Evidence aktiv (3/4)

V rámci tohoto okruhu je rozebrána problematika evidence primárních a sekundárních aktiv, spolu s validací karet a hlášení změn.

Evidence primárních aktiv

Primární aktiva jsou evidována v kartách aktiv, jejichž centrální evidenci vede manažer KB. V kartě aktiva jsou evidovány informace o aktivu včetně hodnoticí tabulky na základě, které je následně v souladu s metodikou řízení aktiv určena jeho výsledná hodnota. Jedná se o primární zdroj informací o hodnotě aktiva. 

V rámci přehlednosti jsou karty aktiv vedeny dle organizačních celků (typicky odborů NÚKIB) a obsahují evidenci aktiv příslušných k tomuto organizačnímu celku. Pro přesnější charakteristiku aktiva se používají níže uvedené a vysvětlené atributy aktiva a jmenná konvence při jejich označování. 

Karta aktiva obsahuje tyto hlavní položky:

Evidence podpůrných aktiv

Evidence podpůrných aktiv probíhá víceúrovňově. V kartě primárního aktiva jsou evidovány vyšší logické celky, tj. informační systémy nebo aplikace. Technická aktiva umožňující provozování informačních systémů nebo aplikací, jako jsou servery, síťové komponenty, serverovny atp. jsou evidovány v konfigurační databázi OIT.

Pravidelná validace karet aktiv a hlášení změn

  • Změny v oblasti aktiv se hlásí MKB.

Aby byla zajištěna aktuálnost seznamu evidovaných aktiv, je každoročně prováděna pravidelná validace karet aktiv jejich vlastníky, v ideálním případě rovněž v součinnosti s jednotlivými garanty aktiv. Termín zahájení a ukončení validace aktiv stanovuje manažer kybernetické bezpečnosti, který případné změny zohlední do centrální evidence aktiv. Manažer kybernetické bezpečnosti je rovněž k dispozici vlastníkům a garantům aktiv ke konzultaci nejasností nebo pochybností v rámci celého procesu validace aktiv. 

Mimořádná identifikace a hodnocení aktiv

V případě, že je v organizaci plánována organizační změna, která má dopad na více aktiv (vznik většího počtu nových primárních aktiv, převody většího počtu primárních aktiv mezi vlastníky nebo určení nových vlastníků), je následně po vstoupení organizační změny v účinnost provedena mimořádná identifikace a hodnocení aktiv. Tuto činnost organizuje a řídí manažer kybernetické bezpečnosti.