Klasifikace a řízení aktiv
7.1 Odpovědnost za aktiva
Cíl: Udržovat přiměřenou ochranu aktiv organizace.
U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich
vlastník.
Pro všechna důležitá aktiva by měli být určeni vlastníci a měla by být stanovena jejich
odpovědnost za udržování přiměřených bezpečnostních opatření. Odpovědnost za realizaci
jednotlivých bezpečnostních opatření může být delegována, ale vlastní odpovědnost za ně by
měla zůstat na vlastníkovi aktiva.
7.1.1 Evidence aktiv
Opatření
Měla by být identifikována všechna aktiva organizace, všechna důležitá aktiva by měla být
evidována a seznam udržován aktuální.
Doporučení k realizaci
Organizace musí být schopna identifikovat svá aktiva a stanovit jejich relativní hodnotu a důležitost.
Evidence by měla obsahovat informace potřebné pro případ obnovy po havárii. Měl by být uveden typ
aktiva, jeho formát, umístění, informace o záloze, licenční informace a jeho hodnota pro organizaci.
Seznam by neměl zbytečně duplikovat jiné, již existující seznamy. Pokud se tak stane, měla by být
zajištěna shody uváděných informací.
Pro každé aktivum by měl být schválen a zaevidován jejich vlastník (viz 7.1.2) a bezpečnostní
klasifikace (viz 7.2).
Evidence aktiv pomáhá zajistit udržování účinné bezpečnostní ochrany a může být vyžadována
i k jiným účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby
finančního řízení (správy aktiv). Na základě důležitosti aktiva, jeho hodnoty pro organizaci
a bezpečnostní klasifikaci, by měla být určena odpovídající úroveň jeho ochrany (více informací
o tom jakým způsobem přiřadit aktivum hodnotu tak, aby to odpovídalo jejich důležitosti, lze
nalézt v normě ISO/IEC TR 13335-36).
Další informace
Příkladem aktiv spojených s informačními systémy jsou:
a) informační aktiva: databáze a datové soubory, systémová dokumentace, uživatelské
manuály, školicí materiály, provozní nebo podpůrné postupy, plány obnovy funkčnosti,
dohody o zajištění záložního provozu, auditní záznamy, archivované informace;
b) aplikační programová aktiva: aplikační a systémové programové vybavení, vývojové
nástroje a utility;
c) fyzická aktiva: počítačové vybavení (základní jednotky, monitory, notebooky, modemy),
komunikační zařízení (směrovače, pobočkové ústředny, faxy, záznamníky), magnetická
média (pásky a disky), další technická zařízení (napájecí zdroje, klimatizační zařízení),
nábytek, prostory;
d) služby: počítačové a komunikační služby, další technické služby (topení, osvětlení, napájení,
klimatizace);
e) lidé a jejich kvalifikace, dovednosti a zkušenosti;
f) nehmotná aktiva, jako například pověst a image organizace.
Evidence aktiv pomáhá zajistit udržování účinné ochrany a může být vyžadována i k jiným
účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby finančního řízení (správy aktiv). Proces vytvoření seznamu aktiv je nezbytným předpokladem pro řízení rizik (viz
také kapitola 4).
7.1.2 Vlastnictví aktiv
Opatření
Veškeré informace a aktiva související se zařízením pro zpracování informací by měly mít
určeného vlastníka7.
Doporučení k realizaci
Vlastník aktiva by měl být odpovědný za:
a) zajištění odpovídající klasifikace informací a aktiv souvisejících s prostředky pro
zpracování informací;
b) přesné vymezení a pravidelné přezkoumání omezení přístupu a klasifikace aktiv,
v souladu s platnou politikou řízení přístupu.
Vlastnictví může být přiděleno na:
a) proces;
b) přesně vymezený soubor činností;
c) aplikaci;
d) přesně vymezený soubor dat.
Další informace
Běžné úkoly (např. každodenní dohled nad aktivy) mohou být delegovány, odpovědnost však
vždy zůstává na vlastníkovi aktiva.
Ve složitých informačních systémech může být výhodné seskupit aktiva, která dohromady
zajišťují jednu konkrétní funkci (např. službu). V takovémto případě je vlastník služby
odpovědný nejen za její správné fungování, ale také za všechna aktiva, která ji zajišťují.
7.1.3 Přípustné použití aktiv
Opatření
Měla by být ustavena, zdokumentována a do praxe zavedena pravidla pro přípustné použití
informací a aktiv souvisejících se zařízením pro zpracování informací.
Doporučení k realizaci
Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli dodržovat pravidla pro
přípustné použití informací a aktiv souvisejících se zařízením pro zpracování informací a to
včetně:
a) pravidel pro použití elektronické pošty a internetu (viz 10.8);
b) doporučení pro použití mobilních zařízení, zejména mimo areál organizace (viz 11.7.1).
Odpovědní vedoucí by měli zveřejnit pravidla a doporučení pro použití aktiv. Zaměstnanci,
smluvní strany a uživatelé třetích stran, kteří používají nebo mají přístup k aktivům organizace,
by měli znát pravidla omezující použití informací, zdrojů, a aktiv souvisejících se zařízením pro
zpracování informací. Měli by nést odpovědnost za použití jakýchkoli zdrojů pro zpracování
informací.
7.2 Klasifikace informací
Cíl: Zajištění přiměřenosti ochrany informačních aktiv.
Informace by měly být klasifikovány tak, aby byla naznačena jejich potřebnost, důležitost
a stupeň ochrany.
Informace mohou mít různý stupeň citlivosti a mohou být různě kritické, některé mohou
vyžadovat vyšší úroveň bezpečnosti nebo zvláštní způsob zacházení. Měl by existovat systém
bezpečnostní klasifikace, který by určoval adekvátní stupeň ochrany a který by dával uživatelům
informace o nutnosti zvláštního zacházení.
7.2.1 Doporučení pro klasifikaci
Opatření
Informace by měly být klasifikovány a to ohledem na jejich hodnotu, právní požadavky, citlivost
a kritičnost.
Doporoučení k realizaci
Klasifikace a odpovídající opatření pro ochranu informací by měly vycházet z potřeb
a požadavků organizace na sdílení nebo omezení přístupu k informacím a dále by měly
vycházet z dopadů, které vyplývají z nenaplnění těchto požadavků.
Pravidla klasifikace by měla zohledňovat skutečnost, že jednou provedená klasifikace není
neměnná, ale že se může měnit podle předem určených pravidel (viz 11.1.1).
Odpovědnost za definici klasifikace jednotky informace (dokumentu, záznamu, souboru,
diskety) a za periodické přezkoumávání této klasifikace by měla zůstat na autorovi nebo určeném
vlastníku informace (viz 7.1.2). Při klasifikaci by nemělo být zapomenuto na efekt agregace, viz
také kapitola 10.7.2.
Pozornost by měla být věnována počtu klasifikačních kategorií a výhodám plynoucím z jejich
použití. Příliš komplexní struktury se mohou stát těžkopádné, neekonomické nebo nepraktické.
Pozornost by měla být věnována také interpretaci klasifikačního značení dokumentů z jiných
organizací, které mohou mít jiné definice pro stejné nebo podobné značení.
Další informace
Úroveň ochrany informací může být také určena na základě požadavků na jejich důvěrnost,
integritu, dostupnost a jakýchkoliv dalších požadavků.
Informace často po určité době přestávají být citlivé nebo kritické, například v případě jejich
zveřejnění. S těmito skutečnostmi je nutné počítat, protože reklasifikace může přinést značné
dodatečné administrativní náklady.
Pro zjednodušení procesu klasifikace mohou být jednotlivé dokumenty, u kterých existují stejné
požadavky na bezpečnost, klasifikovány jako celek.
V zásadě klasifikace umožňuje rychle určit způsob zacházení s informacemi a způsob jejich
ochrany.
7.2.2 Označování a nakládání s informacemi
Opatření
Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které
jsou v souladu s klasifikačním schématem přijatým organizací.
Doporučení k realizaci
Tyto postupy musí pokrývat informační aktiva ve fyzické i elektronické podobě.
Výstup ze systémů, obsahujících citlivé informace, by měl být (na výstupu) označen
odpovídajícím klasifikačním návěštím. Značení by mělo odpovídat klasifikačním pravidlům
ustanoveným podle 7.2.1. Toto platí zejména pro tiskové výstupy, výstupy na obrazovku,
záznamová média (pásky, disky, CD, kazety), elektronické zprávy a přenosy souborů. Manipulační postupy by měly být definovány pro každou úroveň klasifikace tak, aby pokrývaly
bezpečné zpracování informací, jejich uchování, přenos, deklasifikaci a likvidaci. Měly by být
také definovány postupy pro sběr důkazů a zaznamenávání jakýchkoliv bezpečnostních
událostí.
Dohody o sdílení dat, uzavřené mezi organizacemi, by měly obsahovat postupy identifikace
klasifikovaných informací a způsob jakým mají být interpretována návěští, která používají
jednotlivé organizace.
Další informace
Značení a bezpečné nakládání s klasifikovanými informacemi je klíčovým požadavkem pro
sdílení informací. Nejvhodnější formou značení jsou „fyzická“ návěští, avšak pro některá aktiva
(například dokumenty v elektronické podobě) nelze použít „fyzický“ způsob značení. Pro takový
druh aktiv je třeba použít elektronické označovací prostředky. Oznámení o práci
s klasifikovanou informací se může například zobrazit na monitoru nebo displeji. Tam kde není
možné provést označení, mohou být použity jiné prostředky pro určení klasifikované informace,
např. prostřednictvím procesu nebo meta-dat8.