Analýza bezpečnosti. Co jsou aktiva a jak je evidovat?

2 min čtení

6. 2. 2023

Všechny organizace si přejí zvýšit úroveň kybernetické ochrany. Ovšem často neví, co skutečně chránit, jak moc je pro ně daná věc důležitá, a o co se v odborné řeči jedná.

Co je aktivum?

Velmi zjednodušeně lze říci, že aktivum je cokoliv, co má pro organizaci hodnotu. Nicméně s touto definicí bychom v odborných kruzích příliš dlouho nevystačili. Proto legislativa dělí aktiva do dvou kategorií:

Primární – informační systémy a služby nutné pro zajištění chodu organizace

Podpůrná – technické vybavení, komunikační prostředky a programové vybavení informačního systému, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačních systémů

Primárním aktivem je takové aktivum, která má pro provoz organizace zásadní hodnotu. V případě veřejné správy to může být spisová služba. Podpůrná aktiva jsou taková aktiva, která zajišťují správné fungování primárního aktiva.

Příklad rozdělení primárních a podpůrných aktiv

Mapa aktiv

Stav podpůrných aktiv ovlivňuje úroveň bezpečnosti primárního aktiva. Z procesního hlediska tvoří kybernetickou bezpečnost systém vzájemně propojených aktiv. V praxi se snažíte snížit riziko na aktivu A, které ovlivňuje bezpečnost aktiv B a C. Jakmile se to povede, objeví se problém na jiných aktivech a vy opět pokračujete v hašení malých ohýnků. Hlavní je, aby nevypukl obrovský požár. Abyste zjistili, jaká aktiva jsou na sobě závislá, doporučujeme získat mapu aktiv. Buď si ji sami nakreslíte nebo k tomu využijete aplikaci CSA, kde je tako funkce již vytvořená a vazby se vám zobrazí sami podle toho, co jste zadali při evidence aktiv.

Příklad mapy z aktiv z aplikace CSA.

Jak vést evidenci aktiv?

V případě, že řídíte menší organizaci stačí vám tabulka, kde si pod sebe napíšete seznam všech aktiv (např. počítače účetních, webové stránky, internetové připojení). U středních a větších organizací je vhodné využít pro evidenci a celkovou analýzu softwarová řešení (např. aplikaci CSA), ve kterých můžete předávat aktiva do evidence vícero způsoby.

Každému aktivu zaznamenáte následující vlastnosti: 

Název

  • O jaké aktivum se jedná?
  • Např. server Dell PowerEdge, program GINIS, vedoucí IT

Druh

  • Jak je pro nás aktivum důležité z pohledu legislativy?
  • Výběr z hodnot primární nebo podpůrné

Typ

  • O jaký typ aktiva se jedná z pohledu IT?
  • Např. hardware, software, personál, outsourcované služby

Likvidace

  • Jakým způsobem se aktiva zbavíme?
  • Např. Přepsání, úplné smazání, řízená skartace

Garant

  • Kdo je za aktivum zodpovědný?
  • Např. vedoucí IT, vedoucí účtárny

Lokalita 

  • Kde se aktivum fyzicky nachází?
  • Např. Pobočka Brno, Budova A, účetní oddělení

Nadřazená / Podřízená aktiva

  • Jaký aktiva jsou na dané aktivum navázána?
  • Např. servery, ICT pracovníci, internetové připojení

Hodnocení

  • Jaký je pro nás aktivum skutečně cenné?
  • Výsledek rovnice CIA (důvěrnost, integrita, dostupnost)

Probereme v dalším díle

Při vytváření seznamu aktiv proberte co nejvíce jeho aspektů s vedoucími jednotlivých oddělení. Možná zjistíte, že jsou některé věci úplně jinak, než jste předpokládali.

Příklad evidence aktiv.

Pokud se chcete naučit zpracovávat analýzu kybernetické bezpečnosti sami, přihlaste se na náš kurz. V případě, že si přejete odhalit bezpečnostní rizika ve vaší organizaci, napište si o analýzu kybernetické bezpečnosti na míru.