может быть эффективно применен на практике и лежит мертвым грузом, создавая ощущение оторванности от реальности самой идеи инвентаризации информационных активов.

К счастью, встречаются и примеры качественного исполнения инвентаризации, доказывающие ее высокую эффективность.

Финансами управляет финдиректор, а информацией?

Если посмотреть несколько шире, то можно увидеть, что оборот информации анализируется в рамках многих направлений деятельности для решения различных задач. В рамках информационных технологий анализируются способы хранения, обработки и передачи информации, которые впоследствии могут быть частично или полностью автоматизированы. Для оптимизации затрат на рекламу производится анализ способов доведения необходимой информации до целевой аудитории.

В целях маркетинговых исследований и информационного обеспечения бизнеса производится отбор и классификация источников информации, сама информация оценивается по степени ее достоверности и актуальности. Вопросы анализа оборота информации в рамках обеспечения информационной безопасности мы уже рассмотрели раньше. Есть множество других направлений деятельности, занимающихся решением подобных задач в своих прикладных целях. Поэтому логично предположить, что все эти «информационные» вопросы стоит объединить в отдельное направление деятельности – управление информацией, предоставляющее результаты своей деятельности нуждающимся в них потребителям внутри и вне организации. Это позволило бы придать процессу анализа оборота информации и управления им большую системность, а также избавиться от дублирования многих функций и сократить затраты.

Человечество уже давно научилось вести учет основных факторов производства – труда, земли и капитала, а также управлять ими. Однако еще в XX веке некоторые экономисты стали называть информацию еще одним фактором производства, наравне с тремя перечисленными.

Это достаточно весомый довод к тому, чтобы развивать теорию и практику управления информацией.

Возвращаясь к примеру с инвентаризацией информационных активов в интересах безопасности, можно провести аналогию с обеспечением физической защиты материальных ценностей и обратить внимание на то, что их инвентаризацию обычно выполняет бухгалтерия, а не подразделение, ответственное за физическую безопасность. Аналогично и обязанности по инвентаризации информационных активов стоит возложить на подразделение, выполняющее функции управления информационными активами. Пришло время подумать о том, что это за подразделение и как следует организовать его работу.

Об авторах