Řízení přístupu

11.1 Požadavky na řízení přístupu

Cíl: Řídit přístup k informacím.

Přístup k informacím, zařízením pro zpracování informací a procesům organizace by měl být řízen

na základě provozních a bezpečnostních požadavků.

V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž

probíhá schvalování.

11.1.1 Politika řízení přístupu

Opatření

Měla by být vytvořena, dokumentována a v závislosti na aktuálních bezpečnostních

požadavcích přezkoumávána politika řízení přístupu.

Doporučení k realizaci

Přístupová pravidla a oprávnění by měla být jasně stanovena pro každého uživatele nebo

skupinu uživatelů v seznamu pravidel přístupu. Pravidla by měla pokrývat jak logický, tak fyzický

přístup (viz kapitola 9), oba typy přístupů by měly být řešeny současně. Uživatelům

a poskytovatelům služeb by mělo být předáno jasné vyjádření o provozních požadavcích, jež

naplňuje řízení přístupu.

Politika řízení přístupu by měla brát v úvahu následující hlediska:

a) bezpečnostní požadavky jednotlivých aplikací organizace;

b) identifikace všech informací ve vztahu k jednotlivým aplikacím a rizika, kterým jsou

informace vystaveny

c) pravidla pro šíření informací a pravidla schvalování, tj. princip oprávněné potřeby znát,

bezpečnostní úrovně a klasifikaci informací (viz 7.2);

d) konzistence přístupových pravidel a klasifikace informací pro různé systémy a sítě;

e) odpovídající legislativa a ostatní smluvní závazky ve vztahu k ochraně přístupu k datům

nebo službám (viz kapitola 15.1);

f) standardní přístupové profily uživatelů pro běžné kategorie činností;

g) řízení přístupových pravidel v distribuovaném a síťovém prostředí rozeznávajícím

všechny možné typy připojení;

h) oddělení jednotlivých rolí pro řízení přístupu, např. vyřizování požadavků na přístup,

schvalování přístupu, správa přístupů;

i) požadavky na formální schválení žádostí o přístup (viz 11.2.1);

j) požadavky na pravidelné přezkoumání přístupových práv (viz 11.2.4);

k) odebrání přístupových práv (viz 8.3.3).

Další informace

Při stanovování pravidel řízení přístupu by měla být zvážena následující hlediska:

a) rozlišení mezi pravidly, která musí být v platnosti vždy, a těmi, která jsou nepovinná nebo

podmíněná;

b) stanovit pravidla na základě principu „Všechno, co není výslovně povoleno, je

zakázáno“, ne na základě měkčího pravidla „Všechno, co není výslovně zakázáno, je

povoleno“;

c) změny ve značení informací (viz 7.2), které jsou vyvolány automaticky zařízeními pro

zpracování informací, a změny, které jsou vyvolány z rozhodnutí uživatele;

d) změny uživatelských oprávnění, které jsou vyvolány automaticky zařízením pro zpracování

informací, a ty, které jsou vyvolány administrátorem;

e) pravidla, která vyžadují schválení administrátorem nebo jinou pověřenou osobou, a ta,

která toto nevyžadují.

Pravidla pro řízení přístupu by měla být podporována zavedením formálních postupů a jasně

určených odpovědností (viz například 6.1.3, 11.3, 11.4.1, 11.6).

11.2 Řízení přístupu uživatelů

Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním

systémům.

Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům

a službám.

Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace

nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům

a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost

potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelům

překonat kontroly v systému.

11.2.1 Registrace uživatele

Opatření

Měl by existovat postup pro formální registraci uživatele včetně jejího zrušení, který zajistí

autorizovaný přístup ke všem víceuživatelským informačním systémům a službám.

Doporučení k realizaci

Postup pro registraci a uživatele a jejího zrušení by měl zahrnovat:

a) použití unikátního uživatelského identifikátoru (ID), aby bylo možné propojit uživatele s jím

provedenými akcemi, a zajistit tak jejich odpovědnost. Použití skupinového ID by mělo

být povoleno pouze tam, kde to je nezbytné pro určitou práci, použití by mělo být

chváleno a dokumentováno;

b) kontrolu toho, že uživatel má oprávnění používat informační systém nebo služby od

vlastníka systému. Vhodný může být také zvláštní souhlas s přístupovými právy od

nadřízených uživatele;

c) kontrolu toho, že úroveň přiděleného přístupu odpovídá záměrům organizace (viz 11.1)

a je shodná s bezpečnostní politikou organizace, například není v rozporu s principem

oddělení povinností (viz 10.1.3);

d) předání dokumentu vymezujícího přístupová práva jednotlivým uživatelům;

e) požadavek na uživatele, aby podepsali prohlášení, že rozumí podmínkám přístupu;

f) zajištění toho, aby poskytovatelé služeb neumožnili přístup, dokud nebude proces autorizace

dokončen;

g) udržování formálního záznamu o všech registrovaných osobách oprávněných využívat

službu;

h) ihned odebrat přístupová práva uživatelům, kteří změnili pracovní místo nebo opustili

organizaci;

i) pravidelně kontrolovat a odstranit již dále nepotřebné ID uživatelů a jejich účty (11.2.4);

j) zajistit, aby již nepotřebné ID uživatelů nebyly přiděleny jiným uživatelům.

Další informace

Mělo by být zváženo zavedení přístupových rolí uživatelů dle konkrétních požadavků organizace, které

by zahrnovalo vždy několik přístupových práv do typických uživatelských profilů. Požadavky na přístup

a přezkoumání jejich oprávněnosti (viz 11.2.4) se lépe zpracovávají na úrovni uživatelských rolí než

pro jednotlivá přístupová práva.

Mělo by být zváženo začlenění klauzule specifikující sankce za pokus o neautorizovaný přístup

zaměstnanců nebo servisního personálu do jejich pracovních smluv a servisních kontraktů (viz

také 6.1.5, 8.1.3 a 8.2.3).

11.2.2 Řízení privilegovaného přístupu

Opatření

Přidělování a používání privilegií by mělo být omezeno a řízeno.

Doporučení k realizaci

Ve víceuživatelských systémech, u nichž je nutná ochrana proti neautorizovanému přístupu, by

mělo být přidělování privilegovaných oprávnění řízeno prostřednictvím formálního autorizačního

procesu. Měly by být zváženy následující kroky:

a) měla by být popsána privilegia spojená s každým prvkem systému (například

s operačním nebo databázovým systémem a všemi aplikacemi) a kategorie zaměstnanců,

kterým by měla být přidělena;

b) privilegia by měla být přidělována jednotlivcům na základě jejich oprávněné potřeby pro

použití a případ od případu a v souladu s politikou řízení přístupu (viz 11.1.1), například

požadavek na minimalizaci jejich provozní role určené podle potřeby;

c) měl by být dodržován proces autorizace a zachováván záznam všech přidělených privilegií.

Privilegia by neměla být přidělena, dokud není proces autorizace dokončen;

d) měl by být podporován vývoj a používání takových systémových rutin, které by

omezovaly nutnost přidělovat privilegia uživatelům;

e) měl by být podporován vývoj a používání takových programů, které by vyžadovaly

oprávnění ke svému spuštění;

f) privilegia by měla být přidělena jiným uživatelským ID než těm, které jsou používány pro

běžnou práci.

Další informace

Nepatřičné použití systémových privilegií (určité funkce nebo prostředky, dávající uživateli

možnost překonat systémové nebo aplikační kontroly) je často hlavním spolupůsobícím

faktorem selhání systémů.

11.2.3 Správa uživatelských hesel

Opatření

Přidělování hesel by mělo být řízeno formálním procesem.

Doporučení k realizaci

Proces by měl vyhovovat následujícím požadavkům:

a) vyžadovat od uživatelů podpis prohlášení, že se zavazují k držení svých hesel v tajnosti

a k zachování hesel pracovní skupiny pouze mezi jejími členy (to může být začleněno

v pracovních podmínkách, viz 8.1.3);

b) zajistit, aby v případě, že si uživatelé sami mění své heslo (viz 11.3.1), dostali na počátku

bezpečné jednorázové heslo, které jsou nuceni ihned po přihlášení změnit;

c) zavést postupy jednoznačné identifikace uživatelů předtím než jim je poskytnuto nové,

náhradní a nebo dočasné heslo;

d) dočasně přidělená hesla by měla být jedinečná a neměla by být lehce uhodnutelná;

e) uživatelé by měli potvrdit přijetí hesel;

f) hesla by nikdy neměla být v počítači uložena v nechráněné podobě;

g) dodavateli přednastavená hesla by měly být ihned po instalaci systému nebo

aplikačního programového vybavení změněna;

Další informace

Hesla jsou běžným prostředkem pro ověření identity uživatele předtím, než je mu umožněn

přístup do systému nebo ke službě s ohledem na jeho oprávnění. Pokud je to vhodné, mělo by být

zváženo použití i jiných technologií autentizace a identifikace uživatele, jako je biometrie,

například ověření otisku prstu, podpisu a použití technických prostředků, například čipových

karet.

11.2.4 Přezkoumání přístupových práv uživatelů

Opatření

Vedení organizace by mělo v pravidelných intervalech provádět formální přezkoumání

přístupových práv uživatelů.

Doporučení k realizaci

Přezkoumání přístupových práv uživatelů by mělo zaručovat, že:

a) přístupová práva uživatelů jsou přezkoumávána v pravidelných intervalech (doporučuje

se interval 6 měsíců) a po každé změně, jako například povýšení, přeložení na nižší

pozici nebo ukončení pracovního poměru (viz 11.2.1);

b) při přeřazení na jinou pracovní pozici v rámci organizace by měla být stávající

přístupová práva přezkoumána;

c) autorizace speciálních privilegovaných oprávnění (viz 11.2.2) jsou přezkoumávána

v kratších intervalech, doporučuje se interval 3 měsíců;

d) přidělená privilegovaná oprávnění by měla být přezkoumávána v pravidelných

intervalech, aby bylo zajištěno, že nedošlo k získání neoprávněného privilegia;

e) změny u privilegovaných účtů by měly být zaznamenány pro potřeby pravidelných

přezkoumání.

Další informace

Pro udržení účinného řízení přístupu k datům a informačním službám by mělo vedení

organizace v pravidelných intervalech provádět kontrolu přístupových práv uživatelů.

11.3 Odpovědnosti uživatelů

Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací

a prostředků pro zpracování informací.

Pro účinné zabezpečení je nezbytná spolupráce oprávněných uživatelů.

Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly

přístupu, zejména s ohledem na používání hesel, a bezpečnosti jim přidělených prostředků.

Pro snížení rizika neoprávněného přístupu (nebo poškození) k dokumentům, médiím

a prostředkům pro zpracování informací, by měla být zavedena zásada prázdného stolu

a prázdné obrazovky monitoru.

11.3.1 Používání hesel

Opatření

Při výběru a používání hesel by mělo být po uživatelích požadováno, aby dodržovali stanovené

bezpečnostní postupy.

Doporučení k realizaci

Všichni uživatelé by měli být obeznámeni s tím, že:

a) hesla se udržují v tajnosti;

b) hesla nesmí být zaznamenána (např. na papíře, v souborech nebo v přenosných

zařízeních), s výjimkou jejich bezpečného uložení a když byl způsob jejich uložení

schválen;

c) hesla se musí změnit v případě jakéhokoliv náznaku možného kompromitování systému

nebo hesla;

d) heslo by mělo být kvalitní, mělo by mít minimální délku šest znaků, a to tak, aby:

1.bylo dobře zapamatovatelné;

2. nebylo založeno na informacích vztahujících se k osobě, které by mohl kdokoliv

další lehce uhodnout nebo získat, například jména, telefonní čísla, data narození

apod.;

3. nebylo zranitelné při použití slovníkových útoků (nemělo by se skládat ze slov

vyskytujících se ve slovnících);

4. neobsahovalo po sobě jdoucí stejné znaky a neobsahovalo pouze číselné nebo

pouze písmenné skupiny.

e) musí měnit hesla v pravidelných intervalech nebo na základě počtu přihlášení (hesla pro

privilegovaný přístup by se měla měnit častěji než normální hesla) a vyhýbat se

opakovanému použití nebo opakování starých hesel;

f) musí změnit dočasná hesla při prvním přihlášení;

g) nebudou zahrnovat hesla do žádného automatizovaného přihlašovacího procesu,

například uložení do makra nebo funkční klávesy;

h) nebudou sdílet osobní uživatelská hesla;

i) nebudou používat stejná hesla pro soukromé a pracovní účely.

Jestliže uživatelé potřebují, aby měli přístup k více službám nebo platformám, a musí udržovat

více hesel, může jim být doporučeno používat jedno silné heslo (viz d) pro všechny služby u

kterých si jsou jisti, že poskytují rozumnou úroveň zabezpečení uložených hesel.

Další informace

Zvláštní péče by také měla být věnována help desku, který řeší ztracená a zapomenutá hesla

a může se také stát cílem útoku.

11.3.2 Neobsluhovaná uživatelská zařízení

Opatření

Uživatelé by měli zajistit přiměřenou ochranu neobsluhovaných zařízení.

Doporučení k realizaci

Všichni uživatelé by si měli být vědomi bezpečnostních požadavků a postupů pro zabezpečení

neobsluhovaného zařízení, stejně jako své odpovědnosti za provádění takovéto ochrany.

Uživatelům by mělo být doporučeno:

a) při ukončení práce ukončit aktivní relace nebo je zajistit vhodným mechanizmem, například

spořičem obrazovky s heslem;

b) odhlásit se v případě ukončení relace od sálových počítačů, serverů a kancelářských PC (tj.

nevypínat pouze monitor počítače nebo terminál);

c) pokud se nepoužívají, zabezpečit PC nebo terminály pomocí uzamčení klávesnice nebo

ekvivalentní kontroly, například přístupovým heslem (viz 11.3.3).

Další informace

Zařízení instalovaná v uživatelských prostorech, například pracovní stanice nebo souborový

server, mohou vyžadovat zvláštní ochranu před neoprávněným přístupem, když jsou delší dobu

bez obsluhy.

11.3.3 Zásada prázdného stolu a prázdné obrazovky monitoru

Opatření

Měla by být přijata zásada prázdného stolu ve vztahu k dokumentům a vyměnitelným médiím

a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací.

Doporučení k realizaci

Zásada prázdného stolu a prázdné obrazovky monitoru by měla brát v potaz klasifikaci

informací (viz 7.2), zákonné a smluvní požadavky (viz 15.1), rizika a kulturní aspekty

organizace. V úvahu by měla být vzata následující Opatření

a) citlivé nebo kritické informace organizace, např. papírové dokumenty a počítačová

média by měly být v případě, že se nepoužívají, a zejména když je kancelář prázdná,

uzamčeny (ideálně v protipožárním sejfu nebo v uzamykatelných skříňkách nebo

v jiném bezpečném druhu nábytku);

b) přihlášené osobní počítače, počítačové terminály by neměly být ponechávány bez

dozoru, a v případě, že se nepoužívají, by měly být chráněny klíčem, heslem nebo

jinými opatřeními;

c) body shromažďující došlou a odeslanou korespondenci, stejně tak jako faxové přístroje

bez dohledu by měly být chráněny;

d) kopírky a další reprodukční zařízení (např. skenery, digitální kamery) by měly být

v mimopracovní době uzamčeny (nebo jiným způsobem chráněny před neoprávněným

použitím);

e) dokumenty obsahující citlivé nebo klasifikované informace by měly být po vytištění

okamžitě odebírány z tiskárny.

Další informace

Zásada prázdného stolu a prázdné obrazovky monitoru snižuje riziko neoprávněného přístupu,

ztráty a poškození informací během nebo mimo běžnou pracovní dobu. Sejfy nebo jiné

podobné typy zařízení mohou být také využity k bezpečnému uložení informací a jejich ochraně

proti katastrofám, jakými mohou být například požár, zemětřesení, povodeň nebo výbuch.

Mělo by být zváženo použití tiskáren u kterých dojde k vytištění úlohy teprve po identifikaci

kartou nebo PIN kódem na terminálu (uživatel musí stát u tiskárny).

11.4 Řízení přístupu k síti

Cíl: Předcházet neautorizovanému přístupu k síťovým službám.

Přístup k interním i externím síťovým službám by měl být řízen.

Je to nezbytné pro zajištění toho, aby uživatelé mající přístup k sítím nebo síťovým službám

neohrožovali bezpečnost těchto služeb. K tomu je potřeba:

a) vhodné rozhraní sítě organizace se sítěmi jiných organizací nebo veřejnými sítěmi;

b) odpovídající autentizační mechanizmus pro uživatele a zařízení;

c) řízení přístupu uživatelů k informačním službám.

11.4.1 Politika užívání síťových služeb

Opatření

Uživatelé by měli mít přímý přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť

oprávněni.

Doporučení k realizaci

Politika formulovaná ve vztahu k sítím a síťovým službám by měla pokrývat:

a) sítě a síťové služby, ke kterým je povolen přístup;

b) autorizační postupy určující kdo je oprávněn přistupovat k jakým sítím a síťovým

službám;

c) řídící kontrolní mechanizmy a postupy určené k ochraně přístupu k síťovým připojením

a službám;

d) možnosti pro přístup k síti nebo síťovým službám (např. podmínky za kterých je

povoleno telefonní připojení k internetové službě nebo vzdáleného systému)

Politika užívání síťových služeb by měla být v souladu s politikou řízení přístupu (viz 11.1).

Další informace

Neoprávněné nebo nezabezpečené připojení k síťovým službám může mít vliv na celou

organizaci. Toto opatření je důležité zejména u síťových připojení k citlivým nebo kritickým

aplikacím organizace či pro uživatele připojující se z vysoce rizikových lokalit, například veřejné

nebo vnější oblasti nespadající do působnosti bezpečnostních opatření organizace.

11.4.2 Autentizace uživatele externího připojení

Opatření

Přístup vzdálených uživatelů měl být autentizován.

Doporučení k realizaci

Autentizace vzdálených uživatelů může být zajištěna například použitím kryptografických

technik, autentizačních předmětů (hardware token) nebo protokolem typu výzva/odpověď

(challenge/response). Implementaci takovýchto technik například využívají virtuální privátní sítě

(VPN sítě). Pro kontrolu identity zdroje komunikace může být také použito vyhrazené soukromé

linky nebo prostředků pro ověření síťové adresy uživatele.

Ochranu proti neautorizovanému a nechtěnému připojení k prostředkům pro zpracování informací

organizace mohou zajistit opatření zajišťující zpětné volání, například použití modemů pro zpětné

volání (dial-back). Tento druh opatření se používá pro autentizaci uživatele, pokoušejícího se

o připojení do sítě organizace ze vzdálené lokality. Při použití těchto opatření, by organizace

neměla používat síťové služby, které zahrnují přesměrování hovoru a v případě, že je používá,

by měla být funkce přesměrování zakázána, aby se zabránilo vytvoření slabin, které obsahuje. Je

také důležité, aby proces zpětného volání obsahoval na straně organizace kontrolu ukončení

původního spojení. V opačném případě může vzdálený uživatel zůstat na lince a předstírat, že

verifikace zpětným voláním byla provedena. Postupy a opatření zajišťující zpětné volání by měly

být otestovány, aby neumožňovaly tento způsob zneužití.

Autentizace uzlů může být i alternativním prostředkem autentizace skupin vzdálených uživatelů,

kteří jsou připojeni k bezpečným sdíleným počítačovým prostředkům. Kryptografické techniky,

např. založené na certifikátech fyzických počítačů, lze použít pro autentizaci uzlů. Toto je jen

jeden z příkladů řešení VPN sítí.

Pro bezpečný přístup k bezdrátovým sítím by měly být implementovány dodatečné techniky

autentizace. Je to z důvodu vyššího rizika narušení komunikace nebo vložení falešné zprávy

než je tomu u sítí klasických.

Další informace

Externí připojení, například přístup komutovanou linkou, představuje určitý potenciál pro

neoprávněný přístup k informacím organizace. Existují různé typy autentizačních metod,

některé z nich poskytují větší úroveň ochrany než jiné, například metody založené na použití

kryptografických technik mohou zajistit silnou autentizaci. Je důležité, aby navržený stupeň

požadované ochrany, který slouží jako základ pro výběr vhodné autentizační metody, vycházel

z hodnocení rizik.

Možnost automatického připojení ke vzdáleným počítačům může představovat cestu vedoucí

k získání neoprávněného přístupu k aplikacím organizace. Vzdálená připojení k počítačovým

systémům by tedy měla být autentizována. To je zvláště důležité v případě připojení přes

otevřenou síť, která je mimo působnost správy bezpečnosti organizace.

11.4.3 Identifikace zařízení v sítích

Opatření

Pro autentizaci připojení z vybraných lokalit a přenosných zařízení by se měla zvážit automatická

identifikace zařízení.

Doporučení k realizaci

Automatická identifikace zařízení je způsob, který může být použit, jestliže je důležité, aby byla

komunikace iniciována pouze z určité lokality nebo zařízení. Zabudovaný nebo připojený identifikátor

zařízení může být používán pro indikaci povolení zahájit nebo přijímat určité transakce. Indikátory by

měly jasně ukazovat ke které síti se může zařízení připojit, je to pro případy kdy existuje více sítí

vyžadujících různou úroveň zabezpečení. V některých případech může být nutné, pro zajištění

bezpečnosti identifikátoru zařízení, zvážit jeho fyzickou ochranu.

Další informace

Automatická identifikace zařízení může být doplněna o další techniky autentizace uživatelů

těchto zařízení (viz 11.4.2). Identifikace zařízení může být dodatečně použita spolu

s autentizací uživatelů.

11.4.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci

Opatření

Fyzický i logický přístup k diagnostickým a konfiguračním portům by měl být bezpečně řízen.

Doporučení k realizaci

Přiměřeným bezpečnostním mechanizmem ochrany diagnostických a konfiguračních portů

může být například uzamčení klávesnice a použití dalších mechanizmů zamezujících fyzickému

přístupu k portům. Příkladem těchto podpůrných bezpečnostních mechanizmů může být

povolení přístupu k diagnostickým a konfiguračním portům výhradně na základě dohody mezi

správcem služby a personálem zajišťujícím podporu technického a programového vybavení,

které vyžaduje přístup.

Porty, služby a obdobná zařízení instalovaná na počítačích nebo síťových zařízeních, pokud

nejsou pro organizace potřebné, by měly být zakázány nebo odstraněny.

Další informace

Mnoho počítačových, síťových a komunikačních systémů obsahuje prostředky pro vzdálenou

konfiguraci a diagnostický přístup, které využívá podpůrný personál pro údržbu systému. Pokud

jsou nechráněny, představují diagnostické porty prostředek k neoprávněnému přístupu.

11.4.5 Princip oddělení v sítích

Opatření

Skupiny informačních služeb, uživatelů a informačních systémů by měly být v sítích odděleny.

Doporučení k realizaci

Jedna z metod správy bezpečnosti velkých sítí je rozdělení sítí do separátních logických domén, tj.

vnitřních síťových domén organizace a externích síťových domén, kde každá z nich je chráněna

definovaným bezpečnostním perimetrem. V rámci logických domén mohou být pro další

bezpečné oddělení síťových prostředí (např. veřejně přístupné systémy, vnitřní sítě a kritická

aktiva) uplatněny silnější skupiny opatření. Domény by měly být vymezeny na základě různých

bezpečnostních požadavků a výsledků analýzy rizik.

Tento bezpečnostní perimetr může být vytvořen instalací bezpečnostní brány mezi sítě, které

mají být propojeny, aby přístup a tok informací mezi dvěma doménami byl pod kontrolou. Tato

brána by měla být nakonfigurována tak, aby filtrovala komunikaci mezi těmito doménami (viz

11.4.6 a 11.4.7) a blokovala neautorizovaný přístup v souladu se zásadami řízení přístupu

organizace (viz 11.1). Příkladem tohoto typu brány je firewall. Jinou metodou oddělení logických

domén je vytvoření virtuálních privátních sítí pro různé skupiny uživatelů v rámci organizace.

Sítě mohou být také odděleny s využitím funkčnosti síťových zařízení, např. přepínáním

protokolu IP. Oddělené domény mohou být vytvořeny na základě řízení toku dat s využitím

možností směrování a přepínání, jako například nastavení ACL15.

Kritéria pro separaci sítí by měla být založena na systému řízení přístupu a požadavcích na

přístup (viz 10.1), s přihlédnutím k relativní ceně a výkonovým důsledkům zavedení vhodného

síťového směrování nebo bran (viz 11.4.6 a 11.4.7).

Oddělení v sítích by mělo být založeno na klasifikaci ukládaných a zpracovávaných informací,

úrovni důvěry a typu činností, kterými se organizace zabývá tak, aby byl v případě narušení

služeb minimalizován celkový dopad na organizaci.

Mělo by být zváženo oddělení bezdrátových sítí od interních a privátních sítí. V případech kdy

není přesně vymezen perimetr bezdrátové sítě by mělo být provedeno hodnocení rizik

a identifikována vhodná opatření (např. silná autentizace, kryptografické metody a výběr

kmitočtu) zajišťující oddělení sítí.

Další informace

Sítě se stále více rozšiřují za tradiční hranice organizace. Z důvodů vytváření partnerství může

být zapotřebí propojení nebo sdílení prostředků pro zpracování a výměnu informací. Takové

rozšíření může zvyšovat riziko neoprávněného přístupu k existujícím informačním systémům,

které využívají síť, přičemž u některých z těchto systémů může být vyžadována ochrana před

jinými uživateli sítě vzhledem k jejich citlivosti nebo kritičnosti.

11.4.6 Řízení síťových spojení

Opatření

U sdílených sítí, zejména těch, které přesahují hranice organizace, by měly být omezeny

možnosti připojení uživatelů. Omezení by měla být v souladu s politikou řízení přístupu

a s požadavky aplikací (viz 11.1).

Doporučení k realizaci

Oprávnění pro přístup uživatelů k síti by měla být udržována aktuální a v souladu s politikou

řízení přístupu (viz 11.1).

Připojení uživatelů může být omezeno prostřednictvím síťových bran, které filtrují síťový provoz

podle předdefinovaných tabulek nebo pravidel. Příklady aplikací, na které by měla být nasazena

omezení, jsou:

a) odesílání zpráv, např. elektronická pošta;

b) přenos souborů;

c) interaktivní přístup;

d) přístup k aplikacím.

Mělo by být zváženo omezení přístupu k síti na určitou denní dobou nebo datum.

Další informace

Zavedení opatření omezujících možnosti připojení uživatelů mohou být stanoveny v politice

řízení přístupu pro sdílené sítě, zejména těch, které přesahují hranice organizace.

11.4.7 Řízení směrování sítě

Opatření

Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení

přístupu aplikací organizace, by mělo být zavedeno řízení směrování sítě. Access Control List

Doporučení k realizaci

Řízení směrování by mělo být založeno na ověření zdrojové a cílové adresy.

Pokud jsou využívány zástupné (proxy) servery a/nebo překlad síťových adres, mohou být

k ověření zdrojové a cílové adresy využity bezpečnostní brány umístěné na interních

a externích kontrolních síťových bodech. Realizátoři tohoto opatření by měli znát sílu všech

nasazených mechanizmů. Požadavky pro řízení směrování sítě by měly vycházet z politiky

řízení přístupu (viz 11.1).

Další informace

U sdílených sítí, zvláště přesahují-li hranice organizace, může být vyžadována implementace

dodatečných omezení směrování. Tato opatření jsou zejména běžná pro sítě sdílené s uživateli

třetích stran.

11.5 Řízení přístupu k operačnímu systému

Cíl: Předcházet neautorizovanému přístupu k operačním systémům.

Pro omezení přístupu k prostředkům počítače by měly být použity bezpečnostní prostředky na

úrovni operačního systému.Tyto prostředky by měly být schopné:

a) autentizace oprávněných uživatelů v souladu se stanovenou politikou řízení přístupu;

b) zaznamenávat úspěšné a neúspěšné pokusy o autentizaci;

c) zaznamenávat využití systémových privilegií;

d) spouštět varování při porušení systémových bezpečnostních politik;

e) poskytovat vhodné prostředky pro autentizaci;

f) v případě potřeby omezit dobu připojení uživatele.

11.5.1 Bezpečné postupy přihlášení

Opatření

Přístup k operačnímu systému by měl být řízen postupy bezpečného přihlášení.

Doporučení k realizaci

Postup přihlášení k operačnímu systému by měl být řešen tak, aby byla minimalizována

příležitost neoprávněného přístupu. Přihlašovací postup by tedy měl prozrazovat minimum

informací o systému, aby neposkytoval zbytečnou podporu neoprávněnému uživateli. Dobrý

přihlašovací postup by měl:

a) nezobrazovat identifikátory systému nebo aplikace, dokud není přihlašovací proces

dokončen;

b) zobrazovat obecné varování, že počítač smí používat pouze oprávnění uživatelé;

c) neposkytovat nápovědu během přihlašovacího postupu, která by pomohla

neoprávněnému uživateli;

d) zkontrolovat platnost přihlašovacích informací jen v případě, že jsou vstupní data

kompletní. Pokud se vyskytne chyba, systém by neměl indikovat, která část dat je

správná, nebo chybná;

e) omezit počet povolených neúspěšných přihlašovacích pokusů (doporučují se tři pokusy)

a zároveň zvážit:

1. zaznamenání neúspěšných pokusů;

2. povolení dalšího pokusu o přihlášení až za určitou dobu nebo odmítnutí dalších

pokusů bez dalšího specifického potvrzení;

3. odpojení všech spojení na data;

4. zasílání varovných zpráv do systémové konzole (správci sítě) v případě, že je

překročen maximální počet pokusů o přihlášení;

5. nastavení maximálního počtu pokusů o opětovné zadání hesla, společně s jeho

minimální délkou, podle toho jakou má systém pro organizaci hodnotu;

f) omezit minimální a maximální dobu povolenou pro přihlášení. Pokud je překročena,

systém by měl přihlašovací postup ukončit;

g) při dokončení úspěšného přihlášení zobrazit následující informace:

1. datum a čas předchozího úspěšného přihlášení;

2. podrobnosti o všech neúspěšných pokusech o přihlášení od posledního

úspěšného přihlášení;

h) nezobrazovat heslo při jeho zadávání a nebo jej maskovat použitím zástupných

symbolů;

i) neposílat hesla přes sít v čitelné (nezašifrované) textové podobě.

Další informace

Hesla, která jsou při pokusu o přihlášení odesílána v nešifrované podobě, mohou být snadno

odchycena za použití programů monitorujících síťový provoz (tzv. sniffers).

11.5.2 Identifikace a autentizace uživatelů

Opatření

Všichni uživatelé by měli mít pro výhradní osobní použití jedinečný identifikátor (uživatelské ID), měl

by být také zvolen vhodný způsob autentizace k ověření jejich identity.

Doporučení k realizaci

Toto opatření by se mělo vztahovat na všechny typy uživatelé (včetně podpůrného technického

personálu, jako jsou operátoři, administrátoři sítě, systémoví programátoři a databázoví

administrátoři).

Uživatelská ID by měla umožňovat pozdějšího vysledování odpovědnosti konkrétních osob za

činnosti v systému. Běžné aktivity uživatelů by neměly být prováděny z privilegovaných účtů.

Ve výjimečných případech, kde to představuje jednoznačný přínos pro organizaci, se může

používat sdílený uživatelský identifikátor pro skupiny uživatelů nebo pro určitou činnost. Tyto

případy by měly být písemně schváleny vedoucím zaměstnancem. Pro udržení odpovědnosti

mohou být nutná další dodatečná opatření.

Použití generických anebo obecných ID by mělo být povoleno pouze v případech, kdy není

potřeba sledovat aktivity konkrétních uživatelů (např. když je k objektům povolen přístup pouze

pro čtení) a nebo v případech kdy jsou zavedena jiná opatření (např. heslo pro automaticky

generované ID je vždy přiřazeno pouze jednomu konkrétnímu uživateli a je o tom vytvořen

záznam).

Tam kde je vyžadována silná autentizace a ověření identity by jako alternativy k heslům mělo

být zváženo použití kryptografických prostředků, paměťových nebo čipových karet a nebo

biometrických autentizačních technologií.

Další informace

Pro zajištění identifikace a autentizace se velmi často používají hesla (viz také 11.3.1 a 11.5.3),

jejich princip spočívá v tajemství, které zná pouze uživatel. Stejného výsledku může být

dosaženo pomocí kryptografických prostředků a autentizačních protokolů. Stupeň použité

identifikace a autentizace by měl odpovídat citlivosti chráněných informací.

Pro I&A mohou být také použity předměty, které jsou vlastnictvím uživatelů, jako například

paměťové nebo čipové karty. Pro autentizaci identity osoby mohou být použity také biometrické

autentizační technologie, využívající unikátní osobní charakteristiky nebo rysy. Kombinace

bezpečného propojení technologií a mechanizmů přináší kvalitnější autentizaci.

11.5.3 Systém správy hesel

Opatření

Systém správy hesel by měl být interaktivní a měl by zajišťovat použití kvalitních hesel.

Doporučení k realizaci

Systém správy hesel by měl:

a) prosazovat používání individuálních hesel a uživatelských ID pro udržení odpovědnosti;

b) umožnit uživatelům volit a měnit si své vlastní heslo a zahrnout do systému postup pro

potvrzení hesla, který by zamezoval možným překlepům;

c) prosazovat výběr kvalitních hesel (viz 11.3.1);

d) prosazovat obměnu hesel (viz 11.3.1);

e) donutit uživatele změnit si dočasně přidělené heslo při prvním přihlášení (viz 11.2.3);

f) udržovat záznam předchozích uživatelských hesel a zabránit uživatelům znovu je použít;

g) při zadávání hesla nezobrazovat heslo na obrazovce;

h) ukládat soubory hesel odděleně od dat aplikace;

i) ukládat a přenášet hesla v chráněné podobě (např. v zašifrovaná nebo hashovaná);

Další informace

Hesla jsou jedním ze základních prostředků pro ověřování oprávnění uživatelů přistupovat

k počítačovým službám.

Některé aplikace vyžadují, aby byla uživatelská hesla přidělena nezávislou autoritou; v takovýchto

případech nejsou výše uvedené body b), d) a e) aplikovatelné. Ve většině případů jsou hesla

volena a spravována uživateli. Doporučení týkající se používání hesel jsou uvedena v kapitole

11.3.1.

11.5.4 Použití systémových nástrojů

Opatření

Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly

by mělo být omezeno a přísně kontrolováno.

Doporučení k realizaci

Měla by být zvážena následující opatření:

a) pro systémové nástroje používat postupy identifikace, autentizace a autorizace;

b) oddělení systémových nástrojů od aplikačních programů;

c) omezení použití systémových nástrojů pouze pro minimální možný počet důvěryhodných

oprávněných uživatelů (viz také 11.2.2);

d) autorizace pro případ náhodného použití systémových nástrojů;

e) omezení dostupnosti systémových nástrojů, například jen na dobu provedení

schválených změn;

f) záznam o každém použití systémových nástrojů;

g) definování a dokumentování autorizačních úrovní pro systémové nástroje;

h) odstranění všech nepotřebných programových nástrojů a systémových programů;

i) zamezení přístupu k systémovým nástrojům pro uživatele, kteří mají přístup k aplikacím

v systémech, kde je vyžadováno oddělení povinností.

Další informace

Většina instalací počítačů obsahuje jeden nebo více systémových nástrojů, které jsou schopné

překonat systémové nebo aplikační kontroly.

11.5.5 Časové omezení relace

Opatření

Neaktivní relace by měly se po stanovené době nečinnosti ukončit.

Doporučení k realizaci

Časový mechanizmus by měl po definované době nečinnosti smazat obsah obrazovky a pokud

možno později zavřít jak aplikace, tak ukončit síťové relace. Časová prodleva před ukončením

relace by měla odrážet bezpečnostní rizika vyplývající z prostor, klasifikace informací,

používaných aplikací a uživatelů, kteří zařízení využívají.

U některých systémů může být realizována omezená forma časového ukončení relace, která smaže

obrazovku a zabrání neautorizovanému přístupu, ale nezavírá aplikace nebo síťové relace.

Další informace

Implementace tohoto opatření je zejména důležitá ve vysoce rizikových oblastech, například ve

veřejných nebo externích prostorech, které jsou mimo působnost bezpečnostní správy organizace,

aby se zabránilo přístupu neoprávněných osob.

11.5.6 Časové omezení spojení

Opatření

U vysoce rizikových aplikací by pro zajištění dodatečné bezpečnosti mělo být zváženo použití

omezení doby spojení.

Doporučení k realizaci

Toto opatření by se mělo zvážit u citlivých počítačových aplikací, zejména těch, které jsou

využívány uživateli ve vysoce rizikových lokalitách, například ve veřejných nebo externích

prostorech mimo působnost bezpečnostní správy organizace. Příklady těchto omezení jsou:

a) použití předdefinovaného časového intervalu, například pro dávkové přenosy souborů

nebo pravidelné interaktivní relace krátkého trvání;

b) omezení doby spojení na běžnou pracovní dobu, pokud neexistují požadavky na práci

přesčas nebo na vícesměnný provoz;

c) opakovaná autentizace po určitých časových intervalech.

Další informace

Vymezení doby, po kterou je povoleno připojení k počítačovým službám, omezuje příležitost pro

neoprávněný přístup. Časová omezení připojení také zamezují uživatelům ponechávat relace

otevřené a vyhnout se tak opětovné autentizaci.

11.6 Řízení přístupu k aplikacím a informacím

Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.

Pro omezení přístupu k aplikačním systémům by měly být použity bezpečnostní prostředky.

Logický přístup k programům a informacím by měl být omezen na oprávněné uživatele. Aplikační

systémy by měly:

a) kontrolovat přístup uživatelů k datům a funkcím aplikačního systému v souladu s definovanou

politikou řízení přístupu;

b) poskytovat ochranu před neoprávněným přístupem ke všem nástrojům a systémovým

programům, které mohou obejít systémové a aplikační kontrolní mechanizmy;

c) nenarušit bezpečnost jiných systémů, se kterými jsou sdíleny informační zdroje;

11.6.1 Omezení přístupu k informacím

Opatření

Uživatelé aplikačních systémů, včetně pracovníků podpory, by měli mít přístup k informacím

a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu.

Doporučení k realizaci

Omezení přístupu by mělo být založeno na požadavcích na jednotlivé aplikace a musí být

v souladu s celkovou politikou přístupu k informacím organizace (viz 11.1).

Na podporu politiky přístupu by se mělo vzít v úvahu využití následujících opatření:

a) zajištění řízení přístupu k funkcím aplikačního systému prostřednictvím nabídek;

b) omezení přístupových oprávnění uživatelů, například na čtení, zápis, mazání,

vykonání/spuštění;

c) omezení přístupových práv ze strany dalších aplikací;

d) zajištění toho, že výstupy z aplikačního systému, který nakládá s citlivými informacemi,

obsahují relevantní informace, že tyto jsou posílány pouze oprávněným terminálům

nebo do oprávněných lokalit, včetně pravidelné kontroly výstupů, aby nebyly

publikovány nadbytečné údaje.

11.6.2 Oddělení citlivých systémů

Opatření

Citlivé aplikační systémy by měly mít oddělené (izolované) počítačové prostředí.

Doporučení k realizaci

Pro citlivé aplikační systémy by mělo být zváženo následující:

a) citlivost aplikačního systému by měla být explicitně určena a zdokumentována

vlastníkem aplikace (viz 7.1.2);

b) v případě provozování citlivé aplikace ve sdíleném prostředí by měly být aplikační

systémy, se kterými budou sdíleny zdroje, určeny a odsouhlaseny vlastníkem citlivé

aplikace.

Další informace

Některé aplikační systémy jsou vzhledem k možným ztrátám tak citlivé, že vyžadují zvláštní

zacházení.

Citlivost může určovat, zda by měl být aplikační systém:

a) provozován pouze na vyhrazeném počítači nebo;

b) sdílet zdroje pouze s důvěryhodnými aplikačními systémy.

Izolace citlivých aplikačních systémů může být zajištěna cestou jejich fyzického a nebo

logického oddělení (viz také 11.4.5).

11.7 Mobilní výpočetní zařízení a práce na dálku

Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro

práci na dálku.

Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při

použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném

prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být

zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento

způsob práce.

11.7.1 Mobilní výpočetní zařízení a sdělovací technika

Opatření

Měla by být ustavena formální pravidla a přijata opatření na ochranu proti rizikům použití

mobilních výpočetních a komunikačních prostředků.

Doporučení k realizaci

Při použití mobilních výpočetních prostředků, například notebooků, palmtopů, laptopů

a mobilních telefonů, by měla být věnována zvláštní pozornost tomu, aby nebyly prozrazeny

informace organizace. Měla by být přijata taková formální pravidla, které by brala v úvahu riziko

práce s mobilním výpočetním zařízením, zejména v nezabezpečeném prostředí.

Tato pravidla by měla zahrnovat například požadavky na fyzickou ochranu, kontrolu přístupu,

kryptografické techniky, zálohování a antivirovou ochranu. Tato pravidla by rovněž měla

zahrnovat požadavky a doporučení pro připojování mobilních výpočetních zařízení k sítím

a návod k použití těchto prostředků na veřejných místech.

Pozornost by měla být věnována použití mobilních výpočetních zařízení na veřejných místech,

v zasedacích místnostech a jiných nechráněných místech mimo prostor organizace. Měla by být

k dispozici ochrana proti neautorizovanému přístupu a prozrazení informací uložených

a zpracovávaných těmito prostředky, například použitím kryptografických technik (viz 12.3).

Při použití těchto zařízení na veřejných místech by se uživatelé měli vyhnout riziku odpozorování

neautorizovanými osobami. Měly by být použity prostředky proti škodlivým programům a tyto

prostředky by měly být aktualizovány (viz 10.4).

V pravidelných intervalech by měly být vytvářeny zálohy všech kritických informací organizace. Mělo

by být k dispozici zařízení schopné provádět rychlé a jednoduché zálohování informací. Zálohy by

měly být odpovídajícím způsobem chráněny proti krádeži nebo ztrátě informací.

Při použití mobilních výpočetních zařízení připojených k sítím by měla být zajištěna vhodná

ochrana. Vzdálený přístup k informacím organizace prostřednictvím veřejných sítí by měl být

umožněn pouze po úspěšné identifikaci a autentizaci, a to s nasazením vhodných mechanizmů

řízení přístupu (viz 11.4).

Mobilní výpočetní prostředky by měly být také chráněny proti zcizení, zejména pokud zůstávají

například v autech nebo jiných dopravních prostředcích, hotelových pokojích, konferenčních

centrech a zasedacích místnostech. Pro případ krádeže nebo ztráty mobilních výpočetních zařízení

by měly být ustaveny přesné postupy beroucí v potaz právní požadavky, požadavky na pojištění a

další bezpečnostní požadavky organizace. Zařízení, obsahující důležité, citlivé nebo kritické

informace organizace, by nemělo zůstávat bez dohledu a mělo by být pokud možno fyzicky

zabezpečeno nebo by jeho funkce měly být zajištěny speciálním uzamčením. Více informací

o fyzické ochraně mobilních zařízení lze nalézt v 9.2.5.

Aby bylo dosaženo povědomí o dalších rizicích tohoto způsobu práce a opatřeních, která by měla být

zavedena, měla by být pro personál, používající mobilní zařízení, organizována školení.

Další informace

Bezdrátová připojení jsou podobná ostatním typům síťových připojení, existuje však několik

důležitých rozdílů, které je třeba mít na paměti při výběru vhodných opatření. Typickými rozdíly

jsou:

a) některé bezdrátové bezpečnostní protokoly mají známé slabiny;

b) vytvoření záloh informací uložených na mobilních výpočetních prostředcích nemusí

vždy proběhnout tak, jak bylo naplánováno. Důvodem může být omezená šířka

přenosového pásma a/nebo bylo vytvoření zálohy naplánováno na dobu, kdy nebylo

zařízení připojeno k síti.

11.7.2 Práce na dálku

Opatření

Organizace by měla vytvořit a do praxe zavést zásady, operativní plány a postupy pro práci na

dálku.

Doporučení k realizaci

Organizace by měla schválit aktivity práce na dálku pouze tehdy, jestliže jsou splněny odpovídající

bezpečnostní požadavky a jsou zavedena opatření, jež jsou v souladu s bezpečnostní politikou

organizace.

Na vzdáleném pracovišti by měla existovat vhodná ochrana například proti zcizení zařízení

a informací, neautorizovanému vyzrazení informací, neautorizovanému vzdálenému přístupu

k vnitřním systémům organizace nebo zneužití prostředků. Je důležité, aby práce na dálku byla

schvalována a kontrolována vedoucími zaměstnanci a aby byly zavedeny vhodné podmínky pro

tento způsob práce.

Mělo by být zváženo následující:

a) existence fyzické bezpečnosti pracoviště a práce na dálku včetně fyzického

zabezpečení budovy a místního prostředí;

b) navrhované prostředí práce na dálku;

c) požadavky na komunikační bezpečnost, zahrnující potřeby vzdáleného přístupu

k interním systémům organizace, citlivost informací, ke kterým je přistupováno a které

jsou přenášeny komunikačními linkami, i citlivost interního systému;

d) hrozba neautorizovaného přístupu k informacím nebo zdrojům ze strany ostatních lidí

užívajících místnosti, například rodina a přátelé

e) používání domácích sítí a požadavky nebo omezení na konfiguraci bezdrátových

síťových služeb;

f) politika a procedury pro zamezení sporů ohledně práv v intelektuálnímu vlastnictví

vytvořeného na zařízení v soukromém vlastnictví;

g) přístup k vybavení v soukromém vlastnictví, který může být omezen zákonem (např.

z důvodů kontroly zabezpečení nebo v rámci vyšetřování);

h) licenční podmínky na provoz programového vybavení, které mohou stanovovat

odpovědnost organizace za licence klientských aplikací také na pracovních stanicích,

které jsou soukromým majetkem zaměstnanců, smluvních nebo třetích stran;

i) požadavky na antivirovou ochranu a firewall.

Kontroly a podmínky, které by měly být zváženy, zahrnují:

a) zajištění vhodného zařízení a skladovacího vybavení pro práci na dálku tam, kde není

povoleno používat prostředky v soukromém vlastnictví, které nejsou pod kontrolou

organizace;

b) určení povoleného druhu práce, pracovní doby, klasifikace informací, které mohou být

drženy, a klasifikace interních systémů a služeb, ke kterým bude mít daná osoba při

práci na dálku přístup;

c) zajištění vhodného komunikačního zařízení včetně metod pro bezpečný vzdálený

přístup;

d) fyzickou bezpečnost;

e) pravidla a doporučení pro přístup k zařízení a informacím ze strany rodiny a návštěv;

f) zajištění technické a programové podpory a údržby;

g) zajištění pojištění;

h) zálohovací postupy a postupy zajištění kontinuity činností organizace;

i) audit a monitorování bezpečnosti;

j) zrušení oprávnění, přístupových práv a vrácení vybavení při ukončení práce na dálku.

Další informace

Při práci na dálku umožňují komunikační technologie personálu pracovat vzdáleně z určeného

místa mimo organizaci.