Zákony a předpisy upravující kybernetickou bezpečnost

Aktivem se rozumí cokoliv, co má určitou hodnotu pro osobu, organizaci či stát.

Aktivum může být věcí hmotnou (budova, počítačový systém, sítě, energie, zboží aj.) či nehmotnou (informace, znalosti, data, programy aj.) z pohledu občanského práva.

Aktivem však může být i vlastnost (např. dostupnost a funkčnost systému a dat aj.) či dobré jméno, reputace atd. Lidé (uživatelé, administrátoři aj.) a jejich znalosti a zkušenosti jsou také z pohledu kybernetické bezpečnosti aktivem.

Podpůrným aktivem je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.

Primárním aktivem je informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém.

„V rámci spolehlivého řízení bezpečnosti informací je důležité mít přehled o vazbách a závislostech mezi primárními a podpůrnými aktivy.“[1]

V rámci správy aktiv jsou subjekty povinny:

• stanovit metodiku pro identifikaci aktiv,
• stanovit metodiku pro hodnocení aktiv,
• identifikovat a evidovat aktiva,
• určit a evidovat garanty aktiv,
• hodnotit a evidovat primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní aktiv,
• určit a evidovat vazby mezi primárními a podpůrnými aktivy a hodnotit důsledky závislostí mezi primárními a podpůrnými aktivy,
• hodnotit podpůrná aktiva a zohlednit vzájemné závislosti mezi primárními a podpůrnými aktivy,
• stanovit a zavést pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv,
• stanovit přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,
• určit způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv.

Při hodnocení významu primárních aktiv je třeba povinně posoudit:

• rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,
• rozsah dotčených právních povinností nebo jiných závazků,
• rozsah narušení vnitřních řídicích a kontrolních činností,
• poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
• dopady na poskytování důležitých služeb,
• rozsah narušení běžných činností,
• dopady na zachování dobrého jména nebo ochranu dobré pověsti,
• dopady na bezpečnost a zdraví osob,
• dopady na mezinárodní vztahy,
• dopady na uživatele informačního a komunikačního systému.