Klasifikace a řízení aktiv

7.1 Odpovědnost za aktiva

Cíl: Udržovat přiměřenou ochranu aktiv organizace.

U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich

vlastník.

Pro všechna důležitá aktiva by měli být určeni vlastníci a měla by být stanovena jejich

odpovědnost za udržování přiměřených bezpečnostních opatření. Odpovědnost za realizaci

jednotlivých bezpečnostních opatření může být delegována, ale vlastní odpovědnost za ně by

měla zůstat na vlastníkovi aktiva.

7.1.1 Evidence aktiv

Opatření

Měla by být identifikována všechna aktiva organizace, všechna důležitá aktiva by měla být

evidována a seznam udržován aktuální.

Doporučení k realizaci

Organizace musí být schopna identifikovat svá aktiva a stanovit jejich relativní hodnotu a důležitost.

Evidence by měla obsahovat informace potřebné pro případ obnovy po havárii. Měl by být uveden typ

aktiva, jeho formát, umístění, informace o záloze, licenční informace a jeho hodnota pro organizaci.

Seznam by neměl zbytečně duplikovat jiné, již existující seznamy. Pokud se tak stane, měla by být

zajištěna shody uváděných informací.

Pro každé aktivum by měl být schválen a zaevidován jejich vlastník (viz 7.1.2) a bezpečnostní

klasifikace (viz 7.2).

Evidence aktiv pomáhá zajistit udržování účinné bezpečnostní ochrany a může být vyžadována

i k jiným účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby

finančního řízení (správy aktiv). Na základě důležitosti aktiva, jeho hodnoty pro organizaci

a bezpečnostní klasifikaci, by měla být určena odpovídající úroveň jeho ochrany (více informací

o tom jakým způsobem přiřadit aktivum hodnotu tak, aby to odpovídalo jejich důležitosti, lze

nalézt v normě ISO/IEC TR 13335-36).

Další informace

Příkladem aktiv spojených s informačními systémy jsou:

a) informační aktiva: databáze a datové soubory, systémová dokumentace, uživatelské

manuály, školicí materiály, provozní nebo podpůrné postupy, plány obnovy funkčnosti,

dohody o zajištění záložního provozu, auditní záznamy, archivované informace;

b) aplikační programová aktiva: aplikační a systémové programové vybavení, vývojové

nástroje a utility;

c) fyzická aktiva: počítačové vybavení (základní jednotky, monitory, notebooky, modemy),

komunikační zařízení (směrovače, pobočkové ústředny, faxy, záznamníky), magnetická

média (pásky a disky), další technická zařízení (napájecí zdroje, klimatizační zařízení),

nábytek, prostory;

d) služby: počítačové a komunikační služby, další technické služby (topení, osvětlení, napájení,

klimatizace);

e) lidé a jejich kvalifikace, dovednosti a zkušenosti;

f) nehmotná aktiva, jako například pověst a image organizace.

Evidence aktiv pomáhá zajistit udržování účinné ochrany a může být vyžadována i k jiným

účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby finančního řízení (správy aktiv). Proces vytvoření seznamu aktiv je nezbytným předpokladem pro řízení rizik (viz

také kapitola 4).

7.1.2 Vlastnictví aktiv

Opatření

Veškeré informace a aktiva související se zařízením pro zpracování informací by měly mít

určeného vlastníka7.

Doporučení k realizaci

Vlastník aktiva by měl být odpovědný za:

a) zajištění odpovídající klasifikace informací a aktiv souvisejících s prostředky pro

zpracování informací;

b) přesné vymezení a pravidelné přezkoumání omezení přístupu a klasifikace aktiv,

v souladu s platnou politikou řízení přístupu.

Vlastnictví může být přiděleno na:

a) proces;

b) přesně vymezený soubor činností;

c) aplikaci;

d) přesně vymezený soubor dat.

Další informace

Běžné úkoly (např. každodenní dohled nad aktivy) mohou být delegovány, odpovědnost však

vždy zůstává na vlastníkovi aktiva.

Ve složitých informačních systémech může být výhodné seskupit aktiva, která dohromady

zajišťují jednu konkrétní funkci (např. službu). V takovémto případě je vlastník služby

odpovědný nejen za její správné fungování, ale také za všechna aktiva, která ji zajišťují.

7.1.3 Přípustné použití aktiv

Opatření

Měla by být ustavena, zdokumentována a do praxe zavedena pravidla pro přípustné použití

informací a aktiv souvisejících se zařízením pro zpracování informací.

Doporučení k realizaci

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli dodržovat pravidla pro

přípustné použití informací a aktiv souvisejících se zařízením pro zpracování informací a to

včetně:

a) pravidel pro použití elektronické pošty a internetu (viz 10.8);

b) doporučení pro použití mobilních zařízení, zejména mimo areál organizace (viz 11.7.1).

Odpovědní vedoucí by měli zveřejnit pravidla a doporučení pro použití aktiv. Zaměstnanci,

smluvní strany a uživatelé třetích stran, kteří používají nebo mají přístup k aktivům organizace,

by měli znát pravidla omezující použití informací, zdrojů, a aktiv souvisejících se zařízením pro

zpracování informací. Měli by nést odpovědnost za použití jakýchkoli zdrojů pro zpracování

informací.

7.2 Klasifikace informací

Cíl: Zajištění přiměřenosti ochrany informačních aktiv.

Informace by měly být klasifikovány tak, aby byla naznačena jejich potřebnost, důležitost

a stupeň ochrany.

Informace mohou mít různý stupeň citlivosti a mohou být různě kritické, některé mohou

vyžadovat vyšší úroveň bezpečnosti nebo zvláštní způsob zacházení. Měl by existovat systém

bezpečnostní klasifikace, který by určoval adekvátní stupeň ochrany a který by dával uživatelům

informace o nutnosti zvláštního zacházení.

7.2.1 Doporučení pro klasifikaci

Opatření

Informace by měly být klasifikovány a to ohledem na jejich hodnotu, právní požadavky, citlivost

a kritičnost.

Doporoučení k realizaci

Klasifikace a odpovídající opatření pro ochranu informací by měly vycházet z potřeb

a požadavků organizace na sdílení nebo omezení přístupu k informacím a dále by měly

vycházet z dopadů, které vyplývají z nenaplnění těchto požadavků.

Pravidla klasifikace by měla zohledňovat skutečnost, že jednou provedená klasifikace není

neměnná, ale že se může měnit podle předem určených pravidel (viz 11.1.1).

Odpovědnost za definici klasifikace jednotky informace (dokumentu, záznamu, souboru,

diskety) a za periodické přezkoumávání této klasifikace by měla zůstat na autorovi nebo určeném

vlastníku informace (viz 7.1.2). Při klasifikaci by nemělo být zapomenuto na efekt agregace, viz

také kapitola 10.7.2.

Pozornost by měla být věnována počtu klasifikačních kategorií a výhodám plynoucím z jejich

použití. Příliš komplexní struktury se mohou stát těžkopádné, neekonomické nebo nepraktické.

Pozornost by měla být věnována také interpretaci klasifikačního značení dokumentů z jiných

organizací, které mohou mít jiné definice pro stejné nebo podobné značení.

Další informace

Úroveň ochrany informací může být také určena na základě požadavků na jejich důvěrnost,

integritu, dostupnost a jakýchkoliv dalších požadavků.

Informace často po určité době přestávají být citlivé nebo kritické, například v případě jejich

zveřejnění. S těmito skutečnostmi je nutné počítat, protože reklasifikace může přinést značné

dodatečné administrativní náklady.

Pro zjednodušení procesu klasifikace mohou být jednotlivé dokumenty, u kterých existují stejné

požadavky na bezpečnost, klasifikovány jako celek.

V zásadě klasifikace umožňuje rychle určit způsob zacházení s informacemi a způsob jejich

ochrany.

7.2.2 Označování a nakládání s informacemi

Opatření

Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které

jsou v souladu s klasifikačním schématem přijatým organizací.

Doporučení k realizaci

Tyto postupy musí pokrývat informační aktiva ve fyzické i elektronické podobě.

Výstup ze systémů, obsahujících citlivé informace, by měl být (na výstupu) označen

odpovídajícím klasifikačním návěštím. Značení by mělo odpovídat klasifikačním pravidlům

ustanoveným podle 7.2.1. Toto platí zejména pro tiskové výstupy, výstupy na obrazovku,

záznamová média (pásky, disky, CD, kazety), elektronické zprávy a přenosy souborů. Manipulační postupy by měly být definovány pro každou úroveň klasifikace tak, aby pokrývaly

bezpečné zpracování informací, jejich uchování, přenos, deklasifikaci a likvidaci. Měly by být

také definovány postupy pro sběr důkazů a zaznamenávání jakýchkoliv bezpečnostních

událostí.

Dohody o sdílení dat, uzavřené mezi organizacemi, by měly obsahovat postupy identifikace

klasifikovaných informací a způsob jakým mají být interpretována návěští, která používají

jednotlivé organizace.

Další informace

Značení a bezpečné nakládání s klasifikovanými informacemi je klíčovým požadavkem pro

sdílení informací. Nejvhodnější formou značení jsou „fyzická“ návěští, avšak pro některá aktiva

(například dokumenty v elektronické podobě) nelze použít „fyzický“ způsob značení. Pro takový

druh aktiv je třeba použít elektronické označovací prostředky. Oznámení o práci

s klasifikovanou informací se může například zobrazit na monitoru nebo displeji. Tam kde není

možné provést označení, mohou být použity jiné prostředky pro určení klasifikované informace,

např. prostřednictvím procesu nebo meta-dat8.