7. Správa aktiv#

Správa aktiv je dostupná všem uživatelům Risk Flow. Uživatelé klienta mají přístup pouze ke skupinám a aktivům pro ně evidovaných. Manažeři a administrátoři vidí všechny skupiny aktiv a jejich příslušná aktiva a mohou je zároveň editovat. Uživatelé s rolí analytik či auditor mají přístup pro čtení ke všem skupinám a jejich aktivům.

7.1. Klienti#

Pro uživatele s rolí administrátor, manažer, analytik nebo auditor se po otevření správy aktiv zobrazí seznam evidovaných klientů. V tomto seznamu možné najít celkový počet skupin aktiv a celkový počet evidovaných aktiv.

../_images/clients-overview1.png

Export do MS Excel#

Export do sešitu aplikace Microsoft Excel následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Klient

Jméno klienta

Skupiny aktiv

Celkový počet skupin aktiv

Aktiva

Celkový počet aktiv

Vytvořeno

Datum vytvoření záznamu

Čas vytvoření

Čas vytvoření záznamu

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu

Poslední aktualizace

Čas poslední změny záznamu

Změnil/a

E-mail uživatele, který provedl poslední změny.

Export do PDF#

Export do formátu PDF obsahuje soupis podobný výpisu v aplikaci. Obsahuje níže uvedené informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Klient

Jméno klienta

Skupiny aktiv

Celkový počet skupin aktiv

Aktiva

Celkový počet aktiv

7.2. Skupiny aktiv#

Seznam skupin aktiv vybraného klienta

Po vybrání konkrétního klienta se zobrazí seznam jeho skupin aktiv. Pro uživatele s rolí uživatel klienta se tento soupis zobrazí rovnou pří přístupu do správy aktiv. V seznamu se nachází informace o názvu skupiny, která musí být v rámci klienta unikátní. Dále se zde nachází informace o počtu vložených aktiv a tom, zda je skupina aktivní. Pouze aktiva z aktivních skupin mohou být využita v analýzách rizik.

../_images/assets-groups.png

Přidání skupiny aktiv#

Formulář pro přidání skupiny aktiv je možné najít na adrese https://NAZEV-INSTANCE.riskflow.cz/cs/risks/assets/clients/<ID KLIENTA>/groups/create nebo po kliknutí na tlačítko Přidat skupinu aktiv.

Parametr

Vyžadován

Popis

Název skupiny

Ano

Název skupiny aktiv, který musí být v rámci klienta unikátní.

Aktivní

Ne

Skupinu aktiv lze v analýze použít pouze tehdy, je-li aktivována.

Vytvoření kopie skupiny aktiv#

Oprávněný uživatel může vytvářet kopie skupin aktiv skrze ikonu kopírování vyznačenou na obrázku níže. Během procesu kopírování jsou vytvořeny také kopie ve skupině evidovaných aktiv.

../_images/asset-groups-copy.png

Editace skupiny aktiv#

Editace skupiny aktiv je možná po otevření editačního formuláře rozkliknutím ikony tří teček.

Aktivace a deaktivace skupiny aktiv#

Aktivace a deaktivace je možná po otevření aktivačního/deaktivačního formuláře kliknutím na tlačítko ve sloupci stav. Toto tlačítko může být zelené či šedé a zároveň indikuje stav konkrétního skupiny aktiv. Pouze aktiva z aktivních skupin mohou být dále využita při provádění analýz rizik.

Smazání skupiny aktiv#

Mazání skupin aktiv je možné kliknutím na ikonu odpadkového koše. Při mazání je nutné potvrdit prováděnou akci v následně zobrazeném modálním okně. Mazat lze pouze skupiny, jejíž žádná aktiva nejsou použita v analýzách rizik.

Export skupin aktiv#

Export skupin aktiv je možný ve správě aktiv po kliknutí na tlačítko Export a následném vybrání typu exportu.

../_images/asset-groups-export.png

Export do MS Excel#

Export skupin aktiv konkrétního klienta do sešitu aplikace Microsoft Excel má následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Název

Název skupiny aktiv

Aktiva

Počet aktiv ve skupině

Stav

Aktivní / Neaktivní

Vytvořeno

Datum vytvoření záznamu.

Čas vytvoření

Čas vytvoření záznamu.

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu.

Poslední aktualizace

Čas poslední změny záznamu.

Změnil/a

E-mail uživatele, který provedl poslední změny

Export do PDF#

Export skupin aktiv vybraného klienta do formátu PDF obsahuje soupis skupin aktiv podobný výpisu v aplikaci. Obsahuje následující informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Název

Název skupiny aktiv

Aktiv

Počet aktiv ve skupině

Stav

Aktivní / Neaktivní

Export do JSON#

Export skupin aktiv do formátu JSON je dostupný pouze administrátorům instance. Tento typ exportu je možné využívat pouze v licenci Enterprise. Exportovaný soubor může sloužit jako jednoduchá záloha, nebo může být využit k vytváření vlastních šablon pro hromadný import.

Skupiny aktiv do formátu JSON je možné exportovat ve dvou variantách:

  • Bez aktiv

  • S aktivy

Import skupin aktiv#

Hromadný import skupin aktiv je možné provádět ve správě aktiv vybraného klienta skrze modální formulář, který se uživateli zobrazí po kliknutí na tlačítko Import.

../_images/asset-groups-import.png

Pro zadání hromadného importu uživatelů je třeba mít k dispozici správně vytvořený soubor s daty. Importovat lze pouze soubory ve formátu JSON, jejichž maximální velikost je omezena na 5 MB. Dále je třeba, aby nahrávaný soubor měl správnou strukturu a obsahoval validní data. Doporučujeme vycházet z připravených šablon na https://riskflow.cz/cs/templates/. Struktura validního souboru s dvěma záznamy vypadá následovně.

[
  {
    "title":"Skupina 1",
    "active":true
  },
  {
    "title":"Skupina 2",
    "active":false
  }
]

Parametr

Akceptované hodnoty

title

Alfanumerický řetězec se speciálními symboly

active

true / false

Lze hromadně importovat skupiny aktiv společně s příslušnými aktivy. Pro tuto variantu je nutné mít připravený soubor pro import v následujícím formátu.

[
  {
    "asset_groups": [
      {
        "title": "Skupina 1",
        "active": true,
        "assets": [
          {
            "identifier":"AS1",
            "title":"Aktivum 1",
            "type":"primary",
            "short_description":"Krátký popis",
            "long_description":"Delší popisek",
            "owner":"Pokey Trippy",
            "guarantor":"Randy Sleepy",
            "availability":"low",
            "integrity":"high",
            "confidentiality":"critical",
          },
          {
            "identifier":"AS2",
            "title":"Aktivum 2",
            "type":"auxiliary",
            "short_description":"Krátký popis",
            "long_description":"Delší popisek",
            "owner":"Squirrely Baggy",
            "guarantor":"Cloudy Baggy",
            "availability":"critical",
            "integrity":"low",
            "confidentiality":"low",
          }
        ]
      }
    ]
  }
]

Parametr

Akceptované hodnoty

asset_groups

Pole skupin aktiv s aktivy

active

true / false

assets

Pole aktiv ve skupině

identifier

V rámci skupiny musí být jedinečný. Může být prázdný. Alfanumerický řetězec se speciálními symboly

title

Alfanumerický řetězec se speciálními symboly

type

primary / auxiliary

short_description

Alfanumerický řetězec se speciálními symboly

long_description

Alfanumerický řetězec se speciálními symboly. Může být prázdný.

owner

Alfanumerický řetězec se speciálními symboly

guarantor

Alfanumerický řetězec se speciálními symboly

availability

low / medium / high /critical

integrity

low / medium / high /critical

confidentiality

low / medium / high /critical

Šablony pro hromadný import skupin aktiv#

Risk Flow pro své klienty připravuje šablony sloužící k vytváření souborů pro hromadný import. Tyto šablony jsou veřejně k dispozici na https://riskflow.cz/templates/. Je dovoleno je editovat a využívat k soukromým i komerčním účelům.

Vždy je vhodné ověřovat integritu stahovaných souborů. Díky tomuto ověření máte jistotu, že soubor nebyl během stahování porušen či pozměněn. K ověření úspěšnosti stahování využíváme MD5 hash, který lze najít v tabulce stahovaných souborů.

Tip

Návod jak provést verifikaci úspěšnosti stahovaného souboru naleznete v této dokumentaci v sekci Šablony pro hromadný import uživatelů.

Verifikace úspěšnosti zadaného importu#

Úspěšnost zadaných hromadných importů lze ověřit v modulu záznamů logů. Ten je dostupný na https://NAZEV-INSTANCE.riskflow.cz/cs/imports/logs/ nebo je možné se do něj dostat skrze modální okno formulářů pro hromadný import.

Záznamy jsou ve výchozím nastavení řazeny dle data a času vytvoření požadavku a je možné v nich najít následující informace – stav, název úlohy, detailní popis výsledku akce, uživatel, který požadavek zadal, název nahrávaného souboru a jeho velikost, datum a čas vytvoření požadavku.

Tip

Detaily vypisovaných informací jsou popsány v kapitole Verifikace úspěšnosti zadaného importu v sekci věnované správě uživatelů v této dokumentaci.

7.3. Aktiva#

Seznam aktiv ve vybrané skupině#

Po vybrání skupiny aktiv se zobrazí výpis konkrétních aktiv evidovaných v této skupině. Administrátoři instance, manažeři a uživatelé klienta mají možnost editovat tato aktiva. Analytici a auditoři a si je mohou pouze zobrazit. Vytvořená aktiva lze upravovat a hodnotit jejich dopad na dostupnost, integritu a důvěrnost přímo v tomto výpisu.

../_images/assets-overview.png

Vytvoření aktiva#

Formulář pro přidání skupiny aktiv je možné najít na adrese https://NAZEV-INSTANCE.riskflow.cz/cs/risks/assets/<ID KLIENTA>/groups/<ID SKUPINY>/assets/create nebo po kliknutí na tlačítko Přidat aktivum.

Parametr

Vyžadován

Popis

Označení

Ne

Označení aktiva pro lepší orientaci. Musí být v rámci skupiny aktiv unikátní.

Název

Ano

Název aktiva

Typ aktiva

Ano

  • Primární – představuje informaci nebo službu, kterou zpracovává nebo poskytuje informační a komunikační systém. Tato primární aktiva jsou současně často hodnototvorná pro fungování dané organizace. Jako příklady primárních aktiv lze uvést data, informace nebo poskytované služby.

  • Pomocné – představuje technické aktivum, zaměstnance a dodavatele podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.

Stručný popis

Ano

Stručný popis aktiva. Zobrazuje se v soupisu aktiv.

Detailní popis

Ne

Detailní popis aktiva. Zobrazuje se v detailu aktiva.

Vlastník aktiva

Ano

Uvedení osoby, organizace či oddělení, která je vlastníkem aktiva.

Garant aktiva

Ano

Garant kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva je také osoba, která prosazuje zajišťování důvěrnosti, dostupnosti a integrity aktiva, jehož je správcem. Je vhodné, aby garant kontroloval hodnocení aktiva, protože je s ním nejvíce obeznámen.

Editace aktiva#

Editace aktiva je možná po otevření editačního formuláře rozkliknutím ikony tří teček. Aktiva je možné editovat také přímo ve výpisu všech aktiv. V tomto výpis probíhá také hodnocení dostupnosti, integrity a důvěrnosti aktiva. Z těchto tří hodnot se následně vypočítává konečná hodnota aktiva, která je zohledňována při výpočtu hodnoty rizika v analýze.

Zobrazení detailu aktiva#

Uživatelé, kteří nemají možnost editovat aktiva si mohou zobrazit výpis aktiv a jejich detail následně po rozkliknutí identifikátoru či popisu aktiva. Uživatelé s editačními právy si plný detail aktiva mohou zobrazit v editačním formuláři po rozkliknutí ikony tří teček.

