Požadavky na monitoring a analýzu bezpečnostních událostí. Poskytovatel provádí nepřetržitý vzdálený dohled/monitoring bezpečnostních událostí s využitím systému SIEM objednatele a to 24 hodin denně 7 dnů v týdnu po celý rok. Poskytovatel vyhodnocuje alerty detekované systémem SIEM objednatele do 2 hodin od jejich detekce, tj. okamžiku zobrazení alertu v seznamu v konzoli SIEMu, bez ohledu na to zda a kdy došlo k zaslání nebo doručení avíza ze systému SIEM objednatele emailem poskytovateli. Do doby dle bodu b) rozhoduje Poskytovatel o tom, zda se z alertu stává KBU nebo KBI v definované kategorii, či se jedná o „false positive“ alert, kterým se již obě smluvní strany dále nezabývají. Při vyhodnocování závažnosti KBU/KBI poskytovatel zohledňuje důležitost jednotlivých technických aktiv (serverů, aktivních prvků, stanic, databází…), mj. klasifikaci provozovaných informačních systémů podle zákona o kybernetické bezpečnosti. V případě vyhodnocení detekované události jako KBI, nebo v případě podezření na KBI a nebo to není jednoznačné, odešle poskytovatel objednateli zprávu a pokračuje dále v analýze. O nově zjištěných podstatných skutečnostech neprodleně informuje objednatele. Během analýzy KBI i po jejím ukončení, poskytovatel informuje objednatele v souladu s komunikační a eskalační maticí o opatřeních, které je potřeba udělat v informačních systémech objednatele, aby se zamezilo útoku, minimalizovaly škody, případně další související informace. Poskytovatel musí garantovat vyhodnocení minimálně 50 událostí detekovaných systémem SIEM za kalendářní měsíc Poskytovatel monitoruje výpadky zdrojů logů z kritických systémů (určené v Realizační studii) a v případě že je delší než 2 hodiny, informuje o tom objednatele dle komunikační matice v Realizační studii. Veškerá komunikace probíhá dle závažnosti KBI a komunikační matice. Pravidla pro určení závažnosti bezp. incidentu (KBI) Závažnost bezp. incidentu Popis Komunikace Kritický Incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. Telefonicky a e-mailem Střední Incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření incidentu včetně minimalizace vzniklých škod. Emailem a SMS Nízký Incident, při kterém dochází ...
Požadavky na monitoring a analýzu bezpečnostních událostí a) Poskytovatel provádí nepřetržitý vzdálený dohled/monitoring bezpečnostních událostí s využitím systému SIEM objednatele, a to 24 hodin denně 7 dnů v týdnu po celý rok.