Řízení komunikace a řízení provozu

10.1 Provozní postupy a odpovědnosti

Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.

Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících

informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů.

V případě potřeby by měl být uplatněn princip oddělení funkcí, aby se snížilo riziko úmyslného

zneužití systému nebo zneužití z nedbalosti.

10.1.1 Dokumentace provozních postupů

Opatření

Provozní postupy by měly být zdokumentovány a udržovány a měly by být dostupné všem

uživatelům dle potřeby.

Doporučení k realizaci

Měly by být zdokumentovány postupy správy pro činnosti spojené s prostředky pro zpracování

informací a komunikaci, jako například spuštění a zastavení systému, zálohování dat, údržba

zařízení, zacházení s médii, správa počítačové místnosti, zacházení s korespondencí

a bezpečnost práce.

Provozní postupy by měly obsahovat návod pro detailní výkon každé činnosti, včetně:

a) zpracování a zacházení s informacemi;

b) zálohování dat (viz 10.5);

c) časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas

začátku první a dokončení poslední úlohy;

d) popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly

vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů (viz

11.5.4);

e) spojení na kontaktní osoby v případě neočekávaných systémových nebo technických

potíží;

f) instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním

materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými

výstupy z aplikací v případě jejich selhání (viz 10.7.2 a 10.7.3);

g) postupy při restartu systému a obnovovací postupy v případě selhání systému;

h) nakládání s auditními a systémovými záznamy (viz 10.10).

Provozní dokumentace a zdokumentované postupy systémových činností by měly být brány jako

oficiální dokumentace a jejich změny by měly být odsouhlaseny vedoucími zaměstnanci. Pokud je

to technicky proveditelné měla by být správa jednotlivých informačních systémů konzistentní

(použití stejných postupů, nástrojů a služeb).

10.1.2 Řízení změn

Opatření

Změny ve vybavení a zařízení pro zpracování informací by měly být řízeny.

Doporučeni k realizaci

Provozní systémy a aplikační programové vybavení by měly podléhat přísnému řízení změn.

V úvahu by měla být zejména vzata následující opatření:

a) identifikace a zaznamenání důležitých změn;

b) plánování a testování změn;

c) zhodnocení potenciálních dopadů (včetně dopadů na bezpečnost) takových změn;

d) formální schvalovací postup pro navrhované změny;

e) seznámení všech osob, kterých se to dotýká, s detaily změn;

f) postupy určující odpovědnosti za přerušení změnového zásahu a obnovení provozu

v případě jejich neúspěchu.

Pro zajištění dostatečné úrovně řízení změn zařízení, programového vybavení nebo postupů, by

měly být stanoveny formální řídící postupy a odpovědnosti. O změnách programového vybavení

by měly být uchovávány veškeré relevantní informace, například v podobě auditních záznamů.

Další informace

Nedostatečná kontrola změn v prostředcích pro zpracování informací a systémech je běžnou

příčinou bezpečnostních a systémových chyb. Změny provozního prostředí, zejména při přechodu

z vývojového prostředí do ostrého provozu, mohou mít dopad na spolehlivost aplikací (viz také

12.5.1).

Změny provozních systémů by měly být prováděny pouze v nutných případech, například dojde-li

k nárůstu rizika. Instalace nejnovějších verzí provozních systémů a aplikací by měla být předem

dobře zvážena. Může zavést nové zranitelnosti a způsobit větší nestabilitu systému než předchozí

verze, často je také spojena s dodatečným zaškolením personálu, s licenčními poplatky, poplatky za

podporu a údržbu, nákupem nového hardwaru a dodatečnou administrací.

10.1.3 Oddělení povinností

Opatření

Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace by mělo být

zváženo oddělení jednotlivých povinností a odpovědností.

Doporučení k realizaci

Princip oddělení povinností minimalizuje riziko úmyslného nebo nedbalostního zneužití

systému. Pozornost by měla být věnována oblastem s nedělenou odpovědností jedince, který

by mohl mít přístup k aktivům, mohl by je modifikovat nebo používat bez řádného oprávnění

aniž by to bylo zjištěno. Vyvolání události by mělo být odděleno od jejího schválení. Při návrhu

opatření by měla být zvážena možnost spolčení angažovaných jedinců.

V malých organizacích může být tato metoda řízení obtížně použitelná, ale tento princip by měl

být aplikován tak, jak to je jen možné. Všude, kde je oddělení složité, by měla být zvážena jiná

opatření, jako monitorování činností, auditní záznamy a dohled nadřízených zaměstnanců. Je

důležité, aby bezpečnostní audit zůstal nezávislý.

10.1.4 Oddělení vývoje, testování a provozu

Opatření

Pro snížení rizika neoprávněného přístupu k provoznímu systému a nebo jeho změn by mělo být

zváženo oddělení procesů vývoje, testování a provozu.

Doporučení k realizaci

Pro prevenci provozních problémů by měla být zvážena nezbytná úroveň oddělení provozního,

testovacího a vývojového prostředí a zavedena vhodná opatření.

V úvahu by měla být vzata následující opatření:

a) měla by být stanovena a dokumentována pravidla pro převod programů z vývojového

do provozního prostředí;

b) vývojové a provozní programové vybavení by mělo být provozováno na různých

počítačích nebo v různých doménách či adresářích;

c) překladače, editory a jiné systémové utility by neměly být dosažitelné z provozních

systémů, pokud to není nutné;

d) testovací prostředí by mělo co nejvíce simulovat provozní prostředí;

e) pro provozní a testovací systémy by měly být používány různé uživatelské profily.

Nabídky by měly zobrazovat vhodné identifikační zprávy, aby se snížilo riziko chyby;

d) citlivá data by neměla být kopírována do testovacích systémů (viz 12.4.2).

Další informace

Vývoj a testování mohou způsobit vážné problémy, například nechtěnou modifikaci souborů,

prostředí nebo způsobení systémové chyby. Je proto potřebné mít známé a stabilní prostředí,

které zaručí smysluplnost testování a rozpozná nevhodný přístup vývojářů.

Tam, kde má vývojový a testovací personál přístup k provoznímu systému, může být schopen

vnést do něj neschválený a netestovaný kód nebo změnit provozní data. V některých

systémech by tato možnost mohla být zneužita k podvodu nebo k zavedení netestovaného

nebo škodlivého kódu. Takový kód může způsobit vážné provozní problémy.

Vývojáři a personál provádějící testování mohou také představovat hrozbu pro důvěrnost

provozních dat. Vývojové a testovací práce, v případě že sdílejí stejné výpočetní prostředí,

mohou umožnit i nechtěné změny programů a informací. Oddělení vývojových, testovacích

a provozních zařízení je proto žádoucí pro snížení rizika nechtěných změn nebo neautorizovaného

přístupu k provozním programům a obchodním datům (viz také 12.4.2).

10.2 Řízení dodávek třetích stran

Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve

shodě s uzavřenými dohodami.

Pro zajištění toho, že služby dodávané třetími stranami jsou v souladu

s dohodnutými požadavky, by organizace měla kontrolovat realizaci dohod, monitorovat míru

souladu jejich dodržování a v případě potřeby zajistit nápravu.

10.2.1 Dodávky služeb

Opatření

Zajistit, aby úroveň služeb týkajících se bezpečnosti informací poskytovaných třetí stranou byla

v souladu se smluvními podmínkami.

