Informační aktiva
Aktualizováno: 6.6.2022
Informační aktiva jsou zařízení, programy a informace, na kterých závisí chod firmy nebo instituce. Především se jedná o data v informačních systémech, dokumentech společnosti a jejich zálohách. Soupis informačních aktiv je základním kamenem efektivního řízení nákladů na jejich ochranu.
Co jsou informační aktiva
Informační aktiva jsou zařízení, programy, data a informace, na kterých závisí chod firmy nebo instituce a které je nezbytné chránit. Představují všechny informační hodnoty, které organizace vlastní a které jí umožňují dosahovat jejích cílů. Především se jedná o data v informačních systémech, dokumentech společnosti a jejich zálohách, ale také o hardware, software, služby a znalosti zaměstnanců. Soupis informačních aktiv je základním kamenem efektivního řízení nákladů na jejich ochranu a výchozím bodem pro většinu bezpečnostních procesů.
Kategorizace aktiv
Aktiva se tradičně dělí na primární a podpůrná:
Primární aktiva
Jedná se o digitální aktiva, jež mají zásadní roli při plnění hlavní náplni práce společnosti a bez kterých by daná organizace nemohla vykonávat svou činnost.
- Informační aktiva - Informace uložené v informačních systémech a dokumentech společnosti. Bez těchto dat by společnost nebyla schopna účinného rozhodování a nebyla by schopna naplňovat svoje cíle. Patří sem databáze zákazníků, finanční výkazy, projektová dokumentace, zdrojové kódy aplikací nebo duševní vlastnictví.
- Služby IT – Informační a komunikační služby, které podporují hlavní činnosti organizace. Tyto služby jsou ve vrcholové úrovni sepsány do Katalogu služeb. Zahrnují například e-mailové služby, systémy pro řízení vztahů se zákazníky (CRM) nebo podnikové informační systémy (ERP).
- Znalosti – Vědomosti, bez kterých by organizace nemohla úspěšně fungovat. V dnešní době je právě přenos a zachování znalostí (kontinua znalostí) ve firmě zásadní. Patří sem know-how, metodiky, postupy práce a odborné znalosti zaměstnanců.
Podpůrná aktiva
Jsou aktiva, která slouží k podpoře aktiv primárních.
- Objekty – Prostředky pro zajištění fyzické bezpečnosti (např. trezory, zámky, elektronické zóny, bezpečnostní dveře, serverovny, datová centra)
- Technologie – Softwarové a hardwarové vybavení (neobsahující data), jako jsou servery, síťové prvky, operační systémy nebo vývojová prostředí
- Procesy IT – Pravidla, principy, postupy a činnosti podporující provoz IT, jako jsou procesy zálohování, správy změn nebo řízení incidentů
- Osoby – Pracovníci, jež se starají o fungování primárních aktiv (administrátor, programátor, operátor helpdesku)
- Dodavatelé – Externí subjekty zajišťující funkcionalitu a funkčnost služeb IT, kteří nejsou zaměstnanci společnosti
Evidence informačních aktiv
Při evidenci informačních aktiv se typicky zaznamenávají následující údaje:
- Identifikátor - jedinečné označení aktiva v rámci evidence
- Název a popis - srozumitelný název a detailní popis aktiva
- Vlastník - osoba zodpovědná za správu a ochranu aktiva
- Správce - osoba nebo tým zajišťující technickou správu aktiva
- Klasifikace - hodnocení z hlediska důvěrnosti, integrity a dostupnosti
- Umístění - fyzické nebo logické umístění aktiva
- Vazby na další aktiva - závislosti mezi aktivy
- Životní cyklus - informace o stáří, plánované výměně nebo vyřazení
- Požadavky na bezpečnost - specifické bezpečnostní požadavky
- Aplikovaná bezpečnostní opatření - implementovaná opatření pro ochranu
- Datum poslední aktualizace - kdy byla evidence naposledy aktualizována
- Historie změn - záznamy o předchozích změnách v evidenci
Ochrana informačních aktiv
Pouze spolehlivý soupis informačních aktiv umožňuje jejich efektivní ochranu. Bez znalosti digitálních aktiv, klíčových hodnot organizace, není možno určit efektivní náklady na jejich ochranu.
