Politika odzivanja na incidente

Politika odzivanja na incidente (dokument P30) formalizira robusten okvir, ki zagotavlja, da lahko organizacija učinkovito upravlja in se odziva na raznolik spekter incidentov informacijske varnosti. Primarni namen politike je vzpostaviti ponovljive procese za identifikacijo, poročanje o incidentih, analizo, zajezitev in obnovitev po incidentih ter spodbujati nenehno izboljševanje prek pregleda po incidentu. Z uvedbo osrednjega okvira Incident Response, usklajenega z mednarodnimi standardi, kot je ISO/IEC 27035, politika zagotavlja strukturiran pristop v vseh fazah incidenta: priprava, odkrivanje in analiza, zajezitev/odprava/obnovitev ter pregled po incidentu. Ta politika zajema širok nabor organizacijskih funkcij in razširja svoje zahteve na vse osebje, vključno s pogodbenimi izvajalci in ponudniki tretjih oseb, ter pokriva vse organizacijske informacijske sisteme, ne glede na to, ali so v lastnih prostorih, gostovani v oblaku ali hibridna okolja. Uporablja se za celovit nabor vrst incidentov: nepooblaščen dostop, zaščita pred zlonamerno programsko opremo in izsiljevalska programska oprema, napadi zavrnitve storitve, uhajanje podatkov ali iznos podatkov, notranje grožnje in tudi fizične kršitve, ki vplivajo na digitalna sredstva. Oddelek o upravljanju zahteva, da je vsak incident formalno zabeležen v sistemu za upravljanje varnostnih incidentov (SIMS), z natančnimi metapodatki, vključno s časom odkritja, klasifikacijo, prizadetimi sistemi, izvedenimi ukrepi, zajetimi dokazi in analizo temeljnega vzroka. Vsi incidenti so kategorizirani po večstopenjskem modelu resnosti, kar zagotavlja sorazmeren odziv in eskalacijo. Ključne vloge in odgovornosti so skrbno opredeljene za zagotavljanje odgovornosti in poenostavljenega delovnega toka med incidentom. Vodja informacijske varnosti (CISO) ohranja celotno lastništvo okvira odzivanja in deluje kot povezava z najvišjim vodstvom in regulatorji pri večjih incidentih. Koordinator odzivanja na incidente vodi medfunkcijske ekipe, sledi vsaki fazi odziva in zagotavlja izvedbo korektivnih ukrepov. Center za varnostne operacije (SOC) in analitiki IT-varnosti so zadolženi za spremljanje in triažo groženj, eskalacijo primerov in začetne ukrepe zajezitve. Vloge prava in skladnosti ter pooblaščenec za varstvo podatkov so zadolžene za pregled regulatornega vpliva in zagotavljanje časovnih rokov za obveščanje, zlasti za kršitve po GDPR, NIS2 in DORA. Izvršno vodstvo sprejema strateške odločitve za incidente z visoko resnostjo, vključno z javnimi komunikacijami in odobritvijo sprememb ISMS. Politika uvaja stroge mehanizme za obveščanje o kršitvah, digitalno forenziko in ravnanje z dokazi ter zahteva, da se obveščanje organov in prizadetih zainteresiranih strani izvede v skladu z opredeljenimi zakonskimi in pogodbenimi časovnimi roki. Postopki digitalne forenzike vključujejo izdelavo slik diskov z blokatorji pisanja, sledenje verigi skrbništva in šifrirano hrambo dokazov, z usklajevanjem z organi pregona, kjer je to potrebno. Vsako odstopanje od politike, kot so odzivni čas ali zbiranje dokazov, mora slediti strogemu postopku upravljanja izjem na podlagi tveganj, z dokumentacijo, odobritvijo CISO in četrtletnimi pregledi tveganj. Za zagotavljanje učinkovitosti in skladnosti s predpisi politika zahteva letne preglede, redne vaje odzivanja na incidente in jasne kazalnike, kot so Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) ter odstotek dokončanih pregledov po incidentu. Presoja in skladnost ter spremljanje skladnosti potrjujeta pripravljenost in uveljavljata upoštevanje, s predvidenimi posledicami za neskladnost, vključno z disciplinskimi ukrepi do prenehanja pogodbe ali regulatornega poročanja. Politika je tesno integrirana s podpornimi politikami na področjih razvrščanja podatkov, upravljanja sprememb, kriptografskih kontrol, sistemov za varnostno kopiranje in obnovitev ter revizijskega beleženja in spremljanja, kar zagotavlja celovito in zagovarljivo pripravljenost na incidente.