Активы – это то, что имеет ценность или находит полезное применение для организации, ее деловых операций и их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов являются жизненно важными и должны стать основной обязанностью для руководства всех уровней.
Важные активы должны быть четко идентифицированы и должным образом оценены, а реестры этих активов должны быть собраны вместе и поддерживаться в актуальном состоянии.
В стандарте ISO 27001 есть блок контролей, который отвечает за управление активами и классификацию информации:
А.8 Управление активами
А.8.1 Ответственность за активы
Цель: Определить активы организации и определить соответствующие ответственности по защите.
A.8.1.1 Инвентаризация активов
Активы, связанные с информацией и средствами для обработки информации, должны быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем виде.
A.8.1.2 Владельцы активов
Активам, приведенным в реестре активов, должны быть определены владельцы
A.8.1.3 Допустимое использование активов
Правила допустимого использования информации и активов, связанных с информацией и средствами для обработки информации, должны быть определены, документированы и внедрены.
A.8.1.4 Возврат активов
Все сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые они имеют, после прекращения работы или окончания контракта.
A.8.2 Классификация информации
Цель: Обеспечить, чтобы различные типы информации были надлежащим образом защищены в соответствии с их значением для организации
A.8.2.1 Классификация информации
Информация должна быть классифицированы с точки зрения правовых требований, ценности, критичности и чувствительности к нарушению конфиденциальности или изменению.
A.8.2.2 Маркировка информации
Соответствующий набор правил для маркировки информации должен быть разработан и внедрен в соответствии со схемой классификации информации, принятой в организации.
A.8.2.3 Приемлемое использование активов
Процедуры по приемлемому использованию активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.