Co jsou primární aktiva?

Primární aktiva jsou to, co má pro organizaci zásadní hodnotu a co tedy musí přímo chránit. Jsou to typicky informace nebo obchodní procesy a služby, které vytváří nebo sami tvoří core business value pro zákazníka organizace (produkty, služby, klíčová data, zákaznické procesy). Všechno ostatní (hardware, software, sítě, lidé, prostory, dodavatelé) se bere jako podpůrná (supporting) aktiva, která umožňují poskytovat primární aktiva. 

Primární aktiva musí tedy v zájmu své existence firma chránit. Jsou v informační a kybernetické bezpečnosti primárním předmětem ochrany, protože mají pro firmu existenční hodnotu a jejich ztráta, odcizení nebo zneužití by byla pro firmu problém.

• Primární aktiva představuje pro firmu byznysovou hodnotu nebo výstup, stojí na vrcholu pomyslné pyramidy
• Primární aktiva jsou informační aktiva, poskytované služby nebo výrobní procesy či technologie důležité pro existenci firmy
• Podpůrná aktiva jsou ta, která umožňují existenci a provoz primárních aktiv – tj. bez nich by to nefungovalo, ale sama o sobě nejsou důvodem existence firmy (interní procesy, IT infrastruktura, HR systémy apod.)

Podívejte se zde jak identifikovat vaše primární aktiva.

Příklady primárních aktiv

• Osobní data zákazníků
• Přihlašovací údaje
• Obchodní plány
• Výrobní proces

Závislost na podpůrných aktivech

Aktiva netvoří jeden plochý seznam. Jsou různě důležitá a mají mezi sebou závislosti. Ztráta jednoho aktiva může poškodit hodnotu jiného aktiva. Jsou také závislá na podpůrných aktivech. Například vyhoření serverovny poškodí aplikace a tedy i data, které jsou na něm uložena. Je tedy nutné chránit nejen software na úrovni kybernetické bezpečnosti (proti kybernetickým útokům), ale také serverovnu na úrovni fyzické bezpečnosti (proti vyhoření, vykradení, zatopení). 

• Podpůrná informační aktiva je vše, co umožňuje existenci a provoz primárních aktiv, tedy software, hardware, fyzická infrastruktura, podpůrné služby a lidé.
• Software: jsou všechny software a aplikace kde jsou data uložena nebo zpracovávána
• Hardware: zahrnuje servery a další IT nebo jiné vybavení, na kterých je provozovaný software
• Sítě a komunikační infrastruktura umožňují bezpečný přenos dat
• Fyzická infrastruktura: Místnosti a fyzické objekty, fyzické vybavení, lokality (například serverovna), ve kterých je umístěn hardware nebo síťová infrastruktura , například serverovna
• Lidé: jako nositelé znalostí a informací, i jako zdroj rizika nebo selhání 
• Nakupované služby a procesy: IT služby, externí (outsourcované), například cloudové úložiště dat nebo dodávka elektřiny

Jak Aptien pomůže vést evidenci primárních aktiv

Přehled  informačních aktiv je nezbytným základem pro řízení bezpečnosti informací. Její vytvoření zpravidla prvním krokem. 

• pro udržování inventáře informačních aktiv použijte evidenci informačních aktiv
• v ní udržujete přehled informační aktiv, rozdělených podle výše uvedené metodiky nebo podle vlastní metodiky
• ke každému aktivu vedete klíčové informace, jako jsou typ, důvěrnost a další
• každé jednotlivé aktivum můžete provázat s dalšími a vést tak jejich souvislosti
• soupis informačních aktiv by měl být aktualizován, když se objeví další aktiva

Vytvoření evidence primárních aktiv krok za krokem 

Když pomáháme týmům s informační bezpečností, často začínáme na workshopu s týmem pro informační bezpečnost a zástupci managementu, kteří jsou za jednotlivá informační aktiva odpovědni. S nimi tvoříme katalog informačních aktiv následujícím způsobem.

1. Začnete primárními aktivy (daty)

1. Nejprve se soustřeďte na primární informační aktiva, tedy vaše data
2. Identifikujte klíčové informace, bez kterých nemůžete vaše organizace fungovat. Pomozte si větou "když o ně přijdeme, končíme" nebo "když je někdo zneužije, máme velký problém"
3. Vyjmenujte 3-10 základních informační aktiv, to vám pomůže neutopit se v detailu
4. Pojmenujte dopad zničení nebo ztráty pro každé z nich. Pomozte si představit, jaký důsledek bude mít pro vás jejich ztráta na stupnici od nepoznáme to až po nebudeme fungovat?
5. Zhodnoťte, zda jde opravdu o primární aktivum a ne podpůrné
6. Body 2-5 opakujte, dokud nebudete mít uspokojitelný výsledek, pozor abyste nezařadili podpůrná aktiva.

2. K primárním aktivům vytvořte seznam podpůrných aktiv 

1. Identifikujte klíčové systémy, software, hardware nebo infrastrukturu, kde máte uložena svá data (primární aktiva)
2. Postupujte od každého primárního aktiva s otázkou "kde a jak jsou data uložena" 
3. Pojmenujte dopad pro každou z nich. Jaký důsledek bude mít pro vás jejich nedostupnost na stupnici od nepoznáme to až po nebudeme fungovat?
4. Body 1-3 opakujte, dokud nebudete mít seznam všeho co musí fungovat, aby mohla fungovat i vaše firma

Údržba evidence primárních aktiv

• Evidenci informačních aktiv by měl tým bezpečnosti informací průběžně aktualizovat na základě nových aktiv, rizik, workshopů, incidentů a dotazů ostatních zaměstnanců
• Měl by být pravidelně validován vedením a vlastníky aktiv, každých šest měsíců nebo jednou ročně.
• Doporučujeme naplánovat pravidelné schůzky na téma bezpečnosti informací, kde jedním z bodů programu je i revize seznamu vašich informačních aktiv
• Vedení firmy by mělo zkontrolovat, zda jsou přítomna všechna informační aktiva, o kterých ví a o které se starají
• Vlastníci informačních aktiv by si měli ověřit, zda uznávají a rozumí všem aktivům, která jsou jim přiřazena, a jsou ochotni nést odpovědnost
  

Informační aktiva podle české legislativy - zákona o kybernetické bezpečnosti

V mezinárodním prostředí se používá zpravidla výše uvedené rozdělení informačních aktiv. Zákon o kybernetické bezpečnosti (181/2014 Sb.) platný v České republice rozděluje informační aktiva následovně:

• primární aktiva jsou jsou informace, data nebo služby 
• podpůrná aktiva jsou zaměstnanci, dodavatelé, objekty, technické prostředky a infrastruktura