2. Znalostní báze
  3. Pojmy v kyberbezpečnosti
  4. Co jsou primární aktiva?

Co jsou primární aktiva?

Datum poslední aktualizace: 12. 01. 2025
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
110 z celkových 112 článek pomohl.

Definice primárních aktiv

Primární aktiva jsou z pohledu řízení informační a kybernetické bezpečnosti primárním předmětem ochrany, tedy jsou to především jakákoliv data, informace, znalosti, která mají pro  firmu hodnotu a jejich ztráta, odcizení nebo zneužití by byla pro firmu problém, protože bez nich nemohou fungovat procesy a nemůže probíhat rozhodování a řízení.

  • Primární aktiva jsou služby nebo informační aktiva důležitá z pohledu ochrany
  • Služby jsou výstupem
  • Primární aktiva jsou primárním předmětem ochrany a pomáhají stanovit priority
  • Primární aktiva stojí na vrcholu pomyslné pyramidy

Podívejte se zde jak identifikovat vaše primární aktiva.

Příklady primárních aktiv

  • Osobní data zákazníků
  • Přihlašovací údaje
  • Záloha s daty
  • Obchodní plány
Co jsou primární aktiva

Provozní závislost na podpůrných IT aktivech

Aktiva netvoří jeden plochý seznam. Jsou různě důležitá a mají mezi sebou závislosti. Ztráta jednoho aktiva může poškodit hodnotu jiného informačního aktiva. Například vytopení serverovny poškodí aplikace a tedy i data, které jsou na něm uložena. Je tedy nutné chránit nejen software na úrovni kybernetické bezpečnosti (proti kybernetickým útokům), ale také serverovnu na úrovni fyzické bezpečnosti (proti vyhoření, vykradení, vytopení). 

  • Sekundární, podpůrná informační aktiva je vše, co umožňuje a podporuje poskytování dat, tedy software, hardware, fyzická infrastruktura, služby a lidé.

Podpůrná aktiva zahrnují vše, co musí fungovat a musíte chránit a zabezpečit

  • Software: software a aplikace kde jsou data uložena nebo zpracovávána
  • Hardware: Jakékoliv další IT nebo jiné vybavení
  • Sítě a komunikační infrastruktura
  • Fyzická infrastruktura: Místnosti a fyzické objekty, fyzické vybavení, lokalita, na které závisí jiná aktiva, například serverovna
  • Lidé: jako nositelé znalostí a informací, i jako zdroj rizika nebo selhání 
  • Nakupované služby a procesy: IT služby, externí (outsourcované), například cloudové úložiště dat nebo dodávka elektřiny

Jak Aptien pomůže vést evidenci primárních aktiv

Přehled  informačních aktiv je nezbytným základem pro řízení bezpečnosti informací. Její vytvoření zpravidla prvním krokem. 

  • pro udržování inventáře informačních aktiv použijte evidenci informačních aktiv
  • v ní udržujete přehled informační aktiv, rozdělených podle výše uvedené metodiky nebo podle vlastní metodiky
  • ke každému aktivu vedete klíčové informace, jako jsou typ, důvěrnost a další
  • každé jednotlivé aktivum můžete provázat s dalšími a vést tak jejich souvislosti
  • soupis informačních aktiv by měl být aktualizován, když se objeví další aktiva
Evidence informačních aktiv

Vytvoření evidence primárních aktiv krok za krokem 

Když pomáháme týmům s informační bezpečností, často začínáme na workshopu s týmem pro informační bezpečnost a zástupci managementu, kteří jsou za jednotlivá informační aktiva odpovědni. S nimi tvoříme katalog informačních aktiv následujícím způsobem.

1. Začnete primárními aktivy (daty)

  1. Nejprve se soustřeďte na primární informační aktiva, tedy vaše data
  2. Identifikujte klíčové informace, bez kterých nemůžete vaše organizace fungovat. Pomozte si větou "když o ně přijdeme, končíme" nebo "když je někdo zneužije, máme velký problém"
  3. Vyjmenujte 3-10 základních informační aktiv, to vám pomůže neutopit se v detailu
  4. Pojmenujte dopad zničení nebo ztráty pro každé z nich. Pomozte si představit, jaký důsledek bude mít pro vás jejich ztráta na stupnici od nepoznáme to až po nebudeme fungovat?
  5. Zhodnoťte, zda jde opravdu o primární aktivum a ne podpůrné
  6. Body 2-5 opakujte, dokud nebudete mít uspokojitelný výsledek, pozor abyste nezařadili podpůrná aktiva.

2. K primárním aktivům vytvořte seznam podpůrných aktiv 

  1. Identifikujte klíčové systémy, software, hardware nebo infrastrukturu, kde máte uložena svá data (primární aktiva)
  2. Postupujte od každého primárního aktiva s otázkou "kde a jak jsou data uložena" 
  3. Pojmenujte dopad pro každou z nich. Jaký důsledek bude mít pro vás jejich nedostupnost na stupnici od nepoznáme to až po nebudeme fungovat?
  4. Body 1-3 opakujte, dokud nebudete mít seznam všeho co musí fungovat, aby mohla fungovat i vaše firma

Údržba evidence primárních aktiv

  • Evidenci informačních aktiv by měl tým bezpečnosti informací průběžně aktualizovat na základě nových aktiv, rizik, workshopů, incidentů a dotazů ostatních zaměstnanců
  • Měl by být pravidelně validován vedením a vlastníky aktiv, každých šest měsíců nebo jednou ročně.
  • Doporučujeme naplánovat pravidelné schůzky na téma bezpečnosti informací, kde jedním z bodů programu je i revize seznamu vašich informačních aktiv
  • Vedení firmy by mělo zkontrolovat, zda jsou přítomna všechna informační aktiva, o kterých ví a o které se starají
  • Vlastníci informačních aktiv by si měli ověřit, zda uznávají a rozumí všem aktivům, která jsou jim přiřazena, a jsou ochotni nést odpovědnost

Informační aktiva podle české legislativy - zákona o kybernetické bezpečnosti

V mezinárodním prostředí se používá zpravidla výše uvedené rozdělení informačních aktiv. Zákon o kybernetické bezpečnosti (181/2014 Sb.) platný v České republice rozděluje informační aktiva následovně:

  • primární aktiva jsou jsou informace, data nebo služby 
  • podpůrná aktiva jsou zaměstnanci, dodavatelé, objekty, technické prostředky a infrastruktura
Doporučujeme znát
Kam pokračovat dále