Bezpečnostní politiky

Minimální obsah bezpečnostní dokumentace pro malé informační systémy
pro zpracování utajovaných informací
(verze 3.00)

Následující návod je určen pro informační systém pro nakládání s utajovanými informacemi, realizovaný na jednom nebo několika samostatných osobních počítačích nebo v lokální počítačové síti (LAN) malého rozsahu, v bezpečnostním provozním módu vyhrazeném nebo s nejvyšší úrovní, případně s nejvyšší úrovní s formálním řízením přístupu k informacím. Cílem je zejména usnadnit vytvoření koncepce zabezpečení a bezpečnostní provozní dokumentace pro účely certifikace informačního systému vlastními silami žadatele.

POZNÁMKA 1
Pro informační systém založený na použití jednoho nebo více samostatných osobních počítačů se vynechají části týkající se komunikací a jejich zabezpečení.

POZNÁMKA 2
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 255/2011 Sb. je v dalším textu uváděn jako zákon č. 412/2005 Sb.

POZNÁMKA 3
Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci stínicích komor, ve znění vyhlášky č. 453/2011 Sb. je v dalším textu uváděna jako VYHLÁŠKA.

POZNÁMKA 4
Během certifikačního procesu poskytuje odbor informačních technologií žadatelům o certifikaci informačního systému potřebné konzultace, nastavení bezpečnostních charakteristik operačních systémů Windows, bezplatné měření kompromitujícího vyzařování, informace k bezpečnému používání USB zařízení, k možnostem bezpečného vymazávání informací, k možnostem kryptografické ochrany, k zabezpečení kabeláže LAN a pomoc při řešení dalších bezpečnostních problémů.


BEZPEČNOSTNÍ POLITIKA INFORMAČNÍHO SYSTÉMU

1. Úvod

Stručný popis informačního systému

Uvést
 počet samostatných osobních počítačů a zahrnutá periferní zařízení nebo stručně popsat LAN (předpokládaný rozsah, pracovní stanice, servery a jejich role, periferní zařízení, síťové tiskárny a skenery, logická topologie sítě, model komunikace aj.),
 nejvyšší stupeň utajení zpracovávaných informací,
 zvolený bezpečnostní provozní mód,
 základní účel zpracování utajovaných informací a aplikační SW,
 předpokládaný počet uživatelů,
 předpokládaný rozsah zpracování utajovaných informací,
 použitý operační systém (systémy),
 vztah k jiným počítačovým sítím (u samostatných osobních počítačů např. vyjmutí síťové karty, zákaz použití modemu, u LAN zpravidla izolace od jiných počítačových sítí),
 rámcově zásady pro umístění informačního systému z hlediska fyzické bezpečnosti, včetně aktivních prvků LAN a vedení datových rozvodů,
 u samostatných osobních počítačů, zda je pevný disk vyměnitelný nebo zabudovaný, u LAN případné použití vyměnitelných pevných disků v serverech a pracovních stanicích, využití bezdiskových pracovních stanic, terminálů apod.
 v případě záměru použití kryptografických prostředků uvést účel.


2. Bezpečnostní cíle

Uvést následující teze:
 Bezpečnostní cílem spojeným s využíváním informačního systému je zajištění důvěrnosti a integrity utajované informace všude, kde se vyskytuje, dostupnosti informace a služeb informačního systému a odpovědnosti uživatele informačního systému za jeho činnost v něm, dále nepopiratelnosti a pravosti informací, kde je to aplikovatelné.
 Zpracování utajovaných informací musí probíhat v souladu s požadavky zákona č. 412/2005 Sb. a s příslušnými vyhláškami NBÚ v platném znění.
 Uvedou se i další právní předpisy, normy, mezinárodní smlouvy a s nimi spjaté bezpečnostní požadavky, nadřízené bezpečnostní politiky, interní předpisy apod., které musí informační systém splňovat.

3. Personální bezpečnost (zákon č. 412/2005 Sb. a § 16, § 17, § 18 a § 19 VYHLÁŠKY)

 Deklarovat požadavky na uživatele:
 splnění podmínek přístupu fyzické osoby k utajované informaci stupně utajení odpovídajícího nejvyššímu stupni utajení informace, která může být v informačním systému zpracovávána (§ 6 nebo § 11 zákona č. 412/2005 Sb.),
 získání autorizace pro přístup k informacím prostřednictvím daného informačního systému,
 další podle potřeb organizace.

 Deklarovat zavedení formálních postupů pro udělení oprávnění pro přístup do informačního systému, zavedení uživatele do informačního systému, pro včasné vyřazení uživatele při zániku jeho Osvědčení nebo Oznámení, změně jeho pracovního zařazení, odchodu z organizace apod. K tomu vedení seznamu oprávněných uživatelů informačního systému.

 Deklarovat, že povinnosti uživatelů budou stanoveny v bezpečnostní provozní dokumentaci informačního systému. Uživatelé budou pro svou činnost v informačním systému proškoleni, znalost dokumentace v příslušném rozsahu potvrdí před zavedením do informačního systému svým podpisem.

 Deklarovat zásadu, že přístup do informačního systému je založen na jedinečném identifikátoru uživatele v rámci informačního systému. V případě potřeby používání společného účtu pro více uživatelů uvést její zdůvodnění a deklarovat, že bude zaveden postup umožňující určit, který uživatel/bezpečnostní správce/správce informačního systému v dané době daný identifikátor používal (předpokládá se zejména ve stálém provozu na operačních střediscích).

 Uvést požadované funkce pro správu informačního systému:
 Funkce (role) bezpečnostního správce, předpokladem je splnění podmínek pro přístup fyzické osoby k utajované informaci minimálně pro nejvyšší stupeň utajení informace, zpracovávané v informačním systému. Povinnosti bezpečnostního správce informačního systému budou uvedeny v příslušné bezpečnostní směrnici. Uvést, zda je požadováno splnění požadavků pro přístup fyzické osoby k utajované informaci vyššího stupně utajení (§ 16 odst. 3 VYHLÁŠKY), pokud ne, odůvodnit.
 Funkce (role) správce informačního systému (administrátor spravující operační systémy a aplikační programové vybavení, síťové prostředí, případně provádějící jednoduchou HW údržbu), předpokladem je splnění podmínek pro přístup fyzické osoby k utajované informaci minimálně pro nejvyšší stupeň utajení informace, zahrnuté v informačním systému. Povinnosti správce informačního systému budou uvedeny v příslušné bezpečnostní směrnici. Uvést, zda je požadováno splnění požadavků pro přístup fyzické osoby k utajované informaci vyššího stupně utajení (§ 16 odst. 4 VYHLÁŠKY), pokud ne, odůvodnit.
 Deklarovat případné sloučení obou funkcí a odůvodnit je.
 V případě informačního systému sestávajícího ze samostatných pracovních stanic rozmístěných v různých lokalitách, zajištění centrální a lokální správy informačního systému.
 V případě potřeby, např. při využívání kryptografické ochrany utajovaných informací nebo správě komunikační části LAN zavedení dalších funkcí (rolí).
 Zajištění zástupnosti v bezpečnostní správě a správě informačního systému.

4. Splnění minimálních požadavků počítačové bezpečnosti

Uvést minimální bezpečnostní požadavky počítačové bezpečnosti podle § 7 a § 8 VYHLÁŠKY, podle zvoleného bezpečnostního provozního módu a nejvyššího stupně utajení:

 Jednoznačná identifikace a autentizace uživatele
 prostředky operačního systému s vhodným nastavením bezpečnostních parametrů - minimální délka hesla 8 znaků, doba platnosti hesla zpravidla maximálně 6 měsíců, uzamčení stanice nejdéle po 30-ti minutové nečinnosti, povolení nejvýše tří neplatných pokusů o přihlášení během 60 minut, nepovolit opakování posledních nejméně 3 hesel uživatele, vynucení změny hesla přiděleného administrátorem při prvém přihlášení uživatele do systému, atd.
 případně dále i na aplikační úrovni (vstup do kritické aplikace),
 se zajištěním re-autentizace uživatele po stanovené době nečinnosti nebo krátkodobém opuštění zapnutého samostatného osobního počítače nebo pracovní stanice,
 se zajištěním ochrany důvěrnosti a integrity autentizační informace během přenosu sítí.

 Volitelné řízení přístupu k objektům informačního systému
 prostředky operačního systému,
 případně dále na aplikační úrovni,
 v bezpečnostním provozním módu vyhrazeném uplatnit pouze požadavek oddělení uživatelů od systémových souborů a prostředků a správců systému (pokud nejsou zároveň uživateli informačního systému) od uživatelských dat,
 v bezpečnostním provozním módu s nejvyšší úrovní pravidla pro řízení přístupu k objektům informačního systému (např. vytvoření domovských, adresářů pro jednotlivé uživatele v jejich vlastnictví, skupiny uživatelů a vytvoření sdílených adresářů pro skupiny uživatelů, přistup k aplikačnímu SW …), vhodné oddělení uživatelů od systémových souborů a prostředků a správců systému (pokud nejsou zároveň uživateli informačního systému) od uživatelských dat,
 v bezpečnostním provozním módu s nejvyšší úrovní s formálním řízením přístupu k informacím způsob realizace centrální správy řízení přístupu.

 Vytváření auditních záznamů, jejich ochrana a zkoumání
 prostředky operačního systému s vhodným nastavením bezpečnostních parametrů – zpravidla zaznamenávat úspěšné i neúspěšné pokusy o přihlášení do systému, správu uživatelů a skupin, změnu v metodě zabezpečení a neúspěšné pokusy o přístup k souborům a objektům, o použití přístupových práv, selhání restartu a vypnutí nebo sledování procesu,
 pokud operační systém neumožňuje automatické vytváření auditních záznamů, mohou být ve výjimečných případech nahrazeny manuální evidencí, umožňující jednoznačně určit, který uživatel a kdy v systému pracoval - např. uživatel se zapíše (nebo je zapsán a potvrdí svou přítomnost podpisem) do provozního deníku s datem a dobou práce v informačním systému; politika určí rámcově i způsob vedení takových evidencí, jejich ochranu před modifikací nebo zničením, dobu archivace apod.; může jít o evidenci fyzického vstupu do místnosti, převzetí výměnného HDD apod.; použitelné výlučně pro samostatná PC,
 případné vytváření auditních záznamů i na aplikační úrovni,
 zásada omezení přístupu uživatelů k auditním záznamům, spravovány jsou bezpečnostním správcem; politika také určuje, jak často se mají kontrolovat auditní záznamy, v jaké formě, kde a jak dlouho mají být uchovávány pro zpětné zkoumání, kdo má přístup k auditním záznamům; zpravidla se vyžaduje kontrola nejméně jednou měsíčně a pořizování záložních kopií auditních záznamů a jejich uchovávání takovým způsobem, aby byly přístupné pro zpětné zkoumání po dobu nejméně 3 let, přičemž po celou dobu musí být chráněny před modifikací a zničením.

 Opakované použití objektů – je řešeno operačním systémem (řeší systémy Microsoft Windows od W NT 4.0 výše, UNIXové systémy), pro počítačová média stanovením pravidel pro deklasifikaci a ničení médií.

5. Komunikační bezpečnost (pouze pro LAN, § 9 VYHLÁŠKY)

Zabývat se zejména následujícími oblastmi:
 způsob ochrany důvěrnosti a integrity informací během přenosu v LAN
- prostředky fyzické bezpečnosti podle odst. 4 § 9 VYHLÁŠKY nebo
- nasazením kryptografického prostředku certifikovaného pro ochranu utajovaných informací stupně utajení odpovídajícího stupni utajení chráněné informace nebo vyššího podle odst. 6 § 9 VYHLÁŠKY nebo
- záměr využití odst. 7 § 9 VYHLÁŠKY a jeho odůvodnění,

 zásady pro I&A v síťovém prostředí a ochranu přístupových hesel (fyzická ochrana linek a jejich pravidelná kontrola, kryptografický prostředek, pokročilá autentizační technika zajišťující šifrování hesel nebo využívající heslo na jedno použití apod.),
 zásady pro ochranu síťových prvků, jako jsou rozbočovače, mosty, přepínače, směrovače (fyzická ochrana, manuální plnění tabulek a statický režim),
 zásady pro připojení LAN k externím sítím (ve většině případů úplná izolace LAN, vyloučení propojení na Internet, zákaz modemových připojení, zákaz WiFi apod.),
 požadavky na používání utilit pro správu LAN, kontrolu integrity SW vybavení apod.,
 pro síťové protokoly a služby uplatňovat zásadu “co není explicitně povoleno, je zakázáno”.

Zásadou je, že datové rozvody pro přenos utajovaných informací v otevřeném (nezašifrovaném) tvaru je nutno vést tak, aby vycházely mimo zabezpečené oblasti kategorie odpovídající stupni utajení chráněné informace jen v dobře odůvodněných situacích (např. nepřiměřené náklady, technické důvody). Nešifrované sekce mimo odpovídající zabezpečenou oblast mají být co nejkratší a být vedeny objektem odpovídající kategorie, zabezpečenou oblastí jiné kategorie nebo objektem jiné kategorie. K této problematice je zpracováván jiný metodický materiál.

6. Kryptografická ochrana

Tato část se zařazuje pouze v případě, že bude v informačním systému provozován kryptografický prostředek certifikovaný podle zákona č. 412/2005 Sb. Je třeba uvést, zda kryptografický prostředek bude použit pro ochranu utajované informace uložené na počítačovém médiu nebo pro ochranu komunikací a deklarovat zajištění souladu se zákonem č. 412/2005 Sb. a vyhláškou č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417/2013 Sb.

7. Požadavky na dostupnost (§ 10 VYHLÁŠKY).

Rozvést požadavky na dostupnost informace a služeb informačního systému - v čase a místě, jak dlouho smí být služby nedostupné, jaká minimální funkčnost musí být zajištěna i v krizových situacích, redundance HW a SW, plánování kapacit, plán obnovení činnosti informačního systému po havárii …


8. Analýza rizik a další bezpečnostní opatření (§ 11 VYHLÁŠKY)

Na základě analýzy rizik stanovit další bezpečnostní opatření, pro vnější hrozby nepokryté již identifikovanými požadavky a případně sílu mechanismů, kterými mají být (vzhledem ke zvýšenému riziku) bezpečnostní funkce realizovány (např. identifikace a autentizace nikoliv jen na základě uživatelského jména a hesla, ale pomocí tokenu).
Jednou z hrozeb specifických pro osobní počítač je, že k němu neoprávněná osoba získá fyzický přístup i přes použitá opatření fyzické bezpečnosti a poté buďto odcizí, poškodí nebo zničí počítačové médium s utajovanými informacemi nebo HW vybavení, získá logický přístup do systému (např. nabootování z externího média) umožňující narušení systémového a aplikačního programového vybavení a manipulaci s utajovanými informacemi, získá informaci uloženou na zcizeném pevném disku přímo nebo speciálními prostředky v případě zbytkových informací.

V souvislosti s tím je nutno pro samostatný osobní počítač nebo pracovní stanici vyřešit (adekvátně skutečné úrovni rizik)
 ochranu utajované informace, která by zůstala uložena v počítači, je-li ponechán buďto po určitou dobu zapnutý bez obsluhy autorizovaného uživatele nebo vypnutý po ukončení práce v informačním systému (neoprávněné odkrytí, modifikace, zničení utajované informace, tedy ohrožení důvěrnosti, integrity a dostupnosti utajované informace),
 ochranu integrity HW (neoprávněná modifikace, např. vložení škodlivé komponenty, zničení, tedy ohrožení důvěrnosti, integrity a dostupnosti utajované informace a dostupnosti služeb systému),
 ochranu integrity operačního systému (neoprávněné vložení škodlivého kódu, modifikace systémových souborů apod., tedy ohrožení důvěrnosti, integrity a dostupnosti utajované informace a dostupnosti služeb systému),
 ochranu integrity aplikačního SW - podobně jako operačního systému,
 ochranu utajovaných informací uložených na výměnných počítačových médiích,
 ochranu USB portů.

Pro LAN je nutno zabývat se dále riziky spjatými se serverem, dalšími aktivními prvky sítě a samotnou kabeláží, zejména vyřešit adekvátní
 ochranu LAN před fyzickým poškozením nebo neoprávněnou modifikací kabeláže a odposlechem na linkách (přenášené informace, autentizační informace),
 ochranu rozbočovačů, mostů, přepínačů, směrovačů před fyzickým poškozením a neoprávněnou modifikací jejich konfigurace,
 ochranu integrity HW serveru, integrity operačního systému i aplikačního SW na serveru, podobně jako pro samostatný osobní počítač,
 ochranu autentizační informace přenášené v LAN,
 ochranu utajovaných informací přenášených v LAN,
 ochranu utajovaných informací uložených na pevných discích (diskovém poli) serveru.

Během analýzy rizik je třeba zvažovat, pro jaké možné útočníky mají zpracovávané utajované informace hodnotu a jaký typ útoku by pravděpodobně byli schopni a ochotni podniknout, případně určit zbytkové riziko a jeho přijatelnost z hlediska jeho možného dopadu a nápravy vzniklých škod.
Na základě analýzy rizik musí být stanoveny bezpečnostní požadavky jako je zahrnutí nadstandardních prvků fyzické bezpečnosti, použití bezdiskových pracovních stanic, pracovních stanic a samostatných PC s výměnnými HDD, serverů s výměnnými HDD, pokročilých technik identifikace a autentizace, kryptografické ochrany utajovaných informací uložených na pevných discích nebo přenášených komunikačními kanály (certifikovanými kryptografickými prostředky zajišťujícími deklasifikaci utajovaných informací nebo necertifikovanými prostředky jako doplňkové opatření), statický režim (statické adresní tabulky) pro huby, switche, routery apod.
Analýza rizik ovlivňuje také míru požadavků na ochranu v oblasti kompromitujícího elektromagnetického vyzařování, zejména v případě zpracování informací stupně utajení Důvěrné.

9. Fyzická bezpečnost

Uvést zásady fyzického zabezpečení informačního systému v závislosti na tom, zda na daném zařízení se informace pouze zpracovávají a zobrazují nebo i ukládají (VYHLÁŠKA a vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění vyhlášky č. 19/2008 Sb. a vyhlášky č. 454/2011 Sb.) a na výsledcích analýzy rizik.
 Použití bezdiskových pracovních stanic, pracovních stanic a osobních počítačů s výměnnými HDD, kryptografické ochrany apod. snižuje nutnou úroveň fyzického zabezpečení.
 Jsou-li používány pracovní stanice nebo servery se zabudovaným pevným diskem, na který jsou ukládány utajované informace (nebo nelze jejich uložení v pracovních oblastech disku vzhledem k používanému SW vyloučit) pak musí být tyto počítače umístěny v zabezpečené oblasti kategorie odpovídající stupni utajení jejího pevného disku, přičemž tato zabezpečená oblast musí splňovat standardy NBÚ pro fyzickou bezpečnost pro případ, že v ní jsou utajované informace ukládány v informačním systému (viz Příloha č. 1 k vyhlášce č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků ve znění vyhlášky č. 454/2011 Sb., kapitoly 12 a 13, Příloha č. 3 k VYHLÁŠCE). Tento požadavek platí i pro k nim připojená disková pole.
 Neopomenout stanovit zásady fyzické ochrany pro datové rozvody LAN a aktivní prvky sítě a pro kontrolu jejich neporušenosti.
 Na základě analýzy rizik stanovit opatření jako je pečetění HW, použití ochranných skříní pro HW, zvýšené požadavky fyzické bezpečnosti pro serverovnu (nadstandardní prvky vzhledem ke stupni utajení informací) apod.
 Uvést požadavek ochrany zařízení před riziky prostředí (prach, voda, oheň, živelní katastrofa atd., podle analýzy rizik).
 Fyzickou bezpečnost pro informační systém je nutno popsat, nebo uvést odkaz na jinou dokumentaci (např. schválený projekt fyzické bezpečnosti objektu), která ovšem musí být přístupná NBÚ i uživatelům podle potřeby.
 Uvést požadavek, že výpočetní technika musí být umístěna tak, aby bylo znemožněno odezírání utajovaných informací z obrazovek, klávesnic a periferních zařízení nepovolanými osobami.
 Je třeba zahrnout také požadavek označit zařízení náležející do určitého informačního systému štítkem s identifikací tohoto informačního systému a nejvyšším stupněm utajení informací, které mohou být v daném informačním systému zpracovávány.

Komentář
Soubor bezpečnostních požadavků pro určitý informační systém se vytváří z minimálních bezpečnostních požadavků, z požadavků vyplývajících z použitého bezpečnostního provozního módu a z nejvyššího stupně utajení utajovaných informací, který může být v informačním systému zpracováván, a z požadavků odvozených z analýzy rizik provedené pro tento informační systém (nebo typ informačního systému).
Fyzickou bezpečností pro informační systémy se rámcově zabývá § 20 VYHLÁŠKY. Podle něho se během certifikace informačního systému stanovuje, které komponenty informačního systému musí být umístěny v zabezpečené oblasti nebo objektu a jejich kategorie.
Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění vyhlášky č. 19/2008 Sb. a vyhlášky č. 454/2011 Sb., stanoví bodové ohodnocení jednotlivých opatření fyzické bezpečnosti a nejnižší míru zabezpečení zabezpečené oblasti. Bodové ohodnocení parametrů SS1 a SS2 pro komponenty informačního systému je uvedeno v příloze č. 3 VYHLÁŠKY.
O konkrétní realizaci zvýšení úrovně fyzické bezpečnosti se potom rozhoduje v rámci certifikace informačního systému, vhodné řešení se hledá s uvážením charakteru zpracovávaných utajovaných informací a se snahou o co nejnižší dodatečné náklady, s přihlédnutím k možnostem žadatele o certifikaci.
Zabezpečené oblasti všech kategorií jsou v rámci bezpečnostní prověrky podnikatele často hodnoceny ještě bez zahrnutí možnosti, že v nich bude umístěn informační systém, který vyžaduje certifikaci.


10. Kompromitující vyzařování

Komentář

Požadavkem ochrany informačního systému proti úniku utajovaných informací prostřednictvím kompromitujícího vyzařování se zabývá § 14 zákona č. 412/2005 Sb. Jeho současné znění je následující:
Odst. 1: Komponenty informačního systému, které nakládají s utajovanými informacemi stupně utajení Důvěrné nebo vyššího a zabezpečená oblast nebo objekt, ve kterém se v informačním systému zpracovávají utajované informace stupně utajení Důvěrné nebo vyššího, musí být zabezpečeny takovým způsobem, aby kompromitující vyzařování nezpůsobilo únik utajované informace.
Odst. 2: Požadavky na zabezpečení proti kompromitujícímu vyzařování jsou závislé na stupni utajení utajované informace, se kterou informační systém nakládá a jsou stanoveny v bezpečnostním standardu.
Odst. 3: Instalace informačního systému, který nakládá s utajovanou informací stupně utajení Důvěrné nebo vyššího, z hlediska jeho zabezpečení proti kompromitujícímu vyzařování musí být provedena v souladu s požadavky bezpečnostního standardu. Záznam o instalaci komponent informačního systému se vkládá do bezpečnostní dokumentace informačního systému. Obsah a forma záznamu jsou stanoveny v bezpečnostním standardu.

V současné době jsou v platnosti 2 standardy NBÚ pro tuto oblast – Bezpečnostní standard NBÚ-1/2007, Klasifikace prostorů z hlediska kompromitujícího elektromagnetického vyzařování, verze 1.0 z roku 2007 a Bezpečnostní standard NBÚ-2/2007, verze 2 z roku 2011, Instalace zařízení z hlediska kompromitujícího elektromagnetického vyzařování. Oba tyto standardy jsou klasifikovány stupněm utajení Důvěrné a jsou šířeny přísně podle zásady „need-to-know“. Dále jsou využívány utajované standardy NATO a EU.

Problematikou se zabývají také § 30 až § 36 VYHLÁŠKY.

Kompromitující vyzařování je elektromagnetické, akustické nebo optické vyzařování elektrických a elektronických zařízení, které by mohlo způsobit únik utajované informace. S definicí kompromitujícího vyzařování úzce souvisí termín TEMPEST, což je odborný termín vztahující se ke zjišťování a zkoumání kompromitujícího elektromagnetického vyzařování, což jsou vlastně neúmyslně vyzářené elektromagnetické signály, které, pokud jsou zachyceny a analyzovány, mohou odhalit (prozradit) obsah zpracovávané informace (např. zobrazované na monitoru nebo tištěné na tiskárně).
Elektronická zařízení vzhledem ke své konstrukci a použité technologii jsou citlivá na vnější rušení a sama také elektromagnetickou energii (rušení) vyzařují. Pokud elektronická zařízení (která jsou vždy součástí informačních systémů) zpracovávají informace, může jimi vyzařovaná energie v sobě nést zpracovávanou informaci.
Proto u informačních systémů, které zpracovávají utajované informace, je třeba při jejich návrhu, instalaci a provozu dodržet jistá pravidla, která snižují riziko úniku utajované informace formou tohoto kompromitujícího elektromagnetického vyzařování.
V ČR je aplikován tzv. "zónový princip", při němž se hodnotí jednak jednotlivé komponenty nebo celý informační systém (tzv. třída zařízení - 0, 1 nebo 2) a dále prostory, ve kterých je informační systém umístěn (tzv. zóna - 0, 1 nebo 2). Bezpečnostní standardy stanoví pro zpracování utajované informace v závislosti na jejím stupni utajení možné kombinace třídy zařízení a zóny prostoru, v němž je umístěno.
Již v etapě záměru vybudovat informační systém pro zpracování utajovaných informací stupně utajení Důvěrné nebo vyššího je doporučováno vybrat vhodně prostory pro jeho umístění. Je nutné zohlednit nejen požadavky na fyzickou bezpečnost, ale také požadavky na TEMPEST. Vhodně zvolené umístění informačního systému například i v rámci jedné budovy, může znamenat lepší zónu daného prostoru a snižuje tak požadavky na třídu použitých prostředků a tím výrazně i finanční náklady.
Kromě toho existují i požadavky na rozmístění komponent informačního systému v rámci vybraného prostoru. Tyto požadavky jsou uvedeny v bezpečnostních standardech NATO, EU a NBÚ a udávají především požadované vzdálenosti informačního systému od ostatních metalických vedení (např. telefonní linky, silová a signálová vedení, vytápění, klimatizace aj.) a jiných elektronických zařízení, které je nutné dodržovat.
Hodnocení zařízení a prostorů provádí v NBÚ pracoviště TEMPEST na základě vlastních měření nebo měření provedených na odborném pracovišti, se kterým má/bude mít NBÚ uzavřenou smlouvu o provádění takových činností (podle zákona č. 412/2005 Sb.). Na pracovišti TEMPEST je k dispozici seznam dodavatelů zařízení třídy 0 a stínicích komor. Tato zařízení však vždy musí být podrobena kontrolnímu měření a odsouhlasena NBÚ.

Jako podklad pro hodnocení zóny, v níž má být umístěn informační systém pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího, je třeba dodat popis (včetně plánku) umístění informačního systému vzhledem k místům, kde by mohlo být nepozorovaně umístěno nepřátelské zařízení pro detekci elektromagnetického vyzařování (většinou se jedná o veřejná parkoviště a prostory které nepatří provozovateli informačního systému). Tento popis by měly zahrnovat všechny prostory sousedící s místností, kde je informační systém instalován, jak v horizontální tak i vertikální linii a pokud je informační systém v místnosti s okny, popsat prostor ve směru oken a to do vzdálenosti minimálně 100 metrů od informačního systému. Rovněž je třeba popsat předpokládaný rozsah zpracovávání utajovaných informací a jejich časové rozložení. Pro posouzení rizika není rozhodující množství utajovaných informací uložených v informačním systému, ale množství a charakter zpracovávaných utajovaných informací a rozsah, charakter a časové rozložení zpracovávání těchto informací. Riziko z hlediska TEMPEST je spjato především se zobrazováním utajovaných informací na monitoru, jejich vkládáním pomocí klávesnice, tiskem a vypalováním na CD či DVD. Z hlediska časového rozložení je vyšší riziko spjato s pravidelným zpracováváním utajovaných informací nebo zpracováním, jehož zahájení může útočník odvodit z určitých příznaků.

Pracoviště TEMPEST provádí i poradenskou činnost v oblasti kompromitujícího vyzařování.


10.1 Základní požadavky na informační systém podle standardů NBÚ
Při zpracovávání utajovaných informací stupně utajení Vyhrazené nejsou požadována (kromě Prohlášení o shodě, kterým se dokládá splnění požadavků na elektrickou bezpečnost a elektromagnetickou kompatibilitu (EMC) podle zákona č. 22/1997 Sb. o technických požadavcích na výrobky a o změně a doplnění některých zákonů.) žádná opatření v oblasti kompromitujícího vyzařování (KV).
V případě zpracovávání utajovaných informací stupně utajení Důvěrné se rovněž přihlíží k charakteru organizace provozující daný informační systém a charakteru zpracovávaných informací, rozsahu zpracovávání utajovaných informací stupně utajení Důvěrné, časovému rozložení a způsobu jejich zpracovávání. Pokud dochází ke zpracovávání utajovaných informací týkajících se krizového plánování, činnosti zpravodajských služeb, činnosti a zabezpečení zastupitelských úřadů a jiných důležitých objektů, kryptografické ochrany utajovaných skutečností, operativní techniky, vojenského a jaderného materiálu a dalších kritických oblastí, je třeba bez ohledu na jejich množství aplikovat přísnější požadavky.
U informací stupně utajení Důvěrné posoudí pracovník OIT NBÚ z dokumentace předložené k certifikaci informačního systému nebo přímo na místě, zda se bude provádět zónové měření.
Předpokládá-li se zpracovávání utajovaných informací stupně utajení Tajné nebo Přísně tajné, provede se zónové měření zpravidla vždy.
Pokud jsou zpracovávány utajované informace stupně utajení Důvěrné, Tajné nebo Přísně tajné, vyžaduje se u některých instalací, určených v bezpečnostních standardech, napájení ze síťového přívodu vybaveného vysokofrekvenčním filtrem. Pro zpracování utajovaných informací stupně utajení Důvěrné je nutné použít vhodný typ s útlumem minimálně 30dB v kmitočtovém pásmu 100 kHz – 1 GHz. Pro zpracování utajovaných informací stupně utajení Tajné nebo Přísně tajné je nutná konzultace s odborným pracovištěm OIT NBÚ. K využití útlumových vlastností zapojených filtrů je nutná jejich odpovídající instalace (patřičné oddělení vodičů vstupní a výstupní části).
V případě, že informační systém obsahuje vysílač (radiostanice, radiomodem, Wi-Fi, infračervený přenos aj.), je třeba vždy konzultace s pracovištěm OIT NBÚ.
Požadovaná opatření se pak u požadavků na zařízení pohybují od doložení splnění elektromagnetické kompatibility pro jednotlivé komponenty informačního systému případně použití komponent s nižší úrovní kompromitujícího elektromagnetického vyzařování až po použití "tempestovaných" zařízení. U požadavků na zlepšení zóny se jedná o přemístění informačního systému nebo použití stínicích komor případně stíněných místností.