Dostupnost#

Dostupnost informací znamená, že tyto informace, včetně požadovaných informačních systémů, musí být kdykoli přístupné každé oprávněné osobě a použitelné (funkční) v požadovaném rozsahu. Pokud systém selže, nebo není přístupný, požadované informace nejsou dostupné. V určitých případech to může vést k narušení s dalekosáhlými důsledky, například při údržbě procesů. V Risk Flow je stanovená následující škála pro hodnocení dostupnosti.

../_images/availability-levels.png

Integrita#

Technický termín integrita je spojen s několika požadavky:

  • Neúmyslné změny informací musí být nemožné nebo alespoň zjistitelnéa sledovatelné.

  • Musí být zaručena spolehlivost dat a systémů.

  • Musí být zaručena úplnost informací.

V Risk Flow je stanovená následující škála pro hodnocení integrity.

../_images/integrity-levels.png

Důvěrnost#

Cílem je chránit důvěrné údaje před neoprávněným přístupem, ať už z důvodů zákonů na ochranu údajů, nebo na základě obchodního tajemství, na které se vztahuje např. zákon o obchodním tajemství. Důvěrnost informací a citlivých údajů je tedy zajištěna, pokud k nim mají přístup pouze osoby, které jsou k tomu oprávněny (autorizovány). Přístupem se rozumí např. čtení, editace nebo i mazání.

Přijatá opatření proto musí zajistit, aby k důvěrným informacím měly přístup pouze oprávněné osoby, neoprávněné osoby v žádném případě. To platí i pro informace na papíře, které mohou ležet nechráněné na stole a vybízet k přečtení, nebo pro přenos údajů, k nimž nelze přistupovat v průběhu jejich zpracování.

V Risk Flow je stanovená následující škála pro hodnocení důvěrnosti.

../_images/confidentiality-levels.png

Hodnota aktiva#

Hodnota aktiva je vypočítána ze zadaných hodnot dostupnosti, integrity a důvěrnosti a počítá se jako maximální hodnota z těchto sledovaných parametrů.

Hodnota aktiva = max (dostupnost, integrita, důvěrnost)

Hodnota

Popis

1

Aktivum má pro organizaci nízkou hodnotu. Aktivum má nízkou hodnotu, jsou-li všechny jeho faktory hodnocené jaké nízké.

2

Aktivum má pro organizaci střední hodnotu. Aktivum má střední hodnotu, je-li alespoň jeden faktor z trojce dostupnost, integrita, důvěrnost hodnocen střední hodnotou.

3

Aktivum má pro organizaci vysokou hodnotu. Aktivum má vysokou hodnotu, je-li alespoň jeden faktor z trojce dostupnost, integrita, důvěrnost hodnocen vysokou hodnotou.

4

Aktivum má pro organizaci kritickou hodnotu. Aktivum má kritickou hodnotu, je-li alespoň jeden faktor z trojce dostupnost, integrita, důvěrnost hodnocen kritickou hodnotou.

Smazání aktiva#

Mazání aktiv je možné kliknutím na ikonu odpadkového koše. Při mazání je nutné potvrdit prováděnou akci v následně zobrazeném modálním okně. Mazat lze pouze aktiva, která nejsou použita v analýzách rizik.

Export aktiv#

Export do MS Excel#

Export aktiv do sešitu aplikace Microsoft Excel má následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Ozn.

Označení aktiva, unikátní v rámci skupiny.

Název

Název aktiva

Stručný popis

Stručný popis aktiva

Typ

Primární / Pomocné

Vlastník

Vlastník aktiva

Garant

Garant aktiva

Dostupnost

Nízký / Střední / Vysoký / Kritický

Integrita

Nízký / Střední / Vysoký / Kritický

Důvěrnost

Nízký / Střední / Vysoký / Kritický

Hodnota aktiva

1 / 2 / 3 / 4

Vytvořeno

Datum vytvoření záznamu

Čas vytvoření

Čas vytvoření záznamu

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu

Poslední aktualizace

Čas poslední změny záznamu

Změnil/a

E-mail uživatele, který provedl poslední změny.

