Aplikační bezpečnost

Cílem tohoto ustanovení je zajištění nasazení bezpečnostních opatření u technických aktiv pro dlouhodobou udržitelnost provozovaných technických aktiv.

Bezpečnostní aktualizace

Jsou-li výrobcem, dodavatelem či jinou osobou uvolněny bezpečnostní aktualizace pro provozovaná technická aktiva, musí být tyto bezpečnostní aktualizace aplikovány bez zbytečného odkladu.

Příklady plnění:

  • Aktualizace operačního systému koncových stanic.
  • Aktualizace uživatelského SW (nástroj pro centrální správu a dohled).
  • Aktualizace uživatelského SW (manuální kontrola a nasazování aktualizací).
  • Aktualizace řadičů virtualizačních platforem.
  • Aktualizace firmwaru síťových prvků.
  • Aktualizace OT komponent, které si organizace sama spravuje v oblasti řízení technologií budovy.

Nepodporovaná technická aktiva

Může nastat situace, kdy poskytovatel regulované služby provozuje aktiva, u kterých již není např. z důvodu jejich zastaralosti zajištěno vydávání nových bezpečnostních aktualizací. 

Pro tato aktiva je nutné:

  • zajistit důsledné vedení jejich evidence,
  • pomocí náhradních bezpečnostních opatření zajistit, aby bezpečnost těchto aktiv byla na stejné (popř. i vyšší) úrovni, jaké je dosaženo v případě aktiv, která mají bezpečnostní podporu výrobce zajištěnou, a
  • omezit jejich síťovou komunikaci v rámci provozované komunikační sítě pouze na nezbytně nutnou.

Příklady plnění:

  • Organizace vede podrobnou evidenci veškerého používaného SW a HW. Evidence obsahuje přesnou identifikaci každého aktiva (např. verzi systému či sestavení), a dále informace o aplikovaných bezpečnostních záplatách a zda má systém zajištěnu podporu výrobce.
  • Některé stroje nebo výrobní linky zakoupené jako „black-box“ disponují vysoce zastaralými operačními systémy – uvedená zařízení byla proto izolována v rámci síťového perimetru a síťová komunikace je povolena pouze na konkrétní stanice, které jsou vybaveny podporovaným systémem a implementují další monitorovací nástroje.
  • Organizace vede evidenci používaného SW včetně jeho verzí a umístění.

Skenování zranitelností

Poskytovatel regulované služby musí u relevantních technických aktiv zajistit pravidelné skenování zranitelností a na základě zjištěných výsledků aplikovat přiměřená bezpečnostní opatření. V souvislosti se zaváděním bezpečnostních opatření je nutné posoudit jejich přiměřenost.

Příklady plnění:

  • Organizace má komplexní přehled o veškerých provozovaných aktivech, vede důslednou evidenci SW a HW. Nástroj evidence aktiv provádí automatizovanou kontrolu oproti katalogům veřejně známých zranitelností. Pro případ pozitivní detekce zranitelného aktiva je postupováno dle zpracovaného plánu mitigace zranitelnosti.
  • IT pracovníci organizace, s pomocí volně dostupných nástrojů, sestavili skenovací zařízení, které dle schváleného procesu využívají při fyzických kontrolách sítě. Obdobná technologie je permanentně provozována i ve virtualizační platformě, kde automatizovaně zajišťuje skenování vybraných síťových segmentů.
  • Organizace skenování zranitelností neprovádí, ale na základě pečlivé evidence SW a HW pravidelně kontroluje, zda pro dané aktivum nebyla zveřejněna zranitelnost.
  • Organizace pro svoji činnost využívá cloudovou platformu, jejíž součástí je bezpečnostní řešení zajišťující sběr informací z připojených koncových stanic. Automaticky je vyhodnocována dostupnost aktualizací instalovaného SW a je upozorňováno na výskyt kritických zranitelností.