Prawa i przepisy regulujące bezpieczeństwo cybernetyczne
6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)
6.5. Zarządzanie aktywami
Aktywa to wszystko, co ma wartość dla danej osoby, organizacji lub państwa.
Z punktu widzenia prawa cywilnego majątek może być rzeczą materialną (budynek, system komputerowy, sieć, energia, towary itp.) lub niematerialną (informacje, wiedza, dane, programy itp.).
Zasobem może być jednak również właściwość (np. dostępność i funkcjonalność systemu i danych itp.) lub reputacja itp. Z punktu widzenia bezpieczeństwa cybernetycznego zasobem są również ludzie (użytkownicy, administratorzy itp.) oraz ich wiedza i doświadczenie.
Zasoby pomocnicze to zasoby techniczne, pracownicy i wykonawcy zaangażowani w eksploatację, rozwój, zarządzanie lub bezpieczeństwo systemu teleinformatycznego.
Podstawowym składnikiem aktywów jest informacja lub usługa przetwarzana lub dostarczana przez system teleinformatyczny.
"W ramach rozsądnego zarządzania bezpieczeństwem informacji ważne jest, aby mieć przegląd powiązań i zależności między aktywami głównymi i pomocniczymi".[1]
W ramach zarządzania aktywami jednostki są zobowiązane do:
· ustanowienia metodologii identyfikacji aktywów,
· ustanowienia metodologii wyceny aktywów,
· identyfikacji i ewidencji aktywów,
· zidentyfikowania i zarejestrowania poręczycieli aktywów,
· oceniania i rejestrowania aktywów podstawowych pod względem poufności, integralności i dostępności oraz klasyfikować je na różnych poziomach aktywów,
· identyfikowania i rejestrowania powiązań między aktywami podstawowymi i pomocniczymi oraz oceny skutków zależności między aktywami podstawowymi i pomocniczymi,
· oceny zasobów wspierających i uwzględnienia współzależności między zasobami głównymi i wspierającymi,
· określenia i wdrożenia zasad ochrony niezbędnych do zabezpieczenia każdego poziomu aktywów,
· ustalenia dopuszczalnych sposobów korzystania z aktywów oraz zasad postępowania z aktywami, z uwzględnieniem poziomu aktywów, w tym zasad bezpiecznego elektronicznego udostępniania i fizycznego przekazywania aktywów,
· określenia sposobu likwidacji danych, danych operacyjnych, informacji i ich kopii lub likwidacji technicznych nośników danych, z uwzględnieniem poziomu aktywów.
Oceniając znaczenie aktywów podstawowych, należy wziąć pod uwagę:
· zakres i znaczenie danych osobowych, specjalnych kategorii danych osobowych lub tajemnic handlowych,
· zakres obowiązków prawnych lub innych zobowiązań,
· zakres zakłóceń w zarządzaniu wewnętrznym i działaniach kontrolnych,
· szkody dla interesów publicznych, handlowych lub gospodarczych oraz ewentualne straty finansowe,
· wpływ na świadczenie podstawowych usług,
· zakres zakłóceń w normalnej działalności,
· ma wpływ na zachowanie reputacji lub ochronę wartości firmy,
· wpływ na bezpieczeństwo i zdrowie ludzi,
· wpływ na stosunki międzynarodowe,
· wpływ na użytkowników systemu informacyjno-komunikacyjnego.
[1] MAISNER, Martin i Barbora VLACHOVÁ. Ustawa o cyberbezpieczeństwie. Komentarz. Praga: Wolters Kluwer, 2015. s. 85