Bezpečnostní politiky
Minimální obsah bezpečnostní dokumentace pro malé informační systémy
pro
zpracování utajovaných informací
(verze 3.00)
Následující návod je určen pro informační systém pro nakládání s utajovanými informacemi, realizovaný na jednom nebo několika samostatných osobních počítačích nebo v lokální počítačové síti (LAN) malého rozsahu, v bezpečnostním provozním módu vyhrazeném nebo s nejvyšší úrovní, případně s nejvyšší úrovní s formálním řízením přístupu k informacím. Cílem je zejména usnadnit vytvoření koncepce zabezpečení a bezpečnostní provozní dokumentace pro účely certifikace informačního systému vlastními silami žadatele.
POZNÁMKA 1
Pro informační systém založený na použití jednoho nebo více
samostatných osobních počítačů se vynechají části týkající se komunikací a
jejich zabezpečení.
POZNÁMKA 2
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o
bezpečnostní způsobilosti, ve znění zákona č. 255/2011 Sb. je v dalším textu
uváděn jako zákon č. 412/2005 Sb.
POZNÁMKA 3
Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a
komunikačních systémů a dalších elektronických zařízení a o certifikaci
stínicích komor, ve znění vyhlášky č. 453/2011 Sb. je v dalším textu uváděna
jako VYHLÁŠKA.
POZNÁMKA 4
Během certifikačního procesu poskytuje odbor informačních
technologií žadatelům o certifikaci informačního systému potřebné konzultace,
nastavení bezpečnostních charakteristik operačních systémů Windows, bezplatné
měření kompromitujícího vyzařování, informace k bezpečnému používání USB
zařízení, k možnostem bezpečného vymazávání informací, k možnostem
kryptografické ochrany, k zabezpečení kabeláže LAN a pomoc při řešení dalších
bezpečnostních problémů.
BEZPEČNOSTNÍ POLITIKA INFORMAČNÍHO SYSTÉMU
1. Úvod
Stručný popis informačního systému
Uvést
počet samostatných osobních počítačů a zahrnutá periferní zařízení
nebo stručně popsat LAN (předpokládaný rozsah, pracovní stanice, servery a
jejich role, periferní zařízení, síťové tiskárny a skenery, logická topologie
sítě, model komunikace aj.),
nejvyšší stupeň utajení zpracovávaných
informací,
zvolený bezpečnostní provozní mód,
základní účel
zpracování utajovaných informací a aplikační SW,
předpokládaný počet
uživatelů,
předpokládaný rozsah zpracování utajovaných informací,
použitý operační systém (systémy),
vztah k jiným počítačovým sítím (u
samostatných osobních počítačů např. vyjmutí síťové karty, zákaz použití modemu,
u LAN zpravidla izolace od jiných počítačových sítí),
rámcově zásady pro
umístění informačního systému z hlediska fyzické bezpečnosti, včetně aktivních
prvků LAN a vedení datových rozvodů,
u samostatných osobních počítačů, zda
je pevný disk vyměnitelný nebo zabudovaný, u LAN případné použití vyměnitelných
pevných disků v serverech a pracovních stanicích, využití bezdiskových
pracovních stanic, terminálů apod.
v případě záměru použití
kryptografických prostředků uvést účel.
2. Bezpečnostní cíle
Uvést následující teze:
Bezpečnostní cílem spojeným s využíváním
informačního systému je zajištění důvěrnosti a integrity utajované informace
všude, kde se vyskytuje, dostupnosti informace a služeb informačního systému a
odpovědnosti uživatele informačního systému za jeho činnost v něm, dále
nepopiratelnosti a pravosti informací, kde je to aplikovatelné.
Zpracování
utajovaných informací musí probíhat v souladu s požadavky zákona č. 412/2005 Sb.
a s příslušnými vyhláškami NBÚ v platném znění.
Uvedou se i další právní
předpisy, normy, mezinárodní smlouvy a s nimi spjaté bezpečnostní požadavky,
nadřízené bezpečnostní politiky, interní předpisy apod., které musí informační
systém splňovat.
3. Personální bezpečnost (zákon č. 412/2005 Sb. a § 16, § 17, § 18 a § 19 VYHLÁŠKY)
Deklarovat požadavky na uživatele:
splnění podmínek přístupu fyzické
osoby k utajované informaci stupně utajení odpovídajícího nejvyššímu stupni
utajení informace, která může být v informačním systému zpracovávána (§ 6 nebo §
11 zákona č. 412/2005 Sb.),
získání autorizace pro přístup k informacím
prostřednictvím daného informačního systému,
další podle potřeb organizace.
Deklarovat zavedení formálních postupů pro udělení oprávnění pro přístup do informačního systému, zavedení uživatele do informačního systému, pro včasné vyřazení uživatele při zániku jeho Osvědčení nebo Oznámení, změně jeho pracovního zařazení, odchodu z organizace apod. K tomu vedení seznamu oprávněných uživatelů informačního systému.
Deklarovat, že povinnosti uživatelů budou stanoveny v bezpečnostní provozní dokumentaci informačního systému. Uživatelé budou pro svou činnost v informačním systému proškoleni, znalost dokumentace v příslušném rozsahu potvrdí před zavedením do informačního systému svým podpisem.
Deklarovat zásadu, že přístup do informačního systému je založen na jedinečném identifikátoru uživatele v rámci informačního systému. V případě potřeby používání společného účtu pro více uživatelů uvést její zdůvodnění a deklarovat, že bude zaveden postup umožňující určit, který uživatel/bezpečnostní správce/správce informačního systému v dané době daný identifikátor používal (předpokládá se zejména ve stálém provozu na operačních střediscích).
Uvést požadované funkce pro správu informačního systému:
Funkce (role)
bezpečnostního správce, předpokladem je splnění podmínek pro přístup fyzické
osoby k utajované informaci minimálně pro nejvyšší stupeň utajení informace,
zpracovávané v informačním systému. Povinnosti bezpečnostního správce
informačního systému budou uvedeny v příslušné bezpečnostní směrnici. Uvést, zda
je požadováno splnění požadavků pro přístup fyzické osoby k utajované informaci
vyššího stupně utajení (§ 16 odst. 3 VYHLÁŠKY), pokud ne, odůvodnit.
Funkce
(role) správce informačního systému (administrátor spravující operační systémy a
aplikační programové vybavení, síťové prostředí, případně provádějící
jednoduchou HW údržbu), předpokladem je splnění podmínek pro přístup fyzické
osoby k utajované informaci minimálně pro nejvyšší stupeň utajení informace,
zahrnuté v informačním systému. Povinnosti správce informačního systému budou
uvedeny v příslušné bezpečnostní směrnici. Uvést, zda je požadováno splnění
požadavků pro přístup fyzické osoby k utajované informaci vyššího stupně utajení
(§ 16 odst. 4 VYHLÁŠKY), pokud ne, odůvodnit.
Deklarovat případné sloučení
obou funkcí a odůvodnit je.
V případě informačního systému sestávajícího
ze samostatných pracovních stanic rozmístěných v různých lokalitách, zajištění
centrální a lokální správy informačního systému.
V případě potřeby, např.
při využívání kryptografické ochrany utajovaných informací nebo správě
komunikační části LAN zavedení dalších funkcí (rolí).
Zajištění zástupnosti
v bezpečnostní správě a správě informačního systému.
4. Splnění minimálních požadavků počítačové bezpečnosti
Uvést minimální bezpečnostní požadavky počítačové bezpečnosti podle § 7 a § 8 VYHLÁŠKY, podle zvoleného bezpečnostního provozního módu a nejvyššího stupně utajení:
Jednoznačná identifikace a autentizace uživatele
prostředky operačního
systému s vhodným nastavením bezpečnostních parametrů - minimální délka hesla 8
znaků, doba platnosti hesla zpravidla maximálně 6 měsíců, uzamčení stanice
nejdéle po 30-ti minutové nečinnosti, povolení nejvýše tří neplatných pokusů o
přihlášení během 60 minut, nepovolit opakování posledních nejméně 3 hesel
uživatele, vynucení změny hesla přiděleného administrátorem při prvém přihlášení
uživatele do systému, atd.
případně dále i na aplikační úrovni (vstup do
kritické aplikace),
se zajištěním re-autentizace uživatele po stanovené
době nečinnosti nebo krátkodobém opuštění zapnutého samostatného osobního
počítače nebo pracovní stanice,
se zajištěním ochrany důvěrnosti a
integrity autentizační informace během přenosu sítí.
Volitelné řízení přístupu k objektům informačního systému
prostředky
operačního systému,
případně dále na aplikační úrovni,
v bezpečnostním
provozním módu vyhrazeném uplatnit pouze požadavek oddělení uživatelů od
systémových souborů a prostředků a správců systému (pokud nejsou zároveň
uživateli informačního systému) od uživatelských dat,
v bezpečnostním
provozním módu s nejvyšší úrovní pravidla pro řízení přístupu k objektům
informačního systému (např. vytvoření domovských, adresářů pro jednotlivé
uživatele v jejich vlastnictví, skupiny uživatelů a vytvoření sdílených adresářů
pro skupiny uživatelů, přistup k aplikačnímu SW …), vhodné oddělení uživatelů od
systémových souborů a prostředků a správců systému (pokud nejsou zároveň
uživateli informačního systému) od uživatelských dat,
v bezpečnostním
provozním módu s nejvyšší úrovní s formálním řízením přístupu k informacím
způsob realizace centrální správy řízení přístupu.
Vytváření auditních záznamů, jejich ochrana a zkoumání
prostředky
operačního systému s vhodným nastavením bezpečnostních parametrů – zpravidla
zaznamenávat úspěšné i neúspěšné pokusy o přihlášení do systému, správu
uživatelů a skupin, změnu v metodě zabezpečení a neúspěšné pokusy o přístup k
souborům a objektům, o použití přístupových práv, selhání restartu a vypnutí
nebo sledování procesu,
pokud operační systém neumožňuje automatické
vytváření auditních záznamů, mohou být ve výjimečných případech nahrazeny
manuální evidencí, umožňující jednoznačně určit, který uživatel a kdy v systému
pracoval - např. uživatel se zapíše (nebo je zapsán a potvrdí svou přítomnost
podpisem) do provozního deníku s datem a dobou práce v informačním systému;
politika určí rámcově i způsob vedení takových evidencí, jejich ochranu před
modifikací nebo zničením, dobu archivace apod.; může jít o evidenci fyzického
vstupu do místnosti, převzetí výměnného HDD apod.; použitelné výlučně pro
samostatná PC,
případné vytváření auditních záznamů i na aplikační úrovni,
zásada omezení přístupu uživatelů k auditním záznamům, spravovány jsou
bezpečnostním správcem; politika také určuje, jak často se mají kontrolovat
auditní záznamy, v jaké formě, kde a jak dlouho mají být uchovávány pro zpětné
zkoumání, kdo má přístup k auditním záznamům; zpravidla se vyžaduje kontrola
nejméně jednou měsíčně a pořizování záložních kopií auditních záznamů a jejich
uchovávání takovým způsobem, aby byly přístupné pro zpětné zkoumání po dobu
nejméně 3 let, přičemž po celou dobu musí být chráněny před modifikací a
zničením.
Opakované použití objektů – je řešeno operačním systémem (řeší systémy
Microsoft Windows od W NT 4.0 výše, UNIXové systémy), pro počítačová média
stanovením pravidel pro deklasifikaci a ničení médií.
5. Komunikační bezpečnost (pouze pro LAN, § 9 VYHLÁŠKY)
Zabývat se zejména následujícími oblastmi:
způsob ochrany důvěrnosti a
integrity informací během přenosu v LAN
- prostředky fyzické bezpečnosti
podle odst. 4 § 9 VYHLÁŠKY nebo
- nasazením kryptografického prostředku
certifikovaného pro ochranu utajovaných informací stupně utajení odpovídajícího
stupni utajení chráněné informace nebo vyššího podle odst. 6 § 9 VYHLÁŠKY nebo
- záměr využití odst. 7 § 9 VYHLÁŠKY a jeho odůvodnění,
zásady pro I&A v síťovém prostředí a ochranu přístupových hesel (fyzická
ochrana linek a jejich pravidelná kontrola, kryptografický prostředek, pokročilá
autentizační technika zajišťující šifrování hesel nebo využívající heslo na
jedno použití apod.),
zásady pro ochranu síťových prvků, jako jsou
rozbočovače, mosty, přepínače, směrovače (fyzická ochrana, manuální plnění
tabulek a statický režim),
zásady pro připojení LAN k externím sítím (ve
většině případů úplná izolace LAN, vyloučení propojení na Internet, zákaz
modemových připojení, zákaz WiFi apod.),
požadavky na používání utilit pro
správu LAN, kontrolu integrity SW vybavení apod.,
pro síťové protokoly a
služby uplatňovat zásadu “co není explicitně povoleno, je zakázáno”.
Zásadou je, že datové rozvody pro přenos utajovaných informací v otevřeném
(nezašifrovaném) tvaru je nutno vést tak, aby vycházely mimo zabezpečené oblasti
kategorie odpovídající stupni utajení chráněné informace jen v dobře
odůvodněných situacích (např. nepřiměřené náklady, technické důvody).
Nešifrované sekce mimo odpovídající zabezpečenou oblast mají být co nejkratší a
být vedeny objektem odpovídající kategorie, zabezpečenou oblastí jiné kategorie
nebo objektem jiné kategorie. K této problematice je zpracováván jiný metodický
materiál.
6. Kryptografická ochrana
Tato část se zařazuje pouze v případě, že bude v informačním systému provozován
kryptografický prostředek certifikovaný podle zákona č. 412/2005 Sb. Je třeba
uvést, zda kryptografický prostředek bude použit pro ochranu utajované informace
uložené na počítačovém médiu nebo pro ochranu komunikací a deklarovat zajištění
souladu se zákonem č. 412/2005 Sb. a vyhláškou č. 432/2011 Sb., o zajištění
kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417/2013 Sb.
7. Požadavky na dostupnost (§ 10 VYHLÁŠKY).
Rozvést požadavky na dostupnost informace a služeb informačního systému - v čase
a místě, jak dlouho smí být služby nedostupné, jaká minimální funkčnost musí být
zajištěna i v krizových situacích, redundance HW a SW, plánování kapacit, plán
obnovení činnosti informačního systému po havárii …
8. Analýza rizik a další bezpečnostní opatření (§ 11 VYHLÁŠKY)
Na základě analýzy rizik stanovit další bezpečnostní opatření, pro vnější hrozby
nepokryté již identifikovanými požadavky a případně sílu mechanismů, kterými
mají být (vzhledem ke zvýšenému riziku) bezpečnostní funkce realizovány (např.
identifikace a autentizace nikoliv jen na základě uživatelského jména a hesla,
ale pomocí tokenu).
Jednou z hrozeb specifických pro osobní počítač je, že k
němu neoprávněná osoba získá fyzický přístup i přes použitá opatření fyzické
bezpečnosti a poté buďto odcizí, poškodí nebo zničí počítačové médium s
utajovanými informacemi nebo HW vybavení, získá logický přístup do systému
(např. nabootování z externího média) umožňující narušení systémového a
aplikačního programového vybavení a manipulaci s utajovanými informacemi, získá
informaci uloženou na zcizeném pevném disku přímo nebo speciálními prostředky v
případě zbytkových informací.
V souvislosti s tím je nutno pro samostatný osobní počítač nebo pracovní stanici
vyřešit (adekvátně skutečné úrovni rizik)
ochranu utajované informace,
která by zůstala uložena v počítači, je-li ponechán buďto po určitou dobu
zapnutý bez obsluhy autorizovaného uživatele nebo vypnutý po ukončení práce v
informačním systému (neoprávněné odkrytí, modifikace, zničení utajované
informace, tedy ohrožení důvěrnosti, integrity a dostupnosti utajované
informace),
ochranu integrity HW (neoprávněná modifikace, např. vložení
škodlivé komponenty, zničení, tedy ohrožení důvěrnosti, integrity a dostupnosti
utajované informace a dostupnosti služeb systému),
ochranu integrity
operačního systému (neoprávněné vložení škodlivého kódu, modifikace systémových
souborů apod., tedy ohrožení důvěrnosti, integrity a dostupnosti utajované
informace a dostupnosti služeb systému),
ochranu integrity aplikačního SW
- podobně jako operačního systému,
ochranu utajovaných informací uložených
na výměnných počítačových médiích,
ochranu USB portů.
Pro LAN je nutno zabývat se dále riziky spjatými se serverem, dalšími aktivními
prvky sítě a samotnou kabeláží, zejména vyřešit adekvátní
ochranu LAN před
fyzickým poškozením nebo neoprávněnou modifikací kabeláže a odposlechem na
linkách (přenášené informace, autentizační informace),
ochranu
rozbočovačů, mostů, přepínačů, směrovačů před fyzickým poškozením a neoprávněnou
modifikací jejich konfigurace,
ochranu integrity HW serveru, integrity
operačního systému i aplikačního SW na serveru, podobně jako pro samostatný
osobní počítač,
ochranu autentizační informace přenášené v LAN,
ochranu utajovaných informací přenášených v LAN,
ochranu utajovaných
informací uložených na pevných discích (diskovém poli) serveru.
Během analýzy rizik je třeba zvažovat, pro jaké možné útočníky mají zpracovávané
utajované informace hodnotu a jaký typ útoku by pravděpodobně byli schopni a
ochotni podniknout, případně určit zbytkové riziko a jeho přijatelnost z
hlediska jeho možného dopadu a nápravy vzniklých škod.
Na základě analýzy
rizik musí být stanoveny bezpečnostní požadavky jako je zahrnutí nadstandardních
prvků fyzické bezpečnosti, použití bezdiskových pracovních stanic, pracovních
stanic a samostatných PC s výměnnými HDD, serverů s výměnnými HDD, pokročilých
technik identifikace a autentizace, kryptografické ochrany utajovaných informací
uložených na pevných discích nebo přenášených komunikačními kanály
(certifikovanými kryptografickými prostředky zajišťujícími deklasifikaci
utajovaných informací nebo necertifikovanými prostředky jako doplňkové
opatření), statický režim (statické adresní tabulky) pro huby, switche, routery
apod.
Analýza rizik ovlivňuje také míru požadavků na ochranu v oblasti
kompromitujícího elektromagnetického vyzařování, zejména v případě zpracování
informací stupně utajení Důvěrné.
9. Fyzická bezpečnost
Uvést zásady fyzického zabezpečení informačního systému v závislosti na tom, zda
na daném zařízení se informace pouze zpracovávají a zobrazují nebo i ukládají
(VYHLÁŠKA a vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci
technických prostředků, ve znění vyhlášky č. 19/2008 Sb. a vyhlášky č. 454/2011
Sb.) a na výsledcích analýzy rizik.
Použití bezdiskových pracovních
stanic, pracovních stanic a osobních počítačů s výměnnými HDD, kryptografické
ochrany apod. snižuje nutnou úroveň fyzického zabezpečení.
Jsou-li
používány pracovní stanice nebo servery se zabudovaným pevným diskem, na který
jsou ukládány utajované informace (nebo nelze jejich uložení v pracovních
oblastech disku vzhledem k používanému SW vyloučit) pak musí být tyto počítače
umístěny v zabezpečené oblasti kategorie odpovídající stupni utajení jejího
pevného disku, přičemž tato zabezpečená oblast musí splňovat standardy NBÚ pro
fyzickou bezpečnost pro případ, že v ní jsou utajované informace ukládány v
informačním systému (viz Příloha č. 1 k vyhlášce č. 528/2005 Sb., o fyzické
bezpečnosti a certifikaci technických prostředků ve znění vyhlášky č. 454/2011
Sb., kapitoly 12 a 13, Příloha č. 3 k VYHLÁŠCE). Tento požadavek platí i pro k
nim připojená disková pole.
Neopomenout stanovit zásady fyzické ochrany
pro datové rozvody LAN a aktivní prvky sítě a pro kontrolu jejich neporušenosti.
Na základě analýzy rizik stanovit opatření jako je pečetění HW, použití
ochranných skříní pro HW, zvýšené požadavky fyzické bezpečnosti pro serverovnu
(nadstandardní prvky vzhledem ke stupni utajení informací) apod.
Uvést
požadavek ochrany zařízení před riziky prostředí (prach, voda, oheň, živelní
katastrofa atd., podle analýzy rizik).
Fyzickou bezpečnost pro informační
systém je nutno popsat, nebo uvést odkaz na jinou dokumentaci (např. schválený
projekt fyzické bezpečnosti objektu), která ovšem musí být přístupná NBÚ i
uživatelům podle potřeby.
