Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

ISMS - ohodnocení aktiv

 

Je-li potřeba cokoliv hodnotit a analyzovat, je nutné danou entitu nejdříve popsat a identifikovat. Identifikace a ohodnocení aktiv organizace je základní krok v celkovém procesu analýzy rizik, která bude podrobně popsána v dalším pokračování seriálu. Vlastní proces ohodnocení aktiv si každá organizace může nastavit sama podle svých potřeb. Pokud neví, jak, základní popis nabízí norma ČSN ISO/IEC TR 13335. V tomto díle bude popsáno a ukázáno, jak by identifikace a ohodnocení aktiv mělo a mohlo probíhat.

Identifikace aktiv

Aby organizace mohla provést ohodnocení svých aktiv, musí je nejprve identifikovat. V této etapě se doporučuje seskupit všechna aktiva, která k sobě logicky patří. Například programová aktiva, bezpečnostní aktiva, obchodní aktiva, služby apod. Vždy je také třeba identifikovat vlastníka každého daného aktiva. Vlastníkem aktiva rozumíme přímo pověřenou osobu, plně odpovědnou za toto aktivum. S tímto vlastníkem posléze určujeme konkrétní hodnotu aktiva.

Aktivum je komponenta nebo určitá část celého systému, které organizace přikládá určitou hodnotu a pro kterou je třeba mít nastavený způsob ochrany. Zde je důležité si uvědomit, že aktivum vůbec nemusí být tvořeno hardwarem nebo softwarem. Mezi nejdůležitější aktiva řadíme:

  • - informace - data (klasicky zákaznický systém)
  • - hardware (PC, tiskárna, notebook)
  • - software (aplikace apod.)
  • - komunikační zařízení (sítě, telefony, modemy)
  • - dokumenty (smlouvy, zápisy apod.)
  • - personál (know how)
  • - image organizace

 

Jistě se nejedná o zcela vyčerpávající seznam. Ve výrobní firmě to mohou být například vyrobené součástky, v obchodě peníze apod. Bohužel praxe je taková, že všechna aktiva mimo hardware a software bývají hrubě podceňována. Zvláště markantní je podcenění papírových dokumentů, kterých je v každé organizaci mnoho. Obvykle jsou uloženy v nechráněných prostorách s volným přístupem. A často se jedná o strategické dokumenty (porady vedení, obchodní jednání, smlouvy, agenda personálního charakteru apod.)

Nástroje

K hodnocení aktiv je vhodné využít softwarový nástroj. Existují specializované programy (například CRAMM metodika). Případně je možné vytvořit si základní tabulky pro výpočet ohodnocení aktiv například v programu MS Excel nebo v jiném tabulkovém editoru.

Poznámka: CRAMM (CCTA Risk Analysis and Management Method) je metodika a soubor softwarových nástrojů pro zavádění a podporu systému řízení bezpečnosti informací (Information Security Management System nebo ISMS) pro provádění identifikace a ohodnocení aktiv, analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních protiopatření, určování havarijních požadavků na informační systém a k návrhům na řešení havarijních situací.)

Ohodnocení aktiv

Dalším logickým krokem je stanovit stupnici a hodnotící kritéria, která budou použita k přiřazování ohodnocení určitého aktiva. Tato stupnice může být vyjádřena penězi nebo kvalitativními hodnotami. Je na uvážení organizace a výskytu konkrétních aktiv, kterou z variant zvolíte. Možné je také obě varianty kombinovat. Stupnice peněžní bude vyjadřovat v místní měně hodnotu určitého aktiva. Stupnice kvalitativní vyjadřuje hodnotu v termínech například od velmi nízká až po kritická. Typické termíny používané pro kvalitativní hodnocení jsou:

ohodnocení aktiv

Důležité je také barevné odlišení. Máme-li mít rozsáhlé tabulky s hodnocením aktiv, pomohou vhodně zvolené barvy k jednodušší orientaci. Výběr a rozsah termínů, které si organizace zvolí, závisí na bezpečnostních potřebách organizace, její velikosti apod. Má-li organizace zaveden systém řízení kvality (ISO 9001), může využít stávající model k ohodnocení aktiv.

