Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory

Transkript

1 datum zpracval COMGUARD s.r.. Schrva 38 CZ Brn tel

2 Obsah 1 Úvd Vzrvé frmuláře a dkumenty ISMS Smluva zpracvání sbních údajů při Stupně důvěrnsti infrmací Výstupní list Kniha evidence elektrnických klíčů Plitika vzdálenéh přístupu k IS firmy Způsb ukládání dkumentace Fyzické prstředí pr ukládání nsičů infrmací Zmapvání rizik bezpečnsti infrmací Metdika analýzy rizik Předmět analýzy rizik IS Pr účely analýzy rizik se rzumí Předmět dkumentu Práce s dkumentem Cíle analýzy rizik Metdika řízení bezpečnstních rizik Cíle řízení rizik Pstup prvádění analýzy rizik - RANIT Interpretace rizika Zpráva z analýzy rizik Analýza rizik by neměla být jednrázvý prjekt strana 2/67

3 4.2 Předmět analýzy rizik IS Předmět dkumentu Práce s dkumentem Přístup k dkumentu Aktualizace dkumentu Vstupy analýzy rizik Mdel infrmačníh systému Identifikace aktiv a kmpnent Hdncení dpadů incidentu (BIA) Hdncení hrzeb Výstupy analýzy rizik Vymezení pjmu aktiva, kategrizace aktiv Vlastnsti aktiv z hlediska bezpečnsti Fyzická aktiva Sftwarvá aktiva Persnální aktiva Vzrvý prjekt implementace ISMS Etapy prjektu, výstupy, sučinnst Analýza stavu managementu infrmační bezpečnsti a technické infrastruktury Identifikace a vyhdncení bezpečnstních rizik Návrh úpravy stávající a tvrba nvé interní dkumentace Příprava na certifikaci dle ISO/IEC Mžný časvý harmngram strana 3/67

4 1 Úvd Tyt studijní pry služí jak dplněk prezenční neb vzdálené výuky a e-learningu. 2 Vzrvé frmuláře a dkumenty ISMS 2.1 Smluva zpracvání sbních údajů při XY a.s. se sídlem:, zastupená:., IČ:., (dále jen správce ) a.., se sídlem:.., zastupená:.., IČ:, (dále jen zpracvatel ) u z a v í r a j í pdle ustanvení 6 zákna č. 101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů, tut smluvu zpracvání sbních údajů: Článek I Předmět smluvy Tat smluva upravuje vztahy mezi správcem sbních údajů a zpracvatelem sbních údajů, zejména pak vymezuje rzsah sbních údajů, které budu zpracvávány, účel pr který budu sbní údaje zpracvávány a pdmínky a záruky zpracvatele sbních údajů z hlediska technickéh a rganizačníh zabezpečení chrany sbních údajů. Článek II Účel smluvy Účelem tét smluvy je zajištění, d které je zapjen jak zprstředkující subjekt také zpracvatel. V průběhu dchází ke shrmažďvání a zpracvávání sbních údajů ve smyslu strana 4/67

5 zákna č. 101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů (dále jen Zákn ). Článek III Rzsah údajů 1. Osbním údajem se pr účely tét smluvy rzumí jakákliv infrmace týkající se subjektu údaje, která pdléhá chraně dle Zákna. 2. Zpracvatel sbních údajů zpracvává pdle tét smluvy sbní údaje v tmt rzsahu: a) jmén a příjmení fyzické sby; b) datum narzení fyzické sby; c)????? d)????? e)????? f)????? Článek IV Práva a pvinnsti smluvních stran 1. Na základě tét smluvy zmcňuje správce sbních údajů zpracvatele sbních údajů ke zpracvání sbních údajů ptřebných k zajištění prcesu. 2. Správce sbních údajů zajistí písemný suhlas subjektů údajů se zpracváním sbních údajů. 3. Správce sbních údajů určuje pr zpracvatele sbních údajů tent způsb a tyt prstředky zpracvání: a) sbní údaje ve fyzické (listinné a na nsičích dat) pdbě jsu zpracvatelem zpracvávány ve smyslu Zákna v písemné a elektrnické pdbě v., a dále jsu archivvány a likvidvány p uplynutí dby archivace; b)???????? 4. Zpracvatel bude sbní údaje v listinné pdbě a na nsičích údajů (např. CD, DVD) uchvávat v uzamykatelných schránkách. 5. Zpracvatel zajistí infrmvanst svých zaměstnanců tm, že příslušné přístupvé údaje d elektrnických systémů (např. hesla) pr zpracvávání sbních údajů je třeba uchvávat v tajnsti a nepskytvat je třetím sbám. 6. Zpracvatel zajistí, aby jeh zaměstnanci pracující sbními údaji byli v suladu s platnými právními předpisy vázáni pvinnstí mlčenlivsti ve smyslu Zákna a pučeni mžných následcích pr případ prušení tét pvinnsti. 7. Zpracvatel pstupuje při své činnsti dtýkající se nakládání s sbními údaji v suladu se Záknem. Článek VI Dba trvání smluvy Tat smluva se uzavírá na dbu určitu. Její platnst a účinnst nastává dnem jejíh pdpisu právněnými zástupci bu smluvních stran a knčí dne... Článek VII Zvláštní ujednání Z tét smluvy nevyplývají pr smluvní strany žádné finanční závazky. strana 5/67

6 Článek VIII Závěrečné ustanvení 1. Tat smluva je vyhtvena ve dvu stejnpisech, z nichž každý má platnst riginálu. P pdpisu tét smluvy bdrží správce jedn a zpracvatel jedn vyhtvení smluvy. 2. Otázky tut smluvu výslvně neupravené se řídí záknem č. 101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů a dalšími becně závaznými právními předpisy České republiky. V dne za správce V dne. za zpracvatele 2.2 Stupně důvěrnsti infrmací Stupeň důvěrnsti Public Open Internal Restricted Cnfidential Definice Infrmace, které mhu být sdíleny s kýmkliv na světě. Typicky se jedná infrmace jak jsu veřejné tiskvé zprávy, již zveřejněná výrční zpráva, infrmace z externíh webu, marketingvé infrmace a infrmace prduktech, Cde f Cnduct, veřejné infrmace akcinářích. Infrmace, které mhu být sdíleny jen s těmi, kteří mají bchdní vztah s rganizací (investři, bchdní partneři, subddavatelé, partneři ve sdružení apd.) a všemi zaměstnanci rganizace. Typicky se jedná infrmace jak je část prjektvé dkumentace (výkresvá dkumentace, harmngramy, plitika jaksti, dkumentace rizikvých analýz, dkumentace BOZP a další pdbné infrmace), všebecné infrmace prjektech a zázemí a becné interní předpisy (např. grafický manuál) Infrmace, které mhu být sdíleny jen interně mezi zaměstnanci rganizace. Typicky se jedná infrmace, jak jsu interní předpisy pr zaměstnance, část prjektvé dkumentace (dhady, detailní ppisy, ppisy pracvních pstupů - metdické pkyny) a pdbné typy infrmací Infrmace, které mhu být sdíleny jen ve skupině sb (interních a/neb externích) určené pdle principu jen kd t ptřebuje vědět. Typicky se jedná infrmace, jak jsu finanční infrmace (účetní infrmace, plány), infrmace splečnsti (pdnikatelské záměry, strategické plány apd.), část prjektvé dkumentace (výběrvá řízení, smluvy, jiná smluvní ujednání, reprty jaksti, kalkulace, rzpčty a pdbné typy infrmací. Infrmace, které mhu být sdíleny je s sbami (interními a/neb externími) určenými pdle principu jen kd t ptřebuje vědět. Typicky se jedná infrmace, jak jsu strana 6/67

7 strukturvané finanční infrmace před zveřejněním, výrční zpráva před zveřejněním, dkumentace rgánů splečnstí, přehledy výknnsti - reprty, divestice splečnsti, zaměstnanecké údaje a pdmínky včetně sbních údajů, infrmace mzdách, utajvané infrmace dle zákna 412/2005 Sb. a další pdbné typy infrmací Stupeň důvěrnsti Oblast Public Open Internal Restricted Cnfidential Kd stanví stupeň důvěrnsti Vlastník dkumentu Kd rzhduje distribuci dkumentu Žádné mezení Nesmí být distribuván mim rganizaci Nesmí být distribuván mim rganizaci bez prkazatelnéh suhlasu vlastníka dkumentu Nesmí být distribuván kmukliv bez prkazatelnéh suhlasu vlastníka dkumentu Ulžení neb archivace listinné neb elektrnické frmy na nešifrvaném nsiči Žádné mezení Musí být ulžen v celvé skříni Musí být ulžen v trezru Ulžení elektrnické na pevném disku v PC neb ntebku Žádné mezení Puze zašifrvaně. Ulžení neb archivace elektrnické frmy na centrálním datvém úlžišti Žádné mezení Přísné mezení přístupvých právnění na serveru jen pr právněné sby Puze zašifrvaně. Kpírvání a tisk Žádné mezení Mžn jen pr vlastní ptřebu. Pr statní jen s prkazatelným suhlasem vlastníka dkumentu Žádné mezení Nesmí být zasílán em Vynášení mim území rganizace Žádné mezení A. Nikdy nenechávat bez dzru na veřejných prstranstvích B. Na htelech nechávat uzamčené v bezpečnstních schránkách neb nenechávat bez dzru. C. Při cestvání vždy přenášeny jak příruční zavazadl D. Datvá média musí být zašifrvána strana 7/67

8 Fax Žádné mezení Jen pkud adresát stjí p celu dbu příjmu u přijímacíh faxu. Zakázán Likvidace listinných nsičů (papíru) Tříděný dpad, bez mezení Rzřezat skartvacím strjem Likvidace elektrnických nsičů (médií) Data musí být smazána specializvaným sftwarem neb musí být nsiče fyzicky zničeny Označení PUBLIC OPEN INTERNAL RESTRICTED CONFIDENTIAL Ruční značvání P O I R C 2.3 Výstupní list Příjmení, jmén, titul... útvar... Datum sknčení pracvníh pměru:... Důvd sknčení pracvníh pměru pdpis zaměstnance přímý nadřízený ************************************************************************* vyrvnán pdpis dpvědnéh an - ne zaměstnance Mzdvá účtárna (náhrady škdy, srážky za jízdenky MHD) Půjčky, SF, s.účet Pkladna Technická knihvna strana 8/67

9 Razítka Archív DDHM DHM. Dprava (sbní aut,ccs příp Benzina karta) Odbr IT ptvrzuje, že: -nemá vůči dcházejícímu zaměstnanci žádné phledávky (hardware,sftware, instalační media, manuály aj..) zaměstnanci byla zrušena uživatelská práva k infrmačnímu systému zrušit pnechat pštvní schránku (jak dluh).měsíců... přímý nadřízený schránku bude vybírat.. zrušit zálhvat data uživatele (adresář HOME, lkální data) nadřízený... přímý Persnální dbr sba určená prvěřená NBÚ Pdepsaný výstupní list z p ě t na persnální dbr Vrácení karty ke vstupu d budvy.. Zápčtvý list převzal(a) dne...pdpis Kniha evidence elektrnických klíčů Objekt: Budva ústředí skupiny FIRMA XY Centrum Háje Svým pdpisem ptvrzuji převzetí sbní přístupvu kartu ACS s právněním pr vstup d budvy některých zón budvy a zavazuji se ddržvat tat pravidla: chránit kartu před ztrátu, dcizením neb kmprmitací nezapůjčit kartu jiným zaměstnancům veducí zaměstnance nevyjímaje ztrátu neb dcizení karty neprdleně nahlásit na recepci budvy. Dále beru na vědmí, že v případě ztráty karty z nedbalsti či jiným zaviněním mhu být pžádán uhrazení části nákladů spjených s vystavením nvé karty ve výši d 200,-Kč. strana 9/67

10 Předání karty sbě Vrácení převzetí karty zpět Př. č. Datum Příjmení a jmén (hůlkvě) Os.čísl/čísl dkladu Pdpis Datum Přebírající (př. a jm.) Pdpis Plitika vzdálenéh přístupu k IS firmy Uživatel zaměstnanec FIRMA XY neb externí uživatel systémů FIRMA XY Externí uživatel puze systému B2B Uživatel - vzdálená pdpra systému PC/ ntebk vlastní OK PC/ ntebk vlastní neaktualizvaný Jakékli PC/ntebk Smartphne PC/ ntebk partnera PC/ ntebk partnera Ošetření smluvy Ošetřená smluva s firmu* Závazek mlčenlivsti uživatele** Předání přihlašvacích údajů a tkenů prti pdpisu x x x x x x x x x x x x x x x Ověření klienta Přihlášení smatphne (???) Přihlášení d AD (user+passwrd+tken) Přihlášení d MOSS (user+passwrd+sms) x x x x x x x x strana 10/67

11 Dména (FIRMA XY.cz) x x Klíč v registru x x Aktualizvaný SW (Windws+Antivir) x Oprávnění přístup k update x x časvě nemezený účet Citrix Desktp x x x x x přístup z Citrixu k lkálním diskům READ ONLY přístup z Citrixu k lkálním diskům READ/WRITE x x x přístup z Citrixu přes RDP k pdprvaným zařízením x clipbard (Ctrl+C, Xtrvl+X, Ctrl+V) x tisk na lkální tiskárně x x x plnhdntný VPN x B2B aplikace x Synchrnizace MS Exchange x strana 11/67

12 2.6 Způsb ukládání dkumentace A) Dkumentace listinná Aktivum Dba uchvávání v příručním úlžišti Celk. dba archiva ce Příruční úlžiště Zdůvdnění chrany Strategické a citlivé dkumenty tpmanagementu Trezr Pžadavek tpmanažerů Strategická právní dkumentace (např. akcie, zástavní smluvy, směnky, ručení, dkumentace ke klíčvým právním sprům) Trezr Klíčvé pr business Utajvané infrmace dle legislativy ČR trvale Dle zadání Trezr Pžadavek zákna ČR č.412/2005 Sb. Originály dkumentace stavby (stavební deníky, předávací prtkly, statní dkumenty s riginály pdpisů, apd.) Ocelvá skříň Klíčvé pr business Originály smluvní dkumentace Ocelvá skříň Klíčvé pr business Originály právní dkumentace ke kauzám Ocelvá skříň Klíčvé pr business Nabídkvá dkumentace v bdbí přípravy nabídky až d uknčení sutěže puze ta část dkumentace, která bsahuje kumulvané nabídkvé ceny. Ocelvá skříň Ochrana nabídkvých cen Originály dkumentace interníh auditu jen citlivá část Ocelvá skříň Originály dkumentace majetkprávní Ocelvá skříň Klíčvé pr business Originály dkumentace eknmické (účetní, daňvé, financvání) např. daňvá přiznání, účetní závěrky, apd. Ocelvá skříň Klíčvé pr business Pvinnst ze zákna Originály krprátní dkumentace (živnstenské listy, kncesní listiny, zápisy d bchdních rejstříků, zápisy z valných hrmad, klíčvých představenstev, dzrčích rad) Ocelvá skříň Klíčvé pr business Pvinnst ze zákna Dkumentace vzvéh parku (předávací prtkly k vzidlům, technické průkazy, platební karty, dálniční známky, náhradní klíče k vzidlům) Ocelvá skříň Klíčvé pr business Pvinnst ze zákna strana 12/67

13 Dkumentace k evidenci mbilních telefnů (mbilní přístrje a příslušenství k mbilním telefnům) Originály prjektvé dkumentace Originály dkumentace vlastníka nemvitstí Originály mzdvé neb persnálně-právní agendy bsahující sbní údaje Dkumentace vzvéh parku (výzvy a usnesení d plicie, dklady předání platebních karet, kpie smluv rámcvých i na užívání vzidel, záznamy prvzu vzidla, kpie faktur) Dkumentace k evidenci mbilních telefnů (předávací prtkly, kpie dhd srážkách, kpie faktur, dhdy převdech účastnických smluv) Ocelvá skříň Uzamykatel ný nábytek Uzamykatel ný nábytek Uzamykatel ný nábytek Uzamykatel ný nábytek Uzamykatel ný nábytek Klíčvé pr business Pžadavek zákna ČR č.101/2000 Sb. Dkumenty ORA Dkumentace k výběrvým řízením, která vyhlašuje FIRMA XY Ostatní neveřejná dkumentace Literatura Prspekty, letáky, tiskviny Kpie riginálů 1 rk D vyhlášení výsledků sutěže Uzamykatel ný nábytek Uzamykatel ný nábytek Uzamykatel ný nábytek Uzamykatel ný nábytek Neuzamyka telný nábytek Stejně jak riginál, max. celvá skříň strana 13/67

14 B) Dkumentace elektrnická a audivizuální Dba Celk. Aktivum uchvávání v příručním dba archiva Příruční úlžiště Zdůvdnění chrany úlžišti ce Zálhy serverů IS/ICT na zálžních médiích 12 měsíců 1 rk Trezr Klíčvé pr business Pvinnst ze zákna Originály na médiu Obdbně jak listinné Obdbn ě jak listinné Obdbně jak listinné Klíčvé pr business Pvinnst ze zákna Kpie na médiu bez chrany šifrváním P nezbytnu dbu Ne Obdbně jak listinné Klíčvé pr business Pvinnst ze zákna Kpie na médiu s chranu šifrváním P nezbytnu dbu Ne Neuzamyka telný nábytek 2.7 Fyzické prstředí pr ukládání nsičů infrmací A) Nábytek Úlžiště Odlnst prti Zajištění Název Ppis hni násilnému tevření Dstupn sti Integr ity Důvěrn sti Trezr Nábytkvý neb vestavný trezr Odlnst prti pžáru p dbu 60 minut (třída S 60 P ve smyslu EN ) 60 minut An Ocelvá skříň Plášť skříně a dveří je zhtven z plechu tl. 3 mm Ne An strana 14/67

15 Třístranný zámkvý mechanismus sazený trezrvým zámkem neb zámkem a vlžku bezpečnstní třídy 5 neb 6 dle ČSN P ENV 1627 S mžnstí vnitřní skříňky s vyšším stupněm chrany Uzamykatelný nábytek Pevná knstrukce všech stěn nábytku Standardní uzamykání skříněk Ne Malá Neuzamykatelný nábytek Bez specifikace Ne Ne Pznámka: Nábytek je seřazen d nejvyššíh stupně pskytvané chrany k nejnižšímu. B) Prstry (pdatelny, archivy, spisvny, apd.) Prstry musí být zabezpečeny tak, aby pdle charakteru ulžených dkumentů zaručvaly bdbnu míru chrany, jak příslušný typ nábytku (viz výše). 2.8 Zmapvání rizik bezpečnsti infrmací Účel: shrmáždit pdklady nezbytné k psuzení vlivu pžadvané změny na bezpečnst infrmací a navržení dpvídajících bezpečnstních patření 1 1a 1b Otázka Pkryje funkcinalita IS některu z pvinnstí, které pr FIRMA XY vyplývají z legislativy? O které pvinnsti se knkrétně jedná? Jaké nejvyšší sankce z neplnění těcht pvinnstí pr FIRMA XY hrzí? Očekávaná dpvěď ANO/NE Výčet pvinnstí s dkazem na nrmu/zákn/vyhlášku a příslušný. Finanční částka vyjádřená Kč. strana 15/67

16 2 2a 3 3a 4 Budu v IS zpracvávány sbní údaje 1 zaměstnanců, neb jiných sb (zákazníků, partnerů, apd.)? Jaké sbní údaje? Budu v IS zpracvávány infrmace, které jsu klasifikvány jak CONFIDENTIAL (pdle Spisvéh řádu) a tedy nesmí být dstupné všem zaměstnancům FIRMA XY? O jaké infrmace se knkrétně jedná? Vznikla by FIRMA XY škda, pkud by se infrmace v IS dstaly k neprávněné sby (knkurenci, mediální kauza apd.) ANO/NE Uvést tyt infrmace: Rzsah 2, účel, dba uchvávání, registrace ÚOOÚ ANO/NE Ppis, důvd pr chranu, jaký lgický klíč má být pužit pr nastavení přístupu k IS ANO/NE 4a Jaká by byla maximální výše tét škdy? Částka v Kč 5 5a Pžadujete, aby byl z IS mžné zpětně dhledat c kdy který uživatel v IS prváděl? Které všechny činnsti chcete sledvat? ANO/NE Čtení, úpravy, zápis (vybrané zakružkujte) 5b Jak dluh mají být tyt záznamy uchvávány? 6/12/24 měsíců neb jiná lhůta 6 Klik uživatelů bude IS využívat? Pčet 6a Klik uživatelů bude IS využívat sučasně? Pčet 7 Mají mít k IS přístup i uživatelé mim FIRMA XY, kteří se budu připjvat z internetu? ANO/NE (standard ve FIRMA XY je NE) 1 tj. jakékli z těcht údajů sbách: příjmení, jmén, ftgrafie, kntaktní údaje (telefn, adresa), datum narzení, rdné čísl, bankvní spjení, členství v dbrvých rganizacích, zdravtní stav, vzdělání, nábženské vyznání atd.) 2 tj. které všechny sbní údaje jsu zpracvávány. Např. příjmení, jmén, ftgrafie strana 16/67

17 8 Jaká je pžadvaná prvzní dba IS? Dny v týdnu a hdiny (standard ve FIRMA XY jsu pracvní dny 8:00 17:00 SEČ, CET) 9 9a 9b 9c a Jak dluhý výpadek prvzu IS jste chtni akceptvat v případě havárie IS (RTO 3 )? Jaká by vznikla FIRMA XY maximální škda v případě výpadku systému p dbu 1 dne? Jaká by vznikla FIRMA XY maximální škda v případě výpadku systému p dbu 1 týdne? Jaká by vznikla FIRMA XY maximální škda v případě výpadku systému p dbu 1 měsíce? Jaku největší ztrátu dat jste chtni akceptvat v případě havárie datvéh úlžiště (RPO)? Bude využit jen krabicvý IS bez nutnsti rzšiřvání jeh funkcí vytvářením prgramvacíh kódu? Bude vývj prgramvacíh kódu zajišťván výhradně vlastními silami FIRMA XY? pčet hdin/dnů/týdnů Částka v Kč Částka v Kč Částka v Kč pčet hdin/dnů/týdnů (standard ve FIRMA XY je 24 hdin) ANO/NE ANO/NE 3 Recvery Time Objective viz.např. strana 17/67

18 3 Metdika analýzy rizik 3.1 Předmět analýzy rizik IS Pr účely analýzy rizik se rzumí infrmačním systémem systém jak celek, jehž účelem je pdpra živtníh cyklu všech infrmací (Pjmem infrmační systém může být nazván i knkrétní aktivum.), splehlivstí vlastnst zajišťující knzistentní zamýšlené chvání a jeh výsledky, zbytkvým rizikem rizik, které zůstává p implementaci chranných patření, rizikem ptenciální mžnst, že daná hrzba využije zranitelnsti aktiv neb skupiny aktiv a způsbí tak ztrátu neb zničení aktiv. Jedná se tedy suběh něklika faktrů v čase, analýzu rizik prces identifikvání bezpečnstních rizik stanvující jejich závažnst a identifikující blasti vyžadující chranná patření, managementem rizik celkvý prces identifikvání, kntrlvání a eliminvání neb minimalizvání nepředvídaných událstí, které mhu hrzit aktiva, bezpečnstním prtipatřením praxe, pstup neb mechanismus, který snižuje rizik, hrzbu ptenciální příčina nežáducíh incidentu, který může mít za následek pškzení systému neb rganizace, zranitelnstí zahrnuje slabé míst aktiva neb skupiny aktiv, které může být využit hrzbu, mdelem IT/IS vymezení hranic revize (výčtu aktiv) v rámci rganizace pr účely analýzy rizik, kmpnentu prvek mdelu IT/IS (služba), jehž sučástí jsu relevantní aktiva (Prstředí infrmačních a kmunikačních technlgií a infrmačních systémů je na základě stanvení hranic revize pr účely analýzy rizik rzdělen na kmpnenty je vytvřen tzv. mdel IT/IS.), aktivem je všechn, c má pr rganizaci nějaku hdntu a je t třeba chránit. Pdrbnější členění infrmačních aktiv je sučást tht dkumentu ISO Mezinárdní nrma - Infrmační technlgie - Bezpečnstní techniky - Subr pstupů pr management bezpečnsti infrmací ISO Mezinárdní nrma - Infrmační technlgie - Bezpečnstní techniky - Řízení rizik bezpečnsti infrmací 3.2 Předmět dkumentu Tat Metdika analýzy rizik IS je interním dkumentem pr vyjmenvané pracvníky rganizace, který zejména stanvuje metdiku analýzy rizik IS Práce s dkumentem Přístup k dkumentu Oprávnění přístupu k dkumentu mají všichni jmenvaní pracvníci pr dpvídající činnst v rámci rganizace. Pvinnstí každéh z těcht pracvníků je prstudvání dkumentu a bezchybné ddržvání veškerých ujednání. strana 18/67

19 Aktualizace dkumentu Aktualizace dkumentu je becně řízena dkumentem Celkvá bezpečnstní plitika. Za přijetí nvé úpravy dkumentu je dpvědný Manažer bezpečnsti. Důvdem k aktualizaci je změna pdmínek zabezpečení IS, změna vnějších a vnitřních hrzeb, změna, dplnění neb zrušení aktiv rganizace. Změny se musí prjevit buďt přím v Celkvé bezpečnstní plitice, neb v přílhách tht dkumentu, které se zabývají knkrétními a aktuálně užívanými prstředky. Dalším důvdem změny může být přijetí námětů d pracvníků rganizace, závěry bezpečnstníh auditu, rzhdnutí Bezpečnstníh fóra a další. 3.3 Cíle analýzy rizik Cílem analýzy rizik je identifikvat aktiva a kmpnenty (služby a základní prcesy a jejich prvázanst na jedntlivé rganizační celky) rganizace, určit jejich hdntu, identifikvat dpvědné sby za jejich chranu. Dalšími cíli jsu: identifikvat ptenciální hrzby, kterým jsu tat aktiva vystavena, identifikvat zranitelnsti jedntlivých aktiv, identifikvat mžná prtipatření, prstřednictvím kterých budeme hrzbám a zranitelnstem čelit, vypčítat míru rizik aktiv a kmpnent dle pstupu níže. 3.4 Metdika řízení bezpečnstních rizik Cíle řízení rizik Cílem rganizace je minimalizace, případně eliminace rizik v celém rzsahu její činnsti. Organizace si je vědma faktu, že eliminace rizika není likvidací hrzby, hrzby prt neustále sleduje a vyhdncuje. Zvláštní pzrnst je věnvána hrzbám, jejichž prjevem by byl skrytý únik citlivých aktiv/dat/infrmací. Organizace vychází z úvahy, že zjevný únik či zničení citlivéh aktiva způsbí pškzení dbréh jména rganizace. Skrytý únik může znamenat mžnst útku na identitu fyzických a právnických sb, cž je zásadním narušením jejich práv. Takvý útk znamená také mžný zásah d existujících právních vztahů. Prt má zásadní význam persnální bezpečnst Mdel řízení rizik Management rizik v rganizaci vychází z mdelu ppsanéh v ISO/IEC 27005:2011, Infrmační technlgie - Bezpečnstní techniky - Řízení rizik bezpečnsti infrmací. strana 19/67

20 Matematická rvnice rizika Výše uvedený mdel sice naznačuje směr uvažvání bezpečnstních rizicích, neumžňuje ale prvést přesnější analýzu rizika samtnéh. Organizace prt na tent mdel navazuje užíváním rvnice rizika, která svu knstrukcí umžňuje prvádět analýzu hrzeb pcházejících d subjektů aktivních i pasivních a je užívána bezpečnstními analytiky v euratlantickém prstru. Ústřední bd mdelu rizik rganizace kvantifikuje primárně jak sučin veliksti (mhutnsti) hrzby a předpkládané maximální výše ztráty na hržené hdntě. Základním a becným tvarem užívané rvnice rizika je frmule: hdnta aktiva x hrzba x zranitelnst rizik = účinnst prtipatření kde hrzba není přím definvána, ale jde nezávisle prměnnu suvisející s aktuální či ptenciální činnsti určitéh subjektu, vědmě jednajícíh i neživéh. Zranitelnst je inherentní míra hrzitelnsti hdnty. Prtipatření jsu prcedury a nástrje, jimiž je mezvána zranitelnst hdnty hdnta je důležitst/cennst chráněnéh bjektu či zájmu. Organizace pr zmenšení veliksti rizika prvádí prtipatření (uplatňvání persnální, fyzické a systémvé bezpečnsti), která jsu pdrbněji definvána v příslušných kapitlách suvisejících dkumentů Pužitý vzrec pr výpčet rizika aktiva Pr výpčet rizika aktiva je pužit upravený vzrec, d kteréh je zavedena pravděpdbnst událsti. hrzba x pravděpdbnst x hdnta aktiva rizik = účinnst prtipatření Pravděpdbnst je inicializvána nějakým průměrem pravděpdbnsti, která vychází z expertníh dhadu. Následně je tat pravděpdbnst aktualizvána dle analýzy bezpečnstních incidentů Pužitý vzrec pr výpčet rizika kmpnenty D vzrce je zavedena ještě analýza dpadů incidentu (Business Impact Analysis), která navyšuje cenu aktiva definvanu primárně nákladem na její bnvu důsledky narušení dstupnsti, integrity a důvěrnsti danéh aktiva. Dalším prměnu je závislst kmpnenty na daném aktivu (ZKA). strana 20/67

21 (hdnta aktiva + dpad) x úrveň hrzby x pravděpdbnst x ZKA rizik = účinnst prtipatření Analýza dpadů incidentu je uplatňvána na kmpnentách (klíčvých prcesech/rganizačních celcích), kdy je na základě dhadu managementu splečnsti vyjádřena škda vzniklá v důsledku incidentu, který naruší standardní funkčnst kmpnenty. Závislst kmpnenty na aktivu vyjadřuje míru nezbytnsti fungvání aktiva pr fungvání kmpnenty Pstup prvádění analýzy rizik - RANIT Organizace zvlila pr realizaci analýzy rizik expertní nástrj RANIT, který vychází z nrem ISO/IEC a ISO/IEC (prtipatření) Krk 1 - kmpnenty Prstředí infrmačních a kmunikačních technlgií a infrmačních systémů (dále též jen IT/IS) je na základě stanvení hranic revize pr účely analýzy rizik rzdělen na kmpnenty je vytvřen tzv. mdel IT/IS. Evidence kmpnent a určení jejich vlastníků je realizván prstřednictvím aplikace RANIT. Data evidence kmpnent jsu sučástí databáze aplikace RANIT. Vlastník kmpnenty: Osba, která je dpvědná za kmpnentu v rámci prcesu analýzy rizik. Vlastník musí být schpen psuzvat relevantně kmpnentu, nemusí být fyzickým či rganizačním vlastníkem aktiv kmpnenty. Vlastník kmpnenty dpvídá zejména za: identifikaci všech relevantních aktiv ke kmpnentě, určení vlastníků aktiv. hdncení v rámci analýzy dpadů incidentu. Analýza dpadů incidentu (BIA) Analýza dpadů incidentu (Business Impact Analysis) je hdncením dpadů bezpečnstních incidentů, které se prjeví ztrátu dstupnsti, integrity či důvěrnsti d fungvání rganizace. Je realizvána s využitím aplikace RANIT Krk 2 - aktiva V tmt krku jsu identifikvána aktiva dle dpručení nrmy ISO 27005, jejich příslušnst ke kmpnentám a jejich vlastníci. Hdnta aktiv je stanvvána v relativní stupnici, kde slvně vyjádřená hdnta aktiva je uvedena v následující tabulce. A00 Bez dpadu strana 21/67

22 Kód v aplikaci RANIT Slvní značení Finanční / slvní vyjádření A00 Bez dpadu (nulvá hdnta) A01 Velmi malá (d 50 tis. Kč) A02 Malá (50 tis. Kč tis. Kč) A03 Střední (250 tis. Kč - 1 mil. Kč) A04 Vyská (1 mil. Kč - 10 mil. Kč) A05 Kritická (10 mil. Kč mil. Kč) Slvní vyjádření typu/kategrizace aktiva je uveden v následující tabulce. TA01 DAT-Data/Infrmace TA02 SW-Sftware TA03 MD-Elektrnické médium TA04 MD-Neelektrnické médium TA05 HW-PC/NTB/Tablet/Smartphne TA06 HW-PC/NTB-Terminál TA07 HW-Server TA08 HW-Paměťvé zařízení TA09 LAN-Aktivní prvky/firewall/prxy TA10 LAN-Pevná infrastruktura TA11 PER-Tiskárny/Multifunkce TA12 PER-Fax/telefny TA13 PBX-Telefnní ústředna TA14 LID-Zaměstnanci TA15 OUT-Externí služby TA16 LOK-Budvy/místnsti Evidence aktiv, určení jejich vlastníků a určení hdnty aktiva je realizván prstřednictvím aplikace RANIT. Data evidence aktiv jsu sučástí databáze aplikace RANIT. strana 22/67

23 Vlastník aktiva: Osba, která je dpvědná za aktivum v rámci prcesu analýzy rizik. Vlastník musí být schpen psuzvat relevantně aktivum, nemusí být fyzickým či rganizačním vlastníkem aktiva. Vlastník aktiva dpvídá zejména za: cenění aktiva, dhad hrzeb příslušných k danému aktivu, dhad frekvence hrzeb, dhad zranitelnsti aktiva, identifikaci stávajících prtipatření, dhad účinnsti prtipatření Krk 3 - hrzby Hrzby mhu být přírdníh neb lidskéh půvdu, a mhu být náhdné neb úmyslné. Měly by být identifikvány zdrje jak náhdných tak úmyslných hrzeb a měla by být dhadnuta pravděpdbnst jejich výskytu. Pdstatné je, aby nebyla přehlédnuta žádná relevantní hrzba, prtže by t mhl mít za následek selhání neb slabení bezpečnsti systému IT. P identifikaci zdrje hrzby (kd a c byl příčinu hrzby) a cíle hrzby (tj. které prvky systému mhu být hrzbu vlivněny), je nutné dhadnut parametry hrzby. Přitm by se měl přihlédnut k: mtivaci, vědmým a nutným mžnstem, zdrjům, které jsu dstupné pr mžné útčníky, atraktivnsti a zranitelnsti aktiv systému IT pr mžné útčníky, jak zdrji záměrných hrzeb, mžným následkům (dpadům) v případě výskytu hrzby, gegrafickým faktrům jak je např. blízkst chemických tváren neb tváren na zpracvání nafty, mžnsti extrémních pvětrnstních pdmínek, faktrům, které by mhly vlivnit lidské chyby a chybné funkce zařízení, jak zdrji náhdných hrzeb. Odhad hrzeb a jejich hdncení je realizván prstřednictvím aplikace RANIT. Hrzby jsu vybírány z číselníku, který je sučástí databáze aplikace RANIT. Číselník je vypracván v suladu se standardem ISO/IEC a je uveden v následující tabulce. Kód v aplikaci RANIT Slvní vyjádření Úmysl Náhda Vyšší mc / envirn. půvd TH01 Chyba prvzu ( univerzální hrzba ) x x TH02 Chyba přensu x TH03 Chyba údržby technickéh vybavení x TH04 Chyba údržby/úpravy prgramvéh vybavení x TH05 Chybné směrvání zpráv x TH06 Chyby uživatele x strana 23/67

24 TH07 Infiltrace kmunikací x TH08 Krádež prvedená cizími sbami x TH09 Krádež prvedená identifikvatelnými sbami x TH10 Nedstatek zaměstnanců x x TH11 Negativní vlivy prstředí x x x TH12 Neprávněné pužití aplikačníh sftware x x TH13 Ppření x TH14 Pškzení paměťvéh média x x x TH15 Pškzení vedení x x x TH16 Pškzení vdu x x x TH17 Pžár x x x TH18 Předstírání identity uživatele cizími sbami x TH19 Předstírání identity uživatele identifikvatelnými sbami x TH20 Předstírání identity uživatele smluvními partnery x TH21 Přesměrvání zpráv x TH22 Přírdní katastrfa x TH23 Selhání aplikačníh sftware x x x TH24 Selhání ddávky energie x x TH25 Selhání klimatizace x TH26 Selhání systémvéh sftware x x TH27 Škdlivý sftware x TH28 Technické selhání hardware pčítačů x x x TH29 Technické selhání kmunikačních služeb (síťvých služeb) x TH30 Technické selhání periferníh zařízení x TH31 Technické selhání síťvéh rzhraní x TH32 Technické selhání síťvých kmpnent A x x TH33 Terrismus, extremismus x strana 24/67

25 TH34 Úmyslná škda způsbená cizími sbami x TH35 Úmyslná škda způsbená identifikvatelnými sbami x x TH36 Zachycení kmunikace x TH37 Zneužití systémvých zdrjů x x Úrveň hrzby Úrveň hrzby pr každé aktivum vyjadřuje mhutnst hrzby, resp. důsledek incidentu způsbenéh danu hrzbu ve vztahu k danému aktivu. Úrveň hrzeb je vybírána z číselníku, který je sučástí databáze aplikace RANIT. Číselník je uveden v následující tabulce. Kód v aplikaci RANIT Slvní značení Obsahuje také Z01 Z02 Z03 Z04 Z06 Nedstupnst 15 min Nedstupnst 30 min Nedstupnst 1 h Nedstupnst 8 h Nedstupnst 1 d Z08 Nedstupnst 1 T + Fyzické zničení Z11 Z12 Z13 Z14 Z15 Z16 Z17 Z18 Ztráta dat d pslední zálhy Úplná ztráta dat Przrazení interním subjektům Przrazení smluvním subjektům Przrazení cizím subjektům Narušení kmunikačníh prvzu Chyby menšíh rzsahu v databázi / v přensu Chyby širšíh rzsahu v databázi / v přensu Mnitrvání kmunikačníh prvzu, Úmyslná mdifikace přenášených zpráv, Vlžení falešné zprávy, Ppření půvdu, Ppření přijetí Chybná pslupnst, Opakvání, Chyba směrvání, Nedručení Chybná pslupnst, Opakvání, Chyba směrvání, Nedručení strana 25/67

26 Krk 4 - pravděpdbnst V tmt krku je nutn prvést dhad pravděpdbnsti (frekvence výskytu) hrzeb. Odhad frekvence hrzby je dle typu hrzby prveden na základě zkušenstí, statistik, neb expertníh dhadu. Odhad frekvence hrzeb je realizván prstřednictvím aplikace RANIT. Frekvence hrzeb jsu vybírány z číselníku, který je sučástí databáze aplikace RANIT. Číselník je uveden v následující tabulce. Kód v aplikaci RANIT Slvní značení Časvé vymezení F1 Občasná jednu za více let F2 Nízká jednu rčně F3 Střední něklikrát za rk F4 Vyská něklikrát za měsíc F5 Mimřádně vyská něklikrát za týden Krk 5 - prtipatření Ochranná patření neb prtipatření jsu praktiky, pstupy neb mechanismy, které mhu pskytnut chranu před hrzbu, snížit zranitelnst, mezit dpad nežáducíh incidentu, detekvat nežáducí incidenty a usnadnit bnvu. Účinná bezpečnst bvykle vyžaduje kmbinaci různých chranných patření, aby pskytla aktivům různé stupně bezpečnsti. Ochranná patření mhu vyknávat jednu neb více následujících funkcí: detekci, dstrašvací funkci, prevenci, mezení, krekci, bnvu, mnitrvání a pvědmí prblému. Pr krektně implementvaný bezpečnstní prgram je pdstatný vhdný výběr chranných patření. Mnh chranných patření může plnit vícenásbné funkce. Příklady chranných patření jsu: síťvé firewally, mnitrvání a analýza sítě, šifrvání k zajištění důvěrnsti, digitální pdpisy, antivirvý sftware, zálžní kpie infrmací, rezervní zdrje energie, mechanismy řízení přístupu. Sučástí hdncení je jednak identifikace existujících prtipatření, jednak dhad jejich účinnsti jak funkce snižující míru zranitelnsti aktiva. P dknčení dhadu existuje seznam identifikvaných prtipatření, které mhu vlivnit (snížit) zranitelnst danu hrznu a míra předpkládané účinnsti prtipatření. Identifikace prtipatření a dhad jejich účinnsti je realizván prstřednictvím aplikace RANIT. Prtipatření a jejich účinnst jsu vybírána z číselníků, které jsu sučástí databáze aplikace RANIT. Číselník prtipatření je vypracván dle standardu ISO/IEC 27002, resp. je ekvivalentem kapitl Číselníky účinnsti prtipatření je uveden v následující tabulce. strana 26/67

27 Kód v aplikaci RANIT Slvní značení Vyjádření v % C1 Nízká méně než 30% C2 Částečná asi 50% C3 Dbrá asi 70% C4 Výbrná asi 90% C5 Vynikající téměř 100 % Krk 6 míra rizika Míra rizika pr jedntlivé hrzby je kalkulvána aplikací RANIT dle výše uvedených vzrců. Míra rizika může být v tét aplikaci stanvena jak: hrubá míra rizika pčítána bez zhlednění účinnsti prtipatření, aktuální míra rizika pčítána se zhledněním účinnsti stávajících prtipatření, míra rizika v následujícím krku pčítána se zhledněním účinnsti uvažvaných prtipatření. Míra rizika aktiva je dána míru rizika hrzby s nejvyšší hdntu v rámci danéh aktiva. Míra rizika kmpnenty je dána míru rizika aktiva, dpadu a závislsti kmpnenty na aktivu s nejvyšší hdntu. 3.5 Interpretace rizika Je zvlen bdvé hdncení zbytkvéh rizika, které dle níže uvedených úrvní rzdělen dle předpkládané závažnsti rizika. Slvní značení Barevný příznak Akceptvatelné Nízké Střední Vyské Kritické strana 27/67

28 4 Zpráva z analýzy rizik Před vlastním prvedením analýzy rizik byla prjednána Metdika analýzy rizik, která je samstatným dkumentem. Jedná se vlastní metdiku, která je zalžena na expertním systému RANIT vycházejícíh z nrmy ISO s pdpru nrmy ISO (katalg patření). V prstředí systému RANIT byla analýza rizik prvedena, a tudíž jsu v něm ulžena veškerá vstupní (mdelvání systému, identifikace aktiv, přenesené výsledky záznamů aplikvaných patřeních prcesních i technických a jejich účinnsti na základě interview se zaměstnanci) i výstupní data. Systém RANIT umžňuje pdrbný a kmplexní náhled a reprtvání dat v textvé i grafické pdbě. Instalace systému RANIT a databáze s těmit daty jsu nedílnu sučástí prvedené analýzy rizik, která dplňuje tent dkument. 4.1 Analýza rizik by neměla být jednrázvý prjekt Tat analýza rizik byla prvedena na zelené luce a je tedy třeba k tmut faktu přihlédnut při psuzvání míry přesnsti mdelu vzhledem k realitě, tj. k míře přesnsti výsledků, kterých je mžné bjektivně dsahvat při první analýze a za daných pdmínek. U systémvéh řízení infrmačních rizik dle ISO (smyčka P-D-C-A) je vyské přesnsti dsahván zejména tím, že se prces analýzy rizik a následné snižvání zjištěných neakceptvatelných rizik dluhdbě pakuje a zpřesňuje. Neznamená t ale, že vypčtené výsledky jsu a priri nepřesné a nemají reálnu vypvídací hdntu. Puze chceme zdůraznit nutnst pakvání prjektu a tím další zhdncení práce zaměstnanců rganizace, kteří tmut prjektu věnvali nemalé mnžství času a energie. Nejcennějšími daty budu infrmace trendu, ne stavu. Dalším důležitým faktem je, že užitý systém dhaluje puze špičky ledvců, cž je dán způsbem identifikace hrzeb, rizik, resp. jejich výpčtu. Tent fakt je ale plně v suladu s tím, jak je dluhdbý prces managementu rizik chápán v ISMS del nrem skupiny ISO V každém sledvaném bdbí se dhalí největší rizika, které jsu šetřeny některu z přípustných metd (eliminace, akceptace, přenesení, ) a tt by se měl prjevit v dalším pakvání analýzy rizik. 4.2 Předmět analýzy rizik IS Pr účely analýzy rizik se rzumí zbytkvým rizikem rizik, které zůstává p implementaci chranných patření rizikem ptenciální mžnst, že daná hrzba využije zranitelnsti aktiv neb skupiny aktiv a způsbí tak ztrátu neb zničení aktiv. Jedná se tedy suběh něklika faktrů v čase analýzu rizik prces identifikvání bezpečnstních rizik stanvující jejich závažnst a identifikující blasti vyžadující chranná patření managementem rizik celkvý prces identifikvání, kntrlvání a eliminvání neb minimalizvání nepředvídaných událstí, které mhu hrzit aktiva bezpečnstním prtipatřením praxe, pstup neb mechanismus, který snižuje rizik strana 28/67

29 hrzbu ptenciální příčina nežáducíh incidentu, který může mít za následek pškzení systému neb rganizace zranitelnstí zahrnuje slabé míst aktiva neb skupiny aktiv, které může být využit hrzbu aktivem je všechn, c má pr rganizaci nějaku hdntu a je t třeba chránit. Pdrbnější členění infrmačních aktiv je sučást tht dkumentu ISO Mezinárdní nrma - Infrmační technlgie - Bezpečnstní techniky - Subr pstupů pr management bezpečnsti infrmací ISO Mezinárdní nrma - Infrmační technlgie - Bezpečnstní techniky - Řízení rizik bezpečnsti infrmací ISO Mezinárdní nrma - Management kntinuity činnstí rganizace - Část 1: Subr zásad COBIT 5 Metdika pskytující byznys phled na řízení IT, pracuje s tím, že infrmace i technlgie hrají významnu rli při tvrbě přidané hdnty v rganizaci. ITSM IT Service Management - Metdika pr řízení IT služeb ITIL IT Infrastructure Library - sbírka nejlepších zkušenstí z bru ITSM 4.3 Předmět dkumentu Tat Analýzy rizik je interním dkumentem pr vyjmenvané pracvníky rganizace, který zejména pskytuje hlavní výstupy analýzy rizik včetně dpručení dalších prtipatření pr eliminaci přetrvávajících rizik. 4.4 Práce s dkumentem Přístup k dkumentu Oprávnění přístupu k dkumentu mají všichni jmenvaní pracvníci pr dpvídající činnst v rámci rganizace. Pvinnstí každéh z těcht pracvníků je prstudvání dkumentu a bezchybné ddržvání veškerých závěrů. Pvinnstí sby dpvědné za řízení bezpečnsti infrmací je prvádění úvdních a průběžných šklení pr jmenvané pracvníky bezpečnstních cílech rganizace a rganizační jedntky rganizace, vyjádřené tímt dkumentem Aktualizace dkumentu Aktualizace dkumentu je becně řízena dkumentem Celkvá bezpečnstní plitika. Za přijetí nvé úpravy dkumentu je vždy dpvědná sba zdpvědná za řízení bezpečnsti infrmací. Důvdem k aktualizaci je změna pdmínek zabezpečení IS, změna vnějších a vnitřních hrzeb, změna, dplnění neb zrušení aktiv rganizace. Aktualizace tht dkumentu se prvádí minimálně jedenkrát rčně. Změny se musí prjevit buďt přím v Celkvé bezpečnstní plitice, neb v přílhách tht dkumentu, které se zabývají knkrétními a aktuálně užívanými prstředky. Dalším důvdem změny může být přijetí námětů d pracvníků rganizace, závěry bezpečnstníh auditu, rzhdnutí Bezpečnstníh fóra a další (viz dkument Celkvá bezpečnstní plitika). Za předlžení aktualizvanéh návrhu dkumentu je dpvědný strana 29/67

30 Bezpečnstní manažer. Schválení aktualizace musí prběhnut na úrvni Bezpečnstníh fóra, následně jej schvaluje vedení rganizace Vstupy analýzy rizik Sběr dat Vstupní údaje jsu reprezentvány těmit dkumenty: Rzdílvá analýza stávající situace u bjednatele prti nrmu definvaným pžadavkům; # Název Dtaz Je patření A.5 Bezpečnstní plitika A.5.1 Bezpečnstní plitika infrmací A Dkument bezpečnstní plitiky infrmací Existuje nějaká frmální dkumentace týkající se bezpečnsti infrmací a infrmačních a kmunikačních technlgií? Obsahuje definici bezpečnsti infrmací, její cíle, rzsah a její důležitst mechanizmus umžňující sdílení infrmací? Obsahuje prhlášení vedení rganizace záměru pdprvat cíle a principy bezpečnsti infrmací? Obsahuje stručný výklad bezpečnstních zásad, principů a nrem a pžadavky zvláštní důležitsti pr rganizaci? Například: 1. ddržvání záknných, regulatrních a smluvních pžadavků; nefrmálně prváděn? frmalizván a prváděn dle plánů? kntrlván a zlepšván? plánvan k zavedení? 2. pžadavky na vzdělávání, šklení a zvyšvání pvědmí v blasti bezpečnsti; 3. zásady plánvání kntinuity činnstí rganizace; 4. důsledky prušení bezpečnstních zásad; Obsahuje stanvení becných a knkrétních dpvědnstí pr blast řízení bezpečnsti infrmací včetně hlášení bezpečnstních incident? Obsahuje dkazy na dkumentaci, která může bezpečnstní plitiku pdprvat, například na detailnější bezpečnstní plitiky a pstupy zaměřené na knkrétní infrmační systémy (systémvé bezpečnstní plitiky) neb bezpečnstní pravidla, která by měli uživatelé ddržvat? Je tat dkumentace řízena? strana 30/67

31 A Přezkumání a aktualizace bezpečnstní plitiky infrmací A.6 Organizace bezpečnsti infrmací A.6.1 Interní rganizace A Závazek vedení směrem k bezpečnsti infrmací Kd je správcem dkumentace? Kd ji schvaluje? Existuje hierarchická struktura vnitřních směrnic, d které plitika bezpečnsti infrmací zapadá? Jak čast jsu interní směrnice týkající se bezpečnsti infrmací aktualizvány? Existuje frmální neb nefrmální deklarace přímé angažvansti vrchlvéh vedení na řízení bezpečnsti infrmací? Jsu jednznačně vymezeny a přiřazeny rle v blasti bezpečnsti infrmací? A A A A A A A A.6.2 A Krdinace bezpečnsti infrmací Přidělení dpvědnstí v blasti bezpečnsti infrmací Schvalvací prces prstředků pr zpracvání infrmací Dhdy chraně důvěrných infrmací Kntakt s rgány veřejné správy Kntakt se zájmvými skupinami Nezávislá přezkumání bezpečnsti infrmací Externí subjekty Identifikace rizik plynucích z přístupu externích subjektů Jsu činnsti v blasti bezpečnsti infrmací krdinvány prstřednictvím zástupců různých útvarů z celé rganizace? Jsu jednznačně určeny dpvědnsti knkrétních sb / funkcí v blasti řízení bezpečnsti infrmací? Existuje frmální prces, kterým se schvaluje pužívání nvých prstředků pr zpracvání infrmací z phledu bezpečnsti? Existují pravidla pr zajištění chrany důvěrných infrmací v rámci interních smluv (např. se zaměstnanci)? Jsu smluvy bsahující NDA pravidelně přezkumávány? Jsu zavedeny pstupy pr kntakty s rgány veřejné správy? (plicie, hasiči, záchranná služba, státní správa (kvůli shdě s legislativu).) Jsu udržvány kntakty v rámci "zájmvých skupin" (např. setkávání CIO / veducích pracvníků ddělení infrmatiky v rámci skupiny příbuzných/sesterských rganizací), které se mhu týkat řízení bezpečnsti infrmací? Je řízení bezpečnsti infrmací (pravidelně / nepravidelně) nezávisle přezkumáván (někým mim prces řízení bezpečnsti)? Prvádí se identifikace rizik a implementace patření v rámci splupráce s externími subjekty? strana 31/67

32 A Bezpečnstní pžadavky pr přístup klientů A Bezpečnstní pžadavky v dhdách se třetí stranu A.7 Řízení aktiv Jsu definvány bezpečnstní pžadavky na přístup klientů k aktivům rganizace? Existují pravidla pr zajištění chrany důvěrných infrmací v rámci smluv s externími subjekty? A.7.1 Odpvědnst za aktiva A Evidence aktiv Je udržván aktuální seznam aktiv rganizace? A Vlastnictví aktiv Mají aktiva přiřazena knkrétní vlastníky (sby/funkce zdpvědné za aktiva)? A Přípustné pužití aktiv Jsu u aktiv definvána pravidla pr jejich přípustné pužití? A.7.2 A Klasifikace infrmací Dpručení pr klasifikaci A Označvání a nakládání s infrmacemi A.8 Bezpečnst lidských zdrjů A.8.1 Před vznikem pracvníh vztahu A Rle a dpvědnsti Jsu infrmace klasifikvány s hledem na jejich hdntu / právní pžadavky / citlivst / kritičnst? Jsu definvány pstupy pr značvání infrmací? Jsu stanveny a zdkumentvány rle a dpvědnsti zaměstnanců, smluvních a třetích stran v suladu s bezpečnstní plitiku rganizace? A Prvěřvání Jsu uchazeči zaměstnání prvěřvání dle pžadavků stanvených rganizací, dále s hledem na klasifikaci infrmací, ke kterým by měli získat přístup, ale také z hlediska splehlivsti a ptencinálních rizik? A A.8.2 A A A A.8.3 Pdmínky výknu pracvní činnsti Během pracvníh vztahu Odpvědnsti veducích zaměstnanců Infrmvanst, vzdělávání a šklení v blasti bezpečnsti infrmací Disciplinární řízení Uknčení neb změna pracvníh vztahu Obsahují pracvní smluvy uzavřené se zaměstnanci, smluvními a třetími stranami ustanvení jejich dpvědnsti za bezpečnst infrmací? Vynucují veducí zaměstnanci ddržvání bezpečnstních plitik u svých pdřízených? Jsu všichni zaměstnanci pravidelně vzděláváni v blasti bezpečnsti infrmací? Existují pravidla pr frmální disciplinární řízení vůči zaměstnancům, kteří dpustili narušení bezpečnsti? strana 32/67

33 A A A Odpvědnsti při uknčení pracvníh vztahu Navrácení zapůjčených prstředků Odebrání přístupvých práv A.9 Fyzická bezpečnst a bezpečnst prstředí A.9.1 Zabezpečené blasti A Fyzický bezpečnstní perimetr A A A A A A.9.2 A A Fyzické kntrly vstupu sb Zabezpečení kanceláří, místnstí a prstředků Ochrana před hrzbami vnějšku a prstředí Práce v zabezpečených blastech Veřejný přístup, prstry pr nakládku a vykládku Bezpečnst zařízení Umístění zařízení a jeh chrana Pdpůrná zařízení Jsu ve smluvách uzavřených se zaměstnanci, smluvními a třetími stranami bsaženy dpvědnsti a pvinnsti platné i p sknčení pracvníh vztahu? Je zajištěn, že při uknčení pracvníh vztahu musí zaměstnanci, pracvníci smluvních a třetích stran devzdat veškeré jim svěřené předměty, které jsu majetkem rganizace? Je zajištěn, že při uknčení pracvníh vztahu musí být uživatelům, smluvním a třetím stranám dejmuta neb pzměněna přístupvá práva k infrmacím a prstředkům pr zpracvání infrmací? Jsu v prstrách, ve kterých se nacházejí infrmace neb prstředky pr zpracvání infrmací pužívány bezpečnstní perimetry (bariéry jak například zdi, vstupní turniket na karty neb recepce)? Je zajištěn, že je přístup d zabezpečených blastí (blasti s nadstandardní ptřebu zabezpečení) pvlen puze právněným sbám? Jsu tyt blasti chráněny vhdným systémem kntrl vstupu? Je aplikván zabezpečení kanceláří, místnstí, zařízení? Jsu navrženy a aplikvány prvky fyzické chrany prti škdám způsbených pžárem, pvdní, zemětřesením, výbuchem, civilními nepkji a jinými přírdními neb lidmi zapříčiněnými katastrfami? Jsu pr práci v zabezpečených blastech navrženy a aplikvány prvky fyzické chrany? Jsu prstry pr nakládku a vykládku a další místa, kudy se mhu neprávněné sby dstat d prstr rganizace, kntrlvána a pkud mžn izlvána d prstředků pr zpracvání infrmací tak, aby se zabránil neprávněnému přístupu? Jsu zařízení pr zpracvání infrmací umístěna a chráněna tak, aby se snížila rizika hrzeb a nebezpečí daná prstředím a aby se mezily příležitsti pr neprávněný přístup? Jsu zařízení pr zpracvání infrmací umístěna přiměřeně chráněna pdpůrnými prstředky (UPS, klimatizace, generátr, )? strana 33/67

34 A Bezpečnst kabelvých rzvdů Jsu silvé a telekmunikační kabelvé rzvdy, které jsu určeny pr přens dat a pdpru infrmačních služeb chráněny před pškzením či dpslechem? A Údržba zařízení Jsu zařízení správně udržvána pr zajištění jeh dstupnsti a integrity? A A A Bezpečnst zařízení mim prstry rganizace Bezpečná likvidace neb pakvané pužití zařízení Přemístění majetku Jsu zařízení pužívaná mim prstry rganizace zabezpečena s přihlédnutím k různým rizikům, vyplývajících z jejich pužití mim rganizaci? Jsu zařízení bsahující paměťvá média kntrlvána tak, aby byl mžné zajistit, že před jejich likvidací neb pakvaným pužitím budu citlivá data a licencvané prgramvé vybavení dstraněny neb přepsány? Pdléhá přemístění zařízení, infrmací neb prgramvéh vybavení schválení? A.10 Řízení kmunikací a řízení prvzu A.10.1 Prvzní pstupy a dpvědnsti A Dkumentace prvzních pstupů Jsu prvzní pstupy zdkumentvány, udržvány a dstupné všem uživatelům dle ptřeby? A Řízení změn Jsu změny ve vybavení a prstředcích pr zpracvání infrmacemi řízeny? A A Oddělení pvinnstí Oddělení vývje, testvání a prvzu Je zvažván ddělení jedntlivých pvinnstí a dpvědnstí pr snížení příležitstí k neprávněné mdifikaci neb zneužití aktiv rganizace? Je zvažván ddělení prcesů vývje, testvání a prvzu pr snížení rizika neprávněnéh přístupu k prvzním systémům a neb jeh změn? A.10.2 Řízení ddávek služeb třetích stran A Ddávky služeb Je zajištěn, aby úrveň služeb týkajících se bezpečnsti infrmací pskytvaných třetí stranu byla v suladu se smluvními pdmínkami? A A A.10.3 Mnitrvání a přezkumávání služeb třetích stran Řízení změn služeb pskytvaných třetími stranami Plánvání a přejímání systémů Jsu služby, zprávy a záznamy pskytvané třetí stranu mnitrvány a pravidelně přezkumávány? Jsu změny v pskytvání služeb třetími stranami řízeny? A Řízení kapacit Je pr zajištění pžadvanéh výknu infrmačníh systému, s hledem na buducí kapacitní pžadavky, mnitrván, nastaven a prjektván využití zdrjů? strana 34/67

35 A A.10.4 A A Přejímání systémů Ochrana prti škdlivým prgramům a mbilním kódům Opatření na chranu prti škdlivým prgramům Opatření na chranu prti mbilním kódům Jsu nastavena kritéria pr přejímání nvých infrmačních systémů, jejich aktualizaci a zavádění nvých verzí a vhdný způsb testvání systému v průběhu vývje a před zavedením d stréh prvzu? Jsu na chranu prti škdlivým prgramům a nepvleným mbilním kódům implementvána patření na jejich detekci, prevenci a nápravu a zvyšván dpvídající bezpečnstní pvědmí uživatelů? Je pužití pvlených mbilních kódů (např. middleware) nastaven v suladu s bezpečnstní plitiku? Je zabráněn spuštění nepvlených mbilních kódů? A.10.5 A Zálhvání Zálhvání infrmací Jsu zálžní kpie důležitých infrmací a prgramvéh vybavení rganizace přizvány a testvány v pravidelných intervalech? A.10.6 Správa bezpečnsti sítě A Síťvá patření Je pr zajištění chrany před mžnými hrzbami, pr zaručení bezpečnsti systémů a aplikací využívajících sítí a pr zajištění bezpečnsti infrmací při přensu pčítačvé sítě vhdným způsbem spravvány a kntrlvány? A A.10.7 A Bezpečnst síťvých služeb Bezpečnst při zacházení s médii Správa výměnných pčítačvých médií Jsu identifikvány a d dhd pskytvání síťvých služeb zahrnuty bezpečnstní prvky, úrveň pskytvaných služeb a pžadavky na správu všech síťvých služeb a t jak v případech, kdy jsu tyt služby zajišťvány interně, tak i v případech, kdy jsu zajišťvány cestu utsurcingu? Jsu vytvřeny pstupy pr správu vyměnitelných pčítačvých médií? A Likvidace médií Jestliže jsu média dále prvzně neuptřebitelná, jsu bezpečně a splehlivě zlikvidvána? A A A.10.8 Pstupy pr manipulaci s infrmacemi Bezpečnst systémvé dkumentace Výměna infrmací Jsu pr zabránění neautrizvanému přístupu neb zneužití infrmací stanvena pravidla pr manipulaci s nimi a jejich ukládání na vyměnitelná pčítačvá média? Je systémvá dkumentace chráněna prti neprávněnému přístupu? strana 35/67

36 A A A A Pstupy při výměně infrmací a prgramů Dhdy výměně infrmací a prgramů Bezpečnst médií při přepravě Elektrnické zasílání zpráv Jsu ustanveny a d praxe zavedeny frmální pstupy, plitiky a patření na chranu infrmací při jejich výměně pr všechny typy pužívaných kmunikačních zařízení? Je výměna infrmací a prgramů mezi rganizací a externími subjekty zalžena na uzavřených dhdách? Jsu média bsahující infrmace během přepravy mim rganizaci chráněna prti neprávněnému přístupu, zneužití neb narušení? Jsu elektrnicky přenášené infrmace vhdným způsbem chráněny? A A.10.9 A A A A A A A A Infrmační systémy rganizace Služby elektrnickéh bchdu Elektrnický bchd On-line transakce Veřejně přístupné infrmace Mnitrvání Přizvání auditních záznamů Mnitrvání pužívání systému Ochrana vytvřených záznamů Administrátrský a perátrský deník Je na chranu infrmací v prpjených pdnikvých systémech vytvřena a d praxe zavedena plitika a dpvídající směrnice? Jsu infrmace přenášené ve veřejných sítích v rámci elektrnickéh bchdvání chráněny před pdvdnými aktivitami, před zpchybňváním smluv, przrazením či mdifikací? Je zajištěna chrana infrmací přenášených při n-line transakcích tak, aby byl zajištěn úplný přens infrmací a zamezil se špatnému směrvání, neprávněné změně práv, neprávněnému przrazení, neprávněné duplikaci neb pakvání zpráv? Jsu infrmace publikvané na veřejně přístupných systémech chráněny prti neprávněné mdifikaci? Jsu auditní záznamy, bsahující chybvá hlášení a jiné bezpečnstně významné událsti, přizvány a uchvávány p stanvené bdbí tak, aby se daly pužít pr buducí vyšetřvání a pr účely mnitrvání řízení přístupu? Jsu stanvena pravidla pr mnitrvání pužití prstředků pr zpracvání infrmací? Jsu výsledky těcht mnitrvání pravidelně přezkumávány? Jsu prstředky pr zaznamenávání infrmací a vytvřené záznamy musí být vhdným způsbem chráněny prti neprávněnému přístupu a zfalšvání? Jsu aktivity správce systému a systémvéh perátra zaznamenávány? A Záznam selhání Jsu zaznamenány a analyzvány chyby systémů pr zpracvání neb výměnu infrmací a prváděna patření k nápravě? strana 36/67

37 A Synchrnizace hdin A.11 Řízení přístupu A.11.1 A Pžadavky na řízení přístupu Plitika řízení přístupu Jsu hdiny všech důležitých systémů pr zpracvání infrmací v rámci rganizace neb dmény synchrnizvány se schváleným zdrjem přesnéh času? Je vytvřena, dkumentvána a v závislsti na aktuálních bezpečnstních pžadavcích přezkumávána plitika řízení přístupu k aktivům rganizace? A.11.2 A A A A Řízení přístupu uživatelů Registrace uživatele Řízení privilegvanéh přístupu Správa uživatelských hesel Přezkumání přístupvých práv uživatelů Existuje pstup pr frmální registraci uživatele včetně jejíh zrušení, který zajistí autrizvaný přístup ke všem víceuživatelským infrmačním systémům a službám? Je přidělvání a pužívání privilegií mezen a řízen? Je přidělvání hesel řízen frmálním prcesem? Prvádí vedení rganizace v pravidelných intervalech frmální přezkumání přístupvých práv uživatelů? A.11.3 Odpvědnsti uživatelů A Pužívání hesel Je při výběru a pužívání hesel p uživatelích pžadván, aby ddržvali stanvené bezpečnstní pstupy? A A A.11.4 A A A A A Nebsluhvaná uživatelská zařízení Zásada prázdnéh stlu a prázdné brazvky mnitru Řízení přístupu k síti Plitika užívání síťvých služeb Autentizace uživatele pr externí připjení Identifikace zařízení v sítích Ochrana prtů pr vzdálenu diagnstiku a knfiguraci Princip ddělení v sítích Jsu uživatelé pvinni zajistit přiměřenu chranu nebsluhvaných zařízení? Je přijata zásada prázdnéh stlu ve vztahu k dkumentům a vyměnitelným médiím a zásada prázdné brazvky mnitru u prstředků pr zpracvání infrmací? Je zajištěn, že uživatelé mají přímý přístup puze k těm síťvým službám, pr jejichž pužití byli zvlášť právněni? Pdléhá přístup vzdálených uživatelů autentizaci? Je pr autentizaci připjení z vybraných lkalit a připjení přensných zařízení v síti zvážen pužití autmatické identifikace zařízení? Je bezpečně řízen fyzický i lgický přístup k diagnstickým a knfiguračním prtům? Jsu skupiny infrmačních služeb, uživatelů a infrmačních systémů v sítích dděleny? strana 37/67

38 A A A.11.5 A A A A A Řízení síťvých spjení Řízení směrvání sítě Řízení přístupu k peračnímu systému Bezpečné pstupy přihlášení Identifikace a autentizace uživatelů Systém správy hesel Pužití systémvých nástrjů Časvé mezení relace Jsu mezeny mžnsti připjení uživatelů u sdílených sítí, zejména těch, které přesahují hranice rganizace? Je mezení v suladu s plitiku řízení přístupu a s pžadavky aplikací? Je zaveden řízení směrvání sítě pr zajišťvání th, aby pčítačvá spjení a infrmační tky nenarušvaly plitiku řízení přístupu aplikací rganizace? Je přístup k peračnímu systému řízen pstupy bezpečnéh přihlášení? Mají všichni uživatelé pr výhradní sbní pužití jedinečný identifikátr (uživatelské ID)? Je zvlen vhdný způsb autentizace k věření jejich identity? Je systém správy hesel interaktivní a zajišťuje pužití kvalitních hesel? Je mezen a přísně kntrlván pužití systémvých nástrjů, které jsu schpné překnat systémvé neb aplikační kntrly? Jsu neaktivní relace p stanvené dbě nečinnsti uknčeny? A A.11.6 A A A.11.7 A Časvé mezení spjení Řízení přístupu k aplikacím a infrmacím Omezení přístupu k infrmacím Oddělení citlivých systémů Mbilní výpčetní zařízení a práce na dálku Mbilní výpčetní zařízení a sdělvací technika Je u rizikvých aplikací pr zajištění ddatečné bezpečnsti pužit mezení dby spjení? Mají uživatelé aplikačních systémů, včetně pracvníků pdpry, přístup k infrmacím a funkcím aplikačních systémů mezen v suladu s definvanu plitiku řízení přístupu? Mají citlivé aplikační systémy ddělené (izlvané) pčítačvé prstředí? Jsu ustanvena frmální pravidla a přijata patření na chranu prti rizikům pužití mbilních výpčetních a kmunikačních zařízení? A Práce na dálku Jsu rganizací vytvřeny a d praxe zavedeny zásady, perativní plány a pstupy pr práci na dálku? A.12 Akvizice, vývj a údržba infrmačních systémů A.12.1 Bezpečnstní pžadavky infrmačních systémů strana 38/67

39 A A.12.2 A Analýza a specifikace bezpečnstních pžadavků Správné zpracvání v aplikacích Validace vstupních dat Obsahují pžadavky rganizace na nvé infrmační systémy neb na rzšíření existujících systémů také pžadavky na bezpečnstní patření? Jsu vstupní data aplikací kntrlvána z hlediska správnsti a adekvátnsti? A Kntrla vnitřníh zpracvání Je zvážen začlenění kntrly platnsti dat pr detekci jakéhkliv pškzení neb mdifikace infrmací vznikléh chybami při zpracvání neb úmyslnými zásahy? A Integrita zpráv Jsu u jedntlivých aplikací stanveny bezpečnstní pžadavky na zajištění autentizace a integrity zpráv a dle ptřeby určena a zavedena vhdná patření? A Validace výstupních dat Prvádí se věření platnsti výstupních dat pr zajištění th, že zpracvání ulžených infrmací je bezchybné a dpvídající dané situaci? A.12.3 Kryptgrafická patření A Plitika pr pužití kryptgrafických Jsu vytvřena a zavedena pravidla pr pužívání kryptgrafických patření na chranu infrmací? patření A Správa klíčů Existuje na pdpru pužívání kryptgrafických technik systém správy klíčů? A.12.4 Bezpečnst systémvých subrů A A A A.12.5 A A A Správa prvzníh prgramvéh vybavení Ochrana systémvých testvacích údajů Řízení přístupu ke knihvně zdrjvých kódů Bezpečnst prcesů vývje a pdpry Pstupy řízení změn Technické přezkumání aplikací p změnách peračníh systému Omezení změn prgramvých balíků Jsu zavedeny pstupy kntrly instalace prgramvéh vybavení na prvzních systémech? Jsu testvací data musí být pečlivě vybrána, chráněna a kntrlvána? Je mezen přístup ke knihvně zdrjvých kódů? Jsu zavedeny frmální pstupy řízení změn? Jsu v případě změny peračníh systému přezkumány a testvány kritické aplikace, aby byl zajištěn, že změny nemají nepříznivý dpad na prvz neb bezpečnst infrmace? Jsu mdifikace prgramvých balíků mezeny puze na nezbytné změny? Jsu tyt změny řízeny? A Únik infrmací Jsu aplikvána patření pr zamezení úniku infrmací? strana 39/67

40 A A.12.6 A Prgramvé vybavení vyvíjené externím ddavatelem Řízení technických zranitelnstí Řízení, správa a kntrla technických zranitelnstí A.13 Zvládání bezpečnstních incidentů A.13.1 Hlášení bezpečnstních událstí a slabin A Hlášení bezpečnstních událstí A Hlášení bezpečnstních slabin A.13.2 A A A Zvládání bezpečnstních incidentů a krky k nápravě Odpvědnsti a pstupy Pnaučení z bezpečnstních incidentů Shrmažďvání důkazů A.14 Řízení kntinuity činnstí rganizace A.14.1 Aspekty řízení kntinuity činnstí rganizace z hlediska bezpečnsti infrmací A Zahrnutí bezpečnsti infrmací d prcesu řízení kntinuity Je vývj prgramvéh vybavení externím ddavatelem rganizací dhlížen a mnitrván? Je zajištěn včasné získání infrmace existenci technické zranitelnsti v prvzvaném infrmačním systému, vyhdncena úrveň hržení rganizace vůči tét zranitelnsti a přijata příslušná patření na pkrytí suvisejících rizik? Jsu bezpečnstní událsti hlášeny příslušnými řídícími cestami tak rychle, jak je t jen mžné? Jsu všichni zaměstnanci, smluvní strany a další nespecifikvaní uživatelé infrmačníh systému a služeb pvinni zaznamenat a hlásit jakékliv bezpečnstní slabiny neb pdezření na bezpečnstní slabiny systémech neb službách? Jsu pr zajištění rychlé, účinné a systematické reakce na bezpečnstní incidenty zavedeny dpvědnsti a pstupy pr zvládání bezpečnstních incidentů? Existují mechanizmy, které by umžňvaly kvantifikvat a mnitrvat typy, rzsah a náklady bezpečnstních incidentů? Jsu v případech, kdy vyústění bezpečnstníh incidentu směřuje k právnímu řízení (dle práva bčanskéh neb trestníh) vůči sbě neb rganizaci sbírány, uchvávány a sudu předkládány v důkazy? Existuje v rámci rganizace řízený prces pr rzvj a udržvání kntinuity činnstí rganizace, který zahrnuje i infrmační bezpečnst? strana 40/67

41 činnstí rganizace A A Kntinuita činnstí rganizace a hdncení rizik Vytváření a implementace plánů kntinuity A Systém plánvání kntinuity činnstí rganizace A Testvání, udržvání a přezkumávání plánů kntinuity A.15 Sulad s pžadavky A.15.1 Sulad s právními nrmami A Identifikace dpvídajících předpisů A A A A A A.15.2 Ochrana duševníh vlastnictví Ochrana záznamů rganizace Ochrana dat a sukrmí sbních infrmací Prevence zneužití prstředků pr zpracvání infrmací Regulace kryptgrafických patření Sulad s bezpečnstními plitikami, Jsu pravidelně identifikvány mžné příčiny přerušení činnstí rganizace, včetně jejich pravděpdbnsti, veliksti dpadu a mžných následků na bezpečnst infrmací? Jsu pr udržení neb bnvení prvzních činnstí rganizace p přerušení neb selhání kritických prcesů a pr zajištění dstupnsti infrmací v pžadvaném čase a na pžadvanu úrveň vytvřeny plány kntinuity? Existuje jedntný systém plánů kntinuity činnstí rganizace pr zajištění knzistentnsti plánů a pr určení pririt testvání a údržby? Jsu plány kntinuity činnstí pravidelně testvány a aktualizvány, aby se zajistila jejich aktuálnst a efektivnst? Jsu pr každý infrmační systém jednznačně definvány, zdkumentvány a udržvány aktuální veškeré relevantní záknné, pdzáknné, smluvní a interní pžadavky a způsb jakým je rganizace ddržuje? Jsu zavedeny vhdné pstupy pr zajištění suladu se záknnými, pdzáknnými a smluvními pžadavky na pužití materiálů a aplikačníh prgramvéh vybavení, které mhu být chráněny zákny na chranu duševníh vlastnictví? Jsu důležité záznamy rganizace chráněny prti ztrátě, zničení a padělání a t v suladu se záknnými, pdzáknnými a smluvními pžadavky a pžadavky rganizace? Je zajištěna chrana sbních údajů a sukrmí v suladu s dpvídající legislativu, předpisy a pkud je t relevantní, se smluvami? Je zakázán pužívat prstředky pr zpracvání infrmací jiným než autrizvaným způsbem? Jsu kryptgrafická patření musí být pužívána v suladu s příslušnými úmluvami, zákny a předpisy? strana 41/67

42 nrmami a technická shda A A A.15.3 A A Shda s bezpečnstními plitikami a nrmami Kntrla technické shdy Hlediska auditu infrmačních systémů Opatření k auditu infrmačních systémů Ochrana nástrjů pr audit infrmačních systémů Jsu veducí zaměstnanci pvinni zajistit, aby všechny bezpečnstní pstupy v rzsahu jejich dpvědnsti byly prváděny správně, v suladu s bezpečnstními plitikami a nrmami? Jsu infrmační systémy pravidelně kntrlvány, zda jsu v suladu s bezpečnstními plitikami a standardy? Jsu pžadavky auditu a činnstí zahrnující kntrlu prvzních systémů pečlivě naplánvány a schváleny, aby se minimalizval rizik narušení činnstí rganizace? Je přístup k nástrjům určeným pr audit infrmačních systémů chráněn, aby se předešl jejich mžnému zneužití neb hržení? Zdrj: ČSN ISO/IEC 27001/2006 Ppis technické infrastruktury Dtaz: je aktuálně zavedena segmentace sítě dle rizikvsti jedntlivých blastí (např.: LAN, WAN, int DMZ, ext DMZ, VPN, WiFi, ), pkud ANO, tak ji blíže ppište např. frmu výkladu pužíváme VPN, pužíváme firewall CISCO ASA, pužíváme rutery CISCO, pužíváme šifrvání pmcí IPSEC, pužíváme IPS/IDS atd. jaká technlgie je využita jak perimetrvý firewall pkud se jedná UTM řešení, uveďte, zda v rámci tht firewallu využíváte i bezpečnstní mduly (např.: IPS, URL filtrace, AntiMalware, Detekce aplikací, AntiSpam, ) způsby prpjení centrály s jedntlivými pbčkami/lkalitami (definujte způsb zabezpečení přensu mezi centrálu a pbčkami/lkalitami) Stručná dpvěď / ppis stavu a plánu změn strana 42/67

43 jsu veškeré systémy dstupné puze z centrály případně datvých center, neb napak pbčky/lkality musí být funkční i v případě výpadku WAN prpje, z th důvdu jsu některé systémy dstupné přím na pbčkách strategie d buducna v tmt hledu prvázání pbček/lkalit s centrálu/datvým centrem pmcí IPsec frmu MPLS pskytvané prviderem datvých služeb jinu frmu (prsím uveďte) uveďte aplikace/služby dstupné z internetu (např.: web rganizace, prtály pr výměnu dat, vzdálené přístupy uživatelů) stávající zabezpečení těcht aplikací (IPS, WAF (Web Applicatin Firewall), DS/DDS, jednrázvá hesla, certifikáty, )) u každé z aplikací uveďte, zda je dstupná z celéh internetu, neb puze z definvaných IP adres vá kmunikace jaká technlgie je využita pr kntrlu vé kmunikace (např.: AntiSpam, DLP (Data Lss Preventin,), AntiMalware) jaké využíváte prtkly pr vu kmunikaci (např.: SMTP/S, POP3/S, IMAP/S, MAPI, ) jaký využíváte pštvní server (MS Exchange, OpenSurce SMTP server,.) mhu uživatelé přijímat/desílat vu kmunikaci mim interní pštvní server přístup uživatelů k internetu jaké služby a aplikace uživatelé využívají směrem d internetu (např.: HTTP, HTTPS, ICQ, Skype, RDP, FTP, ) jsu integrvané nějaké bezpečnstní technlgie pr webvu kmunikaci (např.: prxy, URL filtrace, AntiMalware, SSL skener, DLP (Data Lss Preventin), ), pkud ANO, uveďte jaké strana 43/67

44 využíváte v rámci rganizace WiFi (pkud ANO, na jaké technlgii, a jaké služby jsu z WiFi dstupné, zda puze internet neb i interní služby/aplikace) je v rámci stávající IT infrastruktury implementvána Active Directry, neb jiná adresářvá služba? Definujte zásady práce s kncvými zařízeními: pkud přizujete nvu pracvní stanici/ntebk, vycházíte z nějakéh připravenéh firemníh image, neb vždy instalujete čistý OS a následně knkrétní aplikace máte v rámci rganizace jasně definvané, jaké aplikace mhu uživatelé na pracvních stanicích využívat (např.: Wrd, Excel, Outlk, Internet Explrer, Infrmační systém, VPN, ) neb mají uživatelé na pracvních stanicích administrátrská práva a každá pracvní stanice/ntebk je z phledu aplikací/knfigurace specifická pracují uživatelé s klasifikvanými neb jinak citlivými daty pkud ANO, kde se tat data vyskytují (např.: síťvá úlžiště, pevné disky na stanicích/ntebcích, infrmační systémy, mbilní zařízení (např.: chytré telefny a tablety na platfrmě Andrid, ios, Windws Phne, )) existuje klasifikace těcht dat s příslušnu plitiku jak s těmit daty zacházet jsu implementvány technlgie pr mnitring phybu těcht citlivých dat a mžnstí zabránění zcizení těcht dat (ukládání na USB flash, tisk na síťvých tiskárnách atd.), pkud ANO, uveďte jaké jsu tat citlivá data šifrvána, pkud ANO, uveďte jaku frmu jsu kncvé bdy, kde se tat citlivá data vyskytují pkryty technlgií pr vzdálené smazání dat v případě zcizení kncvéh bdu (např.: technlgie Anti-Theft) jakým způsbem se uživatelé autentizují v rámci rganizace (např.: statické hesl, certifikát, jednrázvé hesl, ) je integrván systém pr řízení fyzických přístupů (např.: čtečky na dveřích (kanceláře, servervny, ), vjezd d garáží, ) strana 44/67

45 jaké bezpečnstní technlgie jsu aktuálně využívány na kncvých stanicích/ntebcích (např.: Antivir, AntiMalware, IPS, FW, URL filter, Šifrvání, DLP (Data Lss Preventin), NAC,...) jaké bezpečnstní technlgie jsu aktuálně využívány na mbilních zařízeních (chytré telefny a tablety na platfrmě Andrid, ios, Windws Phne, ) jaké platfrmy využíváte pr desktpy/ntebky (např.: Windws 7,8, Mac OS X, Linux, ) jaké platfrmy využíváte pr mbilní zařízení (např.: Andrid, ios, Windws Phne, ) Definujte zásady práce se servery: jaké bezpečnstní technlgie jsu aktuálně využívány na serverech (např.: AntiMalware, IPS, FW, URL filter, Šifrvání, DLP (Data Lss Preventin), NAC, Applicatin Cntrl,...) pkud přizujete nvý server, vycházíte z nějakéh připravenéh firemníh image, neb vždy instalujete čistý OS a následně knkrétní aplikace jaké platfrmy využíváte pr servery (např.: Windws Server, RHEL, AIX, Slaris, Linux, ) virtualizace využití virtualizace pr servery (ANO/NE, pkud ANO, na jaké platfrmě [např.: VMware, Hyper-V, ]) jaký je aktuálně pměr mezi fyzickými a virtuálními servery (jaká je strategie d buducna) jsu v rámci stávající virtualizace integrvány nějaké bezpečnstní technlgie (fflad AntiMalware, IPS, FW, Applicatin cntrl, ) využití virtualizace pr desktpy (ANO/NE, pkud ANO, na jaké platfrmě [např.: VMware, Hyper-V, ]) jaký je aktuálně pměr mezi fyzickými a virtuálními desktpy (jaká je strategie d buducna) jsu v rámci stávající virtualizace integrvány nějaké bezpečnstní technlgie (např.: fflad AntiMalware, IPS, FW, Applicatin cntrl, ) strana 45/67

46 jsu aktuálně využity nějaké technlgie na sběr, filtrvání a vyhdncení lgů ze všech systémů (pkud ANO, uveďte jaká technlgie je využita). Je zajištěn desílání lgů mim míst přízení. klik má aktuálně rganizace uživatelů: výhled na 3 rky: klik má aktuálně rganizace pracvních stanic: výhled na 3 rky: klik má aktuálně rganizace mbilních zařízení (chytré telefny a tablety na platfrmě Andrid, ios, Windws Phne, ): výhled na 3 rky: klik má aktuálně rganizace fyzických a virtuálních serverů: výhled na 3 rky: klik IT administrátrů se aktuálně celu infrastrukturu stará: výhled na 3 rky: mají IT administrátři aktuálně definvané rle (pdpra kncvým uživatelům, správce serverů, správce sítě, správce bezpečnstních technlgií, ) je řešena pdpra kncvých uživatelů frmu HelpDesku neb ServiceDesku plánujete neb máte pzici bezpečnstníh manažera pkud ne, kd (funkce) je zdpvědný za řízení bezpečnsti infrmací: předběžný termín zřízení a bsazení tét pzice: je některá z IT blastí aktuálně pkryta utsurcingem (pkud ANO, uveďte knkrétní blast IT, případně řešení) výhled na 3 rky: veškeré systémy prvzujete v rámci centrály neb máte prnajaté datvé centrum výhled na 3 rky: využíváte aktuálně plnu zálhu datvéh centra, ať již v rámci některé z pbček neb prnajatéh datvéh centra v jiné lkalitě výhled na 3 rky: pskytnutí stávající tplgie pkud je k dispzici strana 46/67

47 jaký je rční rzpčet pr blast bezpečnsti IT a celkvý rzpčet na IT uveďte z vašeh phledu pdstatné bdy, které tent dtazník nepkrývá a pvažujete je z phledu auditu bezpečnsti IT za důležité jaké pririty v blasti IT neb IT prjekty v sučasnsti řešíte neb plánujete. Incidenty Typ Hrzba Stručný ppis incidentů Datum Ppis Zdrj N náhdný U úmyslný E envirnment. Kvantifikace škdy a nákladů na bnvu Ppis přijatéh patření Fyzické pškzení Pžár Pškzení vdu Znečištění Závažná nehda Zničení zařízení neb médií Prach, krze, zamrznutí, Jiné Přírdní událsti Klimatický jev Meterlgický jev Pvdeň Jiné Selhání klimatizace neb ddávky vdy strana 47/67

48 Ztráta základních služeb Přerušení ddávky elektřiny Selhání telekmunikačníh zařízení Jiné Pruchy způsbené zářením Elektrmagnetické záření / impulzy Jiné Ohržení infrmací Zachycení kmprmitujících interferenčních signálů Vzdálená špináž Odpslech Krádež médií neb dkumentů Krádež zařízení Zprvznění recyklvaných neb vyřazených médií Vyzrazení Data pcházející z nedůvěryhdných zdrjů Falšvání pmcí technickéh vybavení Falšvání pmcí aplikačníh prgramvéh vybavení Odhalení pzice Jiné strana 48/67

49 Technická selhání Selhání zařízení Chybné fungvání zařízení Přetížení infrmačníh systému Chybné fungvání aplikačníh prgramvéh vybavení Chyby údržby Jiné Neprávněné činnsti Neprávněné pužití zařízení neb aplikace Pdvdné kpírvání aplikačníh prgramvéh vybavení Pužití padělanéh neb zkpírvanéh aplikačníh prgramvéh vybavení Pškzení dat Nezáknné zpracvání dat Jiné Ohržení funkčnsti Chyba v pužívání Zneužití právnění Falšvání zpráv Odepření činnstí Nedstatek persnálu strana 49/67

50 Jiné BIA DOTAZNÍK-VOZR-BI A.xlsx AKTIVA-KOMPONENTY DOTAZNÍK-VZOR-AK TIVA-KOMPONENTY.xlsx strana 50/67

51 Číselníky pr výpčet míry rizika Hdnta aktiva Kód v aplikaci RANIT Slvní značení Finanční vyjádření Keficient A00 Bez dpadu (nulvá hdnta) 0 A01 Velmi malá (d 50 tis. Kč) 1 A02 Malá (50 tis. Kč tis. Kč) 3 A03 Střední (250 tis. Kč - 1 mil. Kč) 6 A04 Vyská (1 mil. Kč - 10 mil. Kč) 12 A05 Kritická (10 mil. Kč mil. Kč) Úrveň hrzby Kód v aplikaci RANIT Slvní značení Keficient Z01 Nedstupnst 15 min 0,01 Z02 Nedstupnst 30 min 0,02 Z03 Nedstupnst 1 h 0,05 Z04 Nedstupnst 8 h 0,1 Z06 Nedstupnst 1 d 0,2 Z08 Nedstupnst 1 T + 0,95 Z11 Ztráta dat d pslední zálhy 0,2 Z12 Úplná ztráta dat 0,9 Z13 Przrazení interním subjektům 0,2 Z14 Przrazení smluvním subjektům 0,4 Z15 Przrazení cizím subjektům 0,9 Z16 Narušení kmunikačníh prvzu 0,25 Z17 Chyby menšíh rzsahu v databázi / v přensu 0,2 Z18 Chyby širšíh rzsahu v databázi / v přensu 0,8 strana 51/67

52 Frekvence hrzby (četnst) Kód v aplikaci RANIT Slvní značení Časvé vymezení Keficient F1 Občasná jednu za více let 0,1 F2 Nízká jednu rčně 1 F3 Střední něklikrát za rk 5 F4 Vyská něklikrát za měsíc 30 F5 Mimřádně vyská něklikrát za týden Účinnst prtipatření Kód v aplikaci RANIT Slvní značení Vyjádření v % Keficient C1 nízká d 30% 100 C2 Částečná asi 50% 300 C3 Dbrá asi 70% 600 C4 Výbrná asi 90% 900 C5 Vynikající více než 90% Míra rizika Od hdnty Slvní značení Barevné rzlišení 0 Akceptvatelné 1 Nízké 3 Střední 6 Vyské 00 Kritické Mdel infrmačníh systému Základním kamenem analýzy rizik je mdelvání infrmačníh systému jak celku, který následně definuje rámec, v němž se prjekt jak takvý phybuje. Je také základem pr interpretaci vypčtených hdnt rizik pr jedntlivá aktiva a kmpnenty. Byly vydefinvány zásadní služby (v RANITu jsu t Kmpnenty), které tvří ucelené prtfli služeb pdprující živtní cyklus infrmací uvnitř rganizace. strana 52/67

53 Web rganizace.cz Intranet Internet IS 1 IS Identifikace aktiv a kmpnent Aktiva, hdnta aktiv, typ aktiv, příslušnst aktiv k jedntlivým kmpnentám (službám) a závislst kmpnent na jedntlivých aktivech byly identifikvány pmcí excelvské tabulky, jejíž kpie je vlžena níže. Takt získaná data byla imprtvána d prstředí aplikace RANIT, kde následně prběhla krekce vstupních dat. Finální verze vstupních dat jsu k dispzici v databázi RANIT Hdncení dpadů incidentu (BIA) Vstupní infrmace pr hdncení dpadů incidentu byly získány pmcí excelvské tabulky. Kpie tabulky je vlžena níže. Tat data byla následně přenesena d systému RANIT Hdncení hrzeb Hdncení hrzeb byl prveden v prstředí systému RANIT ke každému aktivu zvlášť a t na základě seznamu hrzeb uvedených v dkumentu Metdika analýzy rizik. Následně byly k hrzbám přiděleny hdnty dle číselníku Úrveň hrzby a Frekvence hrzby. Pstup ilustruje brázek níže Hdncení prtipatření U každéh aktiva ve spjení s jedntlivu identifikvanu hrzbu byla zjišťvána existence stávajícíh prtipatření. Prtipatření byla dsazvána na základě dkumentu Metdika analýzy rizik, cž představuje ekvivalent nrmy ISO P identifikaci prtipatření byla stanvena v každém knkrétním případě účinnst prtipatření na základě příslušnéh číselníku. Tent prces byl prveden v prstředí systému RANIT. Pstup ilustruje brázek níže. 4.5 Výstupy analýzy rizik Snahu u první analýzy je zejména žádné rizik nepdcenit i za cenu mžnéh zkreslení rizik směrem vzhůru. Není chybu u vyskéh rizika zjistit, že byl mírně nadhdncen, jelikž je t snadn pravitelné při kntrle výsledků a dalším pakvání analýzy rizik. Napak pdcenění prcesu vyhdncvání rizik by mhl vést k falešnému pcitu existence vyhvující úrvně zabezpečení. U první analýzy rizik má také větší strana 53/67

54 vypvídací hdntu pměr mezi zjištěnými riziky, než jejich vypčtená abslutní hdnta. Z tét perspektivy je třeba nahlížet na slvní vyjádření míry rizik Nízké, Střední, Vyské, Kritické. Analýza rizik byla následně na základě takt získaných dhadů spčítána dle vzrce definvanéh v Metdice analýzy rizik. Výpčty byly prvedeny jednak pr situaci bez aplikace prtipatření a psléze s aplikací existujících prtipatření. Pdrbné infrmace jsu k dispzici v prstředí aplikace RANIT. Následující přehledy, které jsu exprty ze sftwarvéh nástrje RANIT, dávající základní přehled aktivech a hrzbách z phledu výše dhadvanéh rizika. Obecně jsme nikde nepužily účinnst patření na nejvyšší úrvni (Vynikající) a t zejména z důvdu absence dkumentace u valné většiny prcesů definvaných nrmu ISO Velká část prcesů (viz dkument Rzdílvá analýza stávající situace u bjednatele prti nrmu definvaným pžadavkům ) je prváděna bez pry v interní dkumentaci rganizace, bez prcesu mnitrvaní a kntrly, bez řízenéh neustáléh zlepšvání, tedy bez aplikace smyčky Plánuj-Dělej-Kntrluj-Jednej (PDCA). Hrzby, které způsbují neakceptvatelná rizika, jsu: TH07 Infiltrace kmunikací TH08 Krádež prvedená cizími sbami TH10 Nedstatek zaměstnanců TH27 Škdlivý sftware TH36 Zachycení kmunikace Příčiny, prč tyt hrzby dle názru týmu COMGUARD způsbují neakceptvatelná rizika, jsu uvedena v těcht dkumentech: Dkument: Rzdílvá analýza stávající situace u bjednatele prti nrmu definvaným pžadavkům; Dkument: Úplný ppis technické infrastruktury, která zpracvává určené neutajvané infrmace. strana 54/67

55 5 Vymezení pjmu aktiva, kategrizace aktiv Pd pjem aktivum rzumíme (v tmt materiálu) vše, c představuje v rámci infrmačních systémů neb v suvislsti s využívanými infrmačními technlgiemi určitu hdntu (zakupenu, převzatu, vytvřenu), která může být zmenšena půsbením hrzby. Aktivum tedy musí být předmětem chrany, tj. představuje chráněný zájem. Dále navržená kategrizace aktiv je určena pr účely identifikace a ppisu aktiv ve smyslu výše uvedenéh vymezení. Je prt na místě zdůraznit, že nezahrnuje takvé předměty chráněnéh zájmu, které s prblematiku IS nesuvisejí (neb jen velmi vzdáleně), jak: hmtná aktiva veškerý fyzický inventář a sptřební materiál (statní technika a zařízení jak autmbily, kancelářský materiál, finanční htvst, statní písemnsti a dkumentace atd.) nehmtný majetek mim SW - autrská práva, licence apd. jiné technické i netechnické služby - tpení, dpravní bslužnst, pšta, plicie, hasiči apd. Některé skupiny aktiv jsu významné nejen z hlediska IS, ale mají širší význam pr splehlivý prvz (např. budvy a s nimi spjená zařízení, jak elektrinstalace, EZS apd.). Jiná aktiva vztahující se k IS představují napak puze určitu pdmnžinu širší skupiny aktiv analgickéh charakteru (zejména se jedná písemnsti a persnální aktiva). Takvá aktiva jsu tedy pr úplnst zahrnuta d navrhvané kategrizace, ale jsu případně blíže zkumána neb zmíněna puze v suvislstech s bezpečnstními aspekty IS. Aplikvaná kategrizace aktiv v blasti IS: Hmtná (fyzická) aktiva tvřící sučást IS Bez trvaléh infrmačníh bsahu hardware pčítačů (serverů, klientských stanic), jsu-li bez médií a pevných pamětí s uživatelskými a administračními daty periferní zařízení kabeláž, fyzické přensvé linky, pasivní prvky sítě statní elektrnická zařízení pr IS (UPS, měřící technika, ) sptřební materiál pr IS (prázdné datvé nsiče, náhradní díly, neknfigurvaná zařízení, ) Obsahující trvalé infrmace (nsiče) zařízení (PC, servery) s vestavěnými nsiči (interní i externí HD, FLASH-EPROM) datvá média s elektrmagnetickým neb ptickým záznamem (FD, CD, pásky apd.) aktivní síťvé prvky (mdemy, rutery, ) jiná zařízení s dluhdbu pamětí (čipvé karty, USB disky ) strana 55/67

56 papírvá dkumentace - příručky, prvzní záznamy, vstupní dklady, tiskvé výstupy, prjektvá dkumentace, analytické pdklady, ddavatelské smluvy, apd. Jiná hmtná aktiva se vztahem k IS (budvy, elektrinstalace, bezpečnstní a signalizační zařízení, klimatizace apd.) Nehmtná aktiva IS sftwarvá aktiva perační systémy databázvé systémy aplikační prgramy a systémy kmerční ( krabicvý SW ) aplikační prgramy a systémy speciální vlastní vývj aplikační prgramy a systémy speciální - řešené ddavatelsky speciální prgramy a nástrje pr údržbu aplikací (knverzní prgramy,..) vývjvé nástrje speciální utility, bezpečnstní prgramy apd. firmware (BIOS) pčítačů, mdemů, ruterů... datvá aktiva (v digitální - elektrnické frmě) aplikační data databáze a jiné trvalé subry s uživatelskými daty vstupní / výstupní data v elektrnickém tvaru pracvní (dčasné) subry archivní a zálžní kpie zkušební (testvací) aplikační data subry bsahující aplikační dkumentaci včetně nápvědy, prvzních pkynů a instalačních pstupů subry bsahující administrační dkumentaci (systémvu, bezpečnstní) autentizační a autrizační subry, hesla, klíče záznamvé subry (lgy), auditní prtkly apd. subry statických systémvých a aplikačních parametrů (knfigurace apd.) Persnální aktiva - znalsti, schpnsti a sbní předpklady pracvníků v blasti IS D tét blasti byla zařazena aktiva také pskytvaná prstřednictvím pracvníků třetích stran frmu služby. Nejedná se zde tedy služby typu zapůjčení zařízení apd. knw-hw pracvníků prvzujících a využívajících IS pznatky získané šklením strana 56/67

57 prvzní zkušensti uživatelů a administrátrů znalsti systémvých a aplikačních dat knw-hw a pracvní pstupy vývjvých týmů služby externích ddavatelů v blasti IS vývj a údržba speciálních infrmačních a technlgických systémů další specializvané smluvní servisní a ddavatelské služby služby pdmiňující prvz IS 5.1 Vlastnsti aktiv z hlediska bezpečnsti V rámci IS je nezbytně nutné zajišťvat nepřetržitu chranu aktiv. Všechna aktiva IS, resp. splečnsti musí být evidvána. Evidence aktiv následně napmáhá stanvení adekvátních bezpečnstních patření. Sučástí evidence aktiv musí být základní specifikace vlastnstí aktiv, rvněž stanvení dpvědnéh správce a právněných uživatelů aktiv. Evidence dále musí bsahvat kategrizaci aktiv dle míry utajení. Správce aktiv musí pdniknut patřičné krky, které zajistí, že bude užit přiměřený dzr při ulžení, manipulaci, distribuci a užití aktiva. Tyt krky jsu dle charakteru aktiva řešeny tímt dkumentem neb dkumentem Celkvé bezpečnstní plitiky. Správce aktiv je sba definvaná vedením splečnsti pr dispnvání aktivem dle pravidel splečnsti. Správce aktiva zdpvídá za jeh stav, za jeh pužití a chranu. Každé aktivum musí mít jednznačně definvanéh správce. Pr sestavvání evidencí aktiv z hlediska bezpečnsti služí následující přehled Fyzická aktiva Význam fyzických aktiv pr bezpečnst infrmačních systémů, které jsu pmcí nich implementvané lze rzdělit d dvu blastí: zajištění splehlivsti prvzu (tedy funkce, dstupnsti dat a služeb) zajištění bezpečnsti infrmací (tedy integrity a důvěrnsti) V prvním případě je nezbytné zajistit zejména vhdné prvzní resp. skladvací pdmínky a dpvídající údržbu, cž je řešen zabezpečenu blastí IS řízenu dle Celkvé bezpečnstní plitiky. V druhém případě je nutné zajistit, aby přístup k aktivům měly puze právněné sby. Tt je řešen interní směrnicí a pdřízenými pracvními instrukcemi. Pčítače Pčítače vždy představují základní fyzické aktivum v každém infrmačním systému. Jejich hdnta spčívá především ve schpnsti pskytvat výpčetní výkn a paměťvu kapacitu (jak dčasné paměti, tak permanentní paměti), které jsu nezbytné pr běh užívanéh sftwaru. strana 57/67

58 Prt, aby pčítače mhly tt pskytvat, ptřebují (na fyzické úrvni v rámci splečnsti): redundantní zdrje elektrické energie klimatické pdmínky v rámci stanvenéh rzsahu teplt, vlhksti a prašnsti řešení uživatelskéh přístupu na úrvni fyzické i virtuální bezpečnsti pravidelnu údržbu Prt, aby byl znemžněn jejich zneužití je (mim jiné) nezbytné zajistit, že fyzický přístup k nim mají puze právněné sby. V případě jejich přemístění mim chráněný prstr (např. za účelem pravy) je nutné zajistit, aby infrmační bsah na nsičích schpných permanentníh záznamu byl buď zničen aneb zabezpečen tak, aby nebyl přístupný nepvlaným sbám. Charakteristiky z hlediska bezpečnsti a splehlivsti jsu nejdůležitější servery: dispnují velkým výpčetním výknem typicky jejich permanentní paměti (disky) bsahují velké mnžství (ptenciálně) citlivých infrmací data z disků se bvykle zálhují na přensná média (pásky, DVD, externí HDD) čast k nim má přístup velký pčet právněných uživatelů a t přes různé služby jsu (mají být) spravvány dbrníky typicky jsu implementvány na výknném a splehlivém hardwaru na jejich správné funkci efektivně závisí přístup k infrmacím řady pracvníků jsu prvzvány nepřetržitě až na dbu výpadků plánvaných neb neplánvaných hardwarvé kmpnenty jsu hůře zastupitelné kmpnenty jiných výrbců riginální kmpnenty jsu hůře dstupné a zajištění jejich dstupnsti v definvaném čase bvykle vyžaduje speciální smluvu s výrbcem, cž je v rámci IS řešen zálžním servervým hardware, který není d dby nasazení plně knfigurván (z bezpečnstních důvdů) relativně vyská přizvací cena jsu bvykle hůře přemístitelné (a tudíž i dcizitelné) mechanické prvedení skříně bvykle zahrnuje prvky nezbytné pr fyzicku chranu zařízení Externí periferní zařízení Základní charakteristiku periferních zařízení je, že prt, aby mhla být využívána, musí být spjena s některým pčítačem. V rámci IS jsu pvlena připjení puze zařízení typu síťvých tiskáren, skenerů, USB disky. Tt připjení se prvádí řízeným způsbem, dhled je zajištěn správcem sítě. Výměnná média Charakteristiky z hlediska bezpečnsti a splehlivsti: v závislsti na typu média mhu bsahvat velký bjem infrmací strana 58/67

59 fyzicky malé rzměry (snadná zcizitelnst) infrmační bsah lze fyzicky zabezpečit prti neprávněnému přístupu (dle úrvně užitéh zašifrvání) jsu citlivá na klimatické pdmínky a fyzikální pdmínky (bzvláště magnetická média) V rámci IS jsu užity zálhvací nástrje pr autmatizvané zálhy na externí úlžiště (jiné servery). Metdika zálhvání je řešena dle interní pracvní instrukce. Kmunikační zařízení Základní charakteristiky z hlediska bezpečnsti a splehlivsti: na jejich správné funkci bvykle závisí mžnst kmunikace mnha pracvníků představují vstupní bd pr dpsluchávání kmunikace v síti (nemusí platit u všech zařízení) změnu jejich knfigurace lze dsáhnut, že kmunikace v síti může být mnitrvána i vzdáleně, respektive přesměrvána jinam (takt mhu být i pdvrhvána falešná data) jsu ve většině případů knfigurvána dbrníky ve svých permanentních pamětech mhu bsahvat citlivá data (např. hesla) bvykle jsu relativně splehlivá, knstruvaná pr nepřetržitý prvz Instalační a pdpůrná zařízení Tat zařízení nejsu z hlediska infrmační bezpečnsti významná. Z hlediska splehlivsti jsu významná aktivní zařízení (např. zdrje zálžníh napájení). Jejich základní charakteristiku je, že nemají žádné paměťvé kapacity a tudíž nemhu nést ani žádný infrmační bsah. Datvá aktiva Datvá aktiva bývají typicky základním předmětem chrany. Jejich charakteristiky z hlediska bezpečnsti jsu následující: bvykle špatně vyčíslitelná cena snadná replikvatelnst, jejímž důsledkem je i mžnst dcizení bez viditelných stp a nutnsti fyzickéh přístupu btížné řízení přístupu k nim (závisí na pvaze dat a aplikacích, kterými jsu zpracvávány) Datvá aktiva je dále mžné rzdělit d něklika skupin s dlišnými charakteristikami. Aplikační data Aplikační data představují bvykle primární cíl chrany v infrmačních systémech. Jedná se data, která jsu vstupem, mezi prduktem neb výstupem infrmačních systémů (knkrétně aplikací, ze kterých se infrmační systémy skládají). Aplikační data se mhu vyskytvat v různých stavech s hledem na míst ulžení: v databázích - v tmt stavu mhu být data relativně dbře chráněna a t i s velmi jemnu granularitu přístupvých práv (závisí na pužité databázi a aplikaci) strana 59/67

