E-kniha „NIS2 jednoduše“ – Opatření č. 1: Aktiva (5/12)
Aktualizováno: 22.11.2024
Správa aktiv v digitálním věku: Důležitost správného určení garantů a ochrany primárních a podpůrných aktiv pro splnění požadavků NIS2.
K předchozí kapitole: E-kniha „NIS2 jednoduše“ – 7 hlavních opatření pro zajištění bezpečnosti (4/12)
Obecně
Primárním aktivem je obvykle služba zajišťující core byznys společnosti. Pro účely NIS2 je to pak vždy regulovaná služba = důvod proč se na vaši organizaci vztahuje NIS2. Podpůrné aktivum je to, na čem je služba/aplikace provozována. Aktiva musíme chránit, aby byla zajištěna jejich důvěrnost, dostupnost a integrita. Každé primární aktivum by mělo mít přiřazeného garanta, který má potřebné kompetence k zajištění bezpečnosti a umí vyhodnotit výši rizika při ohrožení aktiva.
Pro garanty
- Řízení aktiv
- Identifikujte, evidujte a hodnoťte primární aktiva včetně přiřazení garantů
- Identifikujte a evidujte podpůrná aktiva a jejich vazby na primární aktiva
- Bezpečnost primárních aktiv (aplikací a služeb)
- Zajistěte logování uživatelských akcí v požadovaném detailu, včetně doby uchovávání informací
- Definujte a aplikujte pravidla pro ochranu systému před škodlivým kódem (např. při nahrání souborů)
- Zajistěte potřebnou úroveň dostupnosti (např. load balancing, cluster, apod.)
- Odstaňte nebo anonymizujte nepotřebná data nebo taková, jejichž uchovávání přestává být v souladu s právními normami
- Dokumentujte kritické aplikace obsahující popis architektury systému, popis existujících rozhraní, seznam pravidelných činností, odpovědnosti, kontakty, záruční a licenční specifikace
Typické nedostatky ve firmách
Velmi často společnosti nemají nadefinovaná aktiva vůbec anebo se jedná o seznam všech aplikací, počítačů apod. Správné určení garantů aktiv je již zcela výjimečné. Není pravda, že garanti musí znát danou službu nebo aplikaci podrobně, ale měly by být schopni rozhodovat v kontextu hlavních procesů služby. Stává se, že díky neznalosti závislostí aplikací na dalších službách, integrovaných aplikacích a HW, jsou nastaveny zbytečně vysoké hodnoty SLA, a v případě problému se pak toto SLA stejně nezaktivuje. Dokumentace je pak bolavé místo všech. Když už nějaká je, tak je často složité se v ní orientovat. Lepší stručnou přehlednou a aktualizovanou dokumentaci než štosy papírů, v kterých se nic nenajde.
Tento článek je součástí e-knihy „NIS2 jednoduše“, kterou si celou můžete stáhnout zde.
K další kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 2: Ukotvení IT bezpečnosti (6/12)