Hlavním principem při ohodnocení aktiv jsou náklady vzniklé v důsledku porušení DŮVĚRNOSTI, INTEGRITY a DOSTUPNOSTI. Tedy tyto tři kritéria poskytují podklady pro ohodnocení aktiv. Typická otázka tak může například znít: „ jaký dopad bude mít na organizaci nedostupnost centrálního informačního systému?" Odpověď od „žádný dopad na organizaci, až po existenční potíže organizace". Toto hodnocení je třeba provádět s majitelem aktiv. Protože jeho hodnocení může být subjektivně zbarveno, je vhodné provést podobné interview s některým „superuživatelem" daného aktiva. Tato forma křížové kontroly je důležitým faktorem upřesnění hodnoty aktiva a je doporučováno provádět ji u všech aktiv, u nichž existuje předpoklad vysoké hodnoty pro organizaci.

Celá řada aktiv může mít v průběhu hodnocení přiřazeno několik hodnot. Například informační systém může být hodnocen z hlediska pořizovacích investic, z hlediska důvěrnosti a dostupnosti, z hlediska práce nutné na implementaci apod. Každá z takto definovaných hodnot se bude zcela jistě lišit. Finálně přiřazená hodnota se může rovnat maximální hodnotě ze všech uvedených, může být průměrem nebo součtem. Ať si vyberete jakýkoliv model, musíte jej pak použít pro všechny aktiva, u nichž je využita kombinovaná hodnota. Nezapomeňte, že zde stanovené hodnoty slouží jako základ pro analýzu rizik a výpočet nákladů na jejich ochranu.

 

Poznámka: 

Slovníček pojmů - ISO/IEC 13335-1:2004 (samostatná tabulka)

  • - aktivum (asset) - cokoliv, co má pro organizaci nějakou hodnotu
  • - dostupnost (availability) - zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby
  • - důvěrnost (confidentiality) - zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni
  • - integrita (integrity) - zajištění správnosti a úplnosti informací

 

Výpočet hodnoty aktiva

Pro výpočet ohodnocení aktiva je možno využít různé postupy. Nejjednodušším a také nejpoužívanějším je tzv. součtový algoritmus. Principem je součet: Dostupnost + Důvěrnost + Integrita /3. (x+y+z/3).

 

Následuje praktická ukázka:

Hodnotící škála 1-5 (viz. Výše)

 

Aktivum:Data o zákaznících - Systém 1

Hodnota aktiva z hlediska Dostupnosti 5

Hodnota aktiva z hlediska Důvěrnosti 5

Hodnota aktiva z hlediska Integrity 3

 

Celková váha: 5+5+3/3 = 4

 

Závěr: Ztráta tohoto aktiva může pro organizaci znamenat vážné potíže či podstatné finanční ztráty

 

Tento součtový algoritmus poskytuje nejrychlejší způsob, jak získat hodnotu aktiva.  Zároveň také odpovídá na otázku, jaký dopad pro organizaci bude mít zničení, případně poničení tohoto systému. Je vhodné při hodnocení aktiva věnovat zvýšené úsilí detailnímu popisu a „pátrání", kde všude dané aktivum může být umístěno. Na příkladu, který je zde uváděn, lze provést ukázku. Aktivum, které je hodnoceno se jmenuje „Data o zákaznících". Je jasné, že taková data nejsou umístěna jen na jednom místě. Takové informace se nachází v informačním systému, na síťových úložištích, na noteboocích pracovníků organizace a často také na mobilních zařízeních. Požadujeme-li tedy úplné a přesné ohodnocení aktiva „data o zákaznících", je třeba ohodnotit jejich dostupnost, důvěrnost a integritu na všech lokacích, kde jsou umístěna. Dá se tedy jednoduše odvodit, že detailní ohodnocení je třeba udělat nejen pro informační systém, ale také pro síťové disky, notebooky a mobilní zařízení. Na obrázku je patrné, jak by mohla tabulka pro ohodnocení aktiv vypadat.

výpočet hodnoty aktiva

 

 

 



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění