1. Význam a benefity

Tato politika má za cíl stanovit postupy a protokoly podporující účinnou správu aktiv organizace, konkrétně zaměřenou na primární a podpůrná aktiva VISu.

2. Rozsah

Tato politika se vztahuje na:

•             všechny zaměstnance VVŠ,

•             informační aktiva vytvořená nebo používaná v rámci VISu, a

•             na uživatele těchto aktiv.

Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti § 3, 4, 5, 6

3. Informační vyhlášení

Lze rozlišit dva druhy aktiv - primární a podpůrná aktiva. Jako aktivum se může chápat vše, co má pro organizaci hodnotu.

a) Identifikace, hodnocení a evidence primárních aktiv

Organizace musí provést identifikaci svých aktiv a musí vést jejich evidenci.

Každému aktivu musí přiřadit jeho hodnotu (aktuální pořizovací cenu).

NÚKIB vydal průvodce řízením aktiv, viz kapitola 4.1.1 Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.

1. Určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta

Primární aktiva jsou jedinečná (IT služby, systémy, informace), vycházející z klíčových procesů a činností VVŠ.

Při jejich identifikaci se vychází z dokumentů např.:

•             organizačního řádu,

•             zakládací listiny,

•             legislativních zdrojů,

•             smluv, směrnic, příruček, manuálů,

•             interních aktů řízení organizace, …

Pro analýzu a dokumentaci vlastností, závislostí a složení všech aktiv jsou klíčové pohovory s vedoucími odborných útvarů.

Každé jednotlivé primární aktivum má přiřazeného garanta, v případě služeb technického správce. Tito musí být uvedeni v evidenci primárních aktiv.

Garant zodpovídá za zajištění rozvoje, použití a bezpečnost aktiva.

Garanty primárních aktiv bývají nejčastěji pracovníci zastávající role typu vedoucí oddělení, ředitelé odborů, vlastník procesu atd.

Primární aktivum je jednoho ze tří typů:

•             systém;

•             informace/agenda;

•             služba;

Aktiva musí být evidována ve vhodném systému evidence aktiv a evidence musí obsahovat podrobné údaje. Zejména:

•             ID aktiva,

•             název,

•             garant aktiva,

•             hodnocení aktiva z hlediska důležitosti (DDI - Dostupnost, Důvěrnost, Integrita),

•             hodnota aktiva,

•             detailní popis – v případě, že se jedná o typové aktivum tak i specifikace toho, co zahrnuje,

•             další informace o aktivu – např. kdo jsou jeho uživatelé, jaké agendy jej využívají, jaká legislativa se aktiva týká atd.

2. Hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti (DDI)

Minimální rozsah hodnocení důležitosti primárních aktiv (§4, bod 2 Vyhlášky):

rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,

rozsah dotčených právních povinností nebo jiných závazků,

rozsah narušení vnitřních řídicích a kontrolních činností,

poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,

dopady na poskytování důležitých služeb,

rozsah narušení běžných činností,

dopady na zachování dobrého jména nebo ochranu dobré pověsti,

dopady na bezpečnost a zdraví osob,

dopady na mezinárodní vztahy a

dopady na uživatele informačního a komunikačního systému.

Příkladové tabulky hodnocení důležitosti aktiv dle DDI jsou uvedeny v příloze č. 1 vyhlášky. Je nutné dodržet jednoznačné vazby mezi používaným způsobem hodnocení důležitosti aktiv a stupnicemi a úrovněmi pro hodnocení důležitosti aktiv.

Proces hodnocení důležitosti, společně s požadovaným posouzením dopadů narušení bezpečnosti primárních aktiv, je detailněji popsán v kapitole 4.1.4 Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti a příklad poskytnut v příloze 3.

Příkladová tabulka hodnocení aktiv je dostupná v příloze 6. Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.

b) Identifikace, hodnocení a evidence podpůrných aktiv

Podpůrná aktiva zajišťují existenci primárních aktiv. Bývají sdílená pro více primárních aktiv.

1. Určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta

Podpůrná aktiva mohou být společná pro více primárních aktiv.

Podpůrné aktivum (na které spoléhají primární aktiva) je jednoho že šesti typů:

•             HW - technické vybavení

•             SW - programové vybavení

•             Objekty - prostory, budovy

•             Komunikační prostředky - infrastruktura

•             Lidské zdroje

•             Dodavatelé

Při identifikaci podpůrných aktiv je nutné vycházet z architektury systému a potřeby pro funkčnost primárního aktiva. Co se týče míry detailu podpůrných aktiv, organizace musí zvolit takový detail, aby byla schopna adekvátně identifikovat a řídit rizika s aktivy spojená.

Evidence podpůrných aktiv obsahuje i jejich garanty. Jelikož jsou to pracovníci, kteří se podílí na provozu, rozvoji, správě a bezpečnosti daného podpůrného aktiva, je často role garanta totožná s rolí správce podpůrného aktiva.

