2. Znalostní báze
  3. Řízení shody NIS2
  4. Jak vytvořit registr aktiv pro NIS2

Jak vytvořit registr aktiv pro NIS2

Datum poslední aktualizace: 07. 11. 2024
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
3 z celkových 3 článek pomohl.

Jaká aktiva by měla být zahrnuta do analýzy aktiv NIS2?

Aktiva jako cenný předmět ochrany

Pro účely NIS2 a kybernetické bezpečnosti je informační aktivum definováno jako cokoli, co má hodnotu pro organizaci, kde jsou informace uloženy a zpracovávány. Zahrnuje data, informace, hardware a jakékoli cenné umístění v systémech organizace, kde jsou uchovávány, zpracovávány nebo přístupné citlivé informace. V podstatě cokoli, co lze napadnout, zničit, přerušit a v důsledku toho můžete přijít o data.

Inventář majetku musí obsahovat vše, co potřebujete k ochraně před kybernetickými útoky a jinými hrozbami

Primární aktiva

Podpůrná aktiva

  • Kritická infrastruktura organizace, infrastruktura a lidé, na kterých závisí doručování dat
  • Hardware (IT servery, síťová zařízení, počítače, notebooky atd.)
  • Software (podnikové aplikace a další software)
  • Lidé (zaměstnanci, dodavatelé, dobrovolníci a kdokoli, kdo zná důvěrné informace)
  • Služby (poskytované organizací nebo třetími stranami)
  • Místa (provozovny organizace, vzdálené kanceláře zaměstnanců atd.

Vše, co je potřeba chránit

Organizace by si měly vytvořit inventář majetku nejen proto, aby dosáhly souladu s NIS2, ale inventář je důležitým přehledem všech cenných aktiv, která je třeba nějakým způsobem chránit. Konkrétně inventarizace majetku je nezbytnou součástí procesu hodnocení rizik, protože je základním prvkem identifikace a hodnocení rizik bezpečnosti informací. Proto je důležitý vztah mezi aktivy, hrozbami, zranitelností a riziky.

  • hrozba je jakýkoli incident, který by mohl negativně ovlivnit aktivum – například pokud dojde ke ztrátě, vypnutí nebo přístupu neoprávněné strany.
  • Zranitelnost je organizační chyba, kterou lze zneužít hrozbou zničení, poškození nebo kompromitace aktiva.
  • Riziko lze definovat jako něco, co je v ohrožení (aktivum), aktéra, který to může zneužít (hrozba) a způsob, jakým se to může stát (zranitelnost).
  • Organizace proto musí identifikovat aktiva spolu s hrozbami a zranitelnostmi, pokud mají adekvátně provést hodnocení rizik

Inventář informačního majetku

U každého jednotlivého aktiva musíte uchovávat informace o jejich hodnotě, o tom, kdo je odpovědný za jejich ochranu nebo jaké jsou mezi nimi závislosti, abyste věděli, zda se s jedním aktivem něco stane, jak to ovlivní či neovlivní ostatní aktiva. To je důvod, proč jedním z klíčových požadavků NIS2 na shodu je vytvoření inventáře majetku. Toto je centrální seznam, registr, informačních aktiv, která je třeba chránit. Musí být sestaven registr nebo inventář těchto informačních aktiv, který ukazuje, jak jsou spravovány a kontrolovány na základě jejich důležitosti.

  • Inventář informačních aktiv je nezbytný pro správu informačních aktiv
  • Důležitý zdroj pro zmírnění rizik informační bezpečnosti, zranitelností a hrozeb
  • NIS2 nastiňuje, jak mohou organizace vytvořit inventář majetku

Jak sestavit inventář majetku krok za krokem pro NIS2 s Aptienem

  • Při vytváření inventáře majetku pro NIS2 můžete být v pokušení zvážit tabulku Excel.
  • Protože se však jedná o statický dokument, bude dříve nebo později velmi obtížné jej přesně aktualizovat a mohlo by to ohrozit vaše úsilí o zvýšení bezpečnosti v organizaci.
    Během procesu hodnocení rizik byste měli vytvořit inventář aktiv. Většina organizací používá přístup založený na majetku, a to je nejjednodušší způsob, jak vytvořit inventář majetku. Takže inventarizace majetku je součástí analýzy hodnocení rizik.
  • Proces začíná identifikací aktiv a následným rozpracováním příslušných rizik.
  • To znamená, že již máte evidenci majetku, kterou můžete použít jako základ inventury svého majetku.
  • NIS2 neobsahuje přísná pravidla pro podrobnosti, které musí být zahrnuty do inventáře majetku. Můžete například omezit inventář na název majetku a jeho vlastníka. Bude však také užitečné uvést podrobnosti, jako je umístění a kategorie aktiva.
  • S inventářem aktiv můžete začít pomocí nástroje Aptien pro hodnocení rizik.
  • Tento nástroj poskytuje jednoduchý a rychlý způsob poskytování opakovatelných a konzistentních hodnocení rok co rok. Jeho knihovna aktiv přiřazuje organizační role každé skupině aktiv a standardně aplikuje relevantní potenciální hrozby a rizika. Mezitím jeho integrované databáze rizik, zranitelností a hrozeb eliminují potřebu sestavovat seznam rizik a vestavěné kontrolní sady vám pomohou vyhovět více rámcům.
  • Aktiva jsou klíčový středobod analýzy rizik. Od nich se vše odvíjí.
  • Zákon vymezuje primární aktiva což jsou vaše data (a případně klíčové služby) a podpůrná aktiva jsou vše ostatní co potřebujete mít, aby váš systém fungoval. Nejprve je třeba aktivovat.
    Dalším krokem je identifikace vašich informačních aktiv.
  • To znamená zjistit, jaké typy informací máte, jako jsou osobní údaje, finanční záznamy, duševní vlastnictví nebo obchodní tajemství. Musíte také identifikovat zdroje, umístění, formáty a vlastníky vašich informačních aktiv, jako jsou databáze, servery, cloudové služby, notebooky nebo zaměstnanci. K identifikaci svých informačních aktiv můžete použít různé metody, jako jsou rozhovory, průzkumy, audity nebo revize dokumentace.

