Zvládání bezpečnostních incidentů

13.1 Hlášení bezpečnostních událostí a slabin

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který

umožní včasné zahájení kroků vedoucích k nápravě.

Měly by být ustaveny formální postupy pro hlášení bezpečnostních událostí a pro zvyšování

stupně jejich důležitosti. Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli

znát postupy hlášení různých typů událostí a slabin, které mohou mít dopad na bezpečnost

aktiv organizace. Zjištěné bezpečnostní události a slabiny by měli zaměstnanci ihned hlásit na

určené místo.

13.1.1 Hlášení bezpečnostních událostí

Opatření

Bezpečnostní události by měly být hlášeny příslušnými řídícími cestami tak rychle, jak je to jen

možné.

Doporučení k realizaci

Pro hlášení bezpečnostní události by měl být vytvořen formalizovaný postup, včetně postupu

reakce na incidenty a jejich eskalace (zvýšení stupně důležitosti), definující činnosti, které by

měly být po přijetí hlášení provedeny. Pro hlášení bezpečnostních událostí by mělo být zřízeno

kontaktní místo.

Kontaktní místo by mělo být známo všem zaměstnancům organizace, mělo by být vždy

k dispozici a mělo by vždy zajistit přiměřenou a včasnou reakci.

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli být seznámeni s povinností

hlásit bezpečnostní události tak rychle, jak je to jen možné. Měli by také znát postupy

a kontaktní místo pro hlášení bezpečnostních událostí. Postupy hlášení by měly zahrnovat:

a) vytvoření procesu zajišťujícího přiměřenou zpětnou vazbu, aby ten, kdo nahlásí

incident, byl informován o výsledcích vyšetřování incidentu a jeho uzavření;

b) formuláře podporující proces hlášení bezpečnostních událostí a zároveň zajišťující, že

hlášení bude splňovat veškeré nezbytné kroky (napomáhající osobě, která incident

hlásí, provést všechny nezbytné kroky);

c) nastavení správného chování v případě bezpečnostní události, např.

1. okamžité zaznamenání všech důležitých detailů (např. typ nesouladu nebo

narušení, chybné fungování, hlášky na obrazovce, podivné chování);

2. za žádných okolností neprověřovat bezpečnostní události, ale okamžitě je hlásit

na určené místo;

d) odkaz na zavedená formalizovaná pravidla pro disciplinární řízení se zaměstnanci,

smluvními stranami nebo uživateli třetích stran, kteří způsobili narušení bezpečnosti.

V místech s vysokým rizikem by pro uživatele, kteří by se mohli stát cílem donucování, měla být

zvážena možnost vyvolání poplachu pod nátlakem26. Postupy reakce na poplach vyvolaný pod

nátlakem by měly reflektovat rizikovost nastalé situace.

Další informace

Některé příklady bezpečnostních událostí a incidentů jsou:

a) ztráta služby, zařízení nebo vybavení;

b) chybné fungování nebo přetížení systému;

c) lidské chyby;

d) nesoulad s politikami nebo směrnicemi;

e) porušení opatření fyzické bezpečnosti;

f) nekontrolované změny systému;

g) chybné fungování technického a programového vybavení;

h) porušení přístupu.

Tyto incidenty mohou být, při dodržením důvěrnosti, použity při školeních uživatelů jako příklady

toho, co se může stát, jak na to reagovat a jak takovým bezpečnostním incidentům v budoucnu

předcházet (viz také 8.2.2). Pro správnou identifikaci bezpečnostní události je nezbytné co

možná nejdříve po výskytu události zajistit důkazy (viz 13.2.3).

Jakékoliv chybné a nebo jiné neobvyklé chování systému může být příznakem pokusu o

narušení nebo útoku na bezpečnost a mělo by tedy vždy být hlášeno jako bezpečnostní

událost.

Detailnější informace o hlášení bezpečnostních událostí a zvládání bezpečnostních incidentů

podává norma ISO/IEC TR 18044.

13.1.2 Hlášení bezpečnostních slabin

Opatření

Všichni zaměstnanci, smluvní strany a další nespecifikovaní uživatelé informačního systému

a služeb by měli být povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření

na bezpečnostní slabiny v systémech nebo službách.

Doporučení k realizaci

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli tyto skutečnosti hlásit

svým nadřízeným nebo přímo poskytovateli služeb a to tak rychle, jak je to jen možné, aby se

zamezilo vzniku bezpečnostního incidentu. Postup hlášení by měl být jednoduchý, přístupný

a kdykoliv dostupný. Uživatelé by měli být informováni o tom, že nesmí za žádných okolností

podezřelé slabiny prověřovat.

Další informace

Zaměstnancům, smluvním stranám a uživatelům třetích stran by mělo být doporučeno, aby se

nepokoušeli podezřelé slabiny sami prověřovat. Testování bezpečnostních slabin může být

interpretováno jako potenciální zneužití systému. Mimo to může testování slabin také způsobit

narušení informačního sytému nebo služby a vyústit až v podniknutí příslušných právních kroků

proti osobě, která testování provedla.

13.2 Zvládání bezpečnostních incidentů a kroky k nápravě

Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.

Pro účinné zvládání bezpečnostních útoků a slabin by měly být stanoveny odpovědnosti

a zavedeny formalizované postupy umožňující okamžitou reakci. Měl by být nastaven proces

neustálého zlepšování reakce, monitorování, vyhodnocování a celkového zvládání

bezpečnostních incidentů.

Pro zajištění souladu s právními požadavky by v případech, kdy je to vyžadováno, měly být

shromážděny důkazy.

13.2.1 Odpovědnosti a postupy

Opatření

Pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty by měly být

zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů.

Doporučení k realizaci

Kromě hlášení bezpečnostních událostí a slabin (viz 13.1) by pro detekci bezpečnostních

incidentů mělo být praktikováno monitorování systému, sledování varovných signálů

a zranitelností (10.10.2).

V úvahu by měla být vzata následující doporučení:

a) Postupy by měly pokrývat všechny možné typy bezpečnostních incidentů, včetně:

1) selhání systému a ztráty služby;

2) škodlivého kódu (viz 10.4.1);

3) odepření poskytnutí služby;

4) chyby, které jsou důsledkem nekompletních nebo nepřesných vstupních dat;

5) porušení důvěrnosti a integrity;

6) zneužití informačních systémů.

b) Vedle běžných plánů kontinuity (viz 14.1.3) by postupy měly také zahrnovat (viz

13.2.2.):

1) analýzu a identifikaci příčiny incidentu;

2) kontrolu incidentu;

3) plánování a implementaci opravných prostředků, aby se zabránilo opakováni

incidentu;

4) komunikaci s těmi, kteří byli ovlivněni incidentem nebo kteří se podílejí na zotavení

se z něj;

5) hlášení určenému subjektu.

c) Soubor auditních záznamů a podobné důkazy je vhodné zajistit (viz 13.2.3)

a adekvátním způsobem zabezpečit, aby bylo možno:

1) analyzovat vnitřní problémy;

2) použít je jako forenzních důkazu v souvislosti s možným porušením smlouvy nebo

porušením regulatorních požadavků nebo pro případ občansko-právního či trestněprávního

řízení podle odpovídající legislativy pro zneužití počítačů nebo podle

zákona o ochraně osobních údajů;

3) použít je při jednání o náhradě škody s dodavateli programového vybavení

a služeb.

d) Činnosti při opravách selhání systému a zotavení se z narušení bezpečnosti by měly

být pečlivě a formálně kontrolovány. Postupy by měly zajišťovat, aby:

1) přístup do systému a k datům byl umožněn pouze na základě jednoznačné

identifikace a autorizace pracovníků (viz také 6.2 pro přístup třetích stran);

2) všechny činnosti při mimořádné události byly detailně dokumentovány;

3) činnosti při mimořádné události byly hlášeny vedení organizace a systematicky

kontrolovány;

4) integrita systémů organizace a opatření byla potvrzena s minimálním prodlením.

Postupy zvládání bezpečnostních incidentů by měly být odsouhlaseny vedením a mělo by být

zajištěno, aby zodpovědné osoby byly obeznámeny s nastavenými prioritami pro zvládání

bezpečnostních incidentů.

Další informace

Bezpečnostní incidenty mohou svým dopadem překročit hranice organizace či dokonce státu.

Pro správnou reakci na tyto incidenty je třeba sladit odezvu a umožnit výměnu informaci

o těchto incidentech s externě spolupracujícími organizacemi podle aktuální potřeby.

13.2.2 Ponaučení z bezpečnostních incidentů

Opatření

Měly by existovat mechanizmy, které by umožňovaly kvantifikovat a monitorovat typy, rozsah

a náklady bezpečnostních incidentů.

Doporučení k realizaci

Informace získané při vyhodnocení bezpečnostních incidentů by měly být využity pro identifikaci

opakujících se incidentů nebo incidentů s velkými následky.

Další informace

Závěry z vyhodnocení bezpečnostních incidentů mohou také signalizovat potřebu využití

dodatečných nebo důkladnějších opatření, která by omezila frekvenci, škody a náklady jejich

budoucích výskytů. Kromě toho by měly být vzaty v úvahu při revizi bezpečnostní politiky (viz

5.1.2).

13.2.3 Shromaždování důkazů

Opatření

V případech, kdy vyústění bezpečnostního incidentu směřuje k právnímu řízení (dle práva

občanského nebo trestního) vůči osobě a nebo organizaci, by měly být sbírány, uchovávány

a soudu předkládány důkazy v souladu s pravidly příslušné jurisdikce, kde se bude případ

projednávat.

Doporučení k realizaci

Měly by být vytvořeny a do praxe zavedeny interní směrnice pro sběr a předkládání důkazů pro

podporu interního disciplinárního řízení.

Obecně tato pravidla zahrnují:

a) přípustnost důkazu: zda může či nemůže být důkaz použit u soudu;

b) důkazní síla: kvalita a kompletnost důkazu;

Organizace by měly pro dosažení přípustnosti důkazů zajistit, že jejich informační systémy

odpovídají publikovaným normám nebo praktickým doporučením pro vytvoření přípustných

důkazů.

Váha předloženého důkazního materiálu by měla odpovídat všem platným požadavkům. Aby

měly předkládané důkazy požadovanou váhu, musí být doložena kvalita a kompletnost postupů

zajišťující korektnost a konzistenci jejich sběru, ukládání a zpracování. Obecně lze těchto přísně

definovaných postupů dosáhnout při splnění následujících podmínek:

a) pro papírové dokumenty: originál je uchováván bezpečně a je pořizován záznam o tom,

kdo jej nalezl, kde byl nalezen, kdy byl nalezen, kdo dosvědčí jeho nález. Případné

šetření by mělo potvrdit, že originály nebyly falšovány;

b) pro informace na počítačových médiích: pro zajištění dostupnosti by měly být pořízeny

kopie nebo obrazy (dle aktuálních požadavků) všech výměnných médií, informací na

pevných discích nebo v paměti počítače. Měl by být uchovány logy o všech činnostech

v průběhu kopírování a proces by měl být svědecky doložitelný. Jedna kopie médií

a protokolu (nejlépe přímo originály) by měly být bezpečně uchovány.

Jakákoliv forenzní zkoumání by měla být prováděna zásadně na kopiích důkazního materiálu.

Vždy by měla být zajištěna integrita důkazního materiálu. Kopírování důkazního materiálu by

mělo být prováděno pod dohledem důvěryhodného svědka. Měly by být vytvořeny záznamy

o tom, kdy a kde byla kopie vytvořena, kdo kopírování prováděl a jaké nástroje a programy byly

pro vytvoření kopií použity.

Další informace

Když je bezpečnostní událost poprvé zjištěna, nemusí být ještě zřejmé, jestli povede

k soudnímu sporu. Existuje proto nebezpečí, že potřebné důkazy budou náhodně a nebo

záměrně zničeny ještě před tím, než se projeví závažnost tohoto incidentu. Je proto vhodné při

každém záměru učinit právní kroky, kontaktovat včas právníka nebo policii a nechat si poradit

o nezbytných důkazech.

Sběr důkazního materiálu může přesáhnout hranice organizace a/nebo jurisdikce. V takovýchto

případech by mělo být zajištěno, aby byla organizace oprávněna požadovaný důkazní materiál

sbírat. Pro zvýšení šancí na přijetí důkazního materiálu soudem, by měly být do úvahy vzaty

požadavky příslušné soudní jurisdikce, u které bude případ projednáván.