Актив (компьютерная безопасность)
В информационной безопасности , компьютерной безопасности и сетевой безопасности актив — это любые данные, устройство или другой компонент среды, который поддерживает деятельность, связанную с информацией. Активы обычно включают оборудование (например, серверы и коммутаторы), программное обеспечение (например, критически важные приложения и системы поддержки) и конфиденциальную информацию. [1] [2] Активы должны быть защищены от незаконного доступа, использования, раскрытия, изменения, уничтожения и/или кражи, приводящих к убыткам для организации. [3]
Триада ЦРУ
[ редактировать ]Целью информационной безопасности является обеспечение конфиденциальности , целостности и доступности (ЦРУ) активов от различных угроз . Например, хакер может атаковать систему, чтобы украсть номера кредитных карт воспользовавшись уязвимостью , . Эксперты по информационной безопасности должны оценить вероятные последствия атаки и принять соответствующие контрмеры . [4] В этом случае они могут установить брандмауэр и зашифровать номера своих кредитных карт.
Анализ рисков
[ редактировать ]При проведении оценки риска важно взвесить, сколько потратить на защиту каждого актива от стоимости потери актива. Также важно учитывать вероятность возникновения каждой потери. Нематериальные затраты также должны быть приняты во внимание. Если хакер сделает копию всех номеров кредитных карт компании, это ничего ему не будет стоить напрямую, но потери в виде штрафов и репутации могут быть огромными.
См. также
[ редактировать ]- Противодействие (компьютер)
- Факторный анализ информационного риска
- Управление информационной безопасностью
- ИТ-риск
- Фактор риска
- Управление рисками
Ссылки
[ редактировать ]- ^ «ISO/IEC 27005:2022 – Информационная безопасность, кибербезопасность и защита конфиденциальности» . ИСО . Октябрь 2022 года . Проверено 31 декабря 2023 г.
- ^ «Глоссарий ЭНИСА» . Архивировано из оригинала 29 февраля 2012 г. Проверено 21 ноября 2010 г.
- ^ «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;
- ^ IETF RFC 2828