Řízení změn

---

V rámci řízení změn se provádí přezkoumávání možných dopadů změn a určování významných změn. Cílem je identifikovat změny, které jsou podstatné z hlediska bezpečnosti a mohou ji pozitivně nebo negativně ovlivnit.

Významná změna

---

Významná změna je podle § 2 písm. o) VKB taková změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko. Posouzení, zda se jedná o významnou změnu či nikoliv je na konkrétní organizaci. Za významnou změnu lze považovat změnu, která by mohla ovlivnit funkčnost systému nebo bezpečnost v organi­zaci.

Příklady významných změn

• Akvizice nového systému nebo modulu,
• změna významného dodavatele, se kterým správce dosud nemá zkušenosti,
• varování NÚKIB před kybernetickou bezpečnostní hrozbou,
• změna v organizační struktuře,
• úprava topologie v síti,
• výměna či pořízení nových bezpečnostních nástrojů jako firewall, SIEM, antivir, DDoS pračky, síťové sondy nebo výměna či pořízení nového hardwaru jako server, switch atp.

Náležitosti u významných změn

---

U významných změn je třeba:

• Dokumentovat jejich řízení,
• provádět analýzu rizik,
• přijmout opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
• aktualizovat relevantní bezpečnostní politiku a bezpečnostní dokumentaci,
• zajistit jejich testování,
• zajistit možnost navrácení do původního stavu (tzv. roll-back),
• rozhodnout na základě výše zmíněné analýzy rizik o provedení penetračního testování nebo testování zranitelností (v rozsahu aktiv dotčených významnou změnou).