Политика за управление на активи – МСП

Политиката за управление на активи P12S е разработена специално за малки и средни предприятия (МСП), като отчита уникалните предизвикателства, пред които са изправени тези организации при управлението на информационни активи при ограничени технически и кадрови ресурси. В съответствие с ISO/IEC 27001:2022 и други международни стандарти, тази политика определя ясна и практична рамка за идентифициране, проследяване, защита и извеждане от експлоатация както на физически, така и на цифрови бизнес активи през целия им жизнен цикъл. Политиката се прилага в цялата организация, включително за хардуер (лаптопи, телефони, USB устройства), софтуер (приложения, SaaS решения), хранилища на данни, устройства за достъп (смарткарти, ключодържатели), както и критични цифрови удостоверителни данни и услуги, които поддържат ежедневните операции. Обхванати са всички заинтересовани страни – служители, изпълнители, трети страни – които боравят с активите на организацията. Политиката е съобразена с всички форми на съвременна работа: офисна, отдалечена, хибридна, мобилна и в облак. Този широк обхват гарантира, че активите не само се проследяват, но и се отчитат в различните среди, в които се извършва бизнес. Основна цел е да се установи и поддържа постоянно актуализиран, точен регистър на активите. Всеки актив трябва да има ясно определен собственик на актив, който отговаря за неговото попечителство и сигурно боравене с данни. Акцент се поставя върху класификацията на активите: устройствата, които съхраняват клиентски или чувствителни бизнес данни, получават допълнителни технологични контролни мерки и проследяване. Важно за МСП е, че всички процедури използват управляеми контроли за достъп, базирани на роли и отговорности. Главният мениджър (GM) носи общата отчетност. ИТ ръководител (или друг определен попечител) отговаря за ежедневното водене на записи, а преките ръководители и служителите подпомагат процесите по назначаване, съхранение и възстановяване на активи. Това опростяване на ролите гарантира ефективност дори когато организациите нямат специализирани мениджъри по сигурността или ИТ. Политиката подробно описва изискванията за издаване, връщане, поддръжка, етикетиране и сигурно унищожаване на активи. Активи, хоствани в облак, и виртуални активи са напълно включени в подхода, както и обстоятелства по използване на лични устройства (BYOD), ако са технически одобрени. Разглеждат се и изключения (като неформално споделяне на оборудване), като се изисква одобрение от GM и временни компенсиращи контролни мерки за всякакви отклонения. Процесите по управление са практични: структурираният регистър на активите трябва да включва полета за идентификатор на актив, тип, статус, собственост и др. Достъпът до самия регистър на активите е строго контролиран и подлежи на редовни одити – както физически, така и цифрови. Проверки на място се извършват поне на всеки шест месеца, а самата политика се преглежда ежегодно или при въвеждане на нови технологии, регулаторни изисквания или след инцидент по информационна сигурност или одитни констатации. Несъответствието може да доведе до дисциплинарни мерки, което подчертава значението на сигурното и отговорно управление на активите на организацията. Това е политика за МСП на ClarySec, която отговаря на изискванията за съответствие с ISO/IEC 27001:2022, но е специално адаптирана за организации без голям ИТ екип или персонал по сигурността. Линиите на отговорност са опростени, но все пак поддържат пълна проследимост, одитируемост и регулаторно съответствие по стандарти като GDPR, DORA и NIS2.