Doporučení k realizaci

Součástí služeb poskytovaných třetí stranou by měla být realizace dohodnutých bezpečnostní

opatření, vymezení služeb a jejich správy. V případech, kdy jsou služby zajištěny formou

outsourcingu, by organizace měla naplánovat nezbytný přenos (informací, zařízení pro

zpracování informací a čehokoliv co vyžaduje přesun), a zajistit bezpečnost po celou dobu

přenosu.

Organizace by měla zajistit, aby třetí strana měla dostatečné kapacity a měla navržené

a otestované plány pro zajištění kontinuity, a dohodnuté úrovně, poskytovaných služeb

v případě jejich selhání nebo v případě krizové události (viz 14.1).

10.2.2 Monitorování a přezkoumávání služeb třetích stran

Opatření

Služby, zprávy a záznamy poskytované třetí stranou by měly být monitorovány a pravidelně

přezkoumávány, audity by měly být opakovány v pravidelných intervalech.

Doporučení k realizaci

Monitorování a přezkoumávání služeb poskytovaných třetími stranami, by mělo zajistit, že je

dodržována bezpečnost informací a dohodnuté podmínky, a že vzniklé bezpečnostní incidenty

a nastalé problémy jsou řešeny odpovídajícím způsobem. Toto by také mělo zahrnovat kontrolu

dodržování smluvních podmínek a ostatních činností ve vazbě na smluvní vztah:

a) monitorování úrovně poskytovaných služeb na dohodnuté úrovni;

b) přezkoumávání hlášení o službách poskytovaných třetí stranou a uspořádání

pravidelných informativních schůzek;

c) poskytnutí informací o bezpečnostních incidentech a přezkoumání poskytnutých

informací jak třetí stranou, tak organizací, podle toho jak je stanoveno v dohodách,

metodických pokynech a směrnicích;

d) přezkoumání auditních záznamů týkajících přístupů k systému a činností prováděných

v systému, záznamů o bezpečnostních událostech, provozních problémech, selháních,

chybách a přerušeních poskytovaných služeb;

e) řešení a zvládání nastalých problémů.

Organizace by měla určit osobu nebo ustavit servisní tým pracovníků odpovědných za

nastavení a udržování vztahů se třetí stranou. Dále by měla organizace zajistit, že třetí strana

určí odpovědnosti pro kontrolu souladu a prosazování požadavků stanovených v dohodách.

K dispozici by měl být personál s dostatečnými technickými dovednostmi a zdroje pro

monitorování požadavků stanovených v dohodách (viz 6.2.3), zejména pak dodržování

požadavků na bezpečnost informací. V případě, že je zjištěn jakýkoliv nesoulad

v poskytovaných službách, by měla být sjednána náprava.

Organizace by měla zajistit dostatečnou kontrolu a transparentnost všech aspektů bezpečnosti

týkajících se citlivých a kritických informací nebo zařízení pro zpracování informací, ke kterým je

přistupováno, jsou zpracovávány a nebo jsou spravovány třetí stranou. Organizace by měla

zajistit dohled nad činnostmi souvisejícími s bezpečností, jako je např. řízení změn, identifikace

zranitelností, proces zaznamenávání a reakce na bezpečností incidenty.

Další informace

V případě, že jsou služby zajištěny formou outsourcingu nese organizace konečnou

odpovědnost za zpracovávané informace.

10.2.3 Řízení změn služeb poskytovaných třetími stranami

Opatření

Změny v poskytování služeb, včetně udržování a zlepšování existujících bezpečnostních politik,

směrnic a bezpečnostních opatření, by měly být řízeny s ohledem na kritičnost systémů

a procesů organizace, které jsou součástí opakovaného hodnocení rizik.

Doporučení k realizaci

Proces řízení změn služeb poskytovaných třetí stranou by měl reflektovat:

a) nutné změny provedené organizací za účelem:

1. vylepšení aktuálně nabízených služeb;

2. vývoje nových aplikací a systémů;

3. změny a aktualizace stávajících politik a směrnic;

4. realizace nových opatření pro zvládání bezpečnostní incidentů a opatření na

zvýšení bezpečnosti;

b) nutné změny služeb poskytovaných třetích stranou za účelem:

1. změny a vylepšení sítí;

2. použití nových technologií;

3. zavedení nových produktů nebo nových verzí/aktualizací programů;

4. změny fyzického umístění servisních zařízení;

5. změny dodavatelů.

10.3 Plánování a přejímání informačních systémů

Cíl: Minimalizovat riziko selhání informačních systémů.

Pro zajištění odpovídající kapacity a zdrojů a výkonu informačního systému je nutné provést

odpovídající přípravu a plánování.

Aby se snížilo riziko přetížení systému, měl by být vytvářen odhad budoucích kapacitních

požadavků.

Před schválením nových systémů a před jejich uvedením do provozu by k nim měly být

stanoveny, písemně zdokumentovány a otestovány provozní požadavky.

10.3.1 Řízení kapacit

Opatření

Pro zajištění požadovaného výkonu informačního systému, s ohledem na budoucí kapacitní

požadavky, by mělo být monitorováno, nastaveno a projektováno využití zdrojů.

Doporučení k realizaci

Pro každou stávající a plánovanou činnost by měly být identifikovány kapacitní požadavky. Pro

zajištění a tam, kde je to nezbytné pro zlepšení dostupnosti a efektivity systému, by mělo být

aplikováno monitorování a zlepšování výkonu systému. Měla by být zavedena opatření

umožňující včasnou detekci vzniklých problémů. Součástí provozních a systémových

doporučení by měl být i požadavek na plánování budoucí spotřeby kapacit na současný

a uvažovaný směr vývoje ve zpracování informací v organizaci.

Zvláštní pozornost by měla být věnována zdrojům, které vyžadují delší dobu pro realizaci

dodávky nebo obnášejí vysoké náklady. Vedoucí pracovníci by měli sledovat trendy jejich

použití, zejména pak v relaci k aplikacím organizace a nástrojům pro správu systému.

Tyto informace by měly být použity pro identifikaci a prevenci kritických míst, které by mohly

způsobovat ohrožení bezpečnosti nebo uživatelských služeb, a pro naplánování vhodných

opatření k nápravě.

10.3.2 Přejímání systémů

Opatření

Měla by být určena kritéria pro přejímání nových informačních systémů, jejich aktualizaci

a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před

zavedením do ostrého provozu.

Doporučení k realizaci

Vedoucí zaměstnanci by měli zajistit, aby požadavky a kritéria pro přejímání nových

počítačových systémů byly jednoznačně definovány, schváleny, zdokumentovány a testovány.

Přechod na nové systémy, instalace aktualizací a zavádění nových verzí by měl být formálně

schválen. Předtím než je provedeno formální schválení mělo by zváženo následující:

a) požadavky na výpočetní a paměťový výkon;

b) postupy pro zotavení se z chyb a restartů systému, a havarijní plány;

c) příprava a testování rutinních provozních postupů, které by představovaly normu;

d) schválená sada nasazených bezpečnostních opatření;

e) účinné manuální operace;

f) plán kontinuity činností organizace (viz 14.1);

g) potvrzení, že instalace nového systému nebude mít nepříznivý vliv na existující

systémy, zejména v době špičky zatížení, jako je například konec měsíce;

h) potvrzení, že byly zváženy dopady nového systému na celkovou bezpečnost

organizace;

i) školení v obsluze a použití nového systému;

j) snadnost použití může pozitivně ovlivnit výkon uživatelů a zabránit zbytečným chybám.

