Riadenie aktív, hrozieb a rizík

Rastúca závislosť na informačných technológiách znamená zároveň i dramatický nárast rizík a potrebu nepretržitej a systematickej ochrany informácií – teda ochrany majetku, hmotného, ale aj nehmotného.

Dátum publikácie:23. 10. 2019
Autor:Ing. Ivan Makatura

tt_itam

Informačný majetok

Podľa rôznych definícií sa pod pojmom vlastníctvo myslí plná kontrola nad vecou alebo akoukoľvek potenciálnou hodnotou. Za vlastníctvo sa považuje všetko, čo človeku patrí, nad čím má plnú moc. Avšak za hodnotu sa okrem hmotných statkov nepochybne považujú aj nehmotné statky a práva, v digitálnej ére súhrnne nazývané informačné aktíva.

Pojem informačné aktíva (angl. „information assets“) je používaný pre označenie širokej skupiny komponentov informačnej architektúry. Informačným aktívom môže byť každá informácia, systém, aplikácia alebo hardvér v majetku organizácie, ktorý sa používa pri prevádzkových činnostiach. Záleží len od vlastníkov alebo štatutárneho vedenia organizácie, do akého detailu bude evidovať tento svoj informačný majetok.

Proces správa informačných aktív (angl. „IT Asset Management“, v skratke ITAM) zvyčajne zahŕňa zhromaždenie podrobného inventára databáz, hardvéru, softvéru a sieťových zariadení organizácie a následné použitie informácií o tomto inventári na prijímanie kvalifikovaných rozhodnutí, okrem iného súvisiacich aj s kybernetickou bezpečnosťou. V rámci procesu riadenia informačných aktív by mali byť identifikované všetky aktíva súvisiace so zariadeniami na spracovanie informácií a informačnými prostriedkami. Inventár týchto aktív by mal byť centrálne zaznamenaný a riadený. Je zrejmé, že v komplexných heterogénnych prostrediach by bolo nemožné udržať prehľad o informačnej architektúre organizácie bez funkčného procesu ITAM.

Osvedčených metodík pre kategorizáciu informačných aktív paradoxne nie je mnoho. Informačná architektúra je špecializovaná disciplína, ktorá interpretuje informácie a vyjadruje určenie cieľov a požiadaviek. Umožňuje štruktúrovaný návrh zdieľaného prostredia, navrhuje metódy organizácie, vzájomného vzťahu a pomenovania všetkých artefaktov, ktoré vstupujú do spracúvania informácií počas celého ich životného cyklu. Odborná verejnosť zrejme najčastejšie odkazuje na terminológiu rámca informačnej architektúry podľa metodiky TOGAF9. Zjednodušené, vysokoúrovňové zobrazenie jednej časti rámca architektonického obsahu podľa tejto metodiky je na nasledujúcom obrázku:

obr01_clanok_7-10-2019_nove

 

Kým informačná architektúra je vo všeobecnosti dizajn organizácie, jej štruktúry a pomenovania častí procesov, systémov, sietí a softvéru s cieľom podporiť čo najlepšiu použiteľnosť informačných aktív – bezpečnostná architektúra je vymedzenie okolia systémov a procesov a ich vzťahu k možnému narušeniu bezpečnosti.

Zrejme je zbytočné zdôrazňovať, že bez jasného prehľadu o informačných aktívach organizácie je nemožné zaručiť bezpečnosť informácií, ktoré organizácia považuje za hodné ochrany. Proces riadenia informačných aktív (ITAM) a riadenia informačnej bezpečnosti spolu úzko súvisia. Manažér informačnej bezpečnosti a manažér zodpovedný za IT architektúru podniku sú odsúdení na spoluprácu. Vo väčšine slovenských podnikov je to našťastie samozrejmosťou, a to aj bez zdôrazňovania dôležitosti procesu riadenia informačných aktív prostredníctvom zákona.

Riziká pôsobiace na informačné aktíva

Ako každá činnosť, aj používanie technológií prináša isté riziká. Kybernetické bezpečnostné riziko je podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti každá primerane rozpoznateľná okolnosť alebo udalosť, ktorá môže mať nepriaznivý vplyv na bezpečnosť informácií spracúvaných v kybernetickom priestore. Platných definícií bezpečnostného rizika je niekoľko.

Nedá sa nespomenúť, že niektorí autori si zamieňajú pojmy zraniteľnosť, hrozba, udalosť, dopad a riziko. Odlišné interpretácie vyplývajú pravdepodobne len z odlišného videnia vecí v teoretickej rovine – v porovnaní s reálnou praxou informačnej bezpečnosti. Aby sme tieto pojmy dokázali odlíšiť, možno sa oprieť aj o rôzne iné teoretické základy, napríklad o výrokovú logiku alebo filozofiu, abstrahujúc dočasne od terminológie používanej v informačnej bezpečnosti.

Príčina je stav reality, ktorý v rámci kauzálnej súvislosti vyvoláva nevyhnutne iný stav, ktorý sa nazýva následok. Príčina je jav, proces alebo udalosť, ktorá predchádza inému stavu alebo javu, účinku a vyvoláva ho. Inými slovami: príčina je dôvodom vzniku udalosti. Zraniteľnosť informačného aktíva je dôvodom, prečo jestvuje hrozba. Teda zraniteľnosť je hmotnou príčinou a hrozba je kauzálnou súvislosťou. Rovnako však platí, že hrozba je dôvodom, prečo jestvuje riziko uplatnenia hrozby. V tomto prípade je hrozba materiálnou príčinou a riziko je kauzálnou súvislosťou, dôsledkom hrozby. Potom logicky kauzálnou súvislosťou rizika je dopad, malígna udalosť, incident alebo akýkoľvek nepriaznivý vplyv.

Nie je až tak podstatné, ako tento negatívny vplyv nazveme. Zákon o kybernetickej bezpečnosti túto kauzálnu súvislosť nazýva „nepriaznivý vplyv na kybernetickú bezpečnosť“. V bežnej praxi je najčastejším takýmto nepriaznivým vplyvom stav, ktorý sa nazýva „bezpečnostný incident“. Ak kybernetická bezpečnosť je schopnosť systému odolať v určitej miere rizikám a ak je táto schopnosť merateľná, kvantifikovateľná, potom možno túto schopnosť chápať ako určitý stav. Povedzme – ako pozitívny následok vhodne ošetrených rizík.

Bezpečnosť je široký pojem, ktorému zvykne byť v rôznych oblastiach ľudskej činnosti pripisovaný rozličný význam. V oblasti hrozieb pôsobiacich na informačné aktíva má tento výraz svoje špecifiká. Vo všeobecnosti je to však stále vlastnosť informačného aktíva, ktorá determinuje mieru jeho ochrany voči rizikám. Je to jeho schopnosť odolať určitým hrozbám tak, že hrozby sú správne predvídané a vhodným spôsobom znižované. Informačnou bezpečnosťou sa rozumie udržiavanie akceptovateľnej miery identifikovaného rizika, ktoré pôsobí na informačné aktíva.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Riadenie aktív, hrozieb a rizík

 

 

 

Pokračovanie článku je súčasťou predplateného prístupu.

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

 

 

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

Súvisiace odborné články

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Funkcie

Partner