Pro LAN je nutno zahrnout do úvah i kabeláž a aktivní prvky sítě. V této oblasti je opět nutné posouzení NBÚ. U nově budovaných sítí pro stupeň utajení Důvěrné a vyšší doporučujeme konzultovat v NBÚ již ve fázi záměru, jaká bezpečnostní opatření jsou vyžadována.

10.2 Požadovaná specifikace způsobu ochrany v bezpečnostní politice

V bezpečnostní politice je třeba minimálně stanovit, že elektronická zařízení informačního systému budou splňovat požadavky bezpečnostních standardů NBÚ v oblasti kompromitujícího vyzařování.

Podle úrovně aktuálně známých informací (v době tvorby prvé verze bezpečnostní politiky informačního systému) se dále uvádí:
 zóna pro prostor, v němž bude informační systém umístěn,
 pro stupeň utajení Důvěrné předpokládaný rozsah zpracovávání utajovaných informací a jejich časové rozložení a z hlediska provozovatele posoudit riziko spjaté s hrozbou útoku využívajícího k získání utajovaných informací kompromitujícího elektromagnetického vyzařování,
 navržený způsob ochrany v oblasti kompromitujícího vyzařování, s uvážením požadavků uvedených v odstavci 10.1 a Komentáři (např. „pro zpracování utajovaných informací do stupně utajení Tajné, v počítačové místnosti nacházející se v zóně 1, bude použito zařízení třídy y“, nebo „ v zóně 0 bude použito tempestované zařízení“, „bude použita stínicí komora“ apod.),
 v případě LAN požadavky pro kabeláž (např. optické kabely) a pro prvky síťové infrastruktury.


11. Administrativní bezpečnost, bezpečnost počítačových médií

 Deklarovat splnění požadavků vyhlášky č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění pozdějších předpisů.
 Deklarovat požadavky na bezpečnost počítačových médií podle § 15 VYHLÁŠKY (tzv. provozní nosiče informací), uvést stupeň utajení těchto médií vzhledem k bezpečnostnímu provoznímu módu vyhrazenému nebo s nejvyšší úrovní/nejvyšší úrovní s formálním řízením přístupu k informacím.
 Uvést, jaká počítačová média pro ukládání utajovaných informací budou používána, zásady pro jejich evidenci, označování stupněm utajení, ukládání, ničení (viz aktuální standardy NBÚ v příloze vyhlášky č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů).
 Uvést, jaká počítačová média budou používána pro vstup/výstup informací do/z informačního systému a požadavky na řízení přístupu uživatelů k příslušným mechanikám/portům; zejména v případě USB paměťových zařízení.
 V případě používání vyměnitelných pevných disků v multiuživatelském prostředí uvést způsob zajištění nepřetržité odpovědnosti.
 Uvést zásady pro vyřazování počítačových médií z provozu informačního systému (porouchané nebo poškozené pevné disky, poškozené diskety, CD, ZIP, pásky aj.) nebo v případě likvidace informačního systému, zajišťující, že médiu je poskytována ochrana podle jeho stupně utajení až do doby komisionelního zničení.

POZNÁMKA 5
Počítačová média, která jsou používána výhradně pro potřeby provozu informačního systému, např. vyměnitelné pevné disky, CD/DVD, ZIP, pásky a další média používaná pro zálohování v informačním systému mají být evidována v administrativní pomůcce vytvořené pro tento účel. Jednotlivému počítačovému médiu pak musí být přiděleno jedinečné evidenční číslo a stupeň utajení a musí pro ně být uveden typ média, jeho výrobní číslo (pokud je médiem neseno), datum uvedení do provozu informačního systému, datum vyřazení z provozu. Na popisném štítku se pak vyznačí stupeň utajení média, jeho evidenční číslo, název organizace/orgánu státu provozujícího informační systém a název informačního systému. Je vhodné, aby tuto evidenci vedla osoba pověřená vedením jednacího protokolu nebo bezpečnostní správce informačního systému.
Nosiče utajovaných informací používané rutinně v bezpečnostním provozním módu vyhrazeném nebo s nejvyšší úrovní budou klasifikovány nejvyšším stupněm utajení, s nímž daný informační systém nakládá. Tím není vyloučen export informací nižšího stupně utajení nebo neutajovaných, pokud uživatel kvalifikovaně posoudí stupeň utajení určité dílčí informace nebo je nižší stupeň utajení určitého typu informace stanoven v bezpečnostní dokumentaci, a poté takovou informaci uloží na nosič příslušného stupně utajení nebo neutajovaný.

V § 15 VYHLÁŠKY je v odst. 8 zdůrazněna potřeba zajistit informační systémy proti neoprávněnému importu/ exportu utajovaných informací, zejména při použití velkokapacitních vyměnitelných počítačových médií, tím, že již v bezpečnostní politice informačního systému (a tím i v návrhu bezpečnosti a bezpečnostních směrnicích informačního systému) je specifikováno řízení přístupu uživatele ke vstupním a výstupním zařízením.

POZNÁMKA 6
Evidenci a označení jako utajovaná informace podléhají i zabudované pevné disky. V případě obtížné realizace tohoto opatření je možno omezit se v odůvodněných případech na neprodlené zaevidování a označení pevného disku odpovídajícím stupněm utajení po vyjmutí z počítače (porucha, výměna), což mu zajistí adekvátní ochranu v další fázi jeho života.

 Deklarovat, že počítače/jiná zařízení obsahující zabudované pevné disky/jiné nevolatilní paměti budou evidovány v provozní bezpečnostní dokumentaci informačního systému (je-li to relevantní).

 Deklarovat, že utajovaná informace, která vystupuje z informačního systému, musí být označena odpovídajícím stupněm utajení, způsobem zaručujícím adekvátní nakládání s touto informací. Uvést, že tiskové výstupy musí být bez odkladu evidovány jako utajovaná písemnost. Uvést zásady pro import a export utajovaných informací do/z informačního systému na počítačových médiích, v souladu s principy bezpečnostního provozního módu. Výstupem z informačního systému se nemíní uložení na tzv. provozní počítačová média, používaná výhradně v provozu informačního systému.

12. Další bezpečnostní dokumentace

Deklarovat, že bude vypracován návrh bezpečnosti informačního systému a zpracovány bezpečnostní směrnice informačního systému, jak budou členěny (např. pro bezpečnostního správce informačního systému, pro správce informačního systému, pro uživatele, pro oblast kryptografické ochrany apod.).


13. Požadavky bezpečného provozu

Uvést zejména následující bezpečnostní požadavky (převážně uvedeny v § 23 VYHLÁŠKY):
 zajištění antivirové ochrany,
 dodržování schválené konfigurace HW a SW (správa konfigurace),
 bezpečné uložení hlavních kopií SW vybavení (znemožnění modifikace nebo zničení),
 systém zálohování souborů s utajovanými informacemi, případně programového vybavení, záložní média, odpovědnost za vytváření záloh (server, pracovní stanice apod.),
 povinnost evidovat záložní počítačová média, jejich stupeň utajení (daný nejvyšším stupněm utajení, s nímž informační systém nakládá), jejich ukládání,
 zajištění požadavků § 22 VYHLÁŠKY pro fázi instalace informačního systému,
 zajištění instalačních záznamů a dodržování v nich schválené konfigurace a rozmístění komponent informačního systému během jeho provozu (§ 14 odst. 3 VYHLÁŠKY),
 pro informační systémy nakládající s utajovanou informací stupně utajení Tajné nebo vyššího zajištění obranně technické prohlídky (§ 23 odst. 9 VYHLÁŠKY),
 zajištění požadavků § 23 odst. 5 a 6 VYHLÁŠKY v oblasti servisní činnosti; deklarovat, že bude prováděna tak, aby nemohlo dojít k neoprávněnému přístupu k utajovaným informacím nebo narušení integrity HW nebo SW vybavení vedoucímu ke kompromitaci utajovaných informací, že o každé opravě bude pořízen zápis, záznamy budou uchovávány nejméně po dobu …… let, uvést zda opravy budou zajišťovány pracovníky organizace nebo pracovníky externími (volba servisní organizace); u komponent informačního systému, které obsahují paměti typu RAM (např. tiskárny apod.), je nutné počítat s tím, že informace v těchto pamětech mohou zůstávat i po odpojení napájecího napětí. Tomu je třeba přizpůsobit režim zacházení s těmito komponentami. V případě odeslání do servisu nebo jiné manipulace, kdy nebude zařízení pod dohledem odpovědné osoby, je třeba obsah paměti přepsat neutajovanými informacemi,
 zajištění postupu pro autorizaci uživatele a pracovníků bezpečnostní správy a správy informačního systému pro činnost v informačním systému,
 zajišťování úvodního a periodického školení uživatelů,
 zásady administrace pracovní stanice a síťového serveru (lokální, vzdálená) a odpovídající bezpečnostní opatření,
 opatření pro přijímání návštěv – např. že návštěvy mají přístup do místnosti s informačním systémem pouze za doprovodu oprávněného uživatele po schválení bezpečnostním správcem informačního systému a zápisu do knihy návštěv, že nesmí dojít k odezírání utajovaných informací, že jiným prověřeným osobám s need-to-know lze umožnit přístup za přítomnosti oprávněného uživatele…..,
 základní krizové (havarijní) situace - vyjmenovat, které situace je třeba ošetřit (oheň-kouř-výbuch, voda - záplavy či prosakování tekutin, výpadek proudu, porucha HW (včetně narušení kabeláže), selhání SW, problémy s konstrukcí budov, přírodní katastrofa, sabotáž - terorismus a další). O výskytu každé mimořádné situace a jejím vyřešení se pořídí zápis a uloží se po dobu …, kde ..,
 povinnost bezpečnostního správce zkoumat auditní záznamy jedenkrát týdně (měsíčně, denně) a vždy po bezpečnostním incidentu či podezření na něj, vytváření kopií auditních záznamů a jejich uložení tak, aby byly přístupné pro zpětné zkoumání po dobu nejméně ... roků, se zajištěním jejich integrity; pokud je v auditních záznamech nalezen příznak bezpečnostního incidentu, vypracuje bezpečnostní správce záznam a tento bude uchováván po dobu nejméně …, udat také kde,
 základní seznam bezpečnostních incidentů - projev počítačového viru nebo jiného zlomyslného SW, kompromitace hesla/PINu čipové karty k autentizaci uživatele nebo podezření na ni, ztráta počítačového média, čipové karty k autentizaci uživatele nebo listinné utajované písemnosti nebo podezření na ni, proniknutí nepovolané osoby do místnosti s informačním systémem nebo pokusy o ně, hlášení auditu operačního systému (nebo aplikačního SW), neobvyklé chování některého uživatele informačního systému nebo neobvyklý postup uplatněný v informačním systému, neoprávněná změna HW nebo SW konfigurace informačního systému, pro LAN narušení kabeláže, neúmyslné nebo úmyslné vyzrazení utajovaných informací neoprávněné osobě, nedodržení předpisu o ukládání výměnného pevného disku nebo přenosného počítače do úschovného objektu aj.,
 že incidenty budou uživateli hlášeny bezpečnostnímu správci, který je vyhodnotí, komu je ohlásí dále, že o jejich výskytu a vyřešení bude pořízen zápis, že bude archivován pod dobu nejméně ….., kde bude uložen,
 zajištění školení uživatelů o jejich povinnostech v oblasti bezpečnosti,
 další bezpečnostní požadavky podle potřeb uživatelů, vnitřních předpisů organizace, nadřízených bezpečnostních politik, mezinárodních smluv aj., vše co je nad rámec VYHLÁŠKY.

NÁVRH BEZPEČNOSTI INFORMAČNÍHO SYSTÉMU

Návrh bezpečnosti informačního systému musí být konsistentní s bezpečnostní politikou a spolu s bezpečnostními provozními směrnicemi naplnit všechny bezpečnostní požadavky a deklarace v ní uvedené.

1. Popis HW a SW vybavení

 Uvést konkrétní konfiguraci HW

Samostatný osobní počítač
 samostatný osobní počítač - typ s bližšími údaji o jeho komponentách (včetně síťové karty, grafické karty atd.), zabudovaném HDD nebo vyměnitelných HDD a jejich počtu, odstranění pevných disků apod., výrobní číslo počítače a HDD,
 HW kryptografické prostředky,
 periferní zařízení,
 disková pole,
 zálohovací zařízení,
 UPS,
 použité speciální HW prostředky, např. pro identifikaci a autentizaci uživatelů,
 typy a výrobní čísla komponent (s podrobností specifikovanou NBÚ během certifikačního procesu),
 aj.

Lokální počítačová síť
 servery – typ a bližší údaje o jeho komponentách,
 pracovní stanice – typy a bližší údaje o komponentách (včetně síťové karty, grafické karty atd.), zabudovaném HDD nebo vyměnitelných HDD a jejich počtu, odstranění pevných disků apod.)
 HW kryptografické prostředky,
 periferní zařízení, síťové tiskárny, kopírky, multifunkční zařízení,
 disková pole,
 zálohovací zařízení,
 UPS,
 použité speciální HW prostředky, např. pro identifikaci a autentizaci uživatelů,
 u jednotlivých zařízení typy a výrobní čísla komponent (s podrobností specifikovanou NBÚ během certifikačního procesu),
 datové rozvody a prvky síťové infrastruktury,
 aj.

 Uvést konkrétní SW konfiguraci jednotlivých zařízení
 operační systémy,
 aplikační SW,
 antivirové programy,
 SW kryptografické prostředky,
 zálohovací utility,
 utility pro kontrolu integrity SW vybavení,
 použité speciální SW prostředky, např. pro I&A uživatelů nebo bezpečné vymazávání informací,
 aj.

 Uvést prostředky pro řízení přístupu k zařízením pro vstup/výstup informací do/z informačního systému, zejména pro případ USB paměťových zařízení.
 Uvést způsob zajištění správy konfigurace – vedení seznamu HW a SW bezpečnostním správcem informačního systému v přehledné formě, včetně údaje o zabudovaných nosičích utajovaných informací, případně používaný SW nástroj.
 Uvést způsob zajištění údržby SW - aplikace opravných programových balíčků (service pack) vydávaných výrobci SW.

2. Počítačová bezpečnost

 Jednoznačná identifikace a autentizace uživatele je zajišťována např.
 prostředky operačního systému s vhodným nastavením bezpečnostních parametrů, podrobně uvést nastavení v příloze Nastavení bezpečnostních charakteristik OS;
 specielními prostředky pro identifikaci a autentizaci – konkrétní údaje (smart card, biometrické zařízení) a specifikace potřebného nastavení, instalační předpis apod.,

 na aplikační úrovni – popsat, pokud je používána a specifikovat potřebné nastavení,
 uzamčením pracovní stanice nebo samostatného osobního počítače při krátkodobém opuštění zapnutého počítače a umožněním opětovné práce v systému až po úspěšné identifikaci a autentizaci uživatele,
 zajištěním důvěrnosti a integrity autentizační informace během přenosu sítí.

 Volitelné řízení přístupu k objektům informačního systému
 prostředky operačního systému (podrobnosti v příloze Nastavení bezpečnostních charakteristik OS),
 případně na aplikační úrovni, popsat, pokud je používáno a specifikovat potřebné nastavení,
 popsat řízení přístupu zejména k USB (zablokování přístupu všech uživatelů, umožnění přístupu pro konkrétní média konkrétním uživatelům apod.), uvést použité prostředky a příslušná nastavení,
 logická struktura pevných disků, pravidla pro řízení přístupu uživatelů k datové části pevného disku,
 matice přístupových práv pro uživatele.

 Vytváření auditních záznamů, jejich ochrana a jejich zkoumání
 Základem je vytváření auditních záznamů prostředky operačního systému s vhodným nastavením bezpečnostních parametrů – zpravidla zaznamenávat úspěšné i neúspěšné pokusy o přihlášení do systému, správu uživatelů a skupin, změnu v metodě zabezpečení a neúspěšné pokusy o přístup k souborům a objektům, o použití přístupových práv, selhání restartu a vypnutí nebo sledování procesu. Podrobně nastavení popsat v příloze Nastavení bezpečnostních charakteristik OS. V případě LAN uvést zda se vede audit na serverech i jednotlivých pracovních stanicích.
 Případně vytváření auditních záznamů i na aplikační úrovni, popsat, pokud je používáno a specifikovat potřebné nastavení.
 Případně využití speciálních prostředků a specifikace potřebného nastavení, instalační předpis apod.
 Omezit přístup uživatelů k auditním záznamům, aby je spravovat mohl pouze bezpečnostní správce. Uvést, jak často kontroluje auditní záznamy (na serveru, pracovní stanici), v jaké formě, kde a jak dlouho musí být uchovávány pro zpětné zkoumání, kdo má přístup k zálohám auditních záznamů,
 Uvést nástroje pro analýzu auditních záznamů.

 Opakované použití objektů
 řešeno operačním systémem (W XP, VISTA, W 7, W server 2003, W server 2008 atd., UNIXové systémy,
 případně řešeno speciálními prostředky, např. utility pro bezpečné vymazávání informací z pevných disků, popsat, pokud je používáno a specifikovat potřebné nastavení,
 řešeno také zákazem deklasifikace médií a správnou metodou jejich ničení.
 u komponent informačního systému, které obsahují paměti typu RAM (např. tiskárny), je nutné počítat s tím, že informace v těchto pamětech zůstávají i po odpojení napájecího napětí; tomu je třeba přizpůsobit režim zacházení s těmito komponentami; v případě servisu či jiné manipulace neprověřenými osobami se např. doporučuje obsah paměti přepsat neutajovanými informacemi.

3. Komunikační bezpečnost

 Uvést kompletní údaje o LAN:
 typ kabeláže a použité standardy,
 síťové protokoly a pro ně potřebná konfigurace (např. MAC adresy, IP adresy a masky podsítí pro IP protokol),
 topografie LAN (fyzické umístění jednotlivých zařízení - servery, pracovní stanice, aktivní prvky sítě, kryptografické prostředky, kabely),
 topologie LAN (např. sběrnicová, hvězdicová, kruhová, fyzická segmentace na jednotlivých vrstvách OSI modelu a skutečná konfigurace síťových komponent, případně logická segmentace na bázi VLAN a konfigurační soubory), aj.

Pouze pro LAN, pro samostatné PC se neuvádí.

4. Personální bezpečnost

Uvést
 povinnost vedení seznamu uživatelů bezpečnostním správcem informačního systému (s číslem Osvědčení a pro jaký stupeň utajení platí, mezní doba platnosti Osvědčení, případně s údaji o Oznámení), vzor seznamu uživatelů,
 postup pro zařazení/vyřazení uživatele do/z informačního systému (kdo o tom rozhodne, kdo informuje bezpečnostního správce o zrušení oprávnění pro přístup do informačního systému před odchodem dané osoby z organizace, zánikem jejího Osvědčení nebo Oznámení, způsob sdělování této informace bezpečnostnímu správci, vzor formuláře se schválením zařazení/vyřazení uživatele do informačního systému),
 způsob jmenování osob vyžadovaných bezpečnostní politikou pro správu informačního systému bezpečnostní politikou (bezpečnostního správce, případně jeho zástupce, administrátora systému, kryptografické obsluhy aj.); odkaz na přílohu, v níž jsou uvedeny osoby, aktuálně jmenované do těchto funkcí, s čísly jejich Osvědčení od NBÚ pro přístup k odpovídajícímu stupni utajení, případně s údaji o Oznámení; doložení požadované kvalifikace pro kryptografickou obsluhu; vzory formulářů pro jmenování uvedených osob; zajištění zástupnosti,
 kde jsou uloženy identifikátor a aktuální heslo bezpečnostního správce, administrátora atd. (v zapečetěné obálce v určeném trezoru pro uchovávání utajovaných informací),
 systém bezpečnostního školení – kdo školí, jak často, že znalost a pochopení bezpečnostních směrnic musí uživatel stvrdit podpisem, dříve nežli je reálně zaveden do informačního systému a vždy po pravidelném ročním školení,
 požadavek na úroveň bezpečnostní prověrky pracovníků bezpečnostní správy a správy informačního systému a pracovníků kryptografické ochrany (je-li využívána).

5. Požadavky na dostupnost

Uvést systém zálohování, jaké konkrétní prostředky pro zálohování budou používány, kdo odpovídá za vytváření záloh systémového a aplikačního programového vybavení a datových uživatelských souborů, jaká záložní média budou používána, jejich stupeň utajení, způsob nakládání s nimi apod.

6. Administrativní bezpečnost

Uvést odkaz na dokument, podle nějž je administrativní bezpečnost v dané organizaci zajišťována, nebo ji popsat. Pokryty musí být rovněž požadavky § 15 VYHLÁŠKY a požadavky bezpečnostní politiky informačního systému.

 Shrnout všechny typy používaných počítačových médií, účel používání, jejich stupeň utajení, způsob evidence, označování.
 Uvést zásady pro ukládání počítačových médií.
 Uvést zásady pro ničení počítačových médií – komisionelní ničení s učiněním záznamu o zničení, soulad se skartačním řádem organizace, prostředky fyzického ničení a soulad s aktuálními standardy NBÚ, postup pro pevné disky.
 Uvést příslušné administrativní pomůcky realizující požadavek nepřetržité a prokazatelné odpovědnosti za jednotlivá počítačová média (např. evidence výdeje/uložení vyměnitelného pevného disku).
 Připravit procedury a manuální evidence spojené s identifikací a autentizací uživatelů, vytvářením auditních záznamů apod., pokud jsou potřebné k naplnění bezpečnostní politiky informačního systému
 Shrnout všechny manuální evidence a formuláře vedené v informačním systému, kdo je vede, kde jsou ukládány během používání, kde a jak dlouho jsou uchovávány, jejich vzory, jejich stupeň utajení.
Obvykle:
 seznam uživatelů,
 souhrnný seznam osob spravujících informační systém nebo jednotlivá jmenování,
 evidence provozních počítačových médií (viz. Poznámka 5),
 u vyměnitelných HDD evidence výdeje/příjmu HDD z úschovného objektu, charakteru administrativní pomůcky,
 umístění komponent informačního systému a jejich rozmístění v stanovených místnostech,
 seznam konfigurace HW a příslušného SW,
 provozní deník informačního systému – záznamy o opravách a údržbě, o provedení zálohy systémového programového vybavení či updatu antivirového programu, o kontrole auditních záznamů a jejich zálohování, o krizových situacích a bezpečnostních incidentech (s odkazem na příslušnou zpráva o řešení), o dalších bezpečnostně relevantních událostech, charakteru administrativní pomůcky, s uvedením data, času, zúčastněných osob a jejich podpisů,
 evidence bezpečnostních školení (prohlášení s podpisy uživatelů).

Podle potřeby:
 formuláře pro zavedení/vyřazení uživatele, s datem zavedení a vyřazení,
 evidence nahrazující identifikaci a autentizaci uživatele a/nebo auditní záznamy, charakteru administrativní pomůcky,
 evidence vstupu do prostor informačního systému, charakteru administrativní pomůcky,
 evidence vstupu návštěv, charakteru administrativní pomůcky.

 Shrnout položky bezpečnostní provozní dokumentace informačního systému – uvést seznam směrnic – např. pro bezpečnostního správce, pro uživatele, pro kryptografickou obsluhu. Jak se distribuuje bezpečnostní dokumentace informačního systému a jak je klasifikována.

7. Fyzické zabezpečení informačního systému
 Popsat zabezpečení všech prostor, v nichž budou umístěny komponenty informačního systému:
 identifikace místnosti, které komponenty v ní jsou a aplikovaná opatření fyzické bezpečnosti včetně režimových opatření, pro podrobnější popis je možno provést odkaz na příslušný bezpečnostní projekt nebo směrnici,
 zvlášť opatření pro servery a pro pracovní stanice,
 rozmístění jednotlivých zařízení v místnosti, se zohledněním instalačních požadavků (možnost odezírání utajovaných informací, požadavky v oblasti kompromitujícího vyzařování podle čl. 8).

 Uvést, kdo a v jaké formě povede přehled umístění všech zařízení a jejich rozmístění v stanovených místnostech (obvykle bezpečnostní správce).
 Uvést, jak bude vedena evidence spjatá se vstupem uživatelů do počítačové místnosti, pokud je vyžadována bezpečnostní politikou informačního systému, evidenční pomůcky, procedury.
 Uvést, jak bude vedena evidence spjatá se vstupem návštěv do počítačové místnosti, pokud jsou povoleny v bezpečnostní politice.

 Uvést konkrétně, do jakých úschovných objektů budou ukládána výměnná média pro uchovávání utajovaných informací, kde jsou úschovné objekty umístěny a jak je řešeno řízení fyzického přístupu k těmto médiím. Např. pokud jde o vyměnitelné pevné disky, může být zvoleno řešení, kdy přístup do trezoru má pouze bezpečnostní správce, disky jsou tedy vydávány bezpečnostním správcem a jejich použití evidováno. Média mohou vydávat a ukládat také osoby pověřené vedením evidencí utajovaných informací (splňující podmínky pro přístup k utajovaným informacím).

 Uvést způsob pečetění krytů počítačů a dalších zařízení, umístění serveru v racku (ochranné skříni apod.).

 Uvést umístění informativních štítků na zařízení náležející do informačního systému (identifikace informačního systému a nejvyššího stupně utajení informací, které mohou být v něm zpracovávány).

 Zvláštní pozornost věnovat fyzické ochraně kryptografických zařízení, aby odpovídala požadavkům certifikační zprávy a Pravidel pro používání kryptografického prostředku a schválené dokumentaci kryptografické ochrany.

 Fyzická ochrana kabeláže LAN a aktivních síťových zařízení

8. Kompromitující vyzařování

Pro informační systém nakládající jen s informací stupně utajení Vyhrazené se tato část neuvádí.

Od stupně utajení Důvěrné výše je třeba v dokumentaci popsat a na výkresech znázornit umístění informačního systému vzhledem k místům, kde by mohlo být nepozorovaně umístěno nepřátelské zařízení pro detekci elektromagnetického vyzařování (většinou se jedná o veřejná parkoviště a prostory které nepatří uživateli informačního systému). Tento popis by měl zahrnovat všechny prostory sousedící s místností, kde je informační systém instalován, jak v horizontální tak i vertikální linii a pokud je informační systém v místnosti s okny, popsat prostor ve směru oken a to do vzdálenosti minimálně 100 metrů od informační systém. Rovněž je třeba popsat předpokládaný rozsah zpracovávání utajovaných informací a jejich časové rozložení. Pro posouzení rizika není rozhodující množství utajovaných informací uložených v informačním systému, ale množství a charakter zpracovávaných utajovaných informací a rozsah, charakter a časové rozložení zpracovávání těchto informací. Riziko z hlediska TEMPEST je spjato především se zobrazováním utajovaných informací na monitoru, jejich vkládáním pomocí klávesnice, tiskem a vypalováním na CD či DVD. Z hlediska časového rozložení je vyšší riziko spjato s pravidelným zpracováváním utajovaných informací nebo zpracováním, jehož zahájení může útočník odvodit z určitých příznaků.

Musí být zohledněny instalační požadavky - většinou dodržení určité vzdálenosti komponent informačního systému (počítač, monitor, klávesnice, myš, tiskárna atp.) od metalických vedení a jiných zařízeních (např. běžných telefonů), orientace monitorů vzhledem k oknům a stěnám místností.

9. Kryptografická ochrana

 Uvést jaký kryptografický prostředek bude v informačním systému používán, přesný typ a počty prostředků, jak bude zajišťován klíčový materiál, kde bude umístěn a jak bude zajištěna jeho fyzická bezpečnost, vyškolený personál požadovaný pro jeho provoz, jaké dokumenty pro jeho provoz budou vytvořeny apod.

Komentář
Tato specifická oblast se řídí podle ustanovení § 37 až § 43a a vyhlášky č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417/2013 Sb. Nasazení kryptografického prostředku je vhodné konzultovat v OIT NBÚ již ve fázi výběru vhodného zařízení. Pro každý certifikovaný kryptografický prostředek je k certifikátu pro určitý stupeň utajení chráněné informace vydána certifikační zpráva a tzv. Pravidla pro používání kryptografického prostředku, kde se stanovují podmínky pro jeho nasazení. Uvedená „Pravidla“ poskytuje NBÚ v souladu s principem „need-to-know“. Na základě těchto dokumentů je třeba zpracovat provozní dokumentaci pro konkrétní informační systém. Tuto dokumentaci rovněž schvaluje NBU v rámci certifikace informačního systému a je součástí jeho dokumentace k certifikaci.

POZNÁMKA 7
Během zpracování návrhu bezpečnosti je nutno mít na zřeteli kromě minimálních požadavků vyplývajících z legislativní úpravy také požadavky vyplývající z analýzy rizik.

POZNÁMKA 8
V rámci kontroly před vydáním certifikátu informačního systému k nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího provede NBÚ odbornou prohlídku z hlediska splnění požadavků na instalaci zařízení a vyhotoví tzv. instalační záznam. Touto činností může být na základě smlouvy o zajištění činnosti podle § 51 zákona č. 412/2005 Sb. pověřeno odborné pracoviště provozovatele informačního systému. Pro informační systém k nakládání s utajovanou informací stupně utajení Tajné nebo vyššího je dále vyžadována tzv. obranná prohlídka, kterou provede NBÚ nebo jím pověřené odborné pracoviště.

BEZPEČNOSTNÍ SMĚRNICE INFORMAČNÍHO SYSTÉMU

Pro zajištění bezpečnosti během provozu informačního systému je VYHLÁŠKOU vyžadováno oddělené zpracování bezpečnostních směrnic pro bezpečnostního správce informačního systému, správce informačního systému a pro jednotlivé typy uživatelů informačního systému. Obecně se i v malém informačním systému specifikuje role správce informačního systému, v odůvodněných případech je slučována s rolí bezpečnostního správce informačního systému. Provozní bezpečnostní směrnice musí konkretizovat povinnosti osob při manipulaci s informacemi a informačním systémem v ochraně utajovaných informací.

V dalším textu jsou uvedeny obvyklé povinnosti uživatelů a bezpečnostních správců/správců informačního systému malých informačních systémů. Tyto seznamy nepředstavují univerzální a úplný seznam povinností uživatelů a bezpečnostních správců/správců informačních systémů a je třeba k nim přistupovat z hlediska požadavků konkrétního informačního systému. Jednotlivé body vyžadují konkretizaci a rozvedení do potřebných podrobností. Rozdělení povinností mezi správce informačního systému a bezpečnostního správce informačního systému je možno modifikovat, s ohledem na úroveň bezpečnostního prověření správce informačního systému a předpokládané technické znalosti bezpečnostního správce informačního systému.
Pokud je v informačním systému zavedena další role související se zabezpečením informačního systému, je nutno navíc specifikovat povinnosti a procedury s ní spjaté (např. “odpovědný uživatel”, který má ve svém osobním trezoru uložen výměnný pevný disk a vydává ho stanoveným způsobem malému okruhu uživatelů z jeho oddělení).

Pojetím bezpečnostních provozních směrnic se v obecnější rovině zabývá také další metodický materiál NBÚ – Bezpečnostní provozní směrnice informačního systému.

1. Typické povinnosti bezpečnostního správce

 Udržuje aktuální seznam oprávněných uživatelů na základě schématu vymezujícího způsob, jakým uživatel získá od odpovědného funkcionáře oprávnění pro přístup do informačního systému, jak je získání tohoto oprávnění sděleno bezpečnostnímu správci, zápis do seznamu uživatelů, způsob a důvody zrušení autorizace uživatele.
 Zajišťuje, aby fyzický přístup do prostor s komponentami informačního systému, k vyměnitelným pevným diskům apod. mohli získat jen oprávnění uživatelé informačního systému (jde i o přidělení klíčů či kódů zámků dveří do místností s komponentami informačního systému, předmětů vyžadovaných pro identifikaci a autentizaci, zavedení uživatele do databáze EZS a audit přístupů do místností a podobné činnosti podle konkrétní situace)
 Přiděluje uživateli uživatelské jméno a prvotní heslo do informačního systému, vytváří uživatelské účty a spravuje je ve shodě s bezpečnostní politikou, v případě potřeby mu v této činnosti poskytuje technickou podporu správce informačního systému.
 Ručí za trvalé dodržování schválené konfigurace HW i SW informačního systému, včetně nastavení bezpečnostních charakteristik operačního systému a aplikačního SW.
 Ručí za dodržování umístění informačního systému a instalačních požadavků.
 Ve shodě s bezpečnostní politikou zkoumá pravidelně auditní záznamy a předepsané manuální evidence, vytváří záložní kopie auditních záznamů takovým způsobem, aby bylo umožněno jejich zpětné zkoumání, obvykle 3 roky nazpět.
 Zajišťuje ochranu záložních kopií auditních záznamů před modifikací nebo zničením.
 Zkoumá auditní záznamy a manuální evidence po bezpečnostním incidentu.
 Zkoumá a řeší bezpečnostní incidenty, hlásí je řediteli organizace (nebo jinému příslušnému funkcionáři).
 Zajišťuje školení uživatelů v oblasti bezpečnosti informačního systému.
 Kontroluje dodržování bezpečnostních směrnic.
 Zajišťuje v předepsaném rozsahu bezpečnost počítačových médií, zejména vyřazování a ničení médií. Popsat proceduru pro ničení médií a jak se zničení eviduje a další potřené procedury.
 Vede potřebné evidence (podle bezpečnostní politiky a návrhu systému, uvést seznam evidencí).
 Zajišťuje kontrolu vstupu návštěv (popsat jakým způsobem).
 Provádí zálohování systémového programového vybavení, zajišťuje ochranu záložních dat (konkretizovat systém zálohování, kde jsou zálohy ukládány apod.).
 Provádí správu dokumentace bezpečnosti informačního systému (kde je uložena apod.).
 Vydává uživatelům výměnné pevné disky, přenosný počítač (popsat jak, pokud je ovšem tento postup použit).
 Zajišťuje bezpečnost utajovaných informací v případě oprav počítače, kdy hlavní zásadou je, že
 je stanoveno, kým mohou být opravy prováděny (stanovení pracovníci organizace, stanovená externí firma, případně pouze určití její pracovníci),
 před započetím oprav HW v místě musí být odstraněny z dosahu klasifikované tiskové výstupy a odstranitelná paměťová média a odpojeno napájení všech zařízení, aby byly vymazány vyrovnávací paměti,
 opravy HW musí být prováděny pod dohledem bezpečnostního správce a případně dalšího uživatele informačního systému s dostatečným technickým vzděláním, aby byla vyloučena možnost modifikovat HW nepovoleným způsobem (vložení neschválené komponenty) a/nebo možnost neoprávněného přístupu k utajovaným informacím,
 porouchané pevné disky použité v informačním systému nesmí být opravovány nebo připojovány k jinému systému, mohou být pouze nahrazeny novými a uloženy jako utajovaná písemnost a posléze zničeny podle platných standardů,
 v případě nutnosti provedení opravy mimo organizaci (bez neustálé přímé kontroly odpovědného uživatele a/nebo správce informačního systému) musí být z počítače odstraněny veškeré nevolatilní paměti, používané pro ukládání utajovaných informací.
 Dojde-li k havárii operačního systému nebo aplikačního SW, zajistí ve spolupráci se správcem informačního systému uvedení informačního systému do zabezpečeného stavu odpovídajícího schválené bezpečnostní dokumentaci informačního systému.
 Hraje klíčovou úlohu při řešení základních krizových situací - uvést povinnosti bezpečnostního správce.

 Je-li oblastí působnosti bezpečnostního správce LAN, musí být veškeré povinnosti rozšířeny do síťového prostředí, musí být zahrnuta kontrola neporušenosti kabeláže, aktivních prvků sítě, konfigurace VLAN apod.

 Je-li aplikována kryptografická ochrana, přejímá v některých případech i roli pracovníka kryptografické ochrany utajovaných informací podle vyhlášky č. 432/2011Sb., o zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417 Sb. Pro tuto činnost je závazná provozní dokumentace konkrétního kryptografického prostředku.

POZNÁMKA 9
V některých obdobích jsou vydávány aktualizace virových databází tak často, že stanovená minimální perioda provedení aktualizace je příliš dlouhá. Pro správce samostatných osobních počítačů je obtížné provádět lokálně aktualizaci vždy po vydání nové verze antivirového SW a při malém provozu na PC to může být i zbytečné. V tom případě je nutné zavést postup, kdy v případě, že na PC má být použito pro vstup informací jakékoliv externí počítačové médium, oznámí uživatel tuto skutečnost bezpečnostnímu správci, tento zajistí aktualizaci antivirového SW (a zapíše do provozního deníku) a teprve poté je médium použito na PC.


2. Správce informačního systému (oblastí činnosti je počítač a připojená zařízení, LAN)

 provádí činnost administrátora operačního systému (správce sítě LAN), stanoveným způsobem zabezpečuje denní provoz informační systém po technické stránce,
 instaluje operační systém, aplikační SW, zajišťuje aktualizaci antivirového SW,
 spolupracuje s bezpečnostním správcem informačního systému při nastavení bezpečnostních charakteristik operačního systému a aplikačního SW podle schválené bezpečnostní dokumentace informačního systému,
 spravuje uživatelské účty ve spolupráci s bezpečnostním správcem informačního systému,
 spolupracuje s bezpečnostním správcem informačního systému při vyčištění a zotavení systému po napadení viry,
 spolupracuje s bezpečnostním správcem při uvedení informačního systému do stavu odpovídajícího schválené bezpečnostní dokumentaci informačního systému po ostatních bezpečnostních incidentech nebo mimořádných událostech,
 nemá možnost modifikovat auditní záznamy operačního systému ani aplikačního SW,
 je-li aplikována kryptografická ochrana, přejímá v některých případech i roli pracovníka kryptografické ochrany utajovaných informací podle vyhlášky č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných informací, ve znění vyhlášky č. 417/2013 Sb. Pro tuto činnost je závazná schválená provozní dokumentace konkrétního kryptografického prostředku.


