Zvládání bezpečnostních incidentů
13.1 Hlášení bezpečnostních událostí a slabin
Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který
umožní včasné zahájení kroků vedoucích k nápravě.
Měly by být ustaveny formální postupy pro hlášení bezpečnostních událostí a pro zvyšování
stupně jejich důležitosti. Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli
znát postupy hlášení různých typů událostí a slabin, které mohou mít dopad na bezpečnost
aktiv organizace. Zjištěné bezpečnostní události a slabiny by měli zaměstnanci ihned hlásit na
určené místo.
13.1.1 Hlášení bezpečnostních událostí
Opatření
Bezpečnostní události by měly být hlášeny příslušnými řídícími cestami tak rychle, jak je to jen
možné.
Doporučení k realizaci
Pro hlášení bezpečnostní události by měl být vytvořen formalizovaný postup, včetně postupu
reakce na incidenty a jejich eskalace (zvýšení stupně důležitosti), definující činnosti, které by
měly být po přijetí hlášení provedeny. Pro hlášení bezpečnostních událostí by mělo být zřízeno
kontaktní místo.
Kontaktní místo by mělo být známo všem zaměstnancům organizace, mělo by být vždy
k dispozici a mělo by vždy zajistit přiměřenou a včasnou reakci.
Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli být seznámeni s povinností
hlásit bezpečnostní události tak rychle, jak je to jen možné. Měli by také znát postupy
a kontaktní místo pro hlášení bezpečnostních událostí. Postupy hlášení by měly zahrnovat:
a) vytvoření procesu zajišťujícího přiměřenou zpětnou vazbu, aby ten, kdo nahlásí
incident, byl informován o výsledcích vyšetřování incidentu a jeho uzavření;
b) formuláře podporující proces hlášení bezpečnostních událostí a zároveň zajišťující, že
hlášení bude splňovat veškeré nezbytné kroky (napomáhající osobě, která incident
hlásí, provést všechny nezbytné kroky);
c) nastavení správného chování v případě bezpečnostní události, např.
1. okamžité zaznamenání všech důležitých detailů (např. typ nesouladu nebo
narušení, chybné fungování, hlášky na obrazovce, podivné chování);
2. za žádných okolností neprověřovat bezpečnostní události, ale okamžitě je hlásit
na určené místo;
d) odkaz na zavedená formalizovaná pravidla pro disciplinární řízení se zaměstnanci,
smluvními stranami nebo uživateli třetích stran, kteří způsobili narušení bezpečnosti.
V místech s vysokým rizikem by pro uživatele, kteří by se mohli stát cílem donucování, měla být
zvážena možnost vyvolání poplachu pod nátlakem26. Postupy reakce na poplach vyvolaný pod
nátlakem by měly reflektovat rizikovost nastalé situace.
Další informace
Některé příklady bezpečnostních událostí a incidentů jsou:
a) ztráta služby, zařízení nebo vybavení;
b) chybné fungování nebo přetížení systému;
c) lidské chyby;
d) nesoulad s politikami nebo směrnicemi;
e) porušení opatření fyzické bezpečnosti;
f) nekontrolované změny systému;
g) chybné fungování technického a programového vybavení;
h) porušení přístupu.
Tyto incidenty mohou být, při dodržením důvěrnosti, použity při školeních uživatelů jako příklady
toho, co se může stát, jak na to reagovat a jak takovým bezpečnostním incidentům v budoucnu
předcházet (viz také 8.2.2). Pro správnou identifikaci bezpečnostní události je nezbytné co
možná nejdříve po výskytu události zajistit důkazy (viz 13.2.3).
Jakékoliv chybné a nebo jiné neobvyklé chování systému může být příznakem pokusu o
narušení nebo útoku na bezpečnost a mělo by tedy vždy být hlášeno jako bezpečnostní
událost.
Detailnější informace o hlášení bezpečnostních událostí a zvládání bezpečnostních incidentů
podává norma ISO/IEC TR 18044.
13.1.2 Hlášení bezpečnostních slabin
Opatření
Všichni zaměstnanci, smluvní strany a další nespecifikovaní uživatelé informačního systému
a služeb by měli být povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření
na bezpečnostní slabiny v systémech nebo službách.
Doporučení k realizaci
Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli tyto skutečnosti hlásit
svým nadřízeným nebo přímo poskytovateli služeb a to tak rychle, jak je to jen možné, aby se
zamezilo vzniku bezpečnostního incidentu. Postup hlášení by měl být jednoduchý, přístupný
a kdykoliv dostupný. Uživatelé by měli být informováni o tom, že nesmí za žádných okolností
podezřelé slabiny prověřovat.
Další informace
Zaměstnancům, smluvním stranám a uživatelům třetích stran by mělo být doporučeno, aby se
nepokoušeli podezřelé slabiny sami prověřovat. Testování bezpečnostních slabin může být
interpretováno jako potenciální zneužití systému. Mimo to může testování slabin také způsobit
narušení informačního sytému nebo služby a vyústit až v podniknutí příslušných právních kroků
proti osobě, která testování provedla.
13.2 Zvládání bezpečnostních incidentů a kroky k nápravě
Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.
Pro účinné zvládání bezpečnostních útoků a slabin by měly být stanoveny odpovědnosti
a zavedeny formalizované postupy umožňující okamžitou reakci. Měl by být nastaven proces
neustálého zlepšování reakce, monitorování, vyhodnocování a celkového zvládání
bezpečnostních incidentů.
Pro zajištění souladu s právními požadavky by v případech, kdy je to vyžadováno, měly být
shromážděny důkazy.
13.2.1 Odpovědnosti a postupy
Opatření
Pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty by měly být
zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů.
Doporučení k realizaci
Kromě hlášení bezpečnostních událostí a slabin (viz 13.1) by pro detekci bezpečnostních
incidentů mělo být praktikováno monitorování systému, sledování varovných signálů
a zranitelností (10.10.2).
V úvahu by měla být vzata následující doporučení:
a) Postupy by měly pokrývat všechny možné typy bezpečnostních incidentů, včetně:
1) selhání systému a ztráty služby;
2) škodlivého kódu (viz 10.4.1);
3) odepření poskytnutí služby;
4) chyby, které jsou důsledkem nekompletních nebo nepřesných vstupních dat;
5) porušení důvěrnosti a integrity;
6) zneužití informačních systémů.
b) Vedle běžných plánů kontinuity (viz 14.1.3) by postupy měly také zahrnovat (viz
13.2.2.):
1) analýzu a identifikaci příčiny incidentu;
2) kontrolu incidentu;
3) plánování a implementaci opravných prostředků, aby se zabránilo opakováni
incidentu;
4) komunikaci s těmi, kteří byli ovlivněni incidentem nebo kteří se podílejí na zotavení
se z něj;
5) hlášení určenému subjektu.
c) Soubor auditních záznamů a podobné důkazy je vhodné zajistit (viz 13.2.3)
a adekvátním způsobem zabezpečit, aby bylo možno:
1) analyzovat vnitřní problémy;
2) použít je jako forenzních důkazu v souvislosti s možným porušením smlouvy nebo
porušením regulatorních požadavků nebo pro případ občansko-právního či trestněprávního
řízení podle odpovídající legislativy pro zneužití počítačů nebo podle
zákona o ochraně osobních údajů;
3) použít je při jednání o náhradě škody s dodavateli programového vybavení
a služeb.
d) Činnosti při opravách selhání systému a zotavení se z narušení bezpečnosti by měly
být pečlivě a formálně kontrolovány. Postupy by měly zajišťovat, aby:
1) přístup do systému a k datům byl umožněn pouze na základě jednoznačné
identifikace a autorizace pracovníků (viz také 6.2 pro přístup třetích stran);
2) všechny činnosti při mimořádné události byly detailně dokumentovány;
3) činnosti při mimořádné události byly hlášeny vedení organizace a systematicky
kontrolovány;
4) integrita systémů organizace a opatření byla potvrzena s minimálním prodlením.
Postupy zvládání bezpečnostních incidentů by měly být odsouhlaseny vedením a mělo by být
zajištěno, aby zodpovědné osoby byly obeznámeny s nastavenými prioritami pro zvládání
bezpečnostních incidentů.
Další informace
Bezpečnostní incidenty mohou svým dopadem překročit hranice organizace či dokonce státu.
