Информацията като актив на организациите

Информацията и поддържащите процеси, системи и мрежи са важни активи на всяка организация, затова определянето, оценката, постигането, поддържането и подобряването на сигурността на информацията са съществени за повишаването на конкурентоспособността, доходността, за спазването на законите и поддържане на добрия имидж на организациите. Техните информационни системи и мрежи са изложени на заплахи за сигурността от голям брой източници, включващи неспазване на установените политики, правила и процедури за защита на информацията, неправилна употреба от страна на персонала, компютърна измама, шпионаж, саботаж, бедствия, аварии и катастрофи.

При реализиране на система за управление на информационната сигурност е необходимо да се определи кои са най-ценните активи на организацията от гледна точка на приоритетно осигуряване на необходимото ниво на защита.

Извършва се инвентаризацията и се съставя списък с ценните активи, като по правило този процес се осъществява от собствениците на тези активи. Процесът на определяне, оценка и категоризация на активите е един от най-трудните и сложните при осигуряване на защита на информацията, защото е необходимо да се оцени тяхната критичност за работните процеси, или с други думи да се определи каква вреда ще понесе организацията в случай на нарушаване на информационната сигурност на активите.

Например, от съществуващите много типове активи, стандартът БДС ISO/IЕС 27002 препоръчва включване на:

- информационни ресурси: бази данни и файлове с данни, договори и споразумения, системна документация,

изследователска информация, ръководства за потребителите, учебни материали, работни и поддържащи процедури, планове за непрекъснатост на бизнеса, споразумения за оттегляне, доклади от ревизии и архивна информация;

- софтуерни активи: приложен софтуер, системен софтуер, средства за разработка и помощни програми;

- физически активи: компютърни устройства, комуникационни устройства, сменяеми носители и други устройства;

- услуги: изчислителни и комуникационни услуги, общи комунални услуги, например отопление, осветление, захранване и кондициониране на въздуха;

- хора и тяхната квалификация, умения и опит;

- нематериални ценности, като репутация и имидж на организацията.

Информацията съществува в много форми - тя може да бъде напечатана или написана върху хартия, запомнена по електронен път, предадена по пощата, или с използване на електронни средства, или предадена по време на разговор. Каквато и форма да приеме информацията, тя винаги трябва да бъде адекватно защитена, за да се избегнат или намалят рисковете за нейното компрометиране, което позволява да се използват ефективно информационните ресурси и, в крайна сметка, да се осигури постигне на целите на организациите. От тази гледна, информационните ресурси се явяват икономическа категория и в съответствие с това притежават определени характеристики-цена, стойност, разходи, печалба и т.н., което позволява да бъдат използвани като база за създаване на информационни продукти.