Politika reakcie na incidenty (P30)

Politika reakcie na incidenty (P30) formalizuje robustný rámec, ktorý zabezpečuje, že organizácia dokáže účinne riadiť a reagovať na rôznorodé spektrum incidentov informačnej bezpečnosti. Primárnym účelom politiky je zaviesť opakovateľné procesy na identifikáciu, nahlasovanie incidentov, analýzu, zamedzenie šírenia a obnovu po incidentoch, pričom podporuje neustále zlepšovanie prostredníctvom poincidentnej revízie. Zavedením centrálneho rámca reakcie na incidenty zosúladeného s medzinárodnými normami, ako je ISO/IEC 27035, politika zabezpečuje štruktúrovaný prístup naprieč všetkými fázami incidentu: príprava, detekcia a analýza, zamedzenie šírenia/eradikácia/obnova a preskúmanie po incidente. Táto politika pokrýva organizačné funkcie široko a rozširuje svoje požiadavky na všetok personál vrátane dodávateľov a poskytovateľov tretích strán, ako aj na všetky informačné systémy organizácie, či už vo vlastných priestoroch, cloudové alebo hybridné. Vzťahuje sa na komplexný súbor typov incidentov: neoprávnený prístup, ochrana pred škodlivým kódom vrátane ransomvéru, útoky odmietnutia služby, únik údajov alebo exfiltrácia údajov, vnútorné hrozby a aj fyzické narušenia ovplyvňujúce digitálne aktíva. Časť správy vyžaduje, aby bol každý incident formálne zaznamenaný v systéme riadenia bezpečnostných incidentov (SIMS) s podrobnými metadátami vrátane času detekcie, klasifikácie, dotknutých systémov, vykonaných opatrení, zachytených dôkazov a analýzy koreňovej príčiny. Všetky incidenty sú kategorizované podľa viacúrovňového modelu závažnosti, čím sa zabezpečí primeraná reakcia a eskalácia. Kľúčové roly a zodpovednosti sú starostlivo definované s cieľom zabezpečiť zodpovednosť a zefektívnený pracovný tok počas incidentu. Riaditeľ informačnej bezpečnosti (CISO) si ponecháva celkové vlastníctvo rámca reakcie a pôsobí ako spojka s výkonným vedením a regulátormi počas závažných incidentov. Koordinátor reakcie na incidenty riadi medzifunkčné tímy, sleduje každú fázu reakcie a zabezpečuje vykonanie nápravných opatrení. Centrum bezpečnostných operácií (SOC) a analytici IT bezpečnosti sú zodpovední za monitorovanie a triáž hrozieb, eskaláciu prípadov a vykonanie počiatočných opatrení na zamedzenie šírenia. Právne záležitosti a súlad s predpismi a roly DPO sú zodpovedné za preskúmanie regulačného dopadu a zabezpečenie notifikačných lehôt, najmä pri porušeniach podľa GDPR, NIS2 a DORA. Výkonný manažment prijíma strategické rozhodnutia pri incidentoch s vysokou závažnosťou vrátane verejnej komunikácie a schvaľovania úprav ISMS. Politika prijíma prísne mechanizmy pre notifikáciu porušení, digitálnu forenziku a nakladanie s dôkazmi, pričom vyžaduje, aby notifikácia orgánom a dotknutým zainteresovaným stranám prebiehala podľa definovaných zákonných a zmluvných notifikačných lehôt. Postupy digitálnej forenziky zahŕňajú obrazovanie diskov s write-blockermi, sledovanie chain-of-custody a šifrované uchovávanie dôkazov, s koordináciou s orgánmi činnými v trestnom konaní, ak je to potrebné. Akékoľvek odchýlky od politiky, ako je čas reakcie alebo zber dôkazov, musia prejsť prísnym procesom riadenia výnimiek založeným na riziku, s dokumentáciou, schválením CISO a štvrťročnými preskúmaniami rizík. Na zabezpečenie účinnosti a dodržiavania predpisov politika vyžaduje ročné preskúmania, pravidelné cvičenia reakcie na incidenty a jasné metriky, ako je Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) a percento dokončených poincidentných revízií. Audit a súlad a monitorovanie súladu validujú pripravenosť a vynucujú dodržiavanie so špecifikovanými dôsledkami nesúladu vrátane disciplinárnych opatrení až po ukončenie zmluvy alebo regulačné oznamovanie. Politika je hlboko integrovaná s podpornými politikami naprieč klasifikáciou údajov, riadením zmien, kryptografiou, zálohovacími systémami a obnovou a auditným logovaním/monitorovaním, čím zabezpečuje komplexnú a obhájiteľnú pripravenosť na incidenty.