Export do PDF#

Export aktiv do formátu PDF obsahuje soupis aktiv podobný výpisu v aplikaci. Obsahuje následující informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Ozn.

Označení aktiva, unikátní v rámci skupiny.

Název

Název aktiva

Stručný popis

Stručný popis aktiva

Typ

Primární / Pomocné

Vlastník

Vlastník aktiva

Garant

Garant aktiva

Dostupnost

Nízký / Střední / Vysoký / Kritický

Integrita

Nízký / Střední / Vysoký / Kritický

Důvěrnost

Nízký / Střední / Vysoký / Kritický

Hodnota aktiva

1 / 2 / 3 / 4

Export do JSON#

Export aktiv do formátu JSON je dostupný pouze administrátorům instance. Tento typ exportu je možné využívat pouze v licenci Enterprise. Exportovaný soubor může sloužit jako jednoduchá záloha nebo může být využit k vytváření vlastních šablon pro hromadný import.

Import aktiv#

Hromadný import aktiv je možné provádět ve správě aktiv vybraného klienta skrze modální formulář, který se uživateli zobrazí po kliknutí na tlačítko Import.

../_images/assets-import.png

Pro zadání hromadného importu aktiv je třeba mít k dispozici správně vytvořený soubor s daty. Importovat lze pouze soubory ve formátu JSON, jejichž maximální velikost je omezena na 5 MB. Dále je třeba, aby nahrávaný soubor měl správnou strukturu a obsahoval validní data. Doporučujeme vycházet z připravených šablon na https://riskflow.cz/templates/. Struktura validního souboru s jedním záznamem vypadá následovně.

[
  {
    "identifier": "A1",
    "title": "Aktivum 1",
    "type": "primary",
    "short_description": "Krátký popis",
    "long_description": "Dlouhý popis",
    "owner": "Pokey Trippy",
    "guarantor": "Randy Sleepy",
    "availability": "low",
    "integrity": "high",
    "confidentiality": "critical"
  }
]

Parametr

Akceptované hodnoty

identifier

Alfanumerický řetězec se speciálními symboly

title

Alfanumerický řetězec se speciálními symboly

type

primary / auxiliary

short_description

Alfanumerický řetězec se speciálními symboly

long_description

Alfanumerický řetězec se speciálními symboly

owner

Alfanumerický řetězec se speciálními symboly

guarantor

Alfanumerický řetězec se speciálními symboly

availability

low / medium / high / critical

integrity

low / medium / high / critical

confidentiality

low / medium / high / critical

Šablony pro hromadný import aktiv#

Risk Flow pro své klienty připravuje šablony sloužící k vytváření souborů pro hromadný import. Tyto šablony jsou veřejně k dispozici na https://riskflow.cz/templates/. Je dovoleno je editovat a využívat k soukromým i komerčním účelům.

Vždy je vhodné ověřovat integritu stahovaných souborů. Díky tomuto ověření máte jistotu, že soubor nebyl během stahování porušen či pozměněn. K ověření úspěšnosti stahování využíváme MD5 hash, který lze najít v tabulce stahovaných souborů.

Tip

Návod jak provést verifikaci úspěšnosti stahovaného souboru naleznete v této dokumentaci v sekci Šablony pro hromadný import uživatelů.

Verifikace úspěšnosti zadaného importu#

Úspěšnost zadaných hromadných importů lze ověřit v modulu záznamů logů. Ten je dostupný na https://NAZEV-INSTANCE.riskflow.cz/cs/imports/logs/ nebo se do něj lze dostat skrze modální okno formulářů pro hromadný import.

Záznamy jsou ve výchozím nastavení řazeny dle data a času vytvoření požadavku a lze v nich najít následující informace – stav, název úlohy, detailní popis výsledku akce, uživatel, který požadavek zadal, název nahrávaného souboru a jeho velikost, datum a čas vytvoření požadavku.

Tip

Detaily vypisovaných informací jsou popsány v kapitole Verifikace úspěšnosti zadaného importu v sekci věnované správě uživatelů v této dokumentaci.