Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Transkript

1 Prklad kapitol politiky informacn bezpecnosti pro ISMS Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim Organizacn zajisten informacn bezpecnosti 2. Klasikace informac a dat 3. Rzen prstupu k informacm a syst em um v oblasti 5. N akup a udrzov an komercnho software 6. Zabezpecov an hardware, perif eri a pod. 7. Ochrana pred kyber-kriminalitou 8. Bezpecnost informac e-byznysu 9. V yvoj a udrzba vlastnho software 10. Are alov a bezpecnost 11. Resen person alnch probl em u 12. V ychova a zvysov an bezpecnostnho uvedomen zamestnanc u 13. Vyhoven pozadavk um pr ava a omezenm stanoven ych politikami 14. Detekce bezpecnostnch incident u a reakce na jejich v yskyt 15. Havarijn pl any, zachov an kontinuity byznysu Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 1 1. Organizacn zajist en informacn bezpecnosti Vymezen oblasti, ucel u / cl u, aktiv, nav az an exekutivy a kontrol na organizacn sch ema/r ad organizace... Vyj adren podpory z urovn e vyssho managementu Prehled z asad politiky informacn bezpecnosti Spolupr ace mezi odd elenmi organizace V ysledky hodnocen politiky informacn bezpecnosti nez avislou stranou Sdlen e informace s ostatnmi organizacemi 2. Klasikace informac a dat Denice informac majcch charakter aktiv { organizace mus vytvorit, udrzovat a pr ubezne aktualizovat datab azi sv ych informacnch aktiv každé aktivum musí mít svého vlastníka a klasifikační úroveň (veřejné, pro vnitřní potřebu, důvěrné, tajné, přísně tajné) Klasikov an informac { vesker e informace, data a dokumenty mus b yt klasikovan e podle jejich urovne d uvernosti, citlivosti, hodnoty, kriticnosti,... Znackov an klasikovan ych informac { vesker e informace, data a dokumenty mus b yt jasne oznacen e tak, aby vsichni uzivatel e si byli vedomi kdo je jejich vlastnkem a jak jsou klasikovan e nesprávné označkování může vést ke zveřejnění důvěrných dat, špatná definice úrovní nemusí vyhovat všem uživatelům v organizaci Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 2 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 3

2 2. Klasikace informac a dat Uchov av an klasikovan ych informac a manipulace s nimi { s vesker ymi informacemi, daty a dokumenty mus b yt zach azeno pri zpracov an a uchov av an striktne podle pravidel dan ych jejich klasikacnmi urovnemi např. platí, že přísně tajnou informaci nelze posílat poštou, bez konzistentního klasifikačního systému nelze zvládat řízení bezpečných informačních toků Izolace informac nejprsn ejs klasikace (prsn e tajn e) { ex. pozadavek na jejich uchov av an v samostatn em zabezpecen em prostred řízení přístupu do těchto prostředí se musí pravidelně přehodnocovat a testovat kvalifikovanými osobami s potřebnou bezpečnostní spolehlivostí 2. Klasikace informac a dat Akceptov an vlastnictv za klasikovan e informace { za vesker e informace, data a dokumenty odpovd a jejich jmenovan y vlastnk, resp. spr avce pokud by vlastník nedopovídal za procedury pro přístup ke svým aktivům, mohla by se tato zdostupnit neautorizovaným osobám, co nikomu nepatří, může se ztratit, kompromitovat Zach azen s klasikovan ymi informacemi v st'ov em prostred { pozadavek na prsn e rzen prstupu podle dohodnut eho seznamu prstupov ych pr av, kter y mus b yt pravidelne (pr ubezne) udrzovan y a aktualizovan y Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 4 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 5 3. Rzen prstupu k informacