ISO/IEC 17799:2005

Information Security Management

Information Technology - Code of practice

for information security management

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací k tomu, aby se zabývaly určitou oblastí technické činnosti.

V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1. Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v části 2 Směrnic

ISO/IEC. Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů. Pozornost je třeba věnovat možnosti, že některé prvky tohoto dokumentu mohou být

předmětem patentových práv. ISO a IEC nenesou odpovědnost za identifikaci všech patentových práv nebo kteréhokoliv z nich.

Mezinárodní norma ISO/IEC 17799 byla připravena společnou technickou komisí ISO/IEC JTC

1 Information technology, subkomise SC 27, IT Security techniques.

Toto druhé vydání nahrazuje ISO/IEC 17799:2000, které tímto pozbývá platnosti.

Technická komise ISO/IEC JTC 1/SC 27 připravuje soubor mezinárodních norem

věnovaných systému řízení bezpečnosti informací (ISMS). Soubor norem zahrnuje

požadavky na systém řízení bezpečnosti informací, řízení rizik, metriky a měření

výkonu a doporučení k implementaci. Soubor těchto norem bude vydán v sérii 27000.

ISO/IEC 17799 by měla být do této nové řady začleněna v roce 2007 a to jako ISO/IEC

27002.

0 Úvod

1.1 Co je bezpečnost informací?

Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobem

chránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřeba

stále více aktuální. S rostoucí propojeností jsou informace vystaveny rostoucímu počtu různých

hrozeb a zranitelností (viz také Směrnice OECD pro bezpečnost informačních systémů a sítí:

směrem ke kultuře bezpečnosti 1).

Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře,

ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film

nebo vyřčeny při konverzaci.

Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností

organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských

příležitostí.

Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve

formě pravidel, natrénovaných postupů, procedur, organizační struktury a programových

a hardwarových funkcí. Tato opatření musí být ustavena, zavedena, provozována,

monitorována, přezkoumávána a zlepšována proto, aby bylo dosaženo specifických

bezpečnostních cílů organizace. Toto všechno by mělo být prováděno v soulady s ostatními

řídícími procesy organizace.

1.2 Proč je nezbytná bezpečnost informací

Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Vymezení,

zavádění, podpora a zlepšování bezpečnosti informací může být zásadní pro udržení

konkurenceschopnosti, peněžních toků (cash-flow), ziskovosti, právní shody a dobrého jména

organizace.

Stále rostoucí měrou jsou organizace a jejich informační systémy vystavovány bezpečnostním

hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, sabotáže, vandalizmu, požárů

a povodní. Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby

(denial of service), jsou stále častější, roste jejich nebezpečnost a sofistikovanost.

Bezpečnost informací je důležitá z hlediska ochrany kritické infrastruktury a to jak v soukromém,

tak ve státním sektoru. V obou sektorech je bezpečnost informací důležitá pro existenci

některých služeb, například e-governmentu nebo e-komerce a zároveň kvůli vyhnutí se nebo

snížení relevantních rizik. Propojení veřejných a privátních sítí i sdílení informačních zdrojů

zvyšuje obtížnost řízení přístupu. Trend směřující k distribuovanému zpracování oslabil

efektivnost centrální kontroly prováděnou specialisty.

Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být

dosažena technickými prostředky, je nedostačující a měla by být doplněna odpovídajícím

řízením a postupy. Pro určení opatření, která je třeba přijmout, je nutné pečlivé plánování

a rozbor každého detailu. Řízení bezpečnosti informací proto vyžaduje alespoň nějakou

spoluúčast všech zaměstnanců organizace. Může rovněž zahrnovat spolupráci majitelů

organizace (akcionářů), dodavatelů, třetích stran, zákazníků a dalších externích subjektů.

V neposlední řadě může být potřebná i rada od specialistů z jiných organizací.

1.3 Jak stanovit bezpečnostní požadavky

Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři hlavní

zdroje.

1. Prvním zdrojem je hodnocení rizik, která organizaci hrozí, beroucí v potaz celkovou

strategii a cíle organizace. V rámci hodnocení rizik se identifikují hrozby působící vůči

aktivům, zranitelnosti, které mohou být hrozbami využity i pravděpodobnost jejich

výskytu, a provádí se odhad jejich potenciálního dopadu.

2. Druhým zdrojem jsou požadavky zákonů, podzákonných norem a smluvních ujednání,

které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat.

3. Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které

si organizace vytvořila pro podporu své činnosti.

1.4 Hodnocení bezpečnostních rizik

Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik.

Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením

bezpečnosti.

Výsledky hodnocení rizik pomohou určit vedení organizace odpovídající kroky i priority pro řízení

bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu.

Hodnocení rizik by mělo být prováděno periodicky, aby bylo možné včas reagovat na jakékoliv

změny v bezpečnostních požadavcích.

Více informací o hodnocení rizik je uvedeno v kapitole 4.1 „Hodnocení bezpečnostních rizik“.

1.5 Výběr opatření

Jakmile jsou identifikovány bezpečnostní požadavky a rizika a bylo rozhodnuto jakým

způsobem bude se zjištěnými riziky naloženo, měla by být vybrána a implementována opatření

zajišťující snížení rizik na přijatelnou úroveň. Taková opatření mohou být vybrána z tohoto

dokumentu nebo i z jiných souborů opatření. Pro pokrytí specifických potřeb mohou být

vytvořena zcela nová opatření. Výběr konkrétních opatření je na rozhodnutí každé organizace.

Rozhodnutí je založeno na kritériích určujících akceptaci nebo zvládání rizika a celkovém

přístupu organizace k řízení rizik. Při výběru opatření by měla být zohledněna příslušná národní

a mezinárodní legislativa a regulace.

Některá opatření v tomto dokumentu mohou být chápána jako základní doporučení pro řízení

bezpečnosti informací a mohou být využita ve většině organizací. Detailněji jsou vysvětlena v části

„Východiska bezpečnosti informací“.

Další informace o výběru opatření a způsobech zvládání rizik jsou uvedeny v kapitole 4.2

„Zvládání bezpečnostních rizik“.

1.6 Východiska bezpečnosti informací

Řada opatření může být považována za základní principy představující dobrá východiska pro

implementaci bezpečnosti informací. Mohou vycházet ze základních legislativních požadavků

nebo jsou obecně považována za nejlepších způsob řešení bezpečnosti informací.

Opatření, která by měla být pro organizaci podstatná z pohledu legislativy, jsou:

a) ochrana osobních údajů (viz 15.1.4);

b) ochrana důležité dokumentace organizace, jako například účetních záznamů (viz

15.1.3);

c) ochrana duševního vlastnictví (viz 15.1.2).

Opatření, považovaná za základ nejlepších praktik pro zajištění bezpečnosti informací, jsou:

a) dokument bezpečnostní politiky informací (viz 5.1.1);

b) přidělení odpovědností v oblasti bezpečnosti informací (viz 6.1.3);

c) vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací (viz 8.2.2);

d) bezchybné zpracování v aplikačních systémech (viz 12.2);

e) řízení technických zranitelností (viz 12.6);

f) řízení kontinuity činností organizace (viz 14);

g) zvládání bezpečnostních incidentů a kroky k nápravě (viz 13.2).

Tato opatření fungují ve většině organizací a prostředí.

Mělo by však být zdůrazněno, že ačkoliv všechna opatření v tomto dokumentu jsou důležitá,

jejich význam by měl být určován ve světle specifických rizik, kterým organizace čelí. I když

výše uvedené doporučení může být považováno za dobré východisko, nenahrazuje výběr

opatření vycházející z hodnocení rizik.

1.7 Kritické faktory úspěchu

Jak ukazuje zkušenost, pro úspěšnou implementaci bezpečnosti informací v organizaci jsou

často kritické následující faktory:

a) bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností

organizace;

b) přístup k zavádění, udržování, monitorování a zlepšování bezpečnosti informací

v souladu s kulturou organizace;

c) zřetelná podpora a angažovanost ze strany vedení organizace;

d) dobré pochopení bezpečnostních požadavků, hodnocení a řízení rizik;

e) účinný marketing bezpečnosti vůči vedení organizace, zaměstnancům a třetím stranám;

f) rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance,

vedení organizace a třetí strany;

g) zdroje na financování činností souvisejících s řízením bezpečnosti informací;

h) realizace odpovídajících školení, vzdělávání a programů zvyšování povědomí;

i) zavedení procesu zvládání bezpečnostních incidentů;

j) komplexní a vyvážený systém pro ohodnocení míry účinnosti řízení bezpečnosti

informací a získávání návrhů ke zlepšení na základě zpětné vazby.

1.8 Vytváření vlastních směrnic

Tento soubor postupů může být chápán jako východisko pro vytváření specifických směrnic

organizace. Ne všechna doporučení a opatření této sbírky postupů mohou být použitelná.

Kromě toho mohou být nezbytná i další opatření, která nejsou v tomto dokumentu uvedena.

V takovém případě je užitečné zanechat v nich odkaz na tuto normu a usnadnit tak ověření shody

prováděné auditory a obchodními partnery.

1 Působnost

Tato mezinárodní norma poskytuje doporučení a obecné principy pro vymezení, zavedení

udržování a zlepšování systému řízení bezpečnosti informací v organizaci. Cíle, popsané

v normě, poskytují rady o obecně přijímaných cílech řízení bezpečnosti.

Cíle opatření a jednotlivá opatření obsažená v této mezinárodní normě by měla být

implementována na základě požadavků zjištěných v rámci analýzy rizik. Norma může sloužit

jako praktický průvodce při vývoji bezpečnostních standardů organizace, účinných řídících

bezpečnostních postupů a také při budování důvěry mezi organizacemi.

2 Termíny a definice

Pro účely tohoto dokumentu jsou platné následující definice.

2.1

aktivum (asset)

cokoliv, co má pro organizaci nějakou hodnotu

[ISO/IEC 13335-1:2004]

2.2

opatření (control)

prostředek řízení rizik, zahrnuje politiky, směrnice, metodické pokyny, praktiky nebo organizační

struktury, které mohou být povahy administrativní, technické, řídící nebo legislativní.

POZNÁMKA V anglickém originálu je termín „control“ synonymem slovům „safeguard“

(bezpečnostní opatření) a „counteremasure“ (protiopatření). Dle kontextu je „control“ překládáno

jako opatření, bezpečnostní opatření, případně kontrola

2.3

metodický postup, doporučení, postup (guideline)

popis, který objasňuje co a jak má být uděláno, k dosažení cílů stanovených v jednotlivých

politikách organizace

[ISO/IEC 13335-1:2004]

2.4

prostředky pro zpracování informací (information processing facilities)

jakýkoliv systém, služba nebo infrastruktura, zpracovávající informace anebo lokality, ve kterých

jsou umístěny

2.5

bezpečnost informací (information security)

zachování důvěrnosti, integrity a dostupnosti informací a s nimi spojené priority např.

autentičnost, odpovědnost, nepopiratelnost a hodnověrnost

2.6

bezpečnostní událost (information security event)

bezpečnostní událost je identifikovaný stav systému, služby nebo sítě, ukazující na možné

porušení bezpečnostní politiky, nebo selhání bezpečnostních opatření. Může se také jednat

o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací

[ISO/IEC TR 18044:2004]

2.7

bezpečnostní incident (information security incident)

bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních

událostí u kterých existuje vysoká pravděpodobnost kompromitace činností organizace

a ohrožení bezpečnosti informací

[ISO/IEC TR 18044:2004]

2.8

politika (policy)

celkový záměr a směr formálně vyjádřený vedením organizace

2.9

riziko (risk)

kombinace pravděpodobnosti, že dojde k nechtěné události a následků, které by z takové

události mohly vzniknout

[ISO/IEC TR 18044:2004]

2.10

analýza rizik (risk analysis)

systematické používání informací k odhadu rizika a k určení jeho zdrojů

[ISO/IEC Guide 73:2002]

2.11

hodnocení rizik (risk assessment)

celkový proces analýzy a vyhodnocení rizik

[ISO/IEC Guide 73:2002]

2.12

vyhodnocení rizik (risk evaluation)

proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu

[ISO/IEC Guide 73:2002]

2.13

řízení rizik (risk management)

koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika

POZNÁMKA Řízení rizik zpravidla zahrnuje hodnocení rizik, zvládání rizik, akceptaci

a seznámení s rizikem

[ISO/IEC Guide 73:2002]

2.14

zvládání rizik (risk treatment)

proces výběru a přijímání opatření pro změnu rizika

[ISO/IEC Guide 73:2002]

2.15

třetí strana (third party)

osoba, organizace nebo jiná seskupení, která jsou nezávislá na přímo zainteresovaných

stranách

[ISO/IEC Guide 2:1996]

2.16

hrozba (threat)

potenciální příčina nechtěného incidentu, která může vyústit v poškození systému nebo

organizace

[ISO/IEC 13335-1:2004]

2.17

zranitelnost (vulnerability)

slabina aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami

[ISO/IEC 13335-1:2004]

3 Struktura normy

Norma obsahuje celkem 11 základních oddílů, které jsou dále rozděleny do 39 kategorií

bezpečnosti. Mimo to jsou v kapitole 4 uvedeny základní informace o procesech hodnocení a

zvládání rizik.

3.1 Oblasti bezpečnosti

Každý z oddílů obsahuje jednu nebo více kategorií bezpečnosti. Následující přehled uvádí

seznam všech kapitol doplněný o počet kategorií bezpečnosti (počet je uveden v závorce za

názvem kapitoly):

a) Bezpečnostní politika (1);

b) Organizace bezpečnosti (2);

c) Klasifikace a řízení aktiv (2);

d) Bezpečnost lidských zdrojů (3);

e) Fyzická bezpečnost a bezpečnost prostředí (2);

f) Řízení komunikací a řízení provozu (10);

g) Řízení přístupu (7);

h) Nákup, vývoj a údržba informačního systému (6);

i) Zvládání bezpečnostních incidentů (2);

j) Řízení kontinuity činností organizace (1);

k) Soulad s požadavky (3).

POZNÁMKA Pořadí jednotlivých oddílů bezpečnosti tak, jak jsou uvedeny v této normě, nijak

neurčuje jejich důležitost. S ohledem na konkrétní okolnosti mohou být například všechny stejně

důležité. Organizace by měla identifikovat pro ni aplikovatelné oddíly bezpečnosti, určit jejich

důležitost a aplikovatelnost na konkrétní procesy.

3.2 Hlavní kategorie bezpečnosti

Každá z kategorií bezpečnosti obsahuje:

a) cíl opatření, určující čeho má být dosaženo;

b) jedno nebo více opatření, která lze použít k dosažení stanoveného cíle opatření.

Popis opatření je strukturován následovně:

Opatření

Přesná formulace konkrétního opatření, které vede k naplnění cíle opatření.

Doporučení k realizaci

Poskytuje podrobnější informace a doporučení na podporu implementace vybraných opatření,

která vedou k dosažení cíle opatření. Ne všechna z těchto doporučení budou použitelná pro

každou situaci, v takovýchto případech by měly být vybrány vhodnější postupy implementace

opatření.

Další informace

Poskytuje další informace, které může být potřebné vzít do úvahy. Příkladem mohou být otázky

legislativy a odkazy na další relevantní normy a předpisy.

4 Hodnocení a zvládání rizik

4.1 Hodnocení bezpečnostních rizik

V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena

důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace.

Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority

implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik

a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebo

jednotlivé informační systémy.

Součástí hodnocení rizik by také měl být systematický přístup k odhadu velikosti rizika (analýza

rizik) a proces porovnání odhadnutých rizik se stanovenými kritérii pro určení jejich důležitosti

(vyhodnocení rizik).

Hodnocení rizik by mělo být prováděno v pravidelných intervalech, aby byly zjištěny změny

v bezpečnostních požadavcích a změny z pohledu rizik, např. změny aktiv, hrozeb,

zranitelností, dopadů, vyhodnocení rizik a také v případě, že nastanou významné organizační

změny. Hodnocení rizik by mělo být prováděno metodicky tak, aby výsledky jednotlivých

hodnocení byly srovnatelné a reprodukovatelné.

Rozsah hodnocení rizik by měl být jasně definován, hodnocení rizik v jednotlivých oblastech

(části organizace, informační systémy) by měla být vzájemně propojena.

Rozsah hodnocení rizik může zahrnovat celou organizaci, část(i) organizace, vybraný

informační systém, specifické prvky systému a nebo tam kde je to proveditelné, reálné

a užitečné, služby. Příklady metodologií hodnocení rizik jsou uvedeny v normě ISO/IEC TR

13335-32.

4.2 Zvládání bezpečnostních rizik

Předtím než je rozhodnuto o způsobu zvládání rizika, měla by být stanovena kritéria, na základě

kterých bude určováno, jestli je riziko pro organizaci akceptovatelné. Riziko může být

akceptováno například z důvodu, že je nízké a nebo, že náklady spojené s jeho zvládáním jsou

pro organizaci cenově nepříznivé. O takovýchto rozhodnutích by měly být vytvořeny záznamy.

Následně po provedeném hodnocení rizik musí být učiněno rozhodnutí jakým způsobem bude

s identifikovanými riziky naloženo. Možné varianty zahrnují:

a) aplikace vhodných opatření na snížení velikosti rizika;

b) vědomá a objektivní akceptace rizika, za předpokladu, že je tak učiněno v souladu

s bezpečnostní politikou organizace a kritérii pro akceptaci rizika;

c) vyhnutí se riziku zamezením činností, které jsou příčinou jeho vzniku;

d) přenos rizika na jiný subjekt (např. pojišťovny, dodavatele).

Jestliže bylo učiněno rozhodnutí o zvládáni rizika formou aplikace vhodných opatření, měl by

být výběr těchto opatření proveden na základě požadavků identifikovaných v rámci hodnocení

rizik.

Opatření by měla zaručit snížení rizika na přijatelnou úroveň, přičemž v úvahu by mělo být

vzato následující:

a) požadavky a omezení národní a mezinárodní legislativy a předpisů;

b) cíle organizace;

c) provozní požadavky a omezení;

d) cena za implementaci a provozní náklady spojené s přijetím opatření na snížení rizika,

dle požadavků a omezení organizace;

e) potřeba udržovat rovnováhu mezi investicemi spojenými s implementací a provozem

opatření a případnými škodami způsobenými selháním bezpečnosti.

Opatření k implementaci mohou být vybírána z této normy nebo z jiných obdobných souborů

opatření, případně mohou být navržena zcela nová opatření tak, aby co nejlépe odpovídala

požadavkům organizace. Je důležité si uvědomit, že ne všechna opatření uvedená v této normě

budou aplikovatelná pro každý informační systém, prostředí nebo organizaci. Jako příklad lze

uvést opatření z kapitoly 10.1.3, které popisuje oddělení jednotlivých rolí jako způsob prevence

proti podvodům a chybám. Zejména u malých organizací nemusí být toto opatření

realizovatelné a pro dosažení stejného cíle bude nutné hledat jiná opatření. Jiným příkladem

může být opatření z kapitoly 10.10, popisující monitorování přístupu k systému a sběr důkazů.

Popsaná opatření, např. zaznamenávání událostí, mohou být v rozporu s platnou legislativou,

jako je ochrana soukromí zákazníků nebo ochrana soukromí na pracovišti.

Opatření by měla být vybírána již ve fázi návrhu a specifikaci požadavků projektu nového

systému. Opačný případ může mít za následek dodatečné zvýšení nákladů, méně účinná

řešení a v nejhorším případě neschopnost dosáhnout požadované úrovně bezpečnosti.

Žádná sada opatření nemůže sama o sobě zajistit kompletní bezpečnost. Na podporu cílů

organizace by měly proto být zavedeny řídící činnosti pro monitorování, vyhodnocování,

zlepšování výkonnosti a účinnosti bezpečnostních opatření.

5 Bezpečnostní politika

5.1 Bezpečnostní politika informací

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu

s požadavky organice, příslušnými zákony a regulatorními požadavky.

Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat

její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.

5.1.1 Dokument bezpečnostní politiky informací

Opatření

Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, vydán

a dán na vědomí všem zaměstnancům a relevantním třetím stranám.

Doporučení k realizaci

Dokument bezpečnostní politiky informací by měl obsahovat vyjádření podpory vedení

organizace a měl by definovat zamýšlený přístup k budování bezpečnosti informací.

Dokument by měl obsahovat následující body:

a) definice bezpečnosti informací, její cíle, rozsah a její důležitost - mechanizmus

umožňující sdílení informací (viz Úvod);

b) prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti

informací;

c) stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro

organizaci, například:

1. dodržování zákonných, regulatorních a smluvních požadavků;

2. požadavky na vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti;

3. zásady plánování kontinuity činností organizace;

4. důsledky porušení bezpečnostních zásad;

d) stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací

včetně hlášení bezpečnostních incidentů;

e) odkazy na dokumentaci, která může bezpečnostní politiku podporovat, například na

detailnější bezpečnostní politiky a postupy zaměřené na konkrétní informační systémy nebo

bezpečnostní pravidla, která by měli uživatelé dodržovat.

S dokumentem by měli být seznámeni uživatelé v rámci organizace, a to formou, která je

relevantní, přístupná a pochopitelná všem potenciálním příjemcům.

Další informace

Bezpečnostní politika informací může být součástí (hierarchicky podřízena) dokumentu nejvyšší

politiky organizace. V případech, kdy je bezpečnostní politika sdělována mimo organizaci, by

měla být zajištěna ochrana citlivých informací před prozrazením. Další informace lze nalézt

v normě ISO/IEC 13335-1:20043.

5.1.2 Přezkoumání a aktualizace bezpečnostní politiky informací

Opatření

Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti by bezpečnostní politika

informací měla být přezkoumávána v plánovaných intervalech a vždy když nastane významná

změna.

Doporučení k realizaci

Bezpečnostní politika informací by měla mít vlastníka (schváleného vedením organizace), odpovědného

za její vytvoření, přezkoumání a aktualizaci. Součástí procesu přezkoumání by mělo být posouzení

možností pro zlepšení bezpečnostní politiky informací. Měl by být posouzen stávající přístup

organizace k řízení informační bezpečnosti jako reakce na změny v organizační či technické

infrastruktuře, změny v legislativě a jiné okolnosti, mající vztah k činnostem organizace.

Při přezkoumání bezpečnostní politiky informací by měly být zohledněny závěry z přezkoumání

provedeného vedením organizace. Měl by být vytvořen postup a plán pravidelného přezkoumání

vedení organizace.

Vstupy pro přezkoumání vedením organizace by měly obsahovat:

a) zpětnou vazbu od zainteresovaných stran;

b) výsledky nezávislých přezkoumání (viz 6.1.8);

c) stav preventivních a nápravných činností (viz 6.1.8 a 15.2.1);

d) výsledky z předchozích přezkoumání vedením organizace;

e) výkonnost procesu a soulad s bezpečnostní politikou;

f) změny, které mohou mít vliv na přístup organizace k řízení bezpečnosti informací,

včetně změn v organizační či technické infrastruktuře, dostupnosti zdrojů, změn

smluvních, regulatorních a legislativních podmínek a jiné další okolnosti mající vztah

k činnostem organizace;

g) trendy v oblasti hrozeb a zranitelností;

h) hlášení bezpečnostních incidentů (viz 13.1);

i) doporučení orgánů veřejné správy (viz 6.1.6).

Výstupy z přezkoumání prováděného vedením organizace by měly obsahovat jakákoliv

rozhodnutí a činnosti mající vztah k následujícímu:

a) změnám a zlepšení přístupu organizace k řízení bezpečnosti informací a procesům

organizace;

b) změnám cílů opatření a jednotlivých opatření;

c) změnám v přidělení zdrojů a odpovědností.

Měly by být udržovány záznamy o provedených přezkoumáních vedením organizace.

Mělo by být získáno od vedení organizace schválení aktualizované verze politiky.

6 Organizace bezpečnosti

6.1 Interní organizace

Cíl: Řídit bezpečnost informací v organizaci.

Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací

v organizaci.

Vedení organizace by mělo schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti

informací a koordinovat implementaci bezpečnosti v organizaci.

Jestliže je to nutné, pak by měl být v organizaci vytvořen specializovaný zdroj pro oblast

bezpečnosti informací a měl by být dostupný pro celou organizaci. Aby bylo možné udržovat

krok s posledními trendy v odvětví bezpečnosti informací, sledovat standardy, vybírat

nejvhodnější metody a zajistit vhodné styčné body v případech bezpečnostních incidentů, měly by být

uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měl by být podporován

multi-disciplinární přístup k bezpečnosti informací.

6.1.1 Závazek vedení

Opatření

Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci

organizace. Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti

bezpečnosti informací.

Doporučení k realizaci

Vedení by mělo:

a) zajistit identifikaci cílů bezpečnosti, jejich soulad s požadavky organizace a integraci do

relevantních procesů;

b) formulovat, přezkoumat a schválit bezpečnostní politiku informací;

c) přezkoumat účinnost implementace bezpečnostní politiky informací;

d) poskytnout jasný směr a viditelnou podporu bezpečnostním iniciativám;

e) zajistit dostatečné zdroje potřebné pro bezpečnost informací;

f) schválit přidělení jednotlivých rolí a odpovědností za bezpečnost informací v rámci

organizace;

g) iniciovat plány a programy na zvyšování bezpečnostního povědomí;

h) zajistit, aby implementace bezpečnostních opatření byla koordinována v rámci celé

organizace (viz 6.1.2).

Vedení organizace by mělo určit potřebnost konzultací od odborníka (interního nebo externího)

na bezpečnost informací a přezkoumat a koordinovat výsledky konzultací v rámci organizace.

V závislosti na velikosti organizace může být tato odpovědnost přesunuta na fórum pro řízení

bezpečnosti informací nebo jiný řídící subjekt, jako například představenstvo.

Další informace

Další informace lze nalézt v normě ISO/IEC 13335-1:20044.

6.1.2 Koordinace bezpečnosti informací

Opatření

Činnosti v oblasti bezpečnosti informací by měly být koordinovány prostřednictvím zástupců

různých útvarů z celé organizace.

Doporučení k realizaci

Koordinace bezpečnosti informací by měla zahrnovat součinnost zástupce vedení organizace,

uživatelů, administrátorů, návrhářů aplikačních programů, auditorů, zaměstnanců oddělení

bezpečnosti a odborníky na specifické oblasti, jako například pojištění, právní otázky, lidské

zdroje, IT anebo řízení rizik.

Koordinace bezpečnosti by měla:

a) zajistit, aby aktivity v oblasti bezpečnosti informací byly prováděny v souladu

s bezpečnostní politikou informací;

b) určit jakým způsobem bude naloženo se zjištěnými nesoulady;

c) schválit specifické metodologie a postupy v oblasti bezpečnosti informací, například

hodnocení rizik, systém bezpečnostní klasifikace;

d) identifikovat významné změny v hrozbách a vystavení informací a prostředkům pro

zpracování informací vůči těmto hrozbám;

e) zajistit podporu vzdělávání v oblasti bezpečnosti informací dotýkající se celé organizace,

například školení a program zvyšování bezpečnostního povědomí;

f) vyhodnotit informace získané z procesu monitorování a přezkoumání bezpečnostních

incidentů a doporučit vhodný způsob reakce na identifikované bezpečnostní incidenty.

Pokud organizace nevyužívá funkce fóra, vytvořeného ze zástupců jednotlivých útvarů, např.

z důvodů velikosti organizace, měly by být veškeré výše popsané aktivity zajištěny jiným

vhodným subjektem nebo určeným členem z vedení organizace.

6.1.3 Přidělení odpovědností v oblasti bezpečnosti informací

Opatření

Měly by být jednoznačně určeny odpovědnosti v oblasti bezpečnosti informací.

Doporučení k realizaci

Přidělení odpovědností v oblasti bezpečnosti informací by mělo být provedeno v souladu

s bezpečnostní politikou informací (viz kapitola 4). Měly by být jednoznačně vymezeny odpovědnosti

za ochranu jednotlivých aktiv a za realizaci určených bezpečnostních procesů. Tam, kde je to

potřebné, by tyto odpovědnosti měly být doplněny o podrobnější interpretaci vztahující se ke

specifickým místům, systémům nebo službám. Měly by být jasně definovány lokální odpovědnosti za

ochranu aktiv a výkon bezpečnostních procesů, například plánování kontinuity činností

organizace.

Jedinci s přidělenou odpovědností mohou jednotlivé činnosti v oblasti bezpečnosti delegovat.

Nicméně v konečném důsledku zůstávají odpovědnými a měly by být schopni zaručit, že

jakékoliv delegované činnosti byly vykonány správně.

Je nezbytné jasně vymezit oblasti odpovědnosti jednotlivých vedoucích; zvlášť by mělo být

provedeno následující.

a) identifikování a jasné vymezení různých aktiv a bezpečnostních postupů spojených

s každým jednotlivým systémem;

b) určení odpovědnosti relevantního subjektu za každé aktivum nebo

bezpečnostní postup, detaily této odpovědnosti by měly být zdokumentovány

(viz také 7.1.2);

c) jednoznačné vymezení a zdokumentování úrovně oprávnění jednotlivých

subjektů.

Další informace

V mnoha organizacích bude jmenován vedoucí zaměstnanec5 odpovědný za bezpečnost

informací, který nese veškerou odpovědnost za vývoj a implementaci bezpečnosti a který

zajišťuje identifikaci opatření.

Avšak odpovědnost za financování a implementaci těchto opatření bude často zůstávat na

vedoucích jednotlivých útvarů organizace. Jedním z obecně používaných postupů je jmenovat

vlastníka pro každé informační aktivum. Ten se pak stane odpovědným za každodenní

bezpečnost svěřeného aktiva.

6.1.4 Schvalovací proces pro prostředky zpracování informací

Opatření

Měl by být ustaven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků

pro zpracování informací.

Doporučení k realizaci

V úvahu by měla být vzata následující doporučení:

a) nová zařízení by měla být odsouhlasena jednotlivými vedoucími uživatelských útvarů

organizace, kteří schválí jejich účel a použití. Schválení by také mělo být získáno od

vedoucího zaměstnance odpovědného za bezpečnost provozu informačního systému,

aby se zajistilo, že nebudou porušeny žádné relevantní bezpečnostní politiky

a požadavky;

b) v nutných případech by mělo být zkontrolováno technické a programové vybavení, aby bylo

zajištěno, že je kompatibilní s ostatními systémovými prvky;

c) použití soukromých prostředků zpracovávajících pracovní informace (např. notebooků,

domácích PC nebo kapesních zařízení) by mělo být zvlášť schvalováno a měla by být

přijata veškeré nutná opatření s tím spojená, protože použití těchto prostředků může

znamenat vznik nových zranitelností.

6.1.5 Dohody o ochraně důvěrných informací

Opatření

Měly by být určeny a v pravidelných intervalech přezkoumávány dohody obsahující požadavky

na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace

na ochranu informací.

Doporučení k realizaci

Dohody o ochraně důvěrnosti nebo o povinnosti zachovávat mlčenlivost by měli zajistit požadavek

na ochranu důvěrné informace s využitím zákonem vymahatelných prostředků. Při určení

požadavků na dohody o ochraně důvěrnosti nebo povinnost zachovávat mlčenlivost by mělo být

bráno v úvahu:

a) určení informace, která má být chráněna (např. důvěrná informace);

b) očekávaná délka dohody, včetně upřesnění případů kdy požadavek na ochranu

důvěrnosti trvá i po jejím vypršení;

c) upřesnění kroků následujících po ukončení dohody;

d) odpovědnosti a kroky, které signatáři dohody podniknou k zamezení neoprávněného

prozrazení informací (např. dodržování principu „oprávněné potřeby znát“ (need to know));

e) vlastnictví informací, obchodní tajemství a ochrana duševního vlastnictví a jakým

způsobem to souvisí s ochranou důvěrných informací;

f) dovolené použití důvěrných informací a práva smluvních stran na jejich použití;

g) právo auditovat a monitorovat činnosti, které zahrnují důvěrné informace;

h) způsob oznámení a podání zprávy o neoprávněném prozrazení nebo porušení

důvěrnosti informace;

i) podmínky za jakých mají být informace po ukončení dohody vráceny nebo zničeny;

j) kroky které budou podniknuty v případě, že dojde k porušení dohody.

V závislosti na bezpečnostních potřebách organizace mohou být dohody o ochraně důvěrných

informací nebo povinnost zachovávat mlčenlivost doplněny o další potřebná ustanovení.

Dohody o ochraně důvěrných informací nebo povinnost zachovávat mlčenlivost by měly být

v souladu s místními zákony a předpisy (viz také 15.1.1).

Požadavky obsažené v dohodách o ochraně důvěrných informací nebo o povinnosti zachovávat

mlčenlivost by měly být v pravidelných intervalech, a v případě jakýchkoliv dalších změn

ovlivňujících tyto požadavky, přezkoumávány.

Další informace

Dohody o ochraně důvěrných informací nebo o povinnosti zachovávat mlčenlivost slouží

k ochraně informací organizace. Zavazují signatáře k odpovědnosti informace chránit, používat

a zveřejňovat je pouze odpovědným a oprávněným způsobem.

V závislosti na konkrétní situaci mohou organizace volit různé formy dohod o ochraně důvěrných

informací nebo o povinnosti zachovávat mlčenlivost.

6.1.6 Kontakt s orgány veřejné správy

Opatření

Měly by být udržovány přiměřené vztahy s orgány veřejné správy.

Doporučení k realizaci

Organizace by měly mít zavedeny postupy, které přesně určují za jakých podmínek a kým by

měly být kontaktovány orgány veřejné správy (např. policie, hasiči, dozorčí orgány) a postupy

včasného hlášení bezpečnostních incidentů v případech, kdy existuje podezření na porušení

zákonů.

V některých případech mohou organizace, které jsou vystaveny útokům z internetu, využít

služeb třetích stran (např. poskytovatelé internetového připojení nebo telekomunikační

operátoři), k podniknutí nápravných opatření.

Další informace

Udržování dobrých vztahů s orgány veřejné zprávy může také patřit mezi požadavky na

podporu zvládání bezpečnostních incidentů (viz 13.2) nebo procesů plánování kontinuity a

obnovy činností po havárii (viz kapitola 14). Dobré kontakty na regulační orgány zase umožní

organizaci předjímat připravované změny v zákonech a předpisech a dopředu se na ně

připravit. Kontakty na další subjekty mohou zahrnovat komunální služby, pohotovostní služby,

inspektoráty bezpečnosti práce, dále pak například hasiče (ve vztahu ke kontinuitě činností

organizace), poskytovatele telekomunikačních služeb (ve vztahu ke směrování a dostupnosti

kabeláže), dodavatele vody (pro potřeby chladících zařízení).

