В информационной безопасности , компьютерной безопасности и сетевой безопасности , актив является любые данные, устройство или другой компонент окружающей среды , которая поддерживает информацию , связанные с деятельностью. Активы обычно включают оборудование (например, серверы и коммутаторы), программное обеспечение (например, критически важные приложения и системы поддержки) и конфиденциальную информацию. [1] [2] Активы должны быть защищены от незаконного доступа, использования, раскрытия, изменения, уничтожения и / или кражи, приводящих к убыткам для организации. [3]
Триада ЦРУ
Целью информационной безопасности является обеспечение конфиденциальности , целостности и доступности (CIA) активов от различных угроз . Например, хакер может атаковать систему, чтобы украсть номера кредитных карт, используя в уязвимости . Эксперты по информационной безопасности должны оценить вероятные последствия атаки и применить соответствующие меры противодействия . [4] В этом случае они могут установить брандмауэр и зашифровать номера своих кредитных карт.
Анализ риска
При выполнении анализа рисков важно взвесить, сколько потратить на защиту каждого актива от стоимости потери актива. Также важно учитывать вероятность возникновения каждой потери. Нематериальные затраты также должны быть учтены. Если хакер делает копии всех номеров кредитных карт компании, это им ничего не стоит напрямую, но потери в виде штрафов и репутации могут быть огромными.
Смотрите также
Рекомендации
- ^ ISO / IEC 13335-1: 2004 Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели для управления безопасностью информационных и коммуникационных технологий.
- ^ «Глоссарий ENISA» . Архивировано из оригинала на 2012-02-29 . Проверено 21 ноября 2010 .
- ^ «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. на Wayback Machine ;
- ^ IETF RFC 2828