3. Typické povinnosti uživatele informačního systému

Bezpečnostní směrnice pro uživatele vyžaduje přehledné a srozumitelné zpracování. Nesmí obsahovat údaje, které uživatel nepotřebuje znát a které by mu umožnily zneužití informačního systému. Zejména je třeba, aby byl uživatel informován
 o účelu informačního systému,
 kde smí pracovat s utajovanými informacemi, případně v jakém časovém rozpětí během dne,
 jaké je standardní zahájení práce v informačním systému (přístup k¨ počítači, přihlašovací procedura a postup identifikace a autentizace uživatele, jaká jsou omezení v počtu chybných přihlášení, délce hesla a době jeho platnosti, délce PINu čipové karty apod.),
 jakou kontrolu HW (případně kabeláže), prostředí nebo podle okolností i jiných prvků informačního systému má provést před započetím práce,
 jak má zacházet s vyměnitelnými pevnými disky a dalšími počítačovými médii používanými výhradně v daném informačním systému, že je nesmí použít mimo daný informační systém a musí s nimi nakládat jako s utajovanými informacemi,
 do jakého úschovného objektu má ukládat klasifikovaná počítačová média nebo od koho je před započetím práce v informačním systému získá a komu je po skončení práce vrací k uložení,
 jakým způsobem získá vyměnitelný pevný disk nebo přenosný počítač nebo jiný HW systému před započetím práce, jakým způsobem ho opět vrací, s tím spjaté povinnosti a evidence,
 v jaké oblasti pevného disku může/má ukládat uživatelské soubory, případně že je na pevný disk ukládat nesmí/nemůže apod.,
 jak musí/může zálohovat uživatelská data a na jaká média, jak musí chránit záložní média,
 jak se chovat k návštěvě, jak k pracovníkům úklidu (aby to vyhovovalo bezpečnostní politice a návrhu bezpečnosti),
 o své povinnosti dodržovat schválenou konfiguraci HW a SW,
 o své povinnosti hlásit poruchy HW i SW, výskyt bezpečnostního incidentu nebo podezření na možnost kompromitace utajovaných informací bezpečnostnímu správci,
 o tom, jaké základní bezpečnostní incidenty se mohou vyskytnout a jak má bezprostředně reagovat, pokud to typ události vyžaduje, před kontaktem s bezpečnostním správcem,
 o zavedené ochraně USB portů, zejména v souvislosti s používáním USB paměťových zařízení („klíčenky“, disky),
 o postupu pro export informací z informačního systému na počítačovém médiu, pokud je uživateli povolen, např.:
 médium musí být označeno nejvyšším stupněm utajení obsažené informace, do příslušné mechaniky se vkládá bezprostředně před aplikací uvedeného příkazu a vyjme se z ní ihned po jeho provedení, předání média se řídí pravidly administrativní bezpečnosti pro utajované informace,
 při výstupu utajovaných informací nižších stupňů utajení (resp. neutajovaných) na počítačové médium odpovídajícího stupně utajení (resp. neutajované) je povinností uživatele posoudit osobně obsah souboru a ujistit se o nižším stupni utajení (resp. neutajovanosti) obsažených informací, médium musí být označeno stupněm utajení obsažené informace, předání se řídí pravidly administrativní bezpečnosti pro utajované informace,
 podle potřeby je možno předepsat, že export informací na počítačových médiích povoluje v určených případech bezpečnostní správce nebo vedoucí pracovník, apod.

POZNÁMKA 10. Windows 2000, Windows XP, Windows 2003, VISTA, Windows 2008 a vyšší verze Windows již nepřenášejí celé bloky dat, soubory je možno kopírovat běžným způsobem; pokud starší operační systém přenáší celé bloky, pak pro předání určitých informací z informačního systému na počítačovém médiu jinému subjektu je třeba použít nové čisté médium (nebo poskytnuté tímto subjektem) a ukládat soubory příkazem typu Uložit (Save) z aplikací.

 o postupu pro import informací do informačního systému prostřednictvím počítačového média, např.:
 import informace stupně utajení vyššího, nežli je nejvyšší stupeň utajení, pro který je informační systém určen, je zakázán,
 je-li importována informace stupně utajení nižšího (resp. neutajovaná) na médiu odpovídajícího stupně utajení, je nutno ochránit toto médium před zápisem a vložit je do mechaniky jen na dobu nezbytně nutnou pro načtení informace, pokud ochrana před zápisem není možná nebo nebyla správně aplikována, musí být dané médium překlasifikováno na nejvyšší stupeň utajení, se kterým se v daném informačním systému nakládá,

 o povinnosti označit tiskové výstupy stupněm utajení a dalšími náležitostmi podle požadavků administrativní bezpečnosti a zajistit neprodleně jejich zaevidování v knize utajovaných písemností,
 o postupech při ničení a skartaci médií a příslušných pravidlech administrativní bezpečnosti,
 o předepsaném postupu při nutnosti opustit počítač v běhu, povolená lhůta,
 o proceduře pro standardní bezpečné ukončení práce v informačním systému - veškeré povinnosti týkající se počítače, periférií, místnosti, klíčů, EZS atd.
 o správném používání hesla, jak ho tvořit, že ho nesmí sdílet, prozradit atd.,
 o ochraně, kterou musí poskytovat magnetické nebo čipové kartě (případně jiným pomůckám) využívané pro identifikaci a autentizaci uživatele v informačním systému,
 o způsobu používání klíčů od místnosti, systému elektrické zabezpečovací signalizace, systému elektronické kontroly vstupu, podle konkrétní situace, je možno řešit i odkazem na příslušný bezpečnostní projekt objektové a technické bezpečnosti,
 o tom, jaké základní mimořádné (krizové) situace mohou nastat a jaké jsou jeho povinnosti při jejich řešení,
 o všech svých dalších povinnostech vyplývajících z bezpečnostní politiky informačního systému a návrhu její realizace (např. povinnost provádět bezpečné vymazávání utajovaných informací z pevného disku a způsob, jakým tuto povinnost splnit, povinnost upozornit bezpečnostního správce na záměr použít externí médium ve smyslu Poznámky 7),
 v potřebné míře o okolnostech umožňujících mu pochopení jeho povinností.

Povinnosti uživatele v oblasti obsluhy kryptografického prostředku využívaného v informačním systému jsou obvykle popsány ve zvláštní bezpečnostní směrnici, v jednoduchých případech mohou být součástí bezpečnostní směrnice uživatele. Uživatel musí být informován o rozsahu ochrany, kterou poskytuje kryptografický prostředek jeho datům (např., že je šifrován automaticky obsah celého pevného disku a/nebo veškerá informace vystupující na CD/DVD/disketu, že je zašifrován určitý soubor po stisknutí příslušné klávesy nebo provedení jiné definované akce uživatele).

POZNÁMKA 11
Uživateli informačního systému je nutno poskytnout potřebné školení, aby byl schopen provádět činnost vyžadovanou bezpečnostními směrnicemi a efektivně využívat informační systém. Důraz je třeba klást na to, aby uživatelé pochopili jednotlivá bezpečnostní opatření a důvody jejich zavedení.

Možné řešení krizových situací a bezpečnostních incidentů

Jde-li o situaci, která přímo nesouvisí s funkcí HW a SW, je základním opatřením ukončit činnost systému, vyjmout veškerá počítačová média z počítače, vypnout počítač a připojená zařízení (vyprázdnění volatilních pamětí) a uložit počítačová média, dokumenty s utajovanými informacemi i dokumentaci informačního systému do příslušného úschovného objektu. Není-li to v době výskytu mimořádné události možné, je třeba uchovat veškeré nosiče utajovaných informací v osobní péči oprávněného uživatele informačního systému, oprávněné osoby nebo bezpečnostního správce informačního systému, do doby, kdy je možno je uložit podle zásad ochrany utajovaných informací.
Pokud situace vyžaduje zásah nepovolaných osob, musí být zamezeno neoprávněnému přístupu k utajovaným informacím a zařízením informačního systému, zásahu (hasičů, instalatérů, příslušníků bezpečnostní služby zajišťujících fyzickou ostrahu apod.) musí být přítomen bezpečnostní správce nebo oprávněný uživatel informačního systému nebo statutární zástupce, bezpečnostní tajemník apod.

Pokud jde o poruchu HW, SW nebo výskyt počítačového viru, přeruší uživatel práci s informačním systémem a přivolá bezpečnostního správce, který situaci vyřeší.

Opravy HW se musí provádět pod dohledem bezpečnostního správce informačního systému a tak, aby se technik provádějící opravu nemohl seznámit s utajovanými informacemi a zároveň, aby nemohlo dojít k narušení schválené konfigurace informačního systému. Bez svolení bezpečnostního správce nesmí technik přinést ani odnést žádnou komponentu informačního systému ani počítačové médium.

Údržba SW, řešení selhání operačního systému nebo aplikačního SW a řešení virového incidentu musí být prováděno buďto správcem informačního systému (administrátorem) prověřeným pro nejvyšší stupeň utajení informací zpracovávaných v informačním systému nebo bezpečnostním správcem informačního systému. Výsledkem činnosti musí být uvedení informačního systému do zabezpečeného stavu podle bezpečnostní dokumentace informačního systému.

Výjimečně může tuto správu provádět osoba prověřená pouze pro nižší stupeň utajení, avšak pod stálým dohledem bezpečnostního správce. V tom případě obnovení systému a aplikačního SW provede z instalačních médií uložených u bezpečnostního správce a neodnáší žádné médium.

O každé z mimořádných situací nebo z bezpečnostních incidentů musí být bezpečnostním správcem pořízen zápis, s uvedením dne a doby výskytu, způsobem řešení, jmen zúčastněných osob, podepsaný zúčastněnými osobami. Zápis je dán na vědomí i statutárnímu orgánu, který z něj vyvodí i akce, vyžadované případně zákonem.


Základní pokyny pro práci s hesly

 Heslo je kombinací velkých a malých písmen a nejméně jedné číslice a oddělovacích symbolů (včetně mezery), nesmí být použito slovo některého běžného jazyka, musí začínat písmenem,
 heslem nebo jeho součástí nesmí být jméno jeho nebo jeho blízkých, číslo jeho průkazu apod.,
 své heslo musí uživatel chránit obdobně jako utajovanou informaci nejvyššího stupně utajení, jaký je v informačním systému zpracováván,
 dočasné opuštění pracovní stanice během pracovní doby je možné pouze po uzamčení stanice (např. CTRL-ALT-DEL a volba ”Uzamknout stanici”),
 své heslo nesmí uživatel sdílet s jiným uživatelem,
 v systému pro zpracování utajovaných informací nesmí být používáno stejné heslo, jako v jiných systémech,
 pro Systémy MS Windows heslo administrátora pro účet Administrator (přejmenovaný) je uloženo v zalepené obálce v úschovném objektu,
 pro UNIX-ové systémy heslo superuživatele je uloženo v zalepené obálce v úschovném objektu,
 administrátor používá účet Administrator nebo účet s právy superuživatele jen pro správu operačního systému, pro své uživatelské aktivity užívá jiného účtu, podle principu nejmenších privilegií.