1. Identifikujte primární aktiva 

Primární aktiva jsou informace nebo data, které stojí na vrcholu pomyslné pyramidy. Mezi primární aktiva lze zařadit také služby, doporučujeme soustředit se ale na pouze data a informace, abyste v tom nezamotali. Primární aktiva jsou tedy data nebo informace, které když nemáte nebo nefungují, tak vaše organizace také nemůže fungovat, nemůže plnit své poslání. Jsou to tedy zásadní pro fungování vaší organizace:

2. Identifikujte podpůrná aktiva

Podpůrná aktiva zajišťují funkčnost respektive dostupnost primárních aktiv. Každé primární aktivum je závislé na jednom nebo více podpůrných aktivech, a tedy k provedení analýzy potřebujete tyto závislosti sledovat. Podpůrná aktiva jsou typicky tato:

  • Další data a informace
  • IT služby
  • Služby infrastruktury (např. dodávka elektřiny)
  • Hardware -  Výpočetní technika, sítě, a další IT technika
  • Média a nosiče data 
  • Zaměstnanci
  • Prostory a objekty

Once this has been done, there is a list of preset CIs that you can choose from to categorize them: trackable and non-trackable assets, software, business applications, users, location, and contracts. You can also add custom fields or build your own asset categories, if needed.

3. Určete garanty aktiv

  • Každé aktivum - primární nebo podpůrné musí mít jasně určenou odpovědnou osobu
  • Garanti svá aktiva dobře znají
  • Garanti aktiv jsou odpovědni za správu a řízení bezpečnosti aktiva po celou dobu jeho životnosti.  

4. Vytvořte vazby a souvislosti mezi primárními a podpůrnými aktivy

  • The next step is to build relationships between those assets. Who is the user owner of that laptop? Which software corresponds to that contract? Keep in mind that if you're working with more complex environments, CMDBs are the perfect feature to turn to.
  • Je důležité vědět, kde máte vaše data uložená nebo na čem jsou závislá a tedy jak případná nedostupnost podpůrných aktiv, jako jsou technologie, služby, systémy, lidé, aplikace ovlivní nedostupnost vašich dat.
  • Vazby mezi primární a podpůrnými aktivy vám pomohou vytvořit představu vzájemných závislostí.

5. Proveďte hodnocení všech svých aktiv 

  • Hodnocení aktiv vychází primárně z názoru garanta aktiva 
  • S pomocí garantů tedy proveďte hodnocení všech aktiv z hlediska důvěrnosti, dostupnosti a integrity. 
  • Hodnota každého aktiva je určována podle dopadu, tj. podle míry škody, která vznikne jeho poškozením nebo ztrátou.

Nyní máte seznam svých aktiv. Zadejte je všechny do registru aktiv, pro každé aktivum zadejte hodnocení a vytvořte si závislosti mezi primárními a podpůrnými aktivy. V dalším kroku si vytvoříte seznam hrozeb.

Doporučené úrovně důležitosti aktiv dle jejich dopadů na organizaci

  1. Nízká dopad je na úrovni nepohodlí 
  2. Střední menší újma 
  3. Vysoká závažná újma
  4. Kritická vede k závažným dopadům na organizaci, ty jsou dlouhodobé a nevratné

Kdo by měl být vlastníkem aktiva a jaké jsou jeho povinnosti?

Každé informační aktivum potřebuje vlastníka. To je osoba, která je zodpovědná za každodenní správu. Vlastník aktiva nemusí být nutně osobou, která je právně odpovědná za ochranu aktiva. Spíše jsou tou osobou, která je nejlépe vybavena k její údržbě. V závislosti na daném aktivu může být vhodným vlastníkem správce systému nebo manažer oddělení, pod kterým je aktivum umístěno.

Vlastníci aktiv jsou odpovědní za to, že aktiva jsou:

  • Inventarizováno;
  • Klasifikováno a chráněno;
  • Podléhá příslušným kontrolám přístupu; a
  • Řádně odstraněny nebo zničeny, když již nejsou potřeba.
  • tyto úkoly lze delegovat, ale konečnou odpovědnost musí vždy nést vlastník aktiva.

Provádějte pravidelné audity k ověření správnosti registru dlouhodobého majetku.

  • Pravidelné prověřování stavu

Klasifikujte a označujte svá informační aktiva

  • Jakmile identifikujete svá informační aktiva, musíte je klasifikovat a označit podle jejich hodnoty, citlivosti a kritičnosti. Klasifikace vám pomáhá určit úroveň ochrany a kontroly, kterou každé informační aktivum vyžaduje, na základě faktorů, jako jsou právní závazky, obchodní dopad nebo očekávání zákazníků. Označení vám pomůže sdělit klasifikaci relevantním