Na všech vývojových stupních nových důležitých programů rozvoje by měl být konzultován

provozní personál a uživatelé, aby byla zajištěna provozní účinnost navrhovaného systému,

a také by se měly provést příslušné testy, aby se potvrdilo, že systém plně vyhovuje všem

přejímacím kritériím.

Další informace

Součástí přejímání nových systémů může také být proces formální certifikace a akreditace

ověřující naplnění bezpečnostních požadavků.

10.4 Ochrana proti škodlivým programům a mobilním kódům

Cíl: Chránit integritu programů a dat.

Pro prevenci a detekování škodlivých programů a nepovolených mobilních kódů jsou

vyžadována patřičná opatření.

Programy a zařízení pro zpracování informací jsou zranitelné škodlivými programy, jako jsou například

počítačové viry, síťoví červi, trojští koně a logické bomby. Uživatelé by měli být upozorňováni na

nebezpečí neschválených a škodlivých programů. Vedoucí zaměstnanci by měli tam, kde je to

vhodné, aplikovat zvláštní opatření pro jejich předcházení a detekování a zavést postupy

odstranění škodlivých programů a kontroly mobilních kódů.

10.4.1 Opatření na ochranu proti škodlivým programům

Opatření

Na ochranu proti škodlivým programům a nepovoleným mobilním kódům by měla být

implementována opatření na jejich detekci, prevenci a nápravu a zvyšováno odpovídající

bezpečnostní povědomí uživatelů.

Doporučení k realizaci

Ochrana proti škodlivým programům by měla být založena na detekci škodlivých programů,

opravných programů, na bezpečnostním povědomí, dále na vhodném přístupu k systému a na

opatřeních zajišťujících řízení změn.

V úvahu by měla být vzata následující opatření:

a) ustavení formálních pravidel požadujících dodržování licenčních podmínek a zákaz

používání neschváleného programového vybavení (viz 15.1.2);

b) ustavení formálních pravidel zajišťujících ochranu proti rizikům vyplývajícím ze

získávání programů z externích sítí nebo z jiných médií a určujících, jaká ochranná

opatření by měla být přijata;

c) zavedení pravidelné kontroly programů a datového obsahu systémů kritických pro

vnitropodnikové procesy. Měla by být formálně prošetřována přítomnost libovolných

neschválených souborů nebo neodsouhlasených úprav ;

d) instalace a pravidelná aktualizace antivirových detekčních a opravných programů pro

kontrolu počítačů a médií, buď jako preventivní prostředek využívaný ad-hoc způsobem,

nebo pravidelně. Prováděné kontroly by měly zahrnovat:

1. ověření všech souborů na elektronických nebo optických médiích nejistého

a neověřeného původu nebo souborů získaných prostřednictvím

neautorizovaných sítí před jejich použitím na přítomnost škodlivých programů;

2. testování všech příloh elektronické pošty a stažených dat na přítomnost

škodlivých programů před jejich použitím. Tato kontrola může být prováděna na

různých místech, například na poštovním serveru, na pracovních stanicích nebo

při vstupu do sítě organizace;

3. kontrola obsahu webových stránek na přítomnost škodlivého kódu;

e) určení řídících postupů a povinnosti při práci s antivirovou ochranou v systémech,

školení uživatelů, hlášení a nápravy virových útoků (viz 13.1 a 13.2);

f) příprava odpovídajících plánů kontinuity činností organizace pro zotavení se z virových

útoků, včetně kompletního zálohování a obnovy potřebných dat a programů (viz

kapitola 14);

g) zavedení pravidelného sběru nových informací (odběr časopisů, hledání na internetu) o

nových škodlivých kódech;

h) zavedení postupů zajišťujících platnost informací o virech a správnost i informační

hodnotu varovných signálů. Vedoucí zaměstnanci by měli zajistit, aby pro odlišení reálných

virů od falešných byly použity kvalifikované zdroje informací, tj. časopisy s dobrým renomé,

spolehlivé internetové zdroje a dodavatelé antivirových programů. Zaměstnanci by měli

znát problém falešných virů, měli by vědět, co dělat, když zprávu o takovém viru obdrží

nebo objeví.

Další informace

Pro zvýšení účinnosti ochrany před škodlivými programy je vhodné použít více různých

antivirových programů.

Pro zajištění odpovídající ochrany lze antivirové programy nastavit tak, aby automaticky

probíhala aktualizace definičních souborů a skenovacího enginu. Antivirové programy by měly

být nainstalovány na každé pracovní stanici.

Pozornost by měla být zvýšena vždy když je prováděna údržba systému nebo řešena krizová

událost, v rámci kterých mohou být obejita běžná ochranná opatření.

10.4.2 Opatření na ochranu proti mobilním kódům

Opatření

Použití povolených mobilních kódů by mělo být nastaveno v souladu s bezpečnostní politikou,

mělo by být zabráněno spuštění nepovolených mobilních kódů.

Doporučení k realizaci

Měla by být zvážena následující opatření na ochranu proti neoprávněnému spuštění mobilních

kódů:

a) spouštění mobilních kódů v logicky odděleném prostředí;

b) zamezení spouštění všech mobilních kódů;

c) zamezení příjmu mobilních kódů;

d) zapnutí dostupných technických opatřeních na jednotlivých systémech zajišťujících

správu mobilních kódů;

e) kontrola všech prostředků využívajících mobilní kódy;

f) použití kryptografických opatření pro ověření původu mobilního kódu.

Další informace

Mobilní kód je programový kód, který se přenáší z jednoho počítače na druhý a poté se

automaticky spustí a vykoná specifickou funkci za minimální nebo žádné součinnosti

s uživatelem. Mobilní kódy jsou součástí řady middleware služeb (např. zajišťujících propojení

jednotlivých aplikací).

Kromě ověření toho, že neobsahuje škodlivý kód, je kontrola mobilních kódů důležitá z důvodu

vyhnutí se neoprávněnému použití nebo narušení systému, sítě nebo aplikačních zdrojů a jiným

narušením bezpečnosti.

10.5 Zálohování

Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.

Měly by být vytvořeny rutinní postupy realizující schválenou politiku zálohování a strategii (viz

14.1) pro vytváření záložních kopií dat a testování jejich včasného obnovení.

10.5.1 Zálohování informací

Opatření

Záložní kopie důležitých informací a programového vybavení organizace by měly být

pořizovány a testovány v pravidelných intervalech.

Doporučení k realizaci

Pro zajištění obnovy všech důležitých informací a programového vybavení organizace v případě

katastrofy nebo selhání médií (nosičů dat) by mělo být zajištěno adekvátní zálohovací zařízení.

V úvahu by měla být vzata následující opatření:

a) mělo by být stanoveno minimální nutné množství vytvářených záloh;

b) měly by být vytvořeny přesné a úplné záznamy o záložních kopiích s popsanými

postupy obnovy;

c) rozsah vytvářených záloh (např. kompletní nebo přírůstkové zálohy) a frekvence s jakou

jsou vytvářeny by měla odpovídat požadavkům organizace na dostupnost informací,

požadavkům na bezpečnost informací a jejich kritičnosti z hlediska kontinuity činností

organizace;

d) zálohy by měly být uloženy na bezpečném místě, v dostatečné vzdálenosti od sídla

organizace, aby v případě havárie nebyly poškozeny nebo zničeny;

e) záložním informacím by měla být věnována přiměřená úroveň fyzické a vnější ochrany (viz

kapitola 9), odpovídající normám v hlavním sídle. Opatření používaná pro média

v hlavním sídle by měla být rozšířena i na místo s uloženými záložními kopiemi;

f) záložní média by měla být pravidelně testována, aby bylo zajištěno, že se na ně lze

v nutném případě spolehnout;

g) obnovovací postupy by měly být pravidelně prověřovány a testovány, aby se potvrdilo,

že jsou účinné a že mohou být provedeny v čase vymezeném provozním obnovovacím

postupům;

h) v případech, kdy je požadováno zajištění důvěrnosti zálohovaných informací, by mělo

být použito šifrování.

Postupy zálohování jednotlivých systémů by měly být pravidelně testovány, aby vyhovovaly

požadavkům plánů kontinuity činností organizace (viz kapitola 11). U kritických systémů by

zálohování mělo zahrnovat veškeré systémové informace, aplikace a data potřebná pro

kompletní obnovu systému v případě havárie.

Měla by být určena doba archivace důležitých informací organizace a také jakékoliv požadavky

na archivní kopie, které by měly být trvale uchovávány (viz 15.1.3).

Další informace

Celý proces vytváření záloh může být zautomatizován, takováto řešení však musí být před

spuštěním důkladně otestována. Po uvedení do provozu musí být sytém automatického

vytváření záloh pravidelně testován.

10.6 Správa sítě

Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.

Pozornost vyžaduje správa bezpečnosti počítačových sítí, které mohou přesahovat hranice

organizace.

Pro zabezpečení citlivých dat přenášených veřejnými sítěmi mohou být požadována dodatečná

opatření.

10.6.1 Síťová opatření

Opatření

Pro zajištění ochrany před možnými hrozbami, pro zaručení bezpečnosti systémů a aplikací

využívajících sítí a pro zajištění bezpečnosti informací při přenosu by počítačové sítě měly být

vhodným způsobem spravovány a kontrolovány.

Doporučení k realizaci

Správci sítí by měli realizovat opatření pro zajištění bezpečnosti dat v sítích a ochrany souvisejících

služeb před neoprávněným přístupem.

Zejména by měla být vzata v úvahu následující opatření:

a) tam, kde je to vhodné, by měla být odpovědnost za provoz sítě oddělena od odpovědnosti

za provoz počítačů (viz 10.1.3);

b) měly by být stanoveny odpovědnosti a postupy pro správu vzdálených zařízení, včetně

zařízení v prostorách uživatelů;

c) měla by být zavedena zvláštní opatření, která by zajišťovala důvěrnost a integritu dat

přenášených veřejnými nebo bezdrátovými sítěmi a ochranu připojených systémů a aplikací

(viz 11.4 a 12.3). Pro zajištění dostupnosti síťových služeb a připojených počítačů mohou

být vyžadována zvláštní opatření;

d) měly by být vytvořeny a zavedeny vhodné postupy zaznamenávání a monitorování

událostí souvisejících s bezpečností;

e) činnosti související se správou počítačů a sítí by měly být důkladně koordinovány, a to jak

z hlediska optimalizace služeb pro organizaci, tak pro zajištění jejich konzistence v rámci

celé infrastruktury zajišťující zpracování informací.

Další informace

Další informace k bezpečností sítí viz norma ISO/IEC 1802814.

10.6.2 Bezpečnost síťových služeb

Opatření

Měly by být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní

prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak

v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány

cestou outsourcingu.

Doporučení k realizaci

Způsobilost poskytovatele síťových služeb bezpečně zajistit správu dohodnutých síťových

služeb by měla být prověřena a průběžně monitorována, mělo by být odsouhlaseno právo

provádět audit.

Měla by být identifikována bezpečnostní nastavení spojená s konkrétními službami, jako jsou

bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na jejich správu. Organizace by

měla zajistit implementaci těchto opatření poskytovatelem síťových služeb.

Další informace

Síťové služby zahrnují poskytnutí připojení, služby privátních sítí, sítí s přidanou hodnotou

a správu bezpečnostních řešení jako jsou například bezpečnostní brány (firewall) a systémy pro

detekci průniku. Tyto služby mohou zahrnovat obyčejné přidělení neřízené šířky pásma

(kapacity) pro připojení až po komplexní řešení s přidanou hodnotou.

Bezpečnostní prvky síťových služeb mohou zahrnovat:

a) technologie použité pro zajištění bezpečnosti síťových služeb, jako např. autentizace,

šifrování a kontroly síťových spojení;

b) technické parametry požadované pro zajištění bezpečného připojení k síťovým službám

síťových připojení v souladu s platnými pravidly;

c) postupy omezující přístup k síťovým službám nebo k aplikacím.

10.7 Bezpečnost při zacházení s médii

Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení

činnosti organizace.

Média by měla být kontrolována a fyzicky zabezpečena.

Měly by být stanoveny náležité provozní postupy týkající se zabezpečení dokumentů,

počítačových médií (např. pásky, disky), vstupních/výstupních dat a systémové dokumentace

před neoprávněným prozrazením, modifikací, odstraněním nebo poškozením.

10.7.1 Správa vyměnitelných počítačových médií

Opatření

Měly by být vytvořeny postupy pro správu vyměnitelných počítačových médií.

Doporučení k realizaci

Pro správu vyměnitelných médií by měla být zvážena následující doporučení:

a) pokud již nejsou znovupoužitelná média potřebná, měl by být předtím, než jsou

odstraněna z organizace, vymazán jejich obsah;

b) v nutných případech by měla být požadována autorizace pro odstranění médií

z organizace a měl by se o tom vést záznam pro potřeby auditu;

c) ukládat všechna média v bezpečném prostředí v souladu se specifikacemi výrobce;

d) informace, u kterých požadavek na dostupnost přesahuje životnost médií (dle

specifikací výrobce) na kterých jsou uloženy, by měly být přemístěny, aby se zabránilo

jejich případné ztrátě;

e) zaregistrování všech vyměnitelných médií pro snížení pravděpodobnosti jejich ztráty;

f) použití vyměnitelných mechanik by mělo být povoleno jen v odůvodněných případech.

Všechny postupy a úrovně oprávnění by měly být jednoznačně zdokumentovány.

Další informace

Vyměnitelná média zahrnují pásky, disky, flashdisky, přenositelné harddisky, CD, DVD a tiskové

výstupy.

10.7.2 Likvidace médií

Opatření

Jestliže jsou média dále provozně neupotřebitelná, měla by být bezpečně a spolehlivě

zlikvidována.

Doporučení k realizaci

Při nedbalé likvidaci médií by se mohla citlivá data dostat do cizích rukou. Pro minimalizaci

tohoto rizika by měly být vytvořeny formální postupy bezpečné likvidace médií. Postupy pro

bezpečnou likvidaci by měly odpovídat citlivosti informací.

Zejména by měla být vzata následující opatření:

a) média, obsahující citlivé informace, by měla být bezpečně zlikvidována, například

spálením nebo skartováním nebo smazáním dat před jejich opětovným použitím jiným

způsobem v rámci organizace;

b) měly by být vytvořeny postupy pro identifikaci médií, které vyžadují bezpečnou likvidaci;

c) může být jednodušší stanovit pravidla bezpečného sběru a likvidace pro všechna

média, než se snažit vyčlenit ta s citlivými daty;

d) řada organizací nabízí sběr a likvidaci papíru, zařízení a médií. Při výběru vhodného

smluvního partnera je nutné dávat zejména pozor na to, aby dodržoval odpovídající

opatření a měl zkušenosti;

e) likvidace citlivých médií by měla být, podle možností, zaznamenávána pro potřeby

následného auditu.

Při nahromadění většího množství médií k likvidaci by měl být zvážen efekt agregace, kdy se

velké množství neklasifikovaných informací stává citlivějším než malé množství klasifikovaných

informací.

Další informace

Citlivé informace mohou být prozrazeny při nedbalé likvidaci médií (další informace o likvidaci

zařízení viz také 9.2.6).

10.7.3 Postupy pro manipulaci s informacemi

Opatření

Pro zabránění neautorizovanému přístupu nebo zneužití informací by měla být stanovena

pravidla pro manipulaci s nimi a pro jejich ukládání.

Doporučení k realizaci

Tato pravidla by měla zajistit manipulaci s informacemi, jejich zpracování, ukládání a sdílení

v souladu s jejich klasifikací (viz 7.2).

V úvahu by měla být vzata následující doporučení:

a) manipulace se všemi médii a jejich označování by mělo odpovídat jejich klasifikaci;

b) omezení přístupu pro zabránění vstupu neoprávněným osobám;

c) zachovávání záznamu o oprávněných příjemcích dat;

d) ověření kompletnosti vstupních dat, zda bylo zpracování řádně ukončeno a bylo provedeno

odsouhlasení výsledků;

e) ochrana tiskových dat, čekajících na výstup, na úrovni odpovídající jejich citlivosti;

f) ukládání médií způsobem odpovídajícím specifikacím výrobce;

g) udržování nutnosti distribuce dat na minimální úrovni;

h) zřetelné označování všech kopií dat pro všechny autorizované příjemce;

i) kontrola rozdělovníku a seznamu autorizovaných příjemců v pravidelných intervalech.

Další informace

Výše uvedené postupy jsou použitelné v dokumentech, počítačových systémech, sítích,

přenosných počítačích, mobilní sdělovací technice, poště, hlasové poště, hlasové komunikaci

obecně, v multimédiích, v poštovním styku, při použití faxů a při používání dalších citlivých

médií, například čistých bankovních šeků a faktur.

10.7.4 Bezpečnost systémové dokumentace

Opatření

Systémová dokumentace by měla být chráněna proti neoprávněnému přístupu.

Doporučení k realizaci

Pro ochranu systémové dokumentace před neoprávněným přístupem by mělo být zváženo

následující:

a) systémová dokumentace by měla být bezpečně uložena;

b) seznam oprávněných osob pro přístup k systémové dokumentaci by měl být omezen na

minimum a měl by být autorizován vlastníkem aplikace;

c) systémová dokumentace, která je uložena na veřejné síti nebo je jejím prostřednictvím

poskytována, by měla být odpovídajícím způsobem chráněna.

Další informace

Systémová dokumentace může obsahovat řadu citlivých informací, například popisy aplikačních

procesů, procedur, datových struktur, autorizačních procesů.

10.8 Výměny informací

Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich

výměně s externími subjekty.

Výměna informací a programů mezi organizacemi by měla být založena na formální politice,

prováděna v souladu s platnými dohodami a měla by být ve shodě s platnou legislativou (viz

kapitola 15).

Měly by být stanoveny postupy a normy pro ochranu informací a jejich nosičů při přepravě.

10.8.1 Postupy při výměně informací a programů

Opatření

Měly by být ustaveny a do praxe zavedeny formální postupy, politiky a opatření na ochranu

informací při jejich výměně pro všechny typy používaných komunikačních zařízení.

Doporučení k realizaci

Při vytváření postupů a zavádění opatření pro výměnu informací by mělo být zváženo

následující:

a) postupy určené na ochranu informací před jejich zachycením, odposloucháváním,

zkopírováním, modifikací, špatným směrováním a zničením;

b) postupy detekce a ochrany před škodlivými kódy, které mohou být přenášeny

elektronickou poštou (viz také 10.4:1);

c) postupy na ochranu citlivých informací přenášených v přílohách elektronické pošty;

d) politika a směrnice upravující použití zařízení pro elektronickou komunikaci (viz 7.1.3);

e) postupy pro použití bezdrátové komunikace s ohledem na související specifická rizika;

f) odpovědnost zaměstnanců, smluvních a třetích stran za to, že nezkompromitují

organizaci, například odesláním hanlivých zpráv, použitím elektronické pošty

k obtěžování či neautorizovaným nákupům, atd.;

g) použití kryptografických technik pro zajištění důvěrnosti, integrity a autentičnosti

přenášených informací (viz 12.3);

h) vytvoření pravidel pro uchování a likvidace veškeré obchodní korespondence, včetně

elektronické pošty v souladu s místní legislativou a předpisy;

i) nenechávat citlivé a kritické informace volně ležet v tiskárnách, kopírkách a faxech, kde

mohou být přístupné neautorizovaným osobám;

j) zavedení opatření a omezení souvisejících s přesměrováním elektronické komunikace,

např. automatické přeposílání elektronické pošty na externí emailovou adresu;

k) připomínání zaměstnancům, že mají dodržovat adekvátní opatrnost, například

neprobírat citlivé informace, které by mohly být při telefonování zaslechnuty či

odposlechnuty:

1. osobami v bezprostřední blízkosti, zejména při použití mobilního telefonu;

2. instalovaným odposlechem nebo jinou formou elektronického odposlouchávání

umožněného fyzickým přístupem k telefonnímu přístroji nebo telefonní lince nebo

použitím prohledávacích přijímačů při použití analogových mobilních nebo

bezdrátových telefonů;

3. dalšími osobami na druhé straně telefonu;

l) nenechávat zprávy na záznamníku, protože tyto zprávy mohou být přehrány

neautorizovanou osobou, uloženy do veřejné sítě nebo uloženy jako výsledek chybného

telefonátu;

m) upozorňování zaměstnanců na problémy spojené s použitím faxů, zejména:

1. neautorizovaný přístup k vnitřním pamětem pro uchování faxových zpráv s cílem

jejich opětovného vyvolání;

2. úmyslné nebo náhodné přeprogramování faxu tak, aby posílal zprávy na

specifická čísla;

3. posílání dokumentů a zpráv na špatné místo z důvodu překlepu v čísle nebo

použitím špatného čísla z paměti přístroje;

n) upozorňování zaměstnanců na to, aby při registraci programového vybavení nezadávali

své osobní údaje (např. emailová adresa), které pak mohou být použity neoprávněným

způsobem;

o) upozorňování zaměstnanců na to, že moderní faxová zařízení a kopírky používají

vyrovnávací paměť, ve které je uložen obsah tištěných stránek, pro případ, že

v zásobníku dojde papír nebo nastane chyba při přenosu dat.

Zaměstnanci by dále měli být upozorněni na to, aby nevedli důvěrnou konverzaci na veřejnosti,

v otevřené kanceláři a na místech, kde jsou tenké zdi.

Zařízení použitá pro výměnu informací by měla splňovat požadavky relevantní legislativy (viz

kapitola 15).

Další informace

Výměna informací může probíhat s použitím celé řady různých typů komunikačních zařízení,

zahrnujících elektronickou poštu, hlasová zařízení, fax a video.

Výměna programů může probíhat za použití různých počítačových médií, stáhnutím programů

z internetu a nebo jejich nákupem od oficiálního prodejce.

