Введение
Когда мы говорим о безопасности в бизнесе, ключевым понятием является «актив». А что такое актив? Это что-либо, имеющее ценность для вас или вашей организации и требующее защиты. А для оптимального выбора защитных мер важно понимать, что скрывается под понятием актив и как принято в контексте информационной безопасности категорировать активы по типам и видам.
По типам активы можно разделить на:
- Информацию – это уникальные и важные сведения, которые имеют ценность для организации. Например, это может быть интеллектуальная собственность, финансовые отчеты, данные о клиентах или технологические процессы.
- Технические активы – это все, что связано с технологиями и оборудованием, используемым для создания, хранения, обработки и передачи информации. Например, серверы, компьютеры, сетевое оборудование, программное обеспечение и шкаф или сейф для хранения документов.
- Человеческие активы – это работники организации, заказчики или подрядчики со всеми их знаниями, навыками и компетенциями, которые влияют на обработку, использование и защиту информации.
По видам активы обычно делят на:
- Информационные активы – которые являются совокупностью информации и её носителя. Например, это могут быть бумажные документы, электронные файлы, базы данных или даже знания в голове сотрудников.
- Материальные активы – это физические объекты, которые можно увидеть и потрогать. Это может включать в себя оборудование, транспортные средства, здания и другое имущество.
- Финансовые активы – это денежные средства и иные финансовые инструменты. Например, акции, облигации, бюджеты или денежные резервы.
- Имущественные и неимущественные права – это права, которые дают организации возможность использовать определенные ресурсы или имущество. Неимущественные права часто включают в себя интеллектуальную собственность, такую как патенты, авторские права, торговые марки.
- Кадровые активы – это люди, которые работают на организацию, включая сотрудников, подрядчиков, фрилансеров и других.
- Поставщики и партнеры — любые внешние организации или лица, которые предоставляют услуги или продукты для вашей организации, могут представлять риски информационной безопасности, особенно если они имеют доступ к вашим системам или данным.
- Процессы и сервисы – это последовательность действий или этапов, предпринимаемых для достижения определенного результата, или предоставляемые организацией услуги.
- Имидж и репутация – это восприятие организации со стороны внешнего мира, его клиентов, партнеров и общественности в целом. Репутационные риски могут возникнуть, например, в случае утечки данных или других инцидентов, связанных с безопасностью.
- Программные активы — это программное обеспечение, включая операционные системы, приложения и базы данных. Они требуют особого внимания так как уязвимости в программном обеспечении могут стать входной точкой для атакующих.
- Организационные активы — включают в себя организационные структуры, культуру, правила и процедуры. Например, это могут быть политики, стандарты и регламенты по вопросам информационной безопасности.
Первичным и наиболее ценным активом в информационной безопасности является информация. Информация — это сведения, которые помогают нам принимать решения, вести бизнес и достигать целей. Однако информация сама по себе не может существовать в вакууме. Она всегда связана с другими активами: с файлами или бумагой на которой она записана, оборудованием, на котором она хранится; сетями по которой она передается, бизнес-процессами, которые используют эту информацию; системами жизнеобеспечения, которые поддерживают работу оборудования; людьми, которые работают с информацией; и средствами защиты, которые обеспечивают безопасность всего этого.
Мы часто сталкиваемся с выражением данные и информация, и часто ставим между ними знак равенства, но это не совсем так. Данные в своей основе — это неструктурированные символы и знаки без конкретного контекста. Они могут быть абсолютно случайными и не иметь особой ценности в изолированной форме. К примеру, ряд случайных чисел или символов на которые передаются по сети называют данными потому что они не несут ценности в таком виде. Однако, когда эти данные структурируются, интерпретируются и обретают контекст, они превращаются в информацию. Например, последовательность чисел может оказаться PIN-кодом от вашей карты.
В центре внимания информационной безопасности стоит, безусловно, информация. Это сведения, которые стимулируют нас принимать решения, руководить бизнесом и двигаться к поставленным целям. Но важно понимать, что информация не существует изолированно. Она тесно связана с множеством других активов: это может быть файл на компьютере, бумажный документ в папке, сервер или облачное хранилище, где она сохранена, сетевые каналы, по которым она передается, бизнес-процессы, в которых она используется, инфраструктура, обеспечивающая работоспособность систем, люди, которые взаимодействуют с этой информацией, и, конечно же, средства и методы защиты, обеспечивающие целостность, доступность и конфиденциальность этой информации.