Vznik a hlásenie bezpečnostných incidentov

Zamestnanci musia bezpečnostné incidenty, ktoré spozorovali, prípadne im boli oznámené (napr. dodávateľom, klientom) ihneď ohlásiť zodpovednému zamestnancovi.

Po vzniku bezpečnostného incidentu je zakázané vykonávať akékoľvek aktivity, ktoré by mohli viesť k znehodnoteniu dôkazov alebo k zhoršeniu dôsledkov bezpečnostného incidentu (napr. nevykonávať ďalšie aktivity na pracovnej stanici, ktorá bola napadnutá vírusom a čakať na inštrukcie zamestnanca zodpovedného za vyriešenie daného incidentu; v prípade nájdenia citlivého dokumentu nachádzajúceho sa na chodbe zamedziť jeho ďalšiemu šíreniu tým, že ho zamestnanec uchová u seba a následne odovzdá po vyzvaní koordinátorovi reakcie; v prípade krádeže zabezpečiť, že nebudú znehodnotené dôkazy a pod.).

Zaznamenanie bezpečnostného incidentu a určenie priority

Zamestnanec zodpovedný za zaznamenanie bezpečnostného incidentu zaznamená daný bezpečnostný incident. V prípade potreby kontaktuje ohlasovateľa incidentu a uprení hlásenie incidentu.

Pri hlásení incidentu musia byť zaznamenané nasledujúce údaje:

• dátum, čas a miesto nahlásenia incidentu,
  • meno zamestnanca, ktorý incident ohlásil,
  • popis incidentu, rozsah poškodenia, prípadne odhad výšky škôd.

V prípade, že bezpečnostný incident zistí zamestnanec spoločnosti s pridelenou bezpečnostnou rolou (napr. MIB), zabezpečí jeho zaevidovanie tento zamestnanec.

Za stanovenie priority riešenia bezpečnostných incidentov zodpovedá príslušný zamestnanec, ktorý incident zaznamenal. Pritom je povinný zohľadniť dôležitosť aktív, ktorých sa incident týka a aktuálny a potenciálny dopad bezpečnostného incidentu Pokiaľ si zamestnanec, ktorý incident zaznamenal, nie je istý predpokladanom úrovňou jeho kritickosti, zvolí vždy vyššiu úroveň. Za preverenie nastavenej úrovne kritickosti a za jej prípadnú úpravu zodpovedá MIB.

Reakcia na bezpečnostné incidenty

Cieľom reakcie na bezpečnostné incidenty je predísť zhoršeniu ich následkov, odstránenie dôsledkov a ak je to potrebné dosiahnutie stavu, ktorý je rezistentný voči výskytu obdobného incidentu.

Za koordináciu reakcie zodpovedá koordinátor reakcie. Pridelenie zodpovednosti za koordináciu reakcie na incident je nasledovné:

• pre nekritické bezpečnostné incidenty je koordinátorom reakcie príslušný vlastník informačného aktíva, resp. ním delegovaná osoba, alebo príslušný administrátor.
  • pre vážne a kritické bezpečnostné incidenty týkajúce sa správy a prevádzky IS spoločnosti, je koordinátorom reakcie vedúci úseku IT spoločnosti. O jednotlivých krokoch, ktoré boli podniknuté je informovaný MIB.
  • pre vážne a kritické bezpečnostné incidenty týkajúce sa ochrany osobných údajov je koordinátorom reakcie osoba poverená dohľadom nad ochranou osobných údajov danej spoločnosti. O jednotlivých krokoch, ktoré boli podniknuté je informovaný MIB.
  • Pre ostatné vážne a kritické bezpečnostné incidenty je koordinátorom reakcie MIB v spolupráci so zamestnancom zodpovedným za oblasť, ktorej sa incident týka.

O kritických bezpečnostných incidentoch je informované vedenie danej spoločnosti, u ktorej incidentov vznikol, resp. Bezpečnostný výbor spoločnosti (napr. e‐mailom).

Prvoradou úlohou koordinátora reakcie je zabezpečenie získania kontroly nad bezpečnostným incidentom, jeho vyšetrenie, odstránenie príčin jeho vzniku a následkov.

Koordinátor reakcie je v prípade potreby oprávnený určiť a vytvoriť mimoriadny operačný tím tvorený aj zamestnancami ostatných odborných organizačných jednotiek (vlastníkmi ohrozených informačných aktív, zamestnancami zabezpečujúcimi prevádzku relevantných bezpečnostných mechanizmov a pod.).

Vedúci zamestnanci sú povinní na požiadanie poskytnúť koordinátorovi reakcie požadovanú súčinnosť.

Členovia operačného tímu sú povinní informovať koordinátora reakcie o priebehu a výsledkoch činností, ktoré vykonávajú v rámci reakcie na bezpečnostný incident.

