Politika reakce na incidenty (P30)

Politika reakce na incidenty (P30) formalizuje robustní rámec zajišťující, že organizace dokáže účinně řídit a řešit široké spektrum incidentů informační bezpečnosti. Primárním účelem politiky je zavést opakovatelné procesy pro identifikaci, hlášení incidentů, analýzu, zamezení šíření a obnovu po incidentech a současně podporovat neustálé zlepšování prostřednictvím přezkumu po incidentu. Zavedením centrálního rámce reakce na incidenty sladěného s mezinárodními normami, jako je ISO/IEC 27035, politika zajišťuje strukturovaný přístup napříč všemi fázemi incidentu: příprava, detekce a analýza, zamezení šíření/eradikace/obnova a přezkum po incidentu. Tato politika se vztahuje na všechny funkce organizace a rozšiřuje své požadavky na veškerý personál, včetně dodavatelů a poskytovatelů služeb třetích stran, a pokrývá všechny informační systémy organizace, ať už on-premise, cloudové nebo hybridní. Platí pro komplexní sadu typů incidentů: neoprávněný přístup, malware a ransomware, útoky typu denial-of-service, únik dat nebo exfiltrace dat, vnitřní hrozby a také fyzická narušení ovlivňující digitální aktiva. Část správy a řízení vyžaduje, aby byl každý incident formálně zaznamenán v systému řízení bezpečnostních incidentů (SIMS), s podrobnými metadaty včetně času detekce, klasifikace, dotčených systémů, provedených akcí, zachycených důkazů a analýzy kořenové příčiny. Všechny incidenty jsou kategorizovány podle stupňovaného modelu závažnosti, který zajišťuje přiměřenou reakci a eskalaci. Klíčové role a odpovědnosti jsou pečlivě definovány tak, aby byla zajištěna pravomoc a odpovědnost a zjednodušený pracovní postup během incidentu. Ředitel informační bezpečnosti (CISO) si ponechává celkové vlastnictví rámce reakce a působí jako spojka s vrcholovým vedením a regulátory během závažných incidentů. Koordinátor reakce na incidenty řídí mezifunkční týmy, sleduje každou fázi reakce a zajišťuje, že jsou prováděna nápravná opatření. Bezpečnostní operační centrum (SOC) a analytici IT bezpečnosti odpovídají za monitorování a triáž hrozeb, eskalaci případů a počáteční zamezení šíření. Role právního a compliance a pověřence pro ochranu osobních údajů odpovídají za přezkum regulačních dopadů a zajištění oznamovacích lhůt, zejména u porušení podle GDPR, NIS2 a DORA. Výkonné vedení přijímá strategická rozhodnutí u incidentů s vysokou závažností, včetně veřejné komunikace a schvalování úprav ISMS. Politika zavádí přísné mechanismy pro oznamování porušení zabezpečení dat, digitální forenziku a nakládání s důkazy a vyžaduje, aby oznamování orgánům a dotčeným zainteresovaným stranám probíhalo podle definovaných právních a smluvních oznamovacích lhůt. Postupy digitální forenziky zahrnují vytváření obrazů disků s write-blockery, sledování chain-of-custody a šifrované ukládání důkazů, včetně koordinace s orgány činnými v trestním řízení, pokud je to vyžadováno. Jakékoli odchylky od politiky, například doba reakce nebo sběr důkazů, musí projít přísným rozhodováním na základě rizik v rámci správy výjimek, včetně dokumentace, schválení CISO a čtvrtletních přezkumů rizik. Pro zajištění účinnosti a souladu s právními předpisy politika vyžaduje každoroční přezkoumání, pravidelná cvičení reakce na incidenty a jasné metriky, jako je Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) a procento dokončených přezkumů po incidentu. Audit a dodržování předpisů a průběžné monitorování souladu ověřují připravenost a vynucují dodržování, se stanovenými důsledky pro nedodržení včetně disciplinárních opatření až po ukončení smlouvy nebo regulační oznamování. Politika je úzce integrována s podpůrnými politikami napříč klasifikací dat, řízením změn, kryptografií, záložními systémy a obnovou a politikou protokolování a monitorování, čímž zajišťuje komplexní a obhajitelný postoj připravenosti na incidenty.