Актив (компьютерная безопасность) - Asset (computer security)
В информационная безопасность, компьютерная безопасность и сетевая безопасность, актив любые данные, устройство или другой компонент среды, поддерживающий деятельность, связанную с информацией. Активы обычно включают оборудование (например, серверы и коммутаторы), программное обеспечение (например, критически важные приложения и системы поддержки) и конфиденциальную информацию.[1][2] Активы должны быть защищены от незаконного доступа, использования, раскрытия, изменения, уничтожения и / или кражи, приводящих к убыткам для организации.[3]
Триада ЦРУ
Цель Информационная безопасность заключается в обеспечении Конфиденциальность, Честность и Доступность активов из различных угрозы. Например, хакер мог бы атака система для кражи номеров кредитных карт эксплуатирующий а уязвимость. Эксперты по информационной безопасности должны оценить вероятные последствия атаки и использовать соответствующие контрмеры.[4] В этом случае они могут поставить брандмауэр и зашифровать номера своих кредитных карт.
Анализ риска
При выполнении анализ риска Важно взвесить, сколько нужно потратить на защиту каждого актива от стоимости потери актива. Также важно учитывать вероятность возникновения каждой потери. Нематериальные затраты также должны быть учтены. Если хакер делает копии всех номеров кредитных карт компании, это им ничего не стоит, но потери в виде штрафов и репутации могут быть огромными.
Смотрите также
- Компьютерная безопасность
- Триада ЦРУ
- Противодействие (компьютер)
- Факторный анализ информационного риска
- ENISA
- Эксплойт (компьютерная безопасность)
- FISMA
- IETF
- Информационная безопасность
- Управление информационной безопасностью
- Честность
- IT риск
- NIST
- Фактор риска
- Управление рисками
Рекомендации
- ^ ISO / IEC 13335-1: 2004 Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1. Концепции и модели для управления безопасностью информационных и коммуникационных технологий.
- ^ «Глоссарий ENISA». Архивировано из оригинал на 2012-02-29. Получено 2010-11-21.
- ^ «Введение в факторный анализ информационных рисков (FAIR)», ООО «Инсайт управления рисками», ноябрь 2006 г. В архиве 2014-11-18 на Wayback Machine;
- ^ IETF RFC 2828