Ak incident informačnej bezpečnosti má, alebo môže mať vážny dopad na kontinuitu funkcií organizácie, musia byť podniknuté kroky vedúce ku aktivácii príslušných havarijných plánov.

Ak v súvislosti so vznikom bezpečnostného incidentu mohol byť alebo bol spáchaný trestný čin, je ďalší postup riešenia bezpečnostného incidentu koordinovaný vedením danej spoločnosti a následne členmi Bezpečnostného výboru spoločnosti.

Vyšetrovanie bezpečnostných incidentov

Všetky bezpečnostné incidenty musia byť vyšetrené za účelom identifikácie ich príčin a implementácie primeraných nápravných a preventívnych opatrení.

Za riadenie vyšetrovania bezpečnostných incidentov zodpovedá koordinátor reakcie. Vyšetrovanie je vykonávané jednotlivými členmi mimoriadneho operačného tímu.

Jednotliví členovia operačného tímu sú povinní informovať koordinátora reakcie o priebehu a výsledkoch vyšetrovania bezpečnostného incidentu.

Zdrojom informácií / dôkazov sú:

• výpovede svedkov,
  • vnútorná  analýza  incidentu  (analýza  auditných  záznamov,  softvérového  a  hardvérového prostredia, atď.),
  • analýza vzťahu incidentu s ostatnými incidentmi (hľadanie vzťahov medzi viacerými incidentmi, ktoré by mohli indikovať rovnaké alebo súvisiace zdroje tohto incidentu),
  • písomné záznamy, predpisy, návody, revízne a iné správy.

Súčasne so získanými informáciami sú uchovávané aj záznamy o zdroji informácií, dátume a mieste ich získania, o osobe, ktorá informácie získala, prípadne aj o svedkoch.

O zapojení orgánov činných v trestnom konaní do vyšetrovania (napr. pri spáchaní trestného činu) rozhoduje  riaditeľ     spoločnosti.  V tomto  prípade  je  vyšetrovanie  incidentu  vedené  v súčinnosti s vyšetrujúcim orgánom a v súlade s relevantnými právnymi predpismi.

Každý incident informačnej bezpečnosti musí byť zdokumentovaný minimálne v rozsahu protokolu z riešenia bezpečnostného incidentu . Správy z vyšetrovania nekritických bezpečnostných incidentov môžu mať aj podobu protokolu o servisnom zásahu.

Protokol z riešenia bezpečnostného incidentu sa zaznamenáva na oddelení IT spoločnosti. Prípadné doplňujúce záznamy (v papierovej alebo elektronickej forme) sú uchovávané u jednotlivých koordinátorov reakcie.

Stanovenie nápravných a preventívnych opatrení

Na základe informácií získaných pri vyšetrovaní incidentu a ich analýzy sú v prípade potreby navrhnuté nápravné a preventívne opatrenia.

Za návrh opatrení a ich implementáciu zodpovedajú príslušní vlastníci informačných aktív a/alebo zamestnanci, ktorým táto činnosť vyplýva z pracovnej náplne, resp. z organizačného poriadku , a to v súčinnosti s koordinátorom reakcie. Za návrh opatrení týkajúcich sa nekritických incidentov zodpovedá priamo koordinátor reakcie na bezpečnostný incident.

Koordinátor reakcie preverí vhodnosť navrhnutého opatrenia a v prípade potreby ho môže po dohode s vlastníkom informačného aktíva zmeniť.

Implementácia nápravných a preventívnych opatrení je plánovaná a účinnosť preventívnych opatrení sa pravidelne vyhodnocuje. Vyhodnotenie účinnosti zavedených opatrení je súčasťou procesu vyhodnocovania bezpečnostných incidentov. Za vyhodnotenie účinnosti príslušných opatrení zodpovedá príslušný koordinátor reakcie.

Voči zamestnancom, ktorí spôsobili vznik bezpečnostného incidentu sa podniknú kroky v zmysle platného procesu disciplinárneho konania.

Vyhodnocovanie bezpečnostných incidentov

V ročnom intervale je vypracovávaná správa o štatistike jednotlivých typov incidentov informačnej bezpečnosti a trendoch narušenia informačnej bezpečnosti v spoločnosti.

Súčasťou správy sú aj identifikované problémy, resp. návrhy zvýšenia efektívnosti systému hlásenia a reakcie na bezpečnostné incidenty.

Za vypracovanie správy zodpovedá manažér informačnej bezpečnosti v spolupráci s koordinátormi reakcie (napr. osoba poverená výkonom dohľadu nad ochranou osobných údajov, …)

Správa je predkladaná Bezpečnostnému výboru, ktorému slúži pri:

• rozhodovaní o riadení rizík,
• optimalizácii existujúcich a zavádzaní dodatočných bezpečnostných opatrení,
• hodnotení efektívnosti systému hlásenia a reakcie na bezpečnostné incidenty a rozhodovaní o jeho úprave.