Řízení ostatních faktorů

1. Řízení provozu a komunikací

Řízení provozu a komunikací napomáhá k bezpečnému provozu informačního systému.
Provozní pravidla a postupy pro řízení provozu a komunikací musí být aktuální, aby přispívala ke správné funkčnosti systému. Při změně systému nebo jeho části je nutné tuto změnu promítnout i do provozních pravidel a postupů.

Pravidla a postupy by měly obsahovat:

• dokumentace s právy a povinnostmi administrátorů, uživatelů a osob zastávajících bezpečnostní role,
• dokumentování postupů pro bezpečné provozování ICT vybavení (např. zapnutí/vypnutí PC, zálohování,
• instalace/konfigurace systémů, údržba zařízení, zacházení s médii, správa PC místnosti, bezpečnost práce atd.),
• detekování kybernetických bezpečnostních událostí a pravidelné vyhodnocování získaných informací (tvorba auditních záznamů, monitorování IS, ochrana záznamů, záznam selhání, synchronizace hodin),
• pravidla a postupy pro ochranu před škodlivým kódem (antivirová strategie),
• řízení technických zranitelností (skenování zranitelností),
• spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory,
• postupy řízení změn v procesech, systémech a vybavení pro zpracování informací s vlivem na bezpečnost informací
• postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů
• pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu
• postupy pro řízení a kontrolu instalace softwaru a pravidla omezení instalace softwaru uživateli
• provádění pravidelných záloh a testování použitelnosti provedených záloh (plán zálohování, dodržení plánu, testování čitelnosti záloh, správné uložení záloh)
• pravidla a postupy pro zajištění bezpečnosti síťových služeb.

Dále je potřeba zajistit oddělení vývojového, testovacího a provozního prostředí.
Doporučení: Testovací prostředí má simulovat provozní prostředí, ale testovací data je nutné anonymizovat.

2. Řízení změn

V rámci řízení změn se provádí přezkoumávání možných dopadů změn a určování významných změn. Cílem je identifikovat změny, které jsou podstatné z hlediska bezpečnosti a mohou ji pozitivně nebo negativně ovlivnit.

Významná změna je podle VKB taková změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko. Posouzení, zda se jedná o významnou změnu či nikoliv je na konkrétní organizaci.

Příklad: Za významnou změnu lze považovat změnu, která by mohla ovlivnit funkčnost systému nebo bezpečnost v organizaci (např. akvizice nového systému/modulu).

Náležitosti u významných změn

U významných změn je třeba zajistit níže uvedené kroky:

• dokumentovat jejich řízení,
• provádět analýzu rizik,
• přijmout opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
• aktualizovat relevantní bezpečnostní politiku a bezpečnostní dokumentaci,
• zajistit jejich testování,
• zajistit možnost navrácení do původního stavu (tzv. roll-back),
• rozhodnout na základě výše zmíněné analýzy rizik o provedení penetračního testování nebo testování zranitelností (v rozsahu aktiv dotčených významnou změnou).

3. Řízení přístupů

Přístupy k informačnímu systému musí být řízeny na základě provozních a bezpečnostních potřeb. K řízení přístupu musí být přijata taková opatření, která zajistí ochranu přihlašovacích údajů. K tomu jsou využívány i technické nástroje pro správu a ověřování identit (§ 19 VKB) a pro řízení přístupových oprávnění (§ 20 VKB).

Jednotliví uživatelé, administrátoři, aplikace a zařízení musí mít přidělený jednoznačný identifikátor, pomocí kterého lze určit vykonavatele operace v informačním systému. Řízení přístupu musí být prováděno pomocí skupin a rolí.

Typy účtů:

• privilegované účty,
• uživatelské účty,
• technické účty

4. BYOD a omezení oprávnění

Pojem Bring Your Own Device (BYOD) se vztahuje na zaměstnance, kteří přinášejí, užívají a připojují na pracovišti vlastní mobilní zařízení, jako například chytré telefony, laptopy nebo tablety.

Pro spravování firemních i osobních zařízení se využívá nástroje Mobile Device Management (MDM), který může obsahovat například tyto funkcionality:

• konfiguraci mobilních zařízení,
• zálohu dat,
• obnovu dat,
• distribuci firmware a aplikací,
• monitoring zařízení apod.

Omezení oprávnění

Uživatelé a administrátoři by měli využívat přístup k informacím a systémům pouze v rozsahu nezbytně nutném pro výkon činností vyplývajících z popisu pracovního místa či smluvního ujednání.

Tento princip je běžně znám pod pojmem need-to-know. Přidělování a odebírání přístupových oprávnění mělo být v souladu s politikou řízení přístupu.

Přístupová oprávnění, přidělené identity a rozdělení do přístupových skupin a rolí se musí pravidelně přezkoumávat. V případě změny pracovní pozice nebo ukončení smluvního vztahu je potřeba přístupová oprávnění změnit nebo odebrat. Přidělování a odebírání přístupových oprávnění musí být dokumentováno.

Doporučení: Pro pravidelné přezkoumávání přidělených přístupových oprávnění je vhodné stanovit odpovědnou osobu.

V rámci politiky řízení přístupů se musí definovat pravidla a postupy potřebné pro omezení a kontrolu používaného softwaru a hardwaru, který by mohl narušit systémovou a aplikační bezpečnost.

Příklad: Jedná se o kontrolu připojovaných USB, antivir apod.

Privilegované účty

Přístupová oprávnění pro privilegované účty musí být přidělována v souladu s politikou řízení přístupů.
Administrátoři nesmí mít sdílené přihlašovací údaje. Administrátor musí mít vedle privilegovaného účtu i účet běžného uživatele pro činnosti, které nevyžadují privilegovaná oprávnění.

Doporučení: K zabezpečení řízení přístupu se pro ověření identity uživatelů, administrátorů a aplikací doporučuje maximálně využívat vícefaktorové autentizace.

5. Akvizice, vývoj a údržba

Akvizicí je ve smyslu paragrafu 13 Vyhlášky o kybernetické bezpečnosti nabytí aktiva, nebo proces jeho získávání. V oblasti vývoje informačních systémů je nezbytné, aby vývoj systémů, které spadají do regulace Zákona o kybernetické bezpečnosti, byl podpořen jasnými požadavky na zajištění jejich bezpečnosti.
Dále je nutné promítnout tyto požadavky do celého životního cyklu od vlastního vývoje až do provozu organizace. Ideální je, aby zaváděný systém byl od počátku navrhován jako bezpečný.

V souvislosti s plánovanou akvizicí, vývojem a údržbou informačního systému je potřeba řídit rizika a zvýznamné změny v souldu Vyhláškou o kybernetické bezpečnosti

Součástí těchto požadavků je provedení hodnocení rizik z důvodu nalezení možných negativních dopadů a navržení případných opatření ke zmírnění těchto dopadů. Je-li předmětem akvizice, vývoje a údržby významná změna, pak je nutné provést bezpečnostní testování před jejich nasazením.

Opatření:

• stanovit bezpečnostní požadavky,
• zahrnout bezpečnostní požadavky do projektu akvizice, vývoje a údržby,
• zajistit bezpečnost vývojového a testovacího prostředí a zajistí ochranu používaných testovacích dat,

6. Zvládání Kybernetických bezpečnostních událostí a incidentů

Definice Kybernetické bezpečnostní události

Kybernetickou bezpečnostní událostí se dle § 7 odst. 1 Zákona o kybernetické bezpečnostni rozumí „událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací“. Praktickým příkladem kybernetické bezpečnostní události může být např. neúspěšný pokus o nelegitimní přístup do systému, uživatel stáhne škodlivou přílohu e-mailu, nicméně ta je rozpoznána a zachycena antivirovým systémem.

Kybernetické bezpečnostní incidenty

Kybernetickým bezpečnostním incidentem se dle § 7 odst. 1 Zákona o kybernetické bezpečnostni rozumí „narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události“. Praktickým příkladem kybernetického bezpečnostního incidentu může být výpadek systému (jenž způsobí nedostupnost) či neoprávněný přístup do systému.

Požadavky ustanovení

Základním požadavkem v rámci tohoto ustanovení je zavedení procesu zajišťujícího detekci a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů.

• přidělit odpovědnosti a stanovit postupy pro průběžnou detekci a průběžné vyhodnocování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
• zajistit posouzení, zda se jedná o kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident,
• přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů,

Praktickým příkladem požadavku na ustanovení může být stav kdy Manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí kybernetického bezpečnostního incidentu. RACI matice je součástí bezpečnostních politik.

Dalším požadavkem je definovat a aplikovat postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu. Podklady by měly obsahovat:

• identifikaci osob a údaje o čase (včetně časového pásma)
• provedení každé činnosti vztahující ke sběru věrohodných podkladů o kybernetickém bezpečnostním incidentu
• jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací
• jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny
• kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.

