Jak vést katalog primárních aktiv?

Jak mít přehled všech primárních aktiv v organizaci?

Pro potřeby informační, kybernetické bezpečnosti, ISO 27000, NIS2 je třeba vést katalog primárních informačních aktiv ve vaší organizaci. K tomu slouží tato evidence primárních aktiv, která je určená pro vytvoření a vedení přehledu všech primárních informačních aktiv v organizaci. Tuto evidenci budete používat společně s evidencí podpůrných aktiv. Dále pak společně s evidencemi rizik, zranitelností a hrozeb. Díky tomu získáte ucelený přehled všech souvislostí, které potřebujete pro řízení rizik i naplnění povinností z NIS2, respektive zákona o kybernetické bezpečnosti.  

• Získáte přehled o všech primárních aktivech
  
• Budete mít katalog primárních aktiv v celé firmě a jejich závislostí na podpůrných aktivech
• Detailní karta aktiva pro každé jednotlivé primární aktivum

Vytvoření evidence primárních aktiv krok za krokem 

Když pomáháme týmům s informační bezpečností, často začínáme na workshopu s týmem pro informační bezpečnost a zástupci managementu, kteří jsou za jednotlivá informační aktiva odpovědni. S nimi tvoříme katalog informačních aktiv následujícím způsobem.

1. Začnete primárními aktivy (daty)

1. Nejprve se soustřeďte na primární informační aktiva, tedy vaše data
2. Identifikujte klíčové informace, bez kterých nemůžete vaše organizace fungovat. Pomozte si větou "když o ně přijdeme, končíme" nebo "když je někdo zneužije, máme velký problém"
3. Vyjmenujte 3-10 základních informační aktiv, to vám pomůže neutopit se v detailu
4. Pojmenujte dopad zničení nebo ztráty pro každé z nich. Pomozte si představit, jaký důsledek bude mít pro vás jejich ztráta na stupnici od nepoznáme to až po nebudeme fungovat?
5. Zhodnoťte, zda jde opravdu o primární aktivum a ne podpůrné
6. Body 2-5 opakujte, dokud nebudete mít uspokojitelný výsledek, pozor abyste nezařadili podpůrná aktiva.

2. K primárním aktivům vytvořte seznam podpůrných aktiv 

1. Identifikujte klíčové systémy, software, hardware nebo infrastrukturu, kde máte uložena svá data (primární aktiva)
2. Postupujte od každého primárního aktiva s otázkou "kde a jak jsou data uložena" 
3. Pojmenujte dopad pro každou z nich. Jaký důsledek bude mít pro vás jejich nedostupnost na stupnici od nepoznáme to až po nebudeme fungovat?
4. Body 1-3 opakujte, dokud nebudete mít seznam všeho co musí fungovat, aby mohla fungovat i vaše firma

Závislosti mezi primárními a podpůrnými aktivy

• Pro potřeby splnění NIS2 a zákona o kybernetické bezpečnosti, musíte evidovat také závislosti mezi primárními a podpůrnými aktivy
• Jedno primární aktivum může být závislé na podpůrných aktivech
• Jedno podpůrné aktivum může podporovat více primárních aktiv
• V Aptien vedete tyto informace jako souvislosti mezi vašimi katalogy primárních a podpůrných aktiv

Údržba evidence primárních aktiv

• Evidenci informačních aktiv by měl tým bezpečnosti informací průběžně aktualizovat na základě nových aktiv, rizik, workshopů, incidentů a dotazů ostatních zaměstnanců
• Měl by být pravidelně validován vedením a vlastníky aktiv, každých šest měsíců nebo jednou ročně.
• Doporučujeme naplánovat pravidelné schůzky na téma bezpečnosti informací, kde jedním z bodů programu je i revize seznamu vašich informačních aktiv
• Vedení firmy by mělo zkontrolovat, zda jsou přítomna všechna informační aktiva, o kterých ví a o které se starají
• Vlastníci informačních aktiv by si měli ověřit, zda uznávají a rozumí všem aktivům, která jsou jim přiřazena, a jsou ochotni nést odpovědnost