Aktuality

ISO 27001 – Riadenie incidentov informačnej bezpečnosti – ako na to?

Aké definície a skratky sú dôležité pri incidentoch?

Informačné aktíva sú všetky spracovávané informácie a údaje, prostriedky a osoby spracovania, resp. všetko ostatné, čo plní istú funkciu v procese spracovávania alebo ochrany informácií, resp. údajov. Príkladmi informačných aktív sú informácie, aplikácie a systémy, počítačové vybavenie, výpočtové a komunikačné služby, prenosné médiá, zamestnanci a ďalšie.

Vlastník aktíva je spravidla vedúci organizačnej jednotky, ktorý zodpovedá za informačné aktívum v jeho správe, alebo, ktoré primárne využíva jeho organizačná jednotka. Zodpovedá za špecifikáciu požiadaviek na úroveň ochrany informačných aktív, ktoré sú v jeho správe a implementáciu bezpečnostných opatrení v súlade s bezpečnostnou dokumentáciou.

Bezpečnostný incident je každá udalosť, ktorá má potenciál narušiť alebo už narušila informačnú bezpečnosť spoločnosti. Bezpečnostné  incidenty rozdeľujeme na nežiaduce udalosti a nebezpečné situácie.

Nebezpečná situácia je neželaná, neočakávaná situácia, ktorá indikuje možné porušenie bezpečnostnej politiky, zlyhanie bezpečnostných mechanizmov, alebo neznámu situáciu, ktorá môže mať dopad na informačnú bezpečnosť spoločnosti. Medzi nebezpečné situácie patrí aj identifikácia bezpečnostnej slabiny.

Bezpečnostná slabina je existencia slabého miesta v zabezpečení informačných aktív spoločnosti, ktoré predstavuje bezpečnostné riziko, pretože môže viesť ku vzniku bezpečnostných incidentov. Okrem presne vymedzených a schválených prípadov je zakázané pokúšať sa dokázať existenciu akejkoľvek bezpečnostnej slabiny.

Nežiaduca udalosť je situácia, v ktorej bola porušená bezpečnostná politika spoločnosti alebo zlyhali bezpečnostné mechanizmy, pričom vznikla škoda na hmotných alebo nehmotných aktívach spoločnosti.

Bezpečnostné incidenty sú klasifikované do nasledovných kategórií:

  • kritický – bezpečnostné incidenty, ktoré spôsobili alebo pravdepodobne spôsobia veľké škody, ohrozujú bezpečnosť základných funkcií kritických systémov, prípadne sa môžu nekontrolovateľne rozšíriť. Vyžadujú okamžitý zásah.

Príkladmi kritických incidentov sú: únik informácií väčšieho rozsahu, výpadok alebo zlyhanie kritických IT prostriedkov, pokus o prienik do LAN spoločnosti, …

  • vážny – bezpečnostné incidenty, ktoré spôsobili alebo pravdepodobne spôsobia spoločnosti významné škody. Medzi vážne incidenty patria aj incidenty, ktoré majú potenciál prerásť do kritických incidentov. Vyžadujú prioritný zásah.
Príkladmi vážnych incidentov sú: vírusová nákaza väčšieho rozsahu, neoprávnený prístup tretej strany k dôverným informáciám, výpadok klimatizácie, neautorizovaný prístup do chráneného priestoru, výpadok alebo  zlyhanie dôležitých ICT prostriedkov, podozrivé  aktivity na prostriedkoch zabezpečujúcich LAN spoločnosti, krádež notebooku, …
  • nekritický – ostatné bezpečnostné incidenty. Spravidla sú to incidenty, ktoré vyžadujú rutinný zásah. Vzhľadom na zavedené bezpečnostné opatrenia nie je ich dopad na spoločnosti významný, za istých okolností však môžu mať potenciál prerásť do vážnych incidentov.
Príkladmi nekritických incidentov sú: chybové hlásenia IS, vírusová nákaza PC/notebooku malého rozsahu, ponechanie citlivého dokumentu v tlačiarni, ponechanie návštevy bez dozoru, zablokovanie účtu, podozrivé aktivity v LAN – skenovanie portov a pod., …

Vznik a hlásenie bezpečnostných incidentov

Zamestnanci musia bezpečnostné incidenty, ktoré spozorovali, prípadne im boli oznámené (napr. dodávateľom, klientom) ihneď ohlásiť zodpovednému zamestnancovi.

