Proces: Hodnocení aktiv+

Esko-KB

Metodik doporučuje: naplánujte si práci tak, aby nejdříve u Vámi sledovaných aktiv byl plnohodnotně a kvalifikovaně dokončen proces hodnocení aktiv a teprve poté byl zahájen proces analýzy rizik daných aktiv. Celý proces nemusí probíhat současně v celé organizaci, může být asynchronní z hlediska různých aktiv, ale z hlediska konkrétního aktiva je vhodné postupovat od dokončeného hodnocení aktiv k analýzy rizik.

Předpoklady

Proces identifikace, evidence a navazující hodnocení aktiv je prvním komplexním, současně základním a nezbytným krokem přípravy na bezpečnostní audit.

Obecná charakteristika

Cílem identifikace, evidence a hodnocení aktiv je:

vydefinovat a ujasnit strukturu organizace z hlediska primárních informačních aktiv a tuto strukturu zaevidovat;
vydefinovat a ujasnit strukturu organizace z hlediska podpůrných (tzv. typových) informačních aktiv spadajících pod jednotlivá primární aktiva a tato aktiva zaevidovat;
v případě potřeby (zejména z důvodů subdodávek IT služeb apod.) je možné si zavést třetí, nejdetailnější úroveň tzv. upřesněných podpůrných aktiv a ta zaevidovat;
stanovit tzv. hodnotu aktiva* z hlediska organizace (neboli jeho relativní ekonomický význam pro organizaci);
veškeré tyto poměrně pracně získané informace je nutno přehledně a důkladně zaevidovat, archivovat a připravit k další periodické práci (tj. k dalšímu auditu, průběžnému sledování opatření apod.).

* Někdy uváděno také jako tzv. "dopad"

Vlastní vyhodnocení hodnoty aktiva stanovuje uživatel na základě kvalifikovaného úsudku s podporou Esko-KB, kdy nástroj především hlídá kvalitu zadávaných informací a jejich vzájemnou konzistenci včetně křížových provázaností mezi různými úrovněmi aktiv.

Vstupními údaji pro stanovení výsledné hodnoty aktiva jsou:

důvěrnost* ;
integrita* ;
dostupnost*.

* hodnoty zadává garant v rámci hodnocení aktiv

Výstupním údajem je:

numericky vyjádřená relativní hodnota tzv. hodnota aktiva.

Technote: vlastní výpočet hodnoty aktiva probíhá automaticky vždy v okamžiku aktualizace řádku v tabulce hodnocení aktiv.

Uživatelský postup

Aktiva -> Hodnocení aktiv:

zvolte konkrétní podpůrné aktivum u kterého chcete provádět analýzu rizik;
pokud u daného aktiva neexistuje žádný řádek analýzy rizik, pak stiskněte tlačítko Nový záznam a přidejte první analýzu;
pokud chcete přidat další záznam analýzy rizik, stiskněte tlačítko plus na předchozí analýze;
vyberte příslušnou zranitelnost;
zadejte hodnotu zranitelnosti dle vlastního uvážení;
vyberte odpovídající hrozbu;
zadejte hodnotu hrozby dle vlastního uvážení;
stiskněte symbol uložení dat.

Technote: v tuto chvíli za předpokladu, že v předchozím procesu hodnocení aktiv, bylo aktivum úspěšně vyhodnoceno, systém automaticky vypočte hodnotu aktiva a to na základě vzájemné hierarchické provázanosti aktiv. Garant má ovšem možnost výpočet dodatečně korigovat s tím, že vstup od garanta má vyšší prioritu než automatizovaný výpočet.

V praxi dochází také k dodatečným korekcím vstupních hodnot hodnocení aktiv. Je žádoucí tyto dodatečné vstupy organizačně omezovat. Současně však platí, že Esko-KB provádí automatické dodatečné korekce výpočtů v případě, že došlo k dodatečné změně vstupního parametru. Tímto principem je zajišťována průbežná konzistence vzájemně provázaných hodnot.

Uživatelé operačního systému iOS a prohlížeče Safari musí na svém zařízení nastavit v sekci Web povolení Pop-up Window, aby odstranili problém s generováním Pdf souboru

Výstupní dokumentace

Dokumentace -> Hodnocení aktiv:

můžete zvolit požadovanou filtraci dat dle jednoho nebo více aktiv (přednastaveno zobrazit vše);
můžete zvolit požadovanou filtraci dat dle jednoho nebo více přiřazených garantů (přednastaveno zobrazit vše);
stiskněte tlačítko OK.

Vytvoří se sestava dat Hodnocení aktiv v elektronické a současně i tisknutelné podobě (formát Pdf), která obsahuje veškeré položky, u kterých bylo dokončeno jejich vyhodnocení (tedy byly zadány veškeré vstupní údaje nezbytné pro výpočet hodnocení aktiv a tento výpočet úspěšně proběhl).

Buďte součástí komunity

Kybernetická bezpečnost "na klíč".