Řízení přístupu
11.1 Požadavky na řízení přístupu
Cíl: Řídit přístup k informacím.
Přístup k informacím, zařízením pro zpracování informací a procesům organizace by měl být řízen
na základě provozních a bezpečnostních požadavků.
V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž
probíhá schvalování.
11.1.1 Politika řízení přístupu
Opatření
Měla by být vytvořena, dokumentována a v závislosti na aktuálních bezpečnostních
požadavcích přezkoumávána politika řízení přístupu.
Doporučení k realizaci
Přístupová pravidla a oprávnění by měla být jasně stanovena pro každého uživatele nebo
skupinu uživatelů v seznamu pravidel přístupu. Pravidla by měla pokrývat jak logický, tak fyzický
přístup (viz kapitola 9), oba typy přístupů by měly být řešeny současně. Uživatelům
a poskytovatelům služeb by mělo být předáno jasné vyjádření o provozních požadavcích, jež
naplňuje řízení přístupu.
Politika řízení přístupu by měla brát v úvahu následující hlediska:
a) bezpečnostní požadavky jednotlivých aplikací organizace;
b) identifikace všech informací ve vztahu k jednotlivým aplikacím a rizika, kterým jsou
informace vystaveny
c) pravidla pro šíření informací a pravidla schvalování, tj. princip oprávněné potřeby znát,
bezpečnostní úrovně a klasifikaci informací (viz 7.2);
d) konzistence přístupových pravidel a klasifikace informací pro různé systémy a sítě;
e) odpovídající legislativa a ostatní smluvní závazky ve vztahu k ochraně přístupu k datům
nebo službám (viz kapitola 15.1);
f) standardní přístupové profily uživatelů pro běžné kategorie činností;
g) řízení přístupových pravidel v distribuovaném a síťovém prostředí rozeznávajícím
všechny možné typy připojení;
h) oddělení jednotlivých rolí pro řízení přístupu, např. vyřizování požadavků na přístup,
schvalování přístupu, správa přístupů;
i) požadavky na formální schválení žádostí o přístup (viz 11.2.1);
j) požadavky na pravidelné přezkoumání přístupových práv (viz 11.2.4);
k) odebrání přístupových práv (viz 8.3.3).
Další informace
Při stanovování pravidel řízení přístupu by měla být zvážena následující hlediska:
a) rozlišení mezi pravidly, která musí být v platnosti vždy, a těmi, která jsou nepovinná nebo
podmíněná;
b) stanovit pravidla na základě principu „Všechno, co není výslovně povoleno, je
zakázáno“, ne na základě měkčího pravidla „Všechno, co není výslovně zakázáno, je
povoleno“;
c) změny ve značení informací (viz 7.2), které jsou vyvolány automaticky zařízeními pro
zpracování informací, a změny, které jsou vyvolány z rozhodnutí uživatele;
d) změny uživatelských oprávnění, které jsou vyvolány automaticky zařízením pro zpracování
informací, a ty, které jsou vyvolány administrátorem;
e) pravidla, která vyžadují schválení administrátorem nebo jinou pověřenou osobou, a ta,
která toto nevyžadují.
Pravidla pro řízení přístupu by měla být podporována zavedením formálních postupů a jasně
určených odpovědností (viz například 6.1.3, 11.3, 11.4.1, 11.6).
11.2 Řízení přístupu uživatelů
Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním
systémům.
Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům
a službám.
Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace
nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům
a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost
potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelům
překonat kontroly v systému.
11.2.1 Registrace uživatele
Opatření
Měl by existovat postup pro formální registraci uživatele včetně jejího zrušení, který zajistí
autorizovaný přístup ke všem víceuživatelským informačním systémům a službám.
Doporučení k realizaci
Postup pro registraci a uživatele a jejího zrušení by měl zahrnovat:
a) použití unikátního uživatelského identifikátoru (ID), aby bylo možné propojit uživatele s jím
provedenými akcemi, a zajistit tak jejich odpovědnost. Použití skupinového ID by mělo
být povoleno pouze tam, kde to je nezbytné pro určitou práci, použití by mělo být
chváleno a dokumentováno;
b) kontrolu toho, že uživatel má oprávnění používat informační systém nebo služby od
vlastníka systému. Vhodný může být také zvláštní souhlas s přístupovými právy od
nadřízených uživatele;
c) kontrolu toho, že úroveň přiděleného přístupu odpovídá záměrům organizace (viz 11.1)
a je shodná s bezpečnostní politikou organizace, například není v rozporu s principem
oddělení povinností (viz 10.1.3);
d) předání dokumentu vymezujícího přístupová práva jednotlivým uživatelům;
e) požadavek na uživatele, aby podepsali prohlášení, že rozumí podmínkám přístupu;
f) zajištění toho, aby poskytovatelé služeb neumožnili přístup, dokud nebude proces autorizace
dokončen;
g) udržování formálního záznamu o všech registrovaných osobách oprávněných využívat
službu;
h) ihned odebrat přístupová práva uživatelům, kteří změnili pracovní místo nebo opustili
organizaci;
i) pravidelně kontrolovat a odstranit již dále nepotřebné ID uživatelů a jejich účty (11.2.4);
j) zajistit, aby již nepotřebné ID uživatelů nebyly přiděleny jiným uživatelům.
Další informace
Mělo by být zváženo zavedení přístupových rolí uživatelů dle konkrétních požadavků organizace, které
by zahrnovalo vždy několik přístupových práv do typických uživatelských profilů. Požadavky na přístup
a přezkoumání jejich oprávněnosti (viz 11.2.4) se lépe zpracovávají na úrovni uživatelských rolí než
pro jednotlivá přístupová práva.
Mělo by být zváženo začlenění klauzule specifikující sankce za pokus o neautorizovaný přístup
zaměstnanců nebo servisního personálu do jejich pracovních smluv a servisních kontraktů (viz
také 6.1.5, 8.1.3 a 8.2.3).
11.2.2 Řízení privilegovaného přístupu
Opatření
Přidělování a používání privilegií by mělo být omezeno a řízeno.
Doporučení k realizaci
Ve víceuživatelských systémech, u nichž je nutná ochrana proti neautorizovanému přístupu, by
mělo být přidělování privilegovaných oprávnění řízeno prostřednictvím formálního autorizačního
procesu. Měly by být zváženy následující kroky:
a) měla by být popsána privilegia spojená s každým prvkem systému (například
s operačním nebo databázovým systémem a všemi aplikacemi) a kategorie zaměstnanců,
kterým by měla být přidělena;
b) privilegia by měla být přidělována jednotlivcům na základě jejich oprávněné potřeby pro
použití a případ od případu a v souladu s politikou řízení přístupu (viz 11.1.1), například
požadavek na minimalizaci jejich provozní role určené podle potřeby;
c) měl by být dodržován proces autorizace a zachováván záznam všech přidělených privilegií.
Privilegia by neměla být přidělena, dokud není proces autorizace dokončen;
d) měl by být podporován vývoj a používání takových systémových rutin, které by
omezovaly nutnost přidělovat privilegia uživatelům;
e) měl by být podporován vývoj a používání takových programů, které by vyžadovaly
oprávnění ke svému spuštění;
f) privilegia by měla být přidělena jiným uživatelským ID než těm, které jsou používány pro
běžnou práci.
Další informace
Nepatřičné použití systémových privilegií (určité funkce nebo prostředky, dávající uživateli
možnost překonat systémové nebo aplikační kontroly) je často hlavním spolupůsobícím
faktorem selhání systémů.
11.2.3 Správa uživatelských hesel
Opatření
Přidělování hesel by mělo být řízeno formálním procesem.
Doporučení k realizaci
Proces by měl vyhovovat následujícím požadavkům:
a) vyžadovat od uživatelů podpis prohlášení, že se zavazují k držení svých hesel v tajnosti
a k zachování hesel pracovní skupiny pouze mezi jejími členy (to může být začleněno
v pracovních podmínkách, viz 8.1.3);
b) zajistit, aby v případě, že si uživatelé sami mění své heslo (viz 11.3.1), dostali na počátku
bezpečné jednorázové heslo, které jsou nuceni ihned po přihlášení změnit;
c) zavést postupy jednoznačné identifikace uživatelů předtím než jim je poskytnuto nové,
náhradní a nebo dočasné heslo;
d) dočasně přidělená hesla by měla být jedinečná a neměla by být lehce uhodnutelná;
e) uživatelé by měli potvrdit přijetí hesel;
f) hesla by nikdy neměla být v počítači uložena v nechráněné podobě;
g) dodavateli přednastavená hesla by měly být ihned po instalaci systému nebo
aplikačního programového vybavení změněna;
Další informace
Hesla jsou běžným prostředkem pro ověření identity uživatele předtím, než je mu umožněn
přístup do systému nebo ke službě s ohledem na jeho oprávnění. Pokud je to vhodné, mělo by být
zváženo použití i jiných technologií autentizace a identifikace uživatele, jako je biometrie,
například ověření otisku prstu, podpisu a použití technických prostředků, například čipových
karet.
11.2.4 Přezkoumání přístupových práv uživatelů
Opatření
Vedení organizace by mělo v pravidelných intervalech provádět formální přezkoumání
přístupových práv uživatelů.
Doporučení k realizaci
Přezkoumání přístupových práv uživatelů by mělo zaručovat, že:
a) přístupová práva uživatelů jsou přezkoumávána v pravidelných intervalech (doporučuje
se interval 6 měsíců) a po každé změně, jako například povýšení, přeložení na nižší
pozici nebo ukončení pracovního poměru (viz 11.2.1);
b) při přeřazení na jinou pracovní pozici v rámci organizace by měla být stávající
přístupová práva přezkoumána;
c) autorizace speciálních privilegovaných oprávnění (viz 11.2.2) jsou přezkoumávána
v kratších intervalech, doporučuje se interval 3 měsíců;
d) přidělená privilegovaná oprávnění by měla být přezkoumávána v pravidelných
intervalech, aby bylo zajištěno, že nedošlo k získání neoprávněného privilegia;
e) změny u privilegovaných účtů by měly být zaznamenány pro potřeby pravidelných
přezkoumání.
Další informace
Pro udržení účinného řízení přístupu k datům a informačním službám by mělo vedení
organizace v pravidelných intervalech provádět kontrolu přístupových práv uživatelů.
11.3 Odpovědnosti uživatelů
Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací
a prostředků pro zpracování informací.
Pro účinné zabezpečení je nezbytná spolupráce oprávněných uživatelů.
Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly
přístupu, zejména s ohledem na používání hesel, a bezpečnosti jim přidělených prostředků.
Pro snížení rizika neoprávněného přístupu (nebo poškození) k dokumentům, médiím
a prostředkům pro zpracování informací, by měla být zavedena zásada prázdného stolu
a prázdné obrazovky monitoru.
11.3.1 Používání hesel
Opatření
Při výběru a používání hesel by mělo být po uživatelích požadováno, aby dodržovali stanovené
bezpečnostní postupy.
Doporučení k realizaci
Všichni uživatelé by měli být obeznámeni s tím, že:
a) hesla se udržují v tajnosti;
b) hesla nesmí být zaznamenána (např. na papíře, v souborech nebo v přenosných
zařízeních), s výjimkou jejich bezpečného uložení a když byl způsob jejich uložení
schválen;
c) hesla se musí změnit v případě jakéhokoliv náznaku možného kompromitování systému
nebo hesla;
d) heslo by mělo být kvalitní, mělo by mít minimální délku šest znaků, a to tak, aby:
1.bylo dobře zapamatovatelné;
2. nebylo založeno na informacích vztahujících se k osobě, které by mohl kdokoliv
další lehce uhodnout nebo získat, například jména, telefonní čísla, data narození
apod.;
3. nebylo zranitelné při použití slovníkových útoků (nemělo by se skládat ze slov
vyskytujících se ve slovnících);
4. neobsahovalo po sobě jdoucí stejné znaky a neobsahovalo pouze číselné nebo
pouze písmenné skupiny.
e) musí měnit hesla v pravidelných intervalech nebo na základě počtu přihlášení (hesla pro
privilegovaný přístup by se měla měnit častěji než normální hesla) a vyhýbat se
opakovanému použití nebo opakování starých hesel;
f) musí změnit dočasná hesla při prvním přihlášení;
g) nebudou zahrnovat hesla do žádného automatizovaného přihlašovacího procesu,
například uložení do makra nebo funkční klávesy;
h) nebudou sdílet osobní uživatelská hesla;
i) nebudou používat stejná hesla pro soukromé a pracovní účely.
Jestliže uživatelé potřebují, aby měli přístup k více službám nebo platformám, a musí udržovat
více hesel, může jim být doporučeno používat jedno silné heslo (viz d) pro všechny služby u
kterých si jsou jisti, že poskytují rozumnou úroveň zabezpečení uložených hesel.
Další informace
Zvláštní péče by také měla být věnována help desku, který řeší ztracená a zapomenutá hesla
a může se také stát cílem útoku.
11.3.2 Neobsluhovaná uživatelská zařízení
Opatření
Uživatelé by měli zajistit přiměřenou ochranu neobsluhovaných zařízení.
Doporučení k realizaci
Všichni uživatelé by si měli být vědomi bezpečnostních požadavků a postupů pro zabezpečení
neobsluhovaného zařízení, stejně jako své odpovědnosti za provádění takovéto ochrany.
Uživatelům by mělo být doporučeno:
a) při ukončení práce ukončit aktivní relace nebo je zajistit vhodným mechanizmem, například
spořičem obrazovky s heslem;
b) odhlásit se v případě ukončení relace od sálových počítačů, serverů a kancelářských PC (tj.
nevypínat pouze monitor počítače nebo terminál);
c) pokud se nepoužívají, zabezpečit PC nebo terminály pomocí uzamčení klávesnice nebo
ekvivalentní kontroly, například přístupovým heslem (viz 11.3.3).
Další informace
Zařízení instalovaná v uživatelských prostorech, například pracovní stanice nebo souborový
server, mohou vyžadovat zvláštní ochranu před neoprávněným přístupem, když jsou delší dobu
bez obsluhy.
11.3.3 Zásada prázdného stolu a prázdné obrazovky monitoru
Opatření
Měla by být přijata zásada prázdného stolu ve vztahu k dokumentům a vyměnitelným médiím
a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací.
Doporučení k realizaci
Zásada prázdného stolu a prázdné obrazovky monitoru by měla brát v potaz klasifikaci
informací (viz 7.2), zákonné a smluvní požadavky (viz 15.1), rizika a kulturní aspekty
organizace. V úvahu by měla být vzata následující Opatření
a) citlivé nebo kritické informace organizace, např. papírové dokumenty a počítačová
média by měly být v případě, že se nepoužívají, a zejména když je kancelář prázdná,
uzamčeny (ideálně v protipožárním sejfu nebo v uzamykatelných skříňkách nebo
v jiném bezpečném druhu nábytku);
b) přihlášené osobní počítače, počítačové terminály by neměly být ponechávány bez
dozoru, a v případě, že se nepoužívají, by měly být chráněny klíčem, heslem nebo
jinými opatřeními;
c) body shromažďující došlou a odeslanou korespondenci, stejně tak jako faxové přístroje
bez dohledu by měly být chráněny;
d) kopírky a další reprodukční zařízení (např. skenery, digitální kamery) by měly být
v mimopracovní době uzamčeny (nebo jiným způsobem chráněny před neoprávněným
použitím);
e) dokumenty obsahující citlivé nebo klasifikované informace by měly být po vytištění
okamžitě odebírány z tiskárny.
Další informace
Zásada prázdného stolu a prázdné obrazovky monitoru snižuje riziko neoprávněného přístupu,
ztráty a poškození informací během nebo mimo běžnou pracovní dobu. Sejfy nebo jiné
podobné typy zařízení mohou být také využity k bezpečnému uložení informací a jejich ochraně
proti katastrofám, jakými mohou být například požár, zemětřesení, povodeň nebo výbuch.
Mělo by být zváženo použití tiskáren u kterých dojde k vytištění úlohy teprve po identifikaci
kartou nebo PIN kódem na terminálu (uživatel musí stát u tiskárny).
11.4 Řízení přístupu k síti
Cíl: Předcházet neautorizovanému přístupu k síťovým službám.
Přístup k interním i externím síťovým službám by měl být řízen.
Je to nezbytné pro zajištění toho, aby uživatelé mající přístup k sítím nebo síťovým službám
neohrožovali bezpečnost těchto služeb. K tomu je potřeba:
a) vhodné rozhraní sítě organizace se sítěmi jiných organizací nebo veřejnými sítěmi;
b) odpovídající autentizační mechanizmus pro uživatele a zařízení;
c) řízení přístupu uživatelů k informačním službám.
11.4.1 Politika užívání síťových služeb
Opatření
Uživatelé by měli mít přímý přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť
oprávněni.
Doporučení k realizaci
Politika formulovaná ve vztahu k sítím a síťovým službám by měla pokrývat:
a) sítě a síťové služby, ke kterým je povolen přístup;
b) autorizační postupy určující kdo je oprávněn přistupovat k jakým sítím a síťovým
službám;
c) řídící kontrolní mechanizmy a postupy určené k ochraně přístupu k síťovým připojením
a službám;
d) možnosti pro přístup k síti nebo síťovým službám (např. podmínky za kterých je
povoleno telefonní připojení k internetové službě nebo vzdáleného systému)
Politika užívání síťových služeb by měla být v souladu s politikou řízení přístupu (viz 11.1).
Další informace
Neoprávněné nebo nezabezpečené připojení k síťovým službám může mít vliv na celou
organizaci. Toto opatření je důležité zejména u síťových připojení k citlivým nebo kritickým
aplikacím organizace či pro uživatele připojující se z vysoce rizikových lokalit, například veřejné
nebo vnější oblasti nespadající do působnosti bezpečnostních opatření organizace.
11.4.2 Autentizace uživatele externího připojení
Opatření
Přístup vzdálených uživatelů měl být autentizován.
Doporučení k realizaci
Autentizace vzdálených uživatelů může být zajištěna například použitím kryptografických
technik, autentizačních předmětů (hardware token) nebo protokolem typu výzva/odpověď
(challenge/response). Implementaci takovýchto technik například využívají virtuální privátní sítě
(VPN sítě). Pro kontrolu identity zdroje komunikace může být také použito vyhrazené soukromé
linky nebo prostředků pro ověření síťové adresy uživatele.
Ochranu proti neautorizovanému a nechtěnému připojení k prostředkům pro zpracování informací
organizace mohou zajistit opatření zajišťující zpětné volání, například použití modemů pro zpětné
volání (dial-back). Tento druh opatření se používá pro autentizaci uživatele, pokoušejícího se
o připojení do sítě organizace ze vzdálené lokality. Při použití těchto opatření, by organizace
neměla používat síťové služby, které zahrnují přesměrování hovoru a v případě, že je používá,
by měla být funkce přesměrování zakázána, aby se zabránilo vytvoření slabin, které obsahuje. Je
také důležité, aby proces zpětného volání obsahoval na straně organizace kontrolu ukončení
původního spojení. V opačném případě může vzdálený uživatel zůstat na lince a předstírat, že
verifikace zpětným voláním byla provedena. Postupy a opatření zajišťující zpětné volání by měly
být otestovány, aby neumožňovaly tento způsob zneužití.
Autentizace uzlů může být i alternativním prostředkem autentizace skupin vzdálených uživatelů,
kteří jsou připojeni k bezpečným sdíleným počítačovým prostředkům. Kryptografické techniky,
např. založené na certifikátech fyzických počítačů, lze použít pro autentizaci uzlů. Toto je jen
jeden z příkladů řešení VPN sítí.
Pro bezpečný přístup k bezdrátovým sítím by měly být implementovány dodatečné techniky
autentizace. Je to z důvodu vyššího rizika narušení komunikace nebo vložení falešné zprávy
než je tomu u sítí klasických.
Další informace
Externí připojení, například přístup komutovanou linkou, představuje určitý potenciál pro
neoprávněný přístup k informacím organizace. Existují různé typy autentizačních metod,
některé z nich poskytují větší úroveň ochrany než jiné, například metody založené na použití
kryptografických technik mohou zajistit silnou autentizaci. Je důležité, aby navržený stupeň
požadované ochrany, který slouží jako základ pro výběr vhodné autentizační metody, vycházel
z hodnocení rizik.
Možnost automatického připojení ke vzdáleným počítačům může představovat cestu vedoucí
k získání neoprávněného přístupu k aplikacím organizace. Vzdálená připojení k počítačovým
systémům by tedy měla být autentizována. To je zvláště důležité v případě připojení přes
otevřenou síť, která je mimo působnost správy bezpečnosti organizace.
11.4.3 Identifikace zařízení v sítích
Opatření
Pro autentizaci připojení z vybraných lokalit a přenosných zařízení by se měla zvážit automatická
identifikace zařízení.
Doporučení k realizaci
Automatická identifikace zařízení je způsob, který může být použit, jestliže je důležité, aby byla
komunikace iniciována pouze z určité lokality nebo zařízení. Zabudovaný nebo připojený identifikátor
zařízení může být používán pro indikaci povolení zahájit nebo přijímat určité transakce. Indikátory by
měly jasně ukazovat ke které síti se může zařízení připojit, je to pro případy kdy existuje více sítí
vyžadujících různou úroveň zabezpečení. V některých případech může být nutné, pro zajištění
bezpečnosti identifikátoru zařízení, zvážit jeho fyzickou ochranu.
Další informace
Automatická identifikace zařízení může být doplněna o další techniky autentizace uživatelů
těchto zařízení (viz 11.4.2). Identifikace zařízení může být dodatečně použita spolu
s autentizací uživatelů.
11.4.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci
Opatření
Fyzický i logický přístup k diagnostickým a konfiguračním portům by měl být bezpečně řízen.
Doporučení k realizaci
Přiměřeným bezpečnostním mechanizmem ochrany diagnostických a konfiguračních portů
může být například uzamčení klávesnice a použití dalších mechanizmů zamezujících fyzickému
přístupu k portům. Příkladem těchto podpůrných bezpečnostních mechanizmů může být
povolení přístupu k diagnostickým a konfiguračním portům výhradně na základě dohody mezi
správcem služby a personálem zajišťujícím podporu technického a programového vybavení,
které vyžaduje přístup.
Porty, služby a obdobná zařízení instalovaná na počítačích nebo síťových zařízeních, pokud
nejsou pro organizace potřebné, by měly být zakázány nebo odstraněny.
Další informace
Mnoho počítačových, síťových a komunikačních systémů obsahuje prostředky pro vzdálenou
konfiguraci a diagnostický přístup, které využívá podpůrný personál pro údržbu systému. Pokud
jsou nechráněny, představují diagnostické porty prostředek k neoprávněnému přístupu.
11.4.5 Princip oddělení v sítích
Opatření
Skupiny informačních služeb, uživatelů a informačních systémů by měly být v sítích odděleny.
Doporučení k realizaci
Jedna z metod správy bezpečnosti velkých sítí je rozdělení sítí do separátních logických domén, tj.
vnitřních síťových domén organizace a externích síťových domén, kde každá z nich je chráněna
definovaným bezpečnostním perimetrem. V rámci logických domén mohou být pro další
bezpečné oddělení síťových prostředí (např. veřejně přístupné systémy, vnitřní sítě a kritická
aktiva) uplatněny silnější skupiny opatření. Domény by měly být vymezeny na základě různých
bezpečnostních požadavků a výsledků analýzy rizik.
Tento bezpečnostní perimetr může být vytvořen instalací bezpečnostní brány mezi sítě, které
mají být propojeny, aby přístup a tok informací mezi dvěma doménami byl pod kontrolou. Tato
brána by měla být nakonfigurována tak, aby filtrovala komunikaci mezi těmito doménami (viz
11.4.6 a 11.4.7) a blokovala neautorizovaný přístup v souladu se zásadami řízení přístupu
organizace (viz 11.1). Příkladem tohoto typu brány je firewall. Jinou metodou oddělení logických
domén je vytvoření virtuálních privátních sítí pro různé skupiny uživatelů v rámci organizace.
Sítě mohou být také odděleny s využitím funkčnosti síťových zařízení, např. přepínáním
protokolu IP. Oddělené domény mohou být vytvořeny na základě řízení toku dat s využitím
možností směrování a přepínání, jako například nastavení ACL15.
Kritéria pro separaci sítí by měla být založena na systému řízení přístupu a požadavcích na
přístup (viz 10.1), s přihlédnutím k relativní ceně a výkonovým důsledkům zavedení vhodného
síťového směrování nebo bran (viz 11.4.6 a 11.4.7).
Oddělení v sítích by mělo být založeno na klasifikaci ukládaných a zpracovávaných informací,
úrovni důvěry a typu činností, kterými se organizace zabývá tak, aby byl v případě narušení
služeb minimalizován celkový dopad na organizaci.
Mělo by být zváženo oddělení bezdrátových sítí od interních a privátních sítí. V případech kdy
není přesně vymezen perimetr bezdrátové sítě by mělo být provedeno hodnocení rizik
a identifikována vhodná opatření (např. silná autentizace, kryptografické metody a výběr
kmitočtu) zajišťující oddělení sítí.
Další informace
Sítě se stále více rozšiřují za tradiční hranice organizace. Z důvodů vytváření partnerství může
být zapotřebí propojení nebo sdílení prostředků pro zpracování a výměnu informací. Takové
rozšíření může zvyšovat riziko neoprávněného přístupu k existujícím informačním systémům,
které využívají síť, přičemž u některých z těchto systémů může být vyžadována ochrana před
jinými uživateli sítě vzhledem k jejich citlivosti nebo kritičnosti.
11.4.6 Řízení síťových spojení
Opatření
U sdílených sítí, zejména těch, které přesahují hranice organizace, by měly být omezeny
možnosti připojení uživatelů. Omezení by měla být v souladu s politikou řízení přístupu
a s požadavky aplikací (viz 11.1).
Doporučení k realizaci
Oprávnění pro přístup uživatelů k síti by měla být udržována aktuální a v souladu s politikou
řízení přístupu (viz 11.1).
Připojení uživatelů může být omezeno prostřednictvím síťových bran, které filtrují síťový provoz
podle předdefinovaných tabulek nebo pravidel. Příklady aplikací, na které by měla být nasazena
omezení, jsou:
a) odesílání zpráv, např. elektronická pošta;
b) přenos souborů;
c) interaktivní přístup;
d) přístup k aplikacím.
Mělo by být zváženo omezení přístupu k síti na určitou denní dobou nebo datum.
Další informace
Zavedení opatření omezujících možnosti připojení uživatelů mohou být stanoveny v politice
řízení přístupu pro sdílené sítě, zejména těch, které přesahují hranice organizace.
11.4.7 Řízení směrování sítě
Opatření
Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení
přístupu aplikací organizace, by mělo být zavedeno řízení směrování sítě. Access Control List
Doporučení k realizaci
Řízení směrování by mělo být založeno na ověření zdrojové a cílové adresy.
Pokud jsou využívány zástupné (proxy) servery a/nebo překlad síťových adres, mohou být
k ověření zdrojové a cílové adresy využity bezpečnostní brány umístěné na interních
a externích kontrolních síťových bodech. Realizátoři tohoto opatření by měli znát sílu všech
nasazených mechanizmů. Požadavky pro řízení směrování sítě by měly vycházet z politiky
řízení přístupu (viz 11.1).
Další informace
U sdílených sítí, zvláště přesahují-li hranice organizace, může být vyžadována implementace
dodatečných omezení směrování. Tato opatření jsou zejména běžná pro sítě sdílené s uživateli
třetích stran.
11.5 Řízení přístupu k operačnímu systému
Cíl: Předcházet neautorizovanému přístupu k operačním systémům.
Pro omezení přístupu k prostředkům počítače by měly být použity bezpečnostní prostředky na
úrovni operačního systému.Tyto prostředky by měly být schopné:
a) autentizace oprávněných uživatelů v souladu se stanovenou politikou řízení přístupu;
b) zaznamenávat úspěšné a neúspěšné pokusy o autentizaci;
c) zaznamenávat využití systémových privilegií;
d) spouštět varování při porušení systémových bezpečnostních politik;
e) poskytovat vhodné prostředky pro autentizaci;
f) v případě potřeby omezit dobu připojení uživatele.
11.5.1 Bezpečné postupy přihlášení
Opatření
Přístup k operačnímu systému by měl být řízen postupy bezpečného přihlášení.
Doporučení k realizaci
Postup přihlášení k operačnímu systému by měl být řešen tak, aby byla minimalizována
příležitost neoprávněného přístupu. Přihlašovací postup by tedy měl prozrazovat minimum
informací o systému, aby neposkytoval zbytečnou podporu neoprávněnému uživateli. Dobrý
přihlašovací postup by měl:
a) nezobrazovat identifikátory systému nebo aplikace, dokud není přihlašovací proces
dokončen;
b) zobrazovat obecné varování, že počítač smí používat pouze oprávnění uživatelé;
c) neposkytovat nápovědu během přihlašovacího postupu, která by pomohla
neoprávněnému uživateli;
d) zkontrolovat platnost přihlašovacích informací jen v případě, že jsou vstupní data
kompletní. Pokud se vyskytne chyba, systém by neměl indikovat, která část dat je
správná, nebo chybná;
e) omezit počet povolených neúspěšných přihlašovacích pokusů (doporučují se tři pokusy)
a zároveň zvážit:
1. zaznamenání neúspěšných pokusů;
2. povolení dalšího pokusu o přihlášení až za určitou dobu nebo odmítnutí dalších
pokusů bez dalšího specifického potvrzení;
3. odpojení všech spojení na data;
4. zasílání varovných zpráv do systémové konzole (správci sítě) v případě, že je
překročen maximální počet pokusů o přihlášení;
5. nastavení maximálního počtu pokusů o opětovné zadání hesla, společně s jeho
minimální délkou, podle toho jakou má systém pro organizaci hodnotu;
f) omezit minimální a maximální dobu povolenou pro přihlášení. Pokud je překročena,
systém by měl přihlašovací postup ukončit;
g) při dokončení úspěšného přihlášení zobrazit následující informace:
1. datum a čas předchozího úspěšného přihlášení;
2. podrobnosti o všech neúspěšných pokusech o přihlášení od posledního
úspěšného přihlášení;
h) nezobrazovat heslo při jeho zadávání a nebo jej maskovat použitím zástupných
symbolů;
i) neposílat hesla přes sít v čitelné (nezašifrované) textové podobě.
Další informace
Hesla, která jsou při pokusu o přihlášení odesílána v nešifrované podobě, mohou být snadno
odchycena za použití programů monitorujících síťový provoz (tzv. sniffers).
11.5.2 Identifikace a autentizace uživatelů
Opatření
Všichni uživatelé by měli mít pro výhradní osobní použití jedinečný identifikátor (uživatelské ID), měl
by být také zvolen vhodný způsob autentizace k ověření jejich identity.
Doporučení k realizaci
Toto opatření by se mělo vztahovat na všechny typy uživatelé (včetně podpůrného technického
personálu, jako jsou operátoři, administrátoři sítě, systémoví programátoři a databázoví
administrátoři).
Uživatelská ID by měla umožňovat pozdějšího vysledování odpovědnosti konkrétních osob za
činnosti v systému. Běžné aktivity uživatelů by neměly být prováděny z privilegovaných účtů.
Ve výjimečných případech, kde to představuje jednoznačný přínos pro organizaci, se může
používat sdílený uživatelský identifikátor pro skupiny uživatelů nebo pro určitou činnost. Tyto
případy by měly být písemně schváleny vedoucím zaměstnancem. Pro udržení odpovědnosti
mohou být nutná další dodatečná opatření.
Použití generických anebo obecných ID by mělo být povoleno pouze v případech, kdy není
potřeba sledovat aktivity konkrétních uživatelů (např. když je k objektům povolen přístup pouze
pro čtení) a nebo v případech kdy jsou zavedena jiná opatření (např. heslo pro automaticky
generované ID je vždy přiřazeno pouze jednomu konkrétnímu uživateli a je o tom vytvořen
záznam).
Tam kde je vyžadována silná autentizace a ověření identity by jako alternativy k heslům mělo
být zváženo použití kryptografických prostředků, paměťových nebo čipových karet a nebo
biometrických autentizačních technologií.
Další informace
Pro zajištění identifikace a autentizace se velmi často používají hesla (viz také 11.3.1 a 11.5.3),
jejich princip spočívá v tajemství, které zná pouze uživatel. Stejného výsledku může být
dosaženo pomocí kryptografických prostředků a autentizačních protokolů. Stupeň použité
identifikace a autentizace by měl odpovídat citlivosti chráněných informací.
Pro I&A mohou být také použity předměty, které jsou vlastnictvím uživatelů, jako například
paměťové nebo čipové karty. Pro autentizaci identity osoby mohou být použity také biometrické
autentizační technologie, využívající unikátní osobní charakteristiky nebo rysy. Kombinace
bezpečného propojení technologií a mechanizmů přináší kvalitnější autentizaci.
11.5.3 Systém správy hesel
Opatření
Systém správy hesel by měl být interaktivní a měl by zajišťovat použití kvalitních hesel.
Doporučení k realizaci
Systém správy hesel by měl:
a) prosazovat používání individuálních hesel a uživatelských ID pro udržení odpovědnosti;
b) umožnit uživatelům volit a měnit si své vlastní heslo a zahrnout do systému postup pro
potvrzení hesla, který by zamezoval možným překlepům;
c) prosazovat výběr kvalitních hesel (viz 11.3.1);
d) prosazovat obměnu hesel (viz 11.3.1);
e) donutit uživatele změnit si dočasně přidělené heslo při prvním přihlášení (viz 11.2.3);
f) udržovat záznam předchozích uživatelských hesel a zabránit uživatelům znovu je použít;
g) při zadávání hesla nezobrazovat heslo na obrazovce;
h) ukládat soubory hesel odděleně od dat aplikace;
i) ukládat a přenášet hesla v chráněné podobě (např. v zašifrovaná nebo hashovaná);
Další informace
Hesla jsou jedním ze základních prostředků pro ověřování oprávnění uživatelů přistupovat
k počítačovým službám.
Některé aplikace vyžadují, aby byla uživatelská hesla přidělena nezávislou autoritou; v takovýchto
případech nejsou výše uvedené body b), d) a e) aplikovatelné. Ve většině případů jsou hesla
volena a spravována uživateli. Doporučení týkající se používání hesel jsou uvedena v kapitole
11.3.1.
11.5.4 Použití systémových nástrojů
Opatření
Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly
by mělo být omezeno a přísně kontrolováno.
Doporučení k realizaci
Měla by být zvážena následující opatření:
a) pro systémové nástroje používat postupy identifikace, autentizace a autorizace;
b) oddělení systémových nástrojů od aplikačních programů;
c) omezení použití systémových nástrojů pouze pro minimální možný počet důvěryhodných
oprávněných uživatelů (viz také 11.2.2);
d) autorizace pro případ náhodného použití systémových nástrojů;
e) omezení dostupnosti systémových nástrojů, například jen na dobu provedení
schválených změn;
f) záznam o každém použití systémových nástrojů;
g) definování a dokumentování autorizačních úrovní pro systémové nástroje;
h) odstranění všech nepotřebných programových nástrojů a systémových programů;
i) zamezení přístupu k systémovým nástrojům pro uživatele, kteří mají přístup k aplikacím
v systémech, kde je vyžadováno oddělení povinností.
Další informace
Většina instalací počítačů obsahuje jeden nebo více systémových nástrojů, které jsou schopné
překonat systémové nebo aplikační kontroly.
11.5.5 Časové omezení relace
Opatření
Neaktivní relace by měly se po stanovené době nečinnosti ukončit.
Doporučení k realizaci
Časový mechanizmus by měl po definované době nečinnosti smazat obsah obrazovky a pokud
možno později zavřít jak aplikace, tak ukončit síťové relace. Časová prodleva před ukončením
relace by měla odrážet bezpečnostní rizika vyplývající z prostor, klasifikace informací,
používaných aplikací a uživatelů, kteří zařízení využívají.
U některých systémů může být realizována omezená forma časového ukončení relace, která smaže
obrazovku a zabrání neautorizovanému přístupu, ale nezavírá aplikace nebo síťové relace.
Další informace
Implementace tohoto opatření je zejména důležitá ve vysoce rizikových oblastech, například ve
veřejných nebo externích prostorech, které jsou mimo působnost bezpečnostní správy organizace,
aby se zabránilo přístupu neoprávněných osob.
11.5.6 Časové omezení spojení
Opatření
U vysoce rizikových aplikací by pro zajištění dodatečné bezpečnosti mělo být zváženo použití
omezení doby spojení.
Doporučení k realizaci
Toto opatření by se mělo zvážit u citlivých počítačových aplikací, zejména těch, které jsou
využívány uživateli ve vysoce rizikových lokalitách, například ve veřejných nebo externích
prostorech mimo působnost bezpečnostní správy organizace. Příklady těchto omezení jsou:
a) použití předdefinovaného časového intervalu, například pro dávkové přenosy souborů
nebo pravidelné interaktivní relace krátkého trvání;
b) omezení doby spojení na běžnou pracovní dobu, pokud neexistují požadavky na práci
přesčas nebo na vícesměnný provoz;
c) opakovaná autentizace po určitých časových intervalech.
Další informace
Vymezení doby, po kterou je povoleno připojení k počítačovým službám, omezuje příležitost pro
neoprávněný přístup. Časová omezení připojení také zamezují uživatelům ponechávat relace
otevřené a vyhnout se tak opětovné autentizaci.
11.6 Řízení přístupu k aplikacím a informacím
Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.
Pro omezení přístupu k aplikačním systémům by měly být použity bezpečnostní prostředky.
Logický přístup k programům a informacím by měl být omezen na oprávněné uživatele. Aplikační
systémy by měly:
a) kontrolovat přístup uživatelů k datům a funkcím aplikačního systému v souladu s definovanou
politikou řízení přístupu;
b) poskytovat ochranu před neoprávněným přístupem ke všem nástrojům a systémovým
programům, které mohou obejít systémové a aplikační kontrolní mechanizmy;
c) nenarušit bezpečnost jiných systémů, se kterými jsou sdíleny informační zdroje;
11.6.1 Omezení přístupu k informacím
Opatření
Uživatelé aplikačních systémů, včetně pracovníků podpory, by měli mít přístup k informacím
a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu.
Doporučení k realizaci
Omezení přístupu by mělo být založeno na požadavcích na jednotlivé aplikace a musí být
v souladu s celkovou politikou přístupu k informacím organizace (viz 11.1).
Na podporu politiky přístupu by se mělo vzít v úvahu využití následujících opatření:
a) zajištění řízení přístupu k funkcím aplikačního systému prostřednictvím nabídek;
b) omezení přístupových oprávnění uživatelů, například na čtení, zápis, mazání,
vykonání/spuštění;
c) omezení přístupových práv ze strany dalších aplikací;
d) zajištění toho, že výstupy z aplikačního systému, který nakládá s citlivými informacemi,
obsahují relevantní informace, že tyto jsou posílány pouze oprávněným terminálům
nebo do oprávněných lokalit, včetně pravidelné kontroly výstupů, aby nebyly
publikovány nadbytečné údaje.
11.6.2 Oddělení citlivých systémů
Opatření
Citlivé aplikační systémy by měly mít oddělené (izolované) počítačové prostředí.
Doporučení k realizaci
Pro citlivé aplikační systémy by mělo být zváženo následující:
a) citlivost aplikačního systému by měla být explicitně určena a zdokumentována
vlastníkem aplikace (viz 7.1.2);
b) v případě provozování citlivé aplikace ve sdíleném prostředí by měly být aplikační
systémy, se kterými budou sdíleny zdroje, určeny a odsouhlaseny vlastníkem citlivé
aplikace.
Další informace
Některé aplikační systémy jsou vzhledem k možným ztrátám tak citlivé, že vyžadují zvláštní
zacházení.
Citlivost může určovat, zda by měl být aplikační systém:
a) provozován pouze na vyhrazeném počítači nebo;
b) sdílet zdroje pouze s důvěryhodnými aplikačními systémy.
Izolace citlivých aplikačních systémů může být zajištěna cestou jejich fyzického a nebo
logického oddělení (viz také 11.4.5).
11.7 Mobilní výpočetní zařízení a práce na dálku
Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro
práci na dálku.
Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při
použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném
prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být
zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento
způsob práce.
11.7.1 Mobilní výpočetní zařízení a sdělovací technika
Opatření
Měla by být ustavena formální pravidla a přijata opatření na ochranu proti rizikům použití
mobilních výpočetních a komunikačních prostředků.
Doporučení k realizaci
Při použití mobilních výpočetních prostředků, například notebooků, palmtopů, laptopů
a mobilních telefonů, by měla být věnována zvláštní pozornost tomu, aby nebyly prozrazeny
informace organizace. Měla by být přijata taková formální pravidla, které by brala v úvahu riziko
práce s mobilním výpočetním zařízením, zejména v nezabezpečeném prostředí.
Tato pravidla by měla zahrnovat například požadavky na fyzickou ochranu, kontrolu přístupu,
kryptografické techniky, zálohování a antivirovou ochranu. Tato pravidla by rovněž měla
zahrnovat požadavky a doporučení pro připojování mobilních výpočetních zařízení k sítím
a návod k použití těchto prostředků na veřejných místech.
Pozornost by měla být věnována použití mobilních výpočetních zařízení na veřejných místech,
v zasedacích místnostech a jiných nechráněných místech mimo prostor organizace. Měla by být
k dispozici ochrana proti neautorizovanému přístupu a prozrazení informací uložených
a zpracovávaných těmito prostředky, například použitím kryptografických technik (viz 12.3).
Při použití těchto zařízení na veřejných místech by se uživatelé měli vyhnout riziku odpozorování
neautorizovanými osobami. Měly by být použity prostředky proti škodlivým programům a tyto
prostředky by měly být aktualizovány (viz 10.4).
V pravidelných intervalech by měly být vytvářeny zálohy všech kritických informací organizace. Mělo
by být k dispozici zařízení schopné provádět rychlé a jednoduché zálohování informací. Zálohy by
měly být odpovídajícím způsobem chráněny proti krádeži nebo ztrátě informací.
Při použití mobilních výpočetních zařízení připojených k sítím by měla být zajištěna vhodná
ochrana. Vzdálený přístup k informacím organizace prostřednictvím veřejných sítí by měl být
umožněn pouze po úspěšné identifikaci a autentizaci, a to s nasazením vhodných mechanizmů
řízení přístupu (viz 11.4).
Mobilní výpočetní prostředky by měly být také chráněny proti zcizení, zejména pokud zůstávají
například v autech nebo jiných dopravních prostředcích, hotelových pokojích, konferenčních
centrech a zasedacích místnostech. Pro případ krádeže nebo ztráty mobilních výpočetních zařízení
by měly být ustaveny přesné postupy beroucí v potaz právní požadavky, požadavky na pojištění a
další bezpečnostní požadavky organizace. Zařízení, obsahující důležité, citlivé nebo kritické
informace organizace, by nemělo zůstávat bez dohledu a mělo by být pokud možno fyzicky
zabezpečeno nebo by jeho funkce měly být zajištěny speciálním uzamčením. Více informací
o fyzické ochraně mobilních zařízení lze nalézt v 9.2.5.
Aby bylo dosaženo povědomí o dalších rizicích tohoto způsobu práce a opatřeních, která by měla být
zavedena, měla by být pro personál, používající mobilní zařízení, organizována školení.
Další informace
Bezdrátová připojení jsou podobná ostatním typům síťových připojení, existuje však několik
důležitých rozdílů, které je třeba mít na paměti při výběru vhodných opatření. Typickými rozdíly
jsou:
a) některé bezdrátové bezpečnostní protokoly mají známé slabiny;
b) vytvoření záloh informací uložených na mobilních výpočetních prostředcích nemusí
vždy proběhnout tak, jak bylo naplánováno. Důvodem může být omezená šířka
přenosového pásma a/nebo bylo vytvoření zálohy naplánováno na dobu, kdy nebylo
zařízení připojeno k síti.
11.7.2 Práce na dálku
Opatření
Organizace by měla vytvořit a do praxe zavést zásady, operativní plány a postupy pro práci na
dálku.
Doporučení k realizaci
Organizace by měla schválit aktivity práce na dálku pouze tehdy, jestliže jsou splněny odpovídající
bezpečnostní požadavky a jsou zavedena opatření, jež jsou v souladu s bezpečnostní politikou
organizace.
Na vzdáleném pracovišti by měla existovat vhodná ochrana například proti zcizení zařízení
a informací, neautorizovanému vyzrazení informací, neautorizovanému vzdálenému přístupu
k vnitřním systémům organizace nebo zneužití prostředků. Je důležité, aby práce na dálku byla
schvalována a kontrolována vedoucími zaměstnanci a aby byly zavedeny vhodné podmínky pro
tento způsob práce.
Mělo by být zváženo následující:
a) existence fyzické bezpečnosti pracoviště a práce na dálku včetně fyzického
zabezpečení budovy a místního prostředí;
b) navrhované prostředí práce na dálku;
c) požadavky na komunikační bezpečnost, zahrnující potřeby vzdáleného přístupu
k interním systémům organizace, citlivost informací, ke kterým je přistupováno a které
jsou přenášeny komunikačními linkami, i citlivost interního systému;
d) hrozba neautorizovaného přístupu k informacím nebo zdrojům ze strany ostatních lidí
užívajících místnosti, například rodina a přátelé
e) používání domácích sítí a požadavky nebo omezení na konfiguraci bezdrátových
síťových služeb;
f) politika a procedury pro zamezení sporů ohledně práv v intelektuálnímu vlastnictví
vytvořeného na zařízení v soukromém vlastnictví;
g) přístup k vybavení v soukromém vlastnictví, který může být omezen zákonem (např.
z důvodů kontroly zabezpečení nebo v rámci vyšetřování);
h) licenční podmínky na provoz programového vybavení, které mohou stanovovat
odpovědnost organizace za licence klientských aplikací také na pracovních stanicích,
které jsou soukromým majetkem zaměstnanců, smluvních nebo třetích stran;
i) požadavky na antivirovou ochranu a firewall.
Kontroly a podmínky, které by měly být zváženy, zahrnují:
a) zajištění vhodného zařízení a skladovacího vybavení pro práci na dálku tam, kde není
povoleno používat prostředky v soukromém vlastnictví, které nejsou pod kontrolou
organizace;
b) určení povoleného druhu práce, pracovní doby, klasifikace informací, které mohou být
drženy, a klasifikace interních systémů a služeb, ke kterým bude mít daná osoba při
práci na dálku přístup;
c) zajištění vhodného komunikačního zařízení včetně metod pro bezpečný vzdálený
přístup;
d) fyzickou bezpečnost;
e) pravidla a doporučení pro přístup k zařízení a informacím ze strany rodiny a návštěv;
f) zajištění technické a programové podpory a údržby;
g) zajištění pojištění;
h) zálohovací postupy a postupy zajištění kontinuity činností organizace;
i) audit a monitorování bezpečnosti;
j) zrušení oprávnění, přístupových práv a vrácení vybavení při ukončení práce na dálku.
Další informace
Při práci na dálku umožňují komunikační technologie personálu pracovat vzdáleně z určeného
místa mimo organizaci.