Po vzniku bezpečnostného incidentu je zakázané vykonávať akékoľvek aktivity, ktoré by mohli viesť k znehodnoteniu dôkazov alebo k zhoršeniu dôsledkov bezpečnostného incidentu (napr. nevykonávať ďalšie aktivity na pracovnej stanici, ktorá bola napadnutá vírusom a čakať na inštrukcie zamestnanca zodpovedného za vyriešenie daného incidentu; v prípade nájdenia citlivého dokumentu nachádzajúceho sa na chodbe zamedziť jeho ďalšiemu šíreniu tým, že ho zamestnanec uchová u seba a následne odovzdá po vyzvaní koordinátorovi reakcie; v prípade krádeže zabezpečiť, že nebudú znehodnotené dôkazy a pod.).

Zaznamenanie bezpečnostného incidentu a určenie priority

Zamestnanec zodpovedný za zaznamenanie bezpečnostného incidentu zaznamená daný bezpečnostný incident. V prípade potreby kontaktuje ohlasovateľa incidentu a uprení hlásenie incidentu.

Pri hlásení incidentu musia byť zaznamenané nasledujúce údaje:

  • dátum, čas a miesto nahlásenia incidentu,
    • meno zamestnanca, ktorý incident ohlásil,
    • popis incidentu, rozsah poškodenia, prípadne odhad výšky škôd.

V prípade, že bezpečnostný incident zistí zamestnanec spoločnosti s pridelenou bezpečnostnou rolou (napr. MIB), zabezpečí jeho zaevidovanie tento zamestnanec.

Za stanovenie priority riešenia bezpečnostných incidentov zodpovedá príslušný zamestnanec, ktorý incident zaznamenal. Pritom je povinný zohľadniť dôležitosť aktív, ktorých sa incident týka a aktuálny a potenciálny dopad bezpečnostného incidentu Pokiaľ si zamestnanec, ktorý incident zaznamenal, nie je istý predpokladanom úrovňou jeho kritickosti, zvolí vždy vyššiu úroveň. Za preverenie nastavenej úrovne kritickosti a za jej prípadnú úpravu zodpovedá MIB.

Reakcia na bezpečnostné incidenty

Cieľom reakcie na bezpečnostné incidenty je predísť zhoršeniu ich následkov, odstránenie dôsledkov a ak je to potrebné dosiahnutie stavu, ktorý je rezistentný voči výskytu obdobného incidentu.

Za koordináciu reakcie zodpovedá koordinátor reakcie. Pridelenie zodpovednosti za koordináciu reakcie na incident je nasledovné:

  • pre nekritické bezpečnostné incidenty je koordinátorom reakcie príslušný vlastník informačného aktíva, resp. ním delegovaná osoba, alebo príslušný administrátor.
    • pre vážne a kritické bezpečnostné incidenty týkajúce sa správy a prevádzky IS spoločnosti, je koordinátorom reakcie vedúci úseku IT spoločnosti. O jednotlivých krokoch, ktoré boli podniknuté je informovaný MIB.
    • pre vážne a kritické bezpečnostné incidenty týkajúce sa ochrany osobných údajov je koordinátorom reakcie osoba poverená dohľadom nad ochranou osobných údajov danej spoločnosti. O jednotlivých krokoch, ktoré boli podniknuté je informovaný MIB.
    • Pre ostatné vážne a kritické bezpečnostné incidenty je koordinátorom reakcie MIB v spolupráci so zamestnancom zodpovedným za oblasť, ktorej sa incident týka.
O kritických bezpečnostných incidentoch je informované vedenie danej spoločnosti, u ktorej incidentov vznikol, resp. Bezpečnostný výbor spoločnosti (napr. e‐mailom).

Prvoradou úlohou koordinátora reakcie je zabezpečenie získania kontroly nad bezpečnostným incidentom, jeho vyšetrenie, odstránenie príčin jeho vzniku a následkov.

Koordinátor reakcie je v prípade potreby oprávnený určiť a vytvoriť mimoriadny operačný tím tvorený aj zamestnancami ostatných odborných organizačných jednotiek (vlastníkmi ohrozených informačných aktív, zamestnancami zabezpečujúcimi prevádzku relevantných bezpečnostných mechanizmov a pod.).

Vedúci zamestnanci sú povinní na požiadanie poskytnúť koordinátorovi reakcie požadovanú súčinnosť.

Členovia operačného tímu sú povinní informovať koordinátora reakcie o priebehu a výsledkoch činností, ktoré vykonávajú v rámci reakcie na bezpečnostný incident.

Ak incident informačnej bezpečnosti má, alebo môže mať vážny dopad na kontinuitu funkcií organizácie, musia byť podniknuté kroky vedúce ku aktivácii príslušných havarijných plánov.

Ak v súvislosti so vznikom bezpečnostného incidentu mohol byť alebo bol spáchaný trestný čin, je ďalší postup riešenia bezpečnostného incidentu koordinovaný vedením danej spoločnosti a následne členmi Bezpečnostného výboru spoločnosti.

Vyšetrovanie bezpečnostných incidentov

Všetky bezpečnostné incidenty musia byť vyšetrené za účelom identifikácie ich príčin a implementácie primeraných nápravných a preventívnych opatrení.

Za riadenie vyšetrovania bezpečnostných incidentov zodpovedá koordinátor reakcie. Vyšetrovanie je vykonávané jednotlivými členmi mimoriadneho operačného tímu.

Jednotliví členovia operačného tímu sú povinní informovať koordinátora reakcie o priebehu a výsledkoch vyšetrovania bezpečnostného incidentu.

Zdrojom informácií / dôkazov sú:

  • výpovede svedkov,
    • vnútorná  analýza  incidentu  (analýza  auditných  záznamov,  softvérového  a  hardvérového prostredia, atď.),
    • analýza vzťahu incidentu s ostatnými incidentmi (hľadanie vzťahov medzi viacerými incidentmi, ktoré by mohli indikovať rovnaké alebo súvisiace zdroje tohto incidentu),
    • písomné záznamy, predpisy, návody, revízne a iné správy.

Súčasne so získanými informáciami sú uchovávané aj záznamy o zdroji informácií, dátume a mieste ich získania, o osobe, ktorá informácie získala, prípadne aj o svedkoch.

O zapojení orgánov činných v trestnom konaní do vyšetrovania (napr. pri spáchaní trestného činu) rozhoduje  riaditeľ     spoločnosti.  V tomto  prípade  je  vyšetrovanie  incidentu  vedené  v súčinnosti s vyšetrujúcim orgánom a v súlade s relevantnými právnymi predpismi.

Každý incident informačnej bezpečnosti musí byť zdokumentovaný minimálne v rozsahu protokolu z riešenia bezpečnostného incidentu . Správy z vyšetrovania nekritických bezpečnostných incidentov môžu mať aj podobu protokolu o servisnom zásahu.

Protokol z riešenia bezpečnostného incidentu sa zaznamenáva na oddelení IT spoločnosti. Prípadné doplňujúce záznamy (v papierovej alebo elektronickej forme) sú uchovávané u jednotlivých koordinátorov reakcie.

Stanovenie nápravných a preventívnych opatrení

Na základe informácií získaných pri vyšetrovaní incidentu a ich analýzy sú v prípade potreby navrhnuté nápravné a preventívne opatrenia.

Za návrh opatrení a ich implementáciu zodpovedajú príslušní vlastníci informačných aktív a/alebo zamestnanci, ktorým táto činnosť vyplýva z pracovnej náplne, resp. z organizačného poriadku , a to v súčinnosti s koordinátorom reakcie. Za návrh opatrení týkajúcich sa nekritických incidentov zodpovedá priamo koordinátor reakcie na bezpečnostný incident.

Koordinátor reakcie preverí vhodnosť navrhnutého opatrenia a v prípade potreby ho môže po dohode s vlastníkom informačného aktíva zmeniť.

Implementácia nápravných a preventívnych opatrení je plánovaná a účinnosť preventívnych opatrení sa pravidelne vyhodnocuje. Vyhodnotenie účinnosti zavedených opatrení je súčasťou procesu vyhodnocovania bezpečnostných incidentov. Za vyhodnotenie účinnosti príslušných opatrení zodpovedá príslušný koordinátor reakcie.

Voči zamestnancom, ktorí spôsobili vznik bezpečnostného incidentu sa podniknú kroky v zmysle platného procesu disciplinárneho konania.

Vyhodnocovanie bezpečnostných incidentov

V ročnom intervale je vypracovávaná správa o štatistike jednotlivých typov incidentov informačnej bezpečnosti a trendoch narušenia informačnej bezpečnosti v spoločnosti.

Súčasťou správy sú aj identifikované problémy, resp. návrhy zvýšenia efektívnosti systému hlásenia a reakcie na bezpečnostné incidenty.

Za vypracovanie správy zodpovedá manažér informačnej bezpečnosti v spolupráci s koordinátormi reakcie (napr. osoba poverená výkonom dohľadu nad ochranou osobných údajov, …)

Správa je predkladaná Bezpečnostnému výboru, ktorému slúži pri:

  • rozhodovaní o riadení rizík,
  • optimalizácii existujúcich a zavádzaní dodatočných bezpečnostných opatrení,
  • hodnotení efektívnosti systému hlásenia a reakcie na bezpečnostné incidenty a rozhodovaní o jeho úprave.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *