Je možné považovat bezpečnostní opatření za podpůrná aktiva?

Byť lze dle ČSN ISO/IEC 27005:2013 za aktivum považovat cokoliv, co má pro organizaci nějakou hodnotu, a bezpečnostní opatření nepochybně nějakou hodnotu má, tak bych je mezi podpůrná aktiva přesto neřadil.

Pokud je totiž mezi podpůrná aktiva zařadíte, dostanete se tak trochu do schizofrenní situace, protože před vámi vyvstane otázka, jaké opatření nasadíte za účelem jejich ochrany.

Běžně proto bezpečnostní opatření jako FW, IDS/IPS, AV, DLP, NBA, CCTV, zálohovací zařízení nebo SIEM v AR kritické informační infrastruktury nebo významného informačního systému nevystupují jako podpůrná aktiva.

Tím neříkám, že bezpečnostní opatření nemohou v analýze rizik vystupovat jako podpůrná nebo primární aktiva. Mohou, ovšem jen v jednom velice specifickém případě, a to když provozování těchto opatření je předmětem podnikání dané organizace.

Např. pro firmu nabízející ostatním organizacím za úplatu ochranu před DDoS útoky, bude zcela jistě primárním aktivem DDoS protektor, který za tímto účelem provozuje. V okamžiku, kdy by došlo k nedostupnosti tohoto zařízení, tak by daná firma nemohla tuto službu dál poskytovat.

A nejinak by tomu bylo i u firmy, která provozuje nějaký SIEM a SOC a za úplatu sbírá a vyhodnocuje události ze systémů a zařízení, které jsou do něj napojeny a řeší bezpečnostní incidenty.

Pro všechny ostatní firmy, které však těchto služeb jen využívají je DDoS protektor nebo SIEM či SOC jen jedno z mnoha bezpečnostních opatření, která je chrání před určitými hrozbami a v jejich analýze rizik jen snižuje pravděpodobnost hrozby, snadnost zneužití nebo dopad.

Trochu složitější situace může nastat např. u časových razítek. Představte firmu, která je v roli certifikační autority a vydává časová razítka. Taková firma bude zcela jistě svoji infrastrukturu považovat za primárním aktivum, protože bez ní by nemohla fungovat.

Pro ostatní firmy pak bude tato služba podpůrným aktivem nebo opatřením. Podle toho, zda svým klientům nabízí službu, jejíž součástí je časové razítko, anebo ho používá jen pro svojí vlastní potřebu.

Závěr: O tom, zda je dané bezpečnostní opatření podpůrným aktivem, rozhoduje, zda je na něm primární služba závislá nebo ne.

Představte si firmu, co provozuje dvě datová centra typu Tier 4 v režimu active-passive. Je druhé DC provozované v režimu passive opatření nebo podpůrné aktivum?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Je možné považovat bezpečnostní opatření za podpůrná aktiva?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: