3.2.3. Управление активами ИБ и поддержание ИБ в актуальном состоянии
3.2.3. Управление активами ИБ и поддержание ИБ
в актуальном состоянии 
Под активами ИБ ФНС России будем понимать информационные, программные и технические ресурсы, которые могут потерять частично или полностью свойства ИБ (конфиденциальность, доступность или целостность) при реализации угроз.
Классификация активов ИБ подразумевает как классификацию систем с точки зрения защиты от угроз нарушения конфиденциальности, так и классификацию с точки зрения доступности и целостности информации, которые рассматриваются в качестве основных характеристик надежности технико-программных средств и технологических систем.
Классификация активов ИБ подразумевает также определение критичности того или иного средства или системы с точки зрения ИБ. Процессы управление критичными с точки зрения ИБ активами пересекаются с процессами управления ИТ структурой.
Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
Результаты классификации информационной системы оформляются актом классификации.
Поддержание активов ИБ в актуальном состоянии предполагает также поддержку оценивания достаточности мер и средств ИБ, а также построение моделей зрелости СУИБ.
Основными функциями определения и классификации активов ИБ и поддержания их в актуальном состоянии являются:
- учет имеющихся на объекте технических, программных средств и технологий, критичных с точки зрения ИБ, включая средства и технологии СУИБ;
- учет защищаемой информации;
- сопровождение внешних аудитов ИБ;
- организация и проведение внутренних аудитов;
- анализ и оценка функционирования системы защиты информации информационной системы, включая выявление, анализ и устранение недостатков в функционировании систем защиты информации информационной системы;
- контроль защищенности информации, содержащейся в информационной системе;
- определение эффективности и достаточности существующей системы ИБ и выработка предложений по совершенствованию;
- построение и сопровождение модели зрелости СУИБ.
Результатами работ данного сегмента СУИБ являются перечни параметров критичных с точки зрения ИБ, таблицы соответствия требованиям ИБ и модели зрелости СУИБ на каждом объекте информатизации в любой момент времени.
Общий порядок контроля (в том числе дистанционного контроля) соответствия активов ИБ требованиям безопасности (проведение аудитов ИБ) представлен в разделе 2 настоящего документа.
Автоматизированная поддержка данного сегмента СУИБ включает:
- формирование справочника технических средств, критичных с точки зрения ИБ, содержащего описание ТС и информацию, определяющую критичность;
- формирование справочника программного обеспечения, критичного с точки зрения ИБ, содержащего описание ПО и информацию, определяющую критичность;
- формирование справочника информационных активов (ИА), содержащего описание ИА, сведения о наличии информации, составляющей налоговую тайну и информацию, необходимую для определения критичности ИА с точки зрения ИБ;
- формирование справочников аудитов ИБ и основных результатов их проведения;
- формирование информационных карточек требований ИБ, содержащих опросные листы, позволяющих определить степень их выполнения;
- формирование иерархической структуры показателей оценки выполнения требований по различным направлениям обеспечения ИБ;
- формирование коэффициентов значимости (критичности) показателей (весовые коэффициенты);
- формирование информационно-логических паспортов объектов информатизации ФНС России (ИЛП ОИ). В ИЛП ОИ должна содержаться информация в соответствии с требованиями нормативных актов по ИБ;
- определение уровня безопасности в зависимости от:
- данных опросных листов;
- определения уровня критичности ИА, ТС и ПО, входящих в состав ЛП ИСО.
- формирование реестра информационных ресурсов;
- построение моделей "зрелости" СУИБ на основании данных по критичности;
- вывод информационных панелей для уведомления:
- о ТС, ПО, и ИА с высоким уровнем критичности по ИБ;
- об информации, составляющей налоговую тайну;
- об уровнях соответствия требованиям ИБ;
- о необходимости проведения очередной оценки соответствия;
- о данных по "зрелости" СУИБ;
- о ландшафте ИБ АИС ФНС России.
- формирование реестров объектов с замечаниями по результатам аудитов (в том числе дистанционных) и отметках по устранению замечаний.
По данному направлению филиалы ЦУБИ выполняют следующие работы:
- проведение аудита (в том числе дистанционного) по ИБ в подчиненных ИФНС России и ТОРМ ФНС России;
- заполнение анкет по вопросам ИБ и ввод данных анкет в информационную систему ЦУБИ, формирование отчетности по вопросам ИБ;
- установка средств защиты информации;
- эксплуатация и поддержание в работоспособном состоянии средств защиты информации;
- контроль работы пользователей в системе:
- правильности входа в систему и целостности (с использованием средств двухфакторной аутентификации);
- контроль трафика, печати документов и копирования на внешние носители (с использованием средств предотвращения утечек информации);
- поддержание в рабочем состоянии справочников технических средств, программного обеспечения и информационных ресурсов, критичных с точки зрения ИБ;
- формирование и ведение информационно-логических паспортов объекта;
- контроль исполнения указаний вышестоящих инстанций по вопросам ИБ.