Uvést požadavek, že výpočetní technika musí být
umístěna tak, aby bylo znemožněno odezírání utajovaných informací z obrazovek,
klávesnic a periferních zařízení nepovolanými osobami.
Je třeba zahrnout
také požadavek označit zařízení náležející do určitého informačního systému
štítkem s identifikací tohoto informačního systému a nejvyšším stupněm utajení
informací, které mohou být v daném informačním systému zpracovávány.
Komentář
Soubor bezpečnostních požadavků pro určitý informační systém se
vytváří z minimálních bezpečnostních požadavků, z požadavků vyplývajících z
použitého bezpečnostního provozního módu a z nejvyššího stupně utajení
utajovaných informací, který může být v informačním systému zpracováván, a z
požadavků odvozených z analýzy rizik provedené pro tento informační systém (nebo
typ informačního systému).
Fyzickou bezpečností pro informační systémy se
rámcově zabývá § 20 VYHLÁŠKY. Podle něho se během certifikace informačního
systému stanovuje, které komponenty informačního systému musí být umístěny v
zabezpečené oblasti nebo objektu a jejich kategorie.
Vyhláška č. 528/2005
Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění
vyhlášky č. 19/2008 Sb. a vyhlášky č. 454/2011 Sb., stanoví bodové ohodnocení
jednotlivých opatření fyzické bezpečnosti a nejnižší míru zabezpečení
zabezpečené oblasti. Bodové ohodnocení parametrů SS1 a SS2 pro komponenty
informačního systému je uvedeno v příloze č. 3 VYHLÁŠKY.
O konkrétní
realizaci zvýšení úrovně fyzické bezpečnosti se potom rozhoduje v rámci
certifikace informačního systému, vhodné řešení se hledá s uvážením charakteru
zpracovávaných utajovaných informací a se snahou o co nejnižší dodatečné
náklady, s přihlédnutím k možnostem žadatele o certifikaci.
Zabezpečené
oblasti všech kategorií jsou v rámci bezpečnostní prověrky podnikatele často
hodnoceny ještě bez zahrnutí možnosti, že v nich bude umístěn informační systém,
který vyžaduje certifikaci.
10. Kompromitující vyzařování
Komentář
Požadavkem ochrany informačního systému proti úniku utajovaných informací
prostřednictvím kompromitujícího vyzařování se zabývá § 14 zákona č. 412/2005
Sb. Jeho současné znění je následující:
Odst. 1: Komponenty informačního
systému, které nakládají s utajovanými informacemi stupně utajení Důvěrné nebo
vyššího a zabezpečená oblast nebo objekt, ve kterém se v informačním systému
zpracovávají utajované informace stupně utajení Důvěrné nebo vyššího, musí být
zabezpečeny takovým způsobem, aby kompromitující vyzařování nezpůsobilo únik
utajované informace.
Odst. 2: Požadavky na zabezpečení proti kompromitujícímu
vyzařování jsou závislé na stupni utajení utajované informace, se kterou
informační systém nakládá a jsou stanoveny v bezpečnostním standardu.
Odst.
3: Instalace informačního systému, který nakládá s utajovanou informací stupně
utajení Důvěrné nebo vyššího, z hlediska jeho zabezpečení proti kompromitujícímu
vyzařování musí být provedena v souladu s požadavky bezpečnostního standardu.
Záznam o instalaci komponent informačního systému se vkládá do bezpečnostní
dokumentace informačního systému. Obsah a forma záznamu jsou stanoveny v
bezpečnostním standardu.
V současné době jsou v platnosti 2 standardy NBÚ pro tuto oblast – Bezpečnostní standard NBÚ-1/2007, Klasifikace prostorů z hlediska kompromitujícího elektromagnetického vyzařování, verze 1.0 z roku 2007 a Bezpečnostní standard NBÚ-2/2007, verze 2 z roku 2011, Instalace zařízení z hlediska kompromitujícího elektromagnetického vyzařování. Oba tyto standardy jsou klasifikovány stupněm utajení Důvěrné a jsou šířeny přísně podle zásady „need-to-know“. Dále jsou využívány utajované standardy NATO a EU.
Problematikou se zabývají také § 30 až § 36 VYHLÁŠKY.
Kompromitující vyzařování je elektromagnetické, akustické nebo optické
vyzařování elektrických a elektronických zařízení, které by mohlo způsobit únik
utajované informace. S definicí kompromitujícího vyzařování úzce souvisí termín
TEMPEST, což je odborný termín vztahující se ke zjišťování a zkoumání
kompromitujícího elektromagnetického vyzařování, což jsou vlastně neúmyslně
vyzářené elektromagnetické signály, které, pokud jsou zachyceny a analyzovány,
mohou odhalit (prozradit) obsah zpracovávané informace (např. zobrazované na
monitoru nebo tištěné na tiskárně).
Elektronická zařízení vzhledem ke své
konstrukci a použité technologii jsou citlivá na vnější rušení a sama také
elektromagnetickou energii (rušení) vyzařují. Pokud elektronická zařízení (která
jsou vždy součástí informačních systémů) zpracovávají informace, může jimi
vyzařovaná energie v sobě nést zpracovávanou informaci.
Proto u informačních
systémů, které zpracovávají utajované informace, je třeba při jejich návrhu,
instalaci a provozu dodržet jistá pravidla, která snižují riziko úniku utajované
informace formou tohoto kompromitujícího elektromagnetického vyzařování.
V
ČR je aplikován tzv. "zónový princip", při němž se hodnotí jednak jednotlivé
komponenty nebo celý informační systém (tzv. třída zařízení - 0, 1 nebo 2) a
dále prostory, ve kterých je informační systém umístěn (tzv. zóna - 0, 1 nebo
2). Bezpečnostní standardy stanoví pro zpracování utajované informace v
závislosti na jejím stupni utajení možné kombinace třídy zařízení a zóny
prostoru, v němž je umístěno.
Již v etapě záměru vybudovat informační systém
pro zpracování utajovaných informací stupně utajení Důvěrné nebo vyššího je
doporučováno vybrat vhodně prostory pro jeho umístění. Je nutné zohlednit nejen
požadavky na fyzickou bezpečnost, ale také požadavky na TEMPEST. Vhodně zvolené
umístění informačního systému například i v rámci jedné budovy, může znamenat
lepší zónu daného prostoru a snižuje tak požadavky na třídu použitých prostředků
a tím výrazně i finanční náklady.
Kromě toho existují i požadavky na
rozmístění komponent informačního systému v rámci vybraného prostoru. Tyto
požadavky jsou uvedeny v bezpečnostních standardech NATO, EU a NBÚ a udávají
především požadované vzdálenosti informačního systému od ostatních metalických
vedení (např. telefonní linky, silová a signálová vedení, vytápění, klimatizace
aj.) a jiných elektronických zařízení, které je nutné dodržovat.
Hodnocení
zařízení a prostorů provádí v NBÚ pracoviště TEMPEST na základě vlastních měření
nebo měření provedených na odborném pracovišti, se kterým má/bude mít NBÚ
uzavřenou smlouvu o provádění takových činností (podle zákona č. 412/2005 Sb.).
Na pracovišti TEMPEST je k dispozici seznam dodavatelů zařízení třídy 0 a
stínicích komor. Tato zařízení však vždy musí být podrobena kontrolnímu měření a
odsouhlasena NBÚ.
Jako podklad pro hodnocení zóny, v níž má být umístěn informační systém pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího, je třeba dodat popis (včetně plánku) umístění informačního systému vzhledem k místům, kde by mohlo být nepozorovaně umístěno nepřátelské zařízení pro detekci elektromagnetického vyzařování (většinou se jedná o veřejná parkoviště a prostory které nepatří provozovateli informačního systému). Tento popis by měly zahrnovat všechny prostory sousedící s místností, kde je informační systém instalován, jak v horizontální tak i vertikální linii a pokud je informační systém v místnosti s okny, popsat prostor ve směru oken a to do vzdálenosti minimálně 100 metrů od informačního systému. Rovněž je třeba popsat předpokládaný rozsah zpracovávání utajovaných informací a jejich časové rozložení. Pro posouzení rizika není rozhodující množství utajovaných informací uložených v informačním systému, ale množství a charakter zpracovávaných utajovaných informací a rozsah, charakter a časové rozložení zpracovávání těchto informací. Riziko z hlediska TEMPEST je spjato především se zobrazováním utajovaných informací na monitoru, jejich vkládáním pomocí klávesnice, tiskem a vypalováním na CD či DVD. Z hlediska časového rozložení je vyšší riziko spjato s pravidelným zpracováváním utajovaných informací nebo zpracováním, jehož zahájení může útočník odvodit z určitých příznaků.
Pracoviště TEMPEST provádí i poradenskou činnost v oblasti kompromitujícího
vyzařování.
10.1 Základní požadavky na informační systém podle standardů NBÚ
Při
zpracovávání utajovaných informací stupně utajení Vyhrazené nejsou požadována
(kromě Prohlášení o shodě, kterým se dokládá splnění požadavků na elektrickou
bezpečnost a elektromagnetickou kompatibilitu (EMC) podle zákona č. 22/1997 Sb.
o technických požadavcích na výrobky a o změně a doplnění některých zákonů.)
žádná opatření v oblasti kompromitujícího vyzařování (KV).
V případě
zpracovávání utajovaných informací stupně utajení Důvěrné se rovněž přihlíží k
charakteru organizace provozující daný informační systém a charakteru
zpracovávaných informací, rozsahu zpracovávání utajovaných informací stupně
utajení Důvěrné, časovému rozložení a způsobu jejich zpracovávání. Pokud dochází
ke zpracovávání utajovaných informací týkajících se krizového plánování,
činnosti zpravodajských služeb, činnosti a zabezpečení zastupitelských úřadů a
jiných důležitých objektů, kryptografické ochrany utajovaných skutečností,
operativní techniky, vojenského a jaderného materiálu a dalších kritických
oblastí, je třeba bez ohledu na jejich množství aplikovat přísnější požadavky.
U informací stupně utajení Důvěrné posoudí pracovník OIT NBÚ z dokumentace
předložené k certifikaci informačního systému nebo přímo na místě, zda se bude
provádět zónové měření.
Předpokládá-li se zpracovávání utajovaných informací
stupně utajení Tajné nebo Přísně tajné, provede se zónové měření zpravidla vždy.
Pokud jsou zpracovávány utajované informace stupně utajení Důvěrné, Tajné nebo
Přísně tajné, vyžaduje se u některých instalací, určených v bezpečnostních
standardech, napájení ze síťového přívodu vybaveného vysokofrekvenčním filtrem.
Pro zpracování utajovaných informací stupně utajení Důvěrné je nutné použít
vhodný typ s útlumem minimálně 30dB v kmitočtovém pásmu 100 kHz – 1 GHz. Pro
zpracování utajovaných informací stupně utajení Tajné nebo Přísně tajné je nutná
konzultace s odborným pracovištěm OIT NBÚ. K využití útlumových vlastností
zapojených filtrů je nutná jejich odpovídající instalace (patřičné oddělení
vodičů vstupní a výstupní části).
V případě, že informační systém obsahuje
vysílač (radiostanice, radiomodem, Wi-Fi, infračervený přenos aj.), je třeba
vždy konzultace s pracovištěm OIT NBÚ.
Požadovaná opatření se pak u požadavků
na zařízení pohybují od doložení splnění elektromagnetické kompatibility pro
jednotlivé komponenty informačního systému případně použití komponent s nižší
úrovní kompromitujícího elektromagnetického vyzařování až po použití
"tempestovaných" zařízení. U požadavků na zlepšení zóny se jedná o přemístění
informačního systému nebo použití stínicích komor případně stíněných místností.
Pro LAN je nutno zahrnout do úvah i kabeláž a aktivní prvky sítě. V této oblasti
je opět nutné posouzení NBÚ. U nově budovaných sítí pro stupeň utajení Důvěrné a
vyšší doporučujeme konzultovat v NBÚ již ve fázi záměru, jaká bezpečnostní
opatření jsou vyžadována.
10.2 Požadovaná specifikace způsobu ochrany v bezpečnostní politice
V bezpečnostní politice je třeba minimálně stanovit, že elektronická zařízení informačního systému budou splňovat požadavky bezpečnostních standardů NBÚ v oblasti kompromitujícího vyzařování.
Podle úrovně aktuálně známých informací (v době tvorby prvé verze bezpečnostní
politiky informačního systému) se dále uvádí:
zóna pro prostor, v němž bude
informační systém umístěn,
pro stupeň utajení Důvěrné předpokládaný rozsah
zpracovávání utajovaných informací a jejich časové rozložení a z hlediska
provozovatele posoudit riziko spjaté s hrozbou útoku využívajícího k získání
utajovaných informací kompromitujícího elektromagnetického vyzařování,
navržený způsob ochrany v oblasti kompromitujícího vyzařování, s uvážením
požadavků uvedených v odstavci 10.1 a Komentáři (např. „pro zpracování
utajovaných informací do stupně utajení Tajné, v počítačové místnosti
nacházející se v zóně 1, bude použito zařízení třídy y“, nebo „ v zóně 0 bude
použito tempestované zařízení“, „bude použita stínicí komora“ apod.),
v
případě LAN požadavky pro kabeláž (např. optické kabely) a pro prvky síťové
infrastruktury.
11. Administrativní bezpečnost, bezpečnost počítačových médií
Deklarovat splnění požadavků vyhlášky č. 529/2005 Sb., o administrativní
bezpečnosti a o registrech utajovaných informací, ve znění pozdějších předpisů.
Deklarovat požadavky na bezpečnost počítačových médií podle § 15 VYHLÁŠKY
(tzv. provozní nosiče informací), uvést stupeň utajení těchto médií vzhledem k
bezpečnostnímu provoznímu módu vyhrazenému nebo s nejvyšší úrovní/nejvyšší
úrovní s formálním řízením přístupu k informacím.
Uvést, jaká počítačová
média pro ukládání utajovaných informací budou používána, zásady pro jejich
evidenci, označování stupněm utajení, ukládání, ničení (viz aktuální standardy
NBÚ v příloze vyhlášky č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci
technických prostředků, ve znění pozdějších předpisů).
Uvést, jaká
počítačová média budou používána pro vstup/výstup informací do/z informačního
systému a požadavky na řízení přístupu uživatelů k příslušným mechanikám/portům;
zejména v případě USB paměťových zařízení.
V případě používání
vyměnitelných pevných disků v multiuživatelském prostředí uvést způsob zajištění
nepřetržité odpovědnosti.
Uvést zásady pro vyřazování počítačových médií z
provozu informačního systému (porouchané nebo poškozené pevné disky, poškozené
diskety, CD, ZIP, pásky aj.) nebo v případě likvidace informačního systému,
zajišťující, že médiu je poskytována ochrana podle jeho stupně utajení až do
doby komisionelního zničení.
POZNÁMKA 5
Počítačová média, která jsou používána výhradně pro potřeby
provozu informačního systému, např. vyměnitelné pevné disky, CD/DVD, ZIP, pásky
a další média používaná pro zálohování v informačním systému mají být evidována
v administrativní pomůcce vytvořené pro tento účel. Jednotlivému počítačovému
médiu pak musí být přiděleno jedinečné evidenční číslo a stupeň utajení a musí
pro ně být uveden typ média, jeho výrobní číslo (pokud je médiem neseno), datum
uvedení do provozu informačního systému, datum vyřazení z provozu. Na popisném
štítku se pak vyznačí stupeň utajení média, jeho evidenční číslo, název
organizace/orgánu státu provozujícího informační systém a název informačního
systému. Je vhodné, aby tuto evidenci vedla osoba pověřená vedením jednacího
protokolu nebo bezpečnostní správce informačního systému.
Nosiče utajovaných
informací používané rutinně v bezpečnostním provozním módu vyhrazeném nebo s
nejvyšší úrovní budou klasifikovány nejvyšším stupněm utajení, s nímž daný
informační systém nakládá. Tím není vyloučen export informací nižšího stupně
utajení nebo neutajovaných, pokud uživatel kvalifikovaně posoudí stupeň utajení
určité dílčí informace nebo je nižší stupeň utajení určitého typu informace
stanoven v bezpečnostní dokumentaci, a poté takovou informaci uloží na nosič
příslušného stupně utajení nebo neutajovaný.
V § 15 VYHLÁŠKY je v odst. 8 zdůrazněna potřeba zajistit informační systémy proti neoprávněnému importu/ exportu utajovaných informací, zejména při použití velkokapacitních vyměnitelných počítačových médií, tím, že již v bezpečnostní politice informačního systému (a tím i v návrhu bezpečnosti a bezpečnostních směrnicích informačního systému) je specifikováno řízení přístupu uživatele ke vstupním a výstupním zařízením.
POZNÁMKA 6
Evidenci a označení jako utajovaná informace podléhají i
zabudované pevné disky. V případě obtížné realizace tohoto opatření je možno
omezit se v odůvodněných případech na neprodlené zaevidování a označení pevného
disku odpovídajícím stupněm utajení po vyjmutí z počítače (porucha, výměna), což
mu zajistí adekvátní ochranu v další fázi jeho života.
Deklarovat, že počítače/jiná zařízení obsahující zabudované pevné disky/jiné nevolatilní paměti budou evidovány v provozní bezpečnostní dokumentaci informačního systému (je-li to relevantní).
Deklarovat, že utajovaná informace, která vystupuje z informačního systému,
musí být označena odpovídajícím stupněm utajení, způsobem zaručujícím adekvátní
nakládání s touto informací. Uvést, že tiskové výstupy musí být bez odkladu
evidovány jako utajovaná písemnost. Uvést zásady pro import a export utajovaných
informací do/z informačního systému na počítačových médiích, v souladu s
principy bezpečnostního provozního módu. Výstupem z informačního systému se
nemíní uložení na tzv. provozní počítačová média, používaná výhradně v provozu
informačního systému.
12. Další bezpečnostní dokumentace
Deklarovat, že bude vypracován návrh bezpečnosti informačního systému a
zpracovány bezpečnostní směrnice informačního systému, jak budou členěny (např.
pro bezpečnostního správce informačního systému, pro správce informačního
systému, pro uživatele, pro oblast kryptografické ochrany apod.).