Dalším požadavkem je zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti. Doporučení v rámci tohoto požadavku jsou:

• Zanesení požadavku o oznamování neobvyklého chování a podezření na zranitelnosti do smluvních ujednání s dodavateli.
• Školit zaměstnance komu a jakým způsobem hlásit neobvyklé chování. O postupech oznamování lze na pracovištích informovat pomocí aktualit.
• Přijmout opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu.
• Bezodkladně hlásit NÚKIB kybernetické bezpečnostní incidenty, podle §32 VKB.
• Vést záznamy o kybernetických bezpečnostních incidentech a jejich zvládání.
• Prošetřit a určit příčiny kybernetického bezpečnostního incidentu.
• Vyhodnotit účinnost řešení kybernetického bezpečnostního incidentu.
• Na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.

Zdroj: www.nukib.cz

7. Řízení kontinuity činností

Cílem řízení kontinuity činností je vytvořit postupy, podle kterých bude možné zajistit funkčnost klíčových procesů, obnovu dat a další činnosti organizace na předem stanovené minimální úrovni poskytovaných služeb v případě kybernetických bezpečnostních incidentů.

Níže je uvedeno schema životního cyklu řízení kontinuity činností.

Zdroj: www.nukib.cz

V rámci politiky řízení kontinuity činností (dle v přílohy č. 5 Vyhlášky o kybernetické bezpečnosti) jsou definovány cíle, které určují:

• minimální úroveň poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního systému
• dobu obnovy chodu (Recovery Time Objective, dále jen „RTO“) - doba obnovení chodu označuje časový úsek, během kterého je nezbytné po kybernetickém bezpečnostním incidentu obnovit minimální úroveň poskytovaných služeb
• bod obnovy dat (Recovery Point Objective, dále jen „RPO“) - bod obnovení dat se definuje jako časové období, za které musí být data zpětně obnovena.

Schéma kybernetického bezpečnostního incidentu:

Pro řízení kontinuity činností je nutné zajistit:

• stanovení politiky řízení kontinuity činností, které zahrnuje pravidla a postupy pro vrcholové vedení, dodavatele atd.,
• posouzení možných rizik a dopadů kybernetických bezpečnostních incidentů ohrožujících kontinuitu činností, které vycházejí z hodnocení rizik a analýzy dopadů,
• stanovení práv a povinností administrátorů a osob zastávajících bezpečnostní role,
• provádění pravidelného testování, aktualizace a distribuce plánů kontinuity činností a havarijních plánů,
• realizaci opatření pro zvýšení odolnosti informačního systému.

8. Audit kybernetické bezpečnosti

Dle paragrafu 16 ZKB předsatvuje Audit kybernetické bezpečnosti systematické a nezávislé přezkoumání ISMS.

Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4 VKB, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

Provedení Auditu kybernetické bezpečnosti je požadováno při významných změnách a v rámci jejich rozsahu (minimálně v oblasti dotčené změnou).

Auditu kybernetické bezpečnosti je dále prováděn v pravidelných intervalech alespoň:

• jednou za tři roky v celém rozsahu požadavků v případě správce a provozovatele významného informačního systému
• jednou za dva roky v případě ostatních povinných osob.

V případech, kdy audit kybernetické bezpečnosti nelze provést v plném rozsahu ve stanovené lhůtě (zejména z důvodu časové náročnosti), lze audit rozdělit systematicky na dílčí části. Takovýto postup je nutné podrobně zdůvodnit a postupovat tak, aby vždy po ukončení všech částí auditu byl výsledkem audit kybernetické bezpečnosti v celém rozsahu požadavků prováděcího právního předpisu, nejpozději v 5-ti letém intervalu.

Požadavkem na audit kybernetické bezpečnosti je provádění pravidelné kontroly dodržování níže uvedeného:

• nejlepší praxe,
• právních předpisů,
• bezpečnostní dokumentace a bezpečnostních politik organizace (včetně technické shody),
• jiných předpisů a smluvních závazků, které se vztahují k systému.

V případě, že audit nalezne nesoulad s výše uvedenými požadavky, musí být na tyto nedostatky reagováno stanovením a přijetím takových nápravných opatření, které zajistí jejich odstranění. Výsledky auditu musí být zohledněny v plánu rozvoje bezpečnostního povědomí a v plánu zvládání rizik. Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního systému. Pravidelné posouzení stavu (audit či kontrola) celého ISMS je nezbytnou součástí kontinuálního zlepšování.