6.1.7 Kontakt se zájmovými skupinami

Opatření

Měly by být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na

bezpečnost a profesními sdruženími.

Doporučení k realizaci

Členství ve specializovaných zájmových skupinách a diskusních fórech by mělo být zváženo

z následujících důvodů:

a) rozšiřování znalostí o nejlepších praktikách a nejnovějších trendech v oblasti

bezpečnosti informací;

b) ujištění se, že to jak je chápána bezpečnost informací v organizaci je dostatečné

a odpovídá současným trendům;

c) obdržení včasného varování, získání doporučení a informací o bezpečnostních

záplatách souvisejících s útoky a zranitelnostmi;

d) získání přístupu k doporučením a radám odborníků na bezpečnost informací;

e) sdílení a výměna informací o nejnovějších technologiích, produktech, hrozbách

a zranitelnostech;

f) navázání vhodné spolupráce pří řešení bezpečnostních incidentů (viz také 13.2.1).

Další informace

Pro zlepšení spolupráce a koordinace při řešení záležitostí týkajících se bezpečnosti mohou být

uzavřeny dohody o sdílení informací. Takovéto dohody by měly obsahovat požadavky na

ochranu citlivých informací.

6.1.8 Nezávislá přezkoumání bezpečnosti informací

Opatření

Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá

opatření, politiky, směrnice a postupy) by měly být v pravidelných intervalech (a nebo v případě

jakékoliv významné změny ve vztahu k bezpečnosti) nezávisle přezkoumávány.

Doporučení k realizaci

Vedení organizace by mělo iniciovat nezávislá přezkoumání bezpečnosti informací. Nezávislá

přezkoumání jsou důležitá pro zajištění toho, že přístup organizace k řízení bezpečnosti

informací je vyhovující, přiměřený a dostatečně účinný. Součástí přezkoumání by mělo být

zhodnocení možností pro zlepšení a změny v přístupu k bezpečnosti, včetně přezkoumání

bezpečnostní politiky a cílů opatření.

Tato přezkoumání by měla být prováděna nezávislými subjekty, např. útvar interního auditu,

nezávislý vedoucí zaměstnanec nebo třetí organizace specializující se na tuto činnost, přičemž

potenciální kandidáti na tuto práci musí mít patřičné znalosti a zkušenosti.

Výsledky nezávislých přezkoumání by měly být zaznamenány a měly by s nimi být seznámeni

vedoucí zaměstnanci, kteří přezkoumání iniciovali.

Pokud je v rámci nezávislého přezkoumání zjištěno, že přístup organizace k řízení bezpečnosti

informací jeví nedostatky nebo nesoulad se směrem stanoveným v bezpečnostní politice

informací (viz 5.1.1), měly by být ze strany vedoucích zaměstnanců zváženy kroky k nápravě.

Další informace

Nezávislé přezkoumání může být také zváženo u oblastí, které mají být pravidelně

přezkoumávány vedoucími zaměstnanci (viz 15.2.1). Techniky přezkoumání mohou zahrnovat

rozhovory s vedoucími zaměstnanci, kontrolu záznamů nebo přezkoumání bezpečnostních

politik. ČSN EN ISO 19011, Směrnice pro auditování systému managementu jakosti a/nebo

systému environmentálního managementu, může také poskytnout další užitečné informace o

tom jak provést nezávislé přezkoumání bezpečnosti, včetně ustavení a zavedení programu

přezkoumání. V kapitole 15.3 jsou uvedena opatření týkající se nezávislých přezkoumání

informačních systémů a použití nástrojů pro audit systému.

6.2 Externí subjekty

Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou

přístupné, zpracovávané, sdělované nebo spravované externími subjekty.

Bezpečnost informací a zařízení pro zpracování informací by neměla být snížena při zavedení

produktů a služeb třetích stran.

Přístup externích subjektů k zařízení pro zpracování informací a k informacím by měl být

kontrolován.

Tam, kde z činností organizace vyplývá potřeba přístupu externích subjektů, by mělo být provedeno

hodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti

a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve

smlouvě se třetí stranou.

6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů

Opatření

Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro

zpracování informací, by měla být identifikována rizika a implementována vhodná opatření na

jejich pokrytí.

Doporučení k realizaci

Tam, kde existuje potřeba přístupu externích subjektů k informacím organizace a zařízení pro

zpracování informací, by mělo být provedeno hodnocení rizik (viz také kapitola 4) tak, aby byly

identifikovány požadavky na opatření. Při identifikace rizik spojených s přístupem externích

subjektů by mělo být vzato v potaz následující:

a) identifikace zařízení pro zpracování informací ke kterým je potřebný přístup externích

subjektů;

b) typ přístupu jaký bude mít externí subjekt k zařízení pro zpracování informací, např.:

1. fyzický přístup, např. přístup do kanceláří, do místností s počítači, do kartoték;

2. logický přístup, např. přístup k databázím organizace, do informačních systémů;

3. typ síťového spojení mezi organizací a externím subjektem, např. trvalé spojení,

vzdálený přístup;

4. zda je přístup z prostor organizace a nebo mimo ně;

c) hodnota, citlivost a kritičnost příslušných informací pro organizaci;

d) opatření nutná k ochraně informací, ke kterým nemají mít externí subjekty přístup;

e) identifikace personálu na straně externích subjektů, který bude mít přístup

k informacím;

f) způsob jakým je identifikována organizace nebo personál mající oprávnění k přístupu,

jakým způsobem je toto oprávnění ověřeno a jak často znovu potvrzeno;

g) postupy a opatření používané externími subjekty při ukládání, komunikování, sdílení

a výměně informací;

h) jaký může mít dopad nedostupnost informací a prostředků pro zpracování informací

externím subjektem. Dopad jaký může mít zadání nebo obdržení nepřesných nebo

klamných informací externím subjektem;

i) směrnice a postupy pro řešení bezpečnostních incidentů a potenciálních poškození,

podmínky a okolnosti za jakých bude umožněn přístup externím subjektům v případě

bezpečnostního incidentu;

j) zákonné, regulatorní a jiné relevantní smluvní požadavky ve vztahu k externím

subjektům, které by měly být vzaty v potaz;

k) jaký to může mít vliv na zájmy akcionářů, podílníků a ostatních zájmových skupin.

Přístup třetích stran k informacím a k zařízením pro zpracování informací by neměl být

umožněn do té doby, než jsou implementována přiměřená bezpečnostní opatření a podepsána

dohoda, ve které se vymezí podmínky síťového propojení nebo přístupu třetí strany do prostor

organizace a pracovní podmínky. Obecně, veškeré bezpečnostní požadavky plynoucí

z možnosti přístupu třetí strany nebo interních opatření, musí být v souladu se smlouvou

uzavřenou mezi třetí stranou a organizací (viz také 6.2.2 a 6.2.3).

Další informace

Informace mohou být ohroženy přístupem třetích stran s neadekvátním řízením bezpečnosti. Je

nutné vědět, jaká opatření je nezbytné přijmout v souvislosti se zabezpečením přístupu třetích

stran k zařízením pro zpracování informací. Například v případě potřeby zachování důvěrnosti

informací může být uzavřena dohoda o zachování důvěrnosti.

Organizace mohou být vystaveny rizikům souvisejícím s interními procesy, řízením

a komunikací při zajištění činností organizace formou outsourcingu nebo pokud se spolupráce

dotýká více externích subjektů.

Opatření uvedená v kapitolách 6.2.2 a 6.2.3 pokrývají různé typy externích subjektů

a poskytovaných služeb, jako například:

a) poskytovatele služeb, jako jsou poskytovatelé informačních a síťových služeb, telefonní

služby, služby podpory a údržby;

b) služby správy bezpečnosti;

c) zákazníky;

d) outsourcing zařízení a/nebo provozu, např. informačních systémů a technologií, služeb

sběru dat, provozu call center;

e) konzultanty na řídící a obchodní činnosti a auditory;

f) vývojáře a dodavatele, např. informačních systémů a technologií;

g) úklid, zásobování, bezpečnostní ostraha a další externě zajišťované služby;

h) vykonání studentské praxe a jiné podobné krátkodobé akce.

Takovéto dohody mohou snížit rizika vyplývajících z přístupu externích subjektů.

6.2.2 Bezpečnostní požadavky pro přístup klientů

Opatření

Předtím, než je klientům umožněn přístup k informací a aktivům organizace, by měly být

zjištěny veškeré požadavky na bezpečnost.

Doporučení k realizaci

Předtím než je umožněn přístup zákazníků k aktivům organizace by měly být zváženy

následující požadavky pro zajištění bezpečnosti (v závislosti na typu a rozsahu přístupu nemusí

být všechny aplikovatelné):

a) ochrana aktiv zahrnující:

1. postupy sloužící k ochraně aktiv organizace včetně informací a programového

vybavení a řízení známých zranitelností;

2. postupy sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo

modifikaci dat;

3. integritu aktiv;

4. omezení kopírování a šíření informací;

b) popis každé služby nebo produktu, které jsou třetí straně zpřístupněny;

c) důvody, požadavky a výhody vyplývající z přístupu umožněného zákazníkům;

d) politika řízení přístupu zahrnující:

1. povolené metody přístupu a jeho kontrola, použití jedinečných identifikátorů, jako

jsou uživatelské identifikátory a hesla;

2. autorizační proces pro přístup uživatele a jeho oprávnění;

3. prohlášení, že každý přístup který není explicitně povolen je zakázán;

4. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;

e) systém hlášení, upozorňování a vyšetřování nepřesností informací (např. osobních údajů),

bezpečnostních incidentů a případů prolomení bezpečnosti;

f) popis každé služby, která je třetí straně zpřístupněna;

g) cílová úroveň služby a neakceptovatelné úrovně služby;

h) právo monitorovat a zakázat aktivity uživatele;

i) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;

j) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních

údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít

v úvahu národní legislativu (viz také 15.1);

k) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové

práce (viz také 6.1.5).

Další informace

Bezpečnostní požadavky pro zajištění přístupu zákazníků se mohou lišit v závislosti na

informacích a zařízení pro zpracování informací ke kterým má zákazník přístup. Tyto požadavky

mohou být naplněny v rámci dohod uzavřených se zákazníkem, ve kterých jsou identifikována

veškerá rizika a požadavky na bezpečnost (viz také 6.1.5).

Dohody s externími subjekty mohou také zahrnovat další zúčastněné strany. Dohody

umožňující přístup externích subjektů by měly zahrnovat dodatek, ve kterém budou ustanoveni

další případní účastníci, kteří by měli přístup k aktivům organizace, a budou upraveny

požadavky na tento přístup.

6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou

Opatření

Dohody, uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu

informací organizace nebo správu zařízení pro zpracování informací (případně dodávku

produktů nebo služeb k zařízení pro zpracování informací), by měly pokrývat veškeré relevantní

bezpečnostní požadavky.

Doporučení k realizaci

Dohody by měly zaručit, že mezi organizací a třetí stranou neexistuje nesoulad ve výkladu

předmětu jejich plnění. Organizace by se tímto samy měly pojistit před zproštěním se odpovědnosti

smluvních partnerů.

Doporučuje se zvážit zařazení následujících oblastí pro pokrytí všech identifikovaných

požadavků na bezpečnost (viz 6.2.1):

a) bezpečnostní politika informací;

b) opatření pro zajištění ochrany aktiv, zahrnující:

1. postupy sloužící k ochraně aktiv organizace včetně informací a programového

a technického vybavení;

2. jakákoliv opatření fyzické ochrany a mechanizmy, které zajišťují jejich plnění;

3. opatření k zajištění ochrany před škodlivým programovým vybavením (viz

10.4.1);

4. postup sloužící ke zjištění, zda nedošlo ke kompromitaci aktiv, například ztrátě nebo

modifikaci informací, programového a technické vybavení;

5. opatření zajišťující vrácení či zničení informací/aktiv po ukončení smluvního

vztahu nebo v jeho průběhu;

6. důvěrnost, integritu, dostupnost a další důležité vlastnosti aktiv;

7. omezení kopírování a šíření informací a dodržování dohod o ochraně důvěrných

informací (viz 6.1.5);

c) školení uživatelů a správců v metodách, postupech a v bezpečnosti;

d) zajištění dostatečného povědomí uživatelů o bezpečnosti informací a jejich

odpovědnostech;

e) tam, kde je to vhodné, podmínky přechodu personálu mezi smluvními stranami;

f) odpovědnost za instalaci a údržbu technického a programového vybavení;

g) jasná pravidla hlášení a schválený formát těchto hlášení;

h) jasný a specifikovaný proces řízení změn;

i) politiku řízení přístupu zahrnující:

1. důvody, požadavky a výhody, které činí přístup třetích stran nezbytným;

2. povolené metody přístupu, kontrola a použití jedinečných identifikátorů, jako jsou

uživatelské identifikátory (ID) a hesla;

3. autorizační proces pro přístup uživatele a jeho oprávnění;

4. požadavky na vedení a dostupnost seznamu jednotlivců, kteří jsou vzhledem ke

svým předdefinovaným právům a privilegiím oprávněni využívat nabízené služby;

5. prohlášení, že každý přístup který není explicitně povolen je zakázán;

6. proces zrušení přístupových práv nebo přerušení spojení mezi systémy;

j) systém hlášení, upozorňování a vyšetřování bezpečnostních incidentů a případů prolomení

bezpečnosti, stejně tak jako porušení jakýchkoliv podmínek stanovených v dohodách;

k) popis každé služby, která je třetí straně zpřístupněna a popis každé zpřístupněné

informace včetně bezpečnostní klasifikace (viz 7.2.1);

l) cílová úroveň služby a neakceptovatelné úrovně služby;

m) popis ověřitelných kritérií výkonnosti, způsob jejich sledování a hlášení;

n) právo monitorovat a zakázat jakékoliv aktivity uživatele mající vztah k aktivům

organizace;

o) právo auditovat povinnosti stanovené v dohodách nebo mít právo nechat provést tyto

audity třetí stranou a jmenovitě uvést legitimní práva auditorů;

p) ustavení procesu eskalace při řešení problému;

q) požadavky na kontinuitu služeb, včetně opatření pro zajištění dostupnosti

a spolehlivosti, v souladu se stanovenými prioritami organizace;

r) konkrétní závazky a odpovědnosti na straně organizace a zákazníka;

s) odpovědnosti vyplývající z právních norem, například z legislativy na ochranu osobních

údajů – zvláště v případech uzavírání smluv mezi stranami z různých států je nutné vzít

v úvahu národní legislativu (viz také 15.1);

t) ochrana duševního vlastnictví a autorské právo (viz15.1.2) a ochrana jakékoliv týmové

práce (viz také 6.1.5);

u) spolupráce třetích stran se subdodavateli a bezpečnostní opatření která musí

subdodavatelé přijmout;

v) podmínky obnovení/ukončení dohod:

1. měl by být připraven náhradní plán pro případ, že se některá ze stran rozhodne

ukončit spolupráci před řádným vypršením platné dohody;

2. vyjednání nových podmínek v případě, že dojde ke změně bezpečnostních

požadavků organizace;

3. seznam aktiv, licencí, dohod nebo práv s nimi spojených.

Další informace

Dohody uzavírané mezí organizací a třetími stranami se mohou výrazně lišit. Měl by proto být

kladen důraz na začlenění všech identifikovaných požadavků na bezpečnost. Tam kde je to

potřebné, mohou být požadavky na opatření a postupy podrobněji rozvedeny v plánu řízení

bezpečnosti.

Pokud je bezpečnost informací zajišťována formou outsourcingu, měly by uzavřené dohody

upravovat způsob jakým bude třetí strana zajišťovat odpovídající úroveň bezpečnosti tak, jak bylo určeno v rámci hodnocení rizik. Dále způsob jakým bude udržována úroveň bezpečnosti

a jak budou požadavky na bezpečnost upraveny v případě změn rizik.

Rozdíly v poskytování služeb formou outsourcingu a jinými typy spolupráce s třetími stranami

jsou v otázkách právní závaznosti, plánování přechodných období a plánování pro případ

narušení činností v průběhu přechodných období, plánování kontinuity činností a hloubkové

prověrky (due diligence), sběru a správy informací o bezpečnostních incidentech. Je proto

důležité aby organizace správně plánovala a řídila přechod k outsourcovaným službám a měla

zavedeny postupy řízení změn a obnovy/ukončení dohod o outsourcingu.

7 Klasifikace a řízení aktiv

7.1 Odpovědnost za aktiva

Cíl: Udržovat přiměřenou ochranu aktiv organizace.

U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich

vlastník.

Pro všechna důležitá aktiva by měli být určeni vlastníci a měla by být stanovena jejich

odpovědnost za udržování přiměřených bezpečnostních opatření. Odpovědnost za realizaci

jednotlivých bezpečnostních opatření může být delegována, ale vlastní odpovědnost za ně by

měla zůstat na vlastníkovi aktiva.

7.1.1 Evidence aktiv

Opatření

Měla by být identifikována všechna aktiva organizace, všechna důležitá aktiva by měla být

evidována a seznam udržován aktuální.

Doporučení k realizaci

Organizace musí být schopna identifikovat svá aktiva a stanovit jejich relativní hodnotu a důležitost.

Evidence by měla obsahovat informace potřebné pro případ obnovy po havárii. Měl by být uveden typ

aktiva, jeho formát, umístění, informace o záloze, licenční informace a jeho hodnota pro organizaci.

Seznam by neměl zbytečně duplikovat jiné, již existující seznamy. Pokud se tak stane, měla by být

zajištěna shody uváděných informací.

Pro každé aktivum by měl být schválen a zaevidován jejich vlastník (viz 7.1.2) a bezpečnostní

klasifikace (viz 7.2).

Evidence aktiv pomáhá zajistit udržování účinné bezpečnostní ochrany a může být vyžadována

i k jiným účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby

finančního řízení (správy aktiv). Na základě důležitosti aktiva, jeho hodnoty pro organizaci

a bezpečnostní klasifikaci, by měla být určena odpovídající úroveň jeho ochrany (více informací

o tom jakým způsobem přiřadit aktivum hodnotu tak, aby to odpovídalo jejich důležitosti, lze

nalézt v normě ISO/IEC TR 13335-36).

Další informace

Příkladem aktiv spojených s informačními systémy jsou:

a) informační aktiva: databáze a datové soubory, systémová dokumentace, uživatelské

manuály, školicí materiály, provozní nebo podpůrné postupy, plány obnovy funkčnosti,

dohody o zajištění záložního provozu, auditní záznamy, archivované informace;

b) aplikační programová aktiva: aplikační a systémové programové vybavení, vývojové

nástroje a utility;

c) fyzická aktiva: počítačové vybavení (základní jednotky, monitory, notebooky, modemy),

komunikační zařízení (směrovače, pobočkové ústředny, faxy, záznamníky), magnetická

média (pásky a disky), další technická zařízení (napájecí zdroje, klimatizační zařízení),

nábytek, prostory;

d) služby: počítačové a komunikační služby, další technické služby (topení, osvětlení, napájení,

klimatizace);

e) lidé a jejich kvalifikace, dovednosti a zkušenosti;

f) nehmotná aktiva, jako například pověst a image organizace.

Evidence aktiv pomáhá zajistit udržování účinné ochrany a může být vyžadována i k jiným

účelům, jako je například bezpečnost a ochrana zdraví při práci, pojištění nebo potřeby finančního řízení (správy aktiv). Proces vytvoření seznamu aktiv je nezbytným předpokladem pro řízení rizik (viz

také kapitola 4).

7.1.2 Vlastnictví aktiv

Opatření

Veškeré informace a aktiva související se zařízením pro zpracování informací by měly mít

určeného vlastníka7.

Doporučení k realizaci

Vlastník aktiva by měl být odpovědný za:

a) zajištění odpovídající klasifikace informací a aktiv souvisejících s prostředky pro

zpracování informací;

b) přesné vymezení a pravidelné přezkoumání omezení přístupu a klasifikace aktiv,

v souladu s platnou politikou řízení přístupu.

Vlastnictví může být přiděleno na:

a) proces;

b) přesně vymezený soubor činností;

c) aplikaci;

d) přesně vymezený soubor dat.

Další informace

Běžné úkoly (např. každodenní dohled nad aktivy) mohou být delegovány, odpovědnost však

vždy zůstává na vlastníkovi aktiva.

Ve složitých informačních systémech může být výhodné seskupit aktiva, která dohromady

zajišťují jednu konkrétní funkci (např. službu). V takovémto případě je vlastník služby

odpovědný nejen za její správné fungování, ale také za všechna aktiva, která ji zajišťují.

7.1.3 Přípustné použití aktiv

Opatření

Měla by být ustavena, zdokumentována a do praxe zavedena pravidla pro přípustné použití

informací a aktiv souvisejících se zařízením pro zpracování informací.

Doporučení k realizaci

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli dodržovat pravidla pro

přípustné použití informací a aktiv souvisejících se zařízením pro zpracování informací a to

včetně:

a) pravidel pro použití elektronické pošty a internetu (viz 10.8);

b) doporučení pro použití mobilních zařízení, zejména mimo areál organizace (viz 11.7.1).

Odpovědní vedoucí by měli zveřejnit pravidla a doporučení pro použití aktiv. Zaměstnanci,

smluvní strany a uživatelé třetích stran, kteří používají nebo mají přístup k aktivům organizace,

by měli znát pravidla omezující použití informací, zdrojů, a aktiv souvisejících se zařízením pro

zpracování informací. Měli by nést odpovědnost za použití jakýchkoli zdrojů pro zpracování

informací.

7.2 Klasifikace informací

Cíl: Zajištění přiměřenosti ochrany informačních aktiv.

Informace by měly být klasifikovány tak, aby byla naznačena jejich potřebnost, důležitost

a stupeň ochrany.

Informace mohou mít různý stupeň citlivosti a mohou být různě kritické, některé mohou

vyžadovat vyšší úroveň bezpečnosti nebo zvláštní způsob zacházení. Měl by existovat systém

bezpečnostní klasifikace, který by určoval adekvátní stupeň ochrany a který by dával uživatelům

informace o nutnosti zvláštního zacházení.

7.2.1 Doporučení pro klasifikaci

Opatření

Informace by měly být klasifikovány a to ohledem na jejich hodnotu, právní požadavky, citlivost

a kritičnost.

Doporoučení k realizaci

Klasifikace a odpovídající opatření pro ochranu informací by měly vycházet z potřeb

a požadavků organizace na sdílení nebo omezení přístupu k informacím a dále by měly

vycházet z dopadů, které vyplývají z nenaplnění těchto požadavků.

Pravidla klasifikace by měla zohledňovat skutečnost, že jednou provedená klasifikace není

neměnná, ale že se může měnit podle předem určených pravidel (viz 11.1.1).

Odpovědnost za definici klasifikace jednotky informace (dokumentu, záznamu, souboru,

diskety) a za periodické přezkoumávání této klasifikace by měla zůstat na autorovi nebo určeném

vlastníku informace (viz 7.1.2). Při klasifikaci by nemělo být zapomenuto na efekt agregace, viz

také kapitola 10.7.2.

Pozornost by měla být věnována počtu klasifikačních kategorií a výhodám plynoucím z jejich

použití. Příliš komplexní struktury se mohou stát těžkopádné, neekonomické nebo nepraktické.

Pozornost by měla být věnována také interpretaci klasifikačního značení dokumentů z jiných

organizací, které mohou mít jiné definice pro stejné nebo podobné značení.

Další informace

Úroveň ochrany informací může být také určena na základě požadavků na jejich důvěrnost,

integritu, dostupnost a jakýchkoliv dalších požadavků.

Informace často po určité době přestávají být citlivé nebo kritické, například v případě jejich

zveřejnění. S těmito skutečnostmi je nutné počítat, protože reklasifikace může přinést značné

dodatečné administrativní náklady.

Pro zjednodušení procesu klasifikace mohou být jednotlivé dokumenty, u kterých existují stejné

požadavky na bezpečnost, klasifikovány jako celek.

V zásadě klasifikace umožňuje rychle určit způsob zacházení s informacemi a způsob jejich

ochrany.

7.2.2 Označování a nakládání s informacemi

Opatření

Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které

jsou v souladu s klasifikačním schématem přijatým organizací.

Doporučení k realizaci

Tyto postupy musí pokrývat informační aktiva ve fyzické i elektronické podobě.

Výstup ze systémů, obsahujících citlivé informace, by měl být (na výstupu) označen

odpovídajícím klasifikačním návěštím. Značení by mělo odpovídat klasifikačním pravidlům

ustanoveným podle 7.2.1. Toto platí zejména pro tiskové výstupy, výstupy na obrazovku,

záznamová média (pásky, disky, CD, kazety), elektronické zprávy a přenosy souborů. Manipulační postupy by měly být definovány pro každou úroveň klasifikace tak, aby pokrývaly

bezpečné zpracování informací, jejich uchování, přenos, deklasifikaci a likvidaci. Měly by být

také definovány postupy pro sběr důkazů a zaznamenávání jakýchkoliv bezpečnostních

událostí.

Dohody o sdílení dat, uzavřené mezi organizacemi, by měly obsahovat postupy identifikace

klasifikovaných informací a způsob jakým mají být interpretována návěští, která používají

jednotlivé organizace.

Další informace

Značení a bezpečné nakládání s klasifikovanými informacemi je klíčovým požadavkem pro

sdílení informací. Nejvhodnější formou značení jsou „fyzická“ návěští, avšak pro některá aktiva

(například dokumenty v elektronické podobě) nelze použít „fyzický“ způsob značení. Pro takový

druh aktiv je třeba použít elektronické označovací prostředky. Oznámení o práci

s klasifikovanou informací se může například zobrazit na monitoru nebo displeji. Tam kde není

možné provést označení, mohou být použity jiné prostředky pro určení klasifikované informace,

např. prostřednictvím procesu nebo meta-dat8.

8 Bezpečnost lidských zdrojů

8.1 Před vznikem pracovního vztahu9

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby

pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu

nebo zneužití prostředků organizace.

Odpovědnosti za bezpečnost by měly být zohledněny v rámci přijímacího řízení, měly by být

zahrnuty v pracovních smlouvách a popisech práce.

Potenciální uchazeči by měli být náležitě prověřeni, zejména v případě citlivých pracovních

míst.

Všichni zaměstnanci, smluvní a třetí strany, využívající zařízení organizace pro zpracování

informací, by měli podepsat dohodu odpovídající jejich rolím a povinnostem.

8.1.1 Role a odpovědnosti

Opatření

Role a odpovědnosti zaměstnanců, smluvních a třetích stran v oblasti bezpečnosti informací by měly

být stanoveny a zdokumentovány v souladu s bezpečnostní politikou organizace.

Doporučení k realizaci

Role a odpovědnosti v oblasti bezpečnosti informací by měly zahrnovat:

a) požadavek na realizaci a dodržování zásad v souladu s bezpečnostní politikou organizace

(viz 5.1);

b) požadavek na ochranu aktiv před neautorizovaným přístupem, prozrazením, modifikací,

zničením nebo narušením;

c) požadavek na vykonávání určitých bezpečnostních postupů nebo činností;

d) požadavek na určení jednoznačné odpovědnosti za provedené činnosti;

e) požadavek hlásit bezpečnostní události nebo jiná bezpečnostní rizika.

V rámci přijímacího řízení by zájemcům o práci měly být jasně sděleny role a odpovědnosti

spojené s místem o které se ucházejí.

Další informace

Popisy pracovních míst mohou být použity k doložení pracovních rolí a odpovědností v oblasti

bezpečnosti informací. Role a odpovědnosti jedinců, kteří nejsou zaměstnanci organizace

(například zaměstnanci třetích stran) by měly být jasně stanoveny a tito by měli být s nimi

seznámeni.

8.1.2 Prověrka

Opatření

Všichni uchazeči o zaměstnání, smluvní a třetí strany by měly být prověřeni dle platných

zákonů, předpisů a v souladu s etikou. Prověření by měla být prováděna na základě požadavků

stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat

přístup, ale také z hlediska jejich spolehlivosti10 a potenciálních rizik. Doporučení k realizaci

Při prověřování by měl být brán zřetel na dodržení soukromí a ochranu osobních dat11

a související legislativu12.

Tam, kde je to povoleno, měly by být prověrky prováděny na základě:

a) dostupnosti dvou dostatečných referencí, například profesní a osobní;

b) kontroly životopisu uchazeče (s ohledem na úplnost a přesnost);

c) ověření proklamovaného vzdělání a odborné kvalifikace;

d) nezávislého ověření totožnosti (dalším dokladem, například cestovním pasem);

e) detailnějšího prověření, jako například výpisu z trestního rejstříku, finanční situace, atd..

Tam, kde práce, pracovní pozice vyžaduje přístup k prostředkům zpracovávajícím zejména citlivé

informace (finanční nebo vysoce důvěrné), by organizace měla provést také detailnější prověrky

spolehlivosti.

Měly by být stanoveny přesné postupy vymezující kritéria a omezení, např. kdo a jak je

oprávněn prověrky provádět, kdy a jakým způsobem by měly prověrky probíhat.

Podobné prověrky by měly být provedeny také u externích pracovníků a pracovníků třetích

stran. Tam, kde jsou smluvní strany zajišťovány agenturou, by smlouva s agenturou měla jasně

specifikovat odpovědnost agentury za prověrky a také způsob, jakým agentura upozorní

organizaci na skutečnost, že prověrka nebyla dokončena nebo že její výsledky vzbuzují

podezření či pochybnosti. Obdobným způsobem by také dohody uzavřené se třetími stranami

(viz také 6.2.3) měly jasně specifikovat veškeré odpovědnosti a povinnosti ve vztahu

k prověrkám.

S informacemi o všech uchazečích (potenciální zaměstnanci, smluvní a třetí strany), které jsou

získány v rámci prověrek by mělo být nakládáno v souladu s existujícími právními normami.

Pokud to zákon vyžaduje, měly by být uchazeči informováni o tom, že budou prověřováni.

8.1.3 Podmínky výkonu pracovní činnosti

Opatření

Pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami by měly obsahovat

ustanovení o jejich odpovědnostech za bezpečnost informací.

Doporučení k realizaci

Pracovní smlouvy by měly být v souladu s bezpečnostní politiku organizace a mimo to také

upřesňovat a obsahovat následující:

a) všichni zaměstnanci, smluvní a třetí strany by měli, předtím než je jim umožněn přístup

k citlivým informacím a zařízení pro zpracování informací, podepsat smlouvu o ochraně

informací nebo o zachování mlčenlivosti;

b) práva a právní odpovědnost zaměstnanců, smluvních stran a ostatních uživatelů

(například ve vztahu k autorskému zákonu nebo zákonu na ochranu osobních údajů);

c) odpovědnost za klasifikaci a správu aktiv spojených s informačním systémem

a službami zaměstnavatele (viz také 7.2.1 a 10.7.3);

d) odpovědnosti zaměstnanců, smluvních a třetích stran pro nakládaní s informacemi

obdrženými od jiných společností a zúčastněných stran;

e) odpovědnosti organizace při nakládání s osobními údaji, včetně těch údajů, které byly

vytvořeny v průběhu pracovního poměru;

f) rozšíření odpovědností i mimo objekt organizace a mimo normální pracovní dobu

(například v případě vzdálené práce z domova, viz také 9.2.5 a 11.7.1);

Neschopnost nadřízených dostatečně motivovat a řídit své podřízené může vést

u zaměstnanců k pocitu, že jejich práce není dostatečně oceněná a důležitá, což může vyústit

až v negativní dopad na organizaci.

Špatné vedení může například vést k zanedbání bezpečnosti a nebo ke zneužití aktiv

organizace.

8.2.2 Povědomí, vzdělávání a školení v oblasti bezpečnosti informací

Opatření

Všichni zaměstnanci organizace, a je-li to důležité i pracovníci smluvních a třetích stran, by měli

s ohledem na svoji pracovní náplň, projít odpovídajícím a pravidelně se opakujícím školením

v oblasti bezpečnosti informací, bezpečnostní politiky a směrnicím organizace.

Doporučení k realizaci

Předtím, než je jim udělen přístup k aktivům nebo službám organizace, měli by se dotčení

seznámit s bezpečnostní politikou, požadavky a očekáváními v oblasti bezpečnosti a absolvovat

školení.

Součástí pravidelných školení by mělo být zvyšování povědomí o bezpečnostních požadavcích,

právní odpovědnosti a organizačních opatřeních. Zaměstnanci by také měli absolvovat školení

zaměřené na správné použití prostředků pro zpracování informací, např. přihlašovací postupy,

použití programových balíků a měli by získat informace o disciplinárním řízení (viz 8.2.3).

Další informace

Školení, vzdělávání a zvyšování bezpečnostního povědomí by mělo být uzpůsobeno roli,

odpovědnostem a schopnostem dotčené osoby. Mělo by také zahrnovat informaci o známých

hrozbách a postupech při hlášení bezpečnostních incidentů (viz také 13.1).

Cílem zvyšování bezpečnostního povědomí v rámci školení je naučit jednotlivce rozpoznávat

bezpečnostní incidenty a problémy a reagovat na ně způsobem, který odpovídá jejich roli.

8.2.3 Disciplinární řízení

Opatření

Mělo by existovat formalizované disciplinární řízení vůči zaměstnancům, kteří se dopustili

narušení bezpečnosti.

Doporučení k realizaci

Disciplinární řízení by nemělo být zahájeno bez předchozí ověření, že se opravdu jedná

o narušení bezpečnosti (viz také 13.2.2).

Formální disciplinární řízení by mělo zajistit korektní a spravedlivé zacházení se zaměstnanci

podezřelými z narušení bezpečnosti. Formální disciplinární řízení vedené proti narušiteli by

mělo odpovídat povaze narušení a jeho dopadu na organizaci. Mělo by být vzato do úvahy zda

se jedná o první nebo opakované narušení, zda byl narušitel dostatečně proškolen, dále by

měly být vzaty do úvahy odpovídající legislativa, existující smlouvy a další relevantní okolnosti.

V závažných případech by měl být narušitel okamžitě zbaven svých povinností, přístupových

práv a výsad. Pokud je to nutné měl by být co nejrychleji a v doprovodu vyveden mimo prostory

organizace.

Další informace

Disciplinární řízení by mělo působit jako odstrašující prostředek odrazující zaměstnance,

pracovníky smluvních a třetích stran od porušení bezpečnostních politik, směrnic a od narušení

bezpečnosti.

8.3 Ukončení nebo změna pracovního vztahu

Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích

stran proběhla řádným způsobem.

Měly by být určeny jednoznačné odpovědnosti za řádný průběh ukončení pracovního vztahu

zaměstnanců, smluvních a třetích stran, za odevzdání přiděleného vybavení a odejmutí

přístupových práv.

Změna odpovědností a pracovního vztahu v rámci organizace by měla probíhat jako by se

jednalo o odebrání odpovědností nebo ukončení pracovního vztahu, tedy tak, jak je popsáno

v této kapitole. Při uzavření nového pracovního vztahu by se mělo postupovat tak, jak je

popsáno v kapitole 8.1.

8.3.1 Odpovědnosti za ukončení pracovního vztahu

Opatření

Měly by být jasně definovány a přiděleny odpovědnosti pro případ ukončení nebo změny

pracovního vztahu.

Doporučení k realizaci

Ukončení pracovního vztahu by mělo respektovat stávající bezpečnostní požadavky a právní

odpovědnosti, pokud je to vhodné, požadavky obsažené v dohodách o ochraně důvěrných

informací (viz 6.1.5), podmínky obsažené v pracovních smlouvách (viz 8.1.3), které jsou platné

i po skončení pracovního vztahu.

Odpovědnosti a povinnosti platné i po skončení pracovního vztahu by měly být obsaženy ve

smlouvách uzavřených se zaměstnanci, smluvními a třetími stranami.

Případné změny odpovědností nebo pracovního vztahu by měly být řízeny stejným způsobem

jako v případě jejich ukončení. Přidělení nových odpovědností nebo uzavření nového

pracovního vztahu by měly probíhat způsobem popsaným v kapitole 8.1.

Další informace

Za proces a náležitosti spojené s ukončení pracovního vztahu je zpravidla odpovědné

personální oddělení, které spolupracuje s nadřízeným pracovníka opouštějícího organizaci tak,

aby byly dodrženy veškeré aspekty bezpečnosti a odpovídající postupy. V případě, že se jedná

o ukončení pracovního vztahu se smluvní stranou, může být odpovědnost za ukončení

pracovního vztahu na straně zprostředkovatelské agentury. V případě ostatních pracovníků

(pracovníci třetích stran) je tato odpovědnost zpravidla na straně jejich domovské organizace.

V některých případech může být nutné informovat zaměstnance, zákazníky, smluvní nebo třetí

strany o provozních a personálních změnách.

8.3.2 Navrácení zapůjčených předmětů

Opatření

Při ukončení pracovního vztahu by měli zaměstnanci, pracovníci smluvních a třetích stran

odevzdat veškeré jim svěřené předměty, které jsou majetkem organizace.

Doporučení k realizaci

Celý proces ukončení pracovního vztahu by měl být formalizovaný a měl by zahrnovat

navrácení poskytnutého programového vybavení, dokumentů a vybavení, které jsou majetkem

organizace. Opomenuty by neměly být také další předměty, jako například mobilní výpočetní

prostředky, kreditní karty, přístupové karty, programová dokumentace a informace uložené na

elektronických mediích.

Mělo by být zajištěno zálohování a bezpečné smazání informací (viz také 10.7.1) uložených na

zařízení, které bylo odkoupeno nebo je majetkem zaměstnance, smluvní nebo třetí strany.

V případech kdy zaměstnanci, smluvní nebo třetí strany mají znalosti, důležité z hlediska

stávajícího provozu, mělo by být zajištěno jejich zadokumentování a předání organizaci.

8.3.3 Odebrání přístupových práv

Opatření

Při ukončení pracovního vztahu by měla být uživatelům, smluvním a třetím stranám odejmuta

nebo pozměněna přístupová práva k informacím a prostředkům pro zpracováním informací.

Doporučení k realizaci

Při ukončení pracovního vztahu by měla být přezkoumána přístupová práva k aktivům

spojeným s informačními systémy a službami. V rámci těchto přezkoumání by mělo být určeno

zda je odejmutí přístupových práv nezbytné. Přístupová práva, která nebyla schválena jako

součást nového pracovního vztahu by měla být odebrána. Odebrání nebo změna přístupových

práv zahrnuje fyzický a logický přístup, klíče, identifikační karty, zařízení pro zpracování

informací (viz také 11.2.4), předplatné a odstranění jakékoliv informace, která tyto pracovníky

identifikuje jako stávající členy organizace. Při odchodu nebo změně pracovního nebo

smluvního vztahu zaměstnance, smluvní nebo třetí strany by měla být změněna veškerá jim

známá hesla k aktivním účtům.

Před ukončením nebo změnou pracovního vztahu, by měla být odebrána nebo omezena

přístupová práva k informačním aktivům a prostředkům pro zpracování informací. Při

rozhodování by měly být zváženy následující rizikové faktory:

a) zda se jedná o změnu nebo ukončení pracovního vztahu iniciovanou ze strany

zaměstnance, smluvní nebo třetí strany nebo naopak o změnu iniciovanou ze strany

organizace a jaké jsou pro to důvody;

b) stávající odpovědnosti zaměstnance, pracovníka smluvní nebo třetí strany;

c) hodnota aktiv ke kterým mají přístup.

Další informace

V některých případech mohou být přístupová práva sdílena mezi více uživateli, pracovníky

smluvních nebo třetích stran, například skupinové ID. V těchto případech by měli být uživatelé

opouštějící organizaci vyjmuti ze všech seznamů skupinových přístupových práv, a všem

ostatním zaměstnancům a pracovníkům smluvních a třetích stran by mělo být zakázáno sdílet

informace s odcházející osobou.

V případě, že je pracovní vztah ukončen ze strany organizace, existuje možnost, že se

nespokojený zaměstnanec, pracovník smluvní nebo třetí strany, pokusí záměrně poškodit

informace a nebo zařízení pro jejich zpracování. Osoba opouštějící organizaci na vlastní žádost

se zase může pokusit shromáždit interní informace pro budoucí použití.

9 Fyzická bezpečnost a bezpečnost prostředí

9.1 Zabezpečené oblasti

Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození

a zásahům do provozních budov a informací organizace.

Zařízení zpracovávající kritické nebo citlivé informace organizace, by měla být umístěny

v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími

bezpečnostními bariérami a vstupními kontrolami. Tato zařízení by měla být fyzicky chráněna

proti neautorizovanému přístupu, poškození a narušení.

Jejich ochrana by měla odpovídat zjištěným rizikům.

9.1.1 Fyzický bezpečnostní perimetr

Opatření

Při ochraně prostor ve kterých se nachází informace nebo zařízení pro zpracování informací by

měly být používány bezpečnostní perimetry (bariéry jako například zdi, vstupní turniket na karty

nebo recepce).

Doporučení k realizaci

Následující doporučení a opatření by měla být zvážena a podle vhodnosti implementována:

a) měl by být jasně definován bezpečnostní perimetr, umístění a úroveň každého

bezpečnostního perimetru by mělo záviset na bezpečnostních požadavcích na aktiva, uvnitř

perimetru, a na výsledku hodnocení rizik;

b) perimetr budovy nebo oblasti obsahující zařízení pro zpracování informací by měl být

v řádném stavu (tj. neměla by v perimetru nebo v oblasti existovat slabá, lehce

proniknutelná místa). Obvodové zdi objektu by měly mít pevnou konstrukci a vstupní dveře

by měly být chráněny před neautorizovaným vstupem zabezpečeny kontrolními

mechanizmy např. mřížemi, alarmy, zámky apod. Dveře a okna by měla být v případě

nepřítomnosti uzavřeny. U oken, zejména pokud jsou v přízemí, by mělo být zváženo

využití externích ochranných prvků;

c) pro kontrolu fyzického přístupu do objektu nebo budovy by mělo být využíváno recepce

či jiných prostředků. Vstup by měl být umožněn pouze oprávněným osobám;

d) fyzické bariéry by měly, tam kde je to použitelné, být postaveny tak, aby chránily před

neoprávněným vstupem a kontaminací;

e) požární dveře v bezpečnostním perimetru by měly být opatřeny elektronickým

zabezpečovacím systémem (EZS) a měly by být monitorovány. Požární dveře (stejně

tak i zdi) by měly splňovat požadovanou úroveň odolnosti, dle příslušných požadavků

místních, národních a mezinárodních norem;

f) vnější dveře a dosažitelná okna by měly být chráněny vhodným detekčním systémem,

který odpovídá místním, národním a mezinárodním normám a je pravidelně testován.

Opuštěné prostory by měly být chráněny nepřetržitě, pod ochranou by měly být i další

oblasti, například počítačové a komunikační místnosti;

g) zařízení pro zpracování informací spravované organizací by měla být fyzicky oddělena od

prostředků třetích stran.

Další informace

Fyzické ochrany může být dosaženo prostřednictvím řady fyzických bariér kolem prostor

organizace a kolem prostředků zpracovávajících informace. Znásobení počtu bariér dodává

dodatečnou ochranu, selhání jedné bariéry pak neznamená okamžitou kompromitaci bezpečnosti.

Zabezpečenou oblastí může být uzamykatelná kancelář nebo několik místností uvnitř fyzického

bezpečnostního perimetru. Uvnitř bezpečnostního perimetru mohou být mezi oblastmi s rozdílnou

úrovní bezpečnosti dodatečné bariéry a perimetry zajišťující kontrolu fyzického přístupu.

V budovách kde sídlí více organizací, by měla být zvážena dodatečná opatření pro

zabezpečení fyzického přístupu.

9.1.2 Kontroly vstupu osob

Opatření

Aby bylo zajištěno, že je přístup do zabezpečených oblastí povolen pouze oprávněným

osobám, měly by být tyto oblasti chráněny vhodným systémem kontrol vstupu.

Doporučení k realizaci

Měla by být zvážena následující opatření:

a) datum a čas příchodu a odchodu návštěvníků by měl být zaznamenán a návštěvníci by

měly být pod stálým dohledem. Návštěvníci by měli získávat oprávnění přístupu jen ze

specifického důvodu a měli by být seznámeni s předpisy o bezpečnostních požadavcích

v oblasti a o nouzových postupech;

b) přístup do oblastí kde se zpracovávají nebo jsou uloženy citlivé informace by měl být

kontrolován a umožněn pouze oprávněným osobám. Pro autorizaci a ověření všech

přístupů by mělo být použito autentizace, například kartou a PIN. Auditní záznam

o všech přístupech by měl být bezpečně uchováván;

c) po všech zaměstnancích, smluvních a třetích stranách a návštěvnících by mělo být

požadováno používat nějakou formu viditelné identifikace V případě, že narazí na

návštěvníka bez doprovodu a jakoukoliv jinou bez viditelného označení, měli by

okamžitě kontaktovat zaměstnance ostrahy;

d) přístup do zabezpečených oblastí nebo k zařízením zpracovávajícím citlivé informace

by měl být umožněn pomocnému servisnímu personálu třetích stran pouze tehdy, když

to je nutné. Takový přístup by měl být schválen a monitorován;

a) přístupová práva do zabezpečených oblastí by měla být pravidelně přezkoumávána

a aktualizována a v případě potřeby zrušena (viz 8.3.3).

9.1.3 Zabezpečení kanceláří, místností a zařízení

Opatření

Mělo by být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a zařízení.

Doporučení k realizaci

Pro zabezpečení kanceláří, místností a zařízení by měla být zvážena následující doporučení:

a) v úvahu by měly být vzaty odpovídající předpisy a normy pro bezpečnost a ochranu zdraví při

práci;

b) důležitá zařízení by měla být situována tak, aby nebyla veřejně přístupná;

c) tam kde je to použitelné, by měly budovy být nenápadné, aby co nejméně naznačovaly

jejich účel, bez nápadného vnějšího nebo vnitřního značení indikujícího přítomnost

prostředků pro zpracování informací;

d) adresáře a interní telefonní seznamy, na jejichž základě by mohlo být zjištěno umístění

prostředků pro zpracování citlivých informací, by neměly být přímo přístupné veřejnosti.

9.1.4 Ochrana před hrozbami vnějšího prostředí

Opatření

Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními

nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami by měly být navrženy

a aplikovány prvky fyzické ochrany.

Doporučení k realizaci

V úvahu by měly být vzaty i další bezpečnostní hrozby z okolí, například požár v sousední budově,

vytopení vodou z jiné oblasti, výbuch na ulici.

Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními

nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami by měla být zvážena

následující doporučení:

a) nebezpečné a hořlavé materiály by měly být uchovávány v dostatečné vzdálenosti od

zabezpečených oblastí. Když to není nezbytné, v těchto oblastech by neměly být

přechovávány velké zásoby provozního materiálů, například kancelářských potřeb;

b) záložní zařízení a zálohovací média by měla být umístěna v takové bezpečné

vzdálenosti, aby se zabránilo jejich případnému zničení v případě havárie v hlavních

prostorách;

c) mělo by být zajištěno a vhodně umístěno hasící zařízení.

9.1.5 Práce v zabezpečených oblastech

Opatření

Pro práci v zabezpečených oblastech by měly být navrženy a aplikovány prvky fyzické ochrany.

Doporučení k realizaci

V úvahu by měla být vzata následující opatření.

a) personál by měl mít znalosti o existenci zabezpečené oblasti a o činnostech v ní

probíhajících na základě své oprávněné potřeby;

b) v zabezpečených oblastech by neměla být povolena práce bez dohledu, jak z důvodů

bezpečnosti práce, tak proto, aby se předešlo možnosti škodlivých aktivit;

c) opuštěné zabezpečené oblasti by měly být fyzicky uzamčeny a pravidelně kontrolovány;

d) fotografické, zvukové, obrazové nebo jiné záznamové prostředky by neměly být

používány bez schválení.

Opatření pro práci v zabezpečených oblastech zahrnují kontroly zaměstnanců, smluvních

a třetích stran stejně tak i kontrolu veškerých jejich dalších aktivit.

9.1.6 Veřejný přístup, prostory pro nakládku a vykládku

Opatření

Prostory pro nakládku a vykládku a další místa, kudy se mohou neoprávněné osoby dostat do prostor

organizace, by měla být kontrolována a pokud možno by měla být izolována od zařízení pro zpracování

informací tak, aby se zabránilo neoprávněnému přístupu.

Doporučení k realizaci

V úvahu by měla být vzata následující opatření:

a) přístup do prostor pro nakládku a vykládku by měl být umožněn pouze osobám již

známým a oprávněnému personálu;

b) prostory pro nakládku a vykládku by měly být navrženy tak, aby materiál mohl být

vyložen, aniž by personál dodavatele měl přístup do jiných částí budovy;

c) v případě otevřených vnitřních dveří by měly být vnější dveře skladovacího prostoru

zabezpečeny;

d) došlý materiál by měl být prozkoumán vzhledem k možnému ohrožení (viz 9.2.1 d))

předtím, než bude přemístěn ze skladovacího prostoru na místo použití;

e) došlý materiál by měl být, v souladu s postupy klasifikace a řízení aktiv, při převzetí

zaevidován (viz 5.1);

f) tam kde je to možné by příchozí a odcházející zásilky měly být fyzicky odděleny.

9.2 Bezpečnost zařízení

Cíl: Předcházet ztrátě, poškození nebo kompromitaci aktiv a přerušení činnosti organizace.

Zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám a působení vnějších vlivů.

Ochrana zařízení (včetně těch, která se používají mimo hlavní lokalitu) je nezbytná jak pro snížení

rizika neautorizovaného přístupu k datům, tak k zajištění ochrany proti ztrátě nebo poškození.

Pozornost by měla být věnována také jejich umístění a likvidaci. Na ochranu proti možnému

ohrožení nebo neautorizovanému přístupu a na ochranu podpůrných prostředků, jako například

dodávky elektrické energie a struktury kabelových rozvodů, mohou být požadována zvláštní

opatření.

9.2.1 Umístění zařízení a jeho ochrana

Opatření

Zařízení by měla být umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná

prostředím a aby se omezily příležitosti pro neoprávněný přístup.

Doporučení k realizaci

V úvahu by měla být vzata následující opatření:

a) kde je to možné, zařízení by měla být umístěna tak, aby byl minimalizován nadbytečný

přístup do pracovních prostor;

b) zařízení pro zpracování a ukládání citlivých dat by měla být umístěna tak, aby bylo

sníženo riziko možného odezírání informací;

c) aktiva, která vyžadují zvláštní ochranu, by měla být izolována, aby se snížil rozsah

požadované celkové ochrany;

d) pro minimalizaci rizik potenciálních hrozeb (např. krádež, oheň, výbušniny, kouř, voda,

vibrace, prach, působení chemických látek, rušení elektrického napájení,

elektromagnetické vyzařování a vandalismus) by měla být přijata odpovídající opatření;

e) organizace by měla zvážit svá pravidla týkající se jídla, pití a kouření v blízkosti zařízení

zpracovávajících informace;

f) působení vnějšího prostředí (jako např. teplota a vlhkost), které by mohlo mít vliv na

činnost zařízení pro zpracování informací, by mělo být monitorováno;

g) ve všech budovách by měla být nasazena ochrana proti blesku a ochrannými filtry proti

blesku by měly být osazeny všechny vnější komunikační linky a elektrické vedení;

h) pro zařízení ve výrobním prostředí by mělo být zváženo používání zvláštních ochran,

jako jsou například membránové klávesnice;

i) zařízení zpracovávající citlivé informace by mělo být chráněno, aby se zabránilo úniku

citlivých informací prostřednictvím kompromitujícího (parazitního) elektromagnetického

vyzařování.

9.2.2 Podpůrná zařízení

Opatření

Zařízení by mělo být chráněno před selháním napájení a před dalšími výpadky způsobenými

selháním podpůrných služeb.

Doporučení k realizaci

Veškeré podpůrné služby, jako elektřina, dodávky vody, kanalizace, topení/ventilace

a klimatizace by měly být přiměřené systému, který podporují. Pro snížení rizika špatného

fungování nebo selhání by měly být podpůrné služby pravidelně kontrolovány a vhodným

způsobem testovány. Mělo by být zajištěno vhodné elektrické napájení odpovídající

specifikacím výrobce.

Pro elektrická zařízení zajišťující kritické operace organizace je doporučeno použití záložních

zdrojů UPS13, umožňující korektní ukončení nebo pokračování v práci. Do plánů obnovy

funkčnosti by měly být zapracovány činnosti prováděné v případě selhání UPS. UPS by měla být

pravidelně kontrolována zda má odpovídající kapacitu a testována v souladu s doporučeními

výrobce. Při nutnosti zpracovávání informací v případě déletrvajících výpadků proudu by mělo

být zváženo použití záložního generátoru. Pro zajištění déletrvající činnosti generátoru by mělo

být k dispozici odpovídající množství paliva. UPS a generátor by měly být pravidelně

kontrolovány, aby se zajistilo, že mají dostatečnou kapacitu a měly by být také pravidelně

testovány podle návodu výrobce. Mělo by být zváženo použití více zdrojů dodávek energie

a nebo, v případě rozsáhlých lokalit, oddělené elektrické rozvodny.

V místnostech se zařízením v blízkosti nouzových východů, by měly být instalovány bezpečnostní

(nouzové) vypínače pro rychlé vypnutí napájení v případě nebezpečí. Pro případ výpadku

hlavního napájení by mělo být zajištěno nouzové osvětlení.

Dodávky vody by měly být stabilní a dostatečné pro zajištění klimatizace, pro zvlhčovače

vzduchu a pro automatické hasící systémy (pokud jsou používány). Selhání dodávek vody

může zapříčinit poškození zařízení nebo znemožní spuštění automatických hasících systémů .

Měla by být zvážena možnost použití poplašných zařízení detekujících selhání podpůrných

služeb.

Telekomunikační zařízení by mělo být k poskytovateli služby připojeno nejméně dvěma různými

cestami, aby se zabránilo selhání hlasových služeb v případě, že dojde k výpadku na jedné

z cest. Hlasové služby by měly odpovídat legislativním požadavkům krizové komunikace.

Další informace

Mezi možnosti jak dosáhnout kontinuity napájení patří znásobení přívodů dodávek energie, aby

zařízení nebylo závislé na jednom zdroji.

9.2.3 Bezpečnost kabelových rozvodů

Opatření

Silové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat a podporu

informačních služeb, by měly být chráněny před poškozením či odposlechem.

Doporučení k realizaci

Měla by být zvážena následující doporučení:

a) napájecí a telekomunikační linky připojené k prostředkům IT by měly tam, kde je to

možné, vést pod zemí nebo by měly být chráněny jiným vhodným způsobem;

b) síťové kabelové rozvody by měly být chráněny před neoprávněným odposlechem nebo

poškozením, například vedením v kolektoru anebo tím, že nebudou vedeny přes

veřejné prostory;

c) napájecí kabely by měly být odděleny od komunikačních rozvodů, aby se zabránilo

interferenci;

d) kabely a zařízení by měly být zřetelně označeny, aby se zabránilo možnosti záměny

v případech provádění oprav poškozených kabelů;

e) pro snížení pravděpodobnosti vzniku chyb by měly být udržován seznam propojení;

f) u citlivých a kritických systémů by měla být další opatření:

1. instalace pancéřového potrubí a zamčených místností nebo skříní v kontrolních

a ukončovacích místech;

2. použití alternativního směrování nebo alternativních přenosových cest

poskytujících přiměřenou bezpečnost;

3. použití optických kabelů;

4. použití stínění kabelů na ochranu před elektromagnetickým vyzařováním;

5. zavedení technických kontrol a fyzických přezkoumání s následným odpojením

neschválených zařízení připojených do rozvodů;

6. řízení přístupu k propojovacím panelům a k rozvodnám kabelů.

9.2.4 Údržba zařízení

Opatření

Zařízení by mělo být správně udržováno pro zajištění jeho stálé dostupnosti a integrity.

Doporučení k realizaci

V úvahu by měla být vzata následující opatření:

a) zařízení by měla být udržována a provozována v souladu s doporučeními dodavatele;

b) opravy a servis zařízení by měl provádět pouze oprávněný personál;

c) o všech závadách nebo podezřelých chybách by měly být pořízeny záznamy, stejně

tak o preventivních prohlídkách a opravách;

d) jak v případech údržby zařízení v rámci objektu, tak při jeho odeslání mimo objekt by

měla být dodržena odpovídající opatření. V případech, kdy údržbu zařízení neprovádí

prověřený personál, by z něj měly být odstraněny veškeré citlivé informace;

e) měly by být splněny všechny pojistné podmínky.

9.2.5 Bezpečnost zařízení mimo prostory organizace

Opatření

Zařízení používané mimo prostory organizace by mělo být zabezpečeno s přihlédnutím k různým

rizikům vyplývajících z jejich použití mimo organizaci.

Doporučení k realizaci

Použití zařízení pro zpracování informací, bez ohledu na jejich vlastníka, mimo budovy

organizace by mělo podléhat schválení vedením organizace.

Při práci mimo prostory organizace by měla být zvážena následující doporučení:

a) při cestách mimo organizaci by zařízení a média ve veřejných prostorách neměla být

ponechána bez dozoru. Přenosný počítač by měl být přepravován jako příruční

zavazadlo a v rámci možností ukrýván;

b) měly by se dodržovat pokyny výrobce týkající se ochrany zařízení, například zajištění

ochrany proti působení silného magnetického pole;

c) pro práci doma by měla být určena vhodná opatření na základě hodnocení rizik, například

uzamykatelné skříňky, pravidlo prázdného stolu, kontrola přístupu k počítači

a zabezpečení spojení s kanceláří (viz také ISO/IEC 18028 Network Security);

d) zařízení používané mimo prostory organizace by mělo být pojištěno.

Bezpečnostní rizika, jako například poškození, krádež a odposlech, se mohou v různých

lokalitách značně lišit a to by mělo být zváženo při výběru těch nejvhodnějších bezpečnostních

opatření.

Další informace

Zařízení pro zpracování informací zahrnují všechny druhy osobních počítačů, organizérů,

mobilních telefonů, čipových karet, dokumentů a ostatních zařízení, používaných pro práci

doma nebo vynášených mimo normální pracovní umístění.

Více informací o dalších hlediscích ochrany přenosných zařízení lze najít v 11.7.1.

9.2.6 Bezpečná likvidace nebo opakované použití zařízení

Opatření

Všechna zařízení obsahující paměťová média by měla být kontrolována tak, aby bylo možné

zajistit, že před jejich likvidací nebo opakovaným použitím budou citlivá data a licencované

programové vybavení odstraněna nebo přepsána.

Doporučení k realizaci

U zařízení obsahujících citlivé informace by mělo být preferováno fyzické zničení nebo

bezpečné smazání/přepsání dat za použití postupů znemožňujících jejich obnovu a to ještě

před použitím běžné funkce mazání nebo formátování.

Další informace

Rozhodování o zničení, opravení nebo vyřazení poškozených zařízení obsahujících citlivá data by

mělo být založeno na hodnocení rizik.

Informace organizace mohou být prozrazeny při nedbalé likvidaci nebo opakovaném použití

zařízení (viz také 10.7.2).

9.2.7 Přemístění majetku

Opatření

Zařízení, informace nebo programové vybavení by bez schválení nemělo být přemisťováno.

Doporučení k realizaci

Měla by být zvážena následující doporučení:

a) zařízení, informace nebo programové vybavení by neměly být přemisťovány bez

předchozího schválení;

b) měli by být určeni zaměstnanci, případně pracovníci smluvních a třetích stran, kteří

mohou udílet povolení k přemístění aktiv organizace;

c) přemístění vybavení by mělo být časově omezeno a jeho včasné navrácení

kontrolováno;

d) tam kde je to požadováno měly by být pořízeny záznamy o přemístění vybavení a jeho

navrácení.

Další informace

Pro zjištění neschváleného přenášení majetku, nepovoleného vnášení nahrávacích zařízení,

zbraní, atd., by měly být prováděny namátkové kontroly. Namátkové kontroly by měly být

prováděny v souladu s odpovídajícími zákony a předpisy. Zaměstnanci by si měli být vědomi,

že takové kontroly probíhají.

10 Řízení komunikací a řízení provozu

10.1 Provozní postupy a odpovědnosti

Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.

Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících

informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů.

V případě potřeby by měl být uplatněn princip oddělení funkcí, aby se snížilo riziko úmyslného

zneužití systému nebo zneužití z nedbalosti.

10.1.1 Dokumentace provozních postupů

Opatření

Provozní postupy by měly být zdokumentovány a udržovány a měly by být dostupné všem

uživatelům dle potřeby.

Doporučení k realizaci

Měly by být zdokumentovány postupy správy pro činnosti spojené s prostředky pro zpracování

informací a komunikaci, jako například spuštění a zastavení systému, zálohování dat, údržba

zařízení, zacházení s médii, správa počítačové místnosti, zacházení s korespondencí

a bezpečnost práce.

Provozní postupy by měly obsahovat návod pro detailní výkon každé činnosti, včetně:

a) zpracování a zacházení s informacemi;

b) zálohování dat (viz 10.5);

c) časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas

začátku první a dokončení poslední úlohy;

d) popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly

vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů (viz

11.5.4);

e) spojení na kontaktní osoby v případě neočekávaných systémových nebo technických

potíží;

f) instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním

materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými

výstupy z aplikací v případě jejich selhání (viz 10.7.2 a 10.7.3);

g) postupy při restartu systému a obnovovací postupy v případě selhání systému;

h) nakládání s auditními a systémovými záznamy (viz 10.10).

Provozní dokumentace a zdokumentované postupy systémových činností by měly být brány jako

oficiální dokumentace a jejich změny by měly být odsouhlaseny vedoucími zaměstnanci. Pokud je

to technicky proveditelné měla by být správa jednotlivých informačních systémů konzistentní

(použití stejných postupů, nástrojů a služeb).

10.1.2 Řízení změn

Opatření

Změny ve vybavení a zařízení pro zpracování informací by měly být řízeny.

Doporučeni k realizaci

Provozní systémy a aplikační programové vybavení by měly podléhat přísnému řízení změn.

V úvahu by měla být zejména vzata následující opatření:

a) identifikace a zaznamenání důležitých změn;

b) plánování a testování změn;

c) zhodnocení potenciálních dopadů (včetně dopadů na bezpečnost) takových změn;

d) formální schvalovací postup pro navrhované změny;

e) seznámení všech osob, kterých se to dotýká, s detaily změn;

f) postupy určující odpovědnosti za přerušení změnového zásahu a obnovení provozu

v případě jejich neúspěchu.

Pro zajištění dostatečné úrovně řízení změn zařízení, programového vybavení nebo postupů, by

měly být stanoveny formální řídící postupy a odpovědnosti. O změnách programového vybavení

by měly být uchovávány veškeré relevantní informace, například v podobě auditních záznamů.

Další informace

Nedostatečná kontrola změn v prostředcích pro zpracování informací a systémech je běžnou

příčinou bezpečnostních a systémových chyb. Změny provozního prostředí, zejména při přechodu

z vývojového prostředí do ostrého provozu, mohou mít dopad na spolehlivost aplikací (viz také

12.5.1).

Změny provozních systémů by měly být prováděny pouze v nutných případech, například dojde-li

k nárůstu rizika. Instalace nejnovějších verzí provozních systémů a aplikací by měla být předem

dobře zvážena. Může zavést nové zranitelnosti a způsobit větší nestabilitu systému než předchozí

verze, často je také spojena s dodatečným zaškolením personálu, s licenčními poplatky, poplatky za

podporu a údržbu, nákupem nového hardwaru a dodatečnou administrací.

10.1.3 Oddělení povinností

Opatření

Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace by mělo být

zváženo oddělení jednotlivých povinností a odpovědností.

Doporučení k realizaci

Princip oddělení povinností minimalizuje riziko úmyslného nebo nedbalostního zneužití

systému. Pozornost by měla být věnována oblastem s nedělenou odpovědností jedince, který

by mohl mít přístup k aktivům, mohl by je modifikovat nebo používat bez řádného oprávnění

aniž by to bylo zjištěno. Vyvolání události by mělo být odděleno od jejího schválení. Při návrhu

opatření by měla být zvážena možnost spolčení angažovaných jedinců.

V malých organizacích může být tato metoda řízení obtížně použitelná, ale tento princip by měl

být aplikován tak, jak to je jen možné. Všude, kde je oddělení složité, by měla být zvážena jiná

opatření, jako monitorování činností, auditní záznamy a dohled nadřízených zaměstnanců. Je

důležité, aby bezpečnostní audit zůstal nezávislý.

10.1.4 Oddělení vývoje, testování a provozu

Opatření

Pro snížení rizika neoprávněného přístupu k provoznímu systému a nebo jeho změn by mělo být

zváženo oddělení procesů vývoje, testování a provozu.

Doporučení k realizaci

Pro prevenci provozních problémů by měla být zvážena nezbytná úroveň oddělení provozního,

testovacího a vývojového prostředí a zavedena vhodná opatření.

V úvahu by měla být vzata následující opatření:

a) měla by být stanovena a dokumentována pravidla pro převod programů z vývojového

do provozního prostředí;

b) vývojové a provozní programové vybavení by mělo být provozováno na různých

počítačích nebo v různých doménách či adresářích;

c) překladače, editory a jiné systémové utility by neměly být dosažitelné z provozních

systémů, pokud to není nutné;

d) testovací prostředí by mělo co nejvíce simulovat provozní prostředí;

e) pro provozní a testovací systémy by měly být používány různé uživatelské profily.

Nabídky by měly zobrazovat vhodné identifikační zprávy, aby se snížilo riziko chyby;

d) citlivá data by neměla být kopírována do testovacích systémů (viz 12.4.2).

Další informace

Vývoj a testování mohou způsobit vážné problémy, například nechtěnou modifikaci souborů,

prostředí nebo způsobení systémové chyby. Je proto potřebné mít známé a stabilní prostředí,

které zaručí smysluplnost testování a rozpozná nevhodný přístup vývojářů.

Tam, kde má vývojový a testovací personál přístup k provoznímu systému, může být schopen

vnést do něj neschválený a netestovaný kód nebo změnit provozní data. V některých

systémech by tato možnost mohla být zneužita k podvodu nebo k zavedení netestovaného

nebo škodlivého kódu. Takový kód může způsobit vážné provozní problémy.

Vývojáři a personál provádějící testování mohou také představovat hrozbu pro důvěrnost

provozních dat. Vývojové a testovací práce, v případě že sdílejí stejné výpočetní prostředí,

mohou umožnit i nechtěné změny programů a informací. Oddělení vývojových, testovacích

a provozních zařízení je proto žádoucí pro snížení rizika nechtěných změn nebo neautorizovaného

přístupu k provozním programům a obchodním datům (viz také 12.4.2).

10.2 Řízení dodávek třetích stran

Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve

shodě s uzavřenými dohodami.

Pro zajištění toho, že služby dodávané třetími stranami jsou v souladu

s dohodnutými požadavky, by organizace měla kontrolovat realizaci dohod, monitorovat míru

souladu jejich dodržování a v případě potřeby zajistit nápravu.

10.2.1 Dodávky služeb

Opatření

Zajistit, aby úroveň služeb týkajících se bezpečnosti informací poskytovaných třetí stranou byla

v souladu se smluvními podmínkami.

Doporučení k realizaci

Součástí služeb poskytovaných třetí stranou by měla být realizace dohodnutých bezpečnostní

opatření, vymezení služeb a jejich správy. V případech, kdy jsou služby zajištěny formou

outsourcingu, by organizace měla naplánovat nezbytný přenos (informací, zařízení pro

zpracování informací a čehokoliv co vyžaduje přesun), a zajistit bezpečnost po celou dobu

přenosu.

Organizace by měla zajistit, aby třetí strana měla dostatečné kapacity a měla navržené

a otestované plány pro zajištění kontinuity, a dohodnuté úrovně, poskytovaných služeb

v případě jejich selhání nebo v případě krizové události (viz 14.1).

10.2.2 Monitorování a přezkoumávání služeb třetích stran

Opatření

Služby, zprávy a záznamy poskytované třetí stranou by měly být monitorovány a pravidelně

přezkoumávány, audity by měly být opakovány v pravidelných intervalech.

Doporučení k realizaci

Monitorování a přezkoumávání služeb poskytovaných třetími stranami, by mělo zajistit, že je

dodržována bezpečnost informací a dohodnuté podmínky, a že vzniklé bezpečnostní incidenty

a nastalé problémy jsou řešeny odpovídajícím způsobem. Toto by také mělo zahrnovat kontrolu

dodržování smluvních podmínek a ostatních činností ve vazbě na smluvní vztah:

a) monitorování úrovně poskytovaných služeb na dohodnuté úrovni;

b) přezkoumávání hlášení o službách poskytovaných třetí stranou a uspořádání

pravidelných informativních schůzek;

c) poskytnutí informací o bezpečnostních incidentech a přezkoumání poskytnutých

informací jak třetí stranou, tak organizací, podle toho jak je stanoveno v dohodách,

metodických pokynech a směrnicích;

d) přezkoumání auditních záznamů týkajících přístupů k systému a činností prováděných

v systému, záznamů o bezpečnostních událostech, provozních problémech, selháních,

chybách a přerušeních poskytovaných služeb;

e) řešení a zvládání nastalých problémů.

Organizace by měla určit osobu nebo ustavit servisní tým pracovníků odpovědných za

nastavení a udržování vztahů se třetí stranou. Dále by měla organizace zajistit, že třetí strana

určí odpovědnosti pro kontrolu souladu a prosazování požadavků stanovených v dohodách.

K dispozici by měl být personál s dostatečnými technickými dovednostmi a zdroje pro

monitorování požadavků stanovených v dohodách (viz 6.2.3), zejména pak dodržování

požadavků na bezpečnost informací. V případě, že je zjištěn jakýkoliv nesoulad

v poskytovaných službách, by měla být sjednána náprava.

Organizace by měla zajistit dostatečnou kontrolu a transparentnost všech aspektů bezpečnosti

týkajících se citlivých a kritických informací nebo zařízení pro zpracování informací, ke kterým je

přistupováno, jsou zpracovávány a nebo jsou spravovány třetí stranou. Organizace by měla

zajistit dohled nad činnostmi souvisejícími s bezpečností, jako je např. řízení změn, identifikace

zranitelností, proces zaznamenávání a reakce na bezpečností incidenty.

Další informace

V případě, že jsou služby zajištěny formou outsourcingu nese organizace konečnou

odpovědnost za zpracovávané informace.

10.2.3 Řízení změn služeb poskytovaných třetími stranami

Opatření

Změny v poskytování služeb, včetně udržování a zlepšování existujících bezpečnostních politik,

směrnic a bezpečnostních opatření, by měly být řízeny s ohledem na kritičnost systémů

a procesů organizace, které jsou součástí opakovaného hodnocení rizik.

Doporučení k realizaci

Proces řízení změn služeb poskytovaných třetí stranou by měl reflektovat:

a) nutné změny provedené organizací za účelem:

1. vylepšení aktuálně nabízených služeb;

2. vývoje nových aplikací a systémů;

3. změny a aktualizace stávajících politik a směrnic;

4. realizace nových opatření pro zvládání bezpečnostní incidentů a opatření na

zvýšení bezpečnosti;

b) nutné změny služeb poskytovaných třetích stranou za účelem:

1. změny a vylepšení sítí;

2. použití nových technologií;

3. zavedení nových produktů nebo nových verzí/aktualizací programů;

4. změny fyzického umístění servisních zařízení;

5. změny dodavatelů.

10.3 Plánování a přejímání informačních systémů

Cíl: Minimalizovat riziko selhání informačních systémů.

Pro zajištění odpovídající kapacity a zdrojů a výkonu informačního systému je nutné provést

odpovídající přípravu a plánování.

Aby se snížilo riziko přetížení systému, měl by být vytvářen odhad budoucích kapacitních

požadavků.

Před schválením nových systémů a před jejich uvedením do provozu by k nim měly být

stanoveny, písemně zdokumentovány a otestovány provozní požadavky.

10.3.1 Řízení kapacit

Opatření

Pro zajištění požadovaného výkonu informačního systému, s ohledem na budoucí kapacitní

požadavky, by mělo být monitorováno, nastaveno a projektováno využití zdrojů.

Doporučení k realizaci

Pro každou stávající a plánovanou činnost by měly být identifikovány kapacitní požadavky. Pro

zajištění a tam, kde je to nezbytné pro zlepšení dostupnosti a efektivity systému, by mělo být

aplikováno monitorování a zlepšování výkonu systému. Měla by být zavedena opatření

umožňující včasnou detekci vzniklých problémů. Součástí provozních a systémových

doporučení by měl být i požadavek na plánování budoucí spotřeby kapacit na současný

a uvažovaný směr vývoje ve zpracování informací v organizaci.

Zvláštní pozornost by měla být věnována zdrojům, které vyžadují delší dobu pro realizaci

dodávky nebo obnášejí vysoké náklady. Vedoucí pracovníci by měli sledovat trendy jejich

použití, zejména pak v relaci k aplikacím organizace a nástrojům pro správu systému.

Tyto informace by měly být použity pro identifikaci a prevenci kritických míst, které by mohly

způsobovat ohrožení bezpečnosti nebo uživatelských služeb, a pro naplánování vhodných

opatření k nápravě.

10.3.2 Přejímání systémů

Opatření

Měla by být určena kritéria pro přejímání nových informačních systémů, jejich aktualizaci

a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před

zavedením do ostrého provozu.

Doporučení k realizaci

Vedoucí zaměstnanci by měli zajistit, aby požadavky a kritéria pro přejímání nových

počítačových systémů byly jednoznačně definovány, schváleny, zdokumentovány a testovány.

Přechod na nové systémy, instalace aktualizací a zavádění nových verzí by měl být formálně

schválen. Předtím než je provedeno formální schválení mělo by zváženo následující:

a) požadavky na výpočetní a paměťový výkon;

b) postupy pro zotavení se z chyb a restartů systému, a havarijní plány;

c) příprava a testování rutinních provozních postupů, které by představovaly normu;

d) schválená sada nasazených bezpečnostních opatření;

e) účinné manuální operace;

f) plán kontinuity činností organizace (viz 14.1);

g) potvrzení, že instalace nového systému nebude mít nepříznivý vliv na existující

systémy, zejména v době špičky zatížení, jako je například konec měsíce;

h) potvrzení, že byly zváženy dopady nového systému na celkovou bezpečnost

organizace;

i) školení v obsluze a použití nového systému;

j) snadnost použití může pozitivně ovlivnit výkon uživatelů a zabránit zbytečným chybám.

Na všech vývojových stupních nových důležitých programů rozvoje by měl být konzultován

provozní personál a uživatelé, aby byla zajištěna provozní účinnost navrhovaného systému,

a také by se měly provést příslušné testy, aby se potvrdilo, že systém plně vyhovuje všem

přejímacím kritériím.

Další informace

Součástí přejímání nových systémů může také být proces formální certifikace a akreditace

ověřující naplnění bezpečnostních požadavků.

10.4 Ochrana proti škodlivým programům a mobilním kódům

Cíl: Chránit integritu programů a dat.

Pro prevenci a detekování škodlivých programů a nepovolených mobilních kódů jsou

vyžadována patřičná opatření.

Programy a zařízení pro zpracování informací jsou zranitelné škodlivými programy, jako jsou například

počítačové viry, síťoví červi, trojští koně a logické bomby. Uživatelé by měli být upozorňováni na

nebezpečí neschválených a škodlivých programů. Vedoucí zaměstnanci by měli tam, kde je to

vhodné, aplikovat zvláštní opatření pro jejich předcházení a detekování a zavést postupy

odstranění škodlivých programů a kontroly mobilních kódů.

10.4.1 Opatření na ochranu proti škodlivým programům

Opatření

Na ochranu proti škodlivým programům a nepovoleným mobilním kódům by měla být

implementována opatření na jejich detekci, prevenci a nápravu a zvyšováno odpovídající

bezpečnostní povědomí uživatelů.

Doporučení k realizaci

Ochrana proti škodlivým programům by měla být založena na detekci škodlivých programů,

opravných programů, na bezpečnostním povědomí, dále na vhodném přístupu k systému a na

opatřeních zajišťujících řízení změn.

V úvahu by měla být vzata následující opatření:

a) ustavení formálních pravidel požadujících dodržování licenčních podmínek a zákaz

používání neschváleného programového vybavení (viz 15.1.2);

b) ustavení formálních pravidel zajišťujících ochranu proti rizikům vyplývajícím ze

získávání programů z externích sítí nebo z jiných médií a určujících, jaká ochranná

opatření by měla být přijata;

c) zavedení pravidelné kontroly programů a datového obsahu systémů kritických pro

vnitropodnikové procesy. Měla by být formálně prošetřována přítomnost libovolných

neschválených souborů nebo neodsouhlasených úprav ;

d) instalace a pravidelná aktualizace antivirových detekčních a opravných programů pro

kontrolu počítačů a médií, buď jako preventivní prostředek využívaný ad-hoc způsobem,

nebo pravidelně. Prováděné kontroly by měly zahrnovat:

1. ověření všech souborů na elektronických nebo optických médiích nejistého

a neověřeného původu nebo souborů získaných prostřednictvím

neautorizovaných sítí před jejich použitím na přítomnost škodlivých programů;

2. testování všech příloh elektronické pošty a stažených dat na přítomnost

škodlivých programů před jejich použitím. Tato kontrola může být prováděna na

různých místech, například na poštovním serveru, na pracovních stanicích nebo

při vstupu do sítě organizace;

3. kontrola obsahu webových stránek na přítomnost škodlivého kódu;

e) určení řídících postupů a povinnosti při práci s antivirovou ochranou v systémech,

školení uživatelů, hlášení a nápravy virových útoků (viz 13.1 a 13.2);

f) příprava odpovídajících plánů kontinuity činností organizace pro zotavení se z virových

útoků, včetně kompletního zálohování a obnovy potřebných dat a programů (viz

kapitola 14);

g) zavedení pravidelného sběru nových informací (odběr časopisů, hledání na internetu) o

nových škodlivých kódech;

h) zavedení postupů zajišťujících platnost informací o virech a správnost i informační

hodnotu varovných signálů. Vedoucí zaměstnanci by měli zajistit, aby pro odlišení reálných

virů od falešných byly použity kvalifikované zdroje informací, tj. časopisy s dobrým renomé,

spolehlivé internetové zdroje a dodavatelé antivirových programů. Zaměstnanci by měli

znát problém falešných virů, měli by vědět, co dělat, když zprávu o takovém viru obdrží

nebo objeví.

Další informace

Pro zvýšení účinnosti ochrany před škodlivými programy je vhodné použít více různých

antivirových programů.

Pro zajištění odpovídající ochrany lze antivirové programy nastavit tak, aby automaticky

probíhala aktualizace definičních souborů a skenovacího enginu. Antivirové programy by měly

být nainstalovány na každé pracovní stanici.

Pozornost by měla být zvýšena vždy když je prováděna údržba systému nebo řešena krizová

událost, v rámci kterých mohou být obejita běžná ochranná opatření.

10.4.2 Opatření na ochranu proti mobilním kódům

Opatření

Použití povolených mobilních kódů by mělo být nastaveno v souladu s bezpečnostní politikou,

mělo by být zabráněno spuštění nepovolených mobilních kódů.

Doporučení k realizaci

Měla by být zvážena následující opatření na ochranu proti neoprávněnému spuštění mobilních

kódů:

a) spouštění mobilních kódů v logicky odděleném prostředí;

b) zamezení spouštění všech mobilních kódů;

c) zamezení příjmu mobilních kódů;

d) zapnutí dostupných technických opatřeních na jednotlivých systémech zajišťujících

správu mobilních kódů;

e) kontrola všech prostředků využívajících mobilní kódy;

f) použití kryptografických opatření pro ověření původu mobilního kódu.

Další informace

Mobilní kód je programový kód, který se přenáší z jednoho počítače na druhý a poté se

automaticky spustí a vykoná specifickou funkci za minimální nebo žádné součinnosti

s uživatelem. Mobilní kódy jsou součástí řady middleware služeb (např. zajišťujících propojení

jednotlivých aplikací).

Kromě ověření toho, že neobsahuje škodlivý kód, je kontrola mobilních kódů důležitá z důvodu

vyhnutí se neoprávněnému použití nebo narušení systému, sítě nebo aplikačních zdrojů a jiným

narušením bezpečnosti.

10.5 Zálohování

Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.

Měly by být vytvořeny rutinní postupy realizující schválenou politiku zálohování a strategii (viz

14.1) pro vytváření záložních kopií dat a testování jejich včasného obnovení.

10.5.1 Zálohování informací

Opatření

Záložní kopie důležitých informací a programového vybavení organizace by měly být

pořizovány a testovány v pravidelných intervalech.

Doporučení k realizaci

Pro zajištění obnovy všech důležitých informací a programového vybavení organizace v případě

katastrofy nebo selhání médií (nosičů dat) by mělo být zajištěno adekvátní zálohovací zařízení.

V úvahu by měla být vzata následující opatření:

a) mělo by být stanoveno minimální nutné množství vytvářených záloh;

b) měly by být vytvořeny přesné a úplné záznamy o záložních kopiích s popsanými

postupy obnovy;

c) rozsah vytvářených záloh (např. kompletní nebo přírůstkové zálohy) a frekvence s jakou

jsou vytvářeny by měla odpovídat požadavkům organizace na dostupnost informací,

požadavkům na bezpečnost informací a jejich kritičnosti z hlediska kontinuity činností

organizace;

d) zálohy by měly být uloženy na bezpečném místě, v dostatečné vzdálenosti od sídla

organizace, aby v případě havárie nebyly poškozeny nebo zničeny;

e) záložním informacím by měla být věnována přiměřená úroveň fyzické a vnější ochrany (viz

kapitola 9), odpovídající normám v hlavním sídle. Opatření používaná pro média

v hlavním sídle by měla být rozšířena i na místo s uloženými záložními kopiemi;

f) záložní média by měla být pravidelně testována, aby bylo zajištěno, že se na ně lze

v nutném případě spolehnout;

g) obnovovací postupy by měly být pravidelně prověřovány a testovány, aby se potvrdilo,

že jsou účinné a že mohou být provedeny v čase vymezeném provozním obnovovacím

postupům;

h) v případech, kdy je požadováno zajištění důvěrnosti zálohovaných informací, by mělo

být použito šifrování.

Postupy zálohování jednotlivých systémů by měly být pravidelně testovány, aby vyhovovaly

požadavkům plánů kontinuity činností organizace (viz kapitola 11). U kritických systémů by

zálohování mělo zahrnovat veškeré systémové informace, aplikace a data potřebná pro

kompletní obnovu systému v případě havárie.

Měla by být určena doba archivace důležitých informací organizace a také jakékoliv požadavky

na archivní kopie, které by měly být trvale uchovávány (viz 15.1.3).

Další informace

Celý proces vytváření záloh může být zautomatizován, takováto řešení však musí být před

spuštěním důkladně otestována. Po uvedení do provozu musí být sytém automatického

vytváření záloh pravidelně testován.

10.6 Správa sítě

Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.

Pozornost vyžaduje správa bezpečnosti počítačových sítí, které mohou přesahovat hranice

organizace.

Pro zabezpečení citlivých dat přenášených veřejnými sítěmi mohou být požadována dodatečná

opatření.

10.6.1 Síťová opatření

Opatření

Pro zajištění ochrany před možnými hrozbami, pro zaručení bezpečnosti systémů a aplikací

využívajících sítí a pro zajištění bezpečnosti informací při přenosu by počítačové sítě měly být

vhodným způsobem spravovány a kontrolovány.

Doporučení k realizaci

Správci sítí by měli realizovat opatření pro zajištění bezpečnosti dat v sítích a ochrany souvisejících

služeb před neoprávněným přístupem.

Zejména by měla být vzata v úvahu následující opatření:

a) tam, kde je to vhodné, by měla být odpovědnost za provoz sítě oddělena od odpovědnosti

za provoz počítačů (viz 10.1.3);

b) měly by být stanoveny odpovědnosti a postupy pro správu vzdálených zařízení, včetně

zařízení v prostorách uživatelů;

c) měla by být zavedena zvláštní opatření, která by zajišťovala důvěrnost a integritu dat

přenášených veřejnými nebo bezdrátovými sítěmi a ochranu připojených systémů a aplikací

(viz 11.4 a 12.3). Pro zajištění dostupnosti síťových služeb a připojených počítačů mohou

být vyžadována zvláštní opatření;

d) měly by být vytvořeny a zavedeny vhodné postupy zaznamenávání a monitorování

událostí souvisejících s bezpečností;

e) činnosti související se správou počítačů a sítí by měly být důkladně koordinovány, a to jak

z hlediska optimalizace služeb pro organizaci, tak pro zajištění jejich konzistence v rámci

celé infrastruktury zajišťující zpracování informací.

Další informace

Další informace k bezpečností sítí viz norma ISO/IEC 1802814.

10.6.2 Bezpečnost síťových služeb

Opatření

Měly by být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní

prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak

v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány

cestou outsourcingu.

Doporučení k realizaci

Způsobilost poskytovatele síťových služeb bezpečně zajistit správu dohodnutých síťových

služeb by měla být prověřena a průběžně monitorována, mělo by být odsouhlaseno právo

provádět audit.

Měla by být identifikována bezpečnostní nastavení spojená s konkrétními službami, jako jsou

bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na jejich správu. Organizace by

měla zajistit implementaci těchto opatření poskytovatelem síťových služeb.

Další informace

Síťové služby zahrnují poskytnutí připojení, služby privátních sítí, sítí s přidanou hodnotou

a správu bezpečnostních řešení jako jsou například bezpečnostní brány (firewall) a systémy pro

detekci průniku. Tyto služby mohou zahrnovat obyčejné přidělení neřízené šířky pásma

(kapacity) pro připojení až po komplexní řešení s přidanou hodnotou.

Bezpečnostní prvky síťových služeb mohou zahrnovat:

a) technologie použité pro zajištění bezpečnosti síťových služeb, jako např. autentizace,

šifrování a kontroly síťových spojení;

b) technické parametry požadované pro zajištění bezpečného připojení k síťovým službám

síťových připojení v souladu s platnými pravidly;

c) postupy omezující přístup k síťovým službám nebo k aplikacím.

10.7 Bezpečnost při zacházení s médii

Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení

činnosti organizace.

Média by měla být kontrolována a fyzicky zabezpečena.

Měly by být stanoveny náležité provozní postupy týkající se zabezpečení dokumentů,

počítačových médií (např. pásky, disky), vstupních/výstupních dat a systémové dokumentace

před neoprávněným prozrazením, modifikací, odstraněním nebo poškozením.

10.7.1 Správa vyměnitelných počítačových médií

Opatření

Měly by být vytvořeny postupy pro správu vyměnitelných počítačových médií.

Doporučení k realizaci

Pro správu vyměnitelných médií by měla být zvážena následující doporučení:

a) pokud již nejsou znovupoužitelná média potřebná, měl by být předtím, než jsou

odstraněna z organizace, vymazán jejich obsah;

b) v nutných případech by měla být požadována autorizace pro odstranění médií

z organizace a měl by se o tom vést záznam pro potřeby auditu;

c) ukládat všechna média v bezpečném prostředí v souladu se specifikacemi výrobce;

d) informace, u kterých požadavek na dostupnost přesahuje životnost médií (dle

specifikací výrobce) na kterých jsou uloženy, by měly být přemístěny, aby se zabránilo

jejich případné ztrátě;

e) zaregistrování všech vyměnitelných médií pro snížení pravděpodobnosti jejich ztráty;

f) použití vyměnitelných mechanik by mělo být povoleno jen v odůvodněných případech.

Všechny postupy a úrovně oprávnění by měly být jednoznačně zdokumentovány.

Další informace

Vyměnitelná média zahrnují pásky, disky, flashdisky, přenositelné harddisky, CD, DVD a tiskové

výstupy.

10.7.2 Likvidace médií

Opatření

Jestliže jsou média dále provozně neupotřebitelná, měla by být bezpečně a spolehlivě

zlikvidována.

Doporučení k realizaci

Při nedbalé likvidaci médií by se mohla citlivá data dostat do cizích rukou. Pro minimalizaci

tohoto rizika by měly být vytvořeny formální postupy bezpečné likvidace médií. Postupy pro

bezpečnou likvidaci by měly odpovídat citlivosti informací.

Zejména by měla být vzata následující opatření:

a) média, obsahující citlivé informace, by měla být bezpečně zlikvidována, například

spálením nebo skartováním nebo smazáním dat před jejich opětovným použitím jiným

způsobem v rámci organizace;

b) měly by být vytvořeny postupy pro identifikaci médií, které vyžadují bezpečnou likvidaci;

c) může být jednodušší stanovit pravidla bezpečného sběru a likvidace pro všechna

média, než se snažit vyčlenit ta s citlivými daty;

d) řada organizací nabízí sběr a likvidaci papíru, zařízení a médií. Při výběru vhodného

smluvního partnera je nutné dávat zejména pozor na to, aby dodržoval odpovídající

opatření a měl zkušenosti;

e) likvidace citlivých médií by měla být, podle možností, zaznamenávána pro potřeby

následného auditu.

Při nahromadění většího množství médií k likvidaci by měl být zvážen efekt agregace, kdy se

velké množství neklasifikovaných informací stává citlivějším než malé množství klasifikovaných

informací.

Další informace

Citlivé informace mohou být prozrazeny při nedbalé likvidaci médií (další informace o likvidaci

zařízení viz také 9.2.6).

10.7.3 Postupy pro manipulaci s informacemi

Opatření

Pro zabránění neautorizovanému přístupu nebo zneužití informací by měla být stanovena

pravidla pro manipulaci s nimi a pro jejich ukládání.

Doporučení k realizaci

Tato pravidla by měla zajistit manipulaci s informacemi, jejich zpracování, ukládání a sdílení

v souladu s jejich klasifikací (viz 7.2).

V úvahu by měla být vzata následující doporučení:

a) manipulace se všemi médii a jejich označování by mělo odpovídat jejich klasifikaci;

b) omezení přístupu pro zabránění vstupu neoprávněným osobám;

c) zachovávání záznamu o oprávněných příjemcích dat;

d) ověření kompletnosti vstupních dat, zda bylo zpracování řádně ukončeno a bylo provedeno

odsouhlasení výsledků;

e) ochrana tiskových dat, čekajících na výstup, na úrovni odpovídající jejich citlivosti;

f) ukládání médií způsobem odpovídajícím specifikacím výrobce;

g) udržování nutnosti distribuce dat na minimální úrovni;

h) zřetelné označování všech kopií dat pro všechny autorizované příjemce;

i) kontrola rozdělovníku a seznamu autorizovaných příjemců v pravidelných intervalech.

Další informace

Výše uvedené postupy jsou použitelné v dokumentech, počítačových systémech, sítích,

přenosných počítačích, mobilní sdělovací technice, poště, hlasové poště, hlasové komunikaci

obecně, v multimédiích, v poštovním styku, při použití faxů a při používání dalších citlivých

médií, například čistých bankovních šeků a faktur.

10.7.4 Bezpečnost systémové dokumentace

Opatření

Systémová dokumentace by měla být chráněna proti neoprávněnému přístupu.

Doporučení k realizaci

Pro ochranu systémové dokumentace před neoprávněným přístupem by mělo být zváženo

následující:

a) systémová dokumentace by měla být bezpečně uložena;

b) seznam oprávněných osob pro přístup k systémové dokumentaci by měl být omezen na

minimum a měl by být autorizován vlastníkem aplikace;

c) systémová dokumentace, která je uložena na veřejné síti nebo je jejím prostřednictvím

poskytována, by měla být odpovídajícím způsobem chráněna.

Další informace

Systémová dokumentace může obsahovat řadu citlivých informací, například popisy aplikačních

procesů, procedur, datových struktur, autorizačních procesů.

10.8 Výměny informací

Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich

výměně s externími subjekty.

Výměna informací a programů mezi organizacemi by měla být založena na formální politice,

prováděna v souladu s platnými dohodami a měla by být ve shodě s platnou legislativou (viz

kapitola 15).

Měly by být stanoveny postupy a normy pro ochranu informací a jejich nosičů při přepravě.

10.8.1 Postupy při výměně informací a programů

Opatření

Měly by být ustaveny a do praxe zavedeny formální postupy, politiky a opatření na ochranu

informací při jejich výměně pro všechny typy používaných komunikačních zařízení.

Doporučení k realizaci

Při vytváření postupů a zavádění opatření pro výměnu informací by mělo být zváženo

následující:

a) postupy určené na ochranu informací před jejich zachycením, odposloucháváním,

zkopírováním, modifikací, špatným směrováním a zničením;

b) postupy detekce a ochrany před škodlivými kódy, které mohou být přenášeny

elektronickou poštou (viz také 10.4:1);

c) postupy na ochranu citlivých informací přenášených v přílohách elektronické pošty;

d) politika a směrnice upravující použití zařízení pro elektronickou komunikaci (viz 7.1.3);

e) postupy pro použití bezdrátové komunikace s ohledem na související specifická rizika;

f) odpovědnost zaměstnanců, smluvních a třetích stran za to, že nezkompromitují

organizaci, například odesláním hanlivých zpráv, použitím elektronické pošty

k obtěžování či neautorizovaným nákupům, atd.;

g) použití kryptografických technik pro zajištění důvěrnosti, integrity a autentičnosti

přenášených informací (viz 12.3);

h) vytvoření pravidel pro uchování a likvidace veškeré obchodní korespondence, včetně

elektronické pošty v souladu s místní legislativou a předpisy;

i) nenechávat citlivé a kritické informace volně ležet v tiskárnách, kopírkách a faxech, kde

mohou být přístupné neautorizovaným osobám;

j) zavedení opatření a omezení souvisejících s přesměrováním elektronické komunikace,

např. automatické přeposílání elektronické pošty na externí emailovou adresu;

k) připomínání zaměstnancům, že mají dodržovat adekvátní opatrnost, například

neprobírat citlivé informace, které by mohly být při telefonování zaslechnuty či

odposlechnuty:

1. osobami v bezprostřední blízkosti, zejména při použití mobilního telefonu;

2. instalovaným odposlechem nebo jinou formou elektronického odposlouchávání

umožněného fyzickým přístupem k telefonnímu přístroji nebo telefonní lince nebo

použitím prohledávacích přijímačů při použití analogových mobilních nebo

bezdrátových telefonů;

3. dalšími osobami na druhé straně telefonu;

l) nenechávat zprávy na záznamníku, protože tyto zprávy mohou být přehrány

neautorizovanou osobou, uloženy do veřejné sítě nebo uloženy jako výsledek chybného

telefonátu;

m) upozorňování zaměstnanců na problémy spojené s použitím faxů, zejména:

1. neautorizovaný přístup k vnitřním pamětem pro uchování faxových zpráv s cílem

jejich opětovného vyvolání;

2. úmyslné nebo náhodné přeprogramování faxu tak, aby posílal zprávy na

specifická čísla;

3. posílání dokumentů a zpráv na špatné místo z důvodu překlepu v čísle nebo

použitím špatného čísla z paměti přístroje;

n) upozorňování zaměstnanců na to, aby při registraci programového vybavení nezadávali

své osobní údaje (např. emailová adresa), které pak mohou být použity neoprávněným

způsobem;

o) upozorňování zaměstnanců na to, že moderní faxová zařízení a kopírky používají

vyrovnávací paměť, ve které je uložen obsah tištěných stránek, pro případ, že

v zásobníku dojde papír nebo nastane chyba při přenosu dat.

Zaměstnanci by dále měli být upozorněni na to, aby nevedli důvěrnou konverzaci na veřejnosti,

v otevřené kanceláři a na místech, kde jsou tenké zdi.

Zařízení použitá pro výměnu informací by měla splňovat požadavky relevantní legislativy (viz

kapitola 15).

Další informace

Výměna informací může probíhat s použitím celé řady různých typů komunikačních zařízení,

zahrnujících elektronickou poštu, hlasová zařízení, fax a video.

Výměna programů může probíhat za použití různých počítačových médií, stáhnutím programů

z internetu a nebo jejich nákupem od oficiálního prodejce.

Měly by být zváženy provozní a bezpečnostní dopady v souvislosti s elektronickou výměnou dat

(EDI), elektronickým obchodem a elektronickou poštou a společně s požadavky na

bezpečnostní opatření.

Informace mohou být ohroženy díky nedostatku bezpečnostního povědomí, neznalosti pravidel

a postupů používání odpovídající techniky, například zaslechnutí obsahu hovoru vedeného

pomocí mobilního telefonu na veřejných místech, zaslechnutí obsahu zprávy na telefonním

záznamníku nebo fax zaslaný omylem nesprávné osobě.

Aktivity organizace mohou být přerušeny a informace ohroženy při chybách komunikačních

prostředků, jejich přetížení nebo rušení (viz 10.3 a kapitola 14). Informace mohou být také

ohroženy v případě, že jsou tyto prostředky přístupné neoprávněným uživatelům (viz kapitola

11).

10.8.2 Dohody o výměně informací a programů

Opatření

Výměna informací a programů by měla být založena na dohodách uzavřených mezi organizací

a externími subjekty.

Doporučení k realizaci

V dohodách o výměně informací a programů by měly být zváženy následující bezpečnostní

hlediska:

a) odpovědnosti vedoucích zaměstnanců týkající se kontroly a potvrzení oznámení

o přenosu, odeslání a přijetí;

b) postupy pro oznámení odesílateli (přenos, odeslání a přijetí);

c) postupy pro zajištění nepopiratelnosti doručení;

d) minimální technické normy pro balení a přepravu;

e) dohody o uložení zdrojových kódů programů a informací u nezávislé třetí strany;

f) pravidla pro identifikaci kurýra;

g) odpovědnosti a povinnosti v bezpečnostního incidentu, například v případě ztráty dat;

h) použití schváleného systému označování citlivých a kritických informací, zaručujícího

okamžité pochopení smyslu označení a toho, že informace je odpovídajícím způsobem

chráněna;

i) vlastnictví dat a programového vybavení a odpovědnosti za ochranu osobních údajů,

dodržování autorských práv a další podobné otázky (viz 15.1.2 a 15.1.4);

j) technické normy pro nahrávání a čtení informací a programů;

k) jakákoliv zvláštní opatření pro ochranu citlivých předmětů, jako jsou například šifrovací klíče

(viz 12.3).

Měly by být vytvořeny a do praxe zavedeny politiky, směrnice a standardy na ochranu informací a médií

při přepravě (viz také 10.8.3) a měly by být odkazovány v uzavřených dohodách.

Bezpečnostní část těchto dohod by měla odrážet citlivost všech vyměňovaných informací organizace.

Další informace

Výměna informací a programů (elektronická i manuální) mezi organizacemi by měla být

založena na dohodách, z nichž některé mohou mít podobu formálních smluv nebo mohou být

součástí podmínek pracovního vztahu. Postup výměny citlivých informací by měl být pro všechny

zúčastněné organizace a uzavřené dohody nastaven stejně.

10.8.3 Bezpečnost médií při přepravě

Opatření

Média obsahující informace by měla být během přepravy mimo organizaci chráněna proti

neoprávněného přístupu, zneužití nebo narušení.

Doporučení k realizaci

Aby byla zajištěna ochrana počítačových médií během jejich přepravy mezi lokalitami, měla by

být aplikována následující opatření:

a) použití spolehlivé dopravy nebo spolehlivých kurýrů;

b) seznam oprávněných kurýrů by mělo schválit vedení organizace;

c) obal by měl být dostatečný, aby chránil obsah před jakýmkoliv fyzickým poškozením,

které by mohlo vzniknout během přepravy, a měl by být v souladu se specifikacemi

výrobce. Například ochrana proti vlivům okolí jako jsou horko, vlhko nebo

elektromagnetické pole, které mohou snížit účinnost obnovy uložených informací;

d) v případě potřeby by měla být přijata zvláštní opatření pro ochranu citlivých informací

před neoprávněným prozrazením nebo modifikací. Například:

1. používání uzamykatelné přepravní skříňky;

2. osobní doručování;

3. balení odolné proti vniknutí (které umožňuje odhalit jakýkoliv pokus o získání

přístupu);

4. ve výjimečných případech rozdělení zásilky do více dílčích zásilek a odeslání

různými cestami.

Další informace

Informace mohou být během přepravy zranitelné ze strany neoprávněného přístupu, zneužití

nebo narušení, například při zasílání médií poštou nebo kurýrem.

10.8.4 Elektronické zasílání zpráv

Opatření

Elektronicky přenášené informace by měly být vhodným způsobem chráněny.

Doporučení k realizaci

Při návrhu opatření na ochranu elektronické komunikace by mělo být zváženo následující:

a) ochrana informací proti neoprávněnému přístupu, modifikaci nebo odmítnutí služby;

b) zajištění správného přenosu a adresování zpráv;

c) celková spolehlivost a dostupnost služeb;

d) zákonné požadavky, například požadavky na elektronický podpis;

e) získání souhlasu používat externí veřejné služby jako je například okamžité odesílání

zpráv (instant messaging) nebo sdílení souborů;

f) silnější úroveň kontroly oprávněnosti vzdálených přístupů uživatelů.

Další informace

Elektronické komunikace jako elektronická pošta (email), elektronická výměna dat (EDI)

a okamžitý odesílatel zpráv (instant messenger) jsou důležitou součástí obchodní komunikace.

Elektronická komunikace je vystavena jinému okruhu bezpečnostních rizik než tradiční výměna

informací v papírové podobě.

10.8.5 Podnikové informační systémy

Opatření

Na ochranu informací v propojených podnikových informačních systémech by měla být

vytvořena a do praxe zavedena politika a odpovídající směrnice.

Doporučení k realizaci

Pozornost, věnovaná bezpečnosti a dopadům na provozní činnosti vyplývající z propojení

systémů, by měla zahrnovat:

a) známé zranitelnosti administrativních a účetních systémů tam, kde jsou informace

sdíleny mezi jednotlivými částmi organizace;

b) zranitelnost informací v podnikových komunikačních systémech, například

zaznamenávání telefonních nebo konferenčních hovorů, důvěrnost hovorů, uchovávání

faxů, otevírání pošty, distribuce pošty;

c) politika a vhodná opatření pro správu sdílených informací;

d) vyjmutí citlivých informací a dokumentů podléhajících utajení v případě, že systém nemá

odpovídající úroveň ochrany (viz 5.2);

e) omezení přístupu k časovým plánům vybraných osob, například těch, které pracují na citlivých

projektech;

f) skupiny zaměstnanců a smluvních nebo obchodních partnerů, které mohou systém

používat, a lokality, z nichž je povolen přístup k systému (viz 6.2 a 6.3);

g) omezení určitých zařízení pro vybrané kategorie uživatelů;

h) identifikaci statutu uživatele, například seznamy zaměstnanců organizace a smluvních

partnerů v adresáři využívaném dalšími uživateli;

i) zálohování informací uložených v systému a uchovávání záloh (viz 10.5.1);

j) požadavky na náhradní provoz a prostředky pro jeho zajištění (viz 14).

Další informace

Elektronické kancelářské systémy poskytují příležitosti pro rychlejší šíření a sdílení informací

organizace za použití kombinace dokumentů, počítačů, přenosných počítačů, mobilní

komunikace, pošty, hlasové pošty, hlasové komunikace obecně, multimédií, poštovních služeb

a faxů.

10.9 Služby elektronického obchodu

Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.

Měly by být zváženy bezpečnostní dopady a požadavky na opatření spojené s použitím služeb

podporujících elektronický obchod, včetně on-line transakcí. Pozornost by měla být věnována

ochraně integrity a dostupnosti elektronicky publikovaných informací na veřejně přístupných

systémech.

10.9.1 Elektronický obchod

Opatření

Informace přenášené ve veřejných sítích v rámci elektronického obchodování by měly být

chráněny před podvodnými aktivitami, před zpochybňováním smluv, prozrazením či modifikací.

Doporučení k realizaci

Úvahy o bezpečnosti elektronického obchodu by měly zahrnovat následující:

a) úroveň důvěry v proklamovanou identitu (např. formou autentizace) druhé strany, kterou

každá ze stran (zákazník a obchodník) požaduje;

b) proces autorizace pro nastavení cen, vydávání nebo podepisování důležité obchodní

dokumentace;

c) zajištění toho, aby obchodní partneři byli dostatečně informováni o svých oprávněních;

d) stanovení a naplnění požadavků na důvěrnost, integritu a průkaznost odeslání a přijetí

klíčových dokumentů a na nepopíratelnost odpovědnosti za smlouvy, např. v rámci

výběrových řízení a smluvních procesů;

e) úroveň vyžadované důvěry v integritu zveřejněných ceníků;

f) důvěrnost jakýchkoliv citlivých dat a informací;

g) důvěrnost a integrita informací představujících objednávku, informací o plátci

a adresátovi a potvrzení příjmu;

h) odpovídající stupeň kontroly pro ověření informací o platbě od zákazníka;

i) výběr nejvhodnějšího způsobu platby zamezujícího podvodu;

j) úroveň ochrany vyžadované pro zaručení důvěrnosti a integrity informací objednávky;

k) prevence proti ztrátě nebo duplikaci transakcí;

l) odpovědnost za podvodné transakce;

m) požadavky na pojištění.

Mnohé z předcházejícího může vyřešit použití kryptografických technik, popsaných v 12.3, při

zvážení souladu se zákonnými požadavky (viz 15.1, a zvlášť 15.1.6 pro kryptografickou

legislativu).

Dohody o elektronickém obchodování mezi obchodními partnery by měly být podepřeny

písemnou smlouvou, v níž se obě strany zavazují k dohodnutým obchodním podmínkám, včetně

detailů autorizace (viz předcházející b)). Mohou být potřebné i další dohody s poskytovateli

informačních a síťových služeb.

Veřejné obchodní systémy by měly publikovat své obchodní podmínky pro zákazníky.

Pozornost by měla být věnována odolnosti proti útokům na hostitelský systém používaný pro

elektronický obchod a bezpečnostním dopadům síťových propojení, nutných pro jeho

implementaci (viz 11.4.6).

Další informace

Elektronický obchod je zranitelný ze strany velkého počtu síťových hrozeb, což může mít za

následek výskyt podvodných aktivit, námitky vůči podmínkám smluv a prozrazení či modifikaci

informací.

Pro účely elektronického obchodu může být využito řady autentizačních metod, např. používání

veřejných šifrovacích klíčů a digitálních podpisů (viz také 12.3) na snížení rizika. Pro tyto účely

může být využito služeb důvěryhodných třetích stran.

10.9.2 On-line transakce

Opatření

Měla by být zajištěna ochrana informací přenášených při on-line transakcích tak, aby byl

zajištěn úplný přenos informací a zamezilo se špatnému směrování, neoprávněné změně zpráv,

neoprávněnému prozrazení, neoprávněné duplikaci nebo opakování zpráv.

Doporučení k realizaci

Pro zabezpečení on-line transakcí by mělo být zváženo následující:

a) použití elektronického podpisu všemi účastníky transakce;

b) všechny aspekty související s transakcí, zajištění toho, že:

1. jsou prověřena platnost oprávnění všech zúčastněných stran;

2. transakce bude důvěrná;

3. bude chráněno soukromí všech zúčastněných stran;

c) šifrování komunikace mezi zúčastněnými stranami;

d) zabezpečení protokolů použitých pro komunikaci;

e) zajištění toho, aby úložiště detailních informací o transakcích nebylo veřejně přístupné,

např. v intranetu organizace. Informace by neměly být uchovávány tak, aby byly volně

přístupné z internetu;

f) tam kde je použito služeb důvěryhodné autority (např. pro účely vystavení a udržování

digitálních podpisů a/nebo certifikátů) je bezpečnost součástí celého procesu správy

certifikátu/podpisu.

Další informace

Rozsah přijatých opatření by měl být úměrný velikosti rizik spojených s každým typem on-line

transakce.

Provedené transakce by měly odpovídat zákonům, pravidlům a omezením podle jurisdikce, ve

které je transakce zahájena, skrze kterou probíhá a kde je ukončena a nebo informace o ní

uloženy.

Existuje řada různých transakcí, které mohou být prováděny online, např. finanční transakce.

10.9.3 Veřejně přístupné informace

Opatření

Informace publikované na veřejně přístupných systémech by měly být chráněny proti

neoprávněné modifikaci.

Doporučení k realizaci

Programy, data a jiné informace zpřístupňované na veřejně dostupných systémech a vyžadující

vysoký stupeň integrity by měly být chráněny adekvátními mechanizmy, jako například

digitálním podpisem (viz 12.3). Veřejně přístupné systémy by měly být, předtím než jsou na ně

umístěny informace, testovány na slabiny a možná selhání.

Pro zveřejnění informací by měly existovat formální schvalovací procesy. Veškeré vstupy

poskytnuté zvenčí by měly být prověřeny a projít schválením.

Elektronické publikační prostředky a systémy, zejména ty, které umožňují zpětnou vazbu a přímý

vstup informací, by měly být pečlivě kontrolovány, aby:

a) získávání informací bylo plně v souladu s legislativou (viz 15.1.4);

b) vstup a zpracování informací v systému proběhlo úplně a korektně a v daném časovém

rámci;

c) citlivé informace byly v průběhu sběru, zpracování a ukládání ochráněny;

d) přístup k veřejně přístupným prostředkům neumožnil nechtěný přístup i k dalším sítím,

které jsou k těmto prostředkům připojeny.

Další informace

Informace na veřejně přístupných systémech, například informace na webových serverech

přístupné prostřednictvím Internetu, by měly odpovídat zákonům, pravidlům a omezením podle

jurisdikce, ve které je systém umístěn nebo kde je realizován obchod. Neoprávněná modifikace

publikovaných informací může vážně poškodit dobrou pověst organizace.

10.10 Monitorování

Cíl: Detekovat neoprávněné zpracování informací.

Systémy by měly být monitorovány a bezpečnostní události zaznamenávány. Pro zajištění

včasné identifikace problémů informačních systémů by měl být používán operátorský deník

a záznamy předchozích selhání.

Veškeré aktivity související s monitorováním a zaznamenáváním událostí by měly být v souladu

s relevantními zákonnými požadavky.

Monitorování systému umožňuje kontrolování účinnosti přijatých opatření a ověření souladu

s modelem politiky řízení přístupu.

10.10.1 Zaznamenávání událostí

Opatření

Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, by měly být

pořizovány a uchovány po stanovené období tak, aby byly se daly použít pro budoucí

vyšetřování a pro účely monitorování řízení přístupu.

Doporučení k realizaci

Auditní záznamy by měly také obsahovat:

a) identifikátory uživatelů (uživatelská ID);

b) datum, čas a podrobnosti klíčových událostí, např. přihlášení a odhlášení;

c) identifikátor terminálu nebo místa, pokud je to možné;

d) záznam o úspěšných a odmítnutých pokusech o přístup k systému;

e) záznam o úspěšných a odmítnutých pokusech o přístup k datům a jiným zdrojům;

f) změny konfigurace systému;

g) použití oprávnění;

h) použití systémových nástrojů a aplikací;

i) soubory, ke kterým bylo přistupováno a typ přístupu;

j) sítě, ke kterým bylo přistupováno a použité protokoly;

k) alarmy vyvolané systémy pro kontrolu přístupy;

l) aktivaci a deaktivaci ochranných systémů, jako jsou antivirové systémy a systémy pro

detekci průniku.

Další informace

Auditní záznamy mohou obsahovat důvěrné osobní údaje. Měla by být přijata vhodná opatřená

na jejich ochranu (viz také 15.1.4). Pokud je to možné, neměli by systémoví administrátoři mít

oprávnění mazat záznamy a nebo deaktivovat vytváření záznamů o své vlastní činnosti (viz

10.1.3).

10.10.2 Monitorování používání systému

Opatření

Měla by být stanovena pravidla pro monitorování použití zařízení pro zpracování informací,

výsledky těchto monitorování by měly být pravidelně přezkoumávány.

Doporučení k realizaci

Požadovaná úroveň monitorování jednotlivých prostředků by měla být stanovena na základě

hodnocení rizik. Veškeré aktivity související s monitorováním událostí by měly být v souladu

s relevantními zákonnými požadavky.

Oblasti, které by se měly vzít v úvahu, jsou následující:

a) neautorizovaný přístup, včetně informací jako:

1. uživatelské ID;

2. datum a čas klíčových událostí;

3. druh událostí;

4. soubory, ke kterým bylo přistupováno;

5. použité programy/nástroje;

b) všechny privilegované operace, jako:

1. použití privilegovaných účtů, např. účtu supervisora, administrátora;

2. spuštění a ukončení systému;

3. připojení a odpojení vstupně/výstupních zařízení;

c) pokusy o neoprávněný přístup, jako:

1. neúspěšné nebo odmítnuté aktivity uživatelů;

2. neúspěšné nebo odmítnuté pokusy o přístup k datům nebo jiným zdrojům;

3. narušení přístupové politiky a upozornění od síťových bran a firewallů;

4. varování speciálních systémů pro detekci průniků;

d) systémová varování nebo chyby, jako:

1. zprávy nebo varování z konzole;

2. výjimky v systémových záznamech;

3. alarmy správy sítě;

4. alarmy spuštěné systémy pro kontrolu přístupu;

e) změny nebo pokusy o změnu bezpečnostních opatření nastavení bezpečnosti

systému.

Výstupy monitorování by měly být pravidelně kontrolovány. Frekvence kontrol by měla záviset na

zjištěných rizicích. Měly by být zváženy následující rizikové faktory:

a) kritičnost aplikačních procesů;

b) hodnota, citlivost nebo kritičnost ovlivněných informací;

c) minulé zkušenosti s průnikem do systému a jeho zneužitím a frekvence s jakou jsou

zneužívány existující zranitelnosti systému;

d) stupeň propojení systémů (zejména veřejné sítě);

e) deaktivace zařízení pro zaznamenávání událostí.

10.10.3 Ochrana vytvořených záznamů

Opatření

Zařízení pro zaznamenávání informací a vytvořené záznamy by měly být vhodným způsobem

chráněny proti neoprávněnému přístupu a zfalšování.

Doporučení k realizaci

Opatření by se měla zaměřovat na ochranu proti neautorizovaným změnám a provozním

problémům, včetně:

a) úpravy zaznamenávaných druhů zpráv;

b) editování nebo mazání záznamů;

c) nedostatečné kapacity médií pro záznamy a následné nezaznamenávání nebo přepisování

předchozích událostí.

Další informace

Systémové záznamy často obsahují velké množství informací, z nichž většina nesouvisí

s bezpečnostním monitorováním. Při identifikaci důležitých událostí pro účely sledování

bezpečnosti by měla být zvážena možnost automatického kopírování vhodných typů zpráv do

druhého protokolu a/nebo použití vhodných systémových programů nebo nástrojů auditu

k vyšetřování souborů.

Systémové záznamy musí být dostatečně chráněny, protože data, která mohou být

modifikována nebo vymazána mohou vytvořit falešný pocit bezpečí.

10.10.4 Administrátorský a operátorský deník

Opatření

Aktivity správce systému a systémového operátora by měly být zaznamenávány.

Doporučení k realizaci

Záznamy by měly obsahovat:

a) čas kdy došlo k události (úspěšné i neúspěšné pokusy);

b) podrobnosti o události (např. seznam použitých souborů) nebo o chybách (např. jaké

chyby se objevily a jakým způsobem byly odstraněny);

c) jaký účet byl použit, který správce nebo operátor ho použil;

d) dotčené procesy.

Administrátorský a operátorský deník by měly být v pravidelných intervalech přezkoumávány.

Další informace

Pro monitorování systémových a síťových aktivit správců je možné použít externě spravovaný

systém pro detekci průniku.

10.10.5 Záznam selhání

Opatření

Měly by být zaznamenány a analyzovány chyby a provedena opatření k nápravě.

Doporučení k realizaci

Hlášení uživatelů o problémech systému pro zpracování nebo výměnu informací by měla být

zaznamenána. Měla by existovat jasná pravidla pro zacházení s nahlášenými chybami,

zahrnující:

a) přezkoumání záznamů chyb k zajištění jejich uspokojivého řešení;

b) přezkoumání opatření k nápravě, zajišťujících, aby bezpečnostní opatření nebyly

zneužity a prováděné činnosti byly schváleny.

Mělo by být zajištěno zaznamenávání selhání (porucha), pokud to systém umožňuje.

Další informace

Zaznamenávání selhání (poruch) a chyb může ovlivnit výkon systému. Zaznamenávání selhání

a chyb by mělo být umožněno pouze kompetentním personálu, rozsah zaznamenávání byl měl

být pro každý jednotlivý systém nastaven na základě hodnocení rizik.

10.10.6 Synchronizace času

Opatření

Hodiny všech důležitých systémů pro zpracování informací by měly být v rámci organizace nebo

domény synchronizovány se schváleným zdrojem přesného času.

Doporučení k realizaci

V případě, že počítačová nebo komunikační zařízení používají hodiny s reálným časem, měly

by být nastaveny na smluvený standard, například greenwichský nebo místní čas. Protože

některé hodiny se předcházejí nebo zpožďují, měly by existovat postupy, které kontrolují

a korigují všechny významnější změny.

Z hlediska správného určení reálného vzniku časové značky je důležitá správná interpretace

formátu datum/čas. V úvahu by také měla být vzata místní specifika (např. letní čas).

Další informace

Správné nastavení počítačových hodin je důležité pro zajištění přesnosti auditních záznamů, které

mohou být potřebné pro vyšetřování nebo jako důkaz při soudních či disciplinárních řízeních.

Nepřesné auditní záznamy mohou takové vyšetřování brzdit nebo mohou narušit důvěryhodnost

takového důkazu. Pro nastavení přesného času primárního serveru může být například využit

GPS signál nebo radiový signál z atomových hodin. Pro automatickou synchronizaci času všech

ostatních klientů s primárním serverem lze použít protokol NTP (Network Time Protocol).

11 Řízení přístupu

11.1 Požadavky na řízení přístupu

Cíl: Řídit přístup k informacím.

Přístup k informacím, zařízením pro zpracování informací a procesům organizace by měl být řízen

na základě provozních a bezpečnostních požadavků.

V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž

probíhá schvalování.

11.1.1 Politika řízení přístupu

Opatření

Měla by být vytvořena, dokumentována a v závislosti na aktuálních bezpečnostních

požadavcích přezkoumávána politika řízení přístupu.

Doporučení k realizaci

Přístupová pravidla a oprávnění by měla být jasně stanovena pro každého uživatele nebo

skupinu uživatelů v seznamu pravidel přístupu. Pravidla by měla pokrývat jak logický, tak fyzický

přístup (viz kapitola 9), oba typy přístupů by měly být řešeny současně. Uživatelům

a poskytovatelům služeb by mělo být předáno jasné vyjádření o provozních požadavcích, jež

naplňuje řízení přístupu.

Politika řízení přístupu by měla brát v úvahu následující hlediska:

a) bezpečnostní požadavky jednotlivých aplikací organizace;

b) identifikace všech informací ve vztahu k jednotlivým aplikacím a rizika, kterým jsou

informace vystaveny

c) pravidla pro šíření informací a pravidla schvalování, tj. princip oprávněné potřeby znát,

bezpečnostní úrovně a klasifikaci informací (viz 7.2);

d) konzistence přístupových pravidel a klasifikace informací pro různé systémy a sítě;

e) odpovídající legislativa a ostatní smluvní závazky ve vztahu k ochraně přístupu k datům

nebo službám (viz kapitola 15.1);

f) standardní přístupové profily uživatelů pro běžné kategorie činností;

g) řízení přístupových pravidel v distribuovaném a síťovém prostředí rozeznávajícím

všechny možné typy připojení;

h) oddělení jednotlivých rolí pro řízení přístupu, např. vyřizování požadavků na přístup,

schvalování přístupu, správa přístupů;

i) požadavky na formální schválení žádostí o přístup (viz 11.2.1);

j) požadavky na pravidelné přezkoumání přístupových práv (viz 11.2.4);

k) odebrání přístupových práv (viz 8.3.3).

Další informace

Při stanovování pravidel řízení přístupu by měla být zvážena následující hlediska:

a) rozlišení mezi pravidly, která musí být v platnosti vždy, a těmi, která jsou nepovinná nebo

podmíněná;

b) stanovit pravidla na základě principu „Všechno, co není výslovně povoleno, je

zakázáno“, ne na základě měkčího pravidla „Všechno, co není výslovně zakázáno, je

povoleno“;

c) změny ve značení informací (viz 7.2), které jsou vyvolány automaticky zařízeními pro

zpracování informací, a změny, které jsou vyvolány z rozhodnutí uživatele;

d) změny uživatelských oprávnění, které jsou vyvolány automaticky zařízením pro zpracování

informací, a ty, které jsou vyvolány administrátorem;

e) pravidla, která vyžadují schválení administrátorem nebo jinou pověřenou osobou, a ta,

která toto nevyžadují.

Pravidla pro řízení přístupu by měla být podporována zavedením formálních postupů a jasně

určených odpovědností (viz například 6.1.3, 11.3, 11.4.1, 11.6).

11.2 Řízení přístupu uživatelů

Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním

systémům.

Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům

a službám.

Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace

nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům

a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost

potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelům

překonat kontroly v systému.

11.2.1 Registrace uživatele

Opatření

Měl by existovat postup pro formální registraci uživatele včetně jejího zrušení, který zajistí

autorizovaný přístup ke všem víceuživatelským informačním systémům a službám.

Doporučení k realizaci

Postup pro registraci a uživatele a jejího zrušení by měl zahrnovat:

a) použití unikátního uživatelského identifikátoru (ID), aby bylo možné propojit uživatele s jím

provedenými akcemi, a zajistit tak jejich odpovědnost. Použití skupinového ID by mělo

být povoleno pouze tam, kde to je nezbytné pro určitou práci, použití by mělo být

chváleno a dokumentováno;

b) kontrolu toho, že uživatel má oprávnění používat informační systém nebo služby od

vlastníka systému. Vhodný může být také zvláštní souhlas s přístupovými právy od

nadřízených uživatele;

c) kontrolu toho, že úroveň přiděleného přístupu odpovídá záměrům organizace (viz 11.1)

a je shodná s bezpečnostní politikou organizace, například není v rozporu s principem

oddělení povinností (viz 10.1.3);

d) předání dokumentu vymezujícího přístupová práva jednotlivým uživatelům;

e) požadavek na uživatele, aby podepsali prohlášení, že rozumí podmínkám přístupu;

f) zajištění toho, aby poskytovatelé služeb neumožnili přístup, dokud nebude proces autorizace

dokončen;

g) udržování formálního záznamu o všech registrovaných osobách oprávněných využívat

službu;

h) ihned odebrat přístupová práva uživatelům, kteří změnili pracovní místo nebo opustili

organizaci;

i) pravidelně kontrolovat a odstranit již dále nepotřebné ID uživatelů a jejich účty (11.2.4);

j) zajistit, aby již nepotřebné ID uživatelů nebyly přiděleny jiným uživatelům.

Další informace

Mělo by být zváženo zavedení přístupových rolí uživatelů dle konkrétních požadavků organizace, které

by zahrnovalo vždy několik přístupových práv do typických uživatelských profilů. Požadavky na přístup

a přezkoumání jejich oprávněnosti (viz 11.2.4) se lépe zpracovávají na úrovni uživatelských rolí než

pro jednotlivá přístupová práva.

Mělo by být zváženo začlenění klauzule specifikující sankce za pokus o neautorizovaný přístup

zaměstnanců nebo servisního personálu do jejich pracovních smluv a servisních kontraktů (viz

také 6.1.5, 8.1.3 a 8.2.3).

11.2.2 Řízení privilegovaného přístupu

Opatření

Přidělování a používání privilegií by mělo být omezeno a řízeno.

Doporučení k realizaci

Ve víceuživatelských systémech, u nichž je nutná ochrana proti neautorizovanému přístupu, by

mělo být přidělování privilegovaných oprávnění řízeno prostřednictvím formálního autorizačního

procesu. Měly by být zváženy následující kroky:

a) měla by být popsána privilegia spojená s každým prvkem systému (například

s operačním nebo databázovým systémem a všemi aplikacemi) a kategorie zaměstnanců,

kterým by měla být přidělena;

b) privilegia by měla být přidělována jednotlivcům na základě jejich oprávněné potřeby pro

použití a případ od případu a v souladu s politikou řízení přístupu (viz 11.1.1), například

požadavek na minimalizaci jejich provozní role určené podle potřeby;

c) měl by být dodržován proces autorizace a zachováván záznam všech přidělených privilegií.

Privilegia by neměla být přidělena, dokud není proces autorizace dokončen;

d) měl by být podporován vývoj a používání takových systémových rutin, které by

omezovaly nutnost přidělovat privilegia uživatelům;

e) měl by být podporován vývoj a používání takových programů, které by vyžadovaly

oprávnění ke svému spuštění;

f) privilegia by měla být přidělena jiným uživatelským ID než těm, které jsou používány pro

běžnou práci.

Další informace

Nepatřičné použití systémových privilegií (určité funkce nebo prostředky, dávající uživateli

možnost překonat systémové nebo aplikační kontroly) je často hlavním spolupůsobícím

faktorem selhání systémů.

11.2.3 Správa uživatelských hesel

Opatření

Přidělování hesel by mělo být řízeno formálním procesem.

Doporučení k realizaci

Proces by měl vyhovovat následujícím požadavkům:

a) vyžadovat od uživatelů podpis prohlášení, že se zavazují k držení svých hesel v tajnosti

a k zachování hesel pracovní skupiny pouze mezi jejími členy (to může být začleněno

v pracovních podmínkách, viz 8.1.3);

b) zajistit, aby v případě, že si uživatelé sami mění své heslo (viz 11.3.1), dostali na počátku

bezpečné jednorázové heslo, které jsou nuceni ihned po přihlášení změnit;

c) zavést postupy jednoznačné identifikace uživatelů předtím než jim je poskytnuto nové,

náhradní a nebo dočasné heslo;

d) dočasně přidělená hesla by měla být jedinečná a neměla by být lehce uhodnutelná;

e) uživatelé by měli potvrdit přijetí hesel;

f) hesla by nikdy neměla být v počítači uložena v nechráněné podobě;

g) dodavateli přednastavená hesla by měly být ihned po instalaci systému nebo

aplikačního programového vybavení změněna;

Další informace

Hesla jsou běžným prostředkem pro ověření identity uživatele předtím, než je mu umožněn

přístup do systému nebo ke službě s ohledem na jeho oprávnění. Pokud je to vhodné, mělo by být

zváženo použití i jiných technologií autentizace a identifikace uživatele, jako je biometrie,

například ověření otisku prstu, podpisu a použití technických prostředků, například čipových

karet.

11.2.4 Přezkoumání přístupových práv uživatelů

Opatření

Vedení organizace by mělo v pravidelných intervalech provádět formální přezkoumání

přístupových práv uživatelů.

Doporučení k realizaci

Přezkoumání přístupových práv uživatelů by mělo zaručovat, že:

a) přístupová práva uživatelů jsou přezkoumávána v pravidelných intervalech (doporučuje

se interval 6 měsíců) a po každé změně, jako například povýšení, přeložení na nižší

pozici nebo ukončení pracovního poměru (viz 11.2.1);

b) při přeřazení na jinou pracovní pozici v rámci organizace by měla být stávající

přístupová práva přezkoumána;

c) autorizace speciálních privilegovaných oprávnění (viz 11.2.2) jsou přezkoumávána

v kratších intervalech, doporučuje se interval 3 měsíců;

d) přidělená privilegovaná oprávnění by měla být přezkoumávána v pravidelných

intervalech, aby bylo zajištěno, že nedošlo k získání neoprávněného privilegia;

e) změny u privilegovaných účtů by měly být zaznamenány pro potřeby pravidelných

přezkoumání.

Další informace

Pro udržení účinného řízení přístupu k datům a informačním službám by mělo vedení

organizace v pravidelných intervalech provádět kontrolu přístupových práv uživatelů.

11.3 Odpovědnosti uživatelů

Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací

a prostředků pro zpracování informací.

Pro účinné zabezpečení je nezbytná spolupráce oprávněných uživatelů.

Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly

přístupu, zejména s ohledem na používání hesel, a bezpečnosti jim přidělených prostředků.

Pro snížení rizika neoprávněného přístupu (nebo poškození) k dokumentům, médiím

a prostředkům pro zpracování informací, by měla být zavedena zásada prázdného stolu

a prázdné obrazovky monitoru.

11.3.1 Používání hesel

Opatření

Při výběru a používání hesel by mělo být po uživatelích požadováno, aby dodržovali stanovené

bezpečnostní postupy.

Doporučení k realizaci

Všichni uživatelé by měli být obeznámeni s tím, že:

a) hesla se udržují v tajnosti;

b) hesla nesmí být zaznamenána (např. na papíře, v souborech nebo v přenosných

zařízeních), s výjimkou jejich bezpečného uložení a když byl způsob jejich uložení

schválen;

c) hesla se musí změnit v případě jakéhokoliv náznaku možného kompromitování systému

nebo hesla;

d) heslo by mělo být kvalitní, mělo by mít minimální délku šest znaků, a to tak, aby:

1.bylo dobře zapamatovatelné;

2. nebylo založeno na informacích vztahujících se k osobě, které by mohl kdokoliv

další lehce uhodnout nebo získat, například jména, telefonní čísla, data narození

apod.;

3. nebylo zranitelné při použití slovníkových útoků (nemělo by se skládat ze slov

vyskytujících se ve slovnících);

4. neobsahovalo po sobě jdoucí stejné znaky a neobsahovalo pouze číselné nebo

pouze písmenné skupiny.

e) musí měnit hesla v pravidelných intervalech nebo na základě počtu přihlášení (hesla pro

privilegovaný přístup by se měla měnit častěji než normální hesla) a vyhýbat se

opakovanému použití nebo opakování starých hesel;

f) musí změnit dočasná hesla při prvním přihlášení;

g) nebudou zahrnovat hesla do žádného automatizovaného přihlašovacího procesu,

například uložení do makra nebo funkční klávesy;

h) nebudou sdílet osobní uživatelská hesla;

i) nebudou používat stejná hesla pro soukromé a pracovní účely.

Jestliže uživatelé potřebují, aby měli přístup k více službám nebo platformám, a musí udržovat

více hesel, může jim být doporučeno používat jedno silné heslo (viz d) pro všechny služby u

kterých si jsou jisti, že poskytují rozumnou úroveň zabezpečení uložených hesel.

Další informace

Zvláštní péče by také měla být věnována help desku, který řeší ztracená a zapomenutá hesla

a může se také stát cílem útoku.

11.3.2 Neobsluhovaná uživatelská zařízení

Opatření

Uživatelé by měli zajistit přiměřenou ochranu neobsluhovaných zařízení.

Doporučení k realizaci

Všichni uživatelé by si měli být vědomi bezpečnostních požadavků a postupů pro zabezpečení

neobsluhovaného zařízení, stejně jako své odpovědnosti za provádění takovéto ochrany.

Uživatelům by mělo být doporučeno:

a) při ukončení práce ukončit aktivní relace nebo je zajistit vhodným mechanizmem, například

spořičem obrazovky s heslem;

b) odhlásit se v případě ukončení relace od sálových počítačů, serverů a kancelářských PC (tj.

nevypínat pouze monitor počítače nebo terminál);

c) pokud se nepoužívají, zabezpečit PC nebo terminály pomocí uzamčení klávesnice nebo

ekvivalentní kontroly, například přístupovým heslem (viz 11.3.3).

Další informace

Zařízení instalovaná v uživatelských prostorech, například pracovní stanice nebo souborový

server, mohou vyžadovat zvláštní ochranu před neoprávněným přístupem, když jsou delší dobu

bez obsluhy.

11.3.3 Zásada prázdného stolu a prázdné obrazovky monitoru

Opatření

Měla by být přijata zásada prázdného stolu ve vztahu k dokumentům a vyměnitelným médiím

a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací.

Doporučení k realizaci

Zásada prázdného stolu a prázdné obrazovky monitoru by měla brát v potaz klasifikaci

informací (viz 7.2), zákonné a smluvní požadavky (viz 15.1), rizika a kulturní aspekty

organizace. V úvahu by měla být vzata následující Opatření

a) citlivé nebo kritické informace organizace, např. papírové dokumenty a počítačová

média by měly být v případě, že se nepoužívají, a zejména když je kancelář prázdná,

uzamčeny (ideálně v protipožárním sejfu nebo v uzamykatelných skříňkách nebo

v jiném bezpečném druhu nábytku);

b) přihlášené osobní počítače, počítačové terminály by neměly být ponechávány bez

dozoru, a v případě, že se nepoužívají, by měly být chráněny klíčem, heslem nebo

jinými opatřeními;

c) body shromažďující došlou a odeslanou korespondenci, stejně tak jako faxové přístroje

bez dohledu by měly být chráněny;

d) kopírky a další reprodukční zařízení (např. skenery, digitální kamery) by měly být

v mimopracovní době uzamčeny (nebo jiným způsobem chráněny před neoprávněným

použitím);

e) dokumenty obsahující citlivé nebo klasifikované informace by měly být po vytištění

okamžitě odebírány z tiskárny.

Další informace

Zásada prázdného stolu a prázdné obrazovky monitoru snižuje riziko neoprávněného přístupu,

ztráty a poškození informací během nebo mimo běžnou pracovní dobu. Sejfy nebo jiné

podobné typy zařízení mohou být také využity k bezpečnému uložení informací a jejich ochraně

proti katastrofám, jakými mohou být například požár, zemětřesení, povodeň nebo výbuch.

Mělo by být zváženo použití tiskáren u kterých dojde k vytištění úlohy teprve po identifikaci

kartou nebo PIN kódem na terminálu (uživatel musí stát u tiskárny).

11.4 Řízení přístupu k síti

Cíl: Předcházet neautorizovanému přístupu k síťovým službám.

Přístup k interním i externím síťovým službám by měl být řízen.

Je to nezbytné pro zajištění toho, aby uživatelé mající přístup k sítím nebo síťovým službám

neohrožovali bezpečnost těchto služeb. K tomu je potřeba:

a) vhodné rozhraní sítě organizace se sítěmi jiných organizací nebo veřejnými sítěmi;

b) odpovídající autentizační mechanizmus pro uživatele a zařízení;

c) řízení přístupu uživatelů k informačním službám.

11.4.1 Politika užívání síťových služeb

Opatření

Uživatelé by měli mít přímý přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť

oprávněni.

Doporučení k realizaci

Politika formulovaná ve vztahu k sítím a síťovým službám by měla pokrývat:

a) sítě a síťové služby, ke kterým je povolen přístup;

b) autorizační postupy určující kdo je oprávněn přistupovat k jakým sítím a síťovým

službám;

c) řídící kontrolní mechanizmy a postupy určené k ochraně přístupu k síťovým připojením

a službám;

d) možnosti pro přístup k síti nebo síťovým službám (např. podmínky za kterých je

povoleno telefonní připojení k internetové službě nebo vzdáleného systému)

Politika užívání síťových služeb by měla být v souladu s politikou řízení přístupu (viz 11.1).

Další informace

Neoprávněné nebo nezabezpečené připojení k síťovým službám může mít vliv na celou

organizaci. Toto opatření je důležité zejména u síťových připojení k citlivým nebo kritickým

aplikacím organizace či pro uživatele připojující se z vysoce rizikových lokalit, například veřejné

nebo vnější oblasti nespadající do působnosti bezpečnostních opatření organizace.

11.4.2 Autentizace uživatele externího připojení

Opatření

Přístup vzdálených uživatelů měl být autentizován.

Doporučení k realizaci

Autentizace vzdálených uživatelů může být zajištěna například použitím kryptografických

technik, autentizačních předmětů (hardware token) nebo protokolem typu výzva/odpověď

(challenge/response). Implementaci takovýchto technik například využívají virtuální privátní sítě

(VPN sítě). Pro kontrolu identity zdroje komunikace může být také použito vyhrazené soukromé

linky nebo prostředků pro ověření síťové adresy uživatele.

Ochranu proti neautorizovanému a nechtěnému připojení k prostředkům pro zpracování informací

organizace mohou zajistit opatření zajišťující zpětné volání, například použití modemů pro zpětné

volání (dial-back). Tento druh opatření se používá pro autentizaci uživatele, pokoušejícího se

o připojení do sítě organizace ze vzdálené lokality. Při použití těchto opatření, by organizace

neměla používat síťové služby, které zahrnují přesměrování hovoru a v případě, že je používá,

by měla být funkce přesměrování zakázána, aby se zabránilo vytvoření slabin, které obsahuje. Je

také důležité, aby proces zpětného volání obsahoval na straně organizace kontrolu ukončení

původního spojení. V opačném případě může vzdálený uživatel zůstat na lince a předstírat, že

verifikace zpětným voláním byla provedena. Postupy a opatření zajišťující zpětné volání by měly

být otestovány, aby neumožňovaly tento způsob zneužití.

Autentizace uzlů může být i alternativním prostředkem autentizace skupin vzdálených uživatelů,

kteří jsou připojeni k bezpečným sdíleným počítačovým prostředkům. Kryptografické techniky,

např. založené na certifikátech fyzických počítačů, lze použít pro autentizaci uzlů. Toto je jen

jeden z příkladů řešení VPN sítí.

Pro bezpečný přístup k bezdrátovým sítím by měly být implementovány dodatečné techniky

autentizace. Je to z důvodu vyššího rizika narušení komunikace nebo vložení falešné zprávy

než je tomu u sítí klasických.

Další informace

Externí připojení, například přístup komutovanou linkou, představuje určitý potenciál pro

neoprávněný přístup k informacím organizace. Existují různé typy autentizačních metod,

některé z nich poskytují větší úroveň ochrany než jiné, například metody založené na použití

kryptografických technik mohou zajistit silnou autentizaci. Je důležité, aby navržený stupeň

požadované ochrany, který slouží jako základ pro výběr vhodné autentizační metody, vycházel

z hodnocení rizik.

Možnost automatického připojení ke vzdáleným počítačům může představovat cestu vedoucí

k získání neoprávněného přístupu k aplikacím organizace. Vzdálená připojení k počítačovým

systémům by tedy měla být autentizována. To je zvláště důležité v případě připojení přes

otevřenou síť, která je mimo působnost správy bezpečnosti organizace.

11.4.3 Identifikace zařízení v sítích

Opatření

Pro autentizaci připojení z vybraných lokalit a přenosných zařízení by se měla zvážit automatická

identifikace zařízení.

Doporučení k realizaci

Automatická identifikace zařízení je způsob, který může být použit, jestliže je důležité, aby byla

komunikace iniciována pouze z určité lokality nebo zařízení. Zabudovaný nebo připojený identifikátor

zařízení může být používán pro indikaci povolení zahájit nebo přijímat určité transakce. Indikátory by

měly jasně ukazovat ke které síti se může zařízení připojit, je to pro případy kdy existuje více sítí

vyžadujících různou úroveň zabezpečení. V některých případech může být nutné, pro zajištění

bezpečnosti identifikátoru zařízení, zvážit jeho fyzickou ochranu.

Další informace

Automatická identifikace zařízení může být doplněna o další techniky autentizace uživatelů

těchto zařízení (viz 11.4.2). Identifikace zařízení může být dodatečně použita spolu

s autentizací uživatelů.

11.4.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci

Opatření

Fyzický i logický přístup k diagnostickým a konfiguračním portům by měl být bezpečně řízen.

Doporučení k realizaci

Přiměřeným bezpečnostním mechanizmem ochrany diagnostických a konfiguračních portů

může být například uzamčení klávesnice a použití dalších mechanizmů zamezujících fyzickému

přístupu k portům. Příkladem těchto podpůrných bezpečnostních mechanizmů může být

povolení přístupu k diagnostickým a konfiguračním portům výhradně na základě dohody mezi

správcem služby a personálem zajišťujícím podporu technického a programového vybavení,

které vyžaduje přístup.

Porty, služby a obdobná zařízení instalovaná na počítačích nebo síťových zařízeních, pokud

nejsou pro organizace potřebné, by měly být zakázány nebo odstraněny.

Další informace

Mnoho počítačových, síťových a komunikačních systémů obsahuje prostředky pro vzdálenou

konfiguraci a diagnostický přístup, které využívá podpůrný personál pro údržbu systému. Pokud

jsou nechráněny, představují diagnostické porty prostředek k neoprávněnému přístupu.

11.4.5 Princip oddělení v sítích

Opatření

Skupiny informačních služeb, uživatelů a informačních systémů by měly být v sítích odděleny.

Doporučení k realizaci

Jedna z metod správy bezpečnosti velkých sítí je rozdělení sítí do separátních logických domén, tj.

vnitřních síťových domén organizace a externích síťových domén, kde každá z nich je chráněna

definovaným bezpečnostním perimetrem. V rámci logických domén mohou být pro další

bezpečné oddělení síťových prostředí (např. veřejně přístupné systémy, vnitřní sítě a kritická

aktiva) uplatněny silnější skupiny opatření. Domény by měly být vymezeny na základě různých

bezpečnostních požadavků a výsledků analýzy rizik.

Tento bezpečnostní perimetr může být vytvořen instalací bezpečnostní brány mezi sítě, které

mají být propojeny, aby přístup a tok informací mezi dvěma doménami byl pod kontrolou. Tato

brána by měla být nakonfigurována tak, aby filtrovala komunikaci mezi těmito doménami (viz

11.4.6 a 11.4.7) a blokovala neautorizovaný přístup v souladu se zásadami řízení přístupu

organizace (viz 11.1). Příkladem tohoto typu brány je firewall. Jinou metodou oddělení logických

domén je vytvoření virtuálních privátních sítí pro různé skupiny uživatelů v rámci organizace.

Sítě mohou být také odděleny s využitím funkčnosti síťových zařízení, např. přepínáním

protokolu IP. Oddělené domény mohou být vytvořeny na základě řízení toku dat s využitím

možností směrování a přepínání, jako například nastavení ACL15.

Kritéria pro separaci sítí by měla být založena na systému řízení přístupu a požadavcích na

přístup (viz 10.1), s přihlédnutím k relativní ceně a výkonovým důsledkům zavedení vhodného

síťového směrování nebo bran (viz 11.4.6 a 11.4.7).

Oddělení v sítích by mělo být založeno na klasifikaci ukládaných a zpracovávaných informací,

úrovni důvěry a typu činností, kterými se organizace zabývá tak, aby byl v případě narušení

služeb minimalizován celkový dopad na organizaci.

Mělo by být zváženo oddělení bezdrátových sítí od interních a privátních sítí. V případech kdy

není přesně vymezen perimetr bezdrátové sítě by mělo být provedeno hodnocení rizik

a identifikována vhodná opatření (např. silná autentizace, kryptografické metody a výběr

kmitočtu) zajišťující oddělení sítí.

Další informace

Sítě se stále více rozšiřují za tradiční hranice organizace. Z důvodů vytváření partnerství může

být zapotřebí propojení nebo sdílení prostředků pro zpracování a výměnu informací. Takové

rozšíření může zvyšovat riziko neoprávněného přístupu k existujícím informačním systémům,

které využívají síť, přičemž u některých z těchto systémů může být vyžadována ochrana před

jinými uživateli sítě vzhledem k jejich citlivosti nebo kritičnosti.

11.4.6 Řízení síťových spojení

Opatření

U sdílených sítí, zejména těch, které přesahují hranice organizace, by měly být omezeny

možnosti připojení uživatelů. Omezení by měla být v souladu s politikou řízení přístupu

a s požadavky aplikací (viz 11.1).

Doporučení k realizaci

Oprávnění pro přístup uživatelů k síti by měla být udržována aktuální a v souladu s politikou

řízení přístupu (viz 11.1).

Připojení uživatelů může být omezeno prostřednictvím síťových bran, které filtrují síťový provoz

podle předdefinovaných tabulek nebo pravidel. Příklady aplikací, na které by měla být nasazena

omezení, jsou:

a) odesílání zpráv, např. elektronická pošta;

b) přenos souborů;

c) interaktivní přístup;

d) přístup k aplikacím.

Mělo by být zváženo omezení přístupu k síti na určitou denní dobou nebo datum.

Další informace

Zavedení opatření omezujících možnosti připojení uživatelů mohou být stanoveny v politice

řízení přístupu pro sdílené sítě, zejména těch, které přesahují hranice organizace.

11.4.7 Řízení směrování sítě

Opatření

Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení

přístupu aplikací organizace, by mělo být zavedeno řízení směrování sítě. Access Control List

Doporučení k realizaci

Řízení směrování by mělo být založeno na ověření zdrojové a cílové adresy.

Pokud jsou využívány zástupné (proxy) servery a/nebo překlad síťových adres, mohou být

k ověření zdrojové a cílové adresy využity bezpečnostní brány umístěné na interních

a externích kontrolních síťových bodech. Realizátoři tohoto opatření by měli znát sílu všech

nasazených mechanizmů. Požadavky pro řízení směrování sítě by měly vycházet z politiky

řízení přístupu (viz 11.1).

Další informace

U sdílených sítí, zvláště přesahují-li hranice organizace, může být vyžadována implementace

dodatečných omezení směrování. Tato opatření jsou zejména běžná pro sítě sdílené s uživateli

třetích stran.

11.5 Řízení přístupu k operačnímu systému

Cíl: Předcházet neautorizovanému přístupu k operačním systémům.

Pro omezení přístupu k prostředkům počítače by měly být použity bezpečnostní prostředky na

úrovni operačního systému.Tyto prostředky by měly být schopné:

a) autentizace oprávněných uživatelů v souladu se stanovenou politikou řízení přístupu;

b) zaznamenávat úspěšné a neúspěšné pokusy o autentizaci;

c) zaznamenávat využití systémových privilegií;

d) spouštět varování při porušení systémových bezpečnostních politik;

e) poskytovat vhodné prostředky pro autentizaci;

f) v případě potřeby omezit dobu připojení uživatele.

11.5.1 Bezpečné postupy přihlášení

Opatření

Přístup k operačnímu systému by měl být řízen postupy bezpečného přihlášení.

Doporučení k realizaci

Postup přihlášení k operačnímu systému by měl být řešen tak, aby byla minimalizována

příležitost neoprávněného přístupu. Přihlašovací postup by tedy měl prozrazovat minimum

informací o systému, aby neposkytoval zbytečnou podporu neoprávněnému uživateli. Dobrý

přihlašovací postup by měl:

a) nezobrazovat identifikátory systému nebo aplikace, dokud není přihlašovací proces

dokončen;

b) zobrazovat obecné varování, že počítač smí používat pouze oprávnění uživatelé;

c) neposkytovat nápovědu během přihlašovacího postupu, která by pomohla

neoprávněnému uživateli;

d) zkontrolovat platnost přihlašovacích informací jen v případě, že jsou vstupní data

kompletní. Pokud se vyskytne chyba, systém by neměl indikovat, která část dat je

správná, nebo chybná;

e) omezit počet povolených neúspěšných přihlašovacích pokusů (doporučují se tři pokusy)

a zároveň zvážit:

1. zaznamenání neúspěšných pokusů;

2. povolení dalšího pokusu o přihlášení až za určitou dobu nebo odmítnutí dalších

pokusů bez dalšího specifického potvrzení;

3. odpojení všech spojení na data;

4. zasílání varovných zpráv do systémové konzole (správci sítě) v případě, že je

překročen maximální počet pokusů o přihlášení;

5. nastavení maximálního počtu pokusů o opětovné zadání hesla, společně s jeho

minimální délkou, podle toho jakou má systém pro organizaci hodnotu;

f) omezit minimální a maximální dobu povolenou pro přihlášení. Pokud je překročena,

systém by měl přihlašovací postup ukončit;

g) při dokončení úspěšného přihlášení zobrazit následující informace:

1. datum a čas předchozího úspěšného přihlášení;

2. podrobnosti o všech neúspěšných pokusech o přihlášení od posledního

úspěšného přihlášení;

h) nezobrazovat heslo při jeho zadávání a nebo jej maskovat použitím zástupných

symbolů;

i) neposílat hesla přes sít v čitelné (nezašifrované) textové podobě.

Další informace

Hesla, která jsou při pokusu o přihlášení odesílána v nešifrované podobě, mohou být snadno

odchycena za použití programů monitorujících síťový provoz (tzv. sniffers).

11.5.2 Identifikace a autentizace uživatelů

Opatření

Všichni uživatelé by měli mít pro výhradní osobní použití jedinečný identifikátor (uživatelské ID), měl

by být také zvolen vhodný způsob autentizace k ověření jejich identity.

Doporučení k realizaci

Toto opatření by se mělo vztahovat na všechny typy uživatelé (včetně podpůrného technického

personálu, jako jsou operátoři, administrátoři sítě, systémoví programátoři a databázoví

administrátoři).

Uživatelská ID by měla umožňovat pozdějšího vysledování odpovědnosti konkrétních osob za

činnosti v systému. Běžné aktivity uživatelů by neměly být prováděny z privilegovaných účtů.

Ve výjimečných případech, kde to představuje jednoznačný přínos pro organizaci, se může

používat sdílený uživatelský identifikátor pro skupiny uživatelů nebo pro určitou činnost. Tyto

případy by měly být písemně schváleny vedoucím zaměstnancem. Pro udržení odpovědnosti

mohou být nutná další dodatečná opatření.

Použití generických anebo obecných ID by mělo být povoleno pouze v případech, kdy není

potřeba sledovat aktivity konkrétních uživatelů (např. když je k objektům povolen přístup pouze

pro čtení) a nebo v případech kdy jsou zavedena jiná opatření (např. heslo pro automaticky

generované ID je vždy přiřazeno pouze jednomu konkrétnímu uživateli a je o tom vytvořen

záznam).

Tam kde je vyžadována silná autentizace a ověření identity by jako alternativy k heslům mělo

být zváženo použití kryptografických prostředků, paměťových nebo čipových karet a nebo

biometrických autentizačních technologií.

Další informace

Pro zajištění identifikace a autentizace se velmi často používají hesla (viz také 11.3.1 a 11.5.3),

jejich princip spočívá v tajemství, které zná pouze uživatel. Stejného výsledku může být

dosaženo pomocí kryptografických prostředků a autentizačních protokolů. Stupeň použité

identifikace a autentizace by měl odpovídat citlivosti chráněných informací.

Pro I&A mohou být také použity předměty, které jsou vlastnictvím uživatelů, jako například

paměťové nebo čipové karty. Pro autentizaci identity osoby mohou být použity také biometrické

autentizační technologie, využívající unikátní osobní charakteristiky nebo rysy. Kombinace

bezpečného propojení technologií a mechanizmů přináší kvalitnější autentizaci.

11.5.3 Systém správy hesel

Opatření

Systém správy hesel by měl být interaktivní a měl by zajišťovat použití kvalitních hesel.

Doporučení k realizaci

Systém správy hesel by měl:

a) prosazovat používání individuálních hesel a uživatelských ID pro udržení odpovědnosti;

b) umožnit uživatelům volit a měnit si své vlastní heslo a zahrnout do systému postup pro

potvrzení hesla, který by zamezoval možným překlepům;

c) prosazovat výběr kvalitních hesel (viz 11.3.1);

d) prosazovat obměnu hesel (viz 11.3.1);

e) donutit uživatele změnit si dočasně přidělené heslo při prvním přihlášení (viz 11.2.3);

f) udržovat záznam předchozích uživatelských hesel a zabránit uživatelům znovu je použít;

g) při zadávání hesla nezobrazovat heslo na obrazovce;

h) ukládat soubory hesel odděleně od dat aplikace;

i) ukládat a přenášet hesla v chráněné podobě (např. v zašifrovaná nebo hashovaná);

Další informace

Hesla jsou jedním ze základních prostředků pro ověřování oprávnění uživatelů přistupovat

k počítačovým službám.

Některé aplikace vyžadují, aby byla uživatelská hesla přidělena nezávislou autoritou; v takovýchto

případech nejsou výše uvedené body b), d) a e) aplikovatelné. Ve většině případů jsou hesla

volena a spravována uživateli. Doporučení týkající se používání hesel jsou uvedena v kapitole

11.3.1.

11.5.4 Použití systémových nástrojů

Opatření

Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly

by mělo být omezeno a přísně kontrolováno.

Doporučení k realizaci

Měla by být zvážena následující opatření:

a) pro systémové nástroje používat postupy identifikace, autentizace a autorizace;

b) oddělení systémových nástrojů od aplikačních programů;

c) omezení použití systémových nástrojů pouze pro minimální možný počet důvěryhodných

oprávněných uživatelů (viz také 11.2.2);

d) autorizace pro případ náhodného použití systémových nástrojů;

e) omezení dostupnosti systémových nástrojů, například jen na dobu provedení

schválených změn;

f) záznam o každém použití systémových nástrojů;

g) definování a dokumentování autorizačních úrovní pro systémové nástroje;

h) odstranění všech nepotřebných programových nástrojů a systémových programů;

i) zamezení přístupu k systémovým nástrojům pro uživatele, kteří mají přístup k aplikacím

v systémech, kde je vyžadováno oddělení povinností.

Další informace

Většina instalací počítačů obsahuje jeden nebo více systémových nástrojů, které jsou schopné

překonat systémové nebo aplikační kontroly.

11.5.5 Časové omezení relace

Opatření

Neaktivní relace by měly se po stanovené době nečinnosti ukončit.

Doporučení k realizaci

Časový mechanizmus by měl po definované době nečinnosti smazat obsah obrazovky a pokud

možno později zavřít jak aplikace, tak ukončit síťové relace. Časová prodleva před ukončením

relace by měla odrážet bezpečnostní rizika vyplývající z prostor, klasifikace informací,

používaných aplikací a uživatelů, kteří zařízení využívají.

U některých systémů může být realizována omezená forma časového ukončení relace, která smaže

obrazovku a zabrání neautorizovanému přístupu, ale nezavírá aplikace nebo síťové relace.

Další informace

Implementace tohoto opatření je zejména důležitá ve vysoce rizikových oblastech, například ve

veřejných nebo externích prostorech, které jsou mimo působnost bezpečnostní správy organizace,

aby se zabránilo přístupu neoprávněných osob.

11.5.6 Časové omezení spojení

Opatření

U vysoce rizikových aplikací by pro zajištění dodatečné bezpečnosti mělo být zváženo použití

omezení doby spojení.

Doporučení k realizaci

Toto opatření by se mělo zvážit u citlivých počítačových aplikací, zejména těch, které jsou

využívány uživateli ve vysoce rizikových lokalitách, například ve veřejných nebo externích

prostorech mimo působnost bezpečnostní správy organizace. Příklady těchto omezení jsou:

a) použití předdefinovaného časového intervalu, například pro dávkové přenosy souborů

nebo pravidelné interaktivní relace krátkého trvání;

b) omezení doby spojení na běžnou pracovní dobu, pokud neexistují požadavky na práci

přesčas nebo na vícesměnný provoz;

c) opakovaná autentizace po určitých časových intervalech.

Další informace

Vymezení doby, po kterou je povoleno připojení k počítačovým službám, omezuje příležitost pro

neoprávněný přístup. Časová omezení připojení také zamezují uživatelům ponechávat relace

otevřené a vyhnout se tak opětovné autentizaci.

11.6 Řízení přístupu k aplikacím a informacím

Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech.

Pro omezení přístupu k aplikačním systémům by měly být použity bezpečnostní prostředky.

Logický přístup k programům a informacím by měl být omezen na oprávněné uživatele. Aplikační

systémy by měly:

a) kontrolovat přístup uživatelů k datům a funkcím aplikačního systému v souladu s definovanou

politikou řízení přístupu;

b) poskytovat ochranu před neoprávněným přístupem ke všem nástrojům a systémovým

programům, které mohou obejít systémové a aplikační kontrolní mechanizmy;

c) nenarušit bezpečnost jiných systémů, se kterými jsou sdíleny informační zdroje;

11.6.1 Omezení přístupu k informacím

Opatření

Uživatelé aplikačních systémů, včetně pracovníků podpory, by měli mít přístup k informacím

a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu.

Doporučení k realizaci

Omezení přístupu by mělo být založeno na požadavcích na jednotlivé aplikace a musí být

v souladu s celkovou politikou přístupu k informacím organizace (viz 11.1).

Na podporu politiky přístupu by se mělo vzít v úvahu využití následujících opatření:

a) zajištění řízení přístupu k funkcím aplikačního systému prostřednictvím nabídek;

b) omezení přístupových oprávnění uživatelů, například na čtení, zápis, mazání,

vykonání/spuštění;

c) omezení přístupových práv ze strany dalších aplikací;

d) zajištění toho, že výstupy z aplikačního systému, který nakládá s citlivými informacemi,

obsahují relevantní informace, že tyto jsou posílány pouze oprávněným terminálům

nebo do oprávněných lokalit, včetně pravidelné kontroly výstupů, aby nebyly

publikovány nadbytečné údaje.

11.6.2 Oddělení citlivých systémů

Opatření

Citlivé aplikační systémy by měly mít oddělené (izolované) počítačové prostředí.

Doporučení k realizaci

Pro citlivé aplikační systémy by mělo být zváženo následující:

a) citlivost aplikačního systému by měla být explicitně určena a zdokumentována

vlastníkem aplikace (viz 7.1.2);

b) v případě provozování citlivé aplikace ve sdíleném prostředí by měly být aplikační

systémy, se kterými budou sdíleny zdroje, určeny a odsouhlaseny vlastníkem citlivé

aplikace.

Další informace

Některé aplikační systémy jsou vzhledem k možným ztrátám tak citlivé, že vyžadují zvláštní

zacházení.

Citlivost může určovat, zda by měl být aplikační systém:

a) provozován pouze na vyhrazeném počítači nebo;

b) sdílet zdroje pouze s důvěryhodnými aplikačními systémy.

Izolace citlivých aplikačních systémů může být zajištěna cestou jejich fyzického a nebo

logického oddělení (viz také 11.4.5).

11.7 Mobilní výpočetní zařízení a práce na dálku

Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití zařízení pro

práci na dálku.

Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při

použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném

prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být

zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento

způsob práce.

11.7.1 Mobilní výpočetní zařízení a sdělovací technika

Opatření

Měla by být ustavena formální pravidla a přijata opatření na ochranu proti rizikům použití

mobilních výpočetních a komunikačních prostředků.

Doporučení k realizaci

Při použití mobilních výpočetních prostředků, například notebooků, palmtopů, laptopů

a mobilních telefonů, by měla být věnována zvláštní pozornost tomu, aby nebyly prozrazeny

informace organizace. Měla by být přijata taková formální pravidla, které by brala v úvahu riziko

práce s mobilním výpočetním zařízením, zejména v nezabezpečeném prostředí.

Tato pravidla by měla zahrnovat například požadavky na fyzickou ochranu, kontrolu přístupu,

kryptografické techniky, zálohování a antivirovou ochranu. Tato pravidla by rovněž měla

zahrnovat požadavky a doporučení pro připojování mobilních výpočetních zařízení k sítím

a návod k použití těchto prostředků na veřejných místech.

Pozornost by měla být věnována použití mobilních výpočetních zařízení na veřejných místech,

v zasedacích místnostech a jiných nechráněných místech mimo prostor organizace. Měla by být

k dispozici ochrana proti neautorizovanému přístupu a prozrazení informací uložených

a zpracovávaných těmito prostředky, například použitím kryptografických technik (viz 12.3).

Při použití těchto zařízení na veřejných místech by se uživatelé měli vyhnout riziku odpozorování

neautorizovanými osobami. Měly by být použity prostředky proti škodlivým programům a tyto

prostředky by měly být aktualizovány (viz 10.4).

V pravidelných intervalech by měly být vytvářeny zálohy všech kritických informací organizace. Mělo

by být k dispozici zařízení schopné provádět rychlé a jednoduché zálohování informací. Zálohy by

měly být odpovídajícím způsobem chráněny proti krádeži nebo ztrátě informací.

Při použití mobilních výpočetních zařízení připojených k sítím by měla být zajištěna vhodná

ochrana. Vzdálený přístup k informacím organizace prostřednictvím veřejných sítí by měl být

umožněn pouze po úspěšné identifikaci a autentizaci, a to s nasazením vhodných mechanizmů

řízení přístupu (viz 11.4).

Mobilní výpočetní prostředky by měly být také chráněny proti zcizení, zejména pokud zůstávají

například v autech nebo jiných dopravních prostředcích, hotelových pokojích, konferenčních

centrech a zasedacích místnostech. Pro případ krádeže nebo ztráty mobilních výpočetních zařízení

by měly být ustaveny přesné postupy beroucí v potaz právní požadavky, požadavky na pojištění a

další bezpečnostní požadavky organizace. Zařízení, obsahující důležité, citlivé nebo kritické

informace organizace, by nemělo zůstávat bez dohledu a mělo by být pokud možno fyzicky

zabezpečeno nebo by jeho funkce měly být zajištěny speciálním uzamčením. Více informací

o fyzické ochraně mobilních zařízení lze nalézt v 9.2.5.

Aby bylo dosaženo povědomí o dalších rizicích tohoto způsobu práce a opatřeních, která by měla být

zavedena, měla by být pro personál, používající mobilní zařízení, organizována školení.

Další informace

Bezdrátová připojení jsou podobná ostatním typům síťových připojení, existuje však několik

důležitých rozdílů, které je třeba mít na paměti při výběru vhodných opatření. Typickými rozdíly

jsou:

a) některé bezdrátové bezpečnostní protokoly mají známé slabiny;

b) vytvoření záloh informací uložených na mobilních výpočetních prostředcích nemusí

vždy proběhnout tak, jak bylo naplánováno. Důvodem může být omezená šířka

přenosového pásma a/nebo bylo vytvoření zálohy naplánováno na dobu, kdy nebylo

zařízení připojeno k síti.

11.7.2 Práce na dálku

Opatření

Organizace by měla vytvořit a do praxe zavést zásady, operativní plány a postupy pro práci na

dálku.

Doporučení k realizaci

Organizace by měla schválit aktivity práce na dálku pouze tehdy, jestliže jsou splněny odpovídající

bezpečnostní požadavky a jsou zavedena opatření, jež jsou v souladu s bezpečnostní politikou

organizace.

Na vzdáleném pracovišti by měla existovat vhodná ochrana například proti zcizení zařízení

a informací, neautorizovanému vyzrazení informací, neautorizovanému vzdálenému přístupu

k vnitřním systémům organizace nebo zneužití prostředků. Je důležité, aby práce na dálku byla

schvalována a kontrolována vedoucími zaměstnanci a aby byly zavedeny vhodné podmínky pro

tento způsob práce.

Mělo by být zváženo následující:

a) existence fyzické bezpečnosti pracoviště a práce na dálku včetně fyzického

zabezpečení budovy a místního prostředí;

b) navrhované prostředí práce na dálku;

c) požadavky na komunikační bezpečnost, zahrnující potřeby vzdáleného přístupu

k interním systémům organizace, citlivost informací, ke kterým je přistupováno a které

jsou přenášeny komunikačními linkami, i citlivost interního systému;

d) hrozba neautorizovaného přístupu k informacím nebo zdrojům ze strany ostatních lidí

užívajících místnosti, například rodina a přátelé

e) používání domácích sítí a požadavky nebo omezení na konfiguraci bezdrátových

síťových služeb;

f) politika a procedury pro zamezení sporů ohledně práv v intelektuálnímu vlastnictví

vytvořeného na zařízení v soukromém vlastnictví;

g) přístup k vybavení v soukromém vlastnictví, který může být omezen zákonem (např.

z důvodů kontroly zabezpečení nebo v rámci vyšetřování);

h) licenční podmínky na provoz programového vybavení, které mohou stanovovat

odpovědnost organizace za licence klientských aplikací také na pracovních stanicích,

které jsou soukromým majetkem zaměstnanců, smluvních nebo třetích stran;

i) požadavky na antivirovou ochranu a firewall.

Kontroly a podmínky, které by měly být zváženy, zahrnují:

a) zajištění vhodného zařízení a skladovacího vybavení pro práci na dálku tam, kde není

povoleno používat prostředky v soukromém vlastnictví, které nejsou pod kontrolou

organizace;

b) určení povoleného druhu práce, pracovní doby, klasifikace informací, které mohou být

drženy, a klasifikace interních systémů a služeb, ke kterým bude mít daná osoba při

práci na dálku přístup;

c) zajištění vhodného komunikačního zařízení včetně metod pro bezpečný vzdálený

přístup;

d) fyzickou bezpečnost;

e) pravidla a doporučení pro přístup k zařízení a informacím ze strany rodiny a návštěv;

f) zajištění technické a programové podpory a údržby;

g) zajištění pojištění;

h) zálohovací postupy a postupy zajištění kontinuity činností organizace;

i) audit a monitorování bezpečnosti;

j) zrušení oprávnění, přístupových práv a vrácení vybavení při ukončení práce na dálku.

Další informace

Při práci na dálku umožňují komunikační technologie personálu pracovat vzdáleně z určeného

místa mimo organizaci.

12 Nákup, vývoj a údržba informačního systému

12.1 Bezpečnostní požadavky systémů

Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.

To zahrnuje provozní systémy, infrastrukturu, interní aplikace organizace, zakoupené produkty,

služby a uživatelsky vyvinuté aplikace. Návrh a implementace informačního systému na

podporu procesů organizace může být z hlediska bezpečnosti kritický. Bezpečnostní požadavky by

měly být stanoveny a odsouhlaseny ještě před zahájením vývoje informačního systému.

Všechny bezpečnostní požadavky by měly být v projektu stanoveny již ve fázi definice požadavků

a měly by být zdůvodněny, odsouhlaseny a dokumentovány jako součást vývoje informačního

systému.

12.1.1 Analýza a specifikace bezpečnostních požadavků

Opatření

Požadavky organizace na nové informační systémy nebo na rozšíření existujících systémů by

měly obsahovat také požadavky na bezpečnostní opatření.

Doporučení k realizaci

Tato specifikace by měla vzít v úvahu začlenění automatizovaných kontrol do systému, ale

i potřebu doplňujících manuálních kontrol. Stejně by se mělo postupovat i při testování,

vytvořených nebo zakoupených, programových balíků aplikací organizace.

Bezpečnostní požadavky a opatření by měly odrážet hodnotu informačních aktiv pro organizaci

(viz 7.2) a možnou škodu, která by mohla být výsledkem nedostatečné bezpečnosti nebo jejího

selhání.

Požadavky na bezpečnost informačních systémů a procesy implementace bezpečnosti by měly

být začleněny do projektu informačního systému již v jeho počáteční fázi. Opatření, která jsou

začleněna ve fázi návrhu, lze implementovat a udržovat výrazně levněji než ty, které jsou

začleňovány v průběhu nebo po implementaci.

U zakoupených produktů by měl nejprve následovat formální proces testování a zavedení do

provozu. Ve smlouvách s dodavateli by měly být specifikovány požadavky na bezpečnost. U

produktů jejichž bezpečnostní funkce nesplňují specifikované požadavky na bezpečnost by

ještě před jejich nákupem mělo být zváženo přijetí opatření na pokrytí nově zavedeného rizika.

Pokud s sebou dodatečné změna funkčnosti produktů přináší také nové riziko, měla by tato

funkčnost být buďto zrušena, a nebo by měl být přezkoumán její potenciální přínos a přijetí

dodatečných opatření.

Další informace

Vedení organizace se může, po důkladném zvážení (například z důvodů nižších nákladů),

rozhodnout používat nezávisle certifikované a ohodnocené produkty. Podrobnější informace o

požadavcích na kritéria, podle kterých je hodnocena bezpečnost IT produktů, lze nalézt v normě

ISO/IEC 1540816 a dalších normách.

Norma ISO/IEC 13335-317 poskytuje návod jak správně určit požadavky na bezpečnostní

opatření v rámci procesu řízení rizik.

12.2 Správné zpracování v aplikacích

Cíl: Předcházet chybám, ztrátě, modifikaci nebo zneužití uživatelských dat v aplikacích.

Pro zajištění bezchybného zpracování by do aplikačních systémů, včetně těch, které jsou

vytvořeny uživatelsky, měly být zahrnuty vhodné kontroly. Měly by zahrnovat potvrzení platnosti

vstupních dat, interního zpracování a výstupních dat.

Přijetí dodatečných kontrol by mělo být zváženo u systémů, které zpracovávají nebo mají vliv na

zpracování citlivých, cenných nebo kritických informací.

12.2.1 Kontrola vstupních dat

Opatření

Vstupní data aplikací by měla být kontrolována z hlediska správnosti a adekvátnosti.

Doporučení k realizaci

Kontrolovány by měly být transakční vstupy, vlastní data (např. jména a adresy, úvěrové limity,

zákaznická referenční čísla) a číselníky (např. prodejní ceny, kurzové převodní tabulky, daňové

sazby).

V úvahu by měla být vzata následující opatření:

a) zdvojený vstup nebo jiná vstupní kontrola, jako například specifikace rozsahu nebo

definovaná pole dat, pro detekování následujících chyb:

1. hodnoty mimo rozsah;

2. neplatné znaky v datových polích;

3. chybějící nebo nekompletní údaje;

4. překročení horního a dolního vymezení rozsahu dat;

5. neoprávněná nebo nekonzistentní kontrolní data;

b) pravidelná kontrola obsahu klíčových polí nebo datových souborů pro potvrzení jejich platnosti

a integrity;

c) kontrola papírových vstupních dokumentů za účelem zjištění jakýchkoliv

neoprávněných změn ve vstupních datech (všechny změny vstupních dokumentů by

měly být schváleny);

d) postupy při reakci na zjištěné chyby validace;

e) postupy pro testování hodnověrnosti vstupních dat;

f) stanovení odpovědností všeho personálu, který se účastní procesu vstupu dat;

g) vytvoření záznamu o činnostech, které jsou součástí procesu vstupu dat (viz 10.10.1).

Další informace

Pro snížení rizika chyb a zabránění běžným útokům, včetně přetečení zásobníku a podstrčení

kódu, by měla být zvážena implementace automatických kontrol a verifikace dat.

12.2.2 Kontrola vnitřního zpracování

Opatření

Pro detekci jakéhokoliv poškození nebo modifikace informací vzniklého chybami při zpracování

nebo úmyslnými zásahy, by mělo být zváženo začlenění kontroly platnosti dat.

Doporučení k realizaci

Návrh aplikací by měl zajistit implementaci těchto omezení tak, aby se minimalizovalo riziko

chyb při zpracování vedoucí ke ztrátě integrity. Za zvážení stojí následující specifické oblasti:

a) použití funkcí vstupu, modifikace a mazání za účelem provedení změn v datech;

b) postupy, které brání spuštění programům ve špatném pořadí nebo zabraňují jejich

spuštění po předchozím selhání zpracování (viz také 10.1.1);

c) použití vhodných programů na zotavení se z chyb a pro zajištění správného zpracování

dat;

d) použití ochrany proti útokům způsobujícím přetečení bufferu.

Měl by být připraven kontrolní seznam, veškeré činnosti dokumentovány a výsledky bezpečně

uchovány. Příklady kontrol, které mohou být začleněny, jsou následující:

a) relační nebo dávková kontrola pro porovnání bilancí datových souborů po transakčních

aktualizacích;

b) bilanční (balancing) kontroly pro ověření celkové hodnoty otevíraných dat oproti celkové

hodnotě předtím uzavřených dat, zejména:

1. kontrola mezi jednotlivými úlohami (run-to-run);

2. celková hodnota provedená aktualizacemi souboru;

3. kontrola mezi jednotlivými programy (program-to-program);

c) verifikace vstupních dat generovaných systémem (viz 12.2.1);

d) prověrka integrity dat nebo programů zasílaných či nahrávaných mezi centrálním

počítačem a vzdálenou stanicí;

e) výpočet celkového kontrolního součtu (hash) záznamů a souborů;

f) ověření, zda jsou programy spouštěny ve správný čas;

g) prověrka, zda jsou programy spouštěny ve správném pořadí a jsou zastaveny v případě

chyby a zda je další zpracování pozastaveno až do odstranění problému;

h) vytváření záznamů o činnostech v průběhu zpracování (viz 10.10.1).

Další informace

Správně vložená data mohou být poškozena chybami technického vybavení, při zpracování

nebo úmyslnými zásahy. Požadované kontroly platnosti dat budou záviset na podstatě aplikací

a dopadu možného poškození dat na chod organizace.

12.2.3 Integrita zprávy

Opatření

U jednotlivých aplikací by měly být stanoveny bezpečnostní požadavky na zajištění autentizace

a integrity zpráv, dle potřeby určena, a zavedena vhodná opatření.

Doporučení k realizaci

Pro stanovení nutnosti zajištění integrity zpráv a určení její nejvhodnější metody by se mělo

provést hodnocení rizik.

Další informace

Jako vhodný prostředek pro implementaci autentizace zpráv mohou být použity kryptografické

metody (viz 12.3).

12.2.4 Kontrola výstupních dat

Opatření

Pro zajištění toho, že zpracování uložených informací je bezchybné a odpovídající dané situaci, by

mělo být provedeno ověření platnosti výstupních dat.

Doporučení k realizaci

Výstupní kontrola platnosti dat může zahrnovat:

a) prověrku hodnověrnosti, tedy ověření přijatelnosti výstupních dat;

b) porovnávací kontrolní součet zajišťující, že byla zpracována všechna data;

c) poskytnutí dostatku informací pro čtenáře nebo následný proces zpracování, pro stanovení

správnosti, kompletnosti, přesnosti a klasifikace informací;

d) postupy pro reakce na výstupní testy platnosti dat;

e) definice odpovědností všeho personálu účastnícího se výstupního procesu

f) vytvoření záznamu všech činností v rámci procesu ověření platnosti výstupních dat.

Další informace

Systémy jsou zpravidla postaveny na předpokladu, že po provedení kontroly platnosti,

verifikace a testování jsou výstupní data správná. Ne vždy je však tento předpoklad správný, i

otestované systémy mohou za určitých okolností produkovat neplatná data.

12.3 Kryptografická opatření

Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.

Měla by být vytvořena pravidla pro použití kryptografických opatření. K podpoře používání

kryptografických technik by měl v organizaci existovat systém jejich správy.

12.3.1 Politika pro použití kryptografických opatření

Opatření

Měla by být vytvořena a zavedena pravidla pro používání kryptografických opatření na ochranu

informací.

Doporučení k realizaci

Při vytváření pravidel by mělo být zváženo následující:

a) manažerský přístup k zavedení kryptografických opatření v celé organizaci, včetně

základních principů, podle kterých by měly být informace chráněny (viz 5.1.1);

b) na základě výsledků hodnocení rizik by měla být stanovena požadovaná úroveň

ochrany a to s ohledem na typ, sílu a kvalitu požadovaného šifrovacího algoritmu;

c) použití šifrování na ochranu citlivých informací při přenosu na mobilních nebo

vyměnitelných počítačových médiích a zařízení a nebo komunikačními linkami;

d) přístup ke správě klíčů, včetně metod řešení ochrany šifrovacích klíčů, obnovení

šifrovaných informací v případě ztráty, vyzrazení nebo poškození klíčů;

e) úlohy a odpovědnosti, například kdo je odpovědný za:

1. implementaci pravidel;

2. správu klíčů včetně jejich generování (viz 12.3.2);

f) normy, které budou přijaty, aby implementace opatření v celé organizaci byla účinná (pro

které procesy budou použita která řešení)

g) dopad, jaký má šifrování informací na prováděné kontroly obsahu (např. detekce virů).

Při implementaci pravidel použití kryptografie v organizaci by měl být brán zřetel na předpisy

a místní omezení, která mohou platit při použití kryptografických technik v různých částech

světa a pro přenos šifrovaných informací za hranice státu (viz také 15.1.6).

Kryptografická opatření mohou být použita k dosažení různých bezpečnostních cílů, např.:

a) důvěrnosti: použití šifrování na ochranu uložených nebo přenášených citlivých nebo

kritických informací;

b) integrity/autentičnosti: použití digitálních podpisů nebo na ochranu autentičnosti

a integrity uložených nebo přenášených citlivých a kritických informací;

c) nepopiratelnosti: použití kryptografických technik k získání důkazu o tom, zda událost

nebo činnost nastala.

Další informace

Rozhodnutí, zda je vhodné použití kryptografického řešení, by mělo být součástí širšího procesu

hodnocení rizik a výběru opatření. Toto hodnocení pak může být použito při určení vhodnosti

kryptografických opatření, aplikaci konkrétních opatření a dále účelu či procesů organizace, pro

které mají být využity.

Organizace by měla vytvořit pravidla pro používání kryptografických opatření na ochranu svých

informací. Tato pravidla jsou potřebná, aby bylo možno maximalizovat výhody a minimalizovat

rizika z použití kryptografických metod a také pro vyvarování se nevhodného nebo nesprávného

použití. Při použití digitálních podpisů by měl být brán zřetel na všechny relevantní právní úpravy,

které stanovují podmínky vážící se k právní závaznosti digitálních podpisů (viz 15.1).

Při určení odpovídající úrovně ochrany, výběru vhodných produktů, které zajistí odpovídající

ochranu a implementaci bezpečného systému správy klíčů, by mělo být dáno na doporučení

specialistů (viz také 12.3.2).

Technická komise ISO/IEC JTC SC27 vytvořila řadu norem týkajících se kryptografických technik.

Další informace lze také nalézt ve standardu IEEE P136318 a směrnici OECD19.

12.3.2 Správa klíčů

Opatření

Na podporu používání kryptografických technik v organizaci by měl existovat systém jejich

správy.

Doporučení k realizaci

Všechny klíče by měly být chráněny před modifikací a zničením. Tajné a soukromé klíče je třeba

chránit proti neautorizovanému prozrazení. Pro zabezpečení prostředků určených ke generování,

ukládání a archivaci klíčů by měly být použity prostředky fyzické ochrany.

Systém správy klíčů by měl být založen na schváleném souboru norem, postupů a bezpečných

metod pro:

a) generování klíčů pro různé kryptografické metody a aplikace;

b) generování a získávání certifikátů veřejných klíčů;

c) distribuci klíčů určeným uživatelům včetně způsobu jejich aktivace po předání;

d) ukládání klíčů včetně toho, jak autorizovaní uživatelé získávají ke klíčům přístup;

e) změny nebo aktualizace klíčů včetně pravidel určujících, kdy by měly být klíče měněny

a jakým způsobem;

f) zacházení s prozrazenými klíči;

g) revokace klíčů včetně toho, jak mají být klíče staženy z oběhu nebo deaktivovány,

například v případě prozrazení nebo při odchodu uživatele z organizace (v tomto

případě by klíče měly být rovněž archivovány);

h) obnovení ztracených nebo poškozených klíčů jako součást řízení kontinuity činností

organizace, například pro obnovení šifrovaných informací;

i) archivaci klíčů, například pro informace archivované nebo zálohované;

j) ničení klíčů;

k) zaznamenávání a audit aktivit majících souvislost se správou klíčů.

Pro snížení pravděpodobnosti vyzrazení klíčů by tyto měly mít určenu dobu aktivace

a deaktivace, aby jejich použití bylo časově omezeno. Délka platnosti klíče by měla být závislá

na okolnostech, ve kterých se kryptografická opatření používají, a na předpokládaných rizicích.

Současně s bezpečnou správou tajných a privátních klíčů by měla být zvážena i ochrana

veřejných klíčů. Autentizace veřejných klíčů se zpravidla řeší certifikáty veřejných klíčů, které

jsou vydávány certifikační autoritou. Ta by měla být uznávanou organizací a pro zajištění

požadovaného stupně důvěryhodnosti by měla mít zavedena vhodná opatření a postupy.

Obsah dohod o úrovni služeb nebo smluv s externím poskytovatelem kryptografických služeb,

například s certifikační autoritou, by měl pokrývat právní závaznost, spolehlivost a dobu odezvy

zajišťovaných služeb (viz 6.2.3).

Další informace

K účinnému použití kryptografických technik je správa kryptografických klíčů nezbytná. Další

informace poskytuje norma ISO/IEC 1177020.

Kryptografické techniky jsou následující:

a) systém tajných klíčů, kdy dvě nebo více stran sdílí stejný klíč, který je použit jak

k šifrování, tak k dešifrování informací. Tento klíč musí být udržován v tajnosti, protože

kdokoliv, kdo má přístup k tomuto klíči, by mohl dešifrovat všechny informace, které

byly zašifrované tímto klíčem nebo by mohl zavést neautorizované informace;

b) systém veřejných klíčů, kde každý uživatel má pár klíčů. Veřejný klíč (který může být

přístupný každému) a soukromý klíč (který musí být držen v tajnosti). Systém veřejných

klíčů může být použit pro šifrování i pro vytváření digitálních podpisů (viz také normy

ISO/IEC 979621 a ISO/IEC 1488822).

Existuje hrozba, že někdo padělá digitální podpis výměnou veřejného klíče uživatele za svůj

veřejný klíč. Tento problém se řeší zejména certifikáty veřejných klíčů.

Na ochranu šifrovacích klíčů mohou být také použity kryptografické techniky. Mělo by být

zváženo vytvoření postupů pro vyřizování zákonných požadavků na přístup ke kryptografickým

klíčům, například šifrované informace může být zapotřebí zpřístupnit v nešifrované podobě

v případě, že by měly sloužit jako důkaz v soudním sporu.

12.4 Bezpečnost systémových souborů

Cíl: Zajistit bezpečnost systémových souborů

Přístup k systémovým souborům a zdrojovým kódům programů by měl být řízen, projekty IT

a podpůrné činnosti by měly být prováděny bezpečným způsobem. Měla by být přijata opatření

zabraňující prozrazení citlivých informací v testovacím prostředí.

12.4.1 Správa provozního programového vybavení

Opatření

Měly by být zavedeny postupy kontroly instalace programového vybavení na provozních

systémech.

Doporučení k realizaci

Pro snížení rizika poškození provozních systémů by měla být zvážena následující opatření:

a) aktualizace, provozního programového vybavení, aplikací a knihoven programů by měly

být prováděny pouze oprávněným správcem na základě schválení vedením (viz 10.4.3);

b) pokud je to možné, měly by provozní systémy obsahovat pouze spustitelný kód.

Provozní systémy by neměly obsahovat vývojový kód nebo kompilátory ;

c) spustitelný kód by neměl být implementován do provozního systému dříve, než je k

dispozici doklad o úspěšném testování a převzetí uživatelem a než jsou aktualizovány

odpovídající zdrojové knihovny. Testy by měly být prováděny na oddělených systémech

(viz také 10.1.4) a měly by zahrnovat ověření použitelnosti, bezpečnosti, vlivu na ostatní

systémy a optimálnosti pro uživatele;

d) měl by být používán systém kontroly konfigurace pro udržování přehledu

o instalovaném programovém vybavení a systémové dokumentaci;

e) měla by být připravena strategie umožňující návrat, po implementaci změn, do

původního stavu;

f) měly by být udržovány auditní záznamy všech aktualizací provozních programových

knihoven;

g) pro případ nouze by měly být uchovány předcházející verze programového vybavení;

h) staré verze programového vybavení by měly být archivovány spolu se všemi

požadovanými informacemi a parametry, postupy, konfiguracemi a podpůrnými

programy po celou dobu uchování dat v archivu.

Dodavatelsky pořízené programové vybavení použité v provozních systémech by mělo být

udržováno způsobem, který podporuje dodavatel. Na některé starší verze programového

vybavení může dodavatel přestat poskytovat podporu. Organizace by měla zvážit rizika spojená

s provozem nepodporovaného programového vybavení.

Každé rozhodnutí o povýšení verze by mělo brát v úvahu její bezpečnost, tj. její nové

bezpečnostní vlastnosti nebo počet, a závažnost bezpečnostních problémů s ní spojených.

V případě, že existují opravné dávky (záplaty) pro programové vybavení, které mohou pomoci

odstranit nebo redukovat bezpečnostní slabiny, měly by být použity (viz také 12.6.1).

Fyzický nebo logický přístup by měl být umožněn dodavatelům pouze tehdy, pokud je to třeba ze

servisních důvodů a pokud to bylo schváleno vedením. Aktivity dodavatelů by měly být

monitorovány.

Počítačové programové vybavení může záviset na externě dodávaných programech

a modulech.Ty by měly být monitorovány a kontrolovány, aby se zabránilo neoprávněným

změnám, které by mohly být příčinou vzniku bezpečnostních slabin.

Další informace

Provozní systémy by měly být aktualizovány pouze v případech, kdy existuje takový požadavek,

například pokud stávající verze operačního systému již nestačí aktuálním požadavkům

organizace. Aktualizace by neměly probíhat jen proto, že je k dispozici nová verze operačního

systému. Nové verze operačních systémů mohou být méně bezpečné, méně stabilní a méně

prověřené než stávající systém.

12.4.2 Ochrana systémových testovacích údajů

Opatření

Testovací data by měla být pečlivě vybrána, chráněna a kontrolována.

Doporučení k realizaci

Pro účely testování je vhodné se vyhnout použití provozních databází obsahujících osobní nebo

jinak citlivé údaje. Pokud se tato data použijí, je zapotřebí před tím provést jejich anonymizaci.

Pro ochranu provozních dat použitých pro testovací účely by měla být použita následující

Opatření

a) postupy řízení přístupu, které se používají v provozních aplikačních systémech, by měly

být použity i při testování aplikačních systémů;

b) každé kopírování provozních informací do testovacího aplikačního systému by mělo být

samostatně schváleno;

c) provozní informace by měly být okamžitě po ukončení testů z testovacího aplikačního

systému smazány.

d) kopírování provozních informací by mělo být zaznamenáno do auditních záznamů.

Další informace

Systémové a přejímací testování obvykle vyžaduje značné množství testovacích dat, která by

měla být co možná nejvíce podobná datům provozním.

12.4.3 Řízení přístupu ke knihovně zdrojových kódů

Opatření

Přístup ke knihovně zdrojových kódů by měl být omezen.

Doporučení k realizaci

Aby se minimalizovalo možné poškození počítačových programů (zavedení neschválených

funkčních prvků a provedení nechtěných změn), měly by se uplatnit přísné kontroly na přístup ke

knihovnám zdrojových kódů programu a souvisejících položek (jako jsou návrh, popisy, plány

přezkoušení a plány ověření platnosti. U zdrojových kódů programů toho lze dosáhnout vytvořením

kontrolovaného centrálního úložiště, nejlépe v knihovnách zdrojových kódů. Pro řízení přístupu do

těchto knihoven je možné zvážit následující doporučení (viz také 11) snižující pravděpodobnost

poškození počítačových programů:

a) kde je to možné, neměly by být knihovny zdrojových kódů uloženy v provozních

systémech;

b) zdrojové kódy programů a knihovny zdrojových kódů by měly být spravovány v souladu

se zavedenými postupy;

c) pracovníci podpory IT by neměli mít neomezený přístup ke knihovnám zdrojových kódů;

d) aktualizace zdrojových knihoven programů a souvisejících položek a předávání

zdrojových programů programátorům by mělo být prováděno pouze na základě řádného

schválení;

e) výpisy z programu by měly být uloženy na bezpečném místě (viz 10.7.4);

f) všechny přístupy ke knihovnám zdrojových kódů by měly být zaznamenány do auditního

záznamu;

g) udržování a kopírování knihoven zdrojového kódu programu by mělo být předmětem

přísných postupů změnového řízení (viz 12.5.1).

Další informace

Zdrojový kód programu je kód napsaný programátorem a následně zkompilovaný (sestavený)

do spustitelného kódu. Některé programovací jazyky formálně nerozlišují mezi zdrojovým

kódem a spustitelným kódem, protože se spustitelný kód vytváří až při požadavku na spuštění.

Normy ISO 1000723 a ISO/IEC 1220724 poskytují další informace ohledně řízení jakosti

a životního cyklu programového vybavení.

12.5 Bezpečnost procesů vývoje a podpory

Cíl: Udržovat bezpečnost programů a informací aplikačních systémů.

Projektové a podpůrné prostředí by mělo být pod přísnou kontrolou.

Vedoucí a správci, kteří jsou odpovědní za aplikační systémy, by měli mít také odpovědnost za

bezpečnost projektového a podpůrného prostředí. Měli by zajistit, že všechny plánované změny

systému budou podrobeny kontrole, aby nenarušily bezpečnost systému nebo provozního

prostředí.

12.5.1 Postupy řízení změn

Opatření

Měly by být zavedeny formální postupy řízení změn.

Doporučení k realizaci

Pro minimalizaci poškození informačních systémů by měly být prosazovány a dokumentovány

formální postupy pro řízení změn. Postupy zavádění nových a významné změny u stávajících

systémů by měly být formálně řízeny a dokumentovány včetně technických specifikací, měly by

podléhat testování a kontrole kvality. Měly by také zajišťovat, aby bezpečnostní a kontrolní

postupy nebyly narušeny, aby programátoři měli přístup pouze k těm částem systému, které

potřebují ke své práci, aby všechny změny byly potvrzeny formální dohodou a odsouhlasením.

Vždy, když je to vhodné, by měly být aplikační a provozní postupy řízení změn propojeny (viz

také 8.1.2). Tento proces by měl zahrnovat:

a) udržování záznamu schválených stupňů oprávnění;

b) zajištění toho, že požadavek na změny byl vznesen oprávněnými uživateli;

c) přezkoumaní opatření a integrity postupů proto, aby v případě změn nemohlo dojít k jejich

kompromitaci;

d) určení veškerého programového vybavení, informací, databázových entit a technického

vybavení, které vyžadují doplnění nebo změny;

e) formální schválení podrobných návrhů před zahájením práce;

f) zajištění toho, aby změny byly před provedením akceptovány oprávněnými uživateli;

g) zajištění toho, aby systémová dokumentace byla aktualizována při ukončení každé změny

a stará dokumentace byla archivována nebo zničena;

h) udržování kontroly verzí u všech aktualizací programového vybavení;

i) udržování auditního záznamu všech požadavků na změny;

j) zajištění toho, aby v případě nutnosti byly provedeny změny v provozní dokumentaci (viz

10.1.1) a uživatelských postupech;

k) zajištění toho, aby změny byly prováděny včas a nebyl narušen daný proces organizace.

Další informace

Změna aplikačního programového vybavení může ovlivnit stávající provozní prostředí.

Mezi dobré praktiky patří testování nových programů v prostředí, které je odděleno od vývojového

a provozního prostředí (viz také 10.1.4). To umožňuje získání kontroly nad novými programy

a zajišťuje další ochranu provozních informací použitých pro testovací účely. Takto by se měly

také nejprve aplikovat záplaty, opravné balíčky a další aktualizace. U kritických systémů by,

z důvodů možného selhání, neměly být nastaveny automatické aktualizace (viz 12.6).

12.5.2 Technické přezkoumání aplikací po změnách operačního systému

Opatření

V případě změny operačního systému by měly být přezkoumány a otestovány kritické aplikace,

aby bylo zajištěno, že změny nemají nepříznivý dopad na provoz nebo bezpečnost organizace.

Doporučení k realizaci

Tento proces by měl zahrnovat:

a) přezkoumání opatření a procesů zabezpečujících integritu v aplikacích, aby bylo zajištěno,

že nejsou narušeny změnami operačního systému;

b) zajištění toho, aby roční plán podpory a rozpočet na ni pokrýval přezkoumání a testování

systému vyvolané změnami operačního systému;

c) zajištění toho, aby změny operačního systému byly včas oznámeny tak, aby mohla být

provedena náležitá přezkoumání před jejich realizací;

d) zajištění toho, aby příslušné změny byly zaneseny do plánů kontinuity činností organizace

(viz 14).

Měla by být určena konkrétní odpovědnost za sledování zranitelností a dodavateli nově

vydaných záplat a oprav (viz 12.6).

12.5.3 Omezení změn programových balíků

Opatření

Modifikace programových balíků by měly být omezeny pouze na nezbytné změny, veškeré

prováděné změny musí být řízeny.

Doporučení k realizaci

Dodavatelsky pořízené programové balíky by měly být používány beze změn. V případech, kdy

je opravdu nutné modifikovat sady programového vybavení, by se měly vzít v úvahu následující

body:

a) možné riziko narušení vestavěných kontrol a procesů zajišťujících integritu;

b) zda by měl být získán souhlas dodavatele;

c) možnost získání požadovaných změn od dodavatele formou standardní aktualizace

programu;

d) důsledky toho, že se organizace stane z důvodu provedení změn odpovědnou za budoucí

udržování programů.

Pokud jsou změny nezbytné, pak by se originální programové vybavení mělo uchovat a změny by

měly být provedeny na jednoznačně označené kopii. Pro zajištění toho, že jsou vždy

instalovány nejnovější a schválené záplaty a aktualizace by měl být zaveden řízený proces

aktualizace aplikačního programového vybavení. Všechny změny by měly být plně

zdokumentovány, aby se mohly znovu použít u budoucích verzí programového vybavení.

Pokud je to vyžadováno, měly by provedené změny být nezávisle otestovány a potvrzeny.

12.5.4 Únik informací

Opatření

Mělo by být zabráněno úniku informací.

Doporučení k realizaci

Pro snížení pravděpodobnosti rizika úniku informací (např. využitím skrytých kanálů) by měly

být vzaty v úvahu následující doporučeni:

a) skenování odchozích médií a komunikací jestli neobsahují skryté informace;

b) provádět maskování, časté změny chování a komunikování systému, ke snížení

pravděpodobnosti odhalení informací;

c) využití systémů a aplikačního programového vybavení s ověřenou vysokou mírou

integrity, například produktů splňujících kritéria bezpečného vývoje (viz ISO/IEC

1540825);

d) pravidelné monitorování systému a činností zaměstnanců, pokud je to v souladu

s příslušnou legislativou a předpisy;

e) monitorování využití zdrojů v počítačových systémech.

Další informace

Skryté kanály jsou cesty, jejichž cílem není zprostředkovávat tok informací, mohou se však

v sítích nebo systémech vyskytovat. Například manipulace (změna hodnot) bitů v datových

paketech komunikačních protokolů může být využita jako skrytá metoda signalizace.

Stoprocentní ochrana proti skrytým kanálům je obtížná, ne-li nemožná. Tyto kanály jsou však

často využity trojskými koni (viz 10.4.1), proto přijetí opatření na ochranu proti trojským koňům

může výrazně snížit riziko zneužití skrytých kanálů.

Ochrana před neautorizovaným přístupem k síti (viz 11.4) spolu s politikou a postupy

odrazujícími personál od zneužití síťových služeb (viz 15.1.5)

12.5.5 Programové vybavení vyvíjené externím dodavatelem

Opatření

Vývoj programového vybavení externím dodavatelem by měl být organizací dohlížen

a monitorován.

Doporučení k realizaci

Když je vyvíjeno programové vybavení externím dodavatelem, měly by být zváženy následující

body:

a) licenční ujednání, vlastnictví kódu a práv duševního vlastnictví (viz 15.1.2);

b) osvědčení kvality a správnosti provedených prací;

c) uložení zdrojového kódu u nezávislé třetí strany pro případ problémů externího

dodavatele;

d) právo přístupu k vývoji pro audit kvality a správnosti provedené práce;

e) smluvní podmínky na kvalitu a zabezpečení kódu;

f) testování na odhalení trojských koní a škodlivých kódů před instalací.

12.6 Řízení technických zranitelností

Cíl: Snížit rizika vyplývající ze zneužití veřejně publikovaných technických zranitelností.

Řízení (správa) technických zranitelností by mělo být zavedeno efektivním, systematickým

a opakovatelným způsobem, s využitím metrik pro ověření její účinnosti. Toto by mělo

zahrnovat všechny operační systémy a použité programové vybavení.

12.6.1 Řízení, správa a kontrola technických zranitelností

Opatření

Mělo by být zajištěno včasné získání informace o existenci technické zranitelnosti

v provozovaném informačním systému, vyhodnocena úroveň ohrožení organizace vůči této

zranitelnosti a přijata příslušná opatření na pokrytí souvisejících rizik.

Doporučení k realizaci

Aktuální a kompletní evidence aktiv (viz. 7.1) je nezbytným předpokladem pro účinné řízení

technických zranitelností. Informace potřebné pro podporu řízení technických zranitelností

zahrnují dodavatele programového vybavení (pro operační systémy i aplikace), číslo verze,

aktuální stav nasazení (např. který SW je instalován na jakých počítačových systémech)

a osoby odpovědné za dané programové vybavení.

Měly by být prováděny přiměřené a včasné kroky pro nalezení potenciálních technických

zranitelností. Pro vytvoření účinného procesu řízení (správy) technických zranitelností by měla

být realizována následující doporučení :

a) organizace by měla definovat a vytvořit role a odpovědnosti související s řízením

technických zranitelností, které by měly zahrnovat sledování zranitelností, hodnocení

rizik zranitelností, záplatování (instalace opravných balíčků), sledování a evidenci aktiv

a další potřebné koordinační odpovědnosti;

b) měly by být nalezeny a evidovány informační zdroje pro identifikaci odpovídajících

technických zranitelností používaného programového vybavení a další technologie (v

závislosti na evidenci aktiv viz. 7.1.1); tyto informační zdroje by měl být aktualizovány

v závislosti na změnách v evidenci nebo v případě nálezu nových a užitečných zdrojů;

c) měl by být definován časový harmonogram pro sled činností reagujících na hlášení

o zjištěných potencionálních technických zranitelnostech;

d) jakmile je zjištěna potencionální technická zranitelnost měla by organizace ohodnotit

související rizika a provést nápravná opatření; taková opatření mohou zahrnovat

záplatování (instalaci opravných balíčků) nebo případně další aktivity;

e) v závislosti na tom, jak naléhavě musí být technická zranitelnost řešena, musí být

vybrána následná akce s přihlédnutím na postupy řízení změn (viz. 12.5.1) nebo

v závislosti na postupu pro zvládání bezpečnostních incidentů (viz. 13.2);

f) jestliže je dostupná záplata (opravný programový balíček), mělo by být ohodnoceno

riziko spojené s její instalací (mělo by být porovnáno riziko související s neošetřenou

zranitelností s rizikem instalace opravné záplaty);

g) záplaty (opravné programové balíčky) by měly být otestovány a vyhodnoceny před

jejich instalací, aby se ověřila jejich účinnost a existence nežádoucích vedlejších efektů;

pokud záplaty (opravné programové balíčky) nejsou dostupné, měla by být zváženy

další opatření, jako například:

1. vypnutí (znepřístupnění) služeb nebo vlastností (funkcí, parametrů, práv)

umožňujících využitelnost zranitelnosti;

2. přizpůsobení nebo přidání opatření pro omezení přístupových práv (např. firewallu)

na hranici sítě (viz. 11.4.5);

3. zvýšení monitorování pro detekci nebo ochranu před samotnými útoky;

4. zvýšení informovanosti o dané zranitelnosti;

h) uchovat záznamy o všech provedených procedurách;

i) proces řízení technických zranitelností by měl být pravidelně sledován a vyhodnocován

aby byla zajištěna jeho účinnost a efektivita;

j) systémy s vysokým rizikem by měly být řešeny nejdříve.

Další informace

Správná funkčnost procesu řízení (správy) technických zranitelností je kritická pro mnoho

organizací a proto by měla být pravidelně sledována. Pro identifikaci všech potencionálních

technických zranitelností, souvisejících s použitými technologiemi je nezbytná přesná evidence.

Řízení technických zranitelností může být vnímáno jako součást procesu řízení změn a jako

takové může využít jeho vlastností a postupů (viz. 10.1.2 a 12.5.1).

Na dodavatele je často vyvíjen významný tlak, aby uvolňovali záplaty (opravné programové

balíčky) pro své produkty co nejdříve. Proto se stává, že některé záplaty (opravné programové

balíčky) neřeší správně problém a mohou obsahovat nežádoucí vedlejší efekty. V některých

případech se může také stát, že odinstalování záplaty poté co byla nainstalována nelze bez

problémů provést.

Pokud není možné záplaty (opravné programové balíčky) náležitě otestovat (například

z nedostatku zdrojů), je nutno zvážit odložení jejich instalace do doby, kdy budou známy

a vyhodnoceny zkušenosti ostatních uživatelů s jejich instalací.

13 Zvládání bezpečnostních incidentů

13.1 Hlášení bezpečnostních událostí a slabin

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který

umožní včasné zahájení kroků vedoucích k nápravě.

Měly by být ustaveny formální postupy pro hlášení bezpečnostních událostí a pro zvyšování

stupně jejich důležitosti. Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli

znát postupy hlášení různých typů událostí a slabin, které mohou mít dopad na bezpečnost

aktiv organizace. Zjištěné bezpečnostní události a slabiny by měli zaměstnanci ihned hlásit na

určené místo.

13.1.1 Hlášení bezpečnostních událostí

Opatření

Bezpečnostní události by měly být hlášeny příslušnými řídícími cestami tak rychle, jak je to jen

možné.

Doporučení k realizaci

Pro hlášení bezpečnostní události by měl být vytvořen formalizovaný postup, včetně postupu

reakce na incidenty a jejich eskalace (zvýšení stupně důležitosti), definující činnosti, které by

měly být po přijetí hlášení provedeny. Pro hlášení bezpečnostních událostí by mělo být zřízeno

kontaktní místo.

Kontaktní místo by mělo být známo všem zaměstnancům organizace, mělo by být vždy

k dispozici a mělo by vždy zajistit přiměřenou a včasnou reakci.

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli být seznámeni s povinností

hlásit bezpečnostní události tak rychle, jak je to jen možné. Měli by také znát postupy

a kontaktní místo pro hlášení bezpečnostních událostí. Postupy hlášení by měly zahrnovat:

a) vytvoření procesu zajišťujícího přiměřenou zpětnou vazbu, aby ten, kdo nahlásí

incident, byl informován o výsledcích vyšetřování incidentu a jeho uzavření;

b) formuláře podporující proces hlášení bezpečnostních událostí a zároveň zajišťující, že

hlášení bude splňovat veškeré nezbytné kroky (napomáhající osobě, která incident

hlásí, provést všechny nezbytné kroky);

c) nastavení správného chování v případě bezpečnostní události, např.

1. okamžité zaznamenání všech důležitých detailů (např. typ nesouladu nebo

narušení, chybné fungování, hlášky na obrazovce, podivné chování);

2. za žádných okolností neprověřovat bezpečnostní události, ale okamžitě je hlásit

na určené místo;

d) odkaz na zavedená formalizovaná pravidla pro disciplinární řízení se zaměstnanci,

smluvními stranami nebo uživateli třetích stran, kteří způsobili narušení bezpečnosti.

V místech s vysokým rizikem by pro uživatele, kteří by se mohli stát cílem donucování, měla být

zvážena možnost vyvolání poplachu pod nátlakem26. Postupy reakce na poplach vyvolaný pod

nátlakem by měly reflektovat rizikovost nastalé situace.

Další informace

Některé příklady bezpečnostních událostí a incidentů jsou:

a) ztráta služby, zařízení nebo vybavení;

b) chybné fungování nebo přetížení systému;

c) lidské chyby;

d) nesoulad s politikami nebo směrnicemi;

e) porušení opatření fyzické bezpečnosti;

f) nekontrolované změny systému;

g) chybné fungování technického a programového vybavení;

h) porušení přístupu.

Tyto incidenty mohou být, při dodržením důvěrnosti, použity při školeních uživatelů jako příklady

toho, co se může stát, jak na to reagovat a jak takovým bezpečnostním incidentům v budoucnu

předcházet (viz také 8.2.2). Pro správnou identifikaci bezpečnostní události je nezbytné co

možná nejdříve po výskytu události zajistit důkazy (viz 13.2.3).

Jakékoliv chybné a nebo jiné neobvyklé chování systému může být příznakem pokusu o

narušení nebo útoku na bezpečnost a mělo by tedy vždy být hlášeno jako bezpečnostní

událost.

Detailnější informace o hlášení bezpečnostních událostí a zvládání bezpečnostních incidentů

podává norma ISO/IEC TR 18044.

13.1.2 Hlášení bezpečnostních slabin

Opatření

Všichni zaměstnanci, smluvní strany a další nespecifikovaní uživatelé informačního systému

a služeb by měli být povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření

na bezpečnostní slabiny v systémech nebo službách.

Doporučení k realizaci

Všichni zaměstnanci, smluvní strany a uživatelé třetích stran by měli tyto skutečnosti hlásit

svým nadřízeným nebo přímo poskytovateli služeb a to tak rychle, jak je to jen možné, aby se

zamezilo vzniku bezpečnostního incidentu. Postup hlášení by měl být jednoduchý, přístupný

a kdykoliv dostupný. Uživatelé by měli být informováni o tom, že nesmí za žádných okolností

podezřelé slabiny prověřovat.

Další informace

Zaměstnancům, smluvním stranám a uživatelům třetích stran by mělo být doporučeno, aby se

nepokoušeli podezřelé slabiny sami prověřovat. Testování bezpečnostních slabin může být

interpretováno jako potenciální zneužití systému. Mimo to může testování slabin také způsobit

narušení informačního sytému nebo služby a vyústit až v podniknutí příslušných právních kroků

proti osobě, která testování provedla.

13.2 Zvládání bezpečnostních incidentů a kroky k nápravě

Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.

Pro účinné zvládání bezpečnostních útoků a slabin by měly být stanoveny odpovědnosti

a zavedeny formalizované postupy umožňující okamžitou reakci. Měl by být nastaven proces

neustálého zlepšování reakce, monitorování, vyhodnocování a celkového zvládání

bezpečnostních incidentů.

Pro zajištění souladu s právními požadavky by v případech, kdy je to vyžadováno, měly být

shromážděny důkazy.

13.2.1 Odpovědnosti a postupy

Opatření

Pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty by měly být

zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů.

Doporučení k realizaci

Kromě hlášení bezpečnostních událostí a slabin (viz 13.1) by pro detekci bezpečnostních

incidentů mělo být praktikováno monitorování systému, sledování varovných signálů

a zranitelností (10.10.2).

V úvahu by měla být vzata následující doporučení:

a) Postupy by měly pokrývat všechny možné typy bezpečnostních incidentů, včetně:

1) selhání systému a ztráty služby;

2) škodlivého kódu (viz 10.4.1);

3) odepření poskytnutí služby;

4) chyby, které jsou důsledkem nekompletních nebo nepřesných vstupních dat;

5) porušení důvěrnosti a integrity;

6) zneužití informačních systémů.

b) Vedle běžných plánů kontinuity (viz 14.1.3) by postupy měly také zahrnovat (viz

13.2.2.):

1) analýzu a identifikaci příčiny incidentu;

2) kontrolu incidentu;

3) plánování a implementaci opravných prostředků, aby se zabránilo opakováni

incidentu;

4) komunikaci s těmi, kteří byli ovlivněni incidentem nebo kteří se podílejí na zotavení

se z něj;

5) hlášení určenému subjektu.

c) Soubor auditních záznamů a podobné důkazy je vhodné zajistit (viz 13.2.3)

a adekvátním způsobem zabezpečit, aby bylo možno:

1) analyzovat vnitřní problémy;

2) použít je jako forenzních důkazu v souvislosti s možným porušením smlouvy nebo

porušením regulatorních požadavků nebo pro případ občansko-právního či trestněprávního

řízení podle odpovídající legislativy pro zneužití počítačů nebo podle

zákona o ochraně osobních údajů;

3) použít je při jednání o náhradě škody s dodavateli programového vybavení

a služeb.

d) Činnosti při opravách selhání systému a zotavení se z narušení bezpečnosti by měly

být pečlivě a formálně kontrolovány. Postupy by měly zajišťovat, aby:

1) přístup do systému a k datům byl umožněn pouze na základě jednoznačné

identifikace a autorizace pracovníků (viz také 6.2 pro přístup třetích stran);

2) všechny činnosti při mimořádné události byly detailně dokumentovány;

3) činnosti při mimořádné události byly hlášeny vedení organizace a systematicky

kontrolovány;

4) integrita systémů organizace a opatření byla potvrzena s minimálním prodlením.

