49 
зависимости от используемой методологии. 
 
2.2 Идентификация активов 
Исходные данные: список, включающий объем и границы оценки риска, 
владельцев, местонахождение, функции и т. д. Работа: В соответствии с 
собственным DSt ISO/IEC 27001, 4.2.1, d), 1) должны быть идентифицированы 
активы, попадающие в область установленного применения. Руководство по 
внедрению: Актив — это все, что важно для организации и поэтому нуждается 
в защите. При идентификации активов следует учитывать, что 
информационная система состоит не только из аппаратно-программных 
средств. Идентификация активов должна выполняться с соответствующим 
уровнем детализации, который обеспечивает достаточную информацию для 
оценки риска. Уровень детализации, используемый при идентификации 
активов, влияет на общий объем информации, собранной во время оценки 
рисков. Этот уровень может быть дополнительно детализирован в 
последующих итерациях оценки риска. Владелец должен быть определен для 
обеспечения подотчетности по каждому активу и учета каждого актива. 
Владелец актива может не иметь права собственности на актив, но он или она 
несет соответствующую ответственность за производство, разработку, 
техническое обслуживание, эксплуатацию и безопасность актива. Во многих 
случаях владелец актива лучше всего может определить истинную ценность 
актива для организации. Информация об определении значимости активов 
приведена в п. 8.3.2. Границей обзора является периметр активов организации, 
которые определены как требующие управления в рамках процесса 
управления рисками информационной безопасности.Подробная информация 
об идентификации активов и их значении в разделе информационной 
безопасности представлена в Приложении E. активов, которыми необходимо 
управлять, и список бизнес-процессов, связанных с активами, и их важность. 

Download 0.91 Mb.

Do'stlaringiz bilan baham: