TOP

KYBEZ

Analýza kybernetické bezpečnosti #2: Evidence aktiv

Co chcete chránit? A proč to chcete chránit? To je, oč tu běží!

 

Ať už plánujete správně nastavit organizační procesy nebo pořídit nový bezpečnostní software či řešit
následky mimořádných událostí, musíte nejprve najít odpovědi na výše zmíněné otázky.

 

Jakmile budete znát svá aktiva, můžete začít vytvářet systém jejich ochrany. Evidence aktiv představuje
také základ analýzy kybernetické bezpečnosti.

 

Co je aktivum? 

Velmi zjednodušeně lze říci, že aktivum je cokoliv, co má pro organizaci hodnotu. Nicméně s touto definicí
bychom si v oblasti kybernetické bezpečnosti příliš dlouho nevystačili. Proto zákon o kybernetické bezpečnosti
dělí aktiva do třech kategorií:

  • Primární – informační systémy a služby nutné pro zajištění chodu organizace
  • Podpůrná – technické vybavení, komunikační prostředky a programové vybavení informačního systému
    zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačních systémů

 

Aktiva dále můžeme rozlišovat podle jejich typu. Například pokud používají pracovníci zařazení na stejné pozici
v jednom oddělení více druhů notebooků, nemusíte do evidence aktiv zaznamenávat každý notebook zvlášť.
Stačí jednoduše zapsat, že se jedná o technické aktivum a typ aktiva je notebook. Tím se ovšem dostáváme k další výzvě.

 

Co by měla evidence aktiv obsahovat? 

Část náležitostí pro evidenci aktiv vyjmenovává vyhláška kybernetické bezpečnosti. Nicméně v této oblasti byste se měli
řídit pravidlem přiměřenosti. Pokud jste malý úřad s pěti zaměstnanci, bude celkem jasné, kdo je garantem u většiny aktiv
a kde se nacházejí. Jestliže jste větší firma, potřebujete znát přesnou lokalizaci všech aktivit i jejich garantů. U každého
aktiva byste měli zaznamenat tyto informace-atributy:

  • Název (např. server Dell PowerEdge, program GINIS, vedoucí IT)
  • Kategorie (primární nebo podpůrné)
  • Typ (např. server, účetní systém, vedoucí pracovníci)
  • Garant  (např. vedoucí IT, vedoucí účtárny)
  • Lokalizace (např. Praha, Brno, Fekišovce)
  • Hodnocení (Integrita, Dostupnost, Důvěrnost)
  • Nadřazená / Podřízená aktiva

 

Jak hodnotit a dále analyzovat aktiva se dočtete v našem příspěvku k základním pojmům kybernetické

bezpečnosti: Co chránit?- Aktiva informační bezpečnosti 

 

Jak by měla vypadat evidence aktiv? 

Na první pohled by se mohlo zdát, že je evidence aktiv pouze jednoduchá tabulka, ovšem to není úplně pravda.
Spousta organizací má evidenci aktiv zpracovanou pouze v excelu, aniž by více přemýšlela o provázanosti mezi
jednotlivými atributy, dopadem změn a jejich návazností na další kroky analýzy kybernetické bezpečnosti.

 

Z těchto důvodů doporučujeme evidenci aktiv vést v sofistikovaném nástroji, který zohlední změnu jakéhokoliv
parametru a dokáže do detailů zpracovat její dopad. Jedním z takových nástrojů je i aplikace CSA, díky které zvládnete
řídit systém kybernetické bezpečnosti ve vaší organizaci. Aplikace CSA vychází primárně z české legislativy
kybernetické bezpečnosti a také z dlouhodobé praxe analytiků a partnerů naší platformy. Nicméně záleží vždy na vás,
zda chcete zvolit moderní sofitistikováné řešení nebů zůstat u překonaných papírových či excelových metod.

 

V příštím díle našeho seriálu se zaměříme na identifikaci zranitelností a hrozeb. Pokud chcete poradit s jakoukoliv
výzvou v oblasti kybernetické bezpečnosti, ozvěte se nám.

Doporučujeme: 

Základní pojmy kybernetické bezpečnosti 

Proč je nutné chránit svěřené osobní údaje? A jak postupovat, když uniknou? 

Analýza kybernetické bezpečnosti #1: Začínáme