Plán kybernetické bezpečnosti

Jana Farkašová

Proč plán kyberbezpečnosti není pouze IT dokument

Plán kyberbezpečnosti představuje řídicí rámec, který integruje řízení rizik, kontrolní mechanismy a postupy reakce na incidenty do jednoho funkčního celku. Jeho cílem není eliminovat všechny hrozby, ale dosáhnout přiměřené bezpečnosti vzhledem k podnikových cílům, regulacím a rozpočtovým možnostem. Dobře navržený plán stanovuje odpovědnosti, metriky, SLA, rozhraní mezi IT/OT/Cloud a definuje standardy, které minimalizují dopady incidentů na kontinuitu podnikání.

Rámce a principy: na čem plán stavět

  • Řízení rizik (ERM) propojené s kyberriziky – bezpečnost jako podnikové riziko, nikoli jako technický problém.
  • Best practices jako NIST CSF (Identify–Protect–Detect–Respond–Recover), ISO/IEC 27001/2, CIS Controls, Zero Trust principy (minimum oprávnění, neustálá verifikace, segmentace).
  • Privacy-by-design a security-by-design v životním cyklu systémů a produktů.
  • „Assume breach“ mentalita: předpokládej kompromitaci, navrhuj detekci, omezení a obnovu.

Inventarizace a klasifikace aktiv: co chráníme

  • Evidence aktiv (HW, SW, cloudové služby, API, data, účty, tajemství). Dynamická synchronizace CMDB s cloudovými účty a AD/IdP.
  • Klasifikace dat (veřejná, interní, důvěrná, regulovaná) a mapa toků dat (kde vznikají, kdo k nim přistupuje, kde jsou uložena).
  • Vlastníci aktiv (business owners) a technické správy; povinnosti v oblasti dostupnosti, integrity a důvěrnosti.

Modelování hrozeb a scénáře: proti komu hrajeme

  • Typy protivníků: oportunističtí útočníci, organizovaný kyberkriminalita (ransomware affiliate), insider, dodavatelský řetězec, státem sponzorovaní aktéři.
  • Útočné vektory: phishing a BEC, zneužití zranitelností, kompromitace identity (MFA fatigue), supply-chain (knihovny, CI/CD), chybné nastavení v cloudu, útoky na OT/IoT.
  • Metody: MITRE ATT&CK mapování taktických kroků pro prioritní systémy.

Analýza rizik: metodika a registr rizik

Riziko = pravděpodobnost × dopad s přiřazením vlastníka rizika, mitigací a cílového stavu. Dopad posuzujte z hlediska financí, právních/regulačních aspektů, reputace, bezpečnosti osob a provozu.

ID Riziko Pravděpodobnost Dopad Skóre Mitigace Vlastník Termín
R-01 Ransomware na file serverech Vysoká Vysoký V EDR, segmentace, offsite zálohy, školení IT Sec Lead Q1
R-02 Únik regulovaných dat Střední Vysoký V DLP, šifrování, PAM, CLS logging DPO Q2
R-03 Dodavatelský řetězec (SaaS) Střední Střední S Due diligence, smluvní SLA, monitoring Vendor Mgmt Q1

Kontrolní architektura: preventivní, detekční a korektivní opatření

  • Preventivní: IAM s MFA, SSO/IdP, nejmenší oprávnění, PAM pro privilegované účty, síťová segmentace a mikrosegmentace, hardening baseline, bezpečné konfigurace cloudu (CSPM), SBOM a kontrola závislostí, bezpečné CI/CD (podpis artefaktů, izolace runnerů), e-mailová ochrana (DMARC/DKIM/SPF), bezpečnostní brány pro API.
  • Detekční: EDR/XDR, SIEM s korelacemi, NDR, správa zranitelností (scanner + prioritizace podle EPSS/KEV), auditní logy s neměnným uložištěm, honeypoty a kanárky, CASB/SSPM pro cloud.
  • Korektivní: automatizované playbooky (SOAR), patch management, revokace klíčů a tokenů, obnova ze záloh, izolace stanic/sítí.

Identity a přístupy: srdce Zero Trust

  • MFA povinné pro všechny privilegované a externí přístupy; odolné metody (FIDO2).
  • Role-based access control a Just-In-Time privilegované přístupy přes PAM.
  • Správa životního cyklu účtů (joiner/mover/leaver), čtvrtletní re-certifikace přístupů.
  • Ochrana tajemství (vault), rotace klíčů, zákaz „hardcodování“ tajemství v repozitářích.

Bezpečný vývoj a DevSecOps

  • Shift-left: SAST/DAST/IAST, SCA u knihoven, podpis kontejnerů a artefaktů, politika pro open-source příspěvky.
  • Pipeline gatekeeping podle kritičnosti; zásady pro infrastrukturu jako kód (IaC) se skenováním chybných konfigurací.
  • Bug bounty/vulnerability disclosure program a pravidelné penetrační testy.

Cloudová bezpečnost a multicloud specifika

  • Landing zóny s guardrails, oddělené účty/projekty podle prostředí a citlivosti.
  • KMS a šifrování „at rest“ i „in transit“, zákaz veřejných bucketů, privátní endpointy.
  • SSPM/CSPM kontinuální monitoring konfigurací a compliance.

Vulnerability a patch management: rytmus a prioritizace

  • Klasifikace zranitelností podle aktivního exploitování (KEV), expozice na internetu a kritičnosti aktiva.
  • SLAs: kritické do 7 dní, vysoké do 14 dní (nebo dohodnuté podle rizika/provozu), dokumentované výjimky.
  • Canary release a staged rollouts pro minimalizaci provozního rizika.

Ochrana dat: šifrování, DLP a zálohování

  • Šifrování na úrovni disku, databází a aplikací; tokenizace pro citlivá pole.
  • DLP pravidla podle klasifikace; monitoring exfiltrace přes e-mail, web, cloudová úložiště.
  • 3-2-1-1 pravidlo záloh: 3 kopie, 2 média, 1 offsite, 1 neměnná (immutable) – pravidelné testy obnovy.

Kontinuita a obnova: BIA, RTO/RPO, runbooky

  • BIA (Business Impact Analysis) pro určení priorit; RTO/RPO dle kritičnosti služeb.
  • Runbooky pro obnovu klíčových systémů (ERP, e-mail, identita, síť, cloud workloady).
  • Oddělení backup domény od produkčních identit a sítě, offline recovery plán.

Security awareness a kultura

  • Vzdělávací program podle rolí (developer, admin, manažer, první linie), simulované phishingové kampaně.
  • Bezpečnostní standardy a zásady „clean desk/screen“, hlášení incidentů bez obav (no-blame).

Správa dodavatelů a třetích stran

  • Due diligence: bezpečnostní dotazníky, certifikace, výsledky auditů, pen-test hodnocení.
  • Smluvní doložky: bezpečnostní požadavky, SLA, notifikace incidentů, právo na audit.
  • Kontinuální monitoring kritických SaaS/IaaS, ukončování přístupů při offboardingu.

Governance, role a RACI

Oblast Responsible Accountable Consulted Informed
Analýza rizik Security Risk Lead CISO Business vlastníci ExCo
Incident response IR Manager CISO PR/Legal/HR/IT Ops ExCo, DPO
Patch management IT Ops CTO Security Engineering Produktové týmy

Incident Response: životní cyklus a prahové úrovně

  • Příprava: playbooky, kontakty, nástroje (IR toolkit), právní rámec, retainer s forenzní firmou.
  • Detekce a analýza: triáž ticket, klasifikace, sběr artefaktů, zachování důkazů.
  • Obsahování: krátkodobé (izolace hosta, blok IP/domén), dlouhodobé (reset tajemství, segmentace).
  • Eradikace: odstranění malwaru, uzavření vektorů, patchování, změna konfigurací.
  • Obnova: validace systémů, postupné připojování, zvýšený monitoring.
  • Poučení: post-incident review, aktualizace kontrol, školení, metriky.

Severita incidentů a eskalační matice

Severita Kritéria Reakční čas Komunikace
SEV-1 Ransomware, únik regulovaných dat, výpadek kritické služby > 1h < 15 min War room, ExCo, regulační orgán/DPO
SEV-2 Aktivní kompromitace bez dopadu na produkci < 30 min IR tým, vedoucí útvarů
SEV-3 Podezřelá aktivita, neúspěšný útok < 4 h SecOps, lokální týmy

Komunikační plán při incidentu

  • Interní kanály: dedikovaný war-room (chat/bridge), deníky událostí, rozhodovací body.
  • Externí strany: zákazníci, partneři, certifikační autority (pokud klíče), CERT/CSIRT, dozorové orgány, pojišťovna.
  • Právní a PR: koordinované schválené zprávy, časování notifikací, minimalizace právních rizik.

Playbooky: konkrétní scénáře

  • Ransomware: izolace segmentů, odpojení záloh od sítě, forenzní obraz, rozhodnutí o vyjednávání (s právním a pojišťovnou), obnova podle priorit, rotace všech klíčů/tajemství.
  • Phishing/BEC: reset přihlašovacích údajů, revize pravidel přeposílání, analýza mailboxu, posílení DMARC, školení.
  • Únik dat: identifikace rozsahu a kategorie dat, notifikace DPO, posouzení povinnosti hlášení, zpřísnění DLP.
  • Supply-chain kompromis: revize důvěry třetích stran, rotace integrací a tokenů, audit CI/CD, SBOM rozdíly.

Metriky a KPI: jak měřit zralost a účinnost

  • MTTD/MTTR (čas do detekce/reakce), čas do izolace, čas do obnovy.
  • Patch compliance podle kritičnosti, pokrytí EDR, MFA coverage, % zašifrovaných zařízení.
  • Phishing fail rate, počet vysokoseveritních zranitelností po SLA, účast na cvičeních.
  • Počet a typy incidentů za čtvrtletí, procento incidentů s odstraněním root příčiny.

Audit, compliance a důkazní stopa

  • Politiky a standardy s verzováním a schvalováním; roční revize.
  • Evidenční záznamy o přístupech, změnách, výjimkách; neměnné logy a retence dle regulací.
  • Interní audity, externí certifikace a nápravné plány (CAPA).

Kyberpojištění: propojení s plánem reakce

  • Požadavky pojistitele (MFA, EDR, zálohy) zahrnuté do kontrol.
  • Notifikační povinnosti a schvalování nákladů během incidentu; využití IR retaineru.

Rozpočet a prioritizace: kde začít

  • Rychlé výhry: MFA pro všechny, EDR na koncové body, zálohy s im

Súvisiace články

Mezinárodní podnikatelské strategie

Mezinárodní podnikatelské strategie zahrnují přípravu a vstup na zahraniční trhy s důrazem na odlišnosti, nákladové faktory a konkurenční prostředí. Úspěch závisí na fázích mezinárodního rozvoje a faktorech konkurenční výhody podle Portera.

Metóda Monte Carlo

Je stochastickou metódou riešenia matematických a iných problémov s využitím modelovania náhodných veličín. Možno ju využiť predovšetkým všade tam, kde je riešenie problému určitým spôsobom […]