Paragraf - 14
§ 14
Zvládání kybernetických bezpečnostních událostí a incidentů. Co je to událost, co je to incident, jak je detekovat a zvládat?
Kybernetické bezpečnostní události
Dle § 7 odst. 1 ZKB se kybernetickou bezpečnostní událostí (KBU) rozumí „událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací“. Událost může být zachycena bezpečnostními opatřeními a její potenciální negativní dopady eliminovány. Je to například neúspěšný pokus o nelegitimní přístup do systému, kdy uživatel stáhne škodlivou přílohu e-mailu, ale ta je rozpoznána a zachycena antivirovým systémem. V případě selhání bezpečnostních opatření však může přerůst v kybernetický bezpečnostní incident (KBI), tzn. z potenciálního narušení bezpečnosti se stane narušení skutečné.
Kybernetické bezpečnostní incidenty
Dle § 7 odst. 1 ZKB se kybernetickým bezpečnostním incidentem rozumí „narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události“.
Jak vypadá KBU, která přeroste v KBI?
- Zaměstnanec opouští své pracoviště a neuzamkne si počítač (KBU). Dojde ke zneužití počítače (KBI).
- Selže Firewall na perimetru (KBU). Kvůli tomu nebude mít organizace přístup na internet (KBI).
- Dojde k vniknutí do sítě (KBU). Je nasazen malware v rámci sítě (KBI).
- Dojde k odcizení přihlašovacích údajů (KBU). Následuje přístup do sítě pomocí těchto údajů (KBI).
- Uživatel stáhne přílohu ze zavirované stránky (KBU). Jeho koncovou stanici napadne vir nebo malware (KBI).
Požadavky ustanovení
Základním požadavkem v rámci tohoto ustanovení je zavedení procesu zajišťujícího detekci a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů. Je nutné:
- Přidělit odpovědnosti a stanovit postupy pro průběžnou detekci a průběžné vyhodnocování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
- zajistit posouzení, zda se jedná o kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident,
- přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů, například manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí kybernetického bezpečnostního incidentu. RACI matice je součástí bezpečnostních politik.
- definovat a aplikovat postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu.
Co by věrohodné podklady měly obsahovat?
- Identifikaci osob a údaje o čase (včetně časového pásma),
- provedení každé činnosti vztahující ke sběru věrohodných podkladů o kybernetickém bezpečnostním incidentu,
- jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací,
- jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny,
- kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.
Požadavky ustanovení: pokračování
Dále sem také patří následující:
- Zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti,
- je doporučeno, aby zanesení požadavku o oznamování neobvyklého chování a podezření na zranitelnosti do smluvních ujednání s dodavateli. Dále je doporučeno školit zaměstnance komu a jakým způsobem hlásit neobvyklé chování. O postupech oznamování lze na pracovištích informovat pomocí aktualit,
- přijmout opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,
- bezodkladně hlásit NÚKIB kybernetické bezpečnostní incidenty, podle § 32 VKB,
- vést záznamy o kybernetických bezpečnostních incidentech a jejich zvládání,
- prošetřit a určit příčiny kybernetického bezpečnostního incidentu,
- vyhodnotit účinnost řešení kybernetického bezpečnostního incidentu,
- na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.
Zvládání kybernetické bezpečnostní události a kybernetického bezpečnostního incidentu. Zdroj: Vlastní tvorba.