15.1 Soulad s právními normami

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo

smluvních povinností a bezpečnostních požadavků.

Návrh, provoz a používání informačních systémů může být předmětem zákonných,

podzákonných nebo smluvních bezpečnostních požadavků.

Specifické požadavky vyplývající ze zákona by měly být konzultovány s právními poradci

organizace nebo jinými kvalifikovanými právníky. Legislativní požadavky na informace vzniklé

v jedné zemi a přenášené do jiné země jsou různé a mění se podle jednotlivých zemí.

15.1.1 Určení relevantní legislativy

Opatření

Pro každý informační systém by měly být jednoznačně definovány, zdokumentovány

a udržovány aktuální veškeré relevantní zákonné, podzákonné a smluvní požadavky a způsob

jakým je organizace dodržuje.

Doporučení k realizaci

K těmto požadavkům by měla být stanovena a zdokumentována odpovídající specifická

opatření a osobní odpovědnosti za prosazení jejich dodržování.

15.1.2 Zákony na ochranu duševního vlastnictví

Opatření

Pro zajištění souladu se zákonnými, podzákonnými a smluvními požadavky při použití předmětů

a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu

duševního vlastnictví by měly být zavedeny vhodné postupy.

Doporučení k realizaci

Na ochranu předmětů podléhajících zákonu na ochranu duševního vlastnictví by měla být

zvážena následující doporučení:

a) vydání pravidel dodržování autorských práv, která přesně vymezují zákonné použití

programových a informačních produktů;

b) získávání programové vybavení pouze od známých a ověřených dodavatelů;

c) udržování povědomí o pravidlech dodržování autorských práv a zdůrazňování

disciplinárního řízení při jejich porušení;

d) udržování odpovídajícího registru aktiv a určení všech aktiv podléhajících zákonu na

ochranu duševního vlastnictví;

e) vedení dokladů a důkazů vlastnictví licencí, instalačních disket, manuálů apod.;

f) zavedení vhodných opatření k tomu, aby nebyl překročen maximální počet

uživatelských přístupů k programům;

g) vytvoření kontrolních mechanizmů, zajišťujících instalaci pouze schválených

a licencovaných programových produktů;

h) vytvoření pravidel zajišťujících dodržování odpovídajících licenčních podmínek;

i) vytvoření pravidel pro rušení nebo převod licenčních práv;

j) používání vhodných auditních nástrojů;

k) dodržování požadavků a podmínek u programů a informací získaných z veřejných sítí;

l) zákaz vytváření duplikátů27, převádění do jiných formátů nebo extrahování komerčních

záznamů (filmy, audio) pokud to není autorským právem povoleno;

m) zákaz kopírování celých nebo částí knih, článků, zpráv a dalších dokumentů, u kterých

to není autorským právem povoleno.

Doporučení k realizaci

Zákony na ochranu duševního vlastnictví zahrnují autorské právo na programové vybavení

a dokumenty, zákon o ochraně průmyslového vzoru, obchodních značek, patentů a licencí na

zdrojové kódy.

Zákonem chráněné programové produkty jsou zpravidla dodávány na základě licenčních

ujednání, která například limitují jejich použití pouze na určené počítače a/nebo mohou

omezovat jejich kopírování pouze na vytvoření záložních kopií. Personál by měl být seznámen

s požadavky ochrany duševního vlastnictví vztahující se na programového vybavení vyvinutého

organizací.

Zákonné, podzákonné a smluvní povinnosti mohou omezovat kopírování vlastnických materiálů.

Zejména mohou požadovat, aby organizace používala pouze materiály organizací vyvinuté,

k nimž má organizace licenci nebo které byly organizaci poskytnuty jejich autorem. Porušení

autorských práv může vést k žalobě nebo k zahájení trestního stíhání.

15.1.3 Ochrana záznamů organizace

Opatření

Důležité záznamy organizace by měly být chráněny proti ztrátě, zničení a padělání a to

v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace.

Doporučení k realizaci

Záznamy by měly být kategorizovány podle druhů, např. účetní, databázové, transakční,

a auditní záznamy, provozní postupy, každý s informacemi o době uchování a druhu

záznamového média, např. papír, mikrofiše, magnetický nebo optický záznam. Všechny

kryptografické klíče k zašifrovaným archivům, použité šifrovací programy a digitální podpisy (viz

12.3), by měly být bezpečně uchovány a v případě potřeby poskytnuty oprávněným osobám.

Pozornost by měla být věnována možnosti zhoršování stavu médií použitých pro uchování

dokladů. Skladovací a manipulační postupy by měly být v souladu s doporučeními výrobce. Pro

účely dlouhodobého skladování by mělo být zváženo použití papíru a mikrofišů.

Pokud jsou pro uchování používána elektronická média, měly by k nim být doplněny postupy

pro přístup k datům (jak z hlediska čitelnosti médií, tak z hlediska formátu) v průběhu celé doby

uchování, aby se zabránilo možným ztrátám způsobeným budoucími technologickými změnami.

Archivní systémy by měly být vybrány tak, aby umožňovaly získat data v přijatelném časovém

horizontu a v akceptovatelném datovém formátu, v závislosti na konkrétním požadavku.

Systém uchování a manipulace by měl zajistit jasnou identifikaci záznamů a dobu jejich

uchování vyplývající ze zákonných či podzákonných norem. Po uplynutí této doby by měl

systém umožnit odpovídající likvidaci záznamů, které již pro organizaci nejsou potřebné.

Pro splnění těchto povinností by měla organizace provést následující kroky:

a) měly by být vydány směrnice týkající se ukládání, uchovávání, zpracovávání a likvidace

záznamů a informací;

b) měl by být vytvořen harmonogram uchovávání, který by identifikoval důležité typy

dokladů a dobu jejich uchování;

c) měl by být udržován soupis zdrojů klíčových informací;

d) měla by být realizována vhodná opatření na ochranu důležitých dokladů a informací

proti ztrátě, zničení a falzifikaci.

Další informace

U některých dokumentů může být požadováno, aby byly bezpečně uchovávány pro splnění

zákonných či podzákonných norem a pro podporu důležitých činností organizace. Příkladem

těchto dokladů jsou takové doklady, které mohou být použity jako důkaz toho, že organizace

vyvíjí činnost v souladu se zákonnými a podzákonnými normami, nebo pro zajištění

odpovídající ochrany proti potenciálním občansko-právním či trestně-právním žalobám a nebo

k potvrzení finančního stavu organizace určenému vlastníkům, partnerům a auditorům. Doba

uchování a obsah uchovávaných informací mohou být stanoveny zákonem nebo předpisem.

Další informace o tom jak spravovat záznamy organizace lze nalézt v normě ISO 15489-128.

15.1.4 Ochrana osobních údajů a soukromí

Opatření

Ochrana osobních údajů a soukromí by měla být zajištěna v souladu s odpovídající legislativou,

předpisy, a pokud je to relevantní, se smlouvami.

Doporučení k realizaci

Organizace by měla vytvořit a do praxe zavést pravidla na ochranu osobních údajů a soukromí.

S pravidly by měly být seznámeny všechny osoby, které se nějakým způsobem podílejí na

zpracování osobních údajů.

Soulad s těmito pravidly a legislativou na ochranu osobních údajů29 vyžaduje odpovídající řídící

struktury a kontrolu. Často toho lze nejlépe dosáhnout určením odpovědné osoby, např.

manažera ochrany osobních údajů, který by měl poskytovat doporučení vedoucím

pracovníkům, uživatelům a servisním organizacím o tom, jaká je jejich individuální odpovědnost

a jaké specifické postupy by měli dodržovat. Odpovědnost za manipulaci s osobními údaji

a prosazení povědomí o principech ochrany osobních dat stanovených odpovídající legislativou

leží na vlastníkovi dat. Na ochranu osobních údajů by měly být zavedeny vhodná technická

a organizační opatření.

Další informace

V mnoha zemích existuje legislativa zavádějící opatření pro sběr, zpracování a přenos osobních

dat (obecně informace o žijících osobách, které mohou být podle těchto dat identifikovány).

V závislosti na příslušné národní legislativě, tato opatření mohou ukládat povinnosti tomu, kdo

tyto osobní informace sbírá, zpracovává a poskytuje, a mohou omezovat přenos těchto dat za

hranice země.

15.1.5 Prevence zneužití zařízení pro zpracování informací

Opatření

Mělo by být zakázáno používat zařízení pro zpracování informací jiným než autorizovaným

způsobem.

Doporučení k realizaci

Používání zařízení pro zpracování informací by mělo být autorizováno vedoucími zaměstnanci.

Jakékoliv použití těchto prostředků pro jiné organizace nebo neoprávněné účely bez schválení

vedoucími zaměstnanci (viz 6.1.4) by mělo být považováno za zneužití těchto prostředků. Pokud

je taková činnost zjištěna díky monitorování nebo jiným prostředkům, měly by informace o ní být

předány konkrétnímu vedoucímu zaměstnanci odpovědnému za zahájení disciplinárního řízení.

Před zavedením monitorovacích postupů by měla být zajištěna právní konzultace.

Všichni uživatelé byli obeznámeni s přesným rozsahem svého přístupu a s existencí systému

zaznamenávajícího neautorizované chování. Toho může být dosaženo například udělením písemné

autorizace, jejíž kopie je podepsána uživatelem a bezpečně uchována organizací. Zaměstnancům

organizace, smluvním stranám a uživatelů třetích stran by mělo být oznámeno, že není povolen

žádný přístup s výjimkou toho, který je autorizován.

Při přihlášení by měla být na monitoru počítače zpráva, že prostředek pro zpracování informací

je vlastněn organizací a neautorizovaný přístup není povolen. Uživatel musí zprávu na monitoru

potvrdit a pro pokračování v přihlášení reagovat odpovídajícím způsobem (viz 11.5.1).

Další informace

Zařízení pro zpracování informací jsou primárně nebo výhradně určena pro účely organizace,

která je vlastní.

Nástroje pro detekci narušení, kontroly obsahu a další monitorovací nástroje mohou pomoci při

prevenci a detekci zneužití zařízení pro zpracování informací.

Mnoho zemí má nebo připravuje legislativu na ochranu proti zneužití počítačů. Použití počítače

pro neoprávněné účely může být považováno za trestný čin.

Legálnost použití monitoringu používání prostředků se v jednotlivých zemích liší a může být

vyžadováno předchozí upozornění zaměstnanců na takové monitorování či získání jejich

souhlasu. Při přihlášení do veřejně přístupných systémů (např. veřejné servery) by se při

přihlášení měla zobrazit hláška o tom, že podléhají monitorování.

15.1.6 Regulace kryptografických opatření

Opatření

Kryptografická opatření by měla být používána v souladu s příslušnými úmluvami, zákony

a předpisy.

Doporučení k realizaci

Pro dosažení souladu s příslušnými úmluvami, zákony a předpisy by mělo být zváženo následující:

a) omezení importu a exportu počítačového technického a programového vybavení určeného

k realizaci kryptografických funkcí;

b) omezení importu a exportu počítačového technického a programového vybavení

navrženého tak, aby mohl být doplněn kryptografickými funkcemi;

c) omezení použití šifrování;

d) povinné či nepovinné metody přístupu státu k informacím zašifrovaným za pomoci

technického či programového vybavení pro zajištění důvěrnosti jejich obsahu.

Pro zajištění souladu s místními právními úpravami by měla být vyhledána právní pomoc. Právní

pomoc by měla být také vyhledána v případě přenosu šifrovaných informací nebo

kryptografických prostředků do zahraničí.

15.2 Soulad s bezpečnostními politikami, normami a technická shoda

Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.

Bezpečnost informačních systémů by měla být pravidelně přezkoumávána.

Tato přezkoumání by měla být prováděna proti příslušným bezpečnostním politikám. Jednotlivé

technické platformy a informační systémy by měly být auditovány, zda odpovídají relevantním

bezpečnostním normám a opatřením.

15.2.1 Shoda s bezpečnostními politikami a normami

Opatření

Vedoucí zaměstnanci by měli zajistit, aby všechny bezpečnostní postupy v rozsahu jejich

odpovědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami.

Doporučení k realizaci

Vedoucí zaměstnanci by měli pravidelně provádět přezkoumání souladu všech oblastí v rozsahu

jejich odpovědností, aby bylo zajištěno, že jsou v souladu s bezpečnostní politikou a normami

a ostatními požadavky na bezpečnost.

V přídě, že je při přezkoumání zjištěn nesoulad, měli by vedoucí zaměstnanci:

a) určit příčiny nesouladu;

b) vyhodnotit potřebu přijetí opatření k nápravě;

c) určit a implementovat nápravná opatření;

d) přezkoumat přijatá nápravná opatření.

Závěry z přezkoumání a přijatá nápravná opatření by měly být zaznamenány a záznamy

uchovány. Vedoucí zaměstnanci by měli s výsledky přezkoumání seznámit osoby provádějící

v organizaci nezávislá přezkoumání bezpečnosti (viz 6.1.8).

Další informace

Operativní monitorování použití systému je popsáno v 10.10.

15.2.2 Kontrola technické shody

Opatření

Informační systémy by měly být pravidelně kontrolovány, zda jsou v souladu s bezpečnostními

politikami a standardy.

Doporučení k realizaci

Kontrola technické shody může být prováděna manuálně (v případě potřeby s využitím

vhodných programových nástrojů), zkušeným systémovým inženýrem nebo pomocí

automatizovaného programového vybavení, které vytváří technickou zprávu pro následné

vyhodnocení technickým odborníkem.

K penetračním testům a analýze zranitelností by se mělo přistupovat obezřetně, protože

takovéto aktivity mohou vést k ohrožení bezpečnosti systému. Tyto testy by měly být plánovány,

dokumentovány a měly by být opakovatelné.

Kontroly technické shody by měly být prováděny pouze kvalifikovanými, oprávněnými

zaměstnanci nebo pod jejich dohledem.

Další informace

Kontrola technické shody zahrnuje přezkoumání provozního systému, aby bylo zajištěno, že

technická a programová opatření jsou správně implementována. Tento typ kontroly souladu

vyžaduje asistenci technického odborníka.

Kontrola shody obsahuje také například penetrační testy a analýzu zranitelností, které mohou

být prováděny nezávislými experty sjednanými speciálně pro tento účel. Takovéto kontroly

mohou být užitečné pro detekci zranitelností systému a pro prověření toho, jak účinná jsou

opatření proti v prevenci neautorizovaného přístupu při existenci těchto zranitelností.

Penetrační testování a analýzy zranitelností poskytují informaci o aktuálním stavu systému.

Informace je omezena na ty části systému30, na kterých bylo penetrační testování prováděno.

Penetrační testy a analýzy zranitelností nenahrazují analýzu rizik.

15.3 Hlediska auditu informačních systémů

Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do informačních systémů.

Měla by existovat opatření pro zajištění bezpečnosti provozního systému a nástrojů auditu

v průběhu vlastního auditu.

Ochrana nástrojů auditu je nutná, aby byla zajištěna jejich integrita a předešlo se jejich zneužití.

15.3.1 Opatření k auditu informačních systémů

Opatření

Požadavky auditu a činnosti zahrnující kontrolu provozních systémů by měly být pečlivě

naplánovány a schváleny, aby se minimalizovalo riziko narušení činností organizace.

Doporučení k realizaci

Při auditu by měly být dodržovány následující doporučení:

a) požadavky auditu by měly být schváleny na příslušné úrovni vedení organizace;

b) rozsah kontrol by měl být schválen a kontrolován;

c) přístup k programům a datům by měl být omezen pouze na čtení;

d) další, jiný typ přístupu než pouze pro čtení by měl být povolen jen na samostatných

kopiích souborů systému. Kopie souborů by po ukončení auditu měly být smazány

a nebo, pokud je to vyžadováno, řádným způsobem chráněny;

e) zdroje k provádění kontrol by měly být explicitně identifikovány a měly by být dostupné;

f) požadavky na speciální nebo dodatečné zpracování by měly být identifikovány

a odsouhlaseny;

g) veškerý přístup by měl být monitorován, evidován a měl by o něm být vytvořen

referenční záznam; u kritických systémů by mělo být zváženo použití záznamů

s časovou známkou;

h) všechny postupy, požadavky a odpovědnosti by měly být dokumentovány;

i) osoba/-y provádějící audit by měla být nezávislá na činnostech, jejichž audit provádí.

15.3.2 Ochrana nástrojů pro audit informačních systémů

Opatření

Přístup k nástrojům určeným pro audit informačních systémů by měl být chráněn, aby se

předešlo jejich možnému zneužití nebo ohrožení.

Doporučení k realizaci

Nástroje určené pro audit systému, aplikační programové vybavení nebo datové soubory, by

měly být odděleny od vývojových a provozních systémů a neměly by být uchovávány na

magnetických páskách nebo v uživatelských oblastech, pokud není zajištěna přiměřená úroveň

jejich ochrany.

Další informace

V případech, kdy se auditu účastní zástupci třetích stran existuje riziko zneužití nástrojů pro

audit systému a informací, ke kterým mají přístup. Mělo by být zváženo přijetí opatření

(například okamžitá změna hesel prozrazených auditorovi) na pokrytí těchto rizik a následků,

dalším příkladem mohou být opatření uvedená v kapitole 6.2.1 (hodnocení rizik) a 9.1.2

(omezení fyzického přístupu).