Řízení přístupu
A.11.1 Požadavky na řízení přístupu
Cíl: Řídit přístup k informacím.
A.11.1.1 Politika řízení přístupu Opatření
Měla by být vytvořena, dokumentována a v závislosti na
aktuálních bezpečnostních požadavcích
přezkoumávána politika řízení přístupu.
A.11.2 Řízení přístupu uživatelů
Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům.
A.11.2.1 Registrace uživatele Opatření
Měl by existovat postup pro formální registraci uživatele
včetně jejího zrušení, který zajistí autorizovaný přístup
ke všem víceuživatelským informačním systémům
a službám.
A.11.2.2 Řízení privilegovaného
přístupu
Opatření
Přidělování a používání privilegií by mělo být omezeno
a řízeno.
A.11.2.3 Správa uživatelských hesel Opatření
Přidělování hesel by mělo být řízeno formálním
procesem.
A.11.2.4 Přezkoumání přístupových
práv uživatelů
Opatření
Vedení organizace by mělo v pravidelných intervalech
provádět formální přezkoumání přístupových práv
uživatelů.
A.11.3 Odpovědnosti uživatelů
Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací a zařízení
pro zpracování informací.
A.11.3.1 Používání hesel Opatření
Při výběru a používání hesel by mělo být po uživatelích
požadováno, aby dodržovali stanovené bezpečnostní
postupy.
A.11.3.2 Neobsluhovaná uživatelská
zařízení
A.11.3.3 Zásada prázdného stolu
a prázdné obrazovky
monitoru
A.11.4 Řízení přístupu k síti
Opatření
Uživatelé by měli zajistit přiměřenou ochranu
neobsluhovaných zařízení.
Opatření
Měla by být přijata zásada prázdného stolu ve vztahu
k dokumentům a vyměnitelným médiím a zásada
prázdné obrazovky monitoru u zařízení pro zpracování
informací.
Cíl: Předcházet neautorizovanému přístupu k síťovým službám.
A.11.4.1 Politika užívání síťových
služeb
A.11.4.2 Autentizace uživatele
externího připojení
Opatření
Uživatelé by měli mít přímý přístup pouze k těm síťovým
službám, pro jejichž použití byli zvlášť oprávněni.
Opatření
Přístup vzdálených uživatelů měl být autentizován.
A.11.4.3 Identifikace zařízení v sítích Opatření
Pro autentizaci připojení z vybraných lokalit a přenosných
zařízení by se měla zvážit automatická identifikace
zařízení.
A.11.4.4 Ochrana portů pro vzdálenou
diagnostiku a konfiguraci
Opatření
Fyzický i logický přístup k diagnostickým a
konfiguračním portům by měl být bezpečně řízen.
A.11.4.5 Princip oddělení v sítích Opatření
Skupiny informačních služeb, uživatelů a informačních
systémů by měly být v sítích odděleny.
A.11.4.6 Řízení síťových spojení Opatření
U sdílených sítí, zejména těch, které přesahují hranice
organizace, by měly být omezeny možnosti připojení
uživatelů. Omezení by měla být v souladu s politikou
řízení přístupu a s požadavky aplikací (viz 11.1).
A.11.4.7 Řízení směrování sítě Opatření
Pro zajištění toho, aby počítačová spojení
a informační toky nenarušovaly politiku řízení
přístupu aplikací organizace, by mělo být zavedeno
řízení směrování sítě.
A.11.5 Řízení přístupu k operačnímu systému
Cíl: Předcházet neautorizovanému přístupu k operačním systémům.
A.11.5.1 Bezpečné postupy přihlášení Opatření
Přístup k operačnímu systému by měl být řízen postupy
bezpečného přihlášení.
A.11.5.2 Identifikace a autentizace
uživatelů
Opatření
Všichni uživatelé by měli mít pro výhradní osobní použití
jedinečný identifikátor (uživatelské ID), měl by být také
zvolen vhodný způsob autentizace k ověření jejich identity.
A.11.5.3 Systém správy hesel Opatření
Systém správy hesel by měl být interaktivní a měl by
zajišťovat použití kvalitních hesel.
A.11.5.4 Použití systémových nástrojů Opatření
Použití systémových nástrojů, které jsou schopné
překonat systémové nebo aplikační kontroly by mělo být
omezeno a přísně kontrolováno.
A.11.5.5 Časové omezení relace Opatření
Neaktivní relace by měly se po stanovené době
nečinnosti ukončit.
A.11.5.6 Časové omezení spojení Opatření
U vysoce rizikových aplikací by pro zajištění dodatečné
bezpečnosti mělo být zváženo použití omezení doby
spojení.
A.11.6 Řízení přístupu k aplikacím a informacím
Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.
A.11.6.1 Omezení přístupu
k informacím
Opatření
Uživatelé aplikačních systémů, včetně pracovníků
podpory, by měli mít přístup k informacím a funkcím
aplikačních systémů omezen v souladu s definovanou
politikou řízení přístupu.
A.11.6.2 Oddělení citlivých systémů Opatření
Citlivé aplikační systémy by měly mít oddělené (izolované)
počítačové prostředí.
A.11.7 Mobilní výpočetní zařízení a práce na dálku
Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro práci na
dálku.
A.11.7.1 Mobilní výpočetní zařízení a
sdělovací technika
Opatření
Měla by být ustavena formální pravidla a přijata opatření
na ochranu proti rizikům použití mobilních výpočetních a
komunikačních zařízení.
A.11.7.2 Práce na dálku Opatření
Organizace by měla vytvořit a do praxe zavést zásady,
operativní plány a postupy pro práci na dálku.