ČESKÁ TECHNICKÁ NORMA
ICS 35.030 Květen 2023
Informační technologie – Management incidentů
informační bezpečnosti – |
ČSN 36 9799 |
Information technology –
Information security incident management –
Part 3: Guidelines for ICT incident response operations
Technologies
de l’information – Gestion des incidents de sécurité de l’information –
Partie 3: Lignes directrices relatives aux opérations de réponse aux
incidents TIC
Tato norma je českou verzí mezinárodní normy ISO/IEC 27035-3:2020. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.
This standard is the Czech version of the International Standard ISO/IEC 27035-3:2020. It was translated by the Czech Standardization Agency. It has the same status as the official version.
Národní předmluva
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27035-1 zavedena v ČSN ISO/IEC 27035-1 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů
ISO/IEC 27035-2 zavedena v ČSN ISO/IEC 27035-2 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 2: Směrnice pro plánování a přípravu odezvy na incidenty
ISO/IEC 27037 zavedena v ČSN EN ISO/IEC 27037 (36 9846) Informační technologie – Bezpečnostní techniky – Směrnice pro identifikaci, sběr, získávání a uchovávání digitálních důkazů
ISO/IEC 27043 zavedena v ČSN EN ISO/IEC 27043 (36 9852) Informační technologie – Bezpečnostní techniky – Principy a procesy zjišťování kolizních stavů
Souvisící ČSN
ČSN EN ISO 22301 (01 2306) Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky
ČSN EN ISO/IEC 27001:2014 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
ČSN EN ISO/IEC 27002 (36 9798) Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti
ČSN ISO/IEC 27031 (36 9801) Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace
ČSN EN ISO/IEC 27041 (36 9850) Informační technologie – Bezpečnostní techniky – Směrnice k zajištění vhodných a přiměřených metod zjišťování kolizních stavů
ČSN EN ISO/IEC 27042:2017 (36 9851) Informační technologie – Bezpečnostní techniky – Směrnice pro analýzu a interpretaci uložených digitálních dat
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy
jsou ČSN uvedené v článcích „Informace
o citovaných dokumentech“ a „Souvisící ČSN“ nejnovějšími vydáními,
platnými v době schválení této normy. Při používání této normy je třeba
vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:
CAPTCHAS, darknet, hacking, honeypot, netflow, phishing, proxy, rootkit, sandbox, shell, spamtrap, spyware
Vypracování normy
Zpracovatel: Ing. Vladimír Pračke, IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav Škop
Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Informační
technologie – Management incidentů ISO/IEC 27035-3
informační bezpečnosti – První vydání
Část 3: Směrnice pro činnosti odezvy na incidenty ICT 2020-09
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1......... Předmět normy................................................................................................................................................................................ 7
2......... Citované dokumenty....................................................................................................................................................................... 7
3......... Termíny a definice........................................................................................................................................................................... 7
4......... Zkratky................................................................................................................................................................................................ 8
5......... Přehled.............................................................................................................................................................................................. 9
5.1...... Obecně.............................................................................................................................................................................................. 9
5.2...... Struktura tohoto dokumentu.......................................................................................................................................................... 9
6......... Obvyklé typy útoků........................................................................................................................................................................ 11
7......... Činnosti detekce incidentů.......................................................................................................................................................... 11
7.1...... Kontaktní místo/osoba.................................................................................................................................................................. 11
7.2...... Monitorování a detekce................................................................................................................................................................ 12
7.3...... Obvyklé způsoby detekce............................................................................................................................................................ 13
7.3.1... Monitorování veřejných zdrojů za účelem hledání potenciálních zpráv (a hrozeb)......................................................... 13
7.3.2... Validace externích zdrojů............................................................................................................................................................ 14
7.3.3... Proaktivní detekce......................................................................................................................................................................... 15
7.3.4... Reaktivní metody........................................................................................................................................................................... 15
8......... Činnosti oznámení incidentů...................................................................................................................................................... 15
8.1...... Přehled............................................................................................................................................................................................ 15
8.2...... Okamžité oznámení incidentu.................................................................................................................................................... 16
8.2.1... Formuláře pro podávání zpráv o incidentech.......................................................................................................................... 16
8.2.2... Kritické informace, které by měly zprávy o incidentech (v ideálním případě) obsahovat............................................... 16
8.2.3... Metody přijímání zpráv................................................................................................................................................................. 16
8.2.4... Zvažování eskalace...................................................................................................................................................................... 17
8.3...... Struktura PoC................................................................................................................................................................................. 17
8.3.1... Oznámení činnosti odezvy na incident, pokud existuje jediné PoC.................................................................................... 17
8.3.2... Oznámení činnosti odezvy na incident, pokud existuje více PoC........................................................................................ 18
9......... Činnosti třídění incidentů............................................................................................................................................................. 18
9.1...... Přehled............................................................................................................................................................................................ 18
9.2...... Jak probíhá třídění......................................................................................................................................................................... 18
10....... Činnosti analýzy incidentů........................................................................................................................................................... 19
10.1.... Přehled............................................................................................................................................................................................ 19
10.2.... Účel analýzy................................................................................................................................................................................... 20
10.3.... Analýza v rámci incidentu............................................................................................................................................................ 21
Strana
10.4.... Analýza vztahů mezi incidenty................................................................................................................................................... 23
10.5.... Nástroje pro analýzu..................................................................................................................................................................... 23
10.6.... Uchovávání důkazů a výsledků analýz..................................................................................................................................... 23
11....... Činnosti omezení a eliminace dopadu incidentů a obnova po incidentu.......................................................................... 24
11.1.... Přehled............................................................................................................................................................................................ 24
11.2.... Vedení odezvy pro omezení, eliminaci dopadu a obnovu.................................................................................................... 24
11.2.1 Popis omezení............................................................................................................................................................................... 24
11.2.2 Cíle omezení.................................................................................................................................................................................. 24
11.2.3 Běžné strategie omezení............................................................................................................................................................. 24
11.2.4 Záležitosti spojené s omezením................................................................................................................................................. 25
11.3.... Eliminace dopadu......................................................................................................................................................................... 25
11.3.1 Popis eliminace dopadu.............................................................................................................................................................. 25
11.3.2 Strategie eliminace dopadu........................................................................................................................................................ 25
11.3.3 Záležitosti spojené s eliminací dopadu..................................................................................................................................... 25
11.4.... Obnova............................................................................................................................................................................................ 25
11.4.1 Popis obnovy.................................................................................................................................................................................. 25
11.4.2 Strategie obnovy............................................................................................................................................................................ 25
11.4.3 Záležitosti spojené s obnovou.................................................................................................................................................... 26
12....... Činnosti podávání zpráv o incidentech..................................................................................................................................... 26
12.1.... Přehled............................................................................................................................................................................................ 26
12.2.... Jak zavést podávání zpráv.......................................................................................................................................................... 27
12.3.... Jak zavést externí podávání zpráv, je-li vyžadováno............................................................................................................. 27
12.4.... Sdílení informací........................................................................................................................................................................... 28
12.5.... Další úvahy o podávání zpráv..................................................................................................................................................... 28
12.6.... Typy zpráv....................................................................................................................................................................................... 28
12.7.... Metody ukládání zpráv a znalostí analytiků.............................................................................................................................. 29
Příloha A (informativní) Příklady kritérií incidentů na základě událostí a incidentů informační bezpečnosti.......................... 30
Bibliografie.................................................................................................................................................................................................. 32
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2020 Veškerá
práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno
jinak nebo nepožaduje-li se to v souvislosti s její ISO copyright office CP 401 · Ch. de Blandonnet 8 CH-1214 Vernier, Geneva Tel.: + 41 22 749 01 11 E-mail: copyright@iso.org Web: www.iso.org Publikováno ve Švýcarsku |
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti
o jakýchkoliv patentových právech
identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu
a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu
patentových prohlášení
obdržených IEC (viz http://patents.iec.ch).
Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na www.iso.org/iso/foreword.html.
Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí.
Seznam všech částí souboru ISO/IEC 27035 lze nalézt na webových stránkách ISO.
Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na www.iso.org/members.html.
Incident informační bezpečnosti může, ale nemusí zahrnovat ICT. Například informace, která se neúmyslně rozšíří ztrátou papírových dokumentů, může velmi dobře představovat závažný incident informační bezpečnosti, který vyžaduje hlášení incidentu, vyšetřování, omezení, nápravná opatření a zapojení vedení. Tento typ managementu incidentů často provádí například hlavní ředitel pro informační bezpečnost (CISO) v rámci organizace. Pokyny pro management takových incidentů informační bezpečnosti lze nalézt v ISO/IEC 27035-1. Tento dokument se však zabývá pouze činnostmi odezvy na incidenty související s ICT, nikoliv incidenty informační bezpečnosti souvisejícími s papírovými dokumenty nebo jakýmikoli jinými incidenty, které se netýkají ICT. Kdykoli je v tomto dokumentu použit termín „informační bezpečnost“, je tak činěno v kontextu informační bezpečnosti související s ICT.
Organizační struktury pro informační bezpečnost se liší v závislosti na velikosti a oblasti podnikání organizací. Vzhledem k tomu, že dochází k různým a četným incidentům a jejich počet narůstá (jako jsou síťové incidenty, např. průniky, narušení dat a hackerské útoky), organizace mají stále větší obavy o informační bezpečnost. Bezpečné ICT prostředí nastavené tak, aby odolalo různým typům útoků (jako jsou DoS, červi a viry) pomocí zařízení pro zabezpečení sítě, jako jsou firewally, systémy detekce průniku (IDS) a systémy prevence průniku (IPS), by mělo být doplněno jasnými provozními postupy pro řešení incidentů spolu s dobře definovanými systémy podávání zpráv v rámci organizace.
K zajištění důvěrnosti, integrity a dostupnosti informací a k účinnému řešení incidentů je zapotřebí schopnost vykonávat činnosti odezvy na incidenty. Za tímto účelem by měl být zřízen tým pro odezvu na incidenty počítačové bezpečnosti (CSIRT), který bude provádět úkoly, jako je monitorování, detekce, analýza a odezvy na shromážděná data nebo bezpečnostní události. Tyto úkoly mohou být podporovány nástroji a technikami umělé inteligence.
Tento dokument podporuje opatření dle ISO/IEC 27001:2013, příloha A, týkající se managementu incidentů.
Ne všechny kroky v tomto dokumentu jsou použitelné, protože závisí na konkrétním incidentu. Například menší organizace nemusí použít všechny pokyny v tomto dokumentu, ale může je považovat za užitečné pro organizaci svých činností souvisejících s incidenty ICT, zejména pokud provozuje své vlastní ICT prostředí. Dokument může být také užitečný pro menší organizace, které své IT činnosti zajišťují pomocí vnějších zdrojů, aby lépe porozuměly požadavkům na činnosti související s incidenty a provádění těchto činností, a které by měly očekávat od svého dodavatele (dodavatelů) ICT.
Tento dokument je užitečný zejména pro organizace poskytující služby ICT, které zahrnují interakce mezi organizacemi činností souvisejících s incidenty s cílem dodržovat stejné procesy a podmínky.
Tento dokument také umožňuje lépe porozumět tomu, jak se
činnosti související s incidenty vztahují k uživatelům/
zákazníkům, aby bylo možné definovat, kdy a jak má taková interakce
probíhat, i když to není specifikováno.
Tento dokument poskytuje směrnice pro odezvu na incidenty informační bezpečnosti v rámci činností ICT v oblasti bezpečnosti. Tento dokument se nejprve zabývá provozními aspekty činností ICT v oblasti bezpečnosti z hlediska lidí, procesů a technologií. Dále se zaměřuje na odezvu na incidenty informační bezpečnosti v rámci činností ICT v oblasti bezpečnosti včetně detekce incidentů informační bezpečnosti, podávání zpráv, třídění, analýzy, odezvy, omezení, eliminace dopadu, obnovy a uzavření incidentů informační bezpečnosti.
Tento dokument se nezabývá činnostmi odezvy na incidenty, které se netýkají ICT, jako je ztráta papírových dokumentů.
Tento dokument vychází z fáze „Zjišťování a podávání zpráv“, fáze „Posouzení a rozhodnutí“ a fáze „Odezvy“ modelu „Fáze managementu incidentů informační bezpečnosti“ uvedeného v ISO/IEC 27035-1:2016.
Zásady uvedené v tomto dokumentu jsou obecné a mají být použitelné pro všechny organizace bez ohledu na jejich typ, velikost nebo povahu. Organizace si mohou ustanovení uvedená v tomto dokumentu upravit podle svého typu, velikosti a povahy činnosti ve vztahu k situaci v oblasti rizik informační bezpečnosti.
Tento dokument je také použitelný pro externí organizace poskytující služby managementu incidentů informační bezpečnosti.
Konec náhledu - text dále pokračuje v placené verzi ČSN.