Kako provesti samoprocjenu Mjere 2: Upravljanje programskom i sklopovskom imovinom

Objavljeno od

Jedan od temeljnih preduvjeta kibernetičke sigurnosti je jednostavno pitanje:

Znate li točno koju IT opremu i softver koristite?

Mnoge organizacije nemaju potpuni pregled nad svojom IT imovinom – serverima, aplikacijama, mrežnom opremom, prijenosnim računalima ili podacima koji se na njima nalaze. Upravo zato Mjera 2 – Upravljanje programskom i sklopovskom imovinom predstavlja jedan od ključnih zahtjeva u okviru mjera upravljanja kibernetičkim sigurnosnim rizicima.

Cilj ove mjere je uspostaviti strukturirani pristup upravljanju IT imovinom tijekom cijelog njezinog životnog ciklusa – od nabave i korištenja do brisanja ili uništavanja.

U nastavku objašnjavamo kako provesti samoprocjenu ove mjere.

Zašto je upravljanje IT imovinom važno za kibernetičku sigurnost

Ako organizacija nema jasan pregled nad svojom IT imovinom, teško je:

  • upravljati sigurnosnim rizicima
  • provoditi sigurnosne kontrole
  • pravovremeno ažurirati sustave
  • reagirati na sigurnosne incidente

Nepoznati ili zaboravljeni sustavi često postaju najslabija karika u sigurnosti organizacije.

Zato regulator zahtijeva da organizacije uspostave točan i ažuran inventar programske i sklopovske imovine.

1. Postoje li pravila za upravljanje IT imovinom

Prvi korak je definirati pravila i odgovornosti za upravljanje programskom i sklopovskom imovinom.

To se obično radi kroz formalni akt ili politiku koja definira:

  • tko je odgovoran za upravljanje imovinom
  • kako se imovina klasificira prema kritičnosti
  • kako se imovina prati i održava
  • kako se ažurira inventar imovine

Organizacije često klasificiraju imovinu u kategorije kao što su:

  • infrastruktura
  • poslovne aplikacije
  • pomoćne aplikacije
  • razvojni ili testni sustavi
  • javno dostupni servisi.

2. Postoji li inventar kritične IT imovine

Jedan od najvažnijih zahtjeva ove mjere je izrada inventara kritične imovine.

Inventar treba sadržavati najmanje:

  • popis mrežnih i informacijskih sustava
  • ključne elemente sustava koji su kritični za poslovanje
  • jedinstveni identifikator imovine (inventurni broj ili FQDN)
  • lokaciju imovine
  • odgovornu osobu ili organizacijsku jedinicu.

Inventar mora biti dovoljno detaljan da omogućuje operativno upravljanje sigurnošću sustava.

3. Jesu li identificirani kritični podaci

Osim same IT opreme i softvera, potrebno je identificirati i kritične podatke organizacije.

Kritični podaci mogu uključivati:

  • poslovne tajne
  • osobne podatke
  • klasificirane podatke
  • druge podatke važne za poslovanje.

Pri određivanju kritičnosti uzimaju se u obzir zahtjevi za:

  • dostupnost
  • cjelovitost
  • autentičnost
  • povjerljivost podataka.

4. Postoje li pravila za korištenje prijenosnih medija

Organizacije moraju definirati pravila za korištenje prijenosnih medija poput:

  • USB uređaja
  • prijenosnih diskova
  • drugih medija za pohranu podataka.

Ta pravila obično uključuju:

  • korištenje medija isključivo u poslovne svrhe
  • automatsku provjeru na maliciozni sadržaj
  • zabranu izvršavanja programskog koda s prijenosnih medija
  • korištenje enkripcije kada je potrebno.

5. Kako se koristi oprema izvan prostorija organizacije

Važno je utvrditi koristi li se kritična IT oprema izvan prostorija organizacije.

Ako se koristi, potrebno je definirati:

  • tko je odgovoran za opremu
  • pravila korištenja
  • način čuvanja i vraćanja opreme.

Ovo je posebno važno u organizacijama koje koriste:

  • prijenosna računala
  • mobilne uređaje
  • rad na daljinu.

6. Obuhvaća li inventar i manje kritičnu imovinu

Naprednije organizacije proširuju inventar i na manje kritičnu imovinu, jer i ona može utjecati na sigurnost kritičnih sustava.

Primjeri uključuju:

  • testne sustave
  • razvojne sustave
  • pomoćne aplikacije
  • sustave dostupne trećim stranama.

Time se omogućuje bolje upravljanje sigurnosnim rizicima.

7. Ažurira li se inventar redovito

Inventar IT imovine mora biti stalno ažuran.

To se može postići na dva načina:

  • ažuriranje inventara kao dio procesa nabave nove opreme
  • automatizacija kroz alate za upravljanje IT imovinom.

Važno je osigurati da nije moguće uvesti novu opremu ili softver bez ažuriranja inventara.

8. Postoje li procedure za sigurno zbrinjavanje opreme

IT oprema često sadrži osjetljive podatke čak i nakon prestanka korištenja.

Zato je potrebno definirati procedure za:

  • sigurno brisanje podataka
  • sigurno uništavanje medija za pohranu
  • zaštitu opreme tijekom prijevoza.

Kod mobilnih uređaja preporučuje se korištenje:

  • enkripcije diskova
  • sigurnosnih mehanizama zaštite uređaja.

9. Je li fizička imovina označena i praćena

Organizacije trebaju osigurati fizičku identifikaciju IT opreme.

To može uključivati:

  • inventurne oznake
  • evidenciju lokacije opreme
  • sustave za praćenje imovine.

U većim organizacijama mogu se koristiti tehnologije poput:

  • RFID oznaka
  • IoT sustava za praćenje opreme.

Zaključak

Mjera 2 osigurava da organizacije imaju potpun pregled nad svojom IT imovinom i podacima.

Bez tog pregleda teško je učinkovito upravljati sigurnosnim rizicima i zaštititi ključne sustave.

Organizacije koje imaju:

  • ažuran inventar IT imovine
  • jasno definirane odgovornosti
  • procedure za upravljanje životnim ciklusom imovine

imaju znatno bolju osnovu za učinkovitu kibernetičku sigurnost.

Kako si olakšati samoprocjenu

Provođenje samoprocjene može biti zahtjevno ako se radi ručno. Uz ITrevizija.hr AI platformu organizacije mogu brzo proći kroz sva pitanja procjene, razumjeti zahtjeve pojedinih kontrola i dobiti automatski generirane preporuke za poboljšanje razine kibernetičke sigurnosti. Ako želite saznati kako platforma funkcionira, kontaktirajte nas putem kontakt forme i rado ćemo vam pokazati kako vam može pomoći u provedbi samoprocjene.