Řízení přístupu

A.11.1 Požadavky na řízení přístupu

Cíl: Řídit přístup k informacím.

A.11.1.1 Politika řízení přístupu Opatření

Měla by být vytvořena, dokumentována a v závislosti na

aktuálních bezpečnostních požadavcích

přezkoumávána politika řízení přístupu.

A.11.2 Řízení přístupu uživatelů

Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům.

A.11.2.1 Registrace uživatele Opatření

Měl by existovat postup pro formální registraci uživatele

včetně jejího zrušení, který zajistí autorizovaný přístup

ke všem víceuživatelským informačním systémům

a službám.

A.11.2.2 Řízení privilegovaného

přístupu

Opatření

Přidělování a používání privilegií by mělo být omezeno

a řízeno.

A.11.2.3 Správa uživatelských hesel Opatření

Přidělování hesel by mělo být řízeno formálním

procesem.

A.11.2.4 Přezkoumání přístupových

práv uživatelů

Opatření

Vedení organizace by mělo v pravidelných intervalech

provádět formální přezkoumání přístupových práv

uživatelů.

A.11.3 Odpovědnosti uživatelů

Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací a zařízení

pro zpracování informací.

A.11.3.1 Používání hesel Opatření

Při výběru a používání hesel by mělo být po uživatelích

požadováno, aby dodržovali stanovené bezpečnostní

postupy.

A.11.3.2 Neobsluhovaná uživatelská

zařízení

A.11.3.3 Zásada prázdného stolu

a prázdné obrazovky

monitoru

A.11.4 Řízení přístupu k síti

Opatření

Uživatelé by měli zajistit přiměřenou ochranu

neobsluhovaných zařízení.

Opatření

Měla by být přijata zásada prázdného stolu ve vztahu

k dokumentům a vyměnitelným médiím a zásada

prázdné obrazovky monitoru u zařízení pro zpracování

informací.

Cíl: Předcházet neautorizovanému přístupu k síťovým službám.

A.11.4.1 Politika užívání síťových

služeb

A.11.4.2 Autentizace uživatele

externího připojení

Opatření

Uživatelé by měli mít přímý přístup pouze k těm síťovým

službám, pro jejichž použití byli zvlášť oprávněni.

Opatření

Přístup vzdálených uživatelů měl být autentizován.

A.11.4.3 Identifikace zařízení v sítích Opatření

Pro autentizaci připojení z vybraných lokalit a přenosných

zařízení by se měla zvážit automatická identifikace

zařízení.

A.11.4.4 Ochrana portů pro vzdálenou

diagnostiku a konfiguraci

Opatření

Fyzický i logický přístup k diagnostickým a

konfiguračním portům by měl být bezpečně řízen.

A.11.4.5 Princip oddělení v sítích Opatření

Skupiny informačních služeb, uživatelů a informačních

systémů by měly být v sítích odděleny.

A.11.4.6 Řízení síťových spojení Opatření

U sdílených sítí, zejména těch, které přesahují hranice

organizace, by měly být omezeny možnosti připojení

uživatelů. Omezení by měla být v souladu s politikou

řízení přístupu a s požadavky aplikací (viz 11.1).

A.11.4.7 Řízení směrování sítě Opatření

Pro zajištění toho, aby počítačová spojení

a informační toky nenarušovaly politiku řízení

přístupu aplikací organizace, by mělo být zavedeno

řízení směrování sítě.

A.11.5 Řízení přístupu k operačnímu systému

Cíl: Předcházet neautorizovanému přístupu k operačním systémům.

A.11.5.1 Bezpečné postupy přihlášení Opatření

Přístup k operačnímu systému by měl být řízen postupy

bezpečného přihlášení.

A.11.5.2 Identifikace a autentizace

uživatelů

Opatření

Všichni uživatelé by měli mít pro výhradní osobní použití

jedinečný identifikátor (uživatelské ID), měl by být také

zvolen vhodný způsob autentizace k ověření jejich identity.

A.11.5.3 Systém správy hesel Opatření

Systém správy hesel by měl být interaktivní a měl by

zajišťovat použití kvalitních hesel.

A.11.5.4 Použití systémových nástrojů Opatření

Použití systémových nástrojů, které jsou schopné

překonat systémové nebo aplikační kontroly by mělo být

omezeno a přísně kontrolováno.

A.11.5.5 Časové omezení relace Opatření

Neaktivní relace by měly se po stanovené době

nečinnosti ukončit.

A.11.5.6 Časové omezení spojení Opatření

U vysoce rizikových aplikací by pro zajištění dodatečné

bezpečnosti mělo být zváženo použití omezení doby

spojení.

A.11.6 Řízení přístupu k aplikacím a informacím

Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.

A.11.6.1 Omezení přístupu

k informacím

Opatření

Uživatelé aplikačních systémů, včetně pracovníků

podpory, by měli mít přístup k informacím a funkcím

aplikačních systémů omezen v souladu s definovanou

politikou řízení přístupu.

A.11.6.2 Oddělení citlivých systémů Opatření

Citlivé aplikační systémy by měly mít oddělené (izolované)

počítačové prostředí.

A.11.7 Mobilní výpočetní zařízení a práce na dálku

Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro práci na

dálku.

A.11.7.1 Mobilní výpočetní zařízení a

sdělovací technika

Opatření

Měla by být ustavena formální pravidla a přijata opatření

na ochranu proti rizikům použití mobilních výpočetních a

komunikačních zařízení.

A.11.7.2 Práce na dálku Opatření

Organizace by měla vytvořit a do praxe zavést zásady,

operativní plány a postupy pro práci na dálku.