Stránky o kybernetické bezpečnosti

ZoKB - řídící a provozní dokumentace

Kybernetická bezpečnost ale není jen o firewallingu, AI sondách v infrastruktuře, honey-potech apod. Bezpečnost je také o fyzické bezpečnosti, o řízení procesů, dodavatelů či změn. Bezpečnost je také o tom umět reagovat v krizových situacích, mít plán, jak řešit incidentní stavy a také plán, jak obnovit činnosti organizace po incidentu. Proto bezpečnost není dostatečná, pokud nemá také formální stránku a pokud neexistuje v podobě popsání procesů či stavu ideálního nastavení organizace.

Dokumentaci můžeme v základu rozdělit na:

  • Řídící dokumentaci - např. politiky, směrnice, postupy, nařízení, příkazy GŘ, apod.
  • Provozní dokumentaci -- zde patří komplexní agenda dokumentace bezpečnostních rolí (celé oblasti bude věnován příští díl seriálu)

Řídící dokumentace

V rámci implementace bezpečnostních opatření do organizace je nutné do řídící dokumentace zapracovat všechny požadavky zákona, primárními oblastmi, které by měly být vydefinovány jsou:

  • Politika řízení kybernetické bezpečnosti
    • Definuje závazek organizace ke kybernetické bezpečnosti,
    • určuje role, odpovědnosti a pravomoci v oblasti KB,
    • stanoví obecné cíle a přístup ke správě rizik.
  • Řízení rizik
    • Dokumentace procesů,
    • identifikace, hodnocení a zvládání rizik,
    • kritéria pro posouzení dopadů a pravděpodobnosti,
    • matice rizik a akceptační kritéria či opatření přijatá ke zmírnění rizik.
  • Bezpečnostní opatření
    • Pravidla a postupy pro jednotlivé části organizační bezpečnosti:
    • např. fyzická ochrana,
    • správa aktiv,
    • kryptografie,
    • řízení dodavatelů,
    • řízení změn,
    • řízení oprávnění a přístupů, apod.
  • Řízení bezpečnostních událostí a incidentů
    • Proces detekce, ohlášení, evidence a reakce na bezpečnostní incidenty,
    • odpovědnosti, kontaktní osoby,
    • postup pro hlášení incidentů NÚKIBu.,aj.
  • Testování a audity
    • Postupy interního ověřování bezpečnostních opatření,
    • záznamy z auditů, testování a nápravná opatření,
    • penetrační testy, zranitelnosti, reakce.
  • Kontinuita provozu a zotavení po havárii (BC/DR)
    • Plány na udržení nebo obnovení činností po kybernetickém incidentu,
    • zálohování, obnova dat,
    • odpovědnosti.
  • Řízení změn
    • Postup řízení technických i organizačních změn z pohledu bezpečnosti,
    • posouzení dopadu změn na KB.
  • Monitoring a detekce
    • Nástroje a postupy pro sledování činností,
    • logování, detekce anomálií a podezřelých aktivit.
  • Přístup třetích stran
    • Politika pro přístup externích pracovníků a dodavatelů,
    • dohody o mlčenlivosti,
    • bezpečnostní požadavky.

Obecně lze dokumentaci rozdělit na tu, která:

  • je určena všem zaměstnavatelům,
  • je určena jen vybraným zaměstnancům (bezpečnostní role, ICT, management, apod.),
  • je určena externím subjektům, např. dodavatelům

Důležité - je potřeba zaměstnance či externí subjekty prokazatelně seznamovat s platnou řídící dokumentací a také s novými verzemi řídících dokumentů.

Existují dva pohledy na řešení řídící dokumentace v oblasti bezpečnosti v organizaci. Jeden, často korporátně aplikovaný, je rozsekat výše uvedené oblasti na >samostatné dokumenty po dílčích oblastech.

VÝHODA: každou oblast můžete zpřístupnit jen takovým subjektům, koho se týká NEVÝHODA: existují desítky řídících dokumentů, ve kterých se kromě bezpečnostních rolí nikdo nevyzná

Typická dokumentace pro typickou organizaci

Směrnice 1 - Informační a kybernetická bezpečnost Primární dokument s definicí pravomocí, rolí, odpovědností vedení společnosti a s jednotlivými politikami dle seznamu výše uvedeného, resp. dle požadavku v NZoKB pro jednotlivé režimy regulace.

Směrnice 2 - Řízení bezpečnostních události a incidentů Jednoznačný postup pro řešení incidentních stavů - klasifikace událostí a incidentů, detekční metody, role a odpovědnosti, režimy komunikace, způsob zajištění osob a financí apod.

Směrnice 3 - Ochrana osobních údajů (GDPR) Popis rolí a odpovědností při zpracovávání či předávání osobních údajů.

Směrnice 4 -Pravidla pro dodavatele Komplexní pravidla pro dodavatele - přístup, reporting, bezpečnostní pravidla, auditní činnost, apod.

Další dokumentace:

  • Mapa aktiv
  • Plán zvládání rizik
  • Prohlášení o aplikovatelnosti
  • Příkazy GŘ / představenstva / rady jednatelů
  • Plán kontinuity činnosti (BCM)
  • Plán obnovy (DRM)
  • Plán provádění auditu KB
  • Plán rozvoje bezpečnostního povědomí

Provozní dokumentace MKB

Doporučené evidence a registry:

  • Katalog aktiv a riziK - komplexní přehled se spoustou dalších doplňujících informacích, které dokreslují oficiální Mapu aktiv a Plán zvládání rizik.
  • Evidence BU / BI - přehled, kdy se co dělalo, co to způsobilo, jak se to řešilo a případně jaká nápravná opatření se aplikovala pro zamezení dané záležitosti v budoucnu.
  • Registr bezpečnostních výjimek - soupis výjimek oproti očekávanému, tedy bezpečnému stavu - výjimky:
    • uživatelé s admin právy na svém NB / PC,
    • uživatelé nestandardních systémů a SW a
    • cokoli, co není "běžné" či formálně popsané.
    • záznamy o schvalování a revidování výjimek v periodě nejvýše 12 měsíců.
  • Evidence změn - dokumentace zavádění změn (posuzování, implementace, hodnocení).
  • Evidence kontrol a auditů- soubor dokumentů, který řeší průběh externích či interních auditů, plán kontrolní činnosti, (např. phishingové kampaně, rekonciliace přístupů, kontrola logů, kontrola přístupů, posouzení rolí a práv, apod.)
  • Dokumenty FO perimetru- soubor dokumentů, které popisují stav perimetru v lokalitách organizace a specifika jednotlivých provozoven.
  • Registr dodavatelů - přehled o dodavatelích, jejich významnosti, informování o určení, smlouvy,..
  • Záznamy o vzdělávání a osvětě - záznamy o průběhu osvěty zaměstanců probíhala - provedené školení, články na intranetu, workshopy, apod.

Specifická dokumentace agendy GDPR

  • Záznamy o činnostech zpracování OÚ - evidence účelů a detailů zpracování OÚ
  • Scénáře výkonu práv - postupy řešení žádostí subjektů údajů
  • Registr žádostí výkonu práv - evidence požadavků

Provozní dokumentace AKB

  • Dokumentace síťového perimetru
  • Blokové schéma propojení s pobočkami, dodavateli či cloudovými službami
  • Dokumentace ke klíčovým informačním systémům
  • Mapa logického propojení systémů
  • Dokumentace k rozhraním API
  • Detailní dokumentace k obnově infrastruktury
  • Plán zálohování a záznamy z kontroly záloh

Provozní dokumentace Garantů aktiv

  • Dokumentaci k systému, za který odpovídají.
Back to Top