K předchozí kapitole: E-kniha „NIS2 jednoduše“ – 7 hlavních opatření pro zajištění bezpečnosti (4/12)

Obecně

Primárním aktivem je obvykle služba zajišťující core byznys společnosti. Pro účely NIS2 je to pak vždy regulovaná služba = důvod proč se na vaši organizaci vztahuje NIS2. Podpůrné aktivum je to, na čem je služba/aplikace provozována. Aktiva musíme chránit, aby byla zajištěna jejich důvěrnost, dostupnost a integrita. Každé primární aktivum by mělo mít přiřazeného garanta, který má potřebné kompetence k zajištění bezpečnosti a umí vyhodnotit výši rizika při ohrožení aktiva.

Pro garanty

  • Řízení aktiv
    • Identifikujte, evidujte a hodnoťte primární aktiva včetně přiřazení garantů
    • Identifikujte a evidujte podpůrná aktiva a jejich vazby na primární aktiva
  • Bezpečnost primárních aktiv (aplikací a služeb)
    • Zajistěte logování uživatelských akcí v požadovaném detailu, včetně doby uchovávání informací
    • Definujte a aplikujte pravidla pro ochranu systému před škodlivým kódem (např. při nahrání souborů)
    • Zajistěte potřebnou úroveň dostupnosti (např. load balancing, cluster, apod.)
    • Odstaňte nebo anonymizujte nepotřebná data nebo taková, jejichž uchovávání přestává být v souladu s právními normami
    • Dokumentujte kritické aplikace obsahující popis architektury systému, popis existujících rozhraní, seznam pravidelných činností, odpovědnosti, kontakty, záruční a licenční specifikace

Typické nedostatky ve firmách

Velmi často společnosti nemají nadefinovaná aktiva vůbec anebo se jedná o seznam všech aplikací, počítačů apod. Správné určení garantů aktiv je již zcela výjimečné. Není pravda, že garanti musí znát danou službu nebo aplikaci podrobně, ale měly by být schopni rozhodovat v kontextu hlavních procesů služby. Stává se, že díky neznalosti závislostí aplikací na dalších službách, integrovaných aplikacích a HW, jsou nastaveny zbytečně vysoké hodnoty SLA, a v případě problému se pak toto SLA stejně nezaktivuje. Dokumentace je pak bolavé místo všech. Když už nějaká je, tak je často složité se v ní orientovat. Lepší stručnou přehlednou a aktualizovanou dokumentaci než štosy papírů, v kterých se nic nenajde.

Tento článek je součástí e-knihy „NIS2 jednoduše“, kterou si celou můžete stáhnout zde.

K další kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 2: Ukotvení IT bezpečnosti (6/12)

Konzultace k NIS2 zdarma

NIS2: konzultace se specialistou ZDARMA

Neváhejte a využijte možnost bezplatné konzultace s našimi odborníky. Zavolejte nám nebo napište a zjistěte, jak vám můžeme pomoci s přípravou na NIS2.