TOP

KYBEZ

Analýza bezpečnosti #3: Jak hodnotit aktiva?

Aktiva představují v kybernetické bezpečnosti prvky, které organizace potřebuje chránit. Do této skupiny patří informace, služby, software, hardware, zaměstnanci, síťová infrastruktura a další druhy. Ovšem ne všechna aktiva mají pro organizaci stejnou cenu. Jak tady správně ohodnotit skutečný význam aktiva?  

 

Metoda CIA  

Při určování hodnoty aktiva se setkáme se slovem “dopad”. Jde o stejný výraz jako “hodnota aktiva”. Používání slova “dopad” souvisí s tím, že určujeme, jak velký má dopad narušení tohoto aktiva na chod organizace. Pro hodnocení aktiv slouží metoda CIA. Jde o způsob, kdy k jednotlivým vlastnostem CIA přiřadíme jejich správnou úroveň. Tyto vlastnosti tvoří C – Confidentiality / Důvěrnost, I – Integrity / Integrita, A – Availability / Dostupnost. Čili CIA triáda se skládá z důvěrnosti, integrity a dostupnost.  

 

 

Důvěrnost  

Z pohledu bezpečnosti pojem “důvěrnost” určuje, pro jaký okruh lidí je dané aktivum přístupné. Pro každé aktivum musíte v rámci jeho hodnocení zvolit odpovídající stupeň. Pokud si vezmeme jako příklad aktiva informace o poslané české vojenské pomoci na Ukrajinu, tak dlouhou dobu byla úroveň důvěrnosti tohoto aktiva vysoká či spíše kritická. Až začátkem roku 2023 uvolnila vláda částečné informace o této pomoci. Z pohledu bezpečnosti se tak přesunulo aktivum do části nízká či střední. Tento příklad je ilustrační a velice zjednodušující.  

 

Stupně pro hodnocení důvěrnosti dle Vyhlášky o kybernetické bezpečnosti: 

  

Traffic Light Protocol  

Kromě samotných stupňů vyjádřených čísly nebo slovně můžete při hodnocení důvěrnosti využívat Traffic Light Protocol (zkráceně TLP). Jedná se o barevné označení různých úrovní důvěrnosti. S tímto označením se setkáte na dokumentech některých organizací veřejné správy (např. NÚKIB). Doporučujeme TLP zavést do praxe ve všech organizacích, aby se nastavil jednotný, srozumitelný systém hodnocení důvěrnosti.  

 

Stupně TLP dle metodiky NÚKIB:

Zdroj: NÚKIB https://www.nukib.cz/cs/infoservis/doporuceni/1593-doporuceni-k-pouzivani-protokolu-tlp-ke-sdileni-chranenych-informaci/.

 

 

Integrita 

Jako “Integritu” lze chápat neporušitelnost, pevnost či přesnost daného aktiva. Jestliže si vezmeme jako modelový příklad interní jízdní řády železniční dopravy, pak se jedná o aktivum s vysokou či kritickou úrovní integrity. Pokud by došlo ke změně dat v interním jízdním řádu a tím pádem k narušení integrity, mohlo by to vést až k železničnímu neštěstí. Přesnost dat je důležitá i v dalších oblastech, např. obchodních smlouvách, veřejných dokumentech či informacích na webových stránkách.  

 

Stupně pro hodnocení integrity dle Vyhlášky o kybernetické bezpečnosti: 

 

Dostupnost  

U dostupnosti hraje zásadní roli čas. Při určování úrovně dostupnosti si odpovíme na následující otázku. Jak dlouho vydržíme bez daného aktiva? U velkých firem typu Alza či Mall může výpadek e-shopu způsobit mnoha milionové ztráty. Úroveň dostupnosti u daného aktiva je v těchto případech vysoká až kritická. Zatímco pokud na pár dní spadnou webové stánky obce s pár obyvateli, tak si toho mnohdy ani nikdo nevšimne. Úroveň dostupnosti těchto stránek bychom odhadli na nízkou až střední.  

 

Stupně pro hodnocení dostupnosti dle Vyhlášky o kybernetické bezpečnosti: 

 

 Jak hodnotit aktiva?  

Při určování jednotlivých stupňů vždy zaleží na znalostech i dovednostech analytika a pohledu zástupců hodnocené organizace. Hodnocení aktiva je jednoduchý proces. Stačí jen přiřazovat úrovně jednotlivých vlastností CIA a zvolit vhodnou metodu pro vyhodnocení. Dopad lze určit dvěma způsoby.

 

1. Průměrem hodnot úrovní CIA:  

 

 

2. Nejvyšší hodnotou CIA
 

 

V obou případech budeme mít se stejnými daty jiné výsledky, protože jsme zkoušeli rozdílné metody. Je na vás, jakou metodu zvolíte. Tento proces lze uskutečnit v tabulkových editorech, avšak mnohem vhodnější jsou specializované aplikace jako např. CSA od společnosti Gordic, ve které zvládnete provést celou analýzy kybernetické bezpečnosti krok za krokem.  

 


Více o nástroji CSA