3/2.2 LEGISLATIVA K IT BEZPEČNOSTI VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ

Transkript

1 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2, str. 1 3/2.2 LEGISLATIVA K IT BEZPEČNOSTI VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ Legislativní předpisy ohledně bezpečnosti můžeme v této oblasti rozdělit na dvě skupiny. První skupina předpisů se týká režimu utajovaných skutečností v IS a odvíjí se od zákona č. 412/2005 Sb. V tomto směru se jedná především o samotný zákon v modifikaci provedené zákony č. 119/2007 Sb., č. 177/2007 Sb. a č. 296/2007 Sb. aovyhlášku č. 523/2005 Sb. Obecně je studium těchto předpisů užitečné i tehdy, pokud přímo nepodléháme dikci těchto zákonů. Minimálně z toho hlediska, že je určitým rozpracováním bezpečnostních norem a obsahuje řadu dílčích specifikací a postupů, které je v určité míře možno využít i při budování administrativní bezpečnosti v jiných oblastech. Velmi užitečné jsou např. předpisy a certifikace zařízení v oblasti fyzické bezpečnosti. Druhá skupina spíše souvisí s koncepcí životního cyklu SW a se zákonem č. 365/2000 Sb. a zákonem Úvod

2 část 3, díl 2, kap. 2, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ č. 81/2006 Sb. Všechny výše uvedené normy, vztahující se k bezpečnosti IT, jsou součástí aktualizace a jsou uváděny v aktuálním znění. Co se týká zákona č. 412/2005 Sb., některé jeho části jsou obecné a týkají se jak informací v papírové či jiné podobě, tak informací v IS. V souvislosti s informační bezpečností je třeba zmínit především paragraf 4, který se týká klasifikace informací. I pro oblasti mimo utajované skutečnosti je vhodné zavést klasifikaci informací např. na veřejné, interní a se speciálním statusem. Analogicky užitečná je charakteristika ochran uvedená v paragrafu 5 a je plně přenositelná i do oblasti mimo utajované skutečnosti. Podmínky personální bezpečnosti z paragrafu 6 až paragrafu 14 je možné použít i s odpovídajícím změkčením podmínek pro informace, které nepodléhají utajení. Podobně lze využít i pravidla a metody pro administrativní bezpečnost z druhé hlavy dokumentu, které se týkají označování dokumentů a jejich evidence. I část zákona od paragrafu 22 pro oblast fyzické bezpečnosti je významnou pomocí pro definici požadavků na fyzickou bezpečnost citlivých informací, které nejsou přímo definovány jako utajované skutečnosti. Pochopitelně pro jiné citlivé informace je možné si definovat jiné názvy a kategorie informací, než jsou v zákoně uvedeny. Pro utajované skutečnosti je třeba využít přímo litery zákona a definicí zde uvedených. Přímo oblasti této publikace se pak dotýká především hlava 6 zmíněného zákona. Ta definuje podmínky kladené na informační systémy, které obsahují, uchovávají a zpracovávají utajované informace. Podstatný rozdíl mezi systémem pro zpracování utajovaných skutečností a informačním systémem pro zpracování

3 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2, str. 3 jiných citlivých informací je v tom, že tyto jiné systémy nemusejí být certifikovány NBÚ. Jinak obecně mohou splňovat zde definované podmínky, podle uvážení provozovatele tohoto systému. Dalším zde definovaným pojmem je komunikační systém. Dle zde uvedené definice slouží k přenosu utajovaných skutečností mezi koncovými uživateli. Dle mého názoru neexistuje obecně informační systém bez komunikačního systému, protože je minimálně vždy třeba zajistit přenos informací mezi systémem a uživatelem. Pochopitelně je to možné chápat také tak, že uživatel a IS v prvním případě existují v jednom místě či místnosti, ale tento výklad je dostatečně problematický. Komunikační systém naopak může existovat bez informačního celkem běžně (telefony, vysílačky apod.). Dále se obsahu knihy týká hlava 8 zákona, a to kryptografická ochrana a související oblasti. Pochopitelně je možné šifrovat i informace mimo IS a šifrování probíhalo i v dobách dávno minulých, kdy IS jako takové vůbec neexistovaly. Další kapitoly se týkají již pouze režimu utajovaných skutečností, ale v jistém smyslu mohou být návodem jak postupovat i pro citlivé informace, které přitom nejsou přímo z povahy věci utajovanými skutečnostmi. Obecně bych chtěl zdůraznit, že já osobně jsem proti takové specifikaci požadavků zákonem nebo vyhláškami. Považuji za daleko lepší cestu, když zákon využívá normativní požadavky a odkazuje se přímo na jednotlivé normy a jejich části. Tvořit legislativu vykopírováním částí některých norem považuji za dostatečně nekorektní a problematické. Zákony a vyhlášky by měly:

4 část 3, díl 2, kap. 2, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ definovat, které požadavky a jakých norem mají IS splňovat, definovat, které další požadavky, nezohledněné v normách, jsou potřeba. Bylo by to daleko jednodušší, průhlednější a čistější. Umožňovalo by to i jistou kompatibilitu v rámci různých státních útvarů. Aktualizace by se navíc promítaly do všech systémů.

