связана с защитой . Активы — это , представляющие ценность для кого–либо. Примеры активов включают:
- содержание или сервера;
- подлинность голосов, поданных на выборах;
- доступность электронной коммерции;
- возможность использовать дорогостоящий принтер;
- доступ к средствам ограниченного доступа.
Но так как ценность — это весьма субъективное , то почти все, что угодно, может рассматриваться в качестве активов.
Среда, в которой размещаются эти активы, называется . Примерами () среды являются:
- компьютерное помещение в банке;
- компьютерная сеть, подключенная к ;
- ;
- обычная офисная среда.
Многие активы представлены в виде , которая хранится, обрабатывается и передается таким образом, чтобы удовлетворить требования владельцев этой информации. Владельцы информации вправе требовать, чтобы , и любой такой информации строго контролировались и активы были защищены от контрмерами. 2 иллюстрирует высокоуровневые понятия безопасности и их .
Рисунок 2 — Понятия безопасности и их взаимосвязь
За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Примерами источников угрозы являются хакеры, злонамеренные , незлонамеренные пользователи (которые иногда делают ), компьютерные процессы и сбои.
Владельцы активов будут воспринимать такие угрозы как потенциальную возможность нанесения такого активам, при котором ценность активов для владельцев уменьшилась бы. Специфичный для безопасности ущерб обычно состоит в следующем (но не ограничивается этим): потеря конфиденциальности активов, потеря целостности активов или потеря доступности активов.
Таким образом, эти угрозы увеличивают для активов, зависящие от реализации угрозы и ущерба активам при реализации рассматриваемой угрозы. Для того чтобы уменьшить риски для активов, реализуются контрмеры. Эти контрмеры могут включать ИТ–контрмеры (такие как и смарт–карты) и не–ИТ–контрмеры (такие как охрана и ). Более широкое рассмотрение контрмер (мер безопасности), а также способов их реализации и управления ими представлено в ИСО/МЭК 27001 и ИСО/МЭК 27002.
Поскольку за активы могут нести (несут) ответственность их владельцы, то им следует иметь возможность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами.
При отстаивании этого решения должна иметься возможность два важных момента, что:
- контрмеры являются достаточными, если контрмеры выполняют то, что заявлено, и угрозам, направленным на активы, обеспечивается противостояние;
- контрмеры являются корректными, если контрмеры выполняют то, что заявлено.
Многие владельцы активов не имеют , или , необходимых для вынесения суждения о достаточности и корректности контрмер, и при этом они могут не захотеть полагаться исключительно на утверждения этих контрмер. Вследствие этого данные могут захотеть повысить свою уверенность в достаточности и корректности некоторых или всех контрмер путем заказа этих контрмер.
Рисунок 3 иллюстрирует понятия, используемые при оценке, и их взаимосвязь.
Рисунок 3 — Понятия, используемые при оценке, и их взаимосвязь
[из 6.2 Активы и контрмеры ГОСТ Р ИСО/МЭК 15408–1–2012]