Co je a není bezpečnostní incident
Také řešíte bezpečnostní incidenty, ale jaké, počítačové, kybernetické nebo informační? Ukazuje se, že definovat pojem bezpečnostní incident bez přívlastku je docela problém.
V tomto příspěvku se podíváme, jak pojem bezpečnostní incident definují nejrůznější zákony a standardy.
Kybernetický bezpečnostní incident dle zákona o kybernetické bezpečnosti
V §8 odstavci 2 je kybernetický bezpečnostní incident definován takto: “Kybernetickým bezpečnostním incidentem je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací.“
Pro pochopení této definice se musíme podívat, jak je definována bezpečnostní událost v odstavci 1, kde jde uvedeno, cituji: “Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací.”
Bezpečností informací se dle §2 písmo d) rozumí zajištění důvěrnosti, integrity a dostupnosti informace. Kybernetickým prostorem je pak chápáno, digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací“, vizte odstavec a).
Poznámka: Všimněte si, že definice je poměrně široká, nicméně není z ní zcela zřejmé, zda se za kybernetický bezpečnostní incident považuje i narušení bezpečnosti působením vyšší mocí, např. když by došlo k přerušení kritické síťové infrastruktury nebo serverů v důsledku záplav, nebo zda se dá za incident považovat i porušení bezpečnostní politiky a standardů, které provozovatel kritické infrastruktury zcela jistě vydal, a jsou pro jeho zaměstnance závazné.
Celé znění zákona o kybernetické bezpečnosti najdete zde.
Počítačový bezpečnostní incident dle NIST 800-61
V NIST příručce 800-61 Computer Security Incident Handling Guide, je počítačový bezpečnostní incident definován v kapitole 2.1 a to takto: „A computer security incident is a violation or imminent threat of violation of computer security policies, acceptable use policies, or standard security practices.“ Což by se dalo volně přeložit jako: „Počítačový bezpečnostní incident je porušení nebo reálně hrozí porušení bezpečnostní politiky, standardů a praktik.”
I zde se operuje s pojmem událost, která je definována jako: “An event is any observable occurrence in a system or network.”, což můžeme přeložit jako “Událost je pozorovatelná událost v systému nebo v síti” a “Adverse events are events with a negative consequence…”, což můžeme přeložit jako nepříznivá událost s negativním následkem…
Příručka uvádí vektory útoku, kterými jsou vyjímatelná media a e-mail, kterým se může šířit škodlivý kód, DDoS útok, hádání hesel, hledání zranitelností na webech, impersonation, spoofing, MiTM útok, falešné access pointy, porušení bezpečnostní politiky organizace, ztráta nebo zcizení zařízení nebo média atd.
Poznámka: Zde stojí za povšimnutí především to, že definice výslovně uvádí, že došlo k porušení bezpečnostních politik a jasně se distancuje od narušení bezpečnosti v důsledku přírodních pohrom, výpadku proudu apod.
Celé znění příručky pro zvládání bezpečnostních incidentů najdete zde.
Informační bezpečnostní incident dle ISO/IEC 27001
V kapitole 3.6 tohoto standardu je bezpečnostní incident definován jako “jedna nebo více nechtěných nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací.“
V kapitole 3.5 je pak definována bezpečnostní událost, a to takto: „Bezpečnostní událost je identifikovatelný stav systému, služby nebo sítě, ukazující na možné porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací.“
Poznámka: Zde si všimněte, že kromě porušení bezpečnostních politik je zmíněno i selhání bezpečnostních opatření, což může být neočekávaná událost, která by mohla podstatně ohrozit bezpečnost informací.
Je otázka, zda považovat za bezpečnostní incident, virus detekovaný na stanici a odstraněný antivirem, neplánovaný výpadek systému, použití prostředku zaměstnavatele k soukromému účelu nebo ponechání a zcizení důvěrných dokumentů na stole.
Jaké bezpečnostní incidenty řešíte vy, kybernetické, počítačové nebo informační a jak vlastně pojem bezpečnostní incident definujete ve své bezpečnostní politice?
Štítky: bezpečnostní incident
K článku “Co je a není bezpečnostní incident” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.