5 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 1 3/2.2.1 VYHLÁŠKA Č. 523/2005 SB., O BEZPEČNOSTI INFORMAČNÍCH AKOMUNIKAČNÍCH SYSTÉMŮ A DALŠÍCH ELEKTRONICKÝCH ZAŘÍZENÍ NAKLÁDAJÍCÍCH S UTAJOVANÝMI INFORMACEMI A O CERTIFIKACI STÍNICÍCH KOMOR Od 1. ledna 2006 platí prováděcí vyhláška k zákonu č. 412/2005 Sb., a to vyhláška č. 523/2005 Sb. I tato vyhláška je součástí aktualizace. Tato vyhláška reflektuje některé normy a pojmy v mezinárodních normách obvyklé. Jedná se především o vymezení pojmů ohledně analýzy rizik, která je podrobně specifikována v ISO TR 13335, pojmy ohledně aktiv, integrity, dostupnosti a důvěrnosti informací jsou převzaty z ČSN ISO/IEC a ČSN ISO/IEC Obecně se dá říci, že vyhovění uvedeným bezpečnostním normám včetně dosažení úrovně zabezpečení systému dle ISO je nutnou podmínkou, nikoliv však podmínkou postačující, protože tou je certifikace orgánem NBÚ. Jako poněkud problematická se jeví skutečnost, že vyhláška neodkazuje na pojmy a pravidla v uvedených

6 část 3, díl 2, kap. 2.1, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ normách, ale definuje je dle uvedených norem vlastním způsobem. Toto má dva aspekty. První je pozitivní a spočívá v tom, že jsou certifikované systémy dle zákona s tímto zákonem kompatibilní až do jeho případné změny. Pokud by se zákon a vyhláška odkazovaly na pojmy a pravidla v normách, mohlo by pravděpodobně dojít při změně normy k nekompatibilitě systému se zákonem, i když systém obdržel certifikát. Druhý je negativní a spočívá v tom, že při změně normy může dojít ke změně obsahu některých pojmů a norma a zákon se vzájemně rozejdou - informační systém bude kompatibilní se zákonem, ale nevyhoví normě, což je také problém. Dále nenahrazují uvedené informace přesné znění vyhlášky ani si nečiní nárok na úplnost. Přesné znění vyhlášky je k dispozici v odpovídající sbírce zákonů ČR. Proto ani citace z níže uvedeného textu nemají žádnou právní platnost. Jejich smyslem je pouze vysvětlit, doplnit nebo komentovat znění zákonné úpravy. Podobně se to týká i všech další právních dokumentů uvedených v této publikaci. Vymezení pojmů Na počátku vyhlášky jsou definovány jednotlivé pojmy. Aktivum informačního systému, kterým se rozumí, na základě analýzy rizik ( 11) definovaný hardware, software, dokumentace informačního systému a utajované informace, které jsou v informačním systému uloženy. Pro pořádek uveďme, že obecná analýza rizik se zabývá popisem aktiv, hrozeb, zranitelností a protiopatření. Riziko je pak číselně vyjádřená možnost uplatnění hrozby na dané aktivum. Objektem informačního systému se rozumí pasivní prvek informačního systému, který obsahuje nebo přijímá informaci.

7 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 3 Subjektem informačního systému je aktivní prvek informačního systému, který způsobuje předání informace mezi objekty informačního systému nebo změnu stavu systému. Pod analýzou rizik se rozumí proces, během nějž jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků. O analýze rizik podrobně pojednávají jiné části této publikace. V podstatě je vše ve shodě s normou, jenom je třeba upozornit na to, že způsob výpočtu rizika se může v různých metodikách lišit. Auditním záznamem je záznam informačního systému o události, která může ovlivnit bezpečnost informačního systému. Obecně se obvykle jedná o LOG. Identifikací subjektu informačního systému je proces zjištění jeho identity v informačním systému. Pod autentizací subjektu informačního systému rozumíme proces, který ověřuje jeho identitu v informačním systému a splňuje požadovanou míru záruky. Míra záruky be měla být definována v bezpečnostní politice. Autorizací subjektu informačního systému rozumíme přidělení určitých práv pro vykonávání určených aktivit v informačním systému. Důvěrností utajované informace je její vlastnost, která znemožňuje odhalení utajované informace neoprávněné osobě. To znamená, že k informaci má přístup pouze ten, kdo je oprávněn tento přístup mít, je pro tuto informaci autorizován. Fyzickou bezpečností informačního systému nebo komunikačního systému rozumíme souhrn opatření, která jsou použita k zajištění fyzické ochrany aktiv

