Jak identifikovat primární a podpůrná aktiva a zachytit závislost mezi nimi

Cílem tohoto příspěvku je objasnit, jaký je rozdíl mezi primárními a podpůrnými aktivy a jaký je mezi nimi vztah.

S pojmem primární a podpůrná aktiva, někdy označována též jako sekundární, se můžeme setkat v rámci analýzy rizik. Na první pohled by se mohlo zdát, že sekundární aktiva jsou méně významná, ale není tomu tak, protože primární aktiva jsou na podpůrných závislá.

Odpověď na otázku, co že jsou to vlastně ta primární a podpůrná aktiva však nehledejte ve vyhlášce 316/2014 Sb. k ZoKB 181/2014 Sb., nýbrž v normě ČSN ISO/IEC 27005, příloha B, kde se píše, že:

• primární aktiva jsou informace, obchodní procesy a činnosti, které když jsou narušeny, tak organizace nemůže plnit své poslání
• podpůrná aktiva jsou HW, SW, sítě, pracovníci, lokalita, organizace, na kterých jsou primární aktiva závislá

V citované normě je uveden i výčet typických primárních aktiv a poměrně detailní seznam jednotlivých podpůrných aktiv včetně jejich popisu, takž byste už neměli být na pochybách, co je to primární a podpůrné aktivum.

Za účelem identifikace všech primárních a podpůrných aktiv můžete postupovat např. podle návodu, který je uveden v knize Řízení informačních rizik v praxi, kdy byste primární aktiva měli identifikovat ve spolupráci s obchodními útvary a podpůrná aktiva pak prostřednictvím objektově hierarchické dekompozice systému.

Pokud však provádíte analýzu kritické infrastruktury nebo významného informačního systému, tak pak musíte kromě primárních a podpůrných aktiv evidovat také závislosti mezi primárními a podpůrnými aktivy. Vyhláška a ani norma však bohužel neobsahují žádné doporučení, jak tyto závislosti zachytit, takže je to na vás.

K určení závislosti by vám mohla stačit sada následujících tří otázek, které by vám měly přinést odpověď na otázku, zda dané primární aktivum je závislé na podpůrném či nikoliv. Pokud odpovíte na kteroukoliv z následujících tří otázek ANO, tak pak se jedná o podpůrné aktivum, a to by mělo být jako takové evidováno a dále hodnoceno.

• Povede nedostupnost (selhání, zničení nebo krádež) zvažovaného aktiva k ohrožení dostupnosti primárního aktiva (informací/služeb)?
• Slouží dané podpůrné aktivum ke zpracování, ukládání nebo přenosu primárních aktiv (informací/služeb)?
• Když dojde ke kompromitaci nebo změně fungování onoho podpůrného aktiva, ohrozí to nějak integritu primárního aktiva (informací/služeb)?

Teď už jen zbývá vyřešit, jak onu závislost zachytit. Samotnou závislost můžete zachytit schematicky na obrázku nebo v matici. Na obrázku by mělo v zásadě stačit zakreslit primární aktiva a pod nimi pak všechna podpůrná spojená čarou vedoucí až k primárnímu aktivu.

Matice pak může v záhlaví obsahovat primární aktiva, kterých bývá zpravidla méně a v řádcích pak mít uvedena všechna podpůrná aktiva, kterých je nesrovnatelně více. Ona závislost pak může být označena křížkem.

Zpravidla však je závislost mezi primárními a podpůrnými aktivy velice přímočará, protože služby a informace poskytované nějakým systémem jsou dostupné koncovému uživateli přes síť prostřednictvím nějakého programu, který využívá služeb operačního systému, běžícího na nějakém severu, který je umístěn v datovém centru a to je závislé na dodávce el. proudu a klimatizaci a selhání kterékoliv komponenty pak má větší či menší dopad na dostupnost, integritu a důvěrnost.

Štítky: analýza rizik

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.