Oblast řízení aktiv úzce souvisí se správně stanoveným rozsahem řízení KB. Na základě správného řízení aktiv je k dispozici aktuální přehled všech aktiv v rozsahu řízení KB, aktiva jsou ohodnocena z hlediska jejich důležitosti (tedy důvěrnosti, dostupnosti a integrity) a jsou jim přiřazeni garanti aktiv.

Stanovená hodnota aktiv, získaná na základě hodnocení jejich důležitosti, představuje důležitý vstup pro proces analýzy rizik. 

Součástí řízení aktiv je rovněž určení přiměřených bezpečnostních požadavků na jejich ochranu po celou dobu jejich životního cyklu. Patří sem např. pravidla pro manipulaci s aktivy, pravidla pro bezpečné elektronické sdílení atd., a to v souladu s jejich hodnocením.

Důvěrnost, dostupnost a integrita v kontextu aktiva

---

Důvěrnost, dostupnost a integrita jsou základní bezpečnostní vlastnosti aktiva, jejichž zajištění řešíme v rámci bezpečnosti informací.

• Důvěrnost: informace a data jsou dostupné pouze oprávněným osobám.
• Integrita: informace a data jsou přesné, úplné a nebyly neoprávněné změněny či poškozeny.
• Dostupnost: informace a data jsou v případě potřeby dostupné oprávněným uživatelům.

Primární a podpůrná aktiva

---

V rámci vyhlášky jsou aktiva dělena na primární a podpůrná:

• Primární aktivum v kontextu kybernetické bezpečnosti představuje zpracovávanou informaci nebo poskytovanou službu, která má pro organizaci zásadní hodnotu a je nezbytná pro naplňování jejích cílů.
• Podpůrné aktivum zajišťuje fungování primárních aktiv, zejména zaměstnanec, dodavatel, technické aktivum, budova a jiný ohraničený prostor, ve kterém se nachází aktivum regulované služby.

Příklady podpůrných aktiv

---

• Hardware (počítače, komunikační zařízení, média, odborné technické vybavení, …),
• software (aplikační software, systémový software, vývojové nástroje, …),
• sítě (router, hub, switch, …),
• zaměstnanci (klíčoví zaměstnanci, administrátoři, …),
• dodavatelé a významní dodavatelé,
• lokalita (areál, budovy, místnosti, …),
• organizace (řídící orgán, organizační struktura, …).

Určení a evidence aktiv

---

Ačkoliv povinnost určení aktiv vyplývá nově již ze zákona, přesněji § 12 zákona, a to v souvislosti se stanovením rozsahu řízení KB, vyhláška tento proces doplňuje o další kroky, které se vztahují přímo k určování aktiv, např. organizace na základě vyhlášky musí stanovit metodiku pro určování aktiv.

Důvodem je skutečnost, že řízení aktiv představuje kontinuální a opakující se proces v rámci ISMS. Organizace proto musí v návaznosti na stanovení rozsahu řízení KB nejen definovat metodiku určování aktiv, ale také zajistit evidenci garantů těchto aktiv.

Perioda pro přezkoumání evidence aktiv dle stanoveného rozsahu řízení KB by měla být stanovena dle potřeb organizace, např. jednou za rok. Důležité je přitom nezapomínat na významné změny, jako je např. rozsáhlá změna technologií systému. V souvislosti s významnými změnami je nutné evidenci aktiv dle rozsahu řízení KB aktualizovat co nejdříve.

Aktiva patřící do rozsahu řízení KB je vhodné i seskupovat a tvořit tzv. typová aktiva (např. administrátoři, uživatelé, dodavatelé, lokality, aktivní prvky, záložní zdroje apod). Z dokumentovaného rozsahu řízení KB musí být jednoznačně zřejmé, kterých aktiv se rozsah řízení KB týká a kterých nikoliv.

Typová aktiva představují obecné skupiny aktiv se stejnými nebo podobnými vlastnostmi, které se používají pro přehledné a jednotné posuzování a řízení bezpečnosti místo hodnocení jednotlivých konkrétních aktiv samostatně.

Typová aktiva podrobněji

Do typových aktiv by měla být sdružována jen taková aktiva, která mají podobné charakteristiky, na něž působí podobné hrozby, vyskytují se u nich podobné zranitelnosti a lze u nich zavádět podobná bezpečnostní opatření. Smyslem sdružování je odstranění duplicit při hodnocení aktiv, která jsou si svým charakterem podobná. Naopak je velmi nevhodné sdružovat aktiva, která se v určitých ohledech různí (např. řadový zaměstnanec a vrcholné vedení, router a koncová stanice, různé druhy softwaru apod.), neboť tato aktiva čelí odlišným hrozbám a zranitelnostem, a vyžadují proto samostatné posouzení.

U určených aktiv je nutné pověřit osobu, tzv. garanta aktiva. Garantem aktiva se rozumí osoba zastávající bezpečnostní roli pověřenou zajištěním rozvoje, použití a bezpečností aktiva.

Hodnocení aktiv

Další důležitou součástí řízení aktiv je stanovení metodiky pro hodnocení aktiv. Metodika musí být přizpůsobená potřebám organizace a osob, které s ní pracují (ve většině případů manažer kybernetické bezpečnosti a garanti aktiv). Tyto osoby s ní musí umět pracovat a být schopny na základě metodiky hodnocení aktiv provést. Při hodnocení aktiv je posuzováno, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv z hlediska integrity, důvěrnosti a dostupnosti a následně jsou rozdělena do jednotlivých úrovní v souladu se stanovenou metodikou pro hodnocení aktiv. Minimální rozsah hodnocení důležitosti aktiv je uvedený v následujících tabulkách:

Stupnice pro hodnocení důvěrnosti. Zdroj: příloha č. 1 vyhlášky

Stupnice pro hodnocení integrity. Zdroj: příloha č. 1 vyhlášky

Stupnice pro hodnocení dostupnosti. Zdroj: příloha č. 1 vyhlášky 

Pro hodnocení aktiv je přípustné rozšířit počet úrovní, či některé sloučit, nicméně je třeba dodržet jednoznačné vazby mezi vlastním hodnocením aktiv se způsobem uvedeným ve vyhlášce. Na hodnocení aktiv by se měli podílet garanti aktiv, kteří ve spolupráci s manažerem kybernetické bezpečnosti zajistí jejich řádné ohodnocení. Níže přikládáme zjednodušený katalog aktiv uvedený bez vazeb mezi primárními a podpůrnými aktivy. Hodnota aktiva je vypočtena jako maximální hodnota z dostupnosti, integrity a důvěrnosti.

Ukázka zjednodušeného katalogu aktiv. Zdroj: vlastní tvorba

Hodnocení důležitosti primárních aktiv

Při hodnocení důležitosti primárních aktiv je třeba posoudit především:

• rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů,
• rozsah dotčených právních povinností nebo jiných závazků nebo obchodního tajemství,
• rozsah narušení vnitřních řídicích a kontrolních činností,
• poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
• dopady na poskytování důležitých služeb,
• rozsah narušení běžných činností,
• dopady na zachování dobrého jména nebo ochranu dobré pověsti,
• dopady na bezpečnost a zdraví osob,
• dopady na mezinárodní vztahy,
• dopady na uživatele regulované služby.

Tento výčet není konečný, jsou uvedeny pouze nejdůležitější faktory. Každá organizace by si měla tento seznam rozšířit dle svých potřeb. V případě, že některý z faktorů uvedených na seznamu není pro dané aktivum relevantní, je tento faktor posouzen pouze ve smyslu nerelevantní.

Určení vazeb mezi primárními
a podpůrnými aktivy

Mezi primárními a podpůrnými aktivy existují vazby, které je nutné vzhledem ke složitosti systémů a potřebě správného ohodnocení aktiv znát, evidovat a hodnotit důsledky těchto závislostí. Tyto vzájemné vazby je nutné zohledňovat při hodnocení podpůrných aktiv. např. se v praxi může snadno stát, že několik primárních aktiv je závislých na jednom podpůrném aktivu. Taková vazba pak má vliv na hodnotu daného podpůrného aktiva.

Ochrana a způsoby likvidace aktiv

Na základě hodnocení aktiv je dále nutné zavádět příslušná pravidla ochrany pro zabezpečení jejich důvěrnosti, integrity a dostupnosti. Jedná se zejména o stanovení pravidel obsahujících minimálně:

• přípustné způsoby používání aktiv,
• pravidla pro manipulaci s těmito aktivy, včetně pravidel pro bezpečné elektronické sdílení a jejich fyzické přenášení,
• pravidla pro klasifikaci informací,
• pravidla pro označování aktiv,
• pravidla správy výměnných médií,
• pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv,
• dopady na zachování dobrého jména nebo ochranu dobré pověsti.

Jako příklad slouží příloha č. 1 vyhlášky, která popisuje možné způsoby ochrany aktiv a dále příloha č. 2 vyhlášky obsahující také příklady možných způsobů likvidace pro jednotlivé úrovně důvěrnosti aktiva. 

Likvidace aktiv

Tato oblast se zabývá stanovením pravidel pro mazání dat a likvidaci technických nosičů dat. Je nutné zvolit adekvátní úroveň likvidace vzhledem k hodnotě a důležitosti aktiv.

Co je nutné při sestavování pravidel pro likvidaci zohlednit?

• hodnotu aktiva (zejména z pohledu důvěrnosti),
• technologii (typy nosičů informací a dat),
• zda se nosiče informací a dat nachází pod přímou kontrolou povinné osoby či nikoliv,
• zda jsou nosiče informací a dat součástí dedikovaného nebo sdíleného prostředí,
• jaká osoba bude likvidaci informací a dat provádět (např. interní zaměstnanec nebo dodavatel),
• dostupnost zdrojů potřebných pro likvidaci (např. časové, lidské, finanční, technické),
• možné způsoby likvidace informací a dat nebo jejich nosičů,
• stavu nosiče informací a dat (např. při poškození nosiče nebude možné použít variantu přepisu informací a dat, ale některý ze způsobů fyzické likvidace).

Jaké existují způsoby likvidace aktiv?

• Odstranění (odstranění datového souboru, vyhození tištěného dokumentu, …).
  • Likvidace nosičů a dat tak, aby byla nedostupná.
  • Nejméně bezpečný způsob likvidace dat (lze obnovit).
  • Nosič digitálních dat musí podporovat opětovný zápis.
  • Použitelné pro nízkou úroveň důvěrnosti aktiva.
    
    
• Několikanásobné přepsání nosiče.
  • Přepsání nahodilými hodnotami.
  • Středně bezpečný způsob likvidace (volně dostupné nástroje neobnoví).
  • Není vhodné pro poškozená média nebo média s velkou kapacitou.
  • Nosič musí podporovat opětovný zápis.
  • Použitelné pro nízkou až vysokou úroveň důležitosti aktiva.
    
    
• Fyzické zničení nosiče (mechanicky, chemicky či tepelným způsobem).
  • Nejbezpečnější metoda likvidace dat (nelze znovu použít).
  • Použitelné pro nízkou až kritickou úroveň důležitosti aktiva.

Ukázka přípustných způsobů likvidace aktiv dle úrovně důležitosti aktiva