Политика за управление на активите

Политиката за управление на активите (P12) установява организационните изисквания за идентифициране, класифициране, управление и защита на всички информационни активи през целия им жизнен цикъл. Документът цели да осигури надзор и управление на ниво предприятие, като обхваща хардуер, софтуер, данни, облак, мобилни, отдалечени и управлявани от трети страни среди. Основното намерение е организацията да постигне пълна видимост върху портфолиото си от активи, което от своя страна позволява ефективни технологични контролни мерки, присвояване на собственост, регулаторно съответствие и отговорни процедури за извеждане от експлоатация. Активите, управлявани по тази политика, включват широк набор: лаптопи, настолни компютри, мобилни устройства, сменяеми носители, принтери, мрежово оборудване, софтуер, бази данни, данни от системи за резервно копиране, ключове за шифроване, структурирани данни и неструктурирани данни, отчети, електронна поща, интелектуална собственост, облачни ресурси, виртуални машини, потребителски акаунти, базови конфигурации, лицензи и др. Политиката обхваща всички служители, външни изпълнители, доставчици на услуги на трети страни и доставчици от трети страни, които използват, управляват или имат достъп до информационни активи, притежавани или контролирани от организацията. Това покритие се разпростира и върху активи в отдалечени, хибридни или външно възложени среди, като гарантира, че сигурността и проследимостта на активите не се компрометират от местоположението. Основна цел е поддържането на централен, точен и актуален регистър на активите, управляван от ИТ мениджъра по активите и, когато е възможно, интегриран с управление на конфигурацията. Всеки актив, въведен в този регистър, трябва да включва задължителни метаданни като уникален идентификатор, собственост, класификация, местоположение и статус на жизнения цикъл. За всеки актив се определя собственик на актив, който отговаря за подходящата му класификация, защита и периодично валидиране на записите. Процесът по класификация е основа на цялата политика, като гарантира, че активите се етикетират и управляват според чувствителност, критичност и приложими регулаторни изисквания. Процедурите за етикетиране се прилагат както за цифрови, така и за физически активи, а изискванията за боравене – например шифроване, заключено съхранение или контрол на достъпа – трябва да съответстват на нивата на класификация. Политиката описва мерки за контрол на сигурността на всеки етап от жизнения цикъл на активите: въвеждане, преразпределение, боравене, използване, сигурно връщане при извеждане и сигурно унищожаване. Тя изисква използването на активи да е в съответствие с допустимото използване на корпоративни активи и изрично забранява пренасочване на активи за лична употреба, инсталиране на неоторизиран софтуер или заобикаляне на контроли като антивирусен софтуер и шифроване. Правилата за използване на отдалечени активи изискват използване на виртуална частна мрежа (VPN) или защитен транспортен тунел и могат да включват решения за управление на мобилни устройства и защита на крайните точки. Практиките за сигурно извеждане от експлоатация и унищожаване са ясно адресирани и изискват криптографско изтриване или физическо унищожаване с потвърждение и водене на записи. За да подпомогне текущото съответствие и управление на риска, политиката за управление на активите се интегрира с регистъра на рисковете и подпомага оценката на риска, управлението на изключенията и одитните процеси. Нарушения, като нерегистрирани или неоторизирани активи, неправилно унищожаване или деактивиране на контроли, са основание за ескалация и могат да доведат до дисциплинарни мерки, санкции за доставчици или дори съдебно производство. Периодичните прегледи на политиката включват множество групи заинтересовани страни и се задействат от регулаторни промени, одитни констатации, инциденти по сигурността или съществени оперативни промени. Документът завършва с препратки към свързани политики: Политика за контрол на достъпа, Политика за класификация и боравене с информацията, Политика за съхранение на данни, Политика за регистриране и мониторинг, Политика за реагиране при инциденти, като гарантира, че управлението на активите е централен стълб на по-широката структура за управление на организацията. Тази политика не е специално обозначена като политика за МСП. Тя е предназначена за организации с определени екипи като ИТ, директор по информационна сигурност (CISO), мениджър по активите и различни заинтересовани страни по съответствието и операциите, като изпълнява всеобхватните изисквания на ISO/IEC 27001:2022 и подпомага рамки.