Role vlastníků a garantů aktiv

---

---

Vlastníci a garanti aktiv hrají v procesu identifikace a hodnocení aktiv zásadní roli, jelikož zaměstnanci v těchto rolích disponují potřebnou odpovědností, znalostmi a pravomocemi při tvorbě, správě a rozvoji aktiv organizace a mají proto také z tohoto důvodu o aktivech největší přehled.

Příkladem může být vznik nového primárního aktiva v rámci organizačního celku NÚKIB z důvodu např. legislativní změny. Primární aktivum se stane součástí hlavních činností NÚKIB, která je navíc legislativně podmíněna. Vlastník aktiva spolu s garantem musí iniciovat ohodnocení tohoto nového aktiva a s manažerem kybernetické bezpečnosti provést identifikaci vazeb na všechna podpůrná aktiva a zařadit nové aktivum do evidence aktiv NÚKIB.

Dalším příkladem může být změna některého z hodnocených parametrů aktiva, tzn. dojde např. ke změně hodnot v oblasti dostupnosti, což může mít dopady na podpůrná aktiva např. u zálohování nebo dostupnosti záloh. 

Pravomoci a odpovědnosti vlastníků a garantů aktiv

---

Vlastník aktiva je role, která je vrcholově odpovědná za aktivum jako celek. V prostředí NÚKIB je to osoba odpovědná za řízení organizačního celku, který je hlavním gestorem identifikovaného primárního aktiva. Mezi základní pravomoci a odpovědnosti vlastníka aktiva patří:

• odpovědnost za životní cyklus aktiva a pravomoci s ním spojené (vznik, zánik, změny), 
• odpovědnost za přístup k aktivu a pravomoci v rámci schvalování přístupu k aktivu, 
• odpovědnost za identifikaci aktiva, 
• odpovědnost za stanovení hodnoty aktiva v rámci procesu hodnocení nebo přezkoumávání aktiv, 
• odpovědnost za určení garanta aktiva a právo na jeho výběr a změnu, 
• odpovědnost za hlášení změn ve vztahu k evidenci aktiv (např. změna garanta, změna hodnoty aktiva, změna parametrů bezpečnosti informací),
• odpovědnost za provedení pravidelného přezkoumání evidovaných parametrů aktiv.

Garant aktiva je role, která odpovídá za zajištění rozvoje, použití a bezpečnosti aktiva. Za personální obsazení do této role odpovídá vlastník aktiva. mezi základní pravomoci a odpovědnosti garanta aktiva patří: 

• odpovědnost za správu aktiva, 
• odpovědnost za proces řízení změn ve vztahu k aktivu, 
• spolupráce na schvalování přístupu k aktivu (např. v oblasti vzájemné neslučitelnosti rolí), 
• spolupráce při identifikaci a hodnocení aktiv v rámci své působnosti u organizačního celku, 
• odpovědnost za identifikaci rizik s potencionálním dopadem na bezpečnost aktiva ve svěřené správě, 
• odpovědnost za hlášení bezpečnostních událostí a incidentů ve vztahu ke svěřenému aktivu, 
• spoluodpovědnost za hlášení změn ve vztahu k evidenci aktiv, 
• spolupráce s architektem kybernetické bezpečnosti v oblasti řízení změn, které mohou mít dopad na bezpečnost aktiv (např. změna autentizačních nebo kryptografických mechanizmů, změny v oblasti logování a zálohování atp.) 

V případě potřeby, např. u větších organizačních celků, může být pravomoc schvalovat přístupy k aktivům přenesena na garanta aktiva. Odpovědnost za přístup k aktivům je nepřenositelná a zůstává vlastníku aktiva.

Další bezpečnostní role

• Ředitel odboru informatiky vrcholově odpovídá za vedení konfigurační databáze, ve které jsou evidována podpůrná aktiva a jejich vazeb na primární aktiva.
• Správci a administrátoři informačních a komunikačních systémů odpovídají za plnění a aktualizaci konfigurační databáze. Konfigurační databáze je ve správě OIT pro celý NÚKIB.
• Manažer kybernetické bezpečnosti odpovídá za tvorbu, aktualizaci a přezkoumání politiky řízení aktiv a navazujících interních aktů. Dále odpovídá za vedení celkové evidence aktiv včetně karet aktiv a pravidelné roční vyhodnocení změn po periodickém hodnocení aktiv a předložení zprávy Výboru pro řízení KB NÚKIB.
• Architekt kybernetické bezpečnosti odpovídá za posouzení změn v oblasti zabezpečení aktiv z pohledu požadavků VKB.