Aktíva a informačné aktíva

Aktívum je niečo, čo má hodnotu alebo je pre školu, obecný úrad alebo firmu užitočné, pretože podporuje jej operácie alebo zabezpečuje kontinuitu činnosti. Aktíva potrebujú ochranu, resp. vhodnú správu aktív. Ak chceme niečo chrániť, musíme najskôr vedieť, čo to je. Môžeme hovoriť o zozname alebo evidencii aktív a podobne. Pomôcť nám môže vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy, Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu. V uvedenej vyhláške sa v prílohe č. 1 definuje zoznam aktív takto:

Zoznam aktív obsahuje označenie operačného systému alebo firemného softvéru a jeho aktuálne používanej verzie všetkých týchto komponentov informačných technológií verejnej správy:

a)  pracovná stanica – stolová,
b)  pracovná stanica – prenosná,
c)  aplikačný softvér, 1. kancelársky softvér, 2. internetový prehliadač, 3. antivírusový softvér, 4. komunikačný softvér, 5. ďalší využívaný komerčný softvér,
d)  všetky druhy serverov,
e)  virtualizačné prostredie,
f)   databázové prostredie,
g)  komerčný podnikový softvér,
h)  sieťový firewall,
i)   sieťový router,
j)   sieťový prepínač,
k)  komunikačné prostredie,
l)   zálohovacie prostredie,
m) mobilné zariadenia,
n)  dátové úložiská,
o)  ostatné zariadenia alebo sieťové prvky schopné komunikovať so zvyškom ekosystému informačných technológií verejnej správy,
p)  prenosné zariadenia.

Pri aktívach nesmieme zabúdať, že k ním zaraďujeme aj papierovú dokumentáciu, v ktorej sa nachádzajú rôzne dodávateľské kontrakty, dokumenty obsahujúce osobné údaje a v neposlednom rade sú aktívom aj ľudia (zamestnanci, žiaci).

Tab. 1: Otázky spojené s aktívami

Ak si zadefinujeme skôr uvedené, dostaneme sa k mapovaniu a analýze rizík. My sa však zameriame na označovanie a klasifikáciu aktív, konkrétne na priradenie a definovanie aktív do určitej kategórie – stupňa. V praxi to znamená, že si musíme zadefinovať informačné aktíva.

Príklad:

Notebook riaditeľky je hodnotnejší na informácie ako notebook v počítačovej učebni školy. Dokument obsahujúci citlivé údaje o žiakovi bude zaradený do vyššieho stupňa ako interná smernica alebo zmluva s dodávateľom služieb a pod.

Klasifikácia, posúdenie potrieb ochrany informačných aktív z hľadiska dostupnosti, dôvernosti, integrity, autentickosti a i. a ich následné zaradenie do klasifikačnej kategórie (triedy) zodpovedajúcej týmto potrebám upravuje vyhláška Národného bezpečnostného úradu č.