1. Význam a benefity

Bez přehledu o bezpečnostních událostech, nemůže dojít k jejich posouzení.

Jejich detekce, záznam, evidence, sběr, vyhodnocení jsou podkladem pro řízení bezpečného provozu. Musí být stanoveny nástroje pro detekci bezpečnostních událostí a určen způsob a rozsah jejich nastavení a použití.

2. Rozsah

Bezpečnostní událost je každá událost, která má nebo by mohla mít dopad na bezpečnost informací, tzn. jejich důvěrnost, dostupnost, nebo integritu.

Může to být i událost, která je nahlášena fyzickými nebo právnickými osobami.

Událost přímo nezpůsobí incident, ale její výskyt je významný a jejím ignorováním může v budoucnu dojít k incidentu. Jedná se např. o:

detekovaný nepovedený pokus o přístup do systému / k informacím (např. zapomenuté heslo),

plánovanou (avizovanou) nedostupnost např. z důvodu údržby nebo jakoukoliv událost, jejíž opakovaný/mnohonásobný výskyt by mohl narušit dostupnost,

škodlivý kód detekovaný a zachycený antivirovou ochranou dříve, než byly napáchány jakékoliv škody,

detekovaný pokus o překonání technického opatření,

snahu zaměstnance o kopírování velkého množství dat, která přímo nesouvisejí s jeho každodenní pracovní náplní, ale ke kterým potřebuje mít přístup a tato aktivita byla speciálním nástrojem detekována a zamítnuta, atp.

Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti, § 22, 23, 24. 

3. Informační vyhlášení

Organizace musí zajistit detekci kybernetických bezpečnostních událostí přiměřeně s ohledem na důležitost aktiv v rámci:

•             koncových stanic,

•             mobilních zařízení,

•             serverů,

•             datových úložišť a výměnných datových nosičů,

•             síťových aktivních prvků a

•             obdobných aktiv.

a) Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí

Politika musí obsahovat všechny způsoby detekce/zjištění/záznamu událostí např. oznámení zaměstnanců, zainteresovaných stran (včetně dodavatelů, NÚKIB, atp.) a všech aplikovaných elektronických a SW nástrojů např. SIEM, MS SCOM, EZS, atp.

V rámci komunikační sítě, jejíž součástí je informační a komunikační systém, organizace používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajišťuje:

•             ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,

•             ověření a kontrolu přenášených dat na perimetru komunikační sítě a

•             blokování nežádoucí komunikace.

Rozsah záznamů musí splňovat požadavek na komplexitu souvisejících informací o vzájemně souvisejících aktivitách, na poskytování informací pro určené bezpečnostní role a na uchování důkazů.

b) Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události

Politika musí obsahovat způsoby, jak na události reagovat a které typy událostí se musí eskalovat k manažeru kybernetické bezpečnosti, např. události klasifikované jako incident.

Existují postupy seskupování záznamů, dohledání řetězce potřebných informací, parametrů (ID osoby, čas, IP adresa, MAC, protokol, atp.), využitých služeb, s cílem identifikace incidentů.

Existují postupy včasného varování a poskytnutí informací pro správné nastavení bezpečnostních opatření.

c) Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí

Musí existovat seznam všech SW nástrojů sloužících k detekci bezpečnostních událostí.

Pro každý SW nástroj sloužící k detekci bezpečnostních událostí musí být stanoveno

1.          k čemu nástroj slouží a v jakém rozsahu je používán,

2.          kdo odpovídá za jeho správu a monitoring, reporting bezpečnostních událostí,

3.          jak jsou evidovány a zálohovány detekované bezpečnostní události,

4.          jak je nástroj aktualizován a pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje.