Postupy riešenia kybernetických bezpečnostných incidentov - vzor smernice

Postupy riešenia kybernetických bezpečnostných incidentov

(Interná smernica)

Táto smernica je spracovaná na základe dobrej praxe a reflektuje pravidlá a postupy v oblasti riadenia kybernetických bezpečnostných incidentov v kontexte požiadaviek platnej legislatívy v oblasti kybernetickej a informačnej bezpečnosti, ako aj medzinárodnej normy radu ISO/IEC 27000 v predmetnej oblasti.

Obsah

1. Kľúčové súvisiace predpisy a normy 
2. Účel smernice 
3. Zásady, zodpovednosti a rozsah
4. Definícia bezpečnostného incidentu
5. Identifikačné kritériá pre kategóriu závažných kybernetických bezpečnostných incidentov
6. Detekcia, zber a vyhodnocovanie sieťových kybernetických bezpečnostných incidentov
7. Hlásenie vzniku bezpečnostných udalostí 
8. Riešenie kybernetických bezpečnostných incidentov
9. Hlásenie bezpečnostných incidentov
10. Evidencia a preskúmavanie bezpečnostných incidentov
11. Nápravné a preventívne opatrenia (zlepšovanie)
12. Príklady bezpečnostných incidentov
13. Záver

1. Kľúčové súvisiace predpisy a normy

1. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
2. Vyhláška č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
3. Vyhláška č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
4. Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe
5. Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
6. Súbor medzinárodných noriem radu ISO/IEC 27000

2. Účel smernice

Definícia pravidiel pre klasifikáciu bezpečnostných incidentov, ich zistenie, hlásenie, eskaláciu, vyšetrovanie a reakciu na ne je kľúčovou podmienkou pre zabezpečení riadenia kybernetických bezpečnostných incidentov naprieč organizáciou, čo vyžaduje platná legislatíva v oblasti kybernetickej a informačnej bezpečnosti, ako aj medzinárodné normy (najmä radu ISO/IEC 27000).

Účelom tejto smernice je zabezpečiť včasnú identifikáciu, spôsoby hlásenia, preskúmania, šetrenia a v neposlednom rade efektívneho odstránenia vzniknutých udalostí, ktoré môžu mať negatívny dopad na bezpečnosť organizácie a jej aktív. Organizácia deklaruje, že vydaním tejto smernice vytvára kroky a možnosti pre zníženie dopadov potenciálnych a reálnych kybernetických bezpečnostných incidentov. Organizácia zároveň touto smernicou umožňuje následné prijatie účinných nápravných alebo preventívnych opatrení.

Oblasti hlásenia kybernetických bezpečnostných incidentov zo strany prevádzkovateľa základnej služby sa venuje najmä § 24 a oblasti hlásenia kybernetických bezpečnostných incidentov zo strany poskytovateľa digitálnej služby sa venuje najmä § 25 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Oblasti riešenia kybernetických bezpečnostných incidentov sa venuje najmä § 27 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov s definovaním povinností aj pre prevádzkovateľa základnej služby.

3. Zásady, zodpovednosti a rozsah

Smernica sa vzťahuje na všetkých pracovníkov organizácie, ktorí majú prístup k informačným systémom, resp. aktívam organizácie.

Smernica je určená všetkým pracovníkom manažmentu organizácie zodpovedným za prevádzku informačných systémov a zverené aktíva všeobecne. Je tiež určená pracovníkom zodpovedným za plánovanie, architektúru, vývoj, testovanie a kontrolu kvality a bezpečnosti takýchto informačných ...