Katalog aktiv a riziková analýza jako základ bezpečnosti v nemocnici v Motole
Publikováno: 28.4.2018
Definice IT aktiv je základním kamenem kybernetické bezpečnosti. Aktivum má pro klienta vždy nějakou hodnotu a je potřeba znát alespoň řád tohoto aktiva nebo tuto hodnotu kategorizovat. Toto aktivum pak potřebujete chránit proti hrozbám, a právě hodnota aktiva by měla být určující pro úroveň zabezpečení. Kolik je ale aktiv v největší české nemocnici?
Katalog aktiv a riziková analýza
2017
Náš klient
- Fakultní nemocnice Motol – největší zdravotnické zařízení v ČR
- 6 000 zaměstnanců, téměř 2 500 lůžek
- ambulantně ošetří více jak jeden milion pacientů ročně
Potřeba klienta
- Vyhovění zákonu o kybernetické bezpečnosti
- Ucelený katalog IT aktiv
- Znalost datových aktiv v závislosti na uskupení informačních systémů
- Základní riziková analýza
Jak analýza proběhla
Na první schůzce jsme představili způsob, jakým bychom chtěli doplňovat jednotlivá aktiva. Dle dohody nám klient zaslal seznamy aplikačních aktiv a bezpečnostní politiku včetně příloh, směrnice v rámci IT a základní dokumentaci aplikací. To dalo základ seznamu aktiv. Dále jsme s klientem procházeli další zdroje jako byl helpdesk klienta, dohledový systém, zálohování, virtuální stroje. Infrastrukturální prvky jsme agregovali do stejného typu tak, aby aktiv byl rozumný počet. I tak v této fázi vzniklo skoro 80 aktiv, a to v seznamu nebyly obsaženy datová aktiva.
V další fázi jsme s garanty kategorizovali aktiva a u aplikací jsme identifikovali v nich obsažená data. Po této části jsme měli dohromady více jak 130 aktiv.
Začalo hodnocení aktiv na důvěrnost, dostupnost a integritu. Škála pro hodnocení byla použita se 4 hodnotami (nízká, střední, vysoká, kritická).
V rámci rizikové analýzy jsme připravili seznam rizik. Následně jsme hodnotili na workshopu zranitelnosti jednotlivých aktiv vůči dané hrozbě. Samozřejmě jsme pro toto hodnocení potřebovali znát řadu aspektů z hlediska bezpečnosti, jako jsou např. kde je systém provozován, architektura systému, komunikační protokoly, fyzické zabezpečení, antivirová kontrola a další. Hodnocení probíhalo společně na workshopu s klientem.
Realizace celé akce probíhala asi 3 měsíce a z toho více jak polovinu zabrala identifikace aktiv.
„Velmi mě potěšil přístup konzultantů z Blue Partners, kteří jasně načrtli průběh celé akce. Hodnocení rizik jsme prováděli nejdříve odděleně abychom se neovlivňovali. Následně jsme hodnotili nahlas a pokud jsme se rozcházeli, diskutovali jsme o důvodech. Bylo zajímavé, jak se na některé věci dá nahlížet. Všechny účastníky hodnotícího workshopu to obohatilo o jiné úhly pohledu na věc. To považuji za nejvíce přínosné.“
Ing. Martin Voříšek, MBA, vedoucí IT ve Fakultní nemocnici v Motole
Náročnost pro klienta
- Deset hodin na základní identifikaci služeb
- Deset hodin na základní datový katalog
- Jednotky hodin na aplikační specialisty pro hodnocení zranitelnosti
- Deset hodin na rizikovou analýzu
Klíčové přínosy očima klienta
- Vytvoření katalogu IT aktiv jako základního stavebního kamene kybernetické bezpečnosti
- Vytvoření základního datového katalogu nemocnice
Ukazatele projektu
- Celkem 140 IT „nemocničních“ aktiv v dělení na
- datová aktiva
- aktiva ve formě služby
- infrastrukturní a technologické celky
- zdravotechniky
- zaměstnance
- 24 aktiv na kritické (nejvyšší) úrovni
Výstupy
- Seznam aktiv včetně hodnocení
- Datový katalog a přiřazení aktivům
- Potenciální hrozby včetně druhu a typu aktiva na které působí
- Základní metodika a stupnice hodnocení
- Riziková analýza
