Detekce a zaznamenávání kybernetických bezpečnostních událostí

Smyslem tohoto ustanovení je nasazení nástrojů, které budou schopny detekovat kybernetické bezpečnostní události, které mohou vést ke kybernetickému bezpečnostnímu incidentu, kdy tyto nástroje se schopností detekce jim zpravidla dokážou i účinně čelit.

Ochrana dat na perimetru komunikační sítě

Pro data přenášená přes perimetr komunikační sítě je nutné zajistit jejich ověření a kontrolu. Perimetr může oddělovat interní síť od veřejné, důvěryhodné prostředí od nedůvěryhodného nebo různé bezpečnostní zóny (například demilitarizovanou zónu od interní LAN). Bude-li na síťovém perimetru detekována nežádoucí komunikace, mělo by dojít k jejímu zablokování. Je v zájmu poskytovatele regulované služby zajistit ověření a kontrolu přenášených dat také uvnitř komunikační sítě. 

Příklady plnění:

  • Veškerá perimetrová komunikace probíhá skrze provozovaný hardwarový prvek, zajišťující plnění požadavku bezpečnostního opatření.
  • Organizace nedisponuje takovým typem sítě (například s hraničním firewallem), na kterou by bylo možné dané opatření aplikovat.
  • Organizace má v rámci smlouvy o poskytování internetového připojení od operátora zajištěn i aspekt kyberbezpečnosti na vstupu do sítě internet.

Ochrana před škodlivým kódem

Pro technická aktiva, zejména koncové stanice a servery, musí být zajištěna nepřetržitá a automatická ochrana před škodlivým kódem pomocí vhodného nástroje.

Příklady plnění:

  • Mimo běžná IT aktiva jako kancelářské koncové počítačové stanice a servery využívá organizace i aktiva průmyslového charakteru, která mohou být dodána jako „black-box“ bez možnosti zavedení bezpečnostního opatření. V těchto případech je o těchto aktivech vedena evidence s posouzením stavu a jsou chráněna dodatečným způsobem jako například omezením síťové komunikace, fyzickým zablokováním komunikačních portů či řízením fyzického přístupu k těmto aktivům.
  • Veškerá aktiva jsou chráněna SW nástrojem, který zajišťuje nepřetržitou automatickou ochranu před škodlivým kódem a je centrálně spravován. V případě výskytu kybernetické bezpečnostní události systém upozorní relevantní osobu, která musí událost vyhodnotit.

Pravidla pro automatické spouštění obsahu datových médií

Pokud poskytovatel regulované služby využívá výměnná datová média či obdobné přenosné datové nosiče, je v souvislosti s těmito zařízeními nutné řídit automatické spouštění jejich obsahu, případně zajistit automatické skenování média pomocí vybraného nástroje po jeho připojení ke koncové stanici.

Příklady plnění:

  • Blokování automatického spouštění datových nosičů bylo vyřešeno na všech systémech politikou.
  • U průmyslových výrobních zařízení byly volně dostupné USB porty zamčeny mechanickými klíči.
  • Je využíváno speciálního SW ochrany „data leak prevention“ zajišťujícího toto bezpečnostní opatření.

Hlášení z nástrojů detekce kybernetických bezpečnostních událostí

Musí být zajištěno informování relevantních osob o detekovaných kybernetických bezpečnostních událostech, aby mohly být případně iniciovány navazující procesy spojené např. s řešením kybernetických bezpečnostních incidentů.

Příklady plnění:

  • Instalovaný nástroj automatické ochrany před škodlivým kódem disponuje centrální konzolí, zobrazující stav bezpečnostních klientů zapojených koncových stanic. V případě výskytu podezření na bezpečnostní událost konzole automaticky zašle příslušným zaměstnancům notifikaci.
  • Veškerou správu bezpečnostních opatření zajišťuje dodavatel, se kterým má organizace nastavené vhodné komunikační kanály a mechanismy pro řešení případných problémů.

Aktualizace nástrojů detekce kybernetických bezpečnostních událostí

Pro nástroje nepřetržité a automatické ochrany před škodlivým kódem a další detekční nástroje musí být zajištěna jejich pravidelná a bezodkladná aktualizace včetně kontroly aktuálnosti detekčních pravidel.

Požadavky na zaznamenávané informace pro relevantní události či detekce

V souladu s požadavky na detekci kybernetických bezpečnostních událostí je zapotřebí, aby poskytovatel regulované služby zaznamenával bezpečnostní události a relevantní provozní události. 

Záznam těchto událostí je klíčový především z důvodů:

  • včasné identifikace – bez záznamu události nelze spolehlivě odhalit pokusy o neoprávněný přístup, škodlivý kód nebo jiné anomálie,
  • analýzy a reakce – zaznamenaná data poskytují podklady pro šetření nebo určení příčiny kybernetického bezpečnostního incidentu a přijetí nápravných opatření a
  • prevence opakování – historické záznamy pomáhají identifikovat vzorce útoků a zlepšovat preventivní opatření.

Proto je u záznamů nutné, aby byly zajištěny a uchovávány následujících údaje:

  • datum a čas, včetně specifikace časového pásma,
  • typ činnosti,
  • jednoznačná identifikace technického aktiva a identifikaci účtu původce a
  • úspěšnost nebo neúspěšnost činnosti.


Příklady plnění:

  • Organizace zavedla interní zdroj jednotného času ve vlastní infrastruktuře.
  • Organizace provozuje bezpečnostní řešení zaznamenávající informace, v případě výskytu bezpečnostní události je upozorněn odpovědnou osobu, která tuto událost posoudí. Tato osoba také danou událost okomentuje a provede její vyhodnocení.
  • Organizace spoléhá v oblasti jednotného času na připojení relevantních technických aktiv k veřejnému internetu a veřejně dostupné servery poskytující jednotný čas.
  • Veškerou správu bezpečnostních opatření zajišťuje dodavatel, se kterým má organizace nastavené vhodné komunikační kanály a mechanismy pro řešení případných problémů.

Doba uchovávání záznamů

Záznamy bezpečnostních a relevantních provozních událostí je potřeba uchovávat po dobu stanovenou na základě bezpečnostních potřeb poskytovatele regulované služby. 

Důvod, proč je nutné zaznamenávat i relevantní provozní události, je ten, že v případě vzniku kybernetických bezpečnostních incidentů mohou tyto záznamy představovat zásadní důkazy pro forenzní analýzu. Bez dostatečných dat nelze spolehlivě určit příčinu kybernetických bezpečnostních incidentů ani přijmout účinná nápravná opatření. 

Mezi relevantní provozní události se mohou řadit například:

  • Výpadek konektivity – může indikovat útok typu DoS nebo selhání infrastruktury.
  • Abnormální zatížení linky – může signalizovat pokus o přetížení sítě nebo nelegitimní datové toky.
  • Výrazné vytížení technických aktiv – může naznačovat provozní anomálii nebo pokus o zneužití technického aktiva.

Příklady plnění:

  • Na základě analýzy množství doposud šetřených bezpečnostních událostí organizace stanovila dobu uchovávání bezpečnostních informací na 1,5 roku. Uchovávaná data o šetřených událostech mají minimální dopad na kapacitu provozovaných diskových úložišť.
  • V oblasti fyzické bezpečnosti kvůli velkému množství provozovaných bezpečnostních kamer s vysokým rozlišením musela organizace zohlednit přiměřenost finančních nákladů na paměťovou kapacitu souvisejících úložišť kamerových záznamů. Organizace vyhodnotila, že po stanovené době bude docházet k automatickému přepisování uchovávaných dat.
  • Na základě konzultace s dodavateli jsou z hlavních bezpečnostních nástrojů sbírány pouze bezpečnostní (security) logy, které se dle kapacity při ukládání nových dat a vyčerpání určeného místa přepisují.