Motyw
Zasoby
Rejestr zasobów to inwentarz wszystkich aktywów organizacji - sprzętu, oprogramowania, usług i infrastruktury, które mają znaczenie dla bezpieczeństwa. Kompletny rejestr zasobów jest punktem wyjścia dla analizy ryzyka i planowania ciągłości działania.
Rodzaje zasobów
Zasoby mogą być różnego typu - system obsługuje m.in.:
| Rodzaj zasobu | Przykłady | Opis |
|---|---|---|
| Serwery fizyczne i wirtualne | Serwery produkcyjne, maszyny wirtualne, kontenery | Infrastruktura obliczeniowa |
| Stacje robocze i laptopy | Komputery pracowników, stacje deweloperskie | Urządzenia użytkowników końcowych |
| Urządzenia sieciowe | Routery, firewalle, przełączniki, AP, VPN | Elementy infrastruktury sieciowej |
| Oprogramowanie i systemy | ERP, CRM, poczta e-mail, systemy wewnętrzne | Aplikacje wykorzystywane w organizacji |
| Usługi chmurowe | IaaS, SaaS, PaaS | Zewnętrzne zasoby w chmurze |
| Bazy danych | Relacyjne, NoSQL, hurtownie danych | Repozytoria danych |
| Serwerownie i pomieszczenia | Centra danych, pomieszczenia techniczne, serwerownia | Zasoby fizyczne |
| Zasoby ludzkie (role krytyczne) | Administrator, analityk, specjalista SOC | Kluczowe role organizacyjne |
INFO
Każdy rodzaj zasobu może mieć inne wymagania bezpieczeństwa. Przy dodawaniu zasobu upewnij się, że wybrany typ i podtyp są prawidłowe - na tej podstawie system sugeruje odpowiednie kontrolki bezpieczeństwa.
Dodawanie zasobu
Kliknij Nowy zasób. Formularz zawiera:
Podstawowe informacje
| Pole | Typ | Wymagane | Opis |
|---|---|---|---|
| Nazwa zasobu | tekst | ✓ | Jednoznaczna nazwa, np. „Serwer aplikacyjny ERP – produkcja" |
| Typ zasobu | lista słownikowa | ✓ | Główna kategoria: IT, fizyczny, ludzki, usługa zewnętrzna |
| Podtyp | lista słownikowa | - | Uszczegółowienie, np. Serwer, Laptop, Baza danych, SaaS |
| Kategoria systemu | lista słownikowa | - | Dla zasobów IT: klasyfikacja techniczna systemu |
| Opis | tekst (długie) | ✓ | Co to za zasób, do czego służy, kto z niego korzysta |
| Status | lista słownikowa | ✓ | Aktywny / W planowaniu / Wycofywany / Wycofany |
Właścicielstwo
| Pole | Typ | Opis |
|---|---|---|
| Właściciel (imię i nazwisko) | tekst | Osoba odpowiedzialna za zasób po stronie organizacji |
| Dział właściciela | tekst | Komórka organizacyjna, do której należy zasób |
| Email właściciela | Kontakt | |
| Właściciel biznesowy | tekst | Kto korzysta z zasobu biznesowo i odpowiada za jego wymagania |
| Właściciel techniczny / Administrator | tekst | Kto zarządza zasobem technicznie |
Lokalizacja
| Pole | Typ | Opis |
|---|---|---|
| Typ lokalizacji | lista | Biuro / Datacenter / Chmura / Zewnętrzny dostawca / Zdalnie |
| Nazwa lokalizacji | tekst | Np. „Biuro Warszawa, budynek A" |
| Adres | tekst | Adres fizyczny, jeśli dotyczy |
| Budynek / Pomieszczenie | tekst | Dokładne miejsce w budynku |
| Datacenter | tekst | Nazwa centrum danych, jeśli zasób jest tam zlokalizowany |
| Dostawca chmury | tekst | Np. AWS, Azure, Google Cloud |
| Szczegóły lokalizacji | tekst | Dodatkowe informacje o lokalizacji |
Bezpieczeństwo i klasyfikacja (ocena CIA)
| Pole | Typ | Opis |
|---|---|---|
| Poufność | ocena (1–5) | Jak wrażliwe dane zasób przetwarza lub przechowuje |
| Integralność | ocena (1–5) | Jak ważna jest poprawność danych - konsekwencje błędów |
| Dostępność | ocena (1–5) | Jak krytyczna jest ciągła dostępność zasobu |
| Wpływ RODO | ocena | Czy zasób przetwarza dane osobowe i w jakim zakresie |
| Istotność RODO | lista | Klasyfikacja pod kątem ochrony danych osobowych |
| Status zgodności | lista | Czy zasób spełnia wymagania bezpieczeństwa organizacji |
Co oznacza ocena CIA?
Poufność (Confidentiality) - określa, jak poufne dane przetwarza zasób. Skala 1-5:
- 1 - brak poufności (dane publiczne)
- 2 - dane ogólnodostępne wewnętrznie
- 3 - dane wewnętrzne (niepubliczne)
- 4 - dane poufne (dostęp restrykcyjny)
- 5 - dane ściśle tajne (krytyczne dla organizacji)
Integralność (Integrity) - określa, jak ważna jest poprawność i niezmienność danych. Skala 1-5:
- 1 - możliwość dowolnych zmian bez konsekwencji
- 5 - najmniejsze błędy mogą prowadzić do katastrofalnych skutków (np. systemy finansowe)
Dostępność (Availability) - określa krytyczność ciągłej dostępności zasobu. Skala 1-5:
- 1 - przerwa w dostępie jest akceptowalna przez długi czas
- 5 - najmniejsza przerwa powoduje krytyczne straty (np. system 911, systemy sterowania)
Audyty bezpieczeństwa zasobu
| Pole | Typ | Opis |
|---|---|---|
| Ostatni audyt bezpieczeństwa | data | Kiedy zasób był ostatnio audytowany |
| Następny audyt | data | Kiedy zaplanowany jest kolejny przegląd |
Uwagi
| Pole | Typ | Opis |
|---|---|---|
| Uwagi | tekst (długie) | Dodatkowe informacje, szczegóły techniczne, konteksty |
Kliknij Zapisz po uzupełnieniu formularza.
Ocena krytyczności zasobu
Po dodaniu zasobu oceń jego krytyczność - jak kosztowna byłaby jego awaria. Przejdź do modułu Krytyczność lub kliknij Oceń krytyczność bezpośrednio z panelu szczegółów zasobu.
Jak ocenić krytyczność?
- Otwórz szczegóły zasobu.
- Kliknij Oceń krytyczność.
- Odpowiedz na pytania z kwestionariusza BIA (np. „ile czasu organizacja może funkcjonować bez tego zasobu?").
- System obliczy wynik i przypisze poziom krytyczności: Niski, Średni, Wysoki lub Krytyczny.
Wskazówka
Krytyczność zasobu automatycznie wpływa na priorytety analizy ryzyka. Zasoby krytyczne powinny być analizowane jako pierwsze.
Szczegóły zasobu
Kliknij dowolny zasób, aby otworzyć panel boczny ze szczegółami podzielonymi na zakładki:
- Ogólne - wszystkie dane z formularza
- Procesy - powiązane procesy biznesowe, w których zasób uczestniczy
- Ryzyka - karty ryzyk dotyczących tego zasobu
- Podatności - wykryte luki bezpieczeństwa
- Dostawcy - firmy zewnętrzne związane z tym zasobem
- Plany ciągłości - procedury dla sytuacji awarii tego zasobu
- Incydenty - zdarzenia bezpieczeństwa, w które był zaangażowany
- Historia - zapis wszystkich zmian danych zasobu
Statusy zasobu
| Status | Znaczenie |
|---|---|
| Aktywny | Zasób w codziennym użyciu |
| W planowaniu | Planowany do wdrożenia - jeszcze nieczynny |
| Wycofywany | Trwa stopniowe wyłączanie zasobu |
| Wycofany | Zasób wyłączony z użytkowania - zachowany dla historii |
Filtrowanie i wyszukiwanie
Dostępne filtry:
- Typ zasobu
- Właściciel
- Status
- Poziom krytyczności
- Dział
Import zasobów z Excel
Jeśli masz dużą liczbę zasobów do dodania na raz, skorzystaj z modułu Import danych. Pobierz szablon Excel, uzupełnij dane i wgraj plik - system zaimportuje wszystkie zasoby jednocześnie.
Eksport
Kliknij Eksportuj, aby pobrać rejestr zasobów w formacie Excel (.xlsx) lub CSV. Z podglądu pojedynczego zasobu: eksport do PDF lub ZIP (PDF + załączniki), zgodnie z podglądem encji.
Co dalej?
- Krytyczność - ocena ważności każdego zasobu dla organizacji
- Procesy biznesowe - procesy korzystające z zasobów
- Analiza ryzyka - ocena zagrożeń dla konkretnego zasobu
- Podatności - luki bezpieczeństwa wykryte w zasobach