Politika bezpečnostního testování a red teamingu

Politika bezpečnostního testování a red teamingu (P40) stanovuje komplexní rámec pro průběžné posuzování a validaci opatření kybernetické bezpečnosti organizace. Jejím hlavním cílem je zajistit soulad s předpisy, jako je NIS2 článek 21(2)(f), který vyžaduje formální a strukturované procesy pro hodnocení účinnosti činností řízení rizik kybernetické bezpečnosti. Zavedením pravidelného skenování zranitelností, každoročního penetračního testování kritických systémů a pravidelných simulací red teamu politika zajišťuje proaktivní identifikaci slabin, které standardní provozní kontroly nemusí odhalit. Rozsah politiky je široký a zahrnuje všechny kritické informační systémy, aplikace a podpůrnou infrastrukturu v rámci organizace. Důležité je, že pokrývá také aspekty fyzické bezpečnosti, jako je sociální inženýrství a fyzické penetrační testy, pokud jsou relevantní, aby poskytla holistický přístup k ochraně organizace. Všechny interní bezpečnostní týmy, externí testovací firmy a příslušní vlastníci systémů nebo vlastníci aplikací jsou vázáni jejími požadavky. Testovací činnosti jsou pečlivě regulovány, vyžadují autorizaci a dodržování definovaných pravidel, aby se zabránilo narušení a zajistila bezpečnost. Role a odpovědnosti jsou výslovně popsány tak, aby byla zachována pravomoc a odpovědnost a zefektivněny procesy. Koordinátor bezpečnostního testování, jmenovaný ředitelem informační bezpečnosti (CISO), dohlíží na plánování, provádění a vykazování všech činností bezpečnostního testování. Interní týmy spolupracují v obranných i testovacích rolích, zatímco red teamy nebo penetrační testeři (interní nebo poskytovatelé služeb třetích stran) provádějí řízené scénáře útoků v dohodnutých parametrech. Vlastník systému zajišťuje včasná nápravná opatření u identifikovaných problémů a vedení integruje zjištění do širších procesů řízení rizik a vykazování souladu. Politika klade silný důraz na detailní správu a řízení: každému testu předchází definice rozsahu a pravidel zapojení, přísné postupy autorizace a důsledné vykazování. Zdůrazňuje význam postupů nakládání s daty a vyžaduje, aby jakákoli reálná data, ke kterým je přistupováno, byla zachována jako důvěrná a aby do zpráv byly zahrnuty pouze anonymizované údaje. Nápravná opatření jsou povinná a jejich plnění je sledováno, včetně opakovaného testování pro ověření oprav. Politika se vztahuje také na dodavatele a systémy třetích stran, pokud je to relevantní, a zajišťuje sladění napříč dodavatelským řetězcem. Neustálé zlepšování je významným tématem: poznatky z opakovaných zjištění musí ovlivňovat politiku, standardy konfigurace a plány reakce na incidenty. Jsou vyžadovány programy školení pro IT, vývoj a vedení, aby se podporovalo povědomí, posilovala provozní disciplína a udržovala ostražitost vůči nově vznikajícím hrozbám. Všechny testovací činnosti jsou protokolovány a pravidelně auditovány, aby se potvrdila účinnost, plnění regulačních povinností a včasné uzavření nápravných opatření. Přezkumy jsou plánovány každoročně nebo po závažných incidentech, aby politika zůstala aktuální vzhledem k dynamickému prostředí hrozeb.