13. Požadavky bezpečného provozu
Uvést zejména následující bezpečnostní požadavky (převážně uvedeny v § 23
VYHLÁŠKY):
zajištění antivirové ochrany,
dodržování schválené
konfigurace HW a SW (správa konfigurace),
bezpečné uložení hlavních kopií
SW vybavení (znemožnění modifikace nebo zničení),
systém zálohování
souborů s utajovanými informacemi, případně programového vybavení, záložní
média, odpovědnost za vytváření záloh (server, pracovní stanice apod.),
povinnost evidovat záložní počítačová média, jejich stupeň utajení (daný
nejvyšším stupněm utajení, s nímž informační systém nakládá), jejich ukládání,
zajištění požadavků § 22 VYHLÁŠKY pro fázi instalace informačního systému,
zajištění instalačních záznamů a dodržování v nich schválené konfigurace a
rozmístění komponent informačního systému během jeho provozu (§ 14 odst. 3
VYHLÁŠKY),
pro informační systémy nakládající s utajovanou informací stupně
utajení Tajné nebo vyššího zajištění obranně technické prohlídky (§ 23 odst. 9
VYHLÁŠKY),
zajištění požadavků § 23 odst. 5 a 6 VYHLÁŠKY v oblasti
servisní činnosti; deklarovat, že bude prováděna tak, aby nemohlo dojít k
neoprávněnému přístupu k utajovaným informacím nebo narušení integrity HW nebo
SW vybavení vedoucímu ke kompromitaci utajovaných informací, že o každé opravě
bude pořízen zápis, záznamy budou uchovávány nejméně po dobu …… let, uvést zda
opravy budou zajišťovány pracovníky organizace nebo pracovníky externími (volba
servisní organizace); u komponent informačního systému, které obsahují paměti
typu RAM (např. tiskárny apod.), je nutné počítat s tím, že informace v těchto
pamětech mohou zůstávat i po odpojení napájecího napětí. Tomu je třeba
přizpůsobit režim zacházení s těmito komponentami. V případě odeslání do servisu
nebo jiné manipulace, kdy nebude zařízení pod dohledem odpovědné osoby, je třeba
obsah paměti přepsat neutajovanými informacemi,
zajištění postupu pro
autorizaci uživatele a pracovníků bezpečnostní správy a správy informačního
systému pro činnost v informačním systému,
zajišťování úvodního a
periodického školení uživatelů,
zásady administrace pracovní stanice a
síťového serveru (lokální, vzdálená) a odpovídající bezpečnostní opatření,
opatření pro přijímání návštěv – např. že návštěvy mají přístup do místnosti s
informačním systémem pouze za doprovodu oprávněného uživatele po schválení
bezpečnostním správcem informačního systému a zápisu do knihy návštěv, že nesmí
dojít k odezírání utajovaných informací, že jiným prověřeným osobám s
need-to-know lze umožnit přístup za přítomnosti oprávněného uživatele…..,
základní krizové (havarijní) situace - vyjmenovat, které situace je třeba
ošetřit (oheň-kouř-výbuch, voda - záplavy či prosakování tekutin, výpadek
proudu, porucha HW (včetně narušení kabeláže), selhání SW, problémy s konstrukcí
budov, přírodní katastrofa, sabotáž - terorismus a další). O výskytu každé
mimořádné situace a jejím vyřešení se pořídí zápis a uloží se po dobu …, kde ..,
povinnost bezpečnostního správce zkoumat auditní záznamy jedenkrát týdně
(měsíčně, denně) a vždy po bezpečnostním incidentu či podezření na něj,
vytváření kopií auditních záznamů a jejich uložení tak, aby byly přístupné pro
zpětné zkoumání po dobu nejméně ... roků, se zajištěním jejich integrity; pokud
je v auditních záznamech nalezen příznak bezpečnostního incidentu, vypracuje
bezpečnostní správce záznam a tento bude uchováván po dobu nejméně …, udat také
kde,
základní seznam bezpečnostních incidentů - projev počítačového viru
nebo jiného zlomyslného SW, kompromitace hesla/PINu čipové karty k autentizaci
uživatele nebo podezření na ni, ztráta počítačového média, čipové karty k
autentizaci uživatele nebo listinné utajované písemnosti nebo podezření na ni,
proniknutí nepovolané osoby do místnosti s informačním systémem nebo pokusy o
ně, hlášení auditu operačního systému (nebo aplikačního SW), neobvyklé chování
některého uživatele informačního systému nebo neobvyklý postup uplatněný v
informačním systému, neoprávněná změna HW nebo SW konfigurace informačního
systému, pro LAN narušení kabeláže, neúmyslné nebo úmyslné vyzrazení utajovaných
informací neoprávněné osobě, nedodržení předpisu o ukládání výměnného pevného
disku nebo přenosného počítače do úschovného objektu aj.,
že incidenty
budou uživateli hlášeny bezpečnostnímu správci, který je vyhodnotí, komu je
ohlásí dále, že o jejich výskytu a vyřešení bude pořízen zápis, že bude
archivován pod dobu nejméně ….., kde bude uložen,
zajištění školení
uživatelů o jejich povinnostech v oblasti bezpečnosti,
další bezpečnostní
požadavky podle potřeb uživatelů, vnitřních předpisů organizace, nadřízených
bezpečnostních politik, mezinárodních smluv aj., vše co je nad rámec VYHLÁŠKY.
NÁVRH BEZPEČNOSTI INFORMAČNÍHO SYSTÉMU
Návrh bezpečnosti informačního systému musí být konsistentní s bezpečnostní
politikou a spolu s bezpečnostními provozními směrnicemi naplnit všechny
bezpečnostní požadavky a deklarace v ní uvedené.
1. Popis HW a SW vybavení
Uvést konkrétní konfiguraci HW
Samostatný osobní počítač
samostatný osobní počítač - typ s bližšími údaji
o jeho komponentách (včetně síťové karty, grafické karty atd.), zabudovaném HDD
nebo vyměnitelných HDD a jejich počtu, odstranění pevných disků apod., výrobní
číslo počítače a HDD,
HW kryptografické prostředky,
periferní
zařízení,
disková pole,
zálohovací zařízení,
UPS,
použité speciální HW prostředky, např. pro identifikaci a autentizaci uživatelů,
typy a výrobní čísla komponent (s podrobností specifikovanou NBÚ během
certifikačního procesu),
aj.
Lokální počítačová síť
servery – typ a bližší údaje o jeho komponentách,
pracovní stanice – typy a bližší údaje o komponentách (včetně síťové karty,
grafické karty atd.), zabudovaném HDD nebo vyměnitelných HDD a jejich počtu,
odstranění pevných disků apod.)
HW kryptografické prostředky,
periferní zařízení, síťové tiskárny, kopírky, multifunkční zařízení,
disková pole,
zálohovací zařízení,
UPS,
použité speciální HW
prostředky, např. pro identifikaci a autentizaci uživatelů,
u jednotlivých
zařízení typy a výrobní čísla komponent (s podrobností specifikovanou NBÚ během
certifikačního procesu),
datové rozvody a prvky síťové infrastruktury,
aj.
Uvést konkrétní SW konfiguraci jednotlivých zařízení
operační systémy,
aplikační SW,
antivirové programy,
SW kryptografické prostředky,
zálohovací utility,
utility pro kontrolu integrity SW vybavení,
použité speciální SW prostředky, např. pro I&A uživatelů nebo bezpečné
vymazávání informací,
aj.
Uvést prostředky pro řízení přístupu k zařízením pro vstup/výstup informací
do/z informačního systému, zejména pro případ USB paměťových zařízení.
Uvést způsob zajištění správy konfigurace – vedení seznamu HW a SW bezpečnostním
správcem informačního systému v přehledné formě, včetně údaje o zabudovaných
nosičích utajovaných informací, případně používaný SW nástroj.
Uvést způsob
zajištění údržby SW - aplikace opravných programových balíčků (service pack)
vydávaných výrobci SW.
2. Počítačová bezpečnost
Jednoznačná identifikace a autentizace uživatele je zajišťována např.
prostředky operačního systému s vhodným nastavením bezpečnostních parametrů,
podrobně uvést nastavení v příloze Nastavení bezpečnostních charakteristik OS;
specielními prostředky pro identifikaci a autentizaci – konkrétní údaje (smart
card, biometrické zařízení) a specifikace potřebného nastavení, instalační
předpis apod.,
na aplikační úrovni – popsat, pokud je používána a specifikovat potřebné
nastavení,
uzamčením pracovní stanice nebo samostatného osobního počítače
při krátkodobém opuštění zapnutého počítače a umožněním opětovné práce v systému
až po úspěšné identifikaci a autentizaci uživatele,
zajištěním důvěrnosti
a integrity autentizační informace během přenosu sítí.
Volitelné řízení přístupu k objektům informačního systému
prostředky
operačního systému (podrobnosti v příloze Nastavení bezpečnostních
charakteristik OS),
případně na aplikační úrovni, popsat, pokud je
používáno a specifikovat potřebné nastavení,
popsat řízení přístupu zejména
k USB (zablokování přístupu všech uživatelů, umožnění přístupu pro konkrétní
média konkrétním uživatelům apod.), uvést použité prostředky a příslušná
nastavení,
logická struktura pevných disků, pravidla pro řízení přístupu
uživatelů k datové části pevného disku,
matice přístupových práv pro
uživatele.
Vytváření auditních záznamů, jejich ochrana a jejich zkoumání
Základem
je vytváření auditních záznamů prostředky operačního systému s vhodným
nastavením bezpečnostních parametrů – zpravidla zaznamenávat úspěšné i neúspěšné
pokusy o přihlášení do systému, správu uživatelů a skupin, změnu v metodě
zabezpečení a neúspěšné pokusy o přístup k souborům a objektům, o použití
přístupových práv, selhání restartu a vypnutí nebo sledování procesu. Podrobně
nastavení popsat v příloze Nastavení bezpečnostních charakteristik OS. V případě
LAN uvést zda se vede audit na serverech i jednotlivých pracovních stanicích.
Případně vytváření auditních záznamů i na aplikační úrovni, popsat, pokud je
používáno a specifikovat potřebné nastavení.
Případně využití speciálních
prostředků a specifikace potřebného nastavení, instalační předpis apod.
Omezit přístup uživatelů k auditním záznamům, aby je spravovat mohl pouze
bezpečnostní správce. Uvést, jak často kontroluje auditní záznamy (na serveru,
pracovní stanici), v jaké formě, kde a jak dlouho musí být uchovávány pro zpětné
zkoumání, kdo má přístup k zálohám auditních záznamů,
Uvést nástroje pro
analýzu auditních záznamů.
Opakované použití objektů
řešeno operačním systémem (W XP, VISTA, W 7, W
server 2003, W server 2008 atd., UNIXové systémy,
případně řešeno
speciálními prostředky, např. utility pro bezpečné vymazávání informací z
pevných disků, popsat, pokud je používáno a specifikovat potřebné nastavení,
řešeno také zákazem deklasifikace médií a správnou metodou jejich ničení.
u komponent informačního systému, které obsahují paměti typu RAM (např.
tiskárny), je nutné počítat s tím, že informace v těchto pamětech zůstávají i po
odpojení napájecího napětí; tomu je třeba přizpůsobit režim zacházení s těmito
komponentami; v případě servisu či jiné manipulace neprověřenými osobami se
např. doporučuje obsah paměti přepsat neutajovanými informacemi.
3. Komunikační bezpečnost
Uvést kompletní údaje o LAN:
typ kabeláže a použité standardy,
síťové protokoly a pro ně potřebná konfigurace (např. MAC adresy, IP adresy a
masky podsítí pro IP protokol),
topografie LAN (fyzické umístění
jednotlivých zařízení - servery, pracovní stanice, aktivní prvky sítě,
kryptografické prostředky, kabely),
topologie LAN (např. sběrnicová,
hvězdicová, kruhová, fyzická segmentace na jednotlivých vrstvách OSI modelu a
skutečná konfigurace síťových komponent, případně logická segmentace na bázi
VLAN a konfigurační soubory), aj.
Pouze pro LAN, pro samostatné PC se neuvádí.
4. Personální bezpečnost
Uvést
povinnost vedení seznamu uživatelů bezpečnostním správcem
informačního systému (s číslem Osvědčení a pro jaký stupeň utajení platí, mezní
doba platnosti Osvědčení, případně s údaji o Oznámení), vzor seznamu uživatelů,
postup pro zařazení/vyřazení uživatele do/z informačního systému (kdo o tom
rozhodne, kdo informuje bezpečnostního správce o zrušení oprávnění pro přístup
do informačního systému před odchodem dané osoby z organizace, zánikem jejího
Osvědčení nebo Oznámení, způsob sdělování této informace bezpečnostnímu správci,
vzor formuláře se schválením zařazení/vyřazení uživatele do informačního
systému),
způsob jmenování osob vyžadovaných bezpečnostní politikou pro
správu informačního systému bezpečnostní politikou (bezpečnostního správce,
případně jeho zástupce, administrátora systému, kryptografické obsluhy aj.);
odkaz na přílohu, v níž jsou uvedeny osoby, aktuálně jmenované do těchto funkcí,
s čísly jejich Osvědčení od NBÚ pro přístup k odpovídajícímu stupni utajení,
případně s údaji o Oznámení; doložení požadované kvalifikace pro kryptografickou
obsluhu; vzory formulářů pro jmenování uvedených osob; zajištění zástupnosti,
kde jsou uloženy identifikátor a aktuální heslo bezpečnostního správce,
administrátora atd. (v zapečetěné obálce v určeném trezoru pro uchovávání
utajovaných informací),
systém bezpečnostního školení – kdo školí, jak
často, že znalost a pochopení bezpečnostních směrnic musí uživatel stvrdit
podpisem, dříve nežli je reálně zaveden do informačního systému a vždy po
pravidelném ročním školení,
požadavek na úroveň bezpečnostní prověrky
pracovníků bezpečnostní správy a správy informačního systému a pracovníků
kryptografické ochrany (je-li využívána).
5. Požadavky na dostupnost
Uvést systém zálohování, jaké konkrétní prostředky pro zálohování budou
používány, kdo odpovídá za vytváření záloh systémového a aplikačního
programového vybavení a datových uživatelských souborů, jaká záložní média budou
používána, jejich stupeň utajení, způsob nakládání s nimi apod.
6. Administrativní bezpečnost
Uvést odkaz na dokument, podle nějž je administrativní bezpečnost v dané organizaci zajišťována, nebo ji popsat. Pokryty musí být rovněž požadavky § 15 VYHLÁŠKY a požadavky bezpečnostní politiky informačního systému.
Shrnout všechny typy používaných počítačových médií, účel používání, jejich
stupeň utajení, způsob evidence, označování.
Uvést zásady pro ukládání
počítačových médií.
Uvést zásady pro ničení počítačových médií –
komisionelní ničení s učiněním záznamu o zničení, soulad se skartačním řádem
organizace, prostředky fyzického ničení a soulad s aktuálními standardy NBÚ,
postup pro pevné disky.
Uvést příslušné administrativní pomůcky
realizující požadavek nepřetržité a prokazatelné odpovědnosti za jednotlivá
počítačová média (např. evidence výdeje/uložení vyměnitelného pevného disku).
Připravit procedury a manuální evidence spojené s identifikací a autentizací
uživatelů, vytvářením auditních záznamů apod., pokud jsou potřebné k naplnění
bezpečnostní politiky informačního systému
Shrnout všechny manuální
evidence a formuláře vedené v informačním systému, kdo je vede, kde jsou
ukládány během používání, kde a jak dlouho jsou uchovávány, jejich vzory, jejich
stupeň utajení.
Obvykle:
seznam uživatelů,
souhrnný seznam osob
spravujících informační systém nebo jednotlivá jmenování,
evidence
provozních počítačových médií (viz. Poznámka 5),
u vyměnitelných HDD
evidence výdeje/příjmu HDD z úschovného objektu, charakteru administrativní
pomůcky,
umístění komponent informačního systému a jejich rozmístění v
stanovených místnostech,
seznam konfigurace HW a příslušného SW,
provozní deník informačního systému – záznamy o opravách a údržbě, o provedení
zálohy systémového programového vybavení či updatu antivirového programu, o
kontrole auditních záznamů a jejich zálohování, o krizových situacích a
bezpečnostních incidentech (s odkazem na příslušnou zpráva o řešení), o dalších
bezpečnostně relevantních událostech, charakteru administrativní pomůcky, s
uvedením data, času, zúčastněných osob a jejich podpisů,
evidence
bezpečnostních školení (prohlášení s podpisy uživatelů).
Podle potřeby:
formuláře pro zavedení/vyřazení uživatele, s datem zavedení
a vyřazení,
evidence nahrazující identifikaci a autentizaci uživatele
a/nebo auditní záznamy, charakteru administrativní pomůcky,
evidence vstupu
do prostor informačního systému, charakteru administrativní pomůcky,
evidence vstupu návštěv, charakteru administrativní pomůcky.
Shrnout položky bezpečnostní provozní dokumentace informačního systému – uvést
seznam směrnic – např. pro bezpečnostního správce, pro uživatele, pro
kryptografickou obsluhu. Jak se distribuuje bezpečnostní dokumentace
informačního systému a jak je klasifikována.
7. Fyzické zabezpečení informačního systému
Popsat zabezpečení všech
prostor, v nichž budou umístěny komponenty informačního systému:
identifikace místnosti, které komponenty v ní jsou a aplikovaná opatření fyzické
bezpečnosti včetně režimových opatření, pro podrobnější popis je možno provést
odkaz na příslušný bezpečnostní projekt nebo směrnici,
zvlášť opatření pro
servery a pro pracovní stanice,
rozmístění jednotlivých zařízení v
místnosti, se zohledněním instalačních požadavků (možnost odezírání utajovaných
informací, požadavky v oblasti kompromitujícího vyzařování podle čl. 8).
Uvést, kdo a v jaké formě povede přehled umístění všech zařízení a jejich
rozmístění v stanovených místnostech (obvykle bezpečnostní správce).
Uvést, jak bude vedena evidence spjatá se vstupem uživatelů do počítačové
místnosti, pokud je vyžadována bezpečnostní politikou informačního systému,
evidenční pomůcky, procedury.
Uvést, jak bude vedena evidence spjatá se
vstupem návštěv do počítačové místnosti, pokud jsou povoleny v bezpečnostní
politice.
Uvést konkrétně, do jakých úschovných objektů budou ukládána výměnná média pro uchovávání utajovaných informací, kde jsou úschovné objekty umístěny a jak je řešeno řízení fyzického přístupu k těmto médiím. Např. pokud jde o vyměnitelné pevné disky, může být zvoleno řešení, kdy přístup do trezoru má pouze bezpečnostní správce, disky jsou tedy vydávány bezpečnostním správcem a jejich použití evidováno. Média mohou vydávat a ukládat také osoby pověřené vedením evidencí utajovaných informací (splňující podmínky pro přístup k utajovaným informacím).
Uvést způsob pečetění krytů počítačů a dalších zařízení, umístění serveru v racku (ochranné skříni apod.).
Uvést umístění informativních štítků na zařízení náležející do informačního systému (identifikace informačního systému a nejvyššího stupně utajení informací, které mohou být v něm zpracovávány).
Zvláštní pozornost věnovat fyzické ochraně kryptografických zařízení, aby odpovídala požadavkům certifikační zprávy a Pravidel pro používání kryptografického prostředku a schválené dokumentaci kryptografické ochrany.
Fyzická ochrana kabeláže LAN a aktivních síťových zařízení
8. Kompromitující vyzařování
Pro informační systém nakládající jen s informací stupně utajení Vyhrazené se tato část neuvádí.
Od stupně utajení Důvěrné výše je třeba v dokumentaci popsat a na výkresech znázornit umístění informačního systému vzhledem k místům, kde by mohlo být nepozorovaně umístěno nepřátelské zařízení pro detekci elektromagnetického vyzařování (většinou se jedná o veřejná parkoviště a prostory které nepatří uživateli informačního systému). Tento popis by měl zahrnovat všechny prostory sousedící s místností, kde je informační systém instalován, jak v horizontální tak i vertikální linii a pokud je informační systém v místnosti s okny, popsat prostor ve směru oken a to do vzdálenosti minimálně 100 metrů od informační systém. Rovněž je třeba popsat předpokládaný rozsah zpracovávání utajovaných informací a jejich časové rozložení. Pro posouzení rizika není rozhodující množství utajovaných informací uložených v informačním systému, ale množství a charakter zpracovávaných utajovaných informací a rozsah, charakter a časové rozložení zpracovávání těchto informací. Riziko z hlediska TEMPEST je spjato především se zobrazováním utajovaných informací na monitoru, jejich vkládáním pomocí klávesnice, tiskem a vypalováním na CD či DVD. Z hlediska časového rozložení je vyšší riziko spjato s pravidelným zpracováváním utajovaných informací nebo zpracováním, jehož zahájení může útočník odvodit z určitých příznaků.
Musí být zohledněny instalační požadavky - většinou dodržení určité vzdálenosti
komponent informačního systému (počítač, monitor, klávesnice, myš, tiskárna
atp.) od metalických vedení a jiných zařízeních (např. běžných telefonů),
orientace monitorů vzhledem k oknům a stěnám místností.
9. Kryptografická ochrana
Uvést jaký kryptografický prostředek bude v informačním systému používán, přesný typ a počty prostředků, jak bude zajišťován klíčový materiál, kde bude umístěn a jak bude zajištěna jeho fyzická bezpečnost, vyškolený personál požadovaný pro jeho provoz, jaké dokumenty pro jeho provoz budou vytvořeny apod.
Komentář
Tato specifická oblast se řídí podle ustanovení § 37 až § 43a a
vyhlášky č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných
informací, ve znění vyhlášky č. 417/2013 Sb. Nasazení kryptografického
prostředku je vhodné konzultovat v OIT NBÚ již ve fázi výběru vhodného zařízení.
Pro každý certifikovaný kryptografický prostředek je k certifikátu pro určitý
stupeň utajení chráněné informace vydána certifikační zpráva a tzv. Pravidla pro
používání kryptografického prostředku, kde se stanovují podmínky pro jeho
nasazení. Uvedená „Pravidla“ poskytuje NBÚ v souladu s principem „need-to-know“.
Na základě těchto dokumentů je třeba zpracovat provozní dokumentaci pro
konkrétní informační systém. Tuto dokumentaci rovněž schvaluje NBU v rámci
certifikace informačního systému a je součástí jeho dokumentace k certifikaci.
POZNÁMKA 7
Během zpracování návrhu bezpečnosti je nutno mít na zřeteli kromě
minimálních požadavků vyplývajících z legislativní úpravy také požadavky
vyplývající z analýzy rizik.
POZNÁMKA 8
V rámci kontroly před vydáním certifikátu informačního systému k
nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího provede
NBÚ odbornou prohlídku z hlediska splnění požadavků na instalaci zařízení a
vyhotoví tzv. instalační záznam. Touto činností může být na základě smlouvy o
zajištění činnosti podle § 51 zákona č. 412/2005 Sb. pověřeno odborné pracoviště
provozovatele informačního systému. Pro informační systém k nakládání s
utajovanou informací stupně utajení Tajné nebo vyššího je dále vyžadována tzv.
obranná prohlídka, kterou provede NBÚ nebo jím pověřené odborné pracoviště.
BEZPEČNOSTNÍ SMĚRNICE INFORMAČNÍHO SYSTÉMU
Pro zajištění bezpečnosti během provozu informačního systému je VYHLÁŠKOU vyžadováno oddělené zpracování bezpečnostních směrnic pro bezpečnostního správce informačního systému, správce informačního systému a pro jednotlivé typy uživatelů informačního systému. Obecně se i v malém informačním systému specifikuje role správce informačního systému, v odůvodněných případech je slučována s rolí bezpečnostního správce informačního systému. Provozní bezpečnostní směrnice musí konkretizovat povinnosti osob při manipulaci s informacemi a informačním systémem v ochraně utajovaných informací.
V dalším textu jsou uvedeny obvyklé povinnosti uživatelů a bezpečnostních
správců/správců informačního systému malých informačních systémů. Tyto seznamy
nepředstavují univerzální a úplný seznam povinností uživatelů a bezpečnostních
správců/správců informačních systémů a je třeba k nim přistupovat z hlediska
požadavků konkrétního informačního systému. Jednotlivé body vyžadují
konkretizaci a rozvedení do potřebných podrobností. Rozdělení povinností mezi
správce informačního systému a bezpečnostního správce informačního systému je
možno modifikovat, s ohledem na úroveň bezpečnostního prověření správce
informačního systému a předpokládané technické znalosti bezpečnostního správce
informačního systému.
Pokud je v informačním systému zavedena další role
související se zabezpečením informačního systému, je nutno navíc specifikovat
povinnosti a procedury s ní spjaté (např. “odpovědný uživatel”, který má ve svém
osobním trezoru uložen výměnný pevný disk a vydává ho stanoveným způsobem malému
okruhu uživatelů z jeho oddělení).
Pojetím bezpečnostních provozních směrnic se v obecnější rovině zabývá také
další metodický materiál NBÚ – Bezpečnostní provozní směrnice informačního
systému.
1. Typické povinnosti bezpečnostního správce
Udržuje aktuální seznam oprávněných uživatelů na základě schématu vymezujícího
způsob, jakým uživatel získá od odpovědného funkcionáře oprávnění pro přístup do
informačního systému, jak je získání tohoto oprávnění sděleno bezpečnostnímu
správci, zápis do seznamu uživatelů, způsob a důvody zrušení autorizace
uživatele.
Zajišťuje, aby fyzický přístup do prostor s komponentami
informačního systému, k vyměnitelným pevným diskům apod. mohli získat jen
oprávnění uživatelé informačního systému (jde i o přidělení klíčů či kódů zámků
dveří do místností s komponentami informačního systému, předmětů vyžadovaných
pro identifikaci a autentizaci, zavedení uživatele do databáze EZS a audit
přístupů do místností a podobné činnosti podle konkrétní situace)
Přiděluje
uživateli uživatelské jméno a prvotní heslo do informačního systému, vytváří
uživatelské účty a spravuje je ve shodě s bezpečnostní politikou, v případě
potřeby mu v této činnosti poskytuje technickou podporu správce informačního
systému.
Ručí za trvalé dodržování schválené konfigurace HW i SW
informačního systému, včetně nastavení bezpečnostních charakteristik operačního
systému a aplikačního SW.
Ručí za dodržování umístění informačního systému
a instalačních požadavků.
Ve shodě s bezpečnostní politikou zkoumá
pravidelně auditní záznamy a předepsané manuální evidence, vytváří záložní kopie
auditních záznamů takovým způsobem, aby bylo umožněno jejich zpětné zkoumání,
obvykle 3 roky nazpět.
Zajišťuje ochranu záložních kopií auditních záznamů
před modifikací nebo zničením.
Zkoumá auditní záznamy a manuální evidence
po bezpečnostním incidentu.
Zkoumá a řeší bezpečnostní incidenty, hlásí je
řediteli organizace (nebo jinému příslušnému funkcionáři).
Zajišťuje
školení uživatelů v oblasti bezpečnosti informačního systému.
Kontroluje
dodržování bezpečnostních směrnic.
Zajišťuje v předepsaném rozsahu
bezpečnost počítačových médií, zejména vyřazování a ničení médií. Popsat
proceduru pro ničení médií a jak se zničení eviduje a další potřené procedury.
Vede potřebné evidence (podle bezpečnostní politiky a návrhu systému, uvést
seznam evidencí).
Zajišťuje kontrolu vstupu návštěv (popsat jakým
způsobem).
Provádí zálohování systémového programového vybavení, zajišťuje
ochranu záložních dat (konkretizovat systém zálohování, kde jsou zálohy ukládány
apod.).
Provádí správu dokumentace bezpečnosti informačního systému (kde je
uložena apod.).
Vydává uživatelům výměnné pevné disky, přenosný počítač
(popsat jak, pokud je ovšem tento postup použit).
Zajišťuje bezpečnost
utajovaných informací v případě oprav počítače, kdy hlavní zásadou je, že
je stanoveno, kým mohou být opravy prováděny (stanovení pracovníci organizace,
stanovená externí firma, případně pouze určití její pracovníci),
před
započetím oprav HW v místě musí být odstraněny z dosahu klasifikované tiskové
výstupy a odstranitelná paměťová média a odpojeno napájení všech zařízení, aby
byly vymazány vyrovnávací paměti,
opravy HW musí být prováděny pod
dohledem bezpečnostního správce a případně dalšího uživatele informačního
systému s dostatečným technickým vzděláním, aby byla vyloučena možnost
modifikovat HW nepovoleným způsobem (vložení neschválené komponenty) a/nebo
možnost neoprávněného přístupu k utajovaným informacím,
porouchané pevné
disky použité v informačním systému nesmí být opravovány nebo připojovány k
jinému systému, mohou být pouze nahrazeny novými a uloženy jako utajovaná
písemnost a posléze zničeny podle platných standardů,
v případě nutnosti
provedení opravy mimo organizaci (bez neustálé přímé kontroly odpovědného
uživatele a/nebo správce informačního systému) musí být z počítače odstraněny
veškeré nevolatilní paměti, používané pro ukládání utajovaných informací.
Dojde-li k havárii operačního systému nebo aplikačního SW, zajistí ve spolupráci
se správcem informačního systému uvedení informačního systému do zabezpečeného
stavu odpovídajícího schválené bezpečnostní dokumentaci informačního systému.
Hraje klíčovou úlohu při řešení základních krizových situací - uvést
povinnosti bezpečnostního správce.
Je-li oblastí působnosti bezpečnostního správce LAN, musí být veškeré povinnosti rozšířeny do síťového prostředí, musí být zahrnuta kontrola neporušenosti kabeláže, aktivních prvků sítě, konfigurace VLAN apod.
Je-li aplikována kryptografická ochrana, přejímá v některých případech i roli pracovníka kryptografické ochrany utajovaných informací podle vyhlášky č. 432/2011Sb., o zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417 Sb. Pro tuto činnost je závazná provozní dokumentace konkrétního kryptografického prostředku.
POZNÁMKA 9
V některých obdobích jsou vydávány aktualizace virových databází
tak často, že stanovená minimální perioda provedení aktualizace je příliš
dlouhá. Pro správce samostatných osobních počítačů je obtížné provádět lokálně
aktualizaci vždy po vydání nové verze antivirového SW a při malém provozu na PC
to může být i zbytečné. V tom případě je nutné zavést postup, kdy v případě, že
na PC má být použito pro vstup informací jakékoliv externí počítačové médium,
oznámí uživatel tuto skutečnost bezpečnostnímu správci, tento zajistí
aktualizaci antivirového SW (a zapíše do provozního deníku) a teprve poté je
médium použito na PC.
2. Správce informačního systému (oblastí činnosti je počítač a připojená zařízení, LAN)
provádí činnost administrátora operačního systému (správce sítě LAN),
stanoveným způsobem zabezpečuje denní provoz informační systém po technické
stránce,
instaluje operační systém, aplikační SW, zajišťuje aktualizaci
antivirového SW,
spolupracuje s bezpečnostním správcem informačního
systému při nastavení bezpečnostních charakteristik operačního systému a
aplikačního SW podle schválené bezpečnostní dokumentace informačního systému,
spravuje uživatelské účty ve spolupráci s bezpečnostním správcem informačního
systému,
spolupracuje s bezpečnostním správcem informačního systému při
vyčištění a zotavení systému po napadení viry,
spolupracuje s bezpečnostním
správcem při uvedení informačního systému do stavu odpovídajícího schválené
bezpečnostní dokumentaci informačního systému po ostatních bezpečnostních
incidentech nebo mimořádných událostech,
nemá možnost modifikovat auditní
záznamy operačního systému ani aplikačního SW,
je-li aplikována
kryptografická ochrana, přejímá v některých případech i roli pracovníka
kryptografické ochrany utajovaných informací podle vyhlášky č. 432/2011 Sb., o
zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č.
417/2013 Sb. Pro tuto činnost je závazná schválená provozní dokumentace
konkrétního kryptografického prostředku.
3. Typické povinnosti uživatele informačního systému
Bezpečnostní směrnice pro uživatele vyžaduje přehledné a srozumitelné
zpracování. Nesmí obsahovat údaje, které uživatel nepotřebuje znát a které by mu
umožnily zneužití informačního systému. Zejména je třeba, aby byl uživatel
informován
o účelu informačního systému,
kde smí pracovat s
utajovanými informacemi, případně v jakém časovém rozpětí během dne,
jaké
je standardní zahájení práce v informačním systému (přístup k¨ počítači,
přihlašovací procedura a postup identifikace a autentizace uživatele, jaká jsou
omezení v počtu chybných přihlášení, délce hesla a době jeho platnosti, délce
PINu čipové karty apod.),
jakou kontrolu HW (případně kabeláže), prostředí
nebo podle okolností i jiných prvků informačního systému má provést před
započetím práce,
jak má zacházet s vyměnitelnými pevnými disky a dalšími
počítačovými médii používanými výhradně v daném informačním systému, že je nesmí
použít mimo daný informační systém a musí s nimi nakládat jako s utajovanými
informacemi,
do jakého úschovného objektu má ukládat klasifikovaná
počítačová média nebo od koho je před započetím práce v informačním systému
získá a komu je po skončení práce vrací k uložení,
jakým způsobem získá
vyměnitelný pevný disk nebo přenosný počítač nebo jiný HW systému před započetím
práce, jakým způsobem ho opět vrací, s tím spjaté povinnosti a evidence,
v
jaké oblasti pevného disku může/má ukládat uživatelské soubory, případně že je
na pevný disk ukládat nesmí/nemůže apod.,
jak musí/může zálohovat
uživatelská data a na jaká média, jak musí chránit záložní média,
jak se
chovat k návštěvě, jak k pracovníkům úklidu (aby to vyhovovalo bezpečnostní
politice a návrhu bezpečnosti),
o své povinnosti dodržovat schválenou
konfiguraci HW a SW,
o své povinnosti hlásit poruchy HW i SW, výskyt
bezpečnostního incidentu nebo podezření na možnost kompromitace utajovaných
informací bezpečnostnímu správci,
o tom, jaké základní bezpečnostní
incidenty se mohou vyskytnout a jak má bezprostředně reagovat, pokud to typ
události vyžaduje, před kontaktem s bezpečnostním správcem,
o zavedené
ochraně USB portů, zejména v souvislosti s používáním USB paměťových zařízení
(„klíčenky“, disky),
o postupu pro export informací z informačního systému
na počítačovém médiu, pokud je uživateli povolen, např.:
médium musí být
označeno nejvyšším stupněm utajení obsažené informace, do příslušné mechaniky se
vkládá bezprostředně před aplikací uvedeného příkazu a vyjme se z ní ihned po
jeho provedení, předání média se řídí pravidly administrativní bezpečnosti pro
utajované informace,
při výstupu utajovaných informací nižších stupňů
utajení (resp. neutajovaných) na počítačové médium odpovídajícího stupně utajení
(resp. neutajované) je povinností uživatele posoudit osobně obsah souboru a
ujistit se o nižším stupni utajení (resp. neutajovanosti) obsažených informací,
médium musí být označeno stupněm utajení obsažené informace, předání se řídí
pravidly administrativní bezpečnosti pro utajované informace,
podle
potřeby je možno předepsat, že export informací na počítačových médiích povoluje
v určených případech bezpečnostní správce nebo vedoucí pracovník, apod.
POZNÁMKA 10. Windows 2000, Windows XP, Windows 2003, VISTA, Windows 2008 a vyšší verze Windows již nepřenášejí celé bloky dat, soubory je možno kopírovat běžným způsobem; pokud starší operační systém přenáší celé bloky, pak pro předání určitých informací z informačního systému na počítačovém médiu jinému subjektu je třeba použít nové čisté médium (nebo poskytnuté tímto subjektem) a ukládat soubory příkazem typu Uložit (Save) z aplikací.
o postupu pro import informací do informačního systému prostřednictvím
počítačového média, např.:
import informace stupně utajení vyššího, nežli
je nejvyšší stupeň utajení, pro který je informační systém určen, je zakázán,
je-li importována informace stupně utajení nižšího (resp. neutajovaná) na
médiu odpovídajícího stupně utajení, je nutno ochránit toto médium před zápisem
a vložit je do mechaniky jen na dobu nezbytně nutnou pro načtení informace,
pokud ochrana před zápisem není možná nebo nebyla správně aplikována, musí být
dané médium překlasifikováno na nejvyšší stupeň utajení, se kterým se v daném
informačním systému nakládá,
o povinnosti označit tiskové výstupy stupněm utajení a dalšími náležitostmi
podle požadavků administrativní bezpečnosti a zajistit neprodleně jejich
zaevidování v knize utajovaných písemností,
o postupech při ničení a
skartaci médií a příslušných pravidlech administrativní bezpečnosti,
o
předepsaném postupu při nutnosti opustit počítač v běhu, povolená lhůta,
o
proceduře pro standardní bezpečné ukončení práce v informačním systému - veškeré
povinnosti týkající se počítače, periférií, místnosti, klíčů, EZS atd.
o
správném používání hesla, jak ho tvořit, že ho nesmí sdílet, prozradit atd.,
o ochraně, kterou musí poskytovat magnetické nebo čipové kartě (případně jiným
pomůckám) využívané pro identifikaci a autentizaci uživatele v informačním
systému,
o způsobu používání klíčů od místnosti, systému elektrické
zabezpečovací signalizace, systému elektronické kontroly vstupu, podle konkrétní
situace, je možno řešit i odkazem na příslušný bezpečnostní projekt objektové a
technické bezpečnosti,
o tom, jaké základní mimořádné (krizové) situace
mohou nastat a jaké jsou jeho povinnosti při jejich řešení,
o všech svých
dalších povinnostech vyplývajících z bezpečnostní politiky informačního systému
a návrhu její realizace (např. povinnost provádět bezpečné vymazávání
utajovaných informací z pevného disku a způsob, jakým tuto povinnost splnit,
povinnost upozornit bezpečnostního správce na záměr použít externí médium ve
smyslu Poznámky 7),
v potřebné míře o okolnostech umožňujících mu pochopení
jeho povinností.
Povinnosti uživatele v oblasti obsluhy kryptografického prostředku využívaného v
informačním systému jsou obvykle popsány ve zvláštní bezpečnostní směrnici, v
jednoduchých případech mohou být součástí bezpečnostní směrnice uživatele.
Uživatel musí být informován o rozsahu ochrany, kterou poskytuje kryptografický
prostředek jeho datům (např., že je šifrován automaticky obsah celého pevného
disku a/nebo veškerá informace vystupující na CD/DVD/disketu, že je zašifrován
určitý soubor po stisknutí příslušné klávesy nebo provedení jiné definované akce
uživatele).
POZNÁMKA 11
Uživateli informačního systému je nutno poskytnout potřebné
školení, aby byl schopen provádět činnost vyžadovanou bezpečnostními směrnicemi
a efektivně využívat informační systém. Důraz je třeba klást na to, aby
uživatelé pochopili jednotlivá bezpečnostní opatření a důvody jejich zavedení.
Možné řešení krizových situací a bezpečnostních incidentů
Jde-li o situaci, která přímo nesouvisí s funkcí HW a SW, je základním opatřením
ukončit činnost systému, vyjmout veškerá počítačová média z počítače, vypnout
počítač a připojená zařízení (vyprázdnění volatilních pamětí) a uložit
počítačová média, dokumenty s utajovanými informacemi i dokumentaci informačního
systému do příslušného úschovného objektu. Není-li to v době výskytu mimořádné
události možné, je třeba uchovat veškeré nosiče utajovaných informací v osobní
péči oprávněného uživatele informačního systému, oprávněné osoby nebo
bezpečnostního správce informačního systému, do doby, kdy je možno je uložit
podle zásad ochrany utajovaných informací.
Pokud situace vyžaduje zásah
nepovolaných osob, musí být zamezeno neoprávněnému přístupu k utajovaným
informacím a zařízením informačního systému, zásahu (hasičů, instalatérů,
příslušníků bezpečnostní služby zajišťujících fyzickou ostrahu apod.) musí být
přítomen bezpečnostní správce nebo oprávněný uživatel informačního systému nebo
statutární zástupce, bezpečnostní tajemník apod.
Pokud jde o poruchu HW, SW nebo výskyt počítačového viru, přeruší uživatel práci s informačním systémem a přivolá bezpečnostního správce, který situaci vyřeší.
Opravy HW se musí provádět pod dohledem bezpečnostního správce informačního systému a tak, aby se technik provádějící opravu nemohl seznámit s utajovanými informacemi a zároveň, aby nemohlo dojít k narušení schválené konfigurace informačního systému. Bez svolení bezpečnostního správce nesmí technik přinést ani odnést žádnou komponentu informačního systému ani počítačové médium.
Údržba SW, řešení selhání operačního systému nebo aplikačního SW a řešení virového incidentu musí být prováděno buďto správcem informačního systému (administrátorem) prověřeným pro nejvyšší stupeň utajení informací zpracovávaných v informačním systému nebo bezpečnostním správcem informačního systému. Výsledkem činnosti musí být uvedení informačního systému do zabezpečeného stavu podle bezpečnostní dokumentace informačního systému.
Výjimečně může tuto správu provádět osoba prověřená pouze pro nižší stupeň utajení, avšak pod stálým dohledem bezpečnostního správce. V tom případě obnovení systému a aplikačního SW provede z instalačních médií uložených u bezpečnostního správce a neodnáší žádné médium.
O každé z mimořádných situací nebo z bezpečnostních incidentů musí být
bezpečnostním správcem pořízen zápis, s uvedením dne a doby výskytu, způsobem
řešení, jmen zúčastněných osob, podepsaný zúčastněnými osobami. Zápis je dán na
vědomí i statutárnímu orgánu, který z něj vyvodí i akce, vyžadované případně
zákonem.
Základní pokyny pro práci s hesly
Heslo je kombinací velkých a malých písmen a nejméně jedné číslice a
oddělovacích symbolů (včetně mezery), nesmí být použito slovo některého běžného
jazyka, musí začínat písmenem,
heslem nebo jeho součástí nesmí být jméno
jeho nebo jeho blízkých, číslo jeho průkazu apod.,
své heslo musí uživatel
chránit obdobně jako utajovanou informaci nejvyššího stupně utajení, jaký je v
informačním systému zpracováván,
dočasné opuštění pracovní stanice během
pracovní doby je možné pouze po uzamčení stanice (např. CTRL-ALT-DEL a volba
”Uzamknout stanici”),
své heslo nesmí uživatel sdílet s jiným uživatelem,
v systému pro zpracování utajovaných informací nesmí být používáno stejné
heslo, jako v jiných systémech,
pro Systémy MS Windows heslo administrátora
pro účet Administrator (přejmenovaný) je uloženo v zalepené obálce v úschovném
objektu,
pro UNIX-ové systémy heslo superuživatele je uloženo v zalepené
obálce v úschovném objektu,
administrátor používá účet Administrator nebo
účet s právy superuživatele jen pro správu operačního systému, pro své
uživatelské aktivity užívá jiného účtu, podle principu nejmenších privilegií.