Pro správnou reakci na tyto incidenty je třeba sladit odezvu a umožnit výměnu informaci
o těchto incidentech s externě spolupracujícími organizacemi podle aktuální potřeby.
13.2.2 Ponaučení z bezpečnostních incidentů
Opatření
Měly by existovat mechanizmy, které by umožňovaly kvantifikovat a monitorovat typy, rozsah
a náklady bezpečnostních incidentů.
Doporučení k realizaci
Informace získané při vyhodnocení bezpečnostních incidentů by měly být využity pro identifikaci
opakujících se incidentů nebo incidentů s velkými následky.
Další informace
Závěry z vyhodnocení bezpečnostních incidentů mohou také signalizovat potřebu využití
dodatečných nebo důkladnějších opatření, která by omezila frekvenci, škody a náklady jejich
budoucích výskytů. Kromě toho by měly být vzaty v úvahu při revizi bezpečnostní politiky (viz
5.1.2).
13.2.3 Shromaždování důkazů
Opatření
V případech, kdy vyústění bezpečnostního incidentu směřuje k právnímu řízení (dle práva
občanského nebo trestního) vůči osobě a nebo organizaci, by měly být sbírány, uchovávány
a soudu předkládány důkazy v souladu s pravidly příslušné jurisdikce, kde se bude případ
projednávat.
Doporučení k realizaci
Měly by být vytvořeny a do praxe zavedeny interní směrnice pro sběr a předkládání důkazů pro
podporu interního disciplinárního řízení.
Obecně tato pravidla zahrnují:
a) přípustnost důkazu: zda může či nemůže být důkaz použit u soudu;
b) důkazní síla: kvalita a kompletnost důkazu;
Organizace by měly pro dosažení přípustnosti důkazů zajistit, že jejich informační systémy
odpovídají publikovaným normám nebo praktickým doporučením pro vytvoření přípustných
důkazů.
Váha předloženého důkazního materiálu by měla odpovídat všem platným požadavkům. Aby
měly předkládané důkazy požadovanou váhu, musí být doložena kvalita a kompletnost postupů
zajišťující korektnost a konzistenci jejich sběru, ukládání a zpracování. Obecně lze těchto přísně
definovaných postupů dosáhnout při splnění následujících podmínek:
a) pro papírové dokumenty: originál je uchováván bezpečně a je pořizován záznam o tom,
kdo jej nalezl, kde byl nalezen, kdy byl nalezen, kdo dosvědčí jeho nález. Případné
šetření by mělo potvrdit, že originály nebyly falšovány;
b) pro informace na počítačových médiích: pro zajištění dostupnosti by měly být pořízeny
kopie nebo obrazy (dle aktuálních požadavků) všech výměnných médií, informací na
pevných discích nebo v paměti počítače. Měl by být uchovány logy o všech činnostech
v průběhu kopírování a proces by měl být svědecky doložitelný. Jedna kopie médií
a protokolu (nejlépe přímo originály) by měly být bezpečně uchovány.
Jakákoliv forenzní zkoumání by měla být prováděna zásadně na kopiích důkazního materiálu.
Vždy by měla být zajištěna integrita důkazního materiálu. Kopírování důkazního materiálu by
mělo být prováděno pod dohledem důvěryhodného svědka. Měly by být vytvořeny záznamy
o tom, kdy a kde byla kopie vytvořena, kdo kopírování prováděl a jaké nástroje a programy byly
pro vytvoření kopií použity.
Další informace
Když je bezpečnostní událost poprvé zjištěna, nemusí být ještě zřejmé, jestli povede
k soudnímu sporu. Existuje proto nebezpečí, že potřebné důkazy budou náhodně a nebo
záměrně zničeny ještě před tím, než se projeví závažnost tohoto incidentu. Je proto vhodné při
každém záměru učinit právní kroky, kontaktovat včas právníka nebo policii a nechat si poradit
o nezbytných důkazech.
Sběr důkazního materiálu může přesáhnout hranice organizace a/nebo jurisdikce. V takovýchto
případech by mělo být zajištěno, aby byla organizace oprávněna požadovaný důkazní materiál
sbírat. Pro zvýšení šancí na přijetí důkazního materiálu soudem, by měly být do úvahy vzaty
požadavky příslušné soudní jurisdikce, u které bude případ projednáván.