8 část 3, díl 2, kap. 2.1, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ těchto systémů proti náhodným nebo úmyslným hrozbám. V podstatě je jedno, o jaké hrozby jde, fyzické zabezpečení chrání hmotné části systému, prostory apod. v reálném světě. Logické zabezpeční jsou celkem neúčinná, pokud je např. možné celý IS odnést. Integritou aktiva informačního systému nebo komunikačního systému rozumíme takovou vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem informačního systému. Narušením integrity je např. pozměnění, smazání nebo podložení informace. Komunikační bezpečností se nazývají opatření použitá k zajištění ochrany utajovaných informací při přenosu definovaným komunikačním prostředím. Problém definice tohoto pojmu je, že v rámci jednoho systému, dokonce v rámci jednoho zařízení také existují komunikační kanály. Takže obvykle se dnes používá pojem ICT, který dohromady shrnuje jak informační stránku, tak stránku komunikační. Doba, kdy jsme si mysleli, že informace někde leží anebo se přenášejí, je už docela nenávratně pryč. Dokonce existují i informace, které jsou informacemi jenom díky pohybu. Počítačovou bezpečností rozumíme bezpečnost informačního systému zajišťovanou jeho technickými a programovými prostředky. Povinným řízením přístupu jsou prostředky pro omezení přístupu subjektů informačního systému k objektům informačního systému. Mohou být založené na porovnání stupně utajení utajované informace obsažené v objektu informačního systému a úrovně oprávnění subjektu informačního systému pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty informačního systému s různými stupni utajení, nezávisle na volbě učiněné uživatelem.

9 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Rizikem pro informační systém nebo komunikační systém rozumíme pravděpodobnost, že určitá hrozba využije zranitelných míst některého z těchto systémů. Právě to není pravda. Rizikem není pravděpodobnost (tedy veličina mezi jednou a nulou), ale hodnota, která je úměrná hodnotě aktiva, je úměrná hodnotě hrozby, je úměrná zranitelnosti a nepřímo úměrná protiopatřením. Je také úměrná pravděpodobnosti toho, že se hrozba prostřednictvím zranitelnosti uplatní na dané aktivum. To znamená, že to ani není hodnota, je to závisle proměnná veličina. Díky tomu můžeme riziko ovlivňovat změnou hodnot nezávisle proměnných (včetně pravděpodobnosti jevu). Rolí chápeme souhrn určených činností a potřebných autorizací pro subjekt informačního systému působící v informačním systému nebo komunikačním systému. Bezpečnostním správcem informačního systému nebo komunikačního systému je pracovník správy informačního systému nebo komunikačního systému v roli vytvořené pro řízení a kontrolu bezpečnosti informačního systému nebo komunikačního systému a provádění stanovených činností pro zajištění bezpečnosti informačního systému nebo komunikačního systému. Správcem informačního systému nebo komunikačního systému je pracovník správy informačního systému nebo komunikačního systému v roli vytvořené zejména pro zajištění požadované funkčnosti informačního systému nebo komunikačního systému a řízení provozu informačního systému nebo komunikačního systému. Uživatelem informačního systému nebo komunikačního systému je fyzická osoba v roli vytvořené zejména pro nakládání s utajovanými informacemi v inčást 3, díl 2, kap. 2.1, str. 5

10 část 3, díl 2, kap. 2.1, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ formačním systému nebo pro přenos utajovaných informací v komunikačním systému. Řízením přístupu rozumíme souhrn prostředků pro omezení přístupu subjektů informačního systému k objektům informačního systému zajišťující, že přístup k nim získá jen autorizovaný subjekt informačního systému. Volitelným řízením přístupu jsou prostředky omezení přístupu subjektů informačního systému k objektům informačního systému, založené na kontrole přístupových práv subjektu informačního systému k objektu informačního systému, přičemž uživatel, správce nebo bezpečnostní správce informačního systému vybavený určitými přístupovými právy pro přístup k objektu informačního systému může zvolit, na které další subjekty informačního systému přenese přístupová práva k tomuto objektu informačního systému, a může tak ovlivňovat tok informace mezi objekty informačního systému. Bezpečnostním standardem je utajovaný soubor pravidel, ve kterém se stanoví postupy, technická řešení, bezpečnostní parametry a organizační opatření pro zajištění nejmenší možné míry ochrany utajovaných informací. Bezpečnostním provozním modem je prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů. Žadatelem je orgán státu nebo podnikatel, který písemně požádal Národní bezpečnostní úřad (dále jen Úřad ) o certifikaci informačního systému, o certifikaci stínicí komory, o schválení projektu bezpečnosti komunikačního systému nebo o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené

11 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 7 oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím elektromagnetickým vyzařováním. Bezpečnosti informačního systému se dosahuje uplatněním souboru opatření z oblastí: počítačové a komunikační bezpečnosti, kryptografické ochrany, ochrany proti úniku kompromitujícího elektromagnetického vyzařování, administrativní bezpečnosti a organizačních opatření (Je otázkou, zda je sem možno zařadit otázky jako monitoring, řízení přístupu, audity a shodu, kterou požadují bezpečnostní normy ČSN ISO/IEC a ČSN ISO/IEC Členění norem je v tomto směru podrobnější a obsahuje více oblastí. Možná je ale možné je zastřešit pojmem administrativní a organizační bezpečnost, ale nejsem si tím zcela jist.), personální bezpečnosti, fyzické bezpečnosti informačního systému. Požadavky na bezpečnost informačních systémů Opatření přijatá v procesu certifikace informačního systému zajišťují, aby rizika, kterým je informační systém vystaven, byla snížena na přijatelnou úroveň. Problém tohoto textu spočívá v jeho statičnosti. Není zde zachycen žádný vývoj stavu a přitom se hrozby mění, zranitelnosti se mění apod. Takže je v podstatě certifikovaný systém v tomto pojetí na odpovídající úrovni zabezpečení jenom v intervalu nulové délky v okamžiku certifikace. Soubor opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.

12 část 3, díl 2, kap. 2.1, str. 8 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Bezpečnostní dokumentace Obecně asi není problém zabezpečit nebo vytvořit dokumentaci specifikovanou v uvedené vyhlášce. Problémy jsou, jak bylo uvedeno výše, se souladem s ČSN ISO/IEC Dokumentace dle vyhlášky je statická, analýza rizik musí předcházet tvorbě bezpečnostní politiky a musí být prováděna neustále, protože se objevují nové hrozby, případně nová aktiva apod. Z vyhlášky jako by vyplývalo, že na počátku vytvoříte bezpečnostní politiku, uděláte analýzu rizik, navrhnete IS, vytvoříte ho, vytvoříte dokumentaci a máte po starostech. Tak tomu ovšem rozhodně není. Formulace obsahu bezpečnostní politiky je ve vyhlášce dostatečně vágní oproti obsahu definovanému normami a zavádí proti normě jednu další specifikaci, a to že se bezpečnostní politika definuje také na základě: bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována. To je poměrně zajímavá myšlenka a vytváří něco jako hierarchii bezpečnostních politik (ta ovšem existuje i jinak, a to ve smyslu: celková bezpečnostní politika, bezpečnostní politika ISMS, bezpečnostní politika informací, systémová bezpečnostní politika IS). Není tedy úplně jasné, jaké jsou vztahy vyšších informačních politik IS pro utajované skutečnosti, což je systémová bezpečnostní politika jednoho IS, a např. Celková bezpečnostní politika daného úřadu a Celková bezpečnostní politika nadřízeného úřadu. Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti jsou definovány asi celkem rozumně,

13 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 9 i když vzhledem ke 132 požadavkům normy je uvedený počet požadavků skutečně minimální. Jako základní problém tady ovšem vidím vazby systému na okolí. Mimo požadavku na ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem ve vyhlášce nevidím žádné specifikace, které by se týkaly síťové bezpečnosti. Je to možno chápat tak, že IS pro zpracování utajovaných informací jsou systémy fyzicky izolované, a při takovém chápání bude litera vyhlášky celkem pochopitelná. Z druhé strany víme, že existují systémy komunikace v EU, jako je TESTA, které rozhodně nepočítají s tím, že jsou to izolované IS, a těmito systémy se přenášejí utajované skutečnosti minimálně důvěrného charakteru. Některé požadavky na sítě nebo spíše síťové přenosy jsou specifikovány v 9, ale jen s ohledem na zabezpečení přenášené informace, ne s ohledem na bezpečnost síťových služeb. Zde bych opět konstatoval, že ISO normy jsou daleko komplexnější a preciznější. Z druhé strany je zajímavou specifikací vyhlášky zavedení pojmu různých bezpečnostních modů pro utajované informace různých úrovní. Obecně se k tomu většinou přistupuje tak, že se bezpečnost IS váže na nejcitlivější v něm uchovávané informace. Vyhláška stanovuje, že pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Bezpečnostní politika IS

14 část 3, díl 2, kap. 2.1, str. 10 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému. Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací. To zní celkem pěkně, ale postrádá to vazby na bezpečnostní politiky jiných systémů (pokud systémy nejsou izolované), na celkovou bezpečnostní politiku organizace a nadřízených orgánů, neurčuje to také vývoj, úpravy a modifikace bezpečnostní politiky. Bezpečnostní politika informačního systému se formuluje na základě: minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti, systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik, bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována. V řadě případů jdou pochopitelně požadavky uživatele přímo proti bezpečnostním požadavkům, protože každá bezpečnostní politika uživatele omezuje, nutí ho dělat některé věci, které by dělat nechtěl, a některé věci, které by dělat chtěl, mu neumožňuje vůbec. Takže spíše než uživatele bych sem umístil vlastníka informačního aktiva. Ten má skutečně zájem chránit aktivum, protože je za něj zodpovědný. Informační systém nakládající s utajovanými informacemi stupně utajení důvěrné nebo vyššího musí zajišťovat tyto bezpečnostní funkce:

15 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 11 jednoznačnou identifikaci a autentizaci uživatele, bezpečnostního správce nebo správce informačního systému, které musí předcházet všem jejich dalším aktivitám v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace, volitelné řízení přístupu k objektům informačního systému na základě rozlišování a správy přístupových práv uživatele, bezpečnostního správce nebo správce informačního systému a jejich identity nebo jejich členství ve skupině uživatelů, bezpečnostních správců nebo správců informačního systému, nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy ozkoumání přístupových práv, vytváření nebo rušení objektu informačního systému nebo činnost autorizovaných subjektů informačního systému ovlivňující bezpečnost informačního systému, možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, bezpečnostního správce nebo správce informačního systému, ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem. K zajištění bezpečnostních funkcí uvedených výše, se v informačním systému realizují identifikovatelné

16 část 3, díl 2, kap. 2.1, str. 12 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Systémově závislé bezpečnostní požadavky a dokumentované programově technické mechanismy. Dokumentace popisující jejich provedení a operační nastavení musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti. To je poměrně důležité, nestačí, aby mechanismy fungovaly, ale musejí být popsány tak, aby bylo možné jejich posouzení. V tomto směru od řady komerčních programů takové dokumenty nejsou. Tyto dokumenty musejí být dostupné prakticky do úrovně zdrojového kódu. Problém komerčních uzavřených programů lze řešit jedině jejich nezávislou certifikací a tím, že daný produkt vlastní certifikát. Uživatel, který koupil pouze licenci, není schopen touto certifikací v podstatě projít. Existují tedy pouze dvě cesty. První je mít programy na míru se zdrojovým kódem a druhou je nákup již certifikovaných programů. Třetí cesta není. To samé se týká certifikace EAL dle normy ISO (viz dále v publikaci). Bezpečnostní mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku informačního systému, musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami. V informačním systému, který nakládá s utajovanými informacemi nejvýše do stupně utajení vyhrazené, se musí přiměřeně využívat bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální, administrativní a fyzické bezpečnosti informačních systémů. V této kapitole vyhlášky, přesněji v 11, je specifikován nějaký postup pro analýzu rizik. Je dobré, když se čtenář seznámí s metodikou CRAMM nebo jinými, které jsou uvedeny v této knize. Ve vyhlášce není definována požadovaná metodika a to považuji za pro-

17 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 13 blém, protože použitá metodika ovlivní výsledky analýzy rizik. Jinými slovy, pokud pro jeden systém provedeme analýzu rizik podle různých metodik, dojdeme k různým výsledkům. V případě systémů pro utajované skutečnosti to považuji za dost velký problém. I tento paragraf je statický a žádným způsobem nedefinuje potřebu provádět analýzu rizik opakovaně. Ta by měla být prováděna i ve změnových řízeních. Měla by být definována změna nebo její potřeba, měla by být provedena analýza rizik, jak se tato změna bezpečnostně projeví, na základě výsledků analýzy rizik by měla být změna odsouhlasena nebo by měly být specifikována protiopatření, která budou minimalizovat rizika, jež ze změny plynou, a teprve potom by měla být změna prováděna. Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních modů, jimiž jsou: bezpečnostní provozní mod vyhrazený, bezpečnostní provozní mod s nejvyšší úrovní, bezpečnostní provozní mod víceúrovňový. Bezpečnostní provozní mod vyhrazený je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všichni uživatelé musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním modu vyhrazeném,

18 část 3, díl 2, kap. 2.1, str. 14 BEZPEČNÁ POČÍTAČOVÁ SÍŤ se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v 7odst. 1 písm. a), c), d) a f) a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá. Jde o celkem logické požadavky. Vždy, když jsou kombinovány různé požadavky na zabezpečení, se kvůli tzv. slabému článku vyžaduje ta nejvyšší míra zabezpečení dle nejcitlivější informace v systému. Bezpečnostní provozní mod s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém musí všichni uživatelé splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, jež jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním modu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v 7a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

19 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 15 Bezpečnostní provozní mod víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, v němž nemusí všichni uživatelé splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním modu víceúrovňovém, se zabezpečuje opatřeními uvedenými v předchozím odstavci a bezpečnostní funkcí povinného řízení přístupu subjektů informačního systému k objektům informačního systému. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu. Funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit: trvalé spojení každého subjektu informačního systému a objektu informačního systému s bezpečnostním atributem, který pro subjekt informačního systému vyjadřuje úroveň oprávnění subjektu informačního systému a pro objekt informačního systému jeho stupeň utajení, ochranu integrity bezpečnostního atributu, výlučné oprávnění bezpečnostního správce informačního systému k provádění změn bezpečnostních atributů subjektů informačního systému i objektů informačního systému,

20 část 3, díl 2, kap. 2.1, str. 16 BEZPEČNÁ POČÍTAČOVÁ SÍŤ přidělení předem definovaných hodnot atributů pro nově vytvořené objekty informačního systému a zachování atributu při kopírování objektu informačního systému. Zde je otázkou to, co je uvedeno v normě, to znamená, zda sem patří také řízení přístupu ke službám, k síti apod. Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí být zabezpečeny tyto zásady: subjekt informačního systému může číst informace v objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu informačního systému, subjekt informačního systému může zapisovat informaci do objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu informačního systému, přístup subjektu informačního systému k informaci obsažené v objektu informačního systému je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu. Informační systém, který je provozován v bezpečnostním provozním modu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému. U informačního systému, který je provozován v bezpečnostním provozním modu víceúrovňovém a nakládá s utajovanou informací stupně utajení přísně

21 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 17 tajné, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace může dostat k neoprávněnému subjektu informačního systému. Otázek je zde podle mého názoru více - změna oprávnění nebo autorizace je změnou, která se netýká přímo utajovaných informací v systému, ale přesto má zásadní vliv na bezpečnost systému. Jinými slovy: Jakou úroveň utajení mají tyto informační objekty? Pravděpodobně totožnou s nejvíce utajenou informací v systému. To je ovšem jenom předpoklad autora. Mimo samotných informací v systémech obvykle existují meta-informace. Ty by také měly být nějak klasifikovány a měla by existovat pravidla práce s nimi. Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity. Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana. Tady není úplně jasné, zda jde o ochranu informace nebo ochranu kanálu či obojího. Podle názoru autora měl zákonodárce na mysli ochranu informace. Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace. Pro lokální počítačovou síť v rámci zabezpečené oblasti nebo objektu může být postačující fyzická ochrana všech komponentů komunikačního kanálu. Podle této věty se jedná opět o ochranu kanálu.

22 část 3, díl 2, kap. 2.1, str. 18 BEZPEČNÁ POČÍTAČOVÁ SÍŤ V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace. Připojení sítě, která je pod kontrolou správy informačního systému, k síti vnější, jež není pod kontrolou správy informačního systému, musí být zabezpečeno vhodným bezpečnostním rozhraním tak, aby bylo zamezeno průniku do informačního systému. Informační systém musí zajistit, aby byla požadovaná utajovaná informace přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí. V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena. Plánování kapacit aktiv informačního systému a sledování kapacitních požadavků se provádí tak, aby nedocházelo k chybám způsobeným nedostatkem volných kapacit. Informační systém musí mít zpracován plán na obnovení jeho činnosti po havárii. Opětovné uvedení informačního systému do známého zabezpečeného stavu může být provedeno manuálně správcem informačního systému nebo automaticky. Všechny činnosti, které byly provedeny pro obnovení činnosti informačního systému, se zpravidla zaznamenávají do

23 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 19 auditních záznamů chráněných před neoprávněnou modifikací nebo zničením. Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik. V rámci provedení analýzy rizik se vymezují aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému. Po stanovení hrozeb se vymezují zranitelná místa informačního systému tak, že se ke každé hrozbě najde zranitelné místo nebo místa, na která tato hrozba působí. Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika. Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření. Obecně to zase není úplně pravda. Mimo definice protiopatření je možné postupovat i tak, že se odstraní hrozba nebo se odstraní zranitelnost. Protiopatření se pak mohou ukázat jako nepotřebná. Zajištění některých bezpečnostních funkcí informačního systému prostředky počítačové bezpečnosti lze v odůvodněných případech nahradit zvýšeným použitím prostředků personální nebo administrativní bezpečnosti, fyzické bezpečnosti informačních systémů anebo organizačních opatření. Při nahrazení prostředků počítačové bezpečnosti náhradním bezpečnostním mechanismem nebo skupinou mechanismů, které mají zajišťovat určitou bezpečnostní funkci, musí být plně realizována bezpečnostní funkce a zachována kvalita a úroveň bezpečnostní funkce.

24 část 3, díl 2, kap. 2.1, str. 20 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Identifikace uživatelů To znamená asi tolik, že pokud selhalo logické zabezpečení, lze IS odpojit od sítě a zpřístupnit jej v uzamčené místnosti, kde bude uživateli vydáván pouze klíč. Podle názoru autora je třeba mimo bezpečnostních funkcí zachovat i informační funkce systému. Pro mobilní a přenosné informační systémy se v analýze rizik posuzují i rizika, která jsou u mobilních informačních systémů spojená s dopravním prostředkem a u přenosných informačních systémů s prostředími, v nichž budou tyto informační systémy používány. Systém opatření použitých pro celkovou ochranu mobilních a přenosných informačních systémů, obsahujících komponenty umožňující uchování utajovaných informací, musí vedle ostatních požadavků stanovených touto vyhláškou zahrnovat pojetí tohoto zařízení jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou nakládá. Rozhodně zajímavý je následující odstavec vyhlášky: Úřad může v rámci jeho certifikace umožnit, aby byl určitý identifikátor využíván několika uživateli, bezpečnostními správci nebo správci informačního systému. Předpokladem je zavedení postupu umožňujícího určit, který uživatel, bezpečnostní správce nebo správce informačního systému v dané době daný identifikátor využíval. Norma z jedné strany požaduje, aby měli různí uživatelé v systému různé ID. Utajované skutečnosti to nevyžadují. Pro zajímavost si ukažme, jak je možné dané opatření splnit.

25 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 21 Příklad č. 1 IS je jeden osobní počítač se systémem MS DOS (nemá žádné uživatele), je uzamčen v místosti a klíč k této místnosti je vydáván dle seznamu u strážní služby, o vydání a vrácení klíče je proveden záznam ostrahou. Tento postup plně vyhovuje. Takto je možné systém zabezpečit. Systém by neměl mít mechaniku, USB a neměl by být v síti. Příklad č. 2 Uživatel se přihlásí k síti jako JanVonasek. Následně se ze sítě přihlásí k systému (který není jinak přístupný) jako user1. To je také v pořádku, protože existuje záznam o tom, že se uživatel Vonasek hlásil k systému jako user1. Problém, který tady může nastat, je, pokud se v jednu dobu může současně přihlásit více uživatelů user1. Pokud se přihlásili dva, a to Vonasek a Vocasek, pak se provedené operace uživatele user1 nedají identifikovat k jednomu nebo druhému uživateli. Je tedy třeba tuto identifikaci nějak zajistit nebo neumožnit nalogování dvakrát stejného uživatele. Všechny nosiče utajovaných informací používané v provozu informačního systému musí být evidovány. Možná není nejlepší nápad používat označení, která viditelně přesně specifikují obsah nosiče. Sice se v části vyhlášky požaduje označení kryptografického materiálu slovem KRYPTO, ale je pravděpodobně lepší se držet neutrálních označení typu A756B apod. Požadavky na bezpečnost nosičů informací Stupeň utajení těchto nosičů informací musí odpovídat bezpečnostnímu provoznímu modu a nejvyššímu stupni utajení utajovaných informací na nosiči uložených.

26 část 3, díl 2, kap. 2.1, str. 22 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Pokud je vyměnitelný nosič utajovaných informací určen výhradně pro použití v provozu určitého informačního systému, vyznačuje se spolu se stupněm utajení i název daného informačního systému a evidenční číslo nosiče informací. Nosiče utajovaných informací určené pro předání nebo výdej informací z informačního systému se označují stupněm utajení a dalšími údaji podle zvláštního právního předpisu. V tomto případě jde o moment, ke kterému se vztahuje poznámka uvedená výše. Nosiče utajovaných informací zabudované do zařízení a jiné komponenty umožňující uchování utajovaných informací musí být evidovány a označeny stupněm utajení nejpozději po jejich vyjmutí z daného zařízení. Zařízení se evidují v provozní bezpečnostní dokumentaci informačního systému. Stupeň utajení nosiče utajovaných informací stupně utajení přísně tajné nesmí být snížen vyjma případu, kdy je prokázáno, že na něm byly během jeho dosavadního života uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované. Stupeň utajení nosiče utajovaných informací stupně utajení tajné nebo důvěrné může být snížen stupeň utajení, pro vyhrazené může být zrušen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního života uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované. Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení jeho stupně utajení, musí být provedeno tak, aby získání zbytkové utajo-

27 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 23 vané informace nebylo možné. Postup je uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému. Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby se znemožnilo z něj utajovanou informaci opětovně získat. Podle povahy nosiče se to dá provést buď jeho přepisem, nebo fyzickou likvidací. Je třeba upozornit na otázky nosičů ve smyslu např. práce servisních firem -tybyseneměly dostávat ani k vymazaným nosičům, protože v řadě případů je umožněna obnova vymazaných dat. Zde možná jen jedno doplnění. Je velmi rozumné, z důvodu monitorování činnosti správce, auditní záznamy systému ukládat jinam, a to tak, aby k nim neměl správce přístup k modifikaci. On k záznamu přístup mít musí, aby věděl, co se v systému dělo, ale kopie záznamu může být obecně ukládana jinam. Jinak musejí být i auditní záznamy odpovídajícím způsobem chráněny. Druhá hlava se pak týká certifikace IS. To je pravděpodobně oblast, kterou si bez problémů může definovat NBÚ dle svých potřeb. Uživatelem, bezpečnostním správcem nebo správcem informačního systému může být pouze osoba, která byla pro svou činnost v informačním systému autorizována postupem stanoveným v bezpečnostní dokumentaci informačního systému. Uživatel, bezpečnostní správce a správce informačního systému musí být držitelem osvědčení fyzické osoby stupně utajení, který se stanovuje v souladu s bezpečnostním provozním modem a v závislosti na Bezpečnostní správa IS Přístupy a odpovědnosti vis

28 část 3, díl 2, kap. 2.1, str. 24 BEZPEČNÁ POČÍTAČOVÁ SÍŤ nejvyšším stupni utajení utajovaných informací, se kterými může informační systém nakládat. Uživateli, bezpečnostnímu správci a správci informačního systému se na základě autorizace přiděluje v rámci informačního systému jedinečný identifikátor. To je trochu v rozporu s jinou pasáží dokumentu, kde je napsáno, že i více uživatelů může používat jeden identifikátor, pokud je jinými prostředky zajištěno určení toho, kdo tím uživatelem byl (viz příklad č. 1 a příklad č. 2). Podrobněji to specifikuje následující věta. Pro zajištění nepřetržité dostupnosti utajovaných informací a služeb informačního systému, který je ve stálém provozu, může v odůvodněných případech Úřad v rámci jeho certifikace umožnit, aby byl určitý identifikátor využíván několika uživateli, bezpečnostními správci nebo správci informačního systému. Předpokladem je zavedení postupu umožňujícího určit, který uživatel, bezpečnostní správce nebo správce informačního systému v dané době daný identifikátor využíval. Uživateli, bezpečnostnímu správci nebo správci informačního systému se uděluje oprávnění pouze v rozsahu nezbytném pro provádění jemu určených aktivit v informačním systému. Uživatel, bezpečnostní správce a správce informačního systému dodržuje předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému, kterými je zajišťována bezpečnost informačního systému. Informace o činnosti subjektu informačního systému v informačním systému se zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti informač-

29 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 25 ního systému nebo pokusy o ně. Záznamy o činnosti subjektu informačního systému v informačním systému se uchovávají pro zpětné zkoumání po dobu stanovenou v bezpečnostní politice informačního systému. Je potřeba dát velký pozor na to, co vlastně LOGy obsahují. Při změnách utajovaných informací by prostřednictvím LOGu mohly uniknout nějaké informace o utajovaných skutečnostech. LOGy je třeba chránit stejně bedlivě jako informace samotné. V informačním systému se zavádí vhodný systém bezpečnostní správy informačního systému. V rámci systému bezpečnostní správy informačního systému se zavádí role bezpečnostního správce informačního systému odděleně od jiných rolí ve správě informačního systému, pokud není dále stanoveno jinak. V případě potřeby zajistit stanovený rozsah činnosti pro zajištění bezpečnosti informačního systému se zavádějí další role v bezpečnostní správě informačního systému, zejména organizační struktura bezpečnostních správců, bezpečnostní správci jednotlivých lokalit, bezpečnostní správce pro oblast komunikační bezpečnosti nebo bezpečnostní správce bezpečnostního rozhraní informačních systémů. Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, správě konfigurace informačního systému, správě a vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, zajištění školení uživatelů v oblasti bezpečnosti

30 Umístění aktiv informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezíčást 3, díl 2, kap. 2.1, str. 26 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Fyzická bezpečnost informačního systému, kontroly dodržování bezpečnostních provozních směrnic, jakož i v dalších činnostech stanovených v bezpečnostní dokumentaci informačního systému. V informačním systému malého rozsahu může Úřad v rámci jeho certifikace umožnit spojení role bezpečnostního správce a některých dalších rolí ve správě informačního systému. Problém těchto spojení je jednak kumulace pravomoci, jednak to, že by kontrolovaný a kontrolor neměli splynout do jednoho subjektu. Správce informačního systému mimo činnosti pro zajištění funkčnosti informačního systému a řízení jeho provozu plní stanovené činnosti pro zajištění počítačové a komunikační bezpečnosti informačního systému. Aktiva informačního systému musí být umístěna do prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. V rámci certifikace informačního systému se stanovuje, které komponenty informačního systému musí být umístěny v zabezpečené oblasti nebo v objektu, a požadovaná kategorie zabezpečené oblasti. Pochopitelně musí kategorie zabezpečené oblasti minimálně odpovídat kategorii utajovaných skutečností nebo být vyšší. Aktiva informačního systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna.

31 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 27 rat utajované informace nebo informace sloužící k identifikaci a autentizaci uživatele. Komunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených utajovaných informací a před poškozením. Podle našeho názoru by měla i ochrana komunikační infrastruktury odpovídat úrovni utajení přenášených informací. Kromě fyzického perimetru v komunikačních infrastrukturách existuje i perimetr logický. O něm se vyhláška nijak nezmiňuje. Mělo by se jednat o způsoby oddělení sítí, přepravujících klasifikované informace. Podobně jako existují zabezpečovací prvky na fyzické úrovni, jako jsou stěny, zámky mříže atd., existují podobné prvky i na úrovni komunikačních sítí. Bezpečnost informačního systému se musí před vydáním certifikátu ověřit nezávislým testováním. K provedení testování se nesmějí používat utajované informace. Jde o naprosto logické požadavky. Před testováním by měly být popsány požadované testy, měl by být vytvořen plán a harmonogram testů a měly by být definovány předpokládané výsledky testů. Výsledky testů musí prokázat, že jsou bezpečnostní funkce plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy. Ověření testů spočívá v porovnání očekávaných výsledků testů se skutečným stavem. O testu by se měl provést protokol. Požadavky na zabezpečení IS

32 část 3, díl 2, kap. 2.1, str. 28 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Postup instalace informačního systému musí být organizován tak, aby nebyla ohrožena jeho bezpečnost a oslabeny jeho bezpečnostní funkce. V bezpečnostní politice informačního systému se stanoví komponenty informačního systému, které musí být instalovány osobami splňujícími podmínky zákona pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen. Jedná se o komponenty zajišťující bezpečnostní funkce informačního systému nebo komponenty vyhodnocené jako zranitelné ve fázi instalace. Ostatní komponenty informačního systému mohou být instalovány osobami splňujícími podmínky zákona pro přístup k utajované informaci nižšího stupně utajení nebo osobami nesplňujícími podmínky pro přístup k utajované informaci, schválenými bezpečnostním ředitelem provozovatele informačního systému, avšak pod neustálým dohledem pracovníka správy informačního systému, prověřeného pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen. Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému a po jejím schválení Úřadem, nestanoví-li certifikační zpráva jinak. Tady je třeba znovu připomenout, že průběžné testování by se mělo provádět na základě analýzy rizik (což vyhláška nespecifikuje), v případě změny aktiv, změny hrozeb a změny zranitelností aktiv. Pravidelně pak minimálně jednou ročně.

33 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 2.1, str. 29 Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu. To sice odpovídá naprosto přesně normě, ale IS pro utajované skutečnosti by měly být zajištěny tak, že takový problém by tady vůbec neměl nastávat. Z tohoto pohledu jsou dost problematické aktualizace systému, antivirových systémů apod. Před aktualizacemi by měl být provozní systém testován na testovacím systému (bez ostrých dat). Teprve po akceptačních a bezpečnostních testech by mělo být možné provádět aktualizace. V provozovaném informačním systému může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému schválené Úřadem a podmínkám certifikační zprávy k certifikátu informačního systému. V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti utajovaných informací. Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím. Vymazání informací nemusí stačit, jak je uvedeno výše. Lépe by bylo to formulovat tak, že musejí být informace zabezpečeny...