Scenár pre riešenie bezpečnostných incidentov

Scenár pre riešenie bezpečnostných incidentov

Tento článok a scenár pre riešenie bezpečnostných incidentov je spracovaný na základe dobrej praxe a reflektuje pravidlá a postupy v oblasti riešenia bezpečnostných incidentov v kontexte požiadaviek platnej legislatívy v oblasti kybernetickej a informačnej bezpečnosti, ako aj medzinárodnej normy radu ISO/IEC 27000 v predmetnej oblasti.

Obsah

1. Kľúčové súvisiace predpisy a normy
2. Úvod
3. Ako postupovať v oblasti riešenia bezpečnostných incidentov?
   • 3.1   Zabezpečte proces riadenia bezpečnostných incidentov
   • 3.2   Zabezpečte dôslednú realizáciu analýzy rizík
   • 3.3   Vysvetlite zamestnancom v organizácii, čo bezpečnostný incident je
   • 3.4   Všetkým pracovníkom vysvetlite ich základné povinnosti
   • 3.5   Zabezpečte koordináciu riešenia bezpečnostného incidentu v organizácii
   • 3.6   Vytvorte plány reakcie na bezpečnostné incidenty
4. Ako postupovať pri vzniku bezpečnostného incidentu – vzor scenára
   • 4.1   Fiktívny scenár č. 1 bezpečnostného incidentu
   • 4.2   Fiktívny scenár č. 2 bezpečnostného incidentu
5. Možný vzor tlačiva pre hlásenie bezpečnostných incidentov
6. Záver

1. Kľúčové súvisiace predpisy a normy

Problematika riešenia bezpečnostných incidentov je obsiahnutá nielen v medzinárodných normách v oblasti kybernetickej a informačnej bezpečnosti (normy ISO), ale aj legislatívnych predpisoch platných v Slovenskej republike, z ktorých najdôležitejšie sú:

1. zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,
2. vyhláška č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov,
3. vyhláška č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
4. zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe,
5. vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
6. súbor medzinárodných noriem radu ISO/IEC 27000 (podstatná časť z nich je pre slovenské reálie prevzatá a do slovenského jazyka preložená Slovenskou národnou akreditačnou službou – SNAS).

2. Úvod

Pre oblasť riadenia bezpečnostných incidentov v organizácii v súlade s požiadavkami platnej legislatívy v oblasti kybernetickej a informačnej bezpečnosti, resp. s požiadavkami medzinárodných noriem (najmä radu ISO/IEC 27000) vyplýva dôležitosť pochopenia pravidiel pre zistenie (objavenie, identifikáciu) bezpečnostných incidentov, ich klasifikáciu, spôsob hlásenia, eskalácie, vyšetrovanie a reakciu na ne. Pochopením uvedeného je možné riadiť včasnú identifikáciu, preskúmanie, prešetrovanie, ako aj efektívne odstránenie vzniknutých bezpečnostných udalostí, resp. bezpečnostných incidentov, ktoré môžu mať negatívny dopad na bezpečnosť organizácie a jej aktív (teda všetkého, čo má pre organizáciu hodnotu). Výsledkom riadenia bezpečnostných incidentov je obvykle následné prijatie účinných nápravných alebo preventívnych opatrení.

Tu sa do popredia dostáva dôležitá podmienka pre riadenie bezpečnostných incidentov, ktorou je nutnosť definovať spôsob ich hlásenia. (Pozn.: najmä pre skupinu prevádzkovateľov základných služieb je táto oblasť detailne definovaná v § 24 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, resp. pre skupinu poskytovateľov digitálnej služby je táto oblasť detailne definovaná v § 25 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Zároveň je problematike riešenia bezpečnostných incidentov venovaný § 27 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o ...