Řízení komunikace a řízení provozu
10.1 Provozní postupy a odpovědnosti
Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.
Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících
informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů.
V případě potřeby by měl být uplatněn princip oddělení funkcí, aby se snížilo riziko úmyslného
zneužití systému nebo zneužití z nedbalosti.
10.1.1 Dokumentace provozních postupů
Opatření
Provozní postupy by měly být zdokumentovány a udržovány a měly by být dostupné všem
uživatelům dle potřeby.
Doporučení k realizaci
Měly by být zdokumentovány postupy správy pro činnosti spojené s prostředky pro zpracování
informací a komunikaci, jako například spuštění a zastavení systému, zálohování dat, údržba
zařízení, zacházení s médii, správa počítačové místnosti, zacházení s korespondencí
a bezpečnost práce.
Provozní postupy by měly obsahovat návod pro detailní výkon každé činnosti, včetně:
a) zpracování a zacházení s informacemi;
b) zálohování dat (viz 10.5);
c) časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas
začátku první a dokončení poslední úlohy;
d) popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly
vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů (viz
11.5.4);
e) spojení na kontaktní osoby v případě neočekávaných systémových nebo technických
potíží;
f) instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním
materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými
výstupy z aplikací v případě jejich selhání (viz 10.7.2 a 10.7.3);
g) postupy při restartu systému a obnovovací postupy v případě selhání systému;
h) nakládání s auditními a systémovými záznamy (viz 10.10).
Provozní dokumentace a zdokumentované postupy systémových činností by měly být brány jako
oficiální dokumentace a jejich změny by měly být odsouhlaseny vedoucími zaměstnanci. Pokud je
to technicky proveditelné měla by být správa jednotlivých informačních systémů konzistentní
(použití stejných postupů, nástrojů a služeb).
10.1.2 Řízení změn
Opatření
Změny ve vybavení a zařízení pro zpracování informací by měly být řízeny.
Doporučeni k realizaci
Provozní systémy a aplikační programové vybavení by měly podléhat přísnému řízení změn.
V úvahu by měla být zejména vzata následující opatření:
a) identifikace a zaznamenání důležitých změn;
b) plánování a testování změn;
c) zhodnocení potenciálních dopadů (včetně dopadů na bezpečnost) takových změn;
d) formální schvalovací postup pro navrhované změny;
e) seznámení všech osob, kterých se to dotýká, s detaily změn;
f) postupy určující odpovědnosti za přerušení změnového zásahu a obnovení provozu
v případě jejich neúspěchu.
Pro zajištění dostatečné úrovně řízení změn zařízení, programového vybavení nebo postupů, by
měly být stanoveny formální řídící postupy a odpovědnosti. O změnách programového vybavení
by měly být uchovávány veškeré relevantní informace, například v podobě auditních záznamů.
Další informace
Nedostatečná kontrola změn v prostředcích pro zpracování informací a systémech je běžnou
příčinou bezpečnostních a systémových chyb. Změny provozního prostředí, zejména při přechodu
z vývojového prostředí do ostrého provozu, mohou mít dopad na spolehlivost aplikací (viz také
12.5.1).
Změny provozních systémů by měly být prováděny pouze v nutných případech, například dojde-li
k nárůstu rizika. Instalace nejnovějších verzí provozních systémů a aplikací by měla být předem
dobře zvážena. Může zavést nové zranitelnosti a způsobit větší nestabilitu systému než předchozí
verze, často je také spojena s dodatečným zaškolením personálu, s licenčními poplatky, poplatky za
podporu a údržbu, nákupem nového hardwaru a dodatečnou administrací.
10.1.3 Oddělení povinností
Opatření
Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace by mělo být
zváženo oddělení jednotlivých povinností a odpovědností.
Doporučení k realizaci
Princip oddělení povinností minimalizuje riziko úmyslného nebo nedbalostního zneužití
systému. Pozornost by měla být věnována oblastem s nedělenou odpovědností jedince, který
by mohl mít přístup k aktivům, mohl by je modifikovat nebo používat bez řádného oprávnění
aniž by to bylo zjištěno. Vyvolání události by mělo být odděleno od jejího schválení. Při návrhu
opatření by měla být zvážena možnost spolčení angažovaných jedinců.
V malých organizacích může být tato metoda řízení obtížně použitelná, ale tento princip by měl
být aplikován tak, jak to je jen možné. Všude, kde je oddělení složité, by měla být zvážena jiná
opatření, jako monitorování činností, auditní záznamy a dohled nadřízených zaměstnanců. Je
důležité, aby bezpečnostní audit zůstal nezávislý.
10.1.4 Oddělení vývoje, testování a provozu
Opatření
Pro snížení rizika neoprávněného přístupu k provoznímu systému a nebo jeho změn by mělo být
zváženo oddělení procesů vývoje, testování a provozu.
Doporučení k realizaci
Pro prevenci provozních problémů by měla být zvážena nezbytná úroveň oddělení provozního,
testovacího a vývojového prostředí a zavedena vhodná opatření.
V úvahu by měla být vzata následující opatření:
a) měla by být stanovena a dokumentována pravidla pro převod programů z vývojového
do provozního prostředí;
b) vývojové a provozní programové vybavení by mělo být provozováno na různých
počítačích nebo v různých doménách či adresářích;
c) překladače, editory a jiné systémové utility by neměly být dosažitelné z provozních
systémů, pokud to není nutné;
d) testovací prostředí by mělo co nejvíce simulovat provozní prostředí;
e) pro provozní a testovací systémy by měly být používány různé uživatelské profily.
Nabídky by měly zobrazovat vhodné identifikační zprávy, aby se snížilo riziko chyby;
d) citlivá data by neměla být kopírována do testovacích systémů (viz 12.4.2).
Další informace
Vývoj a testování mohou způsobit vážné problémy, například nechtěnou modifikaci souborů,
prostředí nebo způsobení systémové chyby. Je proto potřebné mít známé a stabilní prostředí,
které zaručí smysluplnost testování a rozpozná nevhodný přístup vývojářů.
Tam, kde má vývojový a testovací personál přístup k provoznímu systému, může být schopen
vnést do něj neschválený a netestovaný kód nebo změnit provozní data. V některých
systémech by tato možnost mohla být zneužita k podvodu nebo k zavedení netestovaného
nebo škodlivého kódu. Takový kód může způsobit vážné provozní problémy.
Vývojáři a personál provádějící testování mohou také představovat hrozbu pro důvěrnost
provozních dat. Vývojové a testovací práce, v případě že sdílejí stejné výpočetní prostředí,
mohou umožnit i nechtěné změny programů a informací. Oddělení vývojových, testovacích
a provozních zařízení je proto žádoucí pro snížení rizika nechtěných změn nebo neautorizovaného
přístupu k provozním programům a obchodním datům (viz také 12.4.2).
10.2 Řízení dodávek třetích stran
Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve
shodě s uzavřenými dohodami.
Pro zajištění toho, že služby dodávané třetími stranami jsou v souladu
s dohodnutými požadavky, by organizace měla kontrolovat realizaci dohod, monitorovat míru
souladu jejich dodržování a v případě potřeby zajistit nápravu.
10.2.1 Dodávky služeb
Opatření
Zajistit, aby úroveň služeb týkajících se bezpečnosti informací poskytovaných třetí stranou byla
v souladu se smluvními podmínkami.
