Katalog aktiv a riziková analýza jako základ bezpečnosti v nemocnici v Motole

Definice IT aktiv je základním kamenem kybernetické bezpečnosti. Aktivum má pro klienta vždy nějakou hodnotu a je potřeba znát alespoň řád tohoto aktiva nebo tuto hodnotu kategorizovat. Toto aktivum pak potřebujete chránit proti hrozbám, a právě hodnota aktiva by měla být určující pro úroveň zabezpečení. Kolik je ale aktiv v největší české nemocnici?
  1. < Jiné příklady z praxe

Katalog aktiv a riziková analýza

2017

Náš klient

  • Fakultní nemocnice Motol – největší zdravotnické zařízení v ČR
  • 6 000 zaměstnanců, téměř 2 500 lůžek
  • ambulantně ošetří více jak jeden milion pacientů ročně

Potřeba klienta

  • Vyhovění zákonu o kybernetické bezpečnosti
  • Ucelený katalog IT aktiv
  • Znalost datových aktiv v závislosti na uskupení informačních systémů
  • Základní riziková analýza

Jak analýza proběhla

Na první schůzce jsme představili způsob, jakým bychom chtěli doplňovat jednotlivá aktiva. Dle dohody nám klient zaslal seznamy aplikačních aktiv a bezpečnostní politiku včetně příloh, směrnice v rámci IT a základní dokumentaci aplikací. To dalo základ seznamu aktiv. Dále jsme s klientem procházeli další zdroje jako byl helpdesk klienta, dohledový systém, zálohování, virtuální stroje. Infrastrukturální prvky jsme agregovali do stejného typu tak, aby aktiv byl rozumný počet. I tak v této fázi vzniklo skoro 80 aktiv, a to v seznamu nebyly obsaženy datová aktiva.

V další fázi jsme s garanty kategorizovali aktiva a u aplikací jsme identifikovali v nich obsažená data. Po této části jsme měli dohromady více jak 130 aktiv.

Začalo hodnocení aktiv na důvěrnost, dostupnost a integritu. Škála pro hodnocení byla použita se 4 hodnotami (nízká, střední, vysoká, kritická).

V rámci rizikové analýzy jsme připravili seznam rizik. Následně jsme hodnotili na workshopu zranitelnosti jednotlivých aktiv vůči dané hrozbě. Samozřejmě jsme pro toto hodnocení potřebovali znát řadu aspektů z hlediska bezpečnosti, jako jsou např. kde je systém provozován, architektura systému, komunikační protokoly, fyzické zabezpečení, antivirová kontrola a další. Hodnocení probíhalo společně na workshopu s klientem.

Realizace celé akce probíhala asi 3 měsíce a z toho více jak polovinu zabrala identifikace aktiv.

„Velmi mě potěšil přístup konzultantů z Blue Partners, kteří jasně načrtli průběh celé akce. Hodnocení rizik jsme prováděli nejdříve odděleně abychom se neovlivňovali. Následně jsme hodnotili nahlas a pokud jsme se rozcházeli, diskutovali jsme o důvodech. Bylo zajímavé, jak se na některé věci dá nahlížet. Všechny účastníky hodnotícího workshopu to obohatilo o jiné úhly pohledu na věc. To považuji za nejvíce přínosné.“

Ing. Martin Voříšek, MBA, vedoucí IT ve Fakultní nemocnici v Motole

Náročnost pro klienta

  • Deset hodin na základní identifikaci služeb
  • Deset hodin na základní datový katalog
  • Jednotky hodin na aplikační specialisty pro hodnocení zranitelnosti
  • Deset hodin na rizikovou analýzu

Klíčové přínosy očima klienta

  • Vytvoření katalogu IT aktiv jako základního stavebního kamene kybernetické bezpečnosti
  • Vytvoření základního datového katalogu nemocnice

Ukazatele projektu

  • Celkem 140 IT „nemocničních“ aktiv v dělení na
    • datová aktiva
    • aktiva ve formě služby
    • infrastrukturní a technologické celky
    • zdravotechniky
    • zaměstnance
  • 24 aktiv na kritické (nejvyšší) úrovni

Výstupy

  • Seznam aktiv včetně hodnocení
  • Datový katalog a přiřazení aktivům
  • Potenciální hrozby včetně druhu a typu aktiva na které působí
  • Základní metodika a stupnice hodnocení
  • Riziková analýza

Řešené potřeby

Související služby

Další příklady z praxe

Audit IT na největší soukromé škole

Provedli jsme audit IT řízení na největší soukromé škole v ČR. Proč je vhodné si udělat základní nezávislý audit IT řízení?

Top manažeři
IT manažeři
Kontakt

Co můžeme udělat pro vás?