Soulad s požadavky
15.1 Soulad s právními normami
Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo
smluvních povinností a bezpečnostních požadavků.
Návrh, provoz a používání informačních systémů může být předmětem zákonných,
podzákonných nebo smluvních bezpečnostních požadavků.
Specifické požadavky vyplývající ze zákona by měly být konzultovány s právními poradci
organizace nebo jinými kvalifikovanými právníky. Legislativní požadavky na informace vzniklé
v jedné zemi a přenášené do jiné země jsou různé a mění se podle jednotlivých zemí.
15.1.1 Určení relevantní legislativy
Opatření
Pro každý informační systém by měly být jednoznačně definovány, zdokumentovány
a udržovány aktuální veškeré relevantní zákonné, podzákonné a smluvní požadavky a způsob
jakým je organizace dodržuje.
Doporučení k realizaci
K těmto požadavkům by měla být stanovena a zdokumentována odpovídající specifická
opatření a osobní odpovědnosti za prosazení jejich dodržování.
15.1.2 Zákony na ochranu duševního vlastnictví
Opatření
Pro zajištění souladu se zákonnými, podzákonnými a smluvními požadavky při použití předmětů
a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu
duševního vlastnictví by měly být zavedeny vhodné postupy.
Doporučení k realizaci
Na ochranu předmětů podléhajících zákonu na ochranu duševního vlastnictví by měla být
zvážena následující doporučení:
a) vydání pravidel dodržování autorských práv, která přesně vymezují zákonné použití
programových a informačních produktů;
b) získávání programové vybavení pouze od známých a ověřených dodavatelů;
c) udržování povědomí o pravidlech dodržování autorských práv a zdůrazňování
disciplinárního řízení při jejich porušení;
d) udržování odpovídajícího registru aktiv a určení všech aktiv podléhajících zákonu na
ochranu duševního vlastnictví;
e) vedení dokladů a důkazů vlastnictví licencí, instalačních disket, manuálů apod.;
f) zavedení vhodných opatření k tomu, aby nebyl překročen maximální počet
uživatelských přístupů k programům;
g) vytvoření kontrolních mechanizmů, zajišťujících instalaci pouze schválených
a licencovaných programových produktů;
h) vytvoření pravidel zajišťujících dodržování odpovídajících licenčních podmínek;
i) vytvoření pravidel pro rušení nebo převod licenčních práv;
j) používání vhodných auditních nástrojů;
k) dodržování požadavků a podmínek u programů a informací získaných z veřejných sítí;
l) zákaz vytváření duplikátů27, převádění do jiných formátů nebo extrahování komerčních
záznamů (filmy, audio) pokud to není autorským právem povoleno;
m) zákaz kopírování celých nebo částí knih, článků, zpráv a dalších dokumentů, u kterých
to není autorským právem povoleno.
Doporučení k realizaci
Zákony na ochranu duševního vlastnictví zahrnují autorské právo na programové vybavení
a dokumenty, zákon o ochraně průmyslového vzoru, obchodních značek, patentů a licencí na
zdrojové kódy.
Zákonem chráněné programové produkty jsou zpravidla dodávány na základě licenčních
ujednání, která například limitují jejich použití pouze na určené počítače a/nebo mohou
omezovat jejich kopírování pouze na vytvoření záložních kopií. Personál by měl být seznámen
s požadavky ochrany duševního vlastnictví vztahující se na programového vybavení vyvinutého
organizací.
Zákonné, podzákonné a smluvní povinnosti mohou omezovat kopírování vlastnických materiálů.
Zejména mohou požadovat, aby organizace používala pouze materiály organizací vyvinuté,
k nimž má organizace licenci nebo které byly organizaci poskytnuty jejich autorem. Porušení
autorských práv může vést k žalobě nebo k zahájení trestního stíhání.
15.1.3 Ochrana záznamů organizace
Opatření
Důležité záznamy organizace by měly být chráněny proti ztrátě, zničení a padělání a to
v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace.
Doporučení k realizaci
Záznamy by měly být kategorizovány podle druhů, např. účetní, databázové, transakční,
a auditní záznamy, provozní postupy, každý s informacemi o době uchování a druhu
záznamového média, např. papír, mikrofiše, magnetický nebo optický záznam. Všechny
kryptografické klíče k zašifrovaným archivům, použité šifrovací programy a digitální podpisy (viz
12.3), by měly být bezpečně uchovány a v případě potřeby poskytnuty oprávněným osobám.
Pozornost by měla být věnována možnosti zhoršování stavu médií použitých pro uchování
dokladů. Skladovací a manipulační postupy by měly být v souladu s doporučeními výrobce. Pro
účely dlouhodobého skladování by mělo být zváženo použití papíru a mikrofišů.
Pokud jsou pro uchování používána elektronická média, měly by k nim být doplněny postupy
pro přístup k datům (jak z hlediska čitelnosti médií, tak z hlediska formátu) v průběhu celé doby
uchování, aby se zabránilo možným ztrátám způsobeným budoucími technologickými změnami.
Archivní systémy by měly být vybrány tak, aby umožňovaly získat data v přijatelném časovém
horizontu a v akceptovatelném datovém formátu, v závislosti na konkrétním požadavku.
Systém uchování a manipulace by měl zajistit jasnou identifikaci záznamů a dobu jejich
uchování vyplývající ze zákonných či podzákonných norem. Po uplynutí této doby by měl
systém umožnit odpovídající likvidaci záznamů, které již pro organizaci nejsou potřebné.
Pro splnění těchto povinností by měla organizace provést následující kroky:
a) měly by být vydány směrnice týkající se ukládání, uchovávání, zpracovávání a likvidace
záznamů a informací;
b) měl by být vytvořen harmonogram uchovávání, který by identifikoval důležité typy
dokladů a dobu jejich uchování;
c) měl by být udržován soupis zdrojů klíčových informací;
d) měla by být realizována vhodná opatření na ochranu důležitých dokladů a informací
proti ztrátě, zničení a falzifikaci.
Další informace
U některých dokumentů může být požadováno, aby byly bezpečně uchovávány pro splnění
zákonných či podzákonných norem a pro podporu důležitých činností organizace. Příkladem
těchto dokladů jsou takové doklady, které mohou být použity jako důkaz toho, že organizace
vyvíjí činnost v souladu se zákonnými a podzákonnými normami, nebo pro zajištění
odpovídající ochrany proti potenciálním občansko-právním či trestně-právním žalobám a nebo
k potvrzení finančního stavu organizace určenému vlastníkům, partnerům a auditorům. Doba
uchování a obsah uchovávaných informací mohou být stanoveny zákonem nebo předpisem.
Další informace o tom jak spravovat záznamy organizace lze nalézt v normě ISO 15489-128.
15.1.4 Ochrana osobních údajů a soukromí
Opatření
Ochrana osobních údajů a soukromí by měla být zajištěna v souladu s odpovídající legislativou,
předpisy, a pokud je to relevantní, se smlouvami.
Doporučení k realizaci
Organizace by měla vytvořit a do praxe zavést pravidla na ochranu osobních údajů a soukromí.
S pravidly by měly být seznámeny všechny osoby, které se nějakým způsobem podílejí na
zpracování osobních údajů.
Soulad s těmito pravidly a legislativou na ochranu osobních údajů29 vyžaduje odpovídající řídící
struktury a kontrolu. Často toho lze nejlépe dosáhnout určením odpovědné osoby, např.
manažera ochrany osobních údajů, který by měl poskytovat doporučení vedoucím
pracovníkům, uživatelům a servisním organizacím o tom, jaká je jejich individuální odpovědnost
a jaké specifické postupy by měli dodržovat. Odpovědnost za manipulaci s osobními údaji
a prosazení povědomí o principech ochrany osobních dat stanovených odpovídající legislativou
leží na vlastníkovi dat. Na ochranu osobních údajů by měly být zavedeny vhodná technická
a organizační opatření.
Další informace
V mnoha zemích existuje legislativa zavádějící opatření pro sběr, zpracování a přenos osobních
dat (obecně informace o žijících osobách, které mohou být podle těchto dat identifikovány).
V závislosti na příslušné národní legislativě, tato opatření mohou ukládat povinnosti tomu, kdo
tyto osobní informace sbírá, zpracovává a poskytuje, a mohou omezovat přenos těchto dat za
hranice země.
15.1.5 Prevence zneužití zařízení pro zpracování informací
Opatření
Mělo by být zakázáno používat zařízení pro zpracování informací jiným než autorizovaným
způsobem.
Doporučení k realizaci
Používání zařízení pro zpracování informací by mělo být autorizováno vedoucími zaměstnanci.
Jakékoliv použití těchto prostředků pro jiné organizace nebo neoprávněné účely bez schválení
vedoucími zaměstnanci (viz 6.1.4) by mělo být považováno za zneužití těchto prostředků. Pokud
je taková činnost zjištěna díky monitorování nebo jiným prostředkům, měly by informace o ní být
předány konkrétnímu vedoucímu zaměstnanci odpovědnému za zahájení disciplinárního řízení.
Před zavedením monitorovacích postupů by měla být zajištěna právní konzultace.
Všichni uživatelé byli obeznámeni s přesným rozsahem svého přístupu a s existencí systému
zaznamenávajícího neautorizované chování. Toho může být dosaženo například udělením písemné
autorizace, jejíž kopie je podepsána uživatelem a bezpečně uchována organizací. Zaměstnancům
organizace, smluvním stranám a uživatelů třetích stran by mělo být oznámeno, že není povolen
žádný přístup s výjimkou toho, který je autorizován.
Při přihlášení by měla být na monitoru počítače zpráva, že prostředek pro zpracování informací
je vlastněn organizací a neautorizovaný přístup není povolen. Uživatel musí zprávu na monitoru
potvrdit a pro pokračování v přihlášení reagovat odpovídajícím způsobem (viz 11.5.1).
Další informace
Zařízení pro zpracování informací jsou primárně nebo výhradně určena pro účely organizace,
která je vlastní.
Nástroje pro detekci narušení, kontroly obsahu a další monitorovací nástroje mohou pomoci při
prevenci a detekci zneužití zařízení pro zpracování informací.
Mnoho zemí má nebo připravuje legislativu na ochranu proti zneužití počítačů. Použití počítače
pro neoprávněné účely může být považováno za trestný čin.
Legálnost použití monitoringu používání prostředků se v jednotlivých zemích liší a může být
vyžadováno předchozí upozornění zaměstnanců na takové monitorování či získání jejich
souhlasu. Při přihlášení do veřejně přístupných systémů (např. veřejné servery) by se při
přihlášení měla zobrazit hláška o tom, že podléhají monitorování.
15.1.6 Regulace kryptografických opatření
Opatření
Kryptografická opatření by měla být používána v souladu s příslušnými úmluvami, zákony
a předpisy.
Doporučení k realizaci
Pro dosažení souladu s příslušnými úmluvami, zákony a předpisy by mělo být zváženo následující:
a) omezení importu a exportu počítačového technického a programového vybavení určeného
k realizaci kryptografických funkcí;
b) omezení importu a exportu počítačového technického a programového vybavení
navrženého tak, aby mohl být doplněn kryptografickými funkcemi;
c) omezení použití šifrování;
d) povinné či nepovinné metody přístupu státu k informacím zašifrovaným za pomoci
technického či programového vybavení pro zajištění důvěrnosti jejich obsahu.
Pro zajištění souladu s místními právními úpravami by měla být vyhledána právní pomoc. Právní
pomoc by měla být také vyhledána v případě přenosu šifrovaných informací nebo
kryptografických prostředků do zahraničí.
15.2 Soulad s bezpečnostními politikami, normami a technická shoda
Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.
Bezpečnost informačních systémů by měla být pravidelně přezkoumávána.
Tato přezkoumání by měla být prováděna proti příslušným bezpečnostním politikám. Jednotlivé
technické platformy a informační systémy by měly být auditovány, zda odpovídají relevantním
bezpečnostním normám a opatřením.
15.2.1 Shoda s bezpečnostními politikami a normami
Opatření
Vedoucí zaměstnanci by měli zajistit, aby všechny bezpečnostní postupy v rozsahu jejich
odpovědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami.
Doporučení k realizaci
Vedoucí zaměstnanci by měli pravidelně provádět přezkoumání souladu všech oblastí v rozsahu
jejich odpovědností, aby bylo zajištěno, že jsou v souladu s bezpečnostní politikou a normami
a ostatními požadavky na bezpečnost.
V přídě, že je při přezkoumání zjištěn nesoulad, měli by vedoucí zaměstnanci:
a) určit příčiny nesouladu;
b) vyhodnotit potřebu přijetí opatření k nápravě;
c) určit a implementovat nápravná opatření;
d) přezkoumat přijatá nápravná opatření.
Závěry z přezkoumání a přijatá nápravná opatření by měly být zaznamenány a záznamy
uchovány. Vedoucí zaměstnanci by měli s výsledky přezkoumání seznámit osoby provádějící
v organizaci nezávislá přezkoumání bezpečnosti (viz 6.1.8).
Další informace
Operativní monitorování použití systému je popsáno v 10.10.