Měly by být zváženy provozní a bezpečnostní dopady v souvislosti s elektronickou výměnou dat

(EDI), elektronickým obchodem a elektronickou poštou a společně s požadavky na

bezpečnostní opatření.

Informace mohou být ohroženy díky nedostatku bezpečnostního povědomí, neznalosti pravidel

a postupů používání odpovídající techniky, například zaslechnutí obsahu hovoru vedeného

pomocí mobilního telefonu na veřejných místech, zaslechnutí obsahu zprávy na telefonním

záznamníku nebo fax zaslaný omylem nesprávné osobě.

Aktivity organizace mohou být přerušeny a informace ohroženy při chybách komunikačních

prostředků, jejich přetížení nebo rušení (viz 10.3 a kapitola 14). Informace mohou být také

ohroženy v případě, že jsou tyto prostředky přístupné neoprávněným uživatelům (viz kapitola

11).

10.8.2 Dohody o výměně informací a programů

Opatření

Výměna informací a programů by měla být založena na dohodách uzavřených mezi organizací

a externími subjekty.

Doporučení k realizaci

V dohodách o výměně informací a programů by měly být zváženy následující bezpečnostní

hlediska:

a) odpovědnosti vedoucích zaměstnanců týkající se kontroly a potvrzení oznámení

o přenosu, odeslání a přijetí;

b) postupy pro oznámení odesílateli (přenos, odeslání a přijetí);

c) postupy pro zajištění nepopiratelnosti doručení;

d) minimální technické normy pro balení a přepravu;

e) dohody o uložení zdrojových kódů programů a informací u nezávislé třetí strany;

f) pravidla pro identifikaci kurýra;

g) odpovědnosti a povinnosti v bezpečnostního incidentu, například v případě ztráty dat;

h) použití schváleného systému označování citlivých a kritických informací, zaručujícího

okamžité pochopení smyslu označení a toho, že informace je odpovídajícím způsobem

chráněna;

i) vlastnictví dat a programového vybavení a odpovědnosti za ochranu osobních údajů,

dodržování autorských práv a další podobné otázky (viz 15.1.2 a 15.1.4);

j) technické normy pro nahrávání a čtení informací a programů;

k) jakákoliv zvláštní opatření pro ochranu citlivých předmětů, jako jsou například šifrovací klíče

(viz 12.3).

Měly by být vytvořeny a do praxe zavedeny politiky, směrnice a standardy na ochranu informací a médií

při přepravě (viz také 10.8.3) a měly by být odkazovány v uzavřených dohodách.

Bezpečnostní část těchto dohod by měla odrážet citlivost všech vyměňovaných informací organizace.

Další informace

Výměna informací a programů (elektronická i manuální) mezi organizacemi by měla být

založena na dohodách, z nichž některé mohou mít podobu formálních smluv nebo mohou být

součástí podmínek pracovního vztahu. Postup výměny citlivých informací by měl být pro všechny

zúčastněné organizace a uzavřené dohody nastaven stejně.

10.8.3 Bezpečnost médií při přepravě

Opatření

Média obsahující informace by měla být během přepravy mimo organizaci chráněna proti

neoprávněného přístupu, zneužití nebo narušení.

Doporučení k realizaci

Aby byla zajištěna ochrana počítačových médií během jejich přepravy mezi lokalitami, měla by

být aplikována následující opatření:

a) použití spolehlivé dopravy nebo spolehlivých kurýrů;

b) seznam oprávněných kurýrů by mělo schválit vedení organizace;

c) obal by měl být dostatečný, aby chránil obsah před jakýmkoliv fyzickým poškozením,

které by mohlo vzniknout během přepravy, a měl by být v souladu se specifikacemi

výrobce. Například ochrana proti vlivům okolí jako jsou horko, vlhko nebo

elektromagnetické pole, které mohou snížit účinnost obnovy uložených informací;

d) v případě potřeby by měla být přijata zvláštní opatření pro ochranu citlivých informací

před neoprávněným prozrazením nebo modifikací. Například:

1. používání uzamykatelné přepravní skříňky;

2. osobní doručování;

3. balení odolné proti vniknutí (které umožňuje odhalit jakýkoliv pokus o získání

přístupu);

4. ve výjimečných případech rozdělení zásilky do více dílčích zásilek a odeslání

různými cestami.

Další informace

Informace mohou být během přepravy zranitelné ze strany neoprávněného přístupu, zneužití

nebo narušení, například při zasílání médií poštou nebo kurýrem.

10.8.4 Elektronické zasílání zpráv

Opatření

Elektronicky přenášené informace by měly být vhodným způsobem chráněny.

Doporučení k realizaci

Při návrhu opatření na ochranu elektronické komunikace by mělo být zváženo následující:

a) ochrana informací proti neoprávněnému přístupu, modifikaci nebo odmítnutí služby;

b) zajištění správného přenosu a adresování zpráv;

c) celková spolehlivost a dostupnost služeb;

d) zákonné požadavky, například požadavky na elektronický podpis;

e) získání souhlasu používat externí veřejné služby jako je například okamžité odesílání

zpráv (instant messaging) nebo sdílení souborů;

f) silnější úroveň kontroly oprávněnosti vzdálených přístupů uživatelů.

Další informace

Elektronické komunikace jako elektronická pošta (email), elektronická výměna dat (EDI)

a okamžitý odesílatel zpráv (instant messenger) jsou důležitou součástí obchodní komunikace.

Elektronická komunikace je vystavena jinému okruhu bezpečnostních rizik než tradiční výměna

informací v papírové podobě.

10.8.5 Podnikové informační systémy

Opatření

Na ochranu informací v propojených podnikových informačních systémech by měla být

vytvořena a do praxe zavedena politika a odpovídající směrnice.

Doporučení k realizaci

Pozornost, věnovaná bezpečnosti a dopadům na provozní činnosti vyplývající z propojení

systémů, by měla zahrnovat:

a) známé zranitelnosti administrativních a účetních systémů tam, kde jsou informace

sdíleny mezi jednotlivými částmi organizace;

b) zranitelnost informací v podnikových komunikačních systémech, například

zaznamenávání telefonních nebo konferenčních hovorů, důvěrnost hovorů, uchovávání

faxů, otevírání pošty, distribuce pošty;

c) politika a vhodná opatření pro správu sdílených informací;

d) vyjmutí citlivých informací a dokumentů podléhajících utajení v případě, že systém nemá

odpovídající úroveň ochrany (viz 5.2);

e) omezení přístupu k časovým plánům vybraných osob, například těch, které pracují na citlivých

projektech;

f) skupiny zaměstnanců a smluvních nebo obchodních partnerů, které mohou systém

používat, a lokality, z nichž je povolen přístup k systému (viz 6.2 a 6.3);

g) omezení určitých zařízení pro vybrané kategorie uživatelů;

h) identifikaci statutu uživatele, například seznamy zaměstnanců organizace a smluvních

partnerů v adresáři využívaném dalšími uživateli;

i) zálohování informací uložených v systému a uchovávání záloh (viz 10.5.1);

j) požadavky na náhradní provoz a prostředky pro jeho zajištění (viz 14).

Další informace

Elektronické kancelářské systémy poskytují příležitosti pro rychlejší šíření a sdílení informací

organizace za použití kombinace dokumentů, počítačů, přenosných počítačů, mobilní

komunikace, pošty, hlasové pošty, hlasové komunikace obecně, multimédií, poštovních služeb

a faxů.

10.9 Služby elektronického obchodu

Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.

