Document name
Short Description
Owner
Version
Reviewer
Published Date
Last Review
Next Review
Label
1. Význam a benefity
Norma ISO 27002: Cílem je zajistit důsledný a efektivní přístup k řízení incidentů bezpečnosti informací, včetně komunikace ohledně bezpečnostních událostí a slabých míst.
Pro praxi je nejdůležitějším přínosem minimalizace dopadů incidentů.
2. Rozsah
Tato politika je závazná pro všechny pracovníky, jejichž působnost souvisí se zvládáním kybernetických bezpečnostních incidentů (KBI). Definované postupy lze v případě potřeby využít také pro ostatní oblasti kybernetické bezpečnosti (KB).
Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti § 14, 22, 23, 24.
3. Informační vyhlášení
Politika obsahuje proces sledování, zaznamenávání a vyhodnocování bezpečnostních událostí a řízení efektivního řešení incidentů s cílem umožnit pokračování nebo obnovení kritických funkcí a procesů v případě jejich reálného nebo teoretického narušení pomocí přijetí vhodných nápravných opatření (omezení opakovaného vzniku) a účinných plánů interní komunikace. Systémy musí být nastavené tak, aby bylo možné, po stanovený čas, analyzovat důkazy o činnostech vedoucích k incidentům.
a) Definování kategorií kybernetického bezpečnostního incidentu
Určujícím měřítkem stupně událostí/incidentů je velikost jejich dopadu.
Stupně dopadu
• Kybernetická bezpečnostní událost – není incidentem, nikam se nehlásí
• Interní kybernetický bezpečnostní incident – interní klasifikace organizace, zvážit nahlášení KB týmu
• Kybernetický bezpečnostní incident – Méně závažný (Kategorie I), nízký dopad, hlásit KB týmu
• Kybernetický bezpečnostní incident – Závažný (Kategorie II), střední dopad, hlásit KB týmu
• Kybernetický bezpečnostní incident – Velmi závažný (Kategorie III), vysoký dopad, hlásit KB týmu
Kategorie incidentů (typy) jsou implementovány v systému evidence incidentů
• Sociální inženýrství, podezřelá emailová komunikace (phishing, pharming, …)
• Ztráta či modifikace dat (souborů, osobních údajů)
•
Zneužití autorských práv
• Ztráta/krádež ICT techniky (mobilní zařízení, notebook, tablet, USB, externí harddisk)
• Prolomení hesel, neoprávněný přístup do systému / k informacím (zneužití přihlášení osob, aplikací)
• škodlivý kód, SW, napadená ICT technika (vir, malware, trojský kůň, spyware, ransomware, adware)
• Omezení dostupnosti systému / IT služeb (DoS, DDoS, hacking, botnet)
•
Porucha hardware (monitor, klávesnice, tiskárny, příslušenství ICT)
• Porucha software (operační systém, aplikace, programy)
• Překonání technických opatření (včetně neoprávněného přístupu do chráněných prostor)
• Porušení organizačních opatření
• Jiný bezpečnostní incident
b) Pravidla a postupy pro identifikaci, evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů
Každý zaměstnanec je povinen ohlásit/zaznamenat jakoukoliv událost, která má nebo by mohla mít vliv na bezpečnost informací do kontaktního formuláře nebo aplikace, popřípadě přímému nadřízenému. Hlášení může podat i veřejnost.
Evidence hlášení (podoba záznamu) musí obsahovat: * autora, čas, popis, kontakt
Událost posoudí (identifikuje) určená osoba (defaultně Manažer KB) a přidá atributy:
• kdo ji posoudil
• reakce na podání, poděkování, upřesňující dotaz, informace o stavu
• klasifikace událost/incident
• stav (registrován, planý poplach, přidělen, přijat, řešen, vyřešen, uzavřen)
K incidentu je potřeba přiřadit záznamy:
• stanovená opatření 1, 2, 3, … a workflow pro kontrolu splnění opatření (kdo, co, kde, kdy nastavil, příloha souboru, LOGu)
• stupeň incidentu, jaký je jeho dopad (textový popis různých typů dopadů a jejich výše)
• kategorie (textový popis nebo výběr ze seznamu)
• příčina (textový popis)
• dokumentace a důkazní materiály související se vznikem incidentu
• eskalace (textový popis kdo byl informován, řeší, …)
• důkazy (přiložit soubory XLSX, DOCX, MSG, JPG, TXT, …)
• účinnost opatření (textový popis)
• poznámka (textový popis)
• po realizaci všech opatření datum ukončení řešení incidentu
• výsledek (textový popis)
• případně odpověď autorovi hlášení
Pro každou kategorii incidentů existuje stručný Plán postupu jeho řešení a Eskalační politika, zohledňující jeho eskalaci na další subjekty, jejich informovanost a spolupráci dle stupně incidentu.
Eskalace méně závažných incidentů zahrnuje hlášení dalším CERT týmům, NÚKIBu, nebo zapojení pověřence pro ochranu osobních údajů (DPO).
Eskalace od závažných incidentů počínaje, zahrnuje povinnost nebo zvážení dalších kroků: zapojení dalších nadřízených, členů výboru KB, tiskového mluvčího, externích subjektů a zákazníků, vypnutí části nebo celé infrastruktury.
Při podezření na trestný čin je nutné hlásit incident Polici ČR prostřednictvím vedení.
c) Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů
Revizi platnosti plánů zvládání jednotlivých kategorií incidentů provádí manažer KB nejméně jedenkrát ročně.
Testování plánů kontinuity provozu nebo obnovy aktiv po havárii a míru detailu jejich provedení ukládá a výsledky schvaluje výbor KB jedenkrát ročně.
O všech proběhlých revizích a testech pořizuje manažer KB záznam do deníku.
d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti
Vždy po ukončení řešení incidentu, resp. obnovení provozu dotčeného aktiva nebo systému, v termínu do 10 pracovních provede manažer KB vyhodnocení míry všech dopadů a uzavře evidenci incidentu.
V reakci na proběhlé incidenty a výsledky všech výše uvedených uskutečněných testů provede 1x ročně přehodnocení rizik, která se k dotčeným aktivům vztahují a upraví
• plány zvládání jednotlivých kategorií incidentů,
• plány kontinuity,
• postupy obnovy aktiv po havárii a
• analýzu rizik doplněním aktuálních rizik
e) Evidence incidentů
Evidence je podobně jako systém vedení provozních záznamů udržována v centralizovaném nástroji nebo ručně v evidenci (deníku) incidentů, která obsahuje minimálně pole: číslo, datum hlášení, zdroj hlášení, typ incidentu (kategorie), možné ohrožení, závažnost, popis, výsledek, popř. důkazy související se vznikem incidentu.
Statistiku incidentů bere na vědomí při každém zasedání Výbor KB.