60 v dčasných subrech (tzv. unlady ) - v tmt stavu jsu mžnsti chrany dat silně závislé na vlastnstech a knfiguraci peračníh systému pčítače, na jehž disku se subr nachází. Granularita přístupvých práv je mezena na úrveň přístupu k celému subru v perační paměti - úrveň chrany dat nacházejících se v perační paměti pčítače (během zpracvání) závisí na vlastnstech a knfiguraci peračníh systému. Obecně lze říci, že v tmt stavu jsu data, díky převažujícímu využívání virtuálníh paměťvéh prstru, relativně špatně dstupná pr případnéh neprávněnéh uživatele tiskvé sestavy - v tmt stavu jsu mžnsti chrany dat na úrvni chrany jiných tiskvin a z tht důvdu nebudeme tent případ dále zvažvat při transprtu p síti - mžnsti chrany dat při transprtu p síti jsu dány bezpečnstními mechanismy dstupnými v daném síťvém prstředí. Obecně lze říci, že tyt mžnsti jsu determinvány vlastnstmi peračníh systému a pužité aplikace na zdrjvém a cílvém pčítači a vlastnstmi aktivních prvků na přensvé trase. V menší míře jsu vlivňvány vlastnstmi pasivních prvků (kabeláž, knektry atd.) na výměnném médiu - mžnsti chrany dat v tmt stavu jsu v pdstatě srvnatelné s mžnstmi chrany tiskvin. Bezpečnstní charakteristiky aplikačních dat jsu následující: mhu bsahvat citlivé infrmace mají (v závislsti na aplikaci) relativně dbře predikvatelný bjem jsu bvykle vytvářena resp. zpracvávána specializvanými aplikacemi, které řídí přístup k nim mhu být špatně reknstruvatelná v případě ttálníh zničení (závisí na aplikaci) Knfigurační data Mezi knfigurační data se řadí záznamy v permanentních pamětech (subry na disku, záznamy ve Flash EPROM atd.) peračních systémů serverů a klientských stanic a aktivních síťvých prvků. Jejich charakteristiky z hlediska bezpečnsti jsu následující: mhu bsahvat citlivé infrmace (např. hesla) jejich mdifikace může mít za následek nefunkčnst systému, jehž knfiguraci ppisují jsu relativně zřídka mdifikvána lze je (za ceny jistéh úsilí) reknstruvat v případě jejich ttální ztráty přístup k nim může být mezen na relativně úzku skupinu uživatelů (existují i výjimky, kdy přístup musí mít všichni uživatelé) Záznamvé subry Záznamvé (auditní, lgvé) subry bsahují záznamy událstí v systému. Jsu významná především pr sledvání běhu systému za účelem kntrly ddržvání pravidel jeh pužívání a také pr analýzu chvání strana 60/67

61 systému v různých situacích, případně pr analýzu míry zasažení v důsledku bezpečnstníh incidentu. Jejich bezpečnstní charakteristiky jsu následující: ztracené záznamy nemhu být žádným způsbem reknstruvány přístup k datům lze mezit na relativně úzku skupinu uživatelů jejich bjem (ve zvláštních patřeních) kntinuálně narůstá a rychlst růstu je špatně predikvatelná a navíc vlivnitelná klním prstředím mhu bsahvat citlivé infrmace (např. hesla) Sftwarvá aktiva Základní charakteristiku sftwarvých aktiv je jejich relativně snadná bnvitelnst v případě ttální ztráty. T vede čast k pdceňvání jejich významu a přehlížení dalších aspektů, zejména kritičnsti správné funkce sftwaru. Operační systémy Operační systém je základním sftwarvým aktivem umžňujícím prvz statních aktiv, tedy aplikací. Krmě výše uváděných splečných charakteristik lze u peračních systémů pzrvat tyt charakteristiky: na správné funkci OS závisí správná funkce všech aplikací nad ním prvzvaných OS představují velmi lákavý cíl pr útčníky zvnějšku, prtže úspěšné subvertvání OS znamená bvykle kmpletní přístup k datům v aplikacích, které jsu v systému prvzvány OS bývají čast cílem útků typu narušvání chdu (denial-f-service, tj. DS) bvykle vyžaduje relativně dbrnu bsluhu a trvalu údržbu. Zcela vždy vyžaduje dbrnu instalaci nahraditelnst OS může být ztížena existencí prav, které je (v nejhrším případě) nezbytné instalvat v definvaném přadí (neuvažujeme-li bnvení systému ze zálhy) kmpletní reinstalace systému je relativně nárčná jak na pžadavky a dbrnst, tak dbu trvání Databázvé systémy Databázvé systémy v pdstatě vytváří nezbytné pracvní prstředí pr aplikace nad nimi napsané. Jejich charakteristiky z hlediska bezpečnsti a splehlivsti jsu následující: velký rzsah kódu vyská přizvací cena (v závislsti na prduktu) pměrně vyské nárky na dbrnst bsluhy a správy na jejich správné funkci závisí dstupnst a správnst dat v aplikacích pmcí nich prvzvaných. bnvitelnst v případě ttálníh zničení může být bdbně jak u OS ztížena existencí prav strana 61/67

62 Prgramy speciálně vyvíjené Základní charakteristiku speciálně vyvíjených aplikací je jejich unikátnst a ptimalizace pr prstředí zadavatele. V důsledku th jsu tyt aplikace hůře pužitelné jinde a tudíž ve srvnání s běžně dstupnými prgramy i méně vyzkušené (dladěné). T může mít negativní vliv na jejich splehlivst. Za významné pvažujeme tyt charakteristiky: významná závislst na ddavateli a btížná nahraditelnst aplikací jinéh půvdu (bvykle) závislst kritických funkcí rganizace na správnsti fungvání aplikace vyšší nárky na údržbu ze strany externích ddavatelů, pžadavky na rzsáhlé mžnsti přístupu a s tím spjená rizika Prgramy běžně dstupné Jejich základní charakteristiku je právě snadná dstupnst a bvykle i mžnst výběru mezi něklika ddavateli. Typicky se jedná i rzšířené a tudíž i relativně dbře vyzkušené prgramy. U kancelářských balíků, které typicky tvří pdstatnu část pužívaných prduktů v tét kategrii, není jejich správná funkce bvykle kritická pr fungvání rganizace. Jejich prvz není (bvykle) nárčný na dbrnu bsluhu neb správu Persnální aktiva Mezi persnální aktiva patří především znalsti pracvníků spravujících infrmační systémy, respektive pdílejících se na jejich vývji. Částečně d tét kategrie patří i znalsti uživatelů infrmačních systémů týkající se právě metdiky jejich využívání. Základním parametrem je nahraditelnst pracvníka v dané funkci v daném časvém hrizntu. Ta je dána jednak dstupnstí sb s dpvídající kvalifikací na trhu práce a za druhé bjemem speciálních znalstí, které nvě nastupený pracvník musí získat, aby mhl vyknávat danu funkci. K hdncení persnálních aktiv jistě přispívá i platvá úrveň pr t které pracvní zařazení a náklady spjené s vyšklením pracvníka. Znalst pužívaných peračních systémů Tat znalst je nezbytná pr úspěšný výkn funkce správce IS. Pr perační systémy firmy Micrsft je tat znalst relativně dbře získatelná a uplatnitelná i mim rganizaci. Pr statní perační systémy (OS firewallu, Linux, Slaris, OS směrvačů) je tat znalst získatelná za cenu vyšších nákladů, avšak je velmi dbře uplatnitelná i mim rganizaci. Znalst pužívaných IS Tat speciální znalst je nezbytná pr úspěšný výkn funkce správce IS. Je téměř nevyužitelná (neuvažujemeli nelegální resp. kriminální využití) mim rganizaci. Výjimku tvří firmy vyvíjející tyt systémy a standardní IS, např. SAP. Znalst je získatelná za cenu vyských nákladů, z větší části puze uvnitř rganizace. strana 62/67

63 Znalst tplgie sítě, knfigurace síťvých služeb a suvisejících zařízení Tat znalst je důležitá, ale ne nezbytná pr správce IS. Je zcela nezískatelná mim rganizaci a je taktéž i nevyužitelná (s výjimku firem prvádějících svěřenu správu sítě neb síťvých služeb pr rganizaci). Obecná znalst prblematiky pčítačvých sítí (lkálních i jiných) Tat znalst je nezbytná pr správce IS. Je získatelná, ale mnhem lépe uplatnitelná i mim rganizaci. strana 63/67

64 6 Vzrvý prjekt implementace ISMS 6.1 Etapy prjektu, výstupy, sučinnst Analýza stavu managementu infrmační bezpečnsti a technické infrastruktury Ppis etapy Zhdncení stávající situace v blasti správy infrmačních rizik a ICT bezpečnsti Existence a úrvně rámce pr řízení infrmačních rizik Existence a úrvně závazných pravidel pr řízení infrmační bezpečnsti Existence a úrvně závazné prváděcí dkumentace, předpisů Analýza kladných a záprných stránek aktuální řídící dkumentace. Sledvání knzistence dpvědnstí a pravmcí v blasti infrmační bezpečnsti. Definice hranic zkumané infrastruktury, pr kteru bude zpracvána analýza rizik a bezpečnstní plitiky. Ppis stávající ICT infrastruktury, včetně kmunikační infrastruktury, na úrvni přehledvých schémat s vyznačením hranic zkumané infrastruktury. Analýza technické infrastruktury z phledu bezpečnsti infrmací Penetrační testvání Psuzení stávající tplgie kmunikační infrastruktury a jejíh zabezpečení. Psuzení zabezpečení stanic. Audit lkalit dle ISO/IEC Výstup Gap analýza prti ISO/IEC Seznam infrmačních aktiv - přesná definice hranic zkumané ICT infrastruktury v jedntlivých splečnstech a lkalitách Mapa hlavních prcesů Tplgie IT se specifikací, kde se vyskytují sbní údaje a jiná citlivá data Analýza dpadů Business Impact Analysis (BIA) vyhdncení narušení důvěrnsti/ integrity/ dstupnsti infrmací a infrmačních systémů Vyhdncení stávající technické infrastruktury Výstupy z penetračních testů (vlitelně, viz samstatná kapitla) Prezentace a dsuhlasení výsledků etapy strana 64/67

65 Sučinnst bjednatele Ddavatel plánuje udělat 5 1denních wrkshpů (WS) se zástupci bjednatele. Na těcht WS bude prbíhat sběr infrmací pr účely prjektu dle zadání. Bude vyžadván, aby se účastnili zástupci bjednatele s kmpetencí pr: tp management IT + IT Security persnální blast právní blast fyzicku bezpečnst ppř. další záležitsti jak kntrlní činnsti, aj. Bude vyžadván pskytnutí veškeré dstupné relevantní interní dkumentace. Bude vyžadvána pdpra při krdinaci termínů auditů lkalit. Telefnická a vá kmunikace s prjektvým týmem bjednatele Identifikace a vyhdncení bezpečnstních rizik Ppis etapy Odsuhlasení metdiky analýzy rizik dle návrhu ddavatele, vč. stanvení akceptační úrvně Identifikace infrmačních rizik. Struktura prvedených prací bude pkrývat Seznam aktiv splečnsti včetně jejich kategrizace Identifikaci hrzeb a zranitelnstí Pravděpdbnst výskytu hrzby Seznam a ppis rizik, jejich cenění Aplikace výsledků předešlé etapy vč. BIA Výstup Metdika analýzy rizik Zpráva z analýzy rizik jak pdklad pr tvrbu plitik infrmační bezpečnsti Návrh plánu zvládání rizik jak pdklad pr tvrbu plitik infrmační bezpečnsti. Bude vytvřen dkument, jehž bsahem bude ppis navrhvaných prcesních, prvzních a technických patření pr snížení identifikvaných rizik na akceptvatelnu úrveň. Prezentace a dsuhlasení výsledků etapy strana 65/67

66 Sučinnst bjednatele Telefnická a vá kmunikace s prjektvým týmem bjednatele. 5x 1denní WS schválení metdiky a knzultace hrubé analýzy rizik. Bude vyžadván, aby se účastnili zástupci bjednatele s kmpetencí pr: management IT pracvně-právní blast, ppř. další záležitsti jak řízení kvality, kntrlu, fyzicku bezpečnst aj. 1denní WS prezentace výsledků etapy Návrh úpravy stávající a tvrba nvé interní dkumentace Ppis etapy Úprava a tvrba plitik infrmační bezpečnsti v tmt minimálním rzsahu: Návrh základních závazných pravidel infrmační bezpečnsti Návrh způsbů chrany citlivým infrmací pr správce a uživatele Návrh způsbů chrany systémů a aplikací spravujících citlivé pr správce a uživatele Návrh prváděcích směrnic pr řízení infrmační bezpečnsti Návrh infrmačníh memranda pr zaměstnance Návrh rzvje mechanismů správy infrmačních rizik Výstup Příslušná dkumentace dle zadání - prjektu Prezentace výsledků etapy Sučinnst bjednatele Telefnická a vá kmunikace s prjektvým týmem bjednatele. 3x 1denní WS Příprava na certifikaci dle ISO/IEC Ppis etapy Využití výstupů minulých etap strana 66/67

67 Stanvení rzsahu prcesů/splečnstí, které se zahrnu d certifikace Příprava specifických pvinných dkumentů Prhlášení aplikvatelnsti Plitika ISMS a další dkumenty, evidence, plány, Případná integrace s dalšími systémy řízení dle ISO standardů Šklení zaměstnanců v rzsahu 3 dnů Prvedení interníh auditu dle ISO/IEC Prvěření připravensti na certifikační audit Výstup Pvinné dkumenty Zpráva z interníh auditu Prezentace výsledků etapy Sučinnst bjednatele Telefnická a vá kmunikace s prjektvým týmem bjednatele. 1denní WS Příprava k auditu 2denní WS Interní audit 1denní WS prezentace výsledků etapy zprávy z interníh auditu. 6.2 Mžný časvý harmngram Uvedené etapy se mhu prlínat. strana 67/67