Směrnice NIS2 – Seriál o kybernetické bezpečnosti: co je aktivum
Mgr. Michaela Holíková
Milé posluchačky, milí posluchači, vítám vás u druhého dílu seriálu o povinnostech, které přináší návrh nového zákona o kybernetické bezpečnosti. V tomto díle se podíváme na základní povinnosti poskytovatele regulované služby.
V tomto díle se podíváme na povinnost provést identifikaci aktiv. To je důležitý první krok, který je povinný pro subjekty spadající do vyššího režimu povinností a osobně ho velmi doporučuji provést i subjektům, které spadají do režimu nižších povinností, protože jim významně usnadní další předepsané kroky.
Ptáte se, co je aktivum?
Aktivum je základní kámen úvah o kybernetické bezpečnosti a rozděluje se na primární a podpůrná. Za aktivum lze označit cokoliv, co je důležité pro fungování vaší společnosti, a proto to potřebujete z pohledu kybernetické bezpečnosti náležitě chránit. Podle návrhu zákona o kybernetické bezpečnosti se za aktivum označuje fyzický nebo digitální prostředek, osoba nebo činnost související se zpracováváním informací a dat v elektronické podobě.
Tolik definice zákona, pojďme se na to podívat prakticky. První otázkou, kterou si při identifikaci aktiv musíte položit je, jaké služby vaše společnost poskytuje, jaké jsou jádrem vašeho podnikání. Touto úvahou si vytvoříte seznam primárních aktiv typu služba. Identifikaci těchto aktiv doporučuji provést v širším kruhu spolupracovníků, ať máte jistotu, že vám žádná poskytovaná služba ze seznamu nevypadla. Jakmile máte vytvořený tento seznam primárních aktiv, podívejte se ještě na to, s jakými informacemi tyto služby pracují.
Dalším krokem, který navazuje na identifikaci primárních aktiv, je stanovení rozsahu řízení kybernetické bezpečnosti. Tomu se budeme do detailu věnovat v dalším díle našeho seriálu, nyní pracujeme s modelovou situací, kdy jsou všechna identifikovaná primární aktiva regulovanou službou.
V dalším kroku je potřeba provést identifikaci takzvaných podpůrných aktiv.
Zjednodušeně řečeno jde o další rozpracování vytvořeného seznamu, na jehož konci máte přesnou představu, jaké systémy, hardware, dodavatele, ale také zaměstnance potřebujete k poskytování definovaných služeb. Do seznamu podpůrných aktiv rovněž spadají také budovy a další ohraničené prostory, ve kterých se aktiva nacházejí. Prakticky se mi osvědčilo provádět mapování podpůrných aktiv jako samostatnou aktivitu a podporované primární aktivum k nim potom přiřazuji jako jeden z atributů. Při mapování podpůrných aktiv je důležité, aby vhodné osoby a oddělení zvolily, se kterými budete mapování provádět. Ne vždy má oddělení informačních technologií představu o všech využívaných systémech a stejně tak ne vždy má právní oddělení nebo oddělení nákupu povědomí o všech využívaných dodavatelích.
Nakonec si nezapomeňte do seznamu podpůrných aktiv zavést atributy technických aktiv. Těmi jsou technické nebo programové prostředky či vybavení tvořící informační systémy.
Pokud jste správně provedli výše popsané kroky, měli byste nyní mít správně identifikovaná aktiva. V případě, že si stále s rozdělením nejste jisti, máme pro vás šablonu pro vytvoření registru aktiv. V případě zájmu vám ji rádi poskytneme. Ozvěte se nám buď do komentáře na sociálních sítích, nebo přes naše webové stránky.
Těším se na vás u dalšího dílu!