Postupy zvládání bezpečnostních incidentů by měly být odsouhlaseny vedením a mělo by být

zajištěno, aby zodpovědné osoby byly obeznámeny s nastavenými prioritami pro zvládání

bezpečnostních incidentů.

Další informace

Bezpečnostní incidenty mohou svým dopadem překročit hranice organizace či dokonce státu.

Pro správnou reakci na tyto incidenty je třeba sladit odezvu a umožnit výměnu informaci

o těchto incidentech s externě spolupracujícími organizacemi podle aktuální potřeby.

13.2.2 Ponaučení z bezpečnostních incidentů

Opatření

Měly by existovat mechanizmy, které by umožňovaly kvantifikovat a monitorovat typy, rozsah

a náklady bezpečnostních incidentů.

Doporučení k realizaci

Informace získané při vyhodnocení bezpečnostních incidentů by měly být využity pro identifikaci

opakujících se incidentů nebo incidentů s velkými následky.

Další informace

Závěry z vyhodnocení bezpečnostních incidentů mohou také signalizovat potřebu využití

dodatečných nebo důkladnějších opatření, která by omezila frekvenci, škody a náklady jejich

budoucích výskytů. Kromě toho by měly být vzaty v úvahu při revizi bezpečnostní politiky (viz

5.1.2).

13.2.3 Shromaždování důkazů

Opatření

V případech, kdy vyústění bezpečnostního incidentu směřuje k právnímu řízení (dle práva

občanského nebo trestního) vůči osobě a nebo organizaci, by měly být sbírány, uchovávány

a soudu předkládány důkazy v souladu s pravidly příslušné jurisdikce, kde se bude případ

projednávat.

Doporučení k realizaci

Měly by být vytvořeny a do praxe zavedeny interní směrnice pro sběr a předkládání důkazů pro

podporu interního disciplinárního řízení.

Obecně tato pravidla zahrnují:

a) přípustnost důkazu: zda může či nemůže být důkaz použit u soudu;

b) důkazní síla: kvalita a kompletnost důkazu;

Organizace by měly pro dosažení přípustnosti důkazů zajistit, že jejich informační systémy

odpovídají publikovaným normám nebo praktickým doporučením pro vytvoření přípustných

důkazů.

Váha předloženého důkazního materiálu by měla odpovídat všem platným požadavkům. Aby

měly předkládané důkazy požadovanou váhu, musí být doložena kvalita a kompletnost postupů

zajišťující korektnost a konzistenci jejich sběru, ukládání a zpracování. Obecně lze těchto přísně

definovaných postupů dosáhnout při splnění následujících podmínek:

a) pro papírové dokumenty: originál je uchováván bezpečně a je pořizován záznam o tom,

kdo jej nalezl, kde byl nalezen, kdy byl nalezen, kdo dosvědčí jeho nález. Případné

šetření by mělo potvrdit, že originály nebyly falšovány;

b) pro informace na počítačových médiích: pro zajištění dostupnosti by měly být pořízeny

kopie nebo obrazy (dle aktuálních požadavků) všech výměnných médií, informací na

pevných discích nebo v paměti počítače. Měl by být uchovány logy o všech činnostech

v průběhu kopírování a proces by měl být svědecky doložitelný. Jedna kopie médií

a protokolu (nejlépe přímo originály) by měly být bezpečně uchovány.

Jakákoliv forenzní zkoumání by měla být prováděna zásadně na kopiích důkazního materiálu.

Vždy by měla být zajištěna integrita důkazního materiálu. Kopírování důkazního materiálu by

mělo být prováděno pod dohledem důvěryhodného svědka. Měly by být vytvořeny záznamy

o tom, kdy a kde byla kopie vytvořena, kdo kopírování prováděl a jaké nástroje a programy byly

pro vytvoření kopií použity.

Další informace

Když je bezpečnostní událost poprvé zjištěna, nemusí být ještě zřejmé, jestli povede

k soudnímu sporu. Existuje proto nebezpečí, že potřebné důkazy budou náhodně a nebo

záměrně zničeny ještě před tím, než se projeví závažnost tohoto incidentu. Je proto vhodné při

každém záměru učinit právní kroky, kontaktovat včas právníka nebo policii a nechat si poradit

o nezbytných důkazech.

Sběr důkazního materiálu může přesáhnout hranice organizace a/nebo jurisdikce. V takovýchto

případech by mělo být zajištěno, aby byla organizace oprávněna požadovaný důkazní materiál

sbírat. Pro zvýšení šancí na přijetí důkazního materiálu soudem, by měly být do úvahy vzaty

požadavky příslušné soudní jurisdikce, u které bude případ projednáván.

14 Řízení kontinuity činností organizace

14.1 Aspekty řízení kontinuity činností organizace z hlediska

bezpečnosti informací

Cíl: Bránit přerušení provozních činností a chránit kritické procesy organizace před následky

závažných selhání informačních systémů nebo katastrof a zajistit jejich včasnou obnovu.

Pro minimalizaci následků a zotavení se ze ztráty informačních aktiv (které může být např.

výsledkem přírodních pohrom, nehod, chyb zařízení a úmyslného jednání) na přijatelnou

úroveň, za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení

kontinuity činností organizace. Tento proces by měl identifikovat kritické činnosti organizace

a začlenit požadavky řízení bezpečnosti informací s ohledem na požadavky provozní,

personální, materiální, dopravní a požadavků na zařízení.

Důsledky pohrom, bezpečnostních chyb a ztráty/dostupnosti služeb by měly být identifikovány

v rámci analýzy dopadů. Pro zajištění toho, aby mohly být obnoveny klíčové činnost organizace

v požadovaných lhůtách, je vhodné připravit a implementovat plány kontinuity. Bezpečnost

informací by se měla stát nedílnou součástí procesu řízení kontinuity činností a dalších řídících

procesů v rámci organizace.

Řízení kontinuity činností organizace by mělo zahrnovat opatření k identifikaci a minimalizaci

rizik, omezovat důsledky škodlivých incidentů a zajistit včasnou dostupnost informací

potřebných pro obnovení nezbytných činností.

14.1.1 Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností

organizace

Opatření

V rámci organizace by měl existovat řízený proces pro rozvoj a udržování kontinuity činností

organizace.

Doporučení k realizaci

Proces by měl v sobě zahrnovat následující klíčové prvky řízení kontinuity činností organizace:

c) pochopení rizik, kterým organizace čelí z hlediska jejich pravděpodobnosti a dopadu,

včetně identifikace a stanovení priority kritických procesů organizace (viz 14.1.2);

d) identifikace všech aktiv, které jsou součástí kritických procesů organizace (viz 7.1.1);

e) pochopení dopadů, které může přerušení mít na činnosti organizace (je důležité, aby

byla nalezena taková řešení, která pokryjí malé, stejně tak jako velké incidenty

ohrožující životaschopnost organizace), a stanovení cílů v oblasti zařízení pro

zpracování informací;

f) zvážení možnosti uzavření pojistky, která může tvořit součást celého procesu zajištění

kontinuity činností a řízené provozních rizik;

g) identifikace a zvážení implementace dodatečných preventivních a nápravných opatření;

h) identifikace dostatečných finančních, organizačních, technických a okolních zdrojů na

pokrytí identifikovaných požadavků na bezpečnost informací;

i) zajištění bezpečnosti personálu, ochrany majetku organizace a ochrany zařízení na

zpracování informací;

j) formulace a dokumentace plánů kontinuity činností, pokrývajících požadavky na

bezpečnost informací a v souladu s odsouhlasenou strategií řízení kontinuity činností

organizace (viz 14.1.3);

k) zavedení pravidelného testování a aktualizace plánů a postupů (viz 14.1.5);

l) zajištění, aby řízení kontinuity činností organizace bylo součástí procesů a struktury

organizace. Odpovědnost za proces koordinace řízení kontinuity by měla být v rámci

organizace stanovena na odpovídající úrovni (viz 6.1.1).

14.1.2 Kontinuita činností organizace a hodnocení rizik

Opatření

Měly by být identifikovány možné příčiny přerušení činností organizace, včetně jejich

pravděpodobnosti, velikosti dopadu a možných následků na bezpečnost informací.

Doporučení k realizaci

Kontinuita činností organizace z pohledu bezpečnosti informací, by měla být založena na

identifikaci událostí (nebo sledu událostí), které mohou být příčinou přerušení procesů, např.

chyba zařízení, povodeň, požár. Poté by mělo následovat hodnocení rizik, k určení

pravděpodobnosti a velikosti dopadu těchto druhů přerušení jak z hlediska rozsahu škod, tak

doby jejich obnovení.

Hodnocení rizik by mělo být prováděno za plného zapojení vlastníků zdrojů a vlastníků procesů

organizace. Toto hodnocení by mělo zahrnout všechny procesy v organizaci a mělo by

obsahovat výsledky týkající se bezpečnosti informací, nemělo by být omezeno pouze na

zařízení pro zpracování informací. K získání celkového pohledu na požadavky kontinuity

činností organizace je důležité dát dohromady jednotlivé aspekty rizika.

V závislosti na výsledcích hodnocení rizik by měla být vytvořena strategie stanovující celkový

přístup k problému kontinuity činností organizace. Takto vytvořená strategie by měla být

schválena vedením organizace a měl by být vytvořen a schválen plán její implementace.

14.1.3 Vytváření a implementace plánů kontinuity

Opatření

Pro udržení nebo obnovení provozních činností organizace po přerušení nebo selhání kritických

procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň

by měly být vytvořeny plány.

Doporučení k realizaci

V procesu plánování kontinuity činností organizace by mělo být zváženo:

a) určení a odsouhlasení všech odpovědností a postupů obnovy činností;

b) stanovení přijatelné úrovně pro ztrátu služeb nebo informací;

c) zavedení nouzových postupů tak, aby bylo možné dokončit zotavení a obnovu činností

v požadovaných lhůtách. Zvláštní pozornost je třeba věnovat ohodnocení vnitřních

a vnějších závislostí organizace a existujícím smlouvám;

d) provozní postupy až do obnovení činností;

e) dokumentace odsouhlasených procedur a postupů;

f) vhodné proškolení personálu o odsouhlasených havarijních procedurách a postupech,

včetně krizového řízení;

g) testování a aktualizace plánů.

Proces plánování by se měl soustředit na požadované cíle, např. obnovení specifických služeb

zákazníkům v přijatelném časovém horizontu. Měly by být zváženy všechny služby a zdroje,

kterých by se to mohlo týkat, včetně personálu, zdrojů nepředstavujících zařízení pro

zpracování informací, jakož i možnosti nouzového zajištění náhradních prostředků pro

zpracovávání informací. Zajištění náhradních prostředků může být řešeno formou dohody

o reciproční výpomoci a nebo uzavřením komerční smlouvy.

Plány kontinuity činností organizace by měly pokrývat zjištěné zranitelnosti a proto také mohou

obsahovat citlivé informace, které je potřebné vhodným způsobem chránit. Kopie plánu by tedy

měly být ukládány na dostatečně vzdálených místech (záložní lokalita), aby nebyly zničeny

v případě havárie v hlavní lokalitě. Vedení organizace by mělo zajistit pravidelnou aktualizaci

plánů kontinuity a zajistit, aby úroveň jejich ochrany byla stejná jako v hlavní lokalitě. Veškeré

další materiály potřebné pro spuštění činností obnovy dle plánů by měly být také dostupné

v záložní lokalitě.

Úroveň zavedených bezpečnostních opatření v záložních lokalitách by měla být ekvivalentní

úrovni bezpečnosti v hlavní lokalitě.

Další informace

Plány a činnosti krizového řízení nemusí být nutně shodné s činnostmi a plány řízení kontinuity,

tj. krize může být zvládnuta běžnými řídícími postupy.

14.1.4 Systém plánování kontinuity činností organizace

Opatření

Pro zajištění konzistentnosti plánů a pro určení priorit testování a údržby by měl být k dispozici

jednotný systém plánů kontinuity činností organizace.

Doporučení k realizaci

Každý plán by měl popisovat přístup k zajištění kontinuity činností organizace, např. zajištění

dostupnosti a bezpečnosti informací a informačních systémů. Každý plán kontinuity by měl

jasně specifikovat podmínky své aktivace, stejně jako osoby s odpovědností za vykonávání

každého bodu plánu. Při vzniku nových požadavků by havarijní postupy, jako např. evakuační

plány nebo jakékoliv existující dohody o zajištění náhradního provozu, měly být adekvátním

způsobem doplněny. Revize postupů by měla být začleněna do programu řízení změn

v organizaci, aby bylo zajištěno, že problematika kontinuity činností je vždy náležitě zajištěna.

Každý plán by měl mít stanoveného vlastníka. Havarijní postupy, plány manuálního náhradního

provozu a plány na znovuobnovení činnosti by měly být v odpovědnosti vlastníků daných

prostředků nebo vlastníků procesů organizace. Prostředky pro zajištění náhradních technických

služeb, jako jsou zařízení pro zpracování a výměnu informací, jsou obvykle v odpovědnosti

poskytovatelů servisních služeb.

Systém plánování kontinuity činností organizace by měl pokrývat identifikované požadavky na

bezpečnost informací a měl by brát v úvahu následující:

a) podmínky aktivace plánů, které popisují návod jak postupovat (např. jak vyhodnotit

situaci, kdo to provede atd.) než dojde k samotné aktivaci každého z plánů;

b) havarijní postupy, popisující činnosti, které by měly být provedeny po vzniku incidentu

ohrožujícího činnosti organizace nebo lidské životy. Měly by zahrnovat části věnované

vztahům s veřejností a efektivní spolupráci s odpovídajícími veřejnými institucemi, např.

policií, hasiči a představiteli místní správy;

c) postupy obnovy popisující činnosti pro přesun důležitých aktivit organizace a dalších

podpůrných služeb na náhradní dočasné místo a zajišťující obnovení činnosti

organizace v požadované době;

d) dočasné provozní postupy až do doby obnovení činnosti;

e) postupy popisující způsob opětovného uvedení organizace do normálního provozu;

f) harmonogram údržby, určující jak a kdy bude plán testován, a proces aktualizace plánu;

g) vzdělávací aktivity a aktivity k zlepšení povědomí, zaměřené na pochopení procesů

plánování kontinuity a pro zajištění jejich efektivního průběhu;

h) individuální odpovědnosti popisující kdo odpovídá za kterou složku plánu. Mohou být

podle potřeby stanoveny alternativy;

i) kritická aktiva a zdroje potřebné pro zajištění havarijních postupů, náhradních provozů

a postupů obnovení činnosti.

14.1.5 Testování, udržování a přezkoumání plánů kontinuity

Opatření

Plány kontinuity činností by měly být pravidelně testovány a aktualizovány, aby se zajistila jejich

aktuálnost a efektivnost.

Doporučení k realizaci

Testy plánů kontinuity by měly zajistit, že všichni členové týmu obnovy i ostatní dotčení

pracovníci mají plány v povědomí a jsou si vědomi svých odpovědností a rolí v případě aktivace

plánu.

Harmonogram testů plánů kontinuity by měl stanovovat, jak a kdy by měl být každý prvek plánu

testován. Jednotlivé komponenty plánu by měly být testovány v pravidelných intervalech.

Pro ověření, že plány budou fungovat i v reálném situaci, by měly být použity různé testovací

techniky, které by měly zahrnovat:

a) ověření různých scénářů u stolu (přezkoumání a kritické rozebrání obsahu

a realizovatelnosti plánu);

b) simulace (zejména pro nácvik rolí krizového řízení a činností následně po incidentu);

c) technické testy obnovy (prověření zda mohou být informační systémy efektivně

obnoveny);

d) testy obnovení v náhradní lokalitě (paralelní provoz procesů organizace v záložní

lokalitě);

e) testy externě zajišťovaných zařízení a služeb (prověření, že externě poskytované

služby a produkty splňují smluvní závazky);

f) testy úplného přerušení (testování toho, že se organizace, personál, zařízení,

prostředky a procesy mohou s přerušeními vypořádat).

Tyto techniky testování mohou být použity v libovolné organizaci s přihlédnutím k povaze

specifických plánů obnovy. Výsledky testů by měly být zaznamenány a zjištěné nedostatky

odstraněny.

Měla by být stanovena odpovědnost za provádění pravidelných revizí každého plánu kontinuity.

Po změně podmínek v organizaci, které se ještě neodrazily v plánech kontinuity, by měla

proběhnout odpovídající aktualizace těchto plánů. Tento formální změnový proces by měl

prostřednictvím pravidelných kontrol celého plánu zajistit, že jsou aktualizované plány

distribuovány a prosazovány.

Příklady situací, které si mohou vynutit aktualizaci plánů, zahrnují nákup nového zařízení nebo

modernizaci provozního systému a změny:

a) ve složení personálu;

b) v adresách nebo telefonních číslech;

c) v celkové strategii organizace;

d) lokality, zařízení a zdrojů;

e) v legislativě;

f) smluvních partnerů, dodavatelů a klíčových zákazníků;

g) v procesech nebo v jejich vytvoření/zrušení;

h) rizicích (provozních a ekonomických).

15 Soulad s požadavky

15.1 Soulad s právními normami

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo

smluvních povinností a bezpečnostních požadavků.

Návrh, provoz a používání informačních systémů může být předmětem zákonných,

podzákonných nebo smluvních bezpečnostních požadavků.

Specifické požadavky vyplývající ze zákona by měly být konzultovány s právními poradci

organizace nebo jinými kvalifikovanými právníky. Legislativní požadavky na informace vzniklé

v jedné zemi a přenášené do jiné země jsou různé a mění se podle jednotlivých zemí.

15.1.1 Určení relevantní legislativy

Opatření

Pro každý informační systém by měly být jednoznačně definovány, zdokumentovány

a udržovány aktuální veškeré relevantní zákonné, podzákonné a smluvní požadavky a způsob

jakým je organizace dodržuje.

Doporučení k realizaci

K těmto požadavkům by měla být stanovena a zdokumentována odpovídající specifická

opatření a osobní odpovědnosti za prosazení jejich dodržování.

15.1.2 Zákony na ochranu duševního vlastnictví

Opatření

Pro zajištění souladu se zákonnými, podzákonnými a smluvními požadavky při použití předmětů

a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu

duševního vlastnictví by měly být zavedeny vhodné postupy.

Doporučení k realizaci

Na ochranu předmětů podléhajících zákonu na ochranu duševního vlastnictví by měla být

zvážena následující doporučení:

a) vydání pravidel dodržování autorských práv, která přesně vymezují zákonné použití

programových a informačních produktů;

b) získávání programové vybavení pouze od známých a ověřených dodavatelů;

c) udržování povědomí o pravidlech dodržování autorských práv a zdůrazňování

disciplinárního řízení při jejich porušení;

d) udržování odpovídajícího registru aktiv a určení všech aktiv podléhajících zákonu na

ochranu duševního vlastnictví;

e) vedení dokladů a důkazů vlastnictví licencí, instalačních disket, manuálů apod.;

f) zavedení vhodných opatření k tomu, aby nebyl překročen maximální počet

uživatelských přístupů k programům;

g) vytvoření kontrolních mechanizmů, zajišťujících instalaci pouze schválených

a licencovaných programových produktů;

h) vytvoření pravidel zajišťujících dodržování odpovídajících licenčních podmínek;

i) vytvoření pravidel pro rušení nebo převod licenčních práv;

j) používání vhodných auditních nástrojů;

k) dodržování požadavků a podmínek u programů a informací získaných z veřejných sítí;

l) zákaz vytváření duplikátů27, převádění do jiných formátů nebo extrahování komerčních

záznamů (filmy, audio) pokud to není autorským právem povoleno;

m) zákaz kopírování celých nebo částí knih, článků, zpráv a dalších dokumentů, u kterých

to není autorským právem povoleno.

Doporučení k realizaci

Zákony na ochranu duševního vlastnictví zahrnují autorské právo na programové vybavení

a dokumenty, zákon o ochraně průmyslového vzoru, obchodních značek, patentů a licencí na

zdrojové kódy.

Zákonem chráněné programové produkty jsou zpravidla dodávány na základě licenčních

ujednání, která například limitují jejich použití pouze na určené počítače a/nebo mohou

omezovat jejich kopírování pouze na vytvoření záložních kopií. Personál by měl být seznámen

s požadavky ochrany duševního vlastnictví vztahující se na programového vybavení vyvinutého

organizací.

Zákonné, podzákonné a smluvní povinnosti mohou omezovat kopírování vlastnických materiálů.

Zejména mohou požadovat, aby organizace používala pouze materiály organizací vyvinuté,

k nimž má organizace licenci nebo které byly organizaci poskytnuty jejich autorem. Porušení

autorských práv může vést k žalobě nebo k zahájení trestního stíhání.

15.1.3 Ochrana záznamů organizace

Opatření

Důležité záznamy organizace by měly být chráněny proti ztrátě, zničení a padělání a to

v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace.

Doporučení k realizaci

Záznamy by měly být kategorizovány podle druhů, např. účetní, databázové, transakční,

a auditní záznamy, provozní postupy, každý s informacemi o době uchování a druhu

záznamového média, např. papír, mikrofiše, magnetický nebo optický záznam. Všechny

kryptografické klíče k zašifrovaným archivům, použité šifrovací programy a digitální podpisy (viz

12.3), by měly být bezpečně uchovány a v případě potřeby poskytnuty oprávněným osobám.

Pozornost by měla být věnována možnosti zhoršování stavu médií použitých pro uchování

dokladů. Skladovací a manipulační postupy by měly být v souladu s doporučeními výrobce. Pro

účely dlouhodobého skladování by mělo být zváženo použití papíru a mikrofišů.

Pokud jsou pro uchování používána elektronická média, měly by k nim být doplněny postupy

pro přístup k datům (jak z hlediska čitelnosti médií, tak z hlediska formátu) v průběhu celé doby

uchování, aby se zabránilo možným ztrátám způsobeným budoucími technologickými změnami.

Archivní systémy by měly být vybrány tak, aby umožňovaly získat data v přijatelném časovém

horizontu a v akceptovatelném datovém formátu, v závislosti na konkrétním požadavku.

Systém uchování a manipulace by měl zajistit jasnou identifikaci záznamů a dobu jejich

uchování vyplývající ze zákonných či podzákonných norem. Po uplynutí této doby by měl

systém umožnit odpovídající likvidaci záznamů, které již pro organizaci nejsou potřebné.

Pro splnění těchto povinností by měla organizace provést následující kroky:

a) měly by být vydány směrnice týkající se ukládání, uchovávání, zpracovávání a likvidace

záznamů a informací;

b) měl by být vytvořen harmonogram uchovávání, který by identifikoval důležité typy

dokladů a dobu jejich uchování;

c) měl by být udržován soupis zdrojů klíčových informací;

d) měla by být realizována vhodná opatření na ochranu důležitých dokladů a informací

proti ztrátě, zničení a falzifikaci.

Další informace

U některých dokumentů může být požadováno, aby byly bezpečně uchovávány pro splnění

zákonných či podzákonných norem a pro podporu důležitých činností organizace. Příkladem

těchto dokladů jsou takové doklady, které mohou být použity jako důkaz toho, že organizace

vyvíjí činnost v souladu se zákonnými a podzákonnými normami, nebo pro zajištění

odpovídající ochrany proti potenciálním občansko-právním či trestně-právním žalobám a nebo

k potvrzení finančního stavu organizace určenému vlastníkům, partnerům a auditorům. Doba

uchování a obsah uchovávaných informací mohou být stanoveny zákonem nebo předpisem.

Další informace o tom jak spravovat záznamy organizace lze nalézt v normě ISO 15489-128.

15.1.4 Ochrana osobních údajů a soukromí

Opatření

Ochrana osobních údajů a soukromí by měla být zajištěna v souladu s odpovídající legislativou,

předpisy, a pokud je to relevantní, se smlouvami.

Doporučení k realizaci

Organizace by měla vytvořit a do praxe zavést pravidla na ochranu osobních údajů a soukromí.

S pravidly by měly být seznámeny všechny osoby, které se nějakým způsobem podílejí na

zpracování osobních údajů.

Soulad s těmito pravidly a legislativou na ochranu osobních údajů29 vyžaduje odpovídající řídící

struktury a kontrolu. Často toho lze nejlépe dosáhnout určením odpovědné osoby, např.

manažera ochrany osobních údajů, který by měl poskytovat doporučení vedoucím

pracovníkům, uživatelům a servisním organizacím o tom, jaká je jejich individuální odpovědnost

a jaké specifické postupy by měli dodržovat. Odpovědnost za manipulaci s osobními údaji

a prosazení povědomí o principech ochrany osobních dat stanovených odpovídající legislativou

leží na vlastníkovi dat. Na ochranu osobních údajů by měly být zavedeny vhodná technická

a organizační opatření.

Další informace

V mnoha zemích existuje legislativa zavádějící opatření pro sběr, zpracování a přenos osobních

dat (obecně informace o žijících osobách, které mohou být podle těchto dat identifikovány).

V závislosti na příslušné národní legislativě, tato opatření mohou ukládat povinnosti tomu, kdo

tyto osobní informace sbírá, zpracovává a poskytuje, a mohou omezovat přenos těchto dat za

hranice země.

15.1.5 Prevence zneužití zařízení pro zpracování informací

Opatření

Mělo by být zakázáno používat zařízení pro zpracování informací jiným než autorizovaným

způsobem.

Doporučení k realizaci

Používání zařízení pro zpracování informací by mělo být autorizováno vedoucími zaměstnanci.

Jakékoliv použití těchto prostředků pro jiné organizace nebo neoprávněné účely bez schválení

vedoucími zaměstnanci (viz 6.1.4) by mělo být považováno za zneužití těchto prostředků. Pokud

je taková činnost zjištěna díky monitorování nebo jiným prostředkům, měly by informace o ní být

předány konkrétnímu vedoucímu zaměstnanci odpovědnému za zahájení disciplinárního řízení.

Před zavedením monitorovacích postupů by měla být zajištěna právní konzultace.

Všichni uživatelé byli obeznámeni s přesným rozsahem svého přístupu a s existencí systému

zaznamenávajícího neautorizované chování. Toho může být dosaženo například udělením písemné

autorizace, jejíž kopie je podepsána uživatelem a bezpečně uchována organizací. Zaměstnancům

organizace, smluvním stranám a uživatelů třetích stran by mělo být oznámeno, že není povolen

žádný přístup s výjimkou toho, který je autorizován.

Při přihlášení by měla být na monitoru počítače zpráva, že prostředek pro zpracování informací

je vlastněn organizací a neautorizovaný přístup není povolen. Uživatel musí zprávu na monitoru

potvrdit a pro pokračování v přihlášení reagovat odpovídajícím způsobem (viz 11.5.1).

Další informace

Zařízení pro zpracování informací jsou primárně nebo výhradně určena pro účely organizace,

která je vlastní.

Nástroje pro detekci narušení, kontroly obsahu a další monitorovací nástroje mohou pomoci při

prevenci a detekci zneužití zařízení pro zpracování informací.

Mnoho zemí má nebo připravuje legislativu na ochranu proti zneužití počítačů. Použití počítače

pro neoprávněné účely může být považováno za trestný čin.

Legálnost použití monitoringu používání prostředků se v jednotlivých zemích liší a může být

vyžadováno předchozí upozornění zaměstnanců na takové monitorování či získání jejich

souhlasu. Při přihlášení do veřejně přístupných systémů (např. veřejné servery) by se při

přihlášení měla zobrazit hláška o tom, že podléhají monitorování.

15.1.6 Regulace kryptografických opatření

Opatření

Kryptografická opatření by měla být používána v souladu s příslušnými úmluvami, zákony

a předpisy.

Doporučení k realizaci

Pro dosažení souladu s příslušnými úmluvami, zákony a předpisy by mělo být zváženo následující:

a) omezení importu a exportu počítačového technického a programového vybavení určeného

k realizaci kryptografických funkcí;

b) omezení importu a exportu počítačového technického a programového vybavení

navrženého tak, aby mohl být doplněn kryptografickými funkcemi;

c) omezení použití šifrování;

d) povinné či nepovinné metody přístupu státu k informacím zašifrovaným za pomoci

technického či programového vybavení pro zajištění důvěrnosti jejich obsahu.

Pro zajištění souladu s místními právními úpravami by měla být vyhledána právní pomoc. Právní

pomoc by měla být také vyhledána v případě přenosu šifrovaných informací nebo

kryptografických prostředků do zahraničí.

15.2 Soulad s bezpečnostními politikami, normami a technická shoda

Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.

Bezpečnost informačních systémů by měla být pravidelně přezkoumávána.

Tato přezkoumání by měla být prováděna proti příslušným bezpečnostním politikám. Jednotlivé

technické platformy a informační systémy by měly být auditovány, zda odpovídají relevantním

bezpečnostním normám a opatřením.

15.2.1 Shoda s bezpečnostními politikami a normami

Opatření

Vedoucí zaměstnanci by měli zajistit, aby všechny bezpečnostní postupy v rozsahu jejich

odpovědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami.

Doporučení k realizaci

Vedoucí zaměstnanci by měli pravidelně provádět přezkoumání souladu všech oblastí v rozsahu

jejich odpovědností, aby bylo zajištěno, že jsou v souladu s bezpečnostní politikou a normami

a ostatními požadavky na bezpečnost.

V přídě, že je při přezkoumání zjištěn nesoulad, měli by vedoucí zaměstnanci:

a) určit příčiny nesouladu;

b) vyhodnotit potřebu přijetí opatření k nápravě;

c) určit a implementovat nápravná opatření;

d) přezkoumat přijatá nápravná opatření.

Závěry z přezkoumání a přijatá nápravná opatření by měly být zaznamenány a záznamy

uchovány. Vedoucí zaměstnanci by měli s výsledky přezkoumání seznámit osoby provádějící

v organizaci nezávislá přezkoumání bezpečnosti (viz 6.1.8).

Další informace

Operativní monitorování použití systému je popsáno v 10.10.

15.2.2 Kontrola technické shody

Opatření

Informační systémy by měly být pravidelně kontrolovány, zda jsou v souladu s bezpečnostními

politikami a standardy.

Doporučení k realizaci

Kontrola technické shody může být prováděna manuálně (v případě potřeby s využitím

vhodných programových nástrojů), zkušeným systémovým inženýrem nebo pomocí

automatizovaného programového vybavení, které vytváří technickou zprávu pro následné

vyhodnocení technickým odborníkem.

K penetračním testům a analýze zranitelností by se mělo přistupovat obezřetně, protože

takovéto aktivity mohou vést k ohrožení bezpečnosti systému. Tyto testy by měly být plánovány,

dokumentovány a měly by být opakovatelné.

Kontroly technické shody by měly být prováděny pouze kvalifikovanými, oprávněnými

zaměstnanci nebo pod jejich dohledem.

Další informace

Kontrola technické shody zahrnuje přezkoumání provozního systému, aby bylo zajištěno, že

technická a programová opatření jsou správně implementována. Tento typ kontroly souladu

vyžaduje asistenci technického odborníka.

Kontrola shody obsahuje také například penetrační testy a analýzu zranitelností, které mohou

být prováděny nezávislými experty sjednanými speciálně pro tento účel. Takovéto kontroly

mohou být užitečné pro detekci zranitelností systému a pro prověření toho, jak účinná jsou

opatření proti v prevenci neautorizovaného přístupu při existenci těchto zranitelností.

Penetrační testování a analýzy zranitelností poskytují informaci o aktuálním stavu systému.

Informace je omezena na ty části systému30, na kterých bylo penetrační testování prováděno.

Penetrační testy a analýzy zranitelností nenahrazují analýzu rizik.

15.3 Hlediska auditu informačních systémů

Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do informačních systémů.

Měla by existovat opatření pro zajištění bezpečnosti provozního systému a nástrojů auditu

v průběhu vlastního auditu.

Ochrana nástrojů auditu je nutná, aby byla zajištěna jejich integrita a předešlo se jejich zneužití.

15.3.1 Opatření k auditu informačních systémů

Opatření

Požadavky auditu a činnosti zahrnující kontrolu provozních systémů by měly být pečlivě

naplánovány a schváleny, aby se minimalizovalo riziko narušení činností organizace.

Doporučení k realizaci

Při auditu by měly být dodržovány následující doporučení:

a) požadavky auditu by měly být schváleny na příslušné úrovni vedení organizace;

b) rozsah kontrol by měl být schválen a kontrolován;

c) přístup k programům a datům by měl být omezen pouze na čtení;

d) další, jiný typ přístupu než pouze pro čtení by měl být povolen jen na samostatných

kopiích souborů systému. Kopie souborů by po ukončení auditu měly být smazány

a nebo, pokud je to vyžadováno, řádným způsobem chráněny;

e) zdroje k provádění kontrol by měly být explicitně identifikovány a měly by být dostupné;

f) požadavky na speciální nebo dodatečné zpracování by měly být identifikovány

a odsouhlaseny;

g) veškerý přístup by měl být monitorován, evidován a měl by o něm být vytvořen

referenční záznam; u kritických systémů by mělo být zváženo použití záznamů

s časovou známkou;

h) všechny postupy, požadavky a odpovědnosti by měly být dokumentovány;

i) osoba/-y provádějící audit by měla být nezávislá na činnostech, jejichž audit provádí.

15.3.2 Ochrana nástrojů pro audit informačních systémů

Opatření

Přístup k nástrojům určeným pro audit informačních systémů by měl být chráněn, aby se

předešlo jejich možnému zneužití nebo ohrožení.

Doporučení k realizaci

Nástroje určené pro audit systému, aplikační programové vybavení nebo datové soubory, by

měly být odděleny od vývojových a provozních systémů a neměly by být uchovávány na

magnetických páskách nebo v uživatelských oblastech, pokud není zajištěna přiměřená úroveň

jejich ochrany.

Další informace

V případech, kdy se auditu účastní zástupci třetích stran existuje riziko zneužití nástrojů pro

audit systému a informací, ke kterým mají přístup. Mělo by být zváženo přijetí opatření

(například okamžitá změna hesel prozrazených auditorovi) na pokrytí těchto rizik a následků,

dalším příkladem mohou být opatření uvedená v kapitole 6.2.1 (hodnocení rizik) a 9.1.2

(omezení fyzického přístupu).