15.2.2 Kontrola technické shody
Opatření
Informační systémy by měly být pravidelně kontrolovány, zda jsou v souladu s bezpečnostními
politikami a standardy.
Doporučení k realizaci
Kontrola technické shody může být prováděna manuálně (v případě potřeby s využitím
vhodných programových nástrojů), zkušeným systémovým inženýrem nebo pomocí
automatizovaného programového vybavení, které vytváří technickou zprávu pro následné
vyhodnocení technickým odborníkem.
K penetračním testům a analýze zranitelností by se mělo přistupovat obezřetně, protože
takovéto aktivity mohou vést k ohrožení bezpečnosti systému. Tyto testy by měly být plánovány,
dokumentovány a měly by být opakovatelné.
Kontroly technické shody by měly být prováděny pouze kvalifikovanými, oprávněnými
zaměstnanci nebo pod jejich dohledem.
Další informace
Kontrola technické shody zahrnuje přezkoumání provozního systému, aby bylo zajištěno, že
technická a programová opatření jsou správně implementována. Tento typ kontroly souladu
vyžaduje asistenci technického odborníka.
Kontrola shody obsahuje také například penetrační testy a analýzu zranitelností, které mohou
být prováděny nezávislými experty sjednanými speciálně pro tento účel. Takovéto kontroly
mohou být užitečné pro detekci zranitelností systému a pro prověření toho, jak účinná jsou
opatření proti v prevenci neautorizovaného přístupu při existenci těchto zranitelností.
Penetrační testování a analýzy zranitelností poskytují informaci o aktuálním stavu systému.
Informace je omezena na ty části systému30, na kterých bylo penetrační testování prováděno.
Penetrační testy a analýzy zranitelností nenahrazují analýzu rizik.
15.3 Hlediska auditu informačních systémů
Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do informačních systémů.
Měla by existovat opatření pro zajištění bezpečnosti provozního systému a nástrojů auditu
v průběhu vlastního auditu.
Ochrana nástrojů auditu je nutná, aby byla zajištěna jejich integrita a předešlo se jejich zneužití.
15.3.1 Opatření k auditu informačních systémů
Opatření
Požadavky auditu a činnosti zahrnující kontrolu provozních systémů by měly být pečlivě
naplánovány a schváleny, aby se minimalizovalo riziko narušení činností organizace.
Doporučení k realizaci
Při auditu by měly být dodržovány následující doporučení:
a) požadavky auditu by měly být schváleny na příslušné úrovni vedení organizace;
b) rozsah kontrol by měl být schválen a kontrolován;
c) přístup k programům a datům by měl být omezen pouze na čtení;
d) další, jiný typ přístupu než pouze pro čtení by měl být povolen jen na samostatných
kopiích souborů systému. Kopie souborů by po ukončení auditu měly být smazány
a nebo, pokud je to vyžadováno, řádným způsobem chráněny;
e) zdroje k provádění kontrol by měly být explicitně identifikovány a měly by být dostupné;
f) požadavky na speciální nebo dodatečné zpracování by měly být identifikovány
a odsouhlaseny;
g) veškerý přístup by měl být monitorován, evidován a měl by o něm být vytvořen
referenční záznam; u kritických systémů by mělo být zváženo použití záznamů
s časovou známkou;
h) všechny postupy, požadavky a odpovědnosti by měly být dokumentovány;
i) osoba/-y provádějící audit by měla být nezávislá na činnostech, jejichž audit provádí.
15.3.2 Ochrana nástrojů pro audit informačních systémů
Opatření
Přístup k nástrojům určeným pro audit informačních systémů by měl být chráněn, aby se
předešlo jejich možnému zneužití nebo ohrožení.
Doporučení k realizaci
Nástroje určené pro audit systému, aplikační programové vybavení nebo datové soubory, by
měly být odděleny od vývojových a provozních systémů a neměly by být uchovávány na
magnetických páskách nebo v uživatelských oblastech, pokud není zajištěna přiměřená úroveň
jejich ochrany.
Další informace
V případech, kdy se auditu účastní zástupci třetích stran existuje riziko zneužití nástrojů pro
audit systému a informací, ke kterým mají přístup. Mělo by být zváženo přijetí opatření
(například okamžitá změna hesel prozrazených auditorovi) na pokrytí těchto rizik a následků,
dalším příkladem mohou být opatření uvedená v kapitole 6.2.1 (hodnocení rizik) a 9.1.2
(omezení fyzického přístupu).