Měly by být zváženy bezpečnostní dopady a požadavky na opatření spojené s použitím služeb

podporujících elektronický obchod, včetně on-line transakcí. Pozornost by měla být věnována

ochraně integrity a dostupnosti elektronicky publikovaných informací na veřejně přístupných

systémech.

10.9.1 Elektronický obchod

Opatření

Informace přenášené ve veřejných sítích v rámci elektronického obchodování by měly být

chráněny před podvodnými aktivitami, před zpochybňováním smluv, prozrazením či modifikací.

Doporučení k realizaci

Úvahy o bezpečnosti elektronického obchodu by měly zahrnovat následující:

a) úroveň důvěry v proklamovanou identitu (např. formou autentizace) druhé strany, kterou

každá ze stran (zákazník a obchodník) požaduje;

b) proces autorizace pro nastavení cen, vydávání nebo podepisování důležité obchodní

dokumentace;

c) zajištění toho, aby obchodní partneři byli dostatečně informováni o svých oprávněních;

d) stanovení a naplnění požadavků na důvěrnost, integritu a průkaznost odeslání a přijetí

klíčových dokumentů a na nepopíratelnost odpovědnosti za smlouvy, např. v rámci

výběrových řízení a smluvních procesů;

e) úroveň vyžadované důvěry v integritu zveřejněných ceníků;

f) důvěrnost jakýchkoliv citlivých dat a informací;

g) důvěrnost a integrita informací představujících objednávku, informací o plátci

a adresátovi a potvrzení příjmu;

h) odpovídající stupeň kontroly pro ověření informací o platbě od zákazníka;

i) výběr nejvhodnějšího způsobu platby zamezujícího podvodu;

j) úroveň ochrany vyžadované pro zaručení důvěrnosti a integrity informací objednávky;

k) prevence proti ztrátě nebo duplikaci transakcí;

l) odpovědnost za podvodné transakce;

m) požadavky na pojištění.

Mnohé z předcházejícího může vyřešit použití kryptografických technik, popsaných v 12.3, při

zvážení souladu se zákonnými požadavky (viz 15.1, a zvlášť 15.1.6 pro kryptografickou

legislativu).

Dohody o elektronickém obchodování mezi obchodními partnery by měly být podepřeny

písemnou smlouvou, v níž se obě strany zavazují k dohodnutým obchodním podmínkám, včetně

detailů autorizace (viz předcházející b)). Mohou být potřebné i další dohody s poskytovateli

informačních a síťových služeb.

Veřejné obchodní systémy by měly publikovat své obchodní podmínky pro zákazníky.

Pozornost by měla být věnována odolnosti proti útokům na hostitelský systém používaný pro

elektronický obchod a bezpečnostním dopadům síťových propojení, nutných pro jeho

implementaci (viz 11.4.6).

Další informace

Elektronický obchod je zranitelný ze strany velkého počtu síťových hrozeb, což může mít za

následek výskyt podvodných aktivit, námitky vůči podmínkám smluv a prozrazení či modifikaci

informací.

Pro účely elektronického obchodu může být využito řady autentizačních metod, např. používání

veřejných šifrovacích klíčů a digitálních podpisů (viz také 12.3) na snížení rizika. Pro tyto účely

může být využito služeb důvěryhodných třetích stran.

10.9.2 On-line transakce

Opatření

Měla by být zajištěna ochrana informací přenášených při on-line transakcích tak, aby byl

zajištěn úplný přenos informací a zamezilo se špatnému směrování, neoprávněné změně zpráv,

neoprávněnému prozrazení, neoprávněné duplikaci nebo opakování zpráv.

Doporučení k realizaci

Pro zabezpečení on-line transakcí by mělo být zváženo následující:

a) použití elektronického podpisu všemi účastníky transakce;

b) všechny aspekty související s transakcí, zajištění toho, že:

1. jsou prověřena platnost oprávnění všech zúčastněných stran;

2. transakce bude důvěrná;

3. bude chráněno soukromí všech zúčastněných stran;

c) šifrování komunikace mezi zúčastněnými stranami;

d) zabezpečení protokolů použitých pro komunikaci;

e) zajištění toho, aby úložiště detailních informací o transakcích nebylo veřejně přístupné,

např. v intranetu organizace. Informace by neměly být uchovávány tak, aby byly volně

přístupné z internetu;

f) tam kde je použito služeb důvěryhodné autority (např. pro účely vystavení a udržování

digitálních podpisů a/nebo certifikátů) je bezpečnost součástí celého procesu správy

certifikátu/podpisu.

Další informace

Rozsah přijatých opatření by měl být úměrný velikosti rizik spojených s každým typem on-line

transakce.

Provedené transakce by měly odpovídat zákonům, pravidlům a omezením podle jurisdikce, ve

které je transakce zahájena, skrze kterou probíhá a kde je ukončena a nebo informace o ní

uloženy.

Existuje řada různých transakcí, které mohou být prováděny online, např. finanční transakce.

10.9.3 Veřejně přístupné informace

Opatření

Informace publikované na veřejně přístupných systémech by měly být chráněny proti

neoprávněné modifikaci.

Doporučení k realizaci

Programy, data a jiné informace zpřístupňované na veřejně dostupných systémech a vyžadující

vysoký stupeň integrity by měly být chráněny adekvátními mechanizmy, jako například

digitálním podpisem (viz 12.3). Veřejně přístupné systémy by měly být, předtím než jsou na ně

umístěny informace, testovány na slabiny a možná selhání.

Pro zveřejnění informací by měly existovat formální schvalovací procesy. Veškeré vstupy

poskytnuté zvenčí by měly být prověřeny a projít schválením.

Elektronické publikační prostředky a systémy, zejména ty, které umožňují zpětnou vazbu a přímý

vstup informací, by měly být pečlivě kontrolovány, aby:

a) získávání informací bylo plně v souladu s legislativou (viz 15.1.4);

b) vstup a zpracování informací v systému proběhlo úplně a korektně a v daném časovém

rámci;

c) citlivé informace byly v průběhu sběru, zpracování a ukládání ochráněny;

d) přístup k veřejně přístupným prostředkům neumožnil nechtěný přístup i k dalším sítím,

které jsou k těmto prostředkům připojeny.

Další informace

Informace na veřejně přístupných systémech, například informace na webových serverech

přístupné prostřednictvím Internetu, by měly odpovídat zákonům, pravidlům a omezením podle

jurisdikce, ve které je systém umístěn nebo kde je realizován obchod. Neoprávněná modifikace

publikovaných informací může vážně poškodit dobrou pověst organizace.

10.10 Monitorování

Cíl: Detekovat neoprávněné zpracování informací.

Systémy by měly být monitorovány a bezpečnostní události zaznamenávány. Pro zajištění

včasné identifikace problémů informačních systémů by měl být používán operátorský deník

a záznamy předchozích selhání.

Veškeré aktivity související s monitorováním a zaznamenáváním událostí by měly být v souladu

s relevantními zákonnými požadavky.

Monitorování systému umožňuje kontrolování účinnosti přijatých opatření a ověření souladu

s modelem politiky řízení přístupu.

10.10.1 Zaznamenávání událostí

Opatření

Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, by měly být

pořizovány a uchovány po stanovené období tak, aby byly se daly použít pro budoucí

vyšetřování a pro účely monitorování řízení přístupu.