Doporučení k realizaci
Součástí služeb poskytovaných třetí stranou by měla být realizace dohodnutých bezpečnostní
opatření, vymezení služeb a jejich správy. V případech, kdy jsou služby zajištěny formou
outsourcingu, by organizace měla naplánovat nezbytný přenos (informací, zařízení pro
zpracování informací a čehokoliv co vyžaduje přesun), a zajistit bezpečnost po celou dobu
přenosu.
Organizace by měla zajistit, aby třetí strana měla dostatečné kapacity a měla navržené
a otestované plány pro zajištění kontinuity, a dohodnuté úrovně, poskytovaných služeb
v případě jejich selhání nebo v případě krizové události (viz 14.1).
10.2.2 Monitorování a přezkoumávání služeb třetích stran
Opatření
Služby, zprávy a záznamy poskytované třetí stranou by měly být monitorovány a pravidelně
přezkoumávány, audity by měly být opakovány v pravidelných intervalech.
Doporučení k realizaci
Monitorování a přezkoumávání služeb poskytovaných třetími stranami, by mělo zajistit, že je
dodržována bezpečnost informací a dohodnuté podmínky, a že vzniklé bezpečnostní incidenty
a nastalé problémy jsou řešeny odpovídajícím způsobem. Toto by také mělo zahrnovat kontrolu
dodržování smluvních podmínek a ostatních činností ve vazbě na smluvní vztah:
a) monitorování úrovně poskytovaných služeb na dohodnuté úrovni;
b) přezkoumávání hlášení o službách poskytovaných třetí stranou a uspořádání
pravidelných informativních schůzek;
c) poskytnutí informací o bezpečnostních incidentech a přezkoumání poskytnutých
informací jak třetí stranou, tak organizací, podle toho jak je stanoveno v dohodách,
metodických pokynech a směrnicích;
d) přezkoumání auditních záznamů týkajících přístupů k systému a činností prováděných
v systému, záznamů o bezpečnostních událostech, provozních problémech, selháních,
chybách a přerušeních poskytovaných služeb;
e) řešení a zvládání nastalých problémů.
Organizace by měla určit osobu nebo ustavit servisní tým pracovníků odpovědných za
nastavení a udržování vztahů se třetí stranou. Dále by měla organizace zajistit, že třetí strana
určí odpovědnosti pro kontrolu souladu a prosazování požadavků stanovených v dohodách.
K dispozici by měl být personál s dostatečnými technickými dovednostmi a zdroje pro
monitorování požadavků stanovených v dohodách (viz 6.2.3), zejména pak dodržování
požadavků na bezpečnost informací. V případě, že je zjištěn jakýkoliv nesoulad
v poskytovaných službách, by měla být sjednána náprava.
Organizace by měla zajistit dostatečnou kontrolu a transparentnost všech aspektů bezpečnosti
týkajících se citlivých a kritických informací nebo zařízení pro zpracování informací, ke kterým je
přistupováno, jsou zpracovávány a nebo jsou spravovány třetí stranou. Organizace by měla
zajistit dohled nad činnostmi souvisejícími s bezpečností, jako je např. řízení změn, identifikace
zranitelností, proces zaznamenávání a reakce na bezpečností incidenty.
Další informace
V případě, že jsou služby zajištěny formou outsourcingu nese organizace konečnou
odpovědnost za zpracovávané informace.
10.2.3 Řízení změn služeb poskytovaných třetími stranami
Opatření
Změny v poskytování služeb, včetně udržování a zlepšování existujících bezpečnostních politik,
směrnic a bezpečnostních opatření, by měly být řízeny s ohledem na kritičnost systémů
a procesů organizace, které jsou součástí opakovaného hodnocení rizik.
Doporučení k realizaci
Proces řízení změn služeb poskytovaných třetí stranou by měl reflektovat:
a) nutné změny provedené organizací za účelem:
1. vylepšení aktuálně nabízených služeb;
2. vývoje nových aplikací a systémů;
3. změny a aktualizace stávajících politik a směrnic;
4. realizace nových opatření pro zvládání bezpečnostní incidentů a opatření na
zvýšení bezpečnosti;
b) nutné změny služeb poskytovaných třetích stranou za účelem:
1. změny a vylepšení sítí;
2. použití nových technologií;
3. zavedení nových produktů nebo nových verzí/aktualizací programů;
4. změny fyzického umístění servisních zařízení;
5. změny dodavatelů.
10.3 Plánování a přejímání informačních systémů
Cíl: Minimalizovat riziko selhání informačních systémů.
Pro zajištění odpovídající kapacity a zdrojů a výkonu informačního systému je nutné provést
odpovídající přípravu a plánování.
Aby se snížilo riziko přetížení systému, měl by být vytvářen odhad budoucích kapacitních
požadavků.
Před schválením nových systémů a před jejich uvedením do provozu by k nim měly být
stanoveny, písemně zdokumentovány a otestovány provozní požadavky.
10.3.1 Řízení kapacit
Opatření
Pro zajištění požadovaného výkonu informačního systému, s ohledem na budoucí kapacitní
požadavky, by mělo být monitorováno, nastaveno a projektováno využití zdrojů.
Doporučení k realizaci
Pro každou stávající a plánovanou činnost by měly být identifikovány kapacitní požadavky. Pro
zajištění a tam, kde je to nezbytné pro zlepšení dostupnosti a efektivity systému, by mělo být
aplikováno monitorování a zlepšování výkonu systému. Měla by být zavedena opatření
umožňující včasnou detekci vzniklých problémů. Součástí provozních a systémových
doporučení by měl být i požadavek na plánování budoucí spotřeby kapacit na současný
a uvažovaný směr vývoje ve zpracování informací v organizaci.
Zvláštní pozornost by měla být věnována zdrojům, které vyžadují delší dobu pro realizaci
dodávky nebo obnášejí vysoké náklady. Vedoucí pracovníci by měli sledovat trendy jejich
použití, zejména pak v relaci k aplikacím organizace a nástrojům pro správu systému.
Tyto informace by měly být použity pro identifikaci a prevenci kritických míst, které by mohly
způsobovat ohrožení bezpečnosti nebo uživatelských služeb, a pro naplánování vhodných
opatření k nápravě.
10.3.2 Přejímání systémů
Opatření
Měla by být určena kritéria pro přejímání nových informačních systémů, jejich aktualizaci
a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před
zavedením do ostrého provozu.
Doporučení k realizaci
Vedoucí zaměstnanci by měli zajistit, aby požadavky a kritéria pro přejímání nových
počítačových systémů byly jednoznačně definovány, schváleny, zdokumentovány a testovány.
Přechod na nové systémy, instalace aktualizací a zavádění nových verzí by měl být formálně
schválen. Předtím než je provedeno formální schválení mělo by zváženo následující:
a) požadavky na výpočetní a paměťový výkon;
b) postupy pro zotavení se z chyb a restartů systému, a havarijní plány;
c) příprava a testování rutinních provozních postupů, které by představovaly normu;
d) schválená sada nasazených bezpečnostních opatření;
e) účinné manuální operace;
f) plán kontinuity činností organizace (viz 14.1);
g) potvrzení, že instalace nového systému nebude mít nepříznivý vliv na existující
systémy, zejména v době špičky zatížení, jako je například konec měsíce;
h) potvrzení, že byly zváženy dopady nového systému na celkovou bezpečnost
organizace;
i) školení v obsluze a použití nového systému;
j) snadnost použití může pozitivně ovlivnit výkon uživatelů a zabránit zbytečným chybám.
Na všech vývojových stupních nových důležitých programů rozvoje by měl být konzultován
provozní personál a uživatelé, aby byla zajištěna provozní účinnost navrhovaného systému,
a také by se měly provést příslušné testy, aby se potvrdilo, že systém plně vyhovuje všem
přejímacím kritériím.
Další informace
Součástí přejímání nových systémů může také být proces formální certifikace a akreditace
ověřující naplnění bezpečnostních požadavků.
10.4 Ochrana proti škodlivým programům a mobilním kódům
Cíl: Chránit integritu programů a dat.
Pro prevenci a detekování škodlivých programů a nepovolených mobilních kódů jsou
vyžadována patřičná opatření.
Programy a zařízení pro zpracování informací jsou zranitelné škodlivými programy, jako jsou například
počítačové viry, síťoví červi, trojští koně a logické bomby. Uživatelé by měli být upozorňováni na
nebezpečí neschválených a škodlivých programů. Vedoucí zaměstnanci by měli tam, kde je to
vhodné, aplikovat zvláštní opatření pro jejich předcházení a detekování a zavést postupy
odstranění škodlivých programů a kontroly mobilních kódů.
10.4.1 Opatření na ochranu proti škodlivým programům
Opatření
Na ochranu proti škodlivým programům a nepovoleným mobilním kódům by měla být
implementována opatření na jejich detekci, prevenci a nápravu a zvyšováno odpovídající
bezpečnostní povědomí uživatelů.
Doporučení k realizaci
Ochrana proti škodlivým programům by měla být založena na detekci škodlivých programů,
opravných programů, na bezpečnostním povědomí, dále na vhodném přístupu k systému a na
opatřeních zajišťujících řízení změn.
V úvahu by měla být vzata následující opatření:
a) ustavení formálních pravidel požadujících dodržování licenčních podmínek a zákaz
používání neschváleného programového vybavení (viz 15.1.2);
b) ustavení formálních pravidel zajišťujících ochranu proti rizikům vyplývajícím ze
získávání programů z externích sítí nebo z jiných médií a určujících, jaká ochranná
opatření by měla být přijata;
c) zavedení pravidelné kontroly programů a datového obsahu systémů kritických pro
vnitropodnikové procesy. Měla by být formálně prošetřována přítomnost libovolných
neschválených souborů nebo neodsouhlasených úprav ;
d) instalace a pravidelná aktualizace antivirových detekčních a opravných programů pro
kontrolu počítačů a médií, buď jako preventivní prostředek využívaný ad-hoc způsobem,
nebo pravidelně. Prováděné kontroly by měly zahrnovat:
1. ověření všech souborů na elektronických nebo optických médiích nejistého
a neověřeného původu nebo souborů získaných prostřednictvím
neautorizovaných sítí před jejich použitím na přítomnost škodlivých programů;
2. testování všech příloh elektronické pošty a stažených dat na přítomnost
škodlivých programů před jejich použitím. Tato kontrola může být prováděna na
různých místech, například na poštovním serveru, na pracovních stanicích nebo
při vstupu do sítě organizace;
3. kontrola obsahu webových stránek na přítomnost škodlivého kódu;
e) určení řídících postupů a povinnosti při práci s antivirovou ochranou v systémech,
školení uživatelů, hlášení a nápravy virových útoků (viz 13.1 a 13.2);
f) příprava odpovídajících plánů kontinuity činností organizace pro zotavení se z virových
útoků, včetně kompletního zálohování a obnovy potřebných dat a programů (viz
kapitola 14);
g) zavedení pravidelného sběru nových informací (odběr časopisů, hledání na internetu) o
nových škodlivých kódech;
h) zavedení postupů zajišťujících platnost informací o virech a správnost i informační
hodnotu varovných signálů. Vedoucí zaměstnanci by měli zajistit, aby pro odlišení reálných
virů od falešných byly použity kvalifikované zdroje informací, tj. časopisy s dobrým renomé,
spolehlivé internetové zdroje a dodavatelé antivirových programů. Zaměstnanci by měli
znát problém falešných virů, měli by vědět, co dělat, když zprávu o takovém viru obdrží
nebo objeví.
Další informace
Pro zvýšení účinnosti ochrany před škodlivými programy je vhodné použít více různých
antivirových programů.
Pro zajištění odpovídající ochrany lze antivirové programy nastavit tak, aby automaticky
probíhala aktualizace definičních souborů a skenovacího enginu. Antivirové programy by měly
být nainstalovány na každé pracovní stanici.
Pozornost by měla být zvýšena vždy když je prováděna údržba systému nebo řešena krizová
událost, v rámci kterých mohou být obejita běžná ochranná opatření.
10.4.2 Opatření na ochranu proti mobilním kódům
Opatření
Použití povolených mobilních kódů by mělo být nastaveno v souladu s bezpečnostní politikou,
mělo by být zabráněno spuštění nepovolených mobilních kódů.
Doporučení k realizaci
Měla by být zvážena následující opatření na ochranu proti neoprávněnému spuštění mobilních
kódů:
a) spouštění mobilních kódů v logicky odděleném prostředí;
b) zamezení spouštění všech mobilních kódů;
c) zamezení příjmu mobilních kódů;
d) zapnutí dostupných technických opatřeních na jednotlivých systémech zajišťujících
správu mobilních kódů;
e) kontrola všech prostředků využívajících mobilní kódy;
f) použití kryptografických opatření pro ověření původu mobilního kódu.
Další informace
Mobilní kód je programový kód, který se přenáší z jednoho počítače na druhý a poté se
automaticky spustí a vykoná specifickou funkci za minimální nebo žádné součinnosti
s uživatelem. Mobilní kódy jsou součástí řady middleware služeb (např. zajišťujících propojení
jednotlivých aplikací).
Kromě ověření toho, že neobsahuje škodlivý kód, je kontrola mobilních kódů důležitá z důvodu
vyhnutí se neoprávněnému použití nebo narušení systému, sítě nebo aplikačních zdrojů a jiným
narušením bezpečnosti.
10.5 Zálohování
Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.
Měly by být vytvořeny rutinní postupy realizující schválenou politiku zálohování a strategii (viz
14.1) pro vytváření záložních kopií dat a testování jejich včasného obnovení.
10.5.1 Zálohování informací
Opatření
Záložní kopie důležitých informací a programového vybavení organizace by měly být
pořizovány a testovány v pravidelných intervalech.
Doporučení k realizaci
Pro zajištění obnovy všech důležitých informací a programového vybavení organizace v případě
katastrofy nebo selhání médií (nosičů dat) by mělo být zajištěno adekvátní zálohovací zařízení.
V úvahu by měla být vzata následující opatření:
a) mělo by být stanoveno minimální nutné množství vytvářených záloh;
b) měly by být vytvořeny přesné a úplné záznamy o záložních kopiích s popsanými
postupy obnovy;
c) rozsah vytvářených záloh (např. kompletní nebo přírůstkové zálohy) a frekvence s jakou
jsou vytvářeny by měla odpovídat požadavkům organizace na dostupnost informací,
požadavkům na bezpečnost informací a jejich kritičnosti z hlediska kontinuity činností
organizace;
d) zálohy by měly být uloženy na bezpečném místě, v dostatečné vzdálenosti od sídla
organizace, aby v případě havárie nebyly poškozeny nebo zničeny;
e) záložním informacím by měla být věnována přiměřená úroveň fyzické a vnější ochrany (viz
kapitola 9), odpovídající normám v hlavním sídle. Opatření používaná pro média
v hlavním sídle by měla být rozšířena i na místo s uloženými záložními kopiemi;
f) záložní média by měla být pravidelně testována, aby bylo zajištěno, že se na ně lze
v nutném případě spolehnout;
g) obnovovací postupy by měly být pravidelně prověřovány a testovány, aby se potvrdilo,
že jsou účinné a že mohou být provedeny v čase vymezeném provozním obnovovacím
postupům;
h) v případech, kdy je požadováno zajištění důvěrnosti zálohovaných informací, by mělo
být použito šifrování.
Postupy zálohování jednotlivých systémů by měly být pravidelně testovány, aby vyhovovaly
požadavkům plánů kontinuity činností organizace (viz kapitola 11). U kritických systémů by
zálohování mělo zahrnovat veškeré systémové informace, aplikace a data potřebná pro
kompletní obnovu systému v případě havárie.
Měla by být určena doba archivace důležitých informací organizace a také jakékoliv požadavky
na archivní kopie, které by měly být trvale uchovávány (viz 15.1.3).
Další informace
Celý proces vytváření záloh může být zautomatizován, takováto řešení však musí být před
spuštěním důkladně otestována. Po uvedení do provozu musí být sytém automatického
vytváření záloh pravidelně testován.
10.6 Správa sítě
Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.
Pozornost vyžaduje správa bezpečnosti počítačových sítí, které mohou přesahovat hranice
organizace.
Pro zabezpečení citlivých dat přenášených veřejnými sítěmi mohou být požadována dodatečná
opatření.
10.6.1 Síťová opatření
Opatření
Pro zajištění ochrany před možnými hrozbami, pro zaručení bezpečnosti systémů a aplikací
využívajících sítí a pro zajištění bezpečnosti informací při přenosu by počítačové sítě měly být
vhodným způsobem spravovány a kontrolovány.
Doporučení k realizaci
Správci sítí by měli realizovat opatření pro zajištění bezpečnosti dat v sítích a ochrany souvisejících
služeb před neoprávněným přístupem.
Zejména by měla být vzata v úvahu následující opatření:
a) tam, kde je to vhodné, by měla být odpovědnost za provoz sítě oddělena od odpovědnosti
za provoz počítačů (viz 10.1.3);
b) měly by být stanoveny odpovědnosti a postupy pro správu vzdálených zařízení, včetně
zařízení v prostorách uživatelů;
c) měla by být zavedena zvláštní opatření, která by zajišťovala důvěrnost a integritu dat
přenášených veřejnými nebo bezdrátovými sítěmi a ochranu připojených systémů a aplikací
(viz 11.4 a 12.3). Pro zajištění dostupnosti síťových služeb a připojených počítačů mohou
být vyžadována zvláštní opatření;
d) měly by být vytvořeny a zavedeny vhodné postupy zaznamenávání a monitorování
událostí souvisejících s bezpečností;
e) činnosti související se správou počítačů a sítí by měly být důkladně koordinovány, a to jak
z hlediska optimalizace služeb pro organizaci, tak pro zajištění jejich konzistence v rámci
celé infrastruktury zajišťující zpracování informací.
Další informace
Další informace k bezpečností sítí viz norma ISO/IEC 1802814.
10.6.2 Bezpečnost síťových služeb
Opatření
Měly by být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní
prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak
v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány
cestou outsourcingu.
Doporučení k realizaci
Způsobilost poskytovatele síťových služeb bezpečně zajistit správu dohodnutých síťových
služeb by měla být prověřena a průběžně monitorována, mělo by být odsouhlaseno právo
provádět audit.
Měla by být identifikována bezpečnostní nastavení spojená s konkrétními službami, jako jsou
bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na jejich správu. Organizace by
měla zajistit implementaci těchto opatření poskytovatelem síťových služeb.
Další informace
Síťové služby zahrnují poskytnutí připojení, služby privátních sítí, sítí s přidanou hodnotou
a správu bezpečnostních řešení jako jsou například bezpečnostní brány (firewall) a systémy pro
detekci průniku. Tyto služby mohou zahrnovat obyčejné přidělení neřízené šířky pásma
(kapacity) pro připojení až po komplexní řešení s přidanou hodnotou.
Bezpečnostní prvky síťových služeb mohou zahrnovat:
a) technologie použité pro zajištění bezpečnosti síťových služeb, jako např. autentizace,
šifrování a kontroly síťových spojení;
b) technické parametry požadované pro zajištění bezpečného připojení k síťovým službám
síťových připojení v souladu s platnými pravidly;
c) postupy omezující přístup k síťovým službám nebo k aplikacím.
10.7 Bezpečnost při zacházení s médii
Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení
činnosti organizace.
Média by měla být kontrolována a fyzicky zabezpečena.
Měly by být stanoveny náležité provozní postupy týkající se zabezpečení dokumentů,
počítačových médií (např. pásky, disky), vstupních/výstupních dat a systémové dokumentace
před neoprávněným prozrazením, modifikací, odstraněním nebo poškozením.
10.7.1 Správa vyměnitelných počítačových médií
Opatření
Měly by být vytvořeny postupy pro správu vyměnitelných počítačových médií.
Doporučení k realizaci
Pro správu vyměnitelných médií by měla být zvážena následující doporučení:
a) pokud již nejsou znovupoužitelná média potřebná, měl by být předtím, než jsou
odstraněna z organizace, vymazán jejich obsah;
b) v nutných případech by měla být požadována autorizace pro odstranění médií
z organizace a měl by se o tom vést záznam pro potřeby auditu;
c) ukládat všechna média v bezpečném prostředí v souladu se specifikacemi výrobce;
d) informace, u kterých požadavek na dostupnost přesahuje životnost médií (dle
specifikací výrobce) na kterých jsou uloženy, by měly být přemístěny, aby se zabránilo
jejich případné ztrátě;
e) zaregistrování všech vyměnitelných médií pro snížení pravděpodobnosti jejich ztráty;
f) použití vyměnitelných mechanik by mělo být povoleno jen v odůvodněných případech.
Všechny postupy a úrovně oprávnění by měly být jednoznačně zdokumentovány.
Další informace
Vyměnitelná média zahrnují pásky, disky, flashdisky, přenositelné harddisky, CD, DVD a tiskové
výstupy.
10.7.2 Likvidace médií
Opatření
Jestliže jsou média dále provozně neupotřebitelná, měla by být bezpečně a spolehlivě
zlikvidována.
Doporučení k realizaci
Při nedbalé likvidaci médií by se mohla citlivá data dostat do cizích rukou. Pro minimalizaci
tohoto rizika by měly být vytvořeny formální postupy bezpečné likvidace médií. Postupy pro
bezpečnou likvidaci by měly odpovídat citlivosti informací.
Zejména by měla být vzata následující opatření:
a) média, obsahující citlivé informace, by měla být bezpečně zlikvidována, například
spálením nebo skartováním nebo smazáním dat před jejich opětovným použitím jiným
způsobem v rámci organizace;
b) měly by být vytvořeny postupy pro identifikaci médií, které vyžadují bezpečnou likvidaci;
c) může být jednodušší stanovit pravidla bezpečného sběru a likvidace pro všechna
média, než se snažit vyčlenit ta s citlivými daty;
d) řada organizací nabízí sběr a likvidaci papíru, zařízení a médií. Při výběru vhodného
smluvního partnera je nutné dávat zejména pozor na to, aby dodržoval odpovídající
opatření a měl zkušenosti;
e) likvidace citlivých médií by měla být, podle možností, zaznamenávána pro potřeby
následného auditu.
Při nahromadění většího množství médií k likvidaci by měl být zvážen efekt agregace, kdy se
velké množství neklasifikovaných informací stává citlivějším než malé množství klasifikovaných
informací.
Další informace
Citlivé informace mohou být prozrazeny při nedbalé likvidaci médií (další informace o likvidaci
zařízení viz také 9.2.6).
10.7.3 Postupy pro manipulaci s informacemi
Opatření
Pro zabránění neautorizovanému přístupu nebo zneužití informací by měla být stanovena
pravidla pro manipulaci s nimi a pro jejich ukládání.
Doporučení k realizaci
Tato pravidla by měla zajistit manipulaci s informacemi, jejich zpracování, ukládání a sdílení
v souladu s jejich klasifikací (viz 7.2).
V úvahu by měla být vzata následující doporučení:
a) manipulace se všemi médii a jejich označování by mělo odpovídat jejich klasifikaci;
b) omezení přístupu pro zabránění vstupu neoprávněným osobám;
c) zachovávání záznamu o oprávněných příjemcích dat;
d) ověření kompletnosti vstupních dat, zda bylo zpracování řádně ukončeno a bylo provedeno
odsouhlasení výsledků;
e) ochrana tiskových dat, čekajících na výstup, na úrovni odpovídající jejich citlivosti;
f) ukládání médií způsobem odpovídajícím specifikacím výrobce;
g) udržování nutnosti distribuce dat na minimální úrovni;
h) zřetelné označování všech kopií dat pro všechny autorizované příjemce;
i) kontrola rozdělovníku a seznamu autorizovaných příjemců v pravidelných intervalech.
Další informace
Výše uvedené postupy jsou použitelné v dokumentech, počítačových systémech, sítích,
přenosných počítačích, mobilní sdělovací technice, poště, hlasové poště, hlasové komunikaci
obecně, v multimédiích, v poštovním styku, při použití faxů a při používání dalších citlivých
médií, například čistých bankovních šeků a faktur.
10.7.4 Bezpečnost systémové dokumentace
Opatření
Systémová dokumentace by měla být chráněna proti neoprávněnému přístupu.
Doporučení k realizaci
Pro ochranu systémové dokumentace před neoprávněným přístupem by mělo být zváženo
následující:
a) systémová dokumentace by měla být bezpečně uložena;
b) seznam oprávněných osob pro přístup k systémové dokumentaci by měl být omezen na
minimum a měl by být autorizován vlastníkem aplikace;
c) systémová dokumentace, která je uložena na veřejné síti nebo je jejím prostřednictvím
poskytována, by měla být odpovídajícím způsobem chráněna.
Další informace
Systémová dokumentace může obsahovat řadu citlivých informací, například popisy aplikačních
procesů, procedur, datových struktur, autorizačních procesů.
10.8 Výměny informací
Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich
výměně s externími subjekty.
Výměna informací a programů mezi organizacemi by měla být založena na formální politice,
prováděna v souladu s platnými dohodami a měla by být ve shodě s platnou legislativou (viz
kapitola 15).
Měly by být stanoveny postupy a normy pro ochranu informací a jejich nosičů při přepravě.
10.8.1 Postupy při výměně informací a programů
Opatření
Měly by být ustaveny a do praxe zavedeny formální postupy, politiky a opatření na ochranu
informací při jejich výměně pro všechny typy používaných komunikačních zařízení.
Doporučení k realizaci
Při vytváření postupů a zavádění opatření pro výměnu informací by mělo být zváženo
následující:
a) postupy určené na ochranu informací před jejich zachycením, odposloucháváním,
zkopírováním, modifikací, špatným směrováním a zničením;
b) postupy detekce a ochrany před škodlivými kódy, které mohou být přenášeny
elektronickou poštou (viz také 10.4:1);
c) postupy na ochranu citlivých informací přenášených v přílohách elektronické pošty;
d) politika a směrnice upravující použití zařízení pro elektronickou komunikaci (viz 7.1.3);
e) postupy pro použití bezdrátové komunikace s ohledem na související specifická rizika;
f) odpovědnost zaměstnanců, smluvních a třetích stran za to, že nezkompromitují
organizaci, například odesláním hanlivých zpráv, použitím elektronické pošty
k obtěžování či neautorizovaným nákupům, atd.;
g) použití kryptografických technik pro zajištění důvěrnosti, integrity a autentičnosti
přenášených informací (viz 12.3);
h) vytvoření pravidel pro uchování a likvidace veškeré obchodní korespondence, včetně
elektronické pošty v souladu s místní legislativou a předpisy;
i) nenechávat citlivé a kritické informace volně ležet v tiskárnách, kopírkách a faxech, kde
mohou být přístupné neautorizovaným osobám;
j) zavedení opatření a omezení souvisejících s přesměrováním elektronické komunikace,
např. automatické přeposílání elektronické pošty na externí emailovou adresu;
k) připomínání zaměstnancům, že mají dodržovat adekvátní opatrnost, například
neprobírat citlivé informace, které by mohly být při telefonování zaslechnuty či
odposlechnuty:
1. osobami v bezprostřední blízkosti, zejména při použití mobilního telefonu;
2. instalovaným odposlechem nebo jinou formou elektronického odposlouchávání
umožněného fyzickým přístupem k telefonnímu přístroji nebo telefonní lince nebo
použitím prohledávacích přijímačů při použití analogových mobilních nebo
bezdrátových telefonů;
3. dalšími osobami na druhé straně telefonu;
l) nenechávat zprávy na záznamníku, protože tyto zprávy mohou být přehrány
neautorizovanou osobou, uloženy do veřejné sítě nebo uloženy jako výsledek chybného
telefonátu;
m) upozorňování zaměstnanců na problémy spojené s použitím faxů, zejména:
1. neautorizovaný přístup k vnitřním pamětem pro uchování faxových zpráv s cílem
jejich opětovného vyvolání;
2. úmyslné nebo náhodné přeprogramování faxu tak, aby posílal zprávy na
specifická čísla;
3. posílání dokumentů a zpráv na špatné místo z důvodu překlepu v čísle nebo
použitím špatného čísla z paměti přístroje;
n) upozorňování zaměstnanců na to, aby při registraci programového vybavení nezadávali
své osobní údaje (např. emailová adresa), které pak mohou být použity neoprávněným
způsobem;
o) upozorňování zaměstnanců na to, že moderní faxová zařízení a kopírky používají
vyrovnávací paměť, ve které je uložen obsah tištěných stránek, pro případ, že
v zásobníku dojde papír nebo nastane chyba při přenosu dat.
Zaměstnanci by dále měli být upozorněni na to, aby nevedli důvěrnou konverzaci na veřejnosti,
v otevřené kanceláři a na místech, kde jsou tenké zdi.
Zařízení použitá pro výměnu informací by měla splňovat požadavky relevantní legislativy (viz
kapitola 15).
Další informace
Výměna informací může probíhat s použitím celé řady různých typů komunikačních zařízení,
zahrnujících elektronickou poštu, hlasová zařízení, fax a video.
Výměna programů může probíhat za použití různých počítačových médií, stáhnutím programů
z internetu a nebo jejich nákupem od oficiálního prodejce.
Měly by být zváženy provozní a bezpečnostní dopady v souvislosti s elektronickou výměnou dat
(EDI), elektronickým obchodem a elektronickou poštou a společně s požadavky na
bezpečnostní opatření.
Informace mohou být ohroženy díky nedostatku bezpečnostního povědomí, neznalosti pravidel
a postupů používání odpovídající techniky, například zaslechnutí obsahu hovoru vedeného
pomocí mobilního telefonu na veřejných místech, zaslechnutí obsahu zprávy na telefonním
záznamníku nebo fax zaslaný omylem nesprávné osobě.
Aktivity organizace mohou být přerušeny a informace ohroženy při chybách komunikačních
prostředků, jejich přetížení nebo rušení (viz 10.3 a kapitola 14). Informace mohou být také
ohroženy v případě, že jsou tyto prostředky přístupné neoprávněným uživatelům (viz kapitola
11).
10.8.2 Dohody o výměně informací a programů
Opatření
Výměna informací a programů by měla být založena na dohodách uzavřených mezi organizací
a externími subjekty.
Doporučení k realizaci
V dohodách o výměně informací a programů by měly být zváženy následující bezpečnostní
hlediska:
a) odpovědnosti vedoucích zaměstnanců týkající se kontroly a potvrzení oznámení
o přenosu, odeslání a přijetí;
b) postupy pro oznámení odesílateli (přenos, odeslání a přijetí);
c) postupy pro zajištění nepopiratelnosti doručení;
d) minimální technické normy pro balení a přepravu;
e) dohody o uložení zdrojových kódů programů a informací u nezávislé třetí strany;
f) pravidla pro identifikaci kurýra;
g) odpovědnosti a povinnosti v bezpečnostního incidentu, například v případě ztráty dat;
h) použití schváleného systému označování citlivých a kritických informací, zaručujícího
okamžité pochopení smyslu označení a toho, že informace je odpovídajícím způsobem
chráněna;
i) vlastnictví dat a programového vybavení a odpovědnosti za ochranu osobních údajů,
dodržování autorských práv a další podobné otázky (viz 15.1.2 a 15.1.4);
j) technické normy pro nahrávání a čtení informací a programů;
k) jakákoliv zvláštní opatření pro ochranu citlivých předmětů, jako jsou například šifrovací klíče
(viz 12.3).
Měly by být vytvořeny a do praxe zavedeny politiky, směrnice a standardy na ochranu informací a médií
při přepravě (viz také 10.8.3) a měly by být odkazovány v uzavřených dohodách.
Bezpečnostní část těchto dohod by měla odrážet citlivost všech vyměňovaných informací organizace.
Další informace
Výměna informací a programů (elektronická i manuální) mezi organizacemi by měla být
založena na dohodách, z nichž některé mohou mít podobu formálních smluv nebo mohou být
součástí podmínek pracovního vztahu. Postup výměny citlivých informací by měl být pro všechny
zúčastněné organizace a uzavřené dohody nastaven stejně.
10.8.3 Bezpečnost médií při přepravě
Opatření
Média obsahující informace by měla být během přepravy mimo organizaci chráněna proti
neoprávněného přístupu, zneužití nebo narušení.
Doporučení k realizaci
Aby byla zajištěna ochrana počítačových médií během jejich přepravy mezi lokalitami, měla by
být aplikována následující opatření:
a) použití spolehlivé dopravy nebo spolehlivých kurýrů;
b) seznam oprávněných kurýrů by mělo schválit vedení organizace;
c) obal by měl být dostatečný, aby chránil obsah před jakýmkoliv fyzickým poškozením,
které by mohlo vzniknout během přepravy, a měl by být v souladu se specifikacemi
výrobce. Například ochrana proti vlivům okolí jako jsou horko, vlhko nebo
elektromagnetické pole, které mohou snížit účinnost obnovy uložených informací;
d) v případě potřeby by měla být přijata zvláštní opatření pro ochranu citlivých informací
před neoprávněným prozrazením nebo modifikací. Například:
1. používání uzamykatelné přepravní skříňky;
2. osobní doručování;
3. balení odolné proti vniknutí (které umožňuje odhalit jakýkoliv pokus o získání
přístupu);
4. ve výjimečných případech rozdělení zásilky do více dílčích zásilek a odeslání
různými cestami.
Další informace
Informace mohou být během přepravy zranitelné ze strany neoprávněného přístupu, zneužití
nebo narušení, například při zasílání médií poštou nebo kurýrem.
10.8.4 Elektronické zasílání zpráv
Opatření
Elektronicky přenášené informace by měly být vhodným způsobem chráněny.
Doporučení k realizaci
Při návrhu opatření na ochranu elektronické komunikace by mělo být zváženo následující:
a) ochrana informací proti neoprávněnému přístupu, modifikaci nebo odmítnutí služby;
b) zajištění správného přenosu a adresování zpráv;
c) celková spolehlivost a dostupnost služeb;
d) zákonné požadavky, například požadavky na elektronický podpis;
e) získání souhlasu používat externí veřejné služby jako je například okamžité odesílání
zpráv (instant messaging) nebo sdílení souborů;
f) silnější úroveň kontroly oprávněnosti vzdálených přístupů uživatelů.
Další informace
Elektronické komunikace jako elektronická pošta (email), elektronická výměna dat (EDI)
a okamžitý odesílatel zpráv (instant messenger) jsou důležitou součástí obchodní komunikace.
Elektronická komunikace je vystavena jinému okruhu bezpečnostních rizik než tradiční výměna
informací v papírové podobě.
10.8.5 Podnikové informační systémy
Opatření
Na ochranu informací v propojených podnikových informačních systémech by měla být
vytvořena a do praxe zavedena politika a odpovídající směrnice.
Doporučení k realizaci
Pozornost, věnovaná bezpečnosti a dopadům na provozní činnosti vyplývající z propojení
systémů, by měla zahrnovat:
a) známé zranitelnosti administrativních a účetních systémů tam, kde jsou informace
sdíleny mezi jednotlivými částmi organizace;
b) zranitelnost informací v podnikových komunikačních systémech, například
zaznamenávání telefonních nebo konferenčních hovorů, důvěrnost hovorů, uchovávání
faxů, otevírání pošty, distribuce pošty;
c) politika a vhodná opatření pro správu sdílených informací;
d) vyjmutí citlivých informací a dokumentů podléhajících utajení v případě, že systém nemá
odpovídající úroveň ochrany (viz 5.2);
e) omezení přístupu k časovým plánům vybraných osob, například těch, které pracují na citlivých
projektech;
f) skupiny zaměstnanců a smluvních nebo obchodních partnerů, které mohou systém
používat, a lokality, z nichž je povolen přístup k systému (viz 6.2 a 6.3);
g) omezení určitých zařízení pro vybrané kategorie uživatelů;
h) identifikaci statutu uživatele, například seznamy zaměstnanců organizace a smluvních
partnerů v adresáři využívaném dalšími uživateli;
i) zálohování informací uložených v systému a uchovávání záloh (viz 10.5.1);
j) požadavky na náhradní provoz a prostředky pro jeho zajištění (viz 14).
Další informace
Elektronické kancelářské systémy poskytují příležitosti pro rychlejší šíření a sdílení informací
organizace za použití kombinace dokumentů, počítačů, přenosných počítačů, mobilní
komunikace, pošty, hlasové pošty, hlasové komunikace obecně, multimédií, poštovních služeb
a faxů.
10.9 Služby elektronického obchodu
Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.
Měly by být zváženy bezpečnostní dopady a požadavky na opatření spojené s použitím služeb
podporujících elektronický obchod, včetně on-line transakcí. Pozornost by měla být věnována
ochraně integrity a dostupnosti elektronicky publikovaných informací na veřejně přístupných
systémech.
10.9.1 Elektronický obchod
Opatření
Informace přenášené ve veřejných sítích v rámci elektronického obchodování by měly být
chráněny před podvodnými aktivitami, před zpochybňováním smluv, prozrazením či modifikací.
Doporučení k realizaci
Úvahy o bezpečnosti elektronického obchodu by měly zahrnovat následující:
a) úroveň důvěry v proklamovanou identitu (např. formou autentizace) druhé strany, kterou
každá ze stran (zákazník a obchodník) požaduje;
b) proces autorizace pro nastavení cen, vydávání nebo podepisování důležité obchodní
dokumentace;
c) zajištění toho, aby obchodní partneři byli dostatečně informováni o svých oprávněních;
d) stanovení a naplnění požadavků na důvěrnost, integritu a průkaznost odeslání a přijetí
klíčových dokumentů a na nepopíratelnost odpovědnosti za smlouvy, např. v rámci
výběrových řízení a smluvních procesů;
e) úroveň vyžadované důvěry v integritu zveřejněných ceníků;
f) důvěrnost jakýchkoliv citlivých dat a informací;
g) důvěrnost a integrita informací představujících objednávku, informací o plátci
a adresátovi a potvrzení příjmu;
h) odpovídající stupeň kontroly pro ověření informací o platbě od zákazníka;
i) výběr nejvhodnějšího způsobu platby zamezujícího podvodu;
j) úroveň ochrany vyžadované pro zaručení důvěrnosti a integrity informací objednávky;
k) prevence proti ztrátě nebo duplikaci transakcí;
l) odpovědnost za podvodné transakce;
m) požadavky na pojištění.
Mnohé z předcházejícího může vyřešit použití kryptografických technik, popsaných v 12.3, při
zvážení souladu se zákonnými požadavky (viz 15.1, a zvlášť 15.1.6 pro kryptografickou
legislativu).
Dohody o elektronickém obchodování mezi obchodními partnery by měly být podepřeny
písemnou smlouvou, v níž se obě strany zavazují k dohodnutým obchodním podmínkám, včetně
detailů autorizace (viz předcházející b)). Mohou být potřebné i další dohody s poskytovateli
informačních a síťových služeb.
Veřejné obchodní systémy by měly publikovat své obchodní podmínky pro zákazníky.
Pozornost by měla být věnována odolnosti proti útokům na hostitelský systém používaný pro
elektronický obchod a bezpečnostním dopadům síťových propojení, nutných pro jeho
implementaci (viz 11.4.6).
Další informace
Elektronický obchod je zranitelný ze strany velkého počtu síťových hrozeb, což může mít za
následek výskyt podvodných aktivit, námitky vůči podmínkám smluv a prozrazení či modifikaci
informací.
Pro účely elektronického obchodu může být využito řady autentizačních metod, např. používání
veřejných šifrovacích klíčů a digitálních podpisů (viz také 12.3) na snížení rizika. Pro tyto účely
může být využito služeb důvěryhodných třetích stran.
10.9.2 On-line transakce
Opatření
Měla by být zajištěna ochrana informací přenášených při on-line transakcích tak, aby byl
zajištěn úplný přenos informací a zamezilo se špatnému směrování, neoprávněné změně zpráv,
neoprávněnému prozrazení, neoprávněné duplikaci nebo opakování zpráv.
Doporučení k realizaci
Pro zabezpečení on-line transakcí by mělo být zváženo následující:
a) použití elektronického podpisu všemi účastníky transakce;
b) všechny aspekty související s transakcí, zajištění toho, že:
1. jsou prověřena platnost oprávnění všech zúčastněných stran;
2. transakce bude důvěrná;
3. bude chráněno soukromí všech zúčastněných stran;
c) šifrování komunikace mezi zúčastněnými stranami;
d) zabezpečení protokolů použitých pro komunikaci;
e) zajištění toho, aby úložiště detailních informací o transakcích nebylo veřejně přístupné,
např. v intranetu organizace. Informace by neměly být uchovávány tak, aby byly volně
přístupné z internetu;
f) tam kde je použito služeb důvěryhodné autority (např. pro účely vystavení a udržování
digitálních podpisů a/nebo certifikátů) je bezpečnost součástí celého procesu správy
certifikátu/podpisu.
Další informace
Rozsah přijatých opatření by měl být úměrný velikosti rizik spojených s každým typem on-line
transakce.
Provedené transakce by měly odpovídat zákonům, pravidlům a omezením podle jurisdikce, ve
které je transakce zahájena, skrze kterou probíhá a kde je ukončena a nebo informace o ní
uloženy.
Existuje řada různých transakcí, které mohou být prováděny online, např. finanční transakce.
10.9.3 Veřejně přístupné informace
Opatření
Informace publikované na veřejně přístupných systémech by měly být chráněny proti
neoprávněné modifikaci.
Doporučení k realizaci
Programy, data a jiné informace zpřístupňované na veřejně dostupných systémech a vyžadující
vysoký stupeň integrity by měly být chráněny adekvátními mechanizmy, jako například
digitálním podpisem (viz 12.3). Veřejně přístupné systémy by měly být, předtím než jsou na ně
umístěny informace, testovány na slabiny a možná selhání.
Pro zveřejnění informací by měly existovat formální schvalovací procesy. Veškeré vstupy
poskytnuté zvenčí by měly být prověřeny a projít schválením.
Elektronické publikační prostředky a systémy, zejména ty, které umožňují zpětnou vazbu a přímý
vstup informací, by měly být pečlivě kontrolovány, aby:
a) získávání informací bylo plně v souladu s legislativou (viz 15.1.4);
b) vstup a zpracování informací v systému proběhlo úplně a korektně a v daném časovém
rámci;
c) citlivé informace byly v průběhu sběru, zpracování a ukládání ochráněny;
d) přístup k veřejně přístupným prostředkům neumožnil nechtěný přístup i k dalším sítím,
které jsou k těmto prostředkům připojeny.
Další informace
Informace na veřejně přístupných systémech, například informace na webových serverech
přístupné prostřednictvím Internetu, by měly odpovídat zákonům, pravidlům a omezením podle
jurisdikce, ve které je systém umístěn nebo kde je realizován obchod. Neoprávněná modifikace
publikovaných informací může vážně poškodit dobrou pověst organizace.
10.10 Monitorování
Cíl: Detekovat neoprávněné zpracování informací.
Systémy by měly být monitorovány a bezpečnostní události zaznamenávány. Pro zajištění
včasné identifikace problémů informačních systémů by měl být používán operátorský deník
a záznamy předchozích selhání.
Veškeré aktivity související s monitorováním a zaznamenáváním událostí by měly být v souladu
s relevantními zákonnými požadavky.
Monitorování systému umožňuje kontrolování účinnosti přijatých opatření a ověření souladu
s modelem politiky řízení přístupu.
10.10.1 Zaznamenávání událostí
Opatření
Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, by měly být
pořizovány a uchovány po stanovené období tak, aby byly se daly použít pro budoucí
vyšetřování a pro účely monitorování řízení přístupu.
Doporučení k realizaci
Auditní záznamy by měly také obsahovat:
a) identifikátory uživatelů (uživatelská ID);
b) datum, čas a podrobnosti klíčových událostí, např. přihlášení a odhlášení;
c) identifikátor terminálu nebo místa, pokud je to možné;
d) záznam o úspěšných a odmítnutých pokusech o přístup k systému;
e) záznam o úspěšných a odmítnutých pokusech o přístup k datům a jiným zdrojům;
f) změny konfigurace systému;
g) použití oprávnění;
h) použití systémových nástrojů a aplikací;
i) soubory, ke kterým bylo přistupováno a typ přístupu;
j) sítě, ke kterým bylo přistupováno a použité protokoly;
k) alarmy vyvolané systémy pro kontrolu přístupy;
l) aktivaci a deaktivaci ochranných systémů, jako jsou antivirové systémy a systémy pro
detekci průniku.
Další informace
Auditní záznamy mohou obsahovat důvěrné osobní údaje. Měla by být přijata vhodná opatřená
na jejich ochranu (viz také 15.1.4). Pokud je to možné, neměli by systémoví administrátoři mít
oprávnění mazat záznamy a nebo deaktivovat vytváření záznamů o své vlastní činnosti (viz
10.1.3).
10.10.2 Monitorování používání systému
Opatření
Měla by být stanovena pravidla pro monitorování použití zařízení pro zpracování informací,
výsledky těchto monitorování by měly být pravidelně přezkoumávány.
Doporučení k realizaci
Požadovaná úroveň monitorování jednotlivých prostředků by měla být stanovena na základě
hodnocení rizik. Veškeré aktivity související s monitorováním událostí by měly být v souladu
s relevantními zákonnými požadavky.
Oblasti, které by se měly vzít v úvahu, jsou následující:
a) neautorizovaný přístup, včetně informací jako:
1. uživatelské ID;
2. datum a čas klíčových událostí;
3. druh událostí;
4. soubory, ke kterým bylo přistupováno;
5. použité programy/nástroje;
b) všechny privilegované operace, jako:
1. použití privilegovaných účtů, např. účtu supervisora, administrátora;
2. spuštění a ukončení systému;
3. připojení a odpojení vstupně/výstupních zařízení;
c) pokusy o neoprávněný přístup, jako:
1. neúspěšné nebo odmítnuté aktivity uživatelů;
2. neúspěšné nebo odmítnuté pokusy o přístup k datům nebo jiným zdrojům;
3. narušení přístupové politiky a upozornění od síťových bran a firewallů;
4. varování speciálních systémů pro detekci průniků;
d) systémová varování nebo chyby, jako:
1. zprávy nebo varování z konzole;
2. výjimky v systémových záznamech;
3. alarmy správy sítě;
4. alarmy spuštěné systémy pro kontrolu přístupu;
e) změny nebo pokusy o změnu bezpečnostních opatření nastavení bezpečnosti
systému.
Výstupy monitorování by měly být pravidelně kontrolovány. Frekvence kontrol by měla záviset na
zjištěných rizicích. Měly by být zváženy následující rizikové faktory:
a) kritičnost aplikačních procesů;
b) hodnota, citlivost nebo kritičnost ovlivněných informací;
c) minulé zkušenosti s průnikem do systému a jeho zneužitím a frekvence s jakou jsou
zneužívány existující zranitelnosti systému;
d) stupeň propojení systémů (zejména veřejné sítě);
e) deaktivace zařízení pro zaznamenávání událostí.
10.10.3 Ochrana vytvořených záznamů
Opatření
Zařízení pro zaznamenávání informací a vytvořené záznamy by měly být vhodným způsobem
chráněny proti neoprávněnému přístupu a zfalšování.
Doporučení k realizaci
Opatření by se měla zaměřovat na ochranu proti neautorizovaným změnám a provozním
problémům, včetně:
a) úpravy zaznamenávaných druhů zpráv;
b) editování nebo mazání záznamů;
c) nedostatečné kapacity médií pro záznamy a následné nezaznamenávání nebo přepisování
předchozích událostí.
Další informace
Systémové záznamy často obsahují velké množství informací, z nichž většina nesouvisí
s bezpečnostním monitorováním. Při identifikaci důležitých událostí pro účely sledování
bezpečnosti by měla být zvážena možnost automatického kopírování vhodných typů zpráv do
druhého protokolu a/nebo použití vhodných systémových programů nebo nástrojů auditu
k vyšetřování souborů.
Systémové záznamy musí být dostatečně chráněny, protože data, která mohou být
modifikována nebo vymazána mohou vytvořit falešný pocit bezpečí.
10.10.4 Administrátorský a operátorský deník
Opatření
Aktivity správce systému a systémového operátora by měly být zaznamenávány.
Doporučení k realizaci
Záznamy by měly obsahovat:
a) čas kdy došlo k události (úspěšné i neúspěšné pokusy);
b) podrobnosti o události (např. seznam použitých souborů) nebo o chybách (např. jaké
chyby se objevily a jakým způsobem byly odstraněny);
c) jaký účet byl použit, který správce nebo operátor ho použil;
d) dotčené procesy.
Administrátorský a operátorský deník by měly být v pravidelných intervalech přezkoumávány.
Další informace
Pro monitorování systémových a síťových aktivit správců je možné použít externě spravovaný
systém pro detekci průniku.
10.10.5 Záznam selhání
Opatření
Měly by být zaznamenány a analyzovány chyby a provedena opatření k nápravě.
Doporučení k realizaci
Hlášení uživatelů o problémech systému pro zpracování nebo výměnu informací by měla být
zaznamenána. Měla by existovat jasná pravidla pro zacházení s nahlášenými chybami,
zahrnující:
a) přezkoumání záznamů chyb k zajištění jejich uspokojivého řešení;
b) přezkoumání opatření k nápravě, zajišťujících, aby bezpečnostní opatření nebyly
zneužity a prováděné činnosti byly schváleny.
Mělo by být zajištěno zaznamenávání selhání (porucha), pokud to systém umožňuje.
Další informace
Zaznamenávání selhání (poruch) a chyb může ovlivnit výkon systému. Zaznamenávání selhání
a chyb by mělo být umožněno pouze kompetentním personálu, rozsah zaznamenávání byl měl
být pro každý jednotlivý systém nastaven na základě hodnocení rizik.
10.10.6 Synchronizace času
Opatření
Hodiny všech důležitých systémů pro zpracování informací by měly být v rámci organizace nebo
domény synchronizovány se schváleným zdrojem přesného času.
Doporučení k realizaci
V případě, že počítačová nebo komunikační zařízení používají hodiny s reálným časem, měly
by být nastaveny na smluvený standard, například greenwichský nebo místní čas. Protože
některé hodiny se předcházejí nebo zpožďují, měly by existovat postupy, které kontrolují
a korigují všechny významnější změny.
Z hlediska správného určení reálného vzniku časové značky je důležitá správná interpretace
formátu datum/čas. V úvahu by také měla být vzata místní specifika (např. letní čas).
Další informace
Správné nastavení počítačových hodin je důležité pro zajištění přesnosti auditních záznamů, které
mohou být potřebné pro vyšetřování nebo jako důkaz při soudních či disciplinárních řízeních.
Nepřesné auditní záznamy mohou takové vyšetřování brzdit nebo mohou narušit důvěryhodnost
takového důkazu. Pro nastavení přesného času primárního serveru může být například využit
GPS signál nebo radiový signál z atomových hodin. Pro automatickou synchronizaci času všech
ostatních klientů s primárním serverem lze použít protokol NTP (Network Time Protocol).