§ 4

Řízení aktiv. Dozvíte se, jaké typy aktiv existují, jak provádět jejich hodnocení a o možných způsobech likvidace aktiv.

Řízení aktiv

Oblast řízení aktiv úzce souvisí se správně stanoveným rozsahem ISMS:

  • Na základě správného řízení aktiv je k dispozici aktuální přehled všech aktiv v rozsahu ISMS, aktiva jsou ohodnocena z hlediska jejich důležitosti (tedy důvěrnosti, dostupnosti a integrity) a jsou jim přiřazeni garanti aktiv.
  • Aktiva, potažmo jejich hodnota stanovená na základě hodnocení jejich důležitosti následně také slouží jako významný vstup pro analýzu rizik.

V rámci řízení aktiv se stanovují i přiměřené bezpečnostní požadavky na ochranu aktiv během jejich životního cyklu (pravidla pro manipulaci s aktivy, pravidla pro bezpečné elektronické sdílení atd.), a to v souladu s jejich hodnocením.

Důvěrnost, dostupnost a integrita v kontextu aktiva

Důvěrnost, dostupnost a integrita jsou žádoucí vlastnosti aktiva. Bezpečnost informací řeší jejich zajištění:

  • Důvěrnost: vlastnost charakte­rizující, že informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům.
  • Dostupnost: vlastnost přístupnosti a použi­telnosti na žádost autorizované osoby.
  • Integrita: vlastnost ochrany přesnosti a úplnosti dat. Jistota, že data nebyla změněna.

Primární a podpůrná aktiva

V rámci VKB jsou aktiva dělena na primární a podpůrná:

  • Primární aktivum představuje informaci nebo službu, kterou zpracovává nebo poskytuje informační a komunikační systém. Tato primární aktiva jsou současně často hodnototvorná pro fungování dané organizace. Jako příklady primárních aktiv lze uvést data, informace nebo poskytované služby.
  • Podpůrné aktivum představuje technické aktivum, zaměstnance a dodava­tele podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komuni­kačního systému.
Příklady podpůrných aktiv
  • Hardware (počítače, komunikační zařízení, média, odborné technické vybavení, …),
  • software (aplikační software, systémový software, vývojové nástroje, …),
  • sítě (router, hub, switch, …),
  • pracovníci (klíčoví zaměstnanci, administrátoři, …),
  • lokalita (areál, budovy, místnosti, …),
  • organizace (řídící orgán, organizační struktura, dodavatelé, …).

Identifikace a evidence aktiv

Jedním ze základních požadavků na řízení aktiv je jejich identifikace. Ta by měla být prováděna v souladu se stanovenou metodikou pro identifikaci aktiv. V souladu s identi­fikací aktiv je požadována i jejich evidence v dokumento­vané podobě a pravidelné přezkoumání aktuálnosti této evidence buď ve stanovené periodě, nebo v souladu s významnou změnou.

Aktiva patřící do rozsahu ISMS je přípustné i seskupovat a tvořit tzv. typová aktiva – např. administrátoři, uživatelé, dodavatelé, lokality, aktivní prvky, záložní zdroje apod. Z dokumento­vaného rozsahu ISMS musí být jednoznačně zřejmé, kterých aktiv se rozsah ISMS týká a kterých nikoliv.

Typová aktiva podrobněji

Do typových aktiv by měla být sdružována jen taková aktiva, která mají podobné charakte­ristiky, na něž působí podobné hrozby, vyskytují se u nich podobné zranitelnosti a lze u nich zavádět podobná bezpečnostní opatření. Smyslem sdružování je odstranění duplicit při hodnocení aktiv, která jsou si svým charakterem podobná. Naopak velmi nevhodné je sdružovat aktiva, která se v určitých ohledech různí (např. řadový zaměstnanec a vrcholové vedení, router a koncová stanice, různé druhy SW apod.), neboť tím může dojít k opomenutí a nezohlednění některých hrozeb a zrani­telností nebo k podcenění identifi­kovaných rizik.