Určení jednotlivých garantů podpůrných aktiv určuje ředitel IT ve spolupráci manažera kybernetické bezpečnosti a garantů primárních aktiv a vedoucích oddělení pracovníků, kteří mají za podpůrná aktiva odpovědnost.

Procesy identifikace podpůrných aktiv a garantů podpůrných aktiv jsou detailněji popsány v kapitolách 4.2.1 a 4.2.3 Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.

Stejně jako všechna primární aktiva, je nezbytné evidovat i podpůrná aktiva. U podpůrných aktiv se musí evidovat tyto údaje:

•             ID aktiva,

•             název,

•             garant aktiva,

•             hodnocení aktiva z hlediska důvěrnosti, integrity a dostupnosti,

•             detailní popis – v případě, že se jedná o typové aktivum tak i specifikace toho, co zahrnuje,

•             další informace o aktivu – např. kdo jsou jeho uživatelé, jaké agendy jej využívají, jaké mají dodavatele, zda se jedná o významné dodavatele či provozovatele atd.

Pro potřeby řízení aktiv a rizik je nutné zahrnout do evidence vlastnosti a zranitelnosti jednotlivých typových podpůrných aktiv:

•             switch (výpadek napájení, chyba administrátora, přetížení, uplink, …)

•             klimatizace (výpadek napájení, porucha, nefunkční monitoring, …)

•             UPS (výdrž na baterie, nefunkční monitoring, automatické testování, …)

•             motorgenerátor (doba náběhu, porucha, nefunkční monitoring, spotřeba paliva, …)

•             apod.

2. Určení vazeb mezi primárními a podpůrnými aktivy

Hodnocení podpůrných aktiv musí být v souladu s hodnocením primárních aktiv. Stejně jako u primárních aktiv je nutno provést jejich hodnocení a posoudit dopad narušení bezpečnosti informací – je tedy nutné tato aktiva hodnotit minimálně z pohledu důvěrnosti, integrity a dostupnosti. Při posuzování hodnoty aktiv je nutné uvažovat o nejhorším možném scénáři a nebrat v úvahu bezpečnostní opatření.

Při hodnocení podpůrných aktiv je nutné a klíčové zohlednit vazby mezi podpůrnými a primárními aktivy. Existuje několik variant, jak toho lze dosáhnout:

•             Varianta A: Podpůrná aktiva dědí hodnoty primárních aktiv

•             Varianta B: Podpůrná aktiva jsou posuzována individuálně s ohledem na hodnotu primárních aktiv

•             Varianta C: Podpůrná aktiva přebírají hodnoty primárních aktiv prostřednictvím vzorce

Určení vazeb je detailněji popsáno v kapitole 4.2.4 Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.

c) Pravidla ochrany jednotlivých úrovní aktiv

Aby bylo možné určit pravidla ochrany aktiv, je nejdřív nutno provést hodnocení důležitosti aktiv podle stupnic hodnocení důvěrnosti, integrity, dostupnosti.

Následně je nutné vybrat nejvyšší hodnotu, čímž dojde k zařazení informace do výsledné úrovně, podle které budou aplikována pravidla pro ochranu informací.

Jako příklad pravidel ochrany jednotlivých úrovní aktiv je tabulka č. 2 kapitoly 3 Minimálního bezpečnostního standardu od Národního úřadu pro kybernetickou a informační bezpečnost.

1. Způsoby rozlišování jednotlivých úrovní aktiv - informace

Na základě hodnocení aktiv se musí určit možné způsoby zacházení s jednotlivými aktivy, které obsahují informace a stanovit možné způsoby likvidace dat pro jednotlivé úrovně aktiv. Způsoby zacházení s jednotlivými aktivy musí být zvoleny přiměřeně k jednotlivým úrovním aktiv. Klasifikaci informací musí provést odpovědný garant aktiva nebo autor informace.

Úroveň aktiva ovlivní sdílení informací o aktivu. Příkladem může být použití např. TLP pro sdílení informací.

2. Pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv

Pravidla pro manipulaci a evidenci aktiv platí pro všechna aktiva, která obsahují informace. Aktiva jsou označována v souladu s nastavenými pravidly podle jejich klasifikace.

3. Přípustné způsoby používání aktiv

VVŠ musí definovat pravidla pro přijatelné použití aktiv. Tato pravidla se musí vztahovat na všechny uživatele aktiv, dodavatele a třetí strany a musí být zdokumentována v politice přijatelného použití.

d) Způsoby spolehlivého mazání nebo ničení technických nosičů dat, informací, provozních údajů a jejich kopií

Způsoby likvidace jsou popsány v příloze č. 4 k vyhlášce č. 82/2018 Sb. o kybernetické bezpečnosti. Tabulka v příloze je rozdělena do 4 úrovní podle důležitosti aktiv. Pravidla pro likvidaci dat by měla být stanovena přiměřeně hodnotě a důležitosti aktiv.