01/08/2023

Servisní služby poskytované pro Zákazníka_1

Servis - Zákazník_1

Servisní služby poskytované pro Zákazníka_2

Servis - Zákazník_2

Servisní služby poskytované pro Zákazníka_3

Servis - Zákazník_3

Servisní služby poskytované pro Zákazníka_4

Servis - Zákazník_4

Servisní služby poskytované pro Zákazníka_5

Servis - Zákazník_5

Hrozba spočívá v nedostatečném financování aktivit a vybavení potřebných pro dosažení potřebné úrovně bezpečnosti Společnosti.

Politika bezpečnosti informací a další specifické zásady by měly být definovány, schváleny vedením, zveřejněny, komunikovány a potvrzeny příslušnými pracovníky a příslušnými zainteresovanými stranami. V plánovaných intervalech a v případě výskytu významných změn by měly být přezkoumávány.

Zajistit trvalou vhodnost, přiměřenost, efektivitu řízení a podpory informační bezpečnosti v souladu s obchodními, právními, zákonnými, regulačními a smluvními požadavky.

Politiky pro bezpečnost informací

Role a odpovědnosti v oblasti bezpečnosti informací by měly být definovány a přiděleny podle potřeb organizace.

Vytvořit definovanou, schválenou a srozumitelnou strukturu pro implementaci, provoz a řízení informační bezpečnosti v rámci organizace.

Role a odpovědnosti bezpečnosti informací

Vedení by mělo vyžadovat, aby všichni zaměstnanci uplatňovali informační bezpečnost v souladu se zavedenou politikou bezpečnosti informací a dalšími specifickými politikami a postupy organizace.

Zajistit, aby vedení porozumělo své roli v bezpečnosti informací a podniklo kroky s cílem zajistit, aby si všichni zaměstnanci byli vědomi svých povinností v oblasti bezpečnosti informací a plnili je.

Odpovědnosti managementu organizace

Snižování úrovně bezpečnosti v důsledku nedostatečných investic

Počínaje rokem 2023 sestavit na roční bázi rozpočet pro řízení kybernetické bezpečnosti, který bude zahrnovat jak nákladovou část (osobní náklady, náklady na technická opatření…), tak i porovnání s příjmy od zákazníků s novými smlouvami (jak budou postupně uzavírány). Rozpočet bude konzultován/schválen vedením Společnosti.

Rozpočet KyBe

Zajistit větší součinnost vedení Společnosti s řízením KyBe (MKB). Zajistit účast MKB na každém jednání představenstva Společnosti tak, aby mohl informovat jednotlivé členy vedení o aktuálním stavu KyBe a potřebných opatřeních k zajištění odpovídající úrovně KyBe v Společnosti.
Reflektuje mj. doporučení  z dohledového auditu vykonaného Certifikačním orgánem v r. 2022.

Integrace MKB do vedení Společnosti

Hrozba spočívá v aktuálním stavu organizace, kdy řada činností a kvalita jejich provedení spočívá zejména na svědomitosti jednotlivých zaměstnanců, jejich zanícení a sounáležitosti s firmou - jednotlivé pracovní činnosti jsou prováděny bez potřeby vyšší úrovně kontroly vedením. Pokud by došlo k nevhodné změně firemní kultury, ať již ze strany vedení (např. změnou pracovních podmínek) nebo ze strany jednotlivých zaměstnanců (např. pokles pracovní morálky), bude to pravděpodobně mít dopad mj. i na dodržování bezpečnostních pravidel a tedy i na celkovou úroveň bezpečnosti Společnosti.

Náhlé snížení úrovně bezpečnosti v důsledku nevhodné firemní kultury

Provedení interního auditu ISMS a BCMS externím auditorem.

Interní audit ISMS a BCMS provedený externě

Hrozba spočívá v úmyslném konání ze strany administrátora způsobeném v důsledku jeho vnitřní motivace (nespokojenost, konflikt apod.), které je v rozporu s definovánou bezpečnostní politikou, s následným dopadem na aktiva. 

Pravidla pro kontrolu fyzického a logického přístupu k informacím a dalším souvisejícím aktivům by měla být stanovena a implementována na základě  požadavků byznysu a požadavků na bezpečnost informací.

Zajistit pouze oprávněný přístup a zabránit neoprávněnému přístupu k informacím a dalším souvisejícím aktivům.

Řízení přístupu

Přístupová práva k informacím a dalším souvisejícím aktivům by měla být přidělována, kontrolována, upravována a odstraňována v souladu se zásadami organizace a pravidly pro řízení přístupu.

Pro zajištění přístupu k informacím a dalším souvisejícím aktivům je definován a autorizován podle požadavků byznysu.

Přístupová práva

Před vstupem do organizace by měly být prováděny ověřovací kontroly serióznosti u všech kandidátů, kteří se mají stát zaměstnanci, a to průběžně s ohledem na platné zákony, předpisy a etiku a měly by být úměrné požadavkům byznysu a klasifikaci informací, ke kterým bude přistupováno, a vnímaným rizikům.

Zajistit, aby všichni zaměstnanci byli způsobilí a vhodní pro role, pro které jsou zvažováni, a zůstanou způsobilí a vhodní i během svého zaměstnání.

Prověřování

Měly by být definovány a používány bezpečnostní perimetry k ochraně oblastí, které obsahují informace a další související aktiva.

Aby se zabránilo neoprávněnému fyzickému přístupu, poškození a zásahu do informací organizace a dalšího souvisejícího majetku.

Fyzický bezpečnostní perimetr

Zabezpečené oblasti by měly být chráněny vhodnými vstupními kontrolami a přístupovými body.

Aby byl zajištěn pouze autorizovaný fyzický přístup k informacím organizace a dalším souvisejícím aktivům.

Fyzické kontroly vstupu

Mělo by být navrženo a realizováno fyzické zabezpečení kanceláří, místností a zařízení.

Zabránit neoprávněnému fyzickému přístupu, poškození a zásahu do informací organizace a dalšího souvisejícího majetku v kancelářích, místnostech a zařízeních.

Zabezpečení kanceláří, místností a vybavení

Přidělování a používání privilegovaných přístupových práv by mělo být omezeno a řízeno.

Aby bylo zajištěno, že pouze oprávnění uživatelé, softwarové komponenty a služby budou mít privilegovaná přístupová práva.

Privilegovaná přístupová práva

Bezpečné autentizační technologie a postupy by měly být implementovány na základě omezení přístupu k informacím a na základě politiky řízení přístupu.

Aby bylo zajištěno bezpečné ověření uživatele nebo entity, když je udělen přístup k systémům, aplikacím a službám.

Bezpečná autentizace

Úmyslné porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany administrátora

Návrh nových pravidel a celkové odladění a ověření účinnosti stávajícího SIEM řešení.

SIEM - optimalizace korelačních pravidel

Obměna switchů v LAN

Hrozba spočívá ve vykonání neúmyslné chyby v důsledku nedbalosti nebo nedostatečné znalosti administrátora, která bude mít dopad na aktiva. 

Měla by být identifikována, zdokumentována a zavedena pravidla pro použití aktiv a postupy pro nakládání s informacemi a dalšími souvisejícími aktivy.

Aby bylo zajištěno, že informace a další související aktiva jsou náležitě chráněna, používána a je s nimi nakládáno správně s ohledem na zajištění informační bezpečnosti.

Přípustné použití aktiv 

Zaměstnanci organizace a příslušné zainteresované strany by měli absolvovat odpovídající povědomí o bezpečnosti informací, vzdělávání a školení a pravidelné aktualizace zásad organizace pro bezpečnost informací, zásad a postupů specifických pro určité téma, jak je relevantní pro jejich pracovní funkci.

Zajistit, aby si pracovníci a příslušné zainteresované strany byli vědomi svých povinností v oblasti informační bezpečnosti a plnili je.

Povědomí o bezpečnosti informací, vzdělávání a školení

Bezpečnostní opatření by měla být implementována, když zaměstnanci pracují na dálku, aby chránili informace, ke kterým se přistupuje, zpracovávají se nebo uchovávají mimo prostory organizace.

Zajistit bezpečnost informací, když personál pracuje na dálku.

Práce na dálku

Měla by být definována a náležitě vynucována jasná pravidla pro papírové dokumenty a vyměnitelná paměťová média a jasná pravidla pro zabezpečení zařízení na zpracování informací.

Snížit rizika neoprávněného přístupu, ztráty a poškození informací na stolech, obrazovkách a na jiných přístupných místech během i mimo běžnou pracovní dobu.

Zásada prázdného stolu a prázdné obrazovky monitoru

Přístup k informacím a dalším souvisejícím aktivům by měl být omezen v souladu se zavedenou politikou řízení přístupu.

Zajistit pouze autorizovaný přístup a zabránit neoprávněnému přístupu k informacím a dalším souvisejícím aktivům.

Omezení přístupu k informacím

Neúmyslné porušení bezpečnostní politiky ze strany administrátora

Provést periodické školení všech zaměstnanců Společnosti v rozsahu:

seznámení s aktuálními hrozbami

seznámení s identifikovanými riziky z analýzy rizik Společnosti

opakování nejdůležitějších bezpečnostních opatření a pravidel

Školení bezpečnostního povědomí zaměstnanců Společnosti

Hrozba spočívá v neschopnosti organizace poskytovat zákazníkům služby servisu v předem dojednaném čase a kvalitě v důsledku neočekávané nedostupnosti servisního pracovníka. Hrozba je dále posilována nedostatečnou úrovní zastupitelnosti servisních pracovníků.

Znalosti získané z incidentů informační bezpečnosti by měly být využity k posílení a zlepšení kontrol bezpečnosti informací.

Snížit pravděpodobnost nebo následky budoucích incidentů.

Ponaučení z incidentů informační bezpečnosti 

Připravenost ICT by měla být plánována, implementována, udržována a testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT.

Zajistit dostupnost informací organizace a dalších souvisejících aktiv během narušení.

Připravenost ICT pro kontinuitu podnikání

Provozní postupy pro zařízení na zpracování informací by měly být zdokumentovány a zpřístupněny personálu, který je potřebuje.

Zajistit správný a bezpečný provoz zařízení pro zpracování informací.

Dokumentace provozních postupů

Zařízení by mělo být správně udržováno, aby byla zajištěna dostupnost, integrita a důvěrnost informací.

Aby se zabránilo ztrátě, poškození, krádeži nebo ohrožení informací a dalších souvisejících aktiv a přerušení provozu organizace způsobené nedostatečnou údržbou.

Údržba zařízení 

Zařízení pro zpracování informací by měla být implementována s dostatečnou redundancí, aby byly splněny požadavky na dostupnost.

Zajistit nepřetržitý provoz zařízení na zpracování informací.

Dostupnost vybavení pro zpracování informací

Náhlá indispozice nebo nedostupnost servisního pracovníka

Aktualizovat pracovní postupy pro Servis, zejména s ohledem na aktualizovaná smluvní pravidla a opatření KyBe.

Pracovní postupy pro servis

Hrozba spočíva v neschopnosti zajistit potřebné personální kapacity pro organizaci, což bude mít dopad na kvalitu procesů, včetně zajištění bezpečnosti. 

Nedostatek zaměstnanců s potřebnou odbornou úrovní na pracovním trhu

Hrozba spočívá ve vykonání neúmyslné chyby v důsledku nedbalosti nebo nedostatečné znalosti běžného uživatele, která bude mít dopad na aktiva. 

Neúmyslné porušení bezpečnostní politiky ze strany uživatele

Hrozba spočívá v nedostatečné zastupitelnosti zaměstnanců Společnosti na klíčových pracovních pozicích v důsledku náhlé a neočekávané ztráty/nedostupnosti (úraz, pracovní neschopnost). Riziko se může dále zvyšovat s absencí/nedostatečností dokumentace klíčových provozních procesů a jejich neaktuálností.

Ztráta jednoho nebo více klíčových zaměstnanců

Hrozba spočívá v úmyslném konání ze strany běžného uživatele způsobeném v důsledku jeho vnitřní motivace (nespokojenost, konflikt apod.), které je v rozporu s definovánou bezpečnostní politikou, s následným dopadem na aktiva. 

Úmyslné porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatele

08/08/2022

Hrozba spočívá v neschopnosti vedoucích/odborných zaměstnanců předávat know-how a řídit služebně mladší zaměstnance, což bude mít dopad na jejich odbornou úroveň a schopnost plnit pracovní úkoly, včetně dopadu na úroveň bezpečnosti v poskytovaných službách i interně v rámci Společnosti.

Pracovní smlouvy by měly uvádět odpovědnost personálu a organizace za bezpečnost informací.

Zajistit, aby pracovníci chápali své odpovědnosti za bezpečnost informací pro role, pro které jsou zvažováni.

Podmínky pracovního poměru

Snižování úrovně bezpečnosti a služeb z důvodu nedostatečné personální kapacity pro vedení zaměstnanců

Hrozba spočívá v průniku externího útočníka do systému zákazníka prostřednictvím systému Společnosti, přičemž tohoto může dosáhnout např. úspěšným hackerským útokem na síť Společnosti, úspěšným útokem na jednotlivé uživatele/pracovníky Společnosti (sociální inženýrství), neautorizovaným zásahem do zdojových kódů řídícího informačního systému nebo jiných aplikací poskytovaných zákazníkům.

Informace týkající se hrozeb informační bezpečnosti by měly být shromažďovány a analyzovány, aby bylo možné získat informace o hrozbách.

Poskytovat povědomí o prostředí hrozeb organizace, aby bylo možné přijmout vhodná opatření ke zmírnění.

Zvládání hrozeb

Měly by být získány informace o technických zranitelnostech používaných informačních systémů, měla by být vyhodnocena expozice organizace těmto zranitelnostem a měla by být přijata vhodná opatření.

Aby se zabránilo zneužití technických zranitelností.

Řízení technických zranitelností

Sítě, systémy a aplikace by měly být monitorovány z hlediska anomálního chování a měla by být přijata vhodná opatření k vyhodnocení potenciálních incidentů bezpečnosti informací.

Pro detekci anomálního chování a potenciálních incidentů informační bezpečnosti.

Monitorovací aktivity

Sítě a síťová zařízení by měly být zabezpečeny, spravovány a kontrolovány, aby byly chráněny informace v systémech a aplikacích.

Chránit informace v sítích a jejich podpůrná zařízení pro zpracování informací před kompromitací prostřednictvím sítě.

Bezpečnost sítí

Měly by být identifikovány, implementovány a monitorovány bezpečnostní mechanismy, úrovně služeb a požadavky na služby síťových služeb.

Pro zajištění bezpečnosti při používání síťových služeb.

Bezpečnost síťových služeb 

Přístup k externím webovým stránkám by měl být řízen, aby se snížilo vystavení škodlivému obsahu.

K ochraně systémů před napadením malwarem a zabránění přístupu k neoprávněným webovým zdrojům.

Filtrování webového provozu

Zneužití systému nebo zdrojů organizace k průniku do systému zákazníka (supply chain attack)

Provedení komplexních penetračních testů řídícího informačního systému nezávislým dodavatelem, použití výsledků ke zdokonalení SSDLC.

Penetrační testy systému/aplikací řídícího informačního systému

Revidovat a zlepšit proces detekce, vyhodnocování a zvládání kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů - návaznost na sjednocení tiketovacího nástroje, evidenci vazby incidentu/události na KII/konkrétního zákazníka... Souvisí se zjištěním 9.1 auditu Zákazníka z r. 2021.

Revize procesu zvládání KBU/KBI

Hrozba spočívá v možném nesouladu s některými legislativními ustanoveními, která mohou přímo či nepřímo definovat požadavky na zajištění ochrany některých informací a dosažení požadované úrovně bezpečnosti při výkonu činností Společnosti. V případě porušení, resp. nedodržení těchto požadavků může být Společnosti sankcionována.

Právní, zákonné, regulační a smluvní požadavky týkající se bezpečnosti informací a přístupu organizace ke splnění těchto požadavků by měly být identifikovány, zdokumentovány a aktualizovány.

Zajistit soulad s právními, zákonnými, regulačními a smluvními požadavky souvisejícími s bezpečností informací.

Identifikace příslušné legislativy a smluvních požadavků

Organizace by měla zavést vhodné postupy na ochranu práv duševního vlastnictví.

Zajistit soulad s právními, zákonnými, regulačními a smluvními požadavky souvisejícími s právy duševního vlastnictví a používáním proprietárních produktů.

Práva k duševnímu vlastnictví

Záznamy by měly být chráněny před ztrátou, zničením, paděláním, neoprávněným přístupem a neoprávněným uvolněním.

Zajistit soulad s právními, zákonnými, regulačními a smluvními požadavky, jakož i komunitními nebo společenskými očekáváními souvisejícími s ochranou a dostupností záznamů.

Ochrana záznamů

Organizace by měla určit a splnit požadavky týkající se zachování soukromí a ochrany osobních údajů podle platných zákonů a předpisů a smluvních požadavků.

Zajistit soulad s právními, zákonnými, regulačními a smluvními požadavky souvisejícími s aspekty informační bezpečnosti ochrany PII.

Soukromí a ochrana osobních údajů

Přístup organizace k řízení informační bezpečnosti a její implementaci, včetně lidí, procesů a technologií, by měl být přezkoumáván nezávisle v plánovaných intervalech nebo při výskytu významných změn.

Zajistit trvalou vhodnost, přiměřenost a efektivitu přístupu organizace k řízení informační bezpečnosti.

Nezávislé přezkoumání bezpečnosti informací

Pokuta nebo jiný postih Společnosti z důvodu porušení zákonných povinností

Hrozba spočívá v provedení úspěšného hackerského útoku na systém Společnosti.

Externí průnik do vnitřního systému organizace po síti

Hrozba je způsobena neočekávanou technickou poruchou nebo nesprávnou funkcí HW nebo SW. Hrozba se zvyšuje v důsledku nedostatečné pravidelné údržby a kontroly. 

Záložní kopie informací, softwaru a systémů by měly být udržovány a pravidelně testovány v souladu s dohodnutou politikou zálohování specifickou pro dané téma.

Umožnit obnovu po ztrátě dat nebo systémů.

Zálohování informací

Změny zařízení pro zpracování informací a informačních systémů by měly podléhat postupům řízení změn.

Pro zachování bezpečnosti informací při provádění změn.

Řízení změn

Poškození nebo selhání technického anebo programového vybavení organizace (včetně chybné funkčnosti)

Popsat veškeré činnosti spojené se zálohováním do pracovního postupu č. 34, zejména umístění záloh (registr záloh), frekvenci zálohování, postupy obnovy systémů, testování záloh…

Zálohování

Hrozba spočívá v zavedení škodlivých kódů/programů do provozovaných systémů nebo do vytvářených zdrojových kódů/aplikací v důsledku porušení definovaných bezpečnostních politik, neoprávněného nakládání s používaným HW a SW a/nebo nedostatočného bezpečnostního povědomí uživatelů.

Ochrana proti malwaru by měla být implementována a podporována odpovídajícím povědomím uživatelů.

Aby bylo zajištěno, že informace a další související aktiva jsou chráněna před malwarem.

Ochrana proti malwaru

Škodlivý kód, počítačové viry

Hrozba spočívá v neoprávněném proniknutí do síťové infrastruktury, odposlechu komunikace s dopadem na narušení důvěrnosti a/nebo její modifikaci s dopadem na zachování integrity a případně i dostupnosti komunikace. 

Měla by být definována a implementována pravidla pro efektivní využívání kryptografie, včetně správy kryptografických klíčů.

Zajistit správné a efektivní používání kryptografie k ochraně důvěrnosti, pravosti nebo integrity informací v souladu s obchodními požadavky a požadavky na bezpečnost informací as ohledem na zákonné, zákonné, regulační a smluvní požadavky související s kryptografií.

Použití kryptografie

Napadení elektronické komunikace (odposlech, modifikace)

Hrozba spočívá v narušení nebo úplném znemožnění poskytování služby v důsledku realizace kybernetického útoku, ke kterému může dojít v důsledku nedostatečné ochrany na vnějším perimetru sítě a/nebo nedostatečné edukace zainteresovaných osob (zaměstnanci, dodavatelé) v oblasti kybernetické bezpečnosti. 

Cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik

Hrozba vychází z neúmyslně způsobeného bezpečnostního incidentu pracovníkem dodavatele, který se projeví na aktivu zákazníka. 

Měly by být definovány a implementovány procesy a postupy pro řízení rizik bezpečnosti informací spojených s používáním produktů nebo služeb dodavatelů.

Udržovat dohodnutou úroveň bezpečnosti informací v dodavatelských vztazích.

Politika bezpečnosti informací pro vztahy s dodavateli

S každým dodavatelem by měly být stanoveny a dohodnuty příslušné požadavky na zajištění bezpečnosti informací na základě typu dodavatelského vztahu.

Udržovat dohodnutou úroveň bezpečnosti informací v dodavatelském vztahu.

Řešení bezpečnosti v rámci dodavatelských smluv

Měly by být definovány a implementovány procesy a postupy pro řízení rizik bezpečnosti informací spojených s dodavatelským řetězcem produktů a služeb ICT.

Udržovat dohodnutou úroveň bezpečnosti informací v dodavatelských vztazích.

Řízení informační bezpečnosti v dodavatelském řetězci ICT

Neúmyslná chyba pracovníka dodavatele

Revidovat současné havarijní plány, rozpracovat k nim dílčí plány obnovy pro klíčové systémy.

Zlepšování plánů kontinuity

Hrozba se pravděpodobně projeví v rámci servisu zákazníků, kdy dojde k nemožnosti stažení zdrojových kódů řídícího informačního systému nebo poškození zdrojových kódů. Toto může nastat v důsledku řady příčin, např. výpadek SVN, výpadek spojení, porucha HW, síťový útok apod. Tato hrozba je hodnocena v rámci rozsahu ISMS Společnosti.

Konfigurace, včetně konfigurací zabezpečení, hardwaru, softwaru, služeb a sítí by měly být vytvořeny, dokumentovány, implementovány, monitorovány a revidovány.

Aby bylo zajištěno, že hardware, software, služby a sítě fungují správně s požadovaným nastavením zabezpečení a konfigurace nebude změněna neoprávněnými nebo nesprávnými změnami.

Řízení konfigurací

Pro bezpečné řízení instalace softwaru na operační systémy by měly být implementovány postupy a opatření.

Zajistit integritu operačních systémů a zabránit zneužití technických zranitelností.

Instalace softwaru na provozních systémech

Měla by být stanovena a uplatňována pravidla pro bezpečný vývoj softwaru a systémů.

Pro zajištění bezpečnosti informací je navržena a implementována v rámci bezpečného životního cyklu vývoje softwaru a systémů.

Životní cyklus bezpečného vývoje

Při vývoji nebo získávání aplikací by měly být identifikovány, specifikovány a schváleny požadavky na bezpečnost informací.

Aby bylo zajištěno, že při vývoji nebo získávání aplikací by měly být identifikovány a řešeny všechny požadavky na bezpečnost informací.

Požadavky na zabezpečení aplikací

Měly by být stanoveny, zdokumentovány, udržovány a aplikovány zásady pro inženýrské bezpečné systémy pro jakékoli činnosti související s vývojem informačního systému.

Zajistit, aby informační systémy byly bezpečně navrženy, implementovány a provozovány v rámci životního cyklu vývoje.

Principy inženýrství bezpečných systémů

Při vývoji softwaru by měly být aplikovány zásady bezpečného kódování.

Zajistit, aby byl software napsán bezpečně, a tím snížit počet potenciálních zranitelností zabezpečení informací v softwaru.

Bezpečné  programování

Procesy testování bezpečnosti by měly být definovány a implementovány v životním cyklu vývoje.

Pro ověření, zda jsou splněny požadavky na zabezpečení informací při nasazení aplikací nebo kódu do produkčního prostředí.

Bezpečnostní testování ve vývoji a akceptaci

Porušení dostupnosti nebo integrity zdrojových kódu vyvíjeného SW

Implementace zásad, činností a postupů bezpečného vývoje do procesu vývoje řídíciho informačního systému v rámci Společnosti. Základem bude průběžně rozvíjený a aktualizovaný model hrozeb řídíciho informačního systému, ze kterého bude vycházet katalog doporučovaných opatření pro vývojáře jeho jednotlivých částí.

SSDLC

Hrozba spočívá v činnosti interního nebo i externího útočníka směřované vůči jakémukoliv aktivu Společnosti, které může být v důsledku těchto úmyslných činností poškozeno, kompromitováno nebo zničeno.

Zařízení by mělo být umístěno v bezpečném prostředí a mělo by být chráněno.

Snížit rizika plynoucí z fyzických a environmentálních hrozeb a z neoprávněného přístupu a poškození.

Umístění zařízení a jeho ochrana 

Majetek mimo lokalitu by měl být chráněn.

Aby se zabránilo ztrátě, poškození, krádeži nebo kompromitaci externích zařízení a přerušení provozu organizace.

Zabezpečení aktiv mimo prostory organizace

Úložná média by měla být spravována během jejich životního cyklu získávání, používání, přepravy a likvidace v souladu s klasifikačním schématem organizace a požadavky na manipulaci s nimi.

Zajistit pouze oprávněné zveřejnění, úpravu, odstranění nebo zničení informací na paměťových médiích.

Paměťová média

Ztráta, odcizení nebo poškození technického aktiva uživatelů (NTB, PC, mobily)

Hrozba spočívá v činnosti interního nebo i externího útočníka směřované vůči některému z kritických aktiv Společnosti, které může být v důsledku těchto úmyslných činností poškozeno, kompromitováno nebo zničeno.

Ztráta, odcizení nebo poškození klíčových technických aktiv firmy (servery, infrastruktura)

Hrozba spočívá v okamžité nedostupnosti spojení (nefunkční jump server, S2S VPN, výpadek linky, …) do systému zákazníka, což znemožní poskytnutí servisních služeb v požadovaném čase (SLA).

Kabely přenášející napájení, data nebo podpůrné informační služby by měly být chráněny před odposlechem, rušením nebo poškozením.

Aby se zabránilo ztrátě, poškození, krádeži nebo kompromitaci informací a dalších souvisejících aktiv a přerušení činností organizace souvisejících s napájecí a komunikační kabeláží.

Bezpečnost kabelových rozvodů

Nefunkčnost spojení mezi servisním pracovištěm a systémem zákazníka

Hrozba může být realizována buď přímo (fyzicky) nebo prostředky vzdálené komunikace, kdy útočník působí na pracovníka Společnosti (fyzický/psychický nátlak, vydírání apod.) s cílem přinutit ho provést podvratnou činnost v systému Společnosti nebo v systému zákazníka.

Přinucení pracovníka k činnosti porušující bezpečnostní politiku (fyzický nebo psychický nátlak, vydírání)

Hrozba vychází z úmyslného odcizení nebo poškození aktiva Společnosti pracovníkem dodavatele.

Úmyslné odcizení nebo poškození aktiva Společnosti pracovníkem dodavatele

Hrozba spočívá zejména ve zneužití přenosného paměťového média interním útočníkem ke krádeži a/nebo zneužití většího objemu interních informací Společnosti. 

Informace by měly být klasifikovány podle potřeb informační bezpečnosti organizace na základě důvěrnosti, integrity, dostupnosti a příslušných požadavků zúčastněných stran.

Klasifikace informací

Měl by být řízen celý životní cyklus identit.

Umožnit jednoznačnou identifikaci osob a systémů přistupujících k informacím organizace a dalším souvisejícím aktivům a umožnit odpovídající přiřazení přístupových práv.

Řízení identit

Zneužití vyměnitelných technických nosičů dat

Hrozba spočívá v neznalosti aktuálního stavu systému, což znemožňuje dostatečně rychle reagovat na výskyt nežádoucích jevů/stavů v systému. 

Využívání zdrojů by mělo být sledováno a upravováno v souladu se současnými a očekávanými kapacitními požadavky.

Zajistit požadovanou kapacitu zařízení na zpracování informací, lidských zdrojů, kanceláří a dalších zařízení.

Řízení kapacit

Měly by být vytvářeny, uchovávány, chráněny a analyzovány protokoly, které zaznamenávají činnosti, výjimky, poruchy a další relevantní události.

Zaznamenávat události, generovat důkazy, zajistit integritu informací protokolu, zabránit neoprávněnému přístupu, identifikovat události zabezpečení informací, které mohou vést k incidentu v oblasti bezpečnosti informací, a podporovat vyšetřování.

Logování

Omezení, nedostupnost monitoringu systému

Hrozba spočívá v selhání podpůrných služeb, na kterých jsou závislé klíčové procesy Společnosti (zejména dodávka a servis řídícího informačního systému), např. krátkodobý nebo dlouhodobý výpadek dodávky energie, selhání telekomunikačných služeb způsobené problémy poskytovatele těchto služeb nebo kybernetickým útokem vedeným na telekomunikační infrastrukturu apod.

Organizace by měla pravidelně monitorovat, revidovat, vyhodnocovat a řídit změny v dodavatelské informační bezpečnosti a poskytování služeb.

Udržovat dohodnutou úroveň zabezpečení informací a poskytování služeb v souladu s dodavatelskými smlouvami.

Monitorování, revize a řízení změn dodavatelských služeb

Organizace by měla plánovat a připravovat se na řízení incidentů bezpečnosti informací definováním, stanovením a komunikací procesů řízení incidentů bezpečnosti informací, rolí a odpovědností.

Zajistit rychlou, efektivní, konzistentní a řádnou reakci na incidenty informační bezpečnosti, včetně komunikace o událostech informační bezpečnosti.