Řízení ostatních faktorů: Zvládání Kybernetických bezpečnostních událostí a incidentů

Definice Kybernetické bezpečnostní události

Kybernetickou bezpečnostní událostí se dle § 7 odst. 1 Zákona o kybernetické bezpečnostni rozumí „událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací“. Praktickým příkladem kybernetické bezpečnostní události může být např. neúspěšný pokus o nelegitimní přístup do systému, uživatel stáhne škodlivou přílohu e-mailu, nicméně ta je rozpoznána a zachycena antivirovým systémem.

Kybernetické bezpečnostní incidenty

Kybernetickým bezpečnostním incidentem se dle § 7 odst. 1 Zákona o kybernetické bezpečnostni rozumí „narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události“. Praktickým příkladem kybernetického bezpečnostního incidentu může být výpadek systému (jenž způsobí nedostupnost) či neoprávněný přístup do systému.

Požadavky ustanovení

Základním požadavkem v rámci tohoto ustanovení je zavedení procesu zajišťujícího detekci a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů.

• přidělit odpovědnosti a stanovit postupy pro průběžnou detekci a průběžné vyhodnocování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
• zajistit posouzení, zda se jedná o kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident,
• přidělit odpovědnosti a stanovit postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů,

Praktickým příkladem požadavku na ustanovení může být stav kdy Manažer kybernetické bezpečnosti vytvoří RACI matici s povinnostmi všech zainteresovaných stran, které se budou podílet na zvládnutí kybernetického bezpečnostního incidentu. RACI matice je součástí bezpečnostních politik.

Dalším požadavkem je definovat a aplikovat postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu. Podklady by měly obsahovat:

• identifikaci osob a údaje o čase (včetně časového pásma)
• provedení každé činnosti vztahující ke sběru věrohodných podkladů o kybernetickém bezpečnostním incidentu
• jak byly jednotlivé činnosti provedeny včetně nástrojů a dalších podstatných informací
• jaké jsou výsledky provedených činností a jak jsou tyto výsledky chráněny
• kdo je svědkem prováděných činností včetně prohlášení, že všechny informace o provedených činnostech a jejich výsledcích jsou pravdivé, úplné a bezchybné – je doporučeno využít alespoň dvou svědků a jakékoli další podstatné informace.

Dalším požadavkem je zajistit, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního systému a podezření na jakékoliv zranitelnosti. Doporučení v rámci tohoto požadavku jsou:

• Zanesení požadavku o oznamování neobvyklého chování a podezření na zranitelnosti do smluvních ujednání s dodavateli.
• Školit zaměstnance komu a jakým způsobem hlásit neobvyklé chování. O postupech oznamování lze na pracovištích informovat pomocí aktualit.
• Přijmout opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu.
• Bezodkladně hlásit NÚKIB kybernetické bezpečnostní incidenty, podle §32 VKB.
• Vést záznamy o kybernetických bezpečnostních incidentech a jejich zvládání.
• Prošetřit a určit příčiny kybernetického bezpečnostního incidentu.
• Vyhodnotit účinnost řešení kybernetického bezpečnostního incidentu.
• Na základě vyhodnocení stanovit nutná bezpečnostní opatření, popřípadě aktualizovat stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.

Zdroj: www.nukib.cz