Význam aktiva (klasifikace) z pohledu bezpečnosti informací se určuje na základě tří základních metrik:
- Důvěrnost - s aktivem může pracovat pouze entita, která k tomu je autorizovaná
- Dostupnost - digitální aktivum je připraveno v případě potřeby k použití autorizované entitě
- Integrita - aktivum nesmí být změněno, vytvořeno a odstraněno bez autorizovaného přístupu
Správa informačních aktiv
Informační aktiva se identifikují analýzou aktiv, při níž IT specialisté společně se zástupci byznysu označí prostředky a informace významné pro hladký chod společnosti. Každé takové aktivum je pak popsáno a klasifikováno. Následně je zpracován návrh zabezpečení aktiva a určena osoba zodpovědná za realizaci navržených opatření. Přednostně jsou obvykle zabezpečována aktiva s nejvyšší stanovenou hodnotou.
Pro efektivní správu informačních aktiv je doporučeno implementovat proces pravidelné revize a aktualizace evidence aktiv, ideálně v rámci systému řízení informační bezpečnosti (ISMS) podle standardu ISO/IEC 27001.
Přínosy systematické správy informačních aktiv
Systematický přístup ke správě informačních aktiv přináší organizaci řadu výhod:
- Lepší přehled o informačních hodnotách organizace
- Efektivnější alokace zdrojů na ochranu nejcennějších aktiv
- Snížení pravděpodobnosti bezpečnostních incidentů
- Rychlejší reakce na bezpečnostní incidenty
- Soulad s regulatorními požadavky (GDPR, DORA, zákon o kybernetické bezpečnosti atd.)
- Podpora rozhodování o investicích do IT infrastruktury
- Zlepšení kontinuity podnikání a schopnosti obnovy po havárii
Analýza dopadů (BIA) a informační aktiva
Informační aktiva představují klíčový vstup pro analýzu dopadů na podnikání (Business Impact Analysis, BIA). Při BIA se posuzuje, jaký dopad by měl výpadek nebo ztráta konkrétních informačních aktiv na činnost organizace. Na základě této analýzy se stanovují parametry jako:
- RTO (Recovery Time Objective) - maximální tolerovaná doba výpadku aktiva
- RPO (Recovery Point Objective) - maximální tolerovaná ztráta dat v případě obnovy
- MTPD (Maximum Tolerable Period of Disruption) - nejdelší doba, po kterou může být aktivum nedostupné, než způsobí nevratné škody organizaci
- Finanční dopad - vyčíslení finančních ztrát při nedostupnosti aktiva
- Operační dopad - vliv na provozní činnosti organizace
- Reputační dopad - poškození pověsti organizace v případě incidentu
Výsledky BIA pomáhají organizaci stanovit priority při ochraně aktiv a alokovat adekvátní zdroje pro jejich zabezpečení a obnovu.
Informační aktiva v analýze rizik
Informační aktiva tvoří základní vstup pro analýzu rizik. Identifikace a hodnocení aktiv je prvním krokem při posuzování rizik informační bezpečnosti. Při analýze rizik se postupuje následovně:
1. Identifikace aktiv - sestavení seznamu všech relevantních informačních aktiv
2. Ohodnocení aktiv - určení hodnoty aktiv pro organizaci
3. Identifikace hrozeb - určení potenciálních hrozeb, které mohou aktiva ohrozit
4. Identifikace zranitelností - určení slabých míst, která mohou být zneužita
5. Vyhodnocení rizik - kombinace hodnoty aktiva, pravděpodobnosti hrozby a míry zranitelnosti
6. Návrh opatření - definice bezpečnostních opatření pro snížení rizik
Pro každé aktivum je důležité identifikovat specifická rizika a navrhnout odpovídající bezpečnostní opatření, která jsou přiměřená hodnotě aktiva a míře rizika.
