Aktiva (1/4)

V tomto okruhu je popsáno co je to samotné aktivum, dozvíme se o jejich členění a významu identifikace.

Co je to aktivum a členění aktiv z pohledu kybernetické bezpečnosti

Obecně řečeno, je aktivum cokoliv, co má pro NÚKIB nějakou hodnotu. Z pohledu kybernetické bezpečnosti a ochrany informací je struktura aktiv definována níže uvedeným schématem:


dělení aktiv

Primárními aktivy jsou informace nebo služby, které zpracovávají nebo poskytují informační nebo komunikační systémy.

  • Jedná se zejména o informace v elektronické nebo analogové podobě, data v databázích, tabulkách, dokumenty ve spisové službě a informace v prezentacích nebo v dalších informačních systémech. Patří sem i informace předávané v komunikačních systémech.

  • Primární aktivum může být rovněž ve formě služby, která je prostřednictvím informačního nebo komunikačního systému poskytována interním nebo externím subjektům (zákazníkům). Služba je obecně vyšším celkem, který tvoří primární aktiva v podobě informací a různé typy podpůrných aktiv.

Podpůrnými aktivy jsou aktiva, která jsou používána k zajištění primárních aktiv. Podpůrným aktivem jsou technická aktiva, objekty, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému

  • Pro potřeby ISMS NÚKIB jsou podpůrná technická aktiva rozdělena na dvě úrovně - vyšší logické celky, tj. informační systémy a aplikace nižší úroveň, kterou představují jednotlivé základní HW a SW konfigurační položky.

Technickými aktivy jsou technické a programové prostředky a vybavení. Technickým a programovým prostředkem a vybavením se rozumí také komunikační prostředky, sítě elektronických komunikací a průmyslová, řídící nebo jiná obdobná specifická aktiva.

Význam identifikace a hodnocení aktiv v prostředí NÚKIB

Jak již bylo uvedeno výše, z pohledu kybernetické bezpečnosti dělíme aktiva na primární a podpůrná. Proces, který se zabývá hledáním a hodnocením aktiv v organizaci, se nazývá identifikace a hodnocení aktiv.

Důvodů, proč identifikovat aktiva v organizaci může být více, přičemž mezi ty zásadní patří následující:

  • přístup k vlastním aktivům s péčí řádného hospodáře a znalost toho, co vlastním a s čím hospodařím, 
  • znalost hodnoty a významu aktiv, která používám pro výkon svého poslání a s tím spojený i způsob ochrany těchto aktiv, 
  • schopnost identifikovat aktiva, která jsou klíčová pro chod organizace.
Výsledkem hodnocení a identifikace aktiv je stav, kdy má organizace přehled o všech svých aktivech a jejich hodnotě. Z úrovně systému řízení bezpečnosti informací nahlížíme na významnost aktiv z pohledu narušení jejich důvěrnosti, integrity a dostupnosti, nicméně není to jediný pohled, na který je potřeba při zprávě aktiv brát zřetel. Jedná se např. o aspekty spojené s řízením lidských a kapitálových zdrojů nebo správa hmotného a nehmotného majetku. 

Významnost aktiv pro organizaci je rovněž úzce spojená s identifikací rizik, která se k narušení bezpečnosti aktiv váží a implementací vhodných bezpečnostních opatření.

Schéma vazeb mezi aktivy:

schéma