ГОСТ Р ИСО/МЭК 27033-2-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей

6.2 Идентификация активов

Идентификация активов является важным первым шагом в определении рисков информационной безопасности (ИБ <1>) всех сетей. Защищаемые активы - это активы, которые могут ухудшить бизнес-процессы организации, если будут нарушены их целостность, доступность и конфиденциальность. Они включают в себя физические активы (серверы, коммутаторы, маршрутизаторы и т.д.) и логические активы (конфигурационные настройки, исполняемый код, данные и т.д.). Этот перечень активов должен быть создан как часть планирования непрерывности бизнес-процессов и анализа риска невозможности восстановления после аварий. Вопросы, на которые необходимо ответить:

--------------------------------

<1> Далее по тексту используется сокращение ИБ.

 

- Какие отдельные типы сетевого оборудования и группы объектов должны быть защищены?

- Какие отдельные сегменты сетевой инфраструктуры должны быть защищены?

- Какие информационные активы и средства обработки информации должны быть защищены?

- Где в архитектуре информационных систем находятся информационные активы?

Идентифицируемые активы включают активы, необходимые для безопасной поддержки процессов управления и контроля трафика пользователей, а также функции, необходимые для функционирования сетевой инфраструктуры, услуг и приложений. К ним относятся такие устройства, как хосты, маршрутизаторы, межсетевые экраны и т.д., интерфейсы (внутренние и внешние), хранимая/обрабатываемая информация и используемые протоколы. Защита активов инфраструктуры является лишь частью цели проектирования безопасности сетей. Основной целью является защита активов организации таких, как информация и бизнес-процессы.