Perioda pro přezkoumání evidence aktiv by měla být stanovena v souladu s požadavky VKB potřebami organizace, např. jednou za rok, případně za dva roky. Důležité je přitom nezapomínat na významné změny, jako je například rozsáhlá změna technologií systému. V souvislosti s významnými změnami je nutné evidenci aktiv aktualizovat co nejdříve.

U identifi­kovaných aktiv je nutné stanovit osobu, která je za dané aktivum odpovědná, tzv. garant aktiva. Garantem aktiva se rozumí bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva (bude dále v textu).

Hodnocení aktiv

Další důležitou součástí řízení aktiv je stanovení metodiky pro hodnocení aktiv. Metodika musí být přizpůsobená potřebám organizace a osob, které s ní pracují (ve většině případů manažer kybernetické bezpečnosti a garanti aktiv). Tyto osoby s ní musí umět pracovat a být schopny na základě metodiky hodnocení aktiv provést. Při hodnocení aktiv je posuzováno, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv z hlediska integrity, důvěrnosti a dostupnosti a následně jsou rozdělena do jednotlivých úrovní v souladu se stanovenou metodikou pro hodnocení aktiv. Minimální rozsah hodnocení důležitosti aktiv je uvedený v následujících tabulkách:

Stupnice pro hodnocení důvěrnosti

Tabulku v lepší kvalitě získáte na následující straně kurzu ke stažení a tisku.

Stupnice pro hodnocení důvěrnosti.

Stupnice pro hodnocení důvěrnosti. Zdroj: Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti Příloha č. 1: zakonyprolidi.cz/cs/2018-82

Stupnice pro hodnocení integrity

Tabulku v lepší kvalitě získáte na následující straně kurzu ke stažení a tisku.

Stupnice pro hodnocení integrity.

Stupnice pro hodnocení integrity. Zdroj: Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti Příloha č. 1: zakonyprolidi.cz/cs/2018-82

Stupnice pro hodnocení dostupnosti

Tabulku v lepší kvalitě získáte na následující straně kurzu ke stažení a tisku.

Stupnice pro hodnocení dostupnosti.

Stupnice pro hodnocení dostupnosti. Zdroj: Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti Příloha č. 1: zakonyprolidi.cz/cs/2018-82

Pro hodnocení aktiv je přípustné rozšířit počet úrovní, či některé sloučit, nicméně je třeba dodržet jednoznačné vazby mezi vlastním hodnocením aktiv se způsobem uvedeným ve VKB. Hodnocení aktiv by měli provádět garanti aktiva, kteří by měli být schopni aktivum ohodnotit ve spolupráci s manažerem kybernetické bezpečnosti. Níže přikládáme zjednodušený katalog aktiv uvedený bez vazeb mezi primárními a podpůrnými aktivy. Hodnota aktiva je vypočtena jako maximální hodnota z dostupnosti, integrity a důvěrnosti.

Zjednodušený katalog aktiv

Tabulku v lepší kvalitě získáte na následující straně kurzu ke stažení a tisku.

Zjednodušený katalog aktiv.

Ukázka zjednodušeného katalogu aktiv. Zdroj: Vlastní tvorba

Hodnocení důležitosti primárních aktiv

Při hodnocení důležitosti primárních aktiv je třeba posoudit především:

  • Rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,
  • rozsah dotčených právních povinností nebo jiných závazků,
  • rozsah narušení vnitřních řídicích a kontrolních činností,
  • poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
  • dopady na poskytování důležitých služeb,
  • rozsah narušení běžných činností,
  • dopady na zachování dobrého jména nebo ochranu dobré pověsti,
  • dopady na bezpečnost a zdraví osob,
  • dopady na mezinárodní vztahy,
  • dopady na uživatele informačního a komunikačního systému.

Tento výčet není absolutní, jsou uvedeny pouze nejdůležitější faktory. Každá organizace by si měla tento seznam rozšířit dle svých potřeb. V případě, že některý z faktorů uvedených na seznamu není pro dané aktivum relevantní, je tento faktor posouzen pouze ve smyslu nerelevantní.

Určení vazeb mezi primárními a podpůrnými aktivy

Mezi primárními a podpůrnými aktivy existují vazby, které je nutné vzhledem ke složitosti systémů a správnému odhodnocení aktiv znát, evidovat a hodnotit důsledky těchto závislostí. Tyto vzájemné vazby je nutné zohledňovat při hodnocení podpůrných aktiv. Například se v praxi může snadno stát, že několik primárních aktiv je závislých na jednom podpůrném aktivu. Taková vazba pak má vliv na hodnotu daného podpůrného aktiva.

Klasifikace aktiv

Na základě hodnocení aktiv je dále nutné zavádět příslušná pravidla ochrany pro jejich zabezpečení. Jedná se zejména o stanovení přípustných způsobů používání aktiv, pravidla pro manipulaci s těmito aktivy, včetně pravidel pro bezpečné elektronické sdílení a jejich fyzické přenášení, způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat. Jako příklad slouží Příloha č. 1 VKB, která popisuje možné způsoby ochrany aktiv a dále Příloha č. 4 VKB obsahující také příklady možných způsobů likvidace pro jednotlivé úrovně důvěrnosti aktiva.

Likvidace aktiv

Tato oblast se zabývá stanovením pravidel pro mazání dat a likvidaci technických nosičů dat. Je nutné zvolit adekvátní úroveň likvidace vzhledem k hodnotě a důležitosti aktiv.

Co je nutné při sestavování pravidel zohlednit?
  • Hodnotu aktiva (zejména z pohledu důvěrnosti),
  • technologii aktiva, typy a velikosti nosičů informace,
  • zda se nosič informace nachází pod kontrolou organizace či nikoliv,
  • zda jsou data součástí dedikovaného nebo multitenantního prostředí,
  • kdo bude likvidaci dat provádět,
  • dostupnost vybavení a nástrojů pro likvidaci,
  • kapacitu likvidovaných nosičů,
  • zda je k dispozici vyškolený personál,
  • časovou náročnost likvidace,
  • cenu likvidace s ohledem na nástroje, školení, validaci, opětovné využití nosiče informace,
  • možné způsoby likvidace dat,
  • použitelné způsoby likvidace dat vzhledem ke stavu nosiče informace.
Jaké existují způsoby likvidace aktiv?
  1. Odstranění (odstranění datového souboru, vyhození tištěného dokumentu, …):
    • Odstranění dat tak, aby byla pro systém nedostupná.
    • Nejméně bezpečné (lze obnovit).
    • Nosič musí podporovat opětovný zápis.
    • Použitelné pro nízkou úroveň důvěrnosti aktiva.
  2. Fyzické zničení nosiče (mechanicky, chemicky či tepelným způsobem):
    • Nejbezpečnější metoda likvidace dat (nelze znovu použít).
    • Použitelné pro střední až kritickou úroveň.
  3. Několikanásobné přepsání nosiče:
    • Přepsání nahodilými hodnotami.
    • Středně bezpečný způsob likvidace (volně dostupné nástroje neobnoví).
    • Není vhodné pro poškozená média nebo média s velkou kapacitou.
    • Nosič musí podporovat opětovný zápis.
    • Použitelné pro všechny úrovně důvěrnosti aktiva.
  4. Znečitelnění dat jejich šifrováním.
Přípustné způsoby likvidace podle úrovně důležitosti aktiva

Tabulku v lepší kvalitě získáte na následující straně kurzu ke stažení a tisku.

Tabulka: Přípustné způsoby likvidace podle úrovně důležitosti aktiva.

Přípustné způsoby likvidace podle úrovně důležitosti aktiva. Zdroj: Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti Příloha č. 4: zakonyprolidi.cz/cs/2018-82