Doporučení k realizaci

Auditní záznamy by měly také obsahovat:

a) identifikátory uživatelů (uživatelská ID);

b) datum, čas a podrobnosti klíčových událostí, např. přihlášení a odhlášení;

c) identifikátor terminálu nebo místa, pokud je to možné;

d) záznam o úspěšných a odmítnutých pokusech o přístup k systému;

e) záznam o úspěšných a odmítnutých pokusech o přístup k datům a jiným zdrojům;

f) změny konfigurace systému;

g) použití oprávnění;

h) použití systémových nástrojů a aplikací;

i) soubory, ke kterým bylo přistupováno a typ přístupu;

j) sítě, ke kterým bylo přistupováno a použité protokoly;

k) alarmy vyvolané systémy pro kontrolu přístupy;

l) aktivaci a deaktivaci ochranných systémů, jako jsou antivirové systémy a systémy pro

detekci průniku.

Další informace

Auditní záznamy mohou obsahovat důvěrné osobní údaje. Měla by být přijata vhodná opatřená

na jejich ochranu (viz také 15.1.4). Pokud je to možné, neměli by systémoví administrátoři mít

oprávnění mazat záznamy a nebo deaktivovat vytváření záznamů o své vlastní činnosti (viz

10.1.3).

10.10.2 Monitorování používání systému

Opatření

Měla by být stanovena pravidla pro monitorování použití zařízení pro zpracování informací,

výsledky těchto monitorování by měly být pravidelně přezkoumávány.

Doporučení k realizaci

Požadovaná úroveň monitorování jednotlivých prostředků by měla být stanovena na základě

hodnocení rizik. Veškeré aktivity související s monitorováním událostí by měly být v souladu

s relevantními zákonnými požadavky.

Oblasti, které by se měly vzít v úvahu, jsou následující:

a) neautorizovaný přístup, včetně informací jako:

1. uživatelské ID;

2. datum a čas klíčových událostí;

3. druh událostí;

4. soubory, ke kterým bylo přistupováno;

5. použité programy/nástroje;

b) všechny privilegované operace, jako:

1. použití privilegovaných účtů, např. účtu supervisora, administrátora;

2. spuštění a ukončení systému;

3. připojení a odpojení vstupně/výstupních zařízení;

c) pokusy o neoprávněný přístup, jako:

1. neúspěšné nebo odmítnuté aktivity uživatelů;

2. neúspěšné nebo odmítnuté pokusy o přístup k datům nebo jiným zdrojům;

3. narušení přístupové politiky a upozornění od síťových bran a firewallů;

4. varování speciálních systémů pro detekci průniků;

d) systémová varování nebo chyby, jako:

1. zprávy nebo varování z konzole;

2. výjimky v systémových záznamech;

3. alarmy správy sítě;

4. alarmy spuštěné systémy pro kontrolu přístupu;

e) změny nebo pokusy o změnu bezpečnostních opatření nastavení bezpečnosti

systému.

Výstupy monitorování by měly být pravidelně kontrolovány. Frekvence kontrol by měla záviset na

zjištěných rizicích. Měly by být zváženy následující rizikové faktory:

a) kritičnost aplikačních procesů;

b) hodnota, citlivost nebo kritičnost ovlivněných informací;

c) minulé zkušenosti s průnikem do systému a jeho zneužitím a frekvence s jakou jsou

zneužívány existující zranitelnosti systému;

d) stupeň propojení systémů (zejména veřejné sítě);

e) deaktivace zařízení pro zaznamenávání událostí.

10.10.3 Ochrana vytvořených záznamů

Opatření

Zařízení pro zaznamenávání informací a vytvořené záznamy by měly být vhodným způsobem

chráněny proti neoprávněnému přístupu a zfalšování.

Doporučení k realizaci

Opatření by se měla zaměřovat na ochranu proti neautorizovaným změnám a provozním

problémům, včetně:

a) úpravy zaznamenávaných druhů zpráv;

b) editování nebo mazání záznamů;

c) nedostatečné kapacity médií pro záznamy a následné nezaznamenávání nebo přepisování

předchozích událostí.

Další informace

Systémové záznamy často obsahují velké množství informací, z nichž většina nesouvisí

s bezpečnostním monitorováním. Při identifikaci důležitých událostí pro účely sledování

bezpečnosti by měla být zvážena možnost automatického kopírování vhodných typů zpráv do

druhého protokolu a/nebo použití vhodných systémových programů nebo nástrojů auditu

k vyšetřování souborů.

Systémové záznamy musí být dostatečně chráněny, protože data, která mohou být

modifikována nebo vymazána mohou vytvořit falešný pocit bezpečí.

10.10.4 Administrátorský a operátorský deník

Opatření

Aktivity správce systému a systémového operátora by měly být zaznamenávány.

Doporučení k realizaci

Záznamy by měly obsahovat:

a) čas kdy došlo k události (úspěšné i neúspěšné pokusy);

b) podrobnosti o události (např. seznam použitých souborů) nebo o chybách (např. jaké

chyby se objevily a jakým způsobem byly odstraněny);

c) jaký účet byl použit, který správce nebo operátor ho použil;

d) dotčené procesy.

Administrátorský a operátorský deník by měly být v pravidelných intervalech přezkoumávány.

Další informace

Pro monitorování systémových a síťových aktivit správců je možné použít externě spravovaný

systém pro detekci průniku.

10.10.5 Záznam selhání

Opatření

Měly by být zaznamenány a analyzovány chyby a provedena opatření k nápravě.

Doporučení k realizaci

Hlášení uživatelů o problémech systému pro zpracování nebo výměnu informací by měla být

zaznamenána. Měla by existovat jasná pravidla pro zacházení s nahlášenými chybami,

zahrnující:

a) přezkoumání záznamů chyb k zajištění jejich uspokojivého řešení;

b) přezkoumání opatření k nápravě, zajišťujících, aby bezpečnostní opatření nebyly

zneužity a prováděné činnosti byly schváleny.

Mělo by být zajištěno zaznamenávání selhání (porucha), pokud to systém umožňuje.

Další informace

Zaznamenávání selhání (poruch) a chyb může ovlivnit výkon systému. Zaznamenávání selhání

a chyb by mělo být umožněno pouze kompetentním personálu, rozsah zaznamenávání byl měl

být pro každý jednotlivý systém nastaven na základě hodnocení rizik.

10.10.6 Synchronizace času

Opatření

Hodiny všech důležitých systémů pro zpracování informací by měly být v rámci organizace nebo

domény synchronizovány se schváleným zdrojem přesného času.

Doporučení k realizaci

V případě, že počítačová nebo komunikační zařízení používají hodiny s reálným časem, měly

by být nastaveny na smluvený standard, například greenwichský nebo místní čas. Protože

některé hodiny se předcházejí nebo zpožďují, měly by existovat postupy, které kontrolují

a korigují všechny významnější změny.

Z hlediska správného určení reálného vzniku časové značky je důležitá správná interpretace

formátu datum/čas. V úvahu by také měla být vzata místní specifika (např. letní čas).

Další informace

Správné nastavení počítačových hodin je důležité pro zajištění přesnosti auditních záznamů, které

mohou být potřebné pro vyšetřování nebo jako důkaz při soudních či disciplinárních řízeních.

Nepřesné auditní záznamy mohou takové vyšetřování brzdit nebo mohou narušit důvěryhodnost

takového důkazu. Pro nastavení přesného času primárního serveru může být například využit

GPS signál nebo radiový signál z atomových hodin. Pro automatickou synchronizaci času všech

ostatních klientů s primárním serverem lze použít protokol NTP (Network Time Protocol).