Politika riadenia bezpečnostných incidentov

# Politika riadenia bezpečnostných incidentov

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Definuje proces detekcie, klasifikácie, riešenia a reportovania bezpečnostných incidentov vrátane povinností hlásenia podľa NIS2 čl. 23 a ENISA IR 2024/2690 kap. 2.

## 2. Rozsah
Vzťahuje sa na všetky informačné systémy v scope (viď hlavička), incidenty so vplyvom na dôvernosť, integritu alebo dostupnosť dát a služieb.

## 3. Klasifikácia incidentov
| Trieda | Kritériá | Príklady |
|--------|----------|----------|
| **Low** | Lokálny dopad, žiadne prerušenie služby | Spam, jednotlivý phishing |
| **Medium** | Obmedzený počet používateľov, degradácia výkonu | Malware na endpointe, DoS pokus |
| **High** | Prerušenie kritickej služby / únik dát | Ransomware, exposing PII |
| **Critical / Significant** | Cross-border dopad alebo splnenie kritérií NIS2 čl. 23 | Ransomware celé DC, supply chain compromise |

## 4. Roly a tím
- **First responder** — zamestnanec, ktorý incident prvý nahlási (helpdesk, SOC agent).
- **Incident Commander (IC)** — vedie response, rozhoduje o eskalácii; rotujúca rola zo SOC.
- **Communications lead** — externá / interná komunikácia (PR, klienti).
- **Legal / DPO** — posudzuje GDPR notifikáciu (ÚOOÚ 72h), smluvné obligácie.
- **CISO** — schvaľuje externú notifikáciu regulátorovi (NBÚ/NÚKIB).

## 5. Časové rámce (NIS2 + GDPR)
- **24 hodín** — early warning NBÚ/NÚKIB (significant incident, NIS2 čl. 23(4)).
- **72 hodín** — incident report NBÚ/NÚKIB + GDPR notifikácia ÚOOÚ (ak je dotknuté osobné dáta).
- **1 mesiac** — final report regulátorovi.
- **Maximálne 30 dní od uzavretia** — post-mortem s lessons-learned.

## 6. Workflow
1. **Detekcia** — SIEM alert, používateľské hlásenie, threat intel, externý tip.
2. **Triage** — first responder klasifikuje (1 hodina).
3. **Escalation** — IC rozhodne o ďalších krokoch, informuje CISO pri High/Critical.
4. **Containment** — izolovanie dotknutých systémov, zachovanie forenzných dôkazov.
5. **Eradication** — odstránenie koreňovej príčiny.
6. **Recovery** — obnova do známeho dobrého stavu.
7. **Lessons learned** — post-mortem, aktualizácia runbookov.

## 7. Notifikácie
- **Interné:** {{INTERNAL_NOTIFY_LIST}} (CEO, Legal, CISO, …).
- **Regulátor:** NBÚ (pre SR) alebo NÚKIB (pre ČR) pri significant incident.
- **ÚOOÚ:** pri compromise osobných údajov do 72h.
- **Klienti:** {{CUSTOMER_NOTIFICATION_SLA}} pri vplyve na ich služby / dáta.
- **CSIRT:** koordinácia s národným CSIRT pri cross-border dopade.

## 8. Evidencia
Všetky incidenty sa evidujú v ticketing systéme {{INCIDENT_TOOL}} s povinnými poľami:
- časové pečiatky (detected_at, contained_at, resolved_at, closed_at)
- klasifikácia + justifikácia
- dotknuté systémy / dáta
- IOCs (indicators of compromise)
- finálny report + corrective actions

## 9. Cvičenia
- **Tabletop exercise:** quarterly.
- **Full red-team / simulácia:** minimálne raz ročne.
- **After-action review** po každom cvičení dokumentovaný do ISMS.

## 10. Súvisiace dokumenty
- Business continuity policy
- Runbook katalóg (ransomware, DDoS, data exfiltration, …)
- Komunikačný plán kríza
- Politika kryptografie (pre evidenciu z encrypted systems)

## 11. Revízia
Ročne + po každom significant incident, alebo po zmene regulácie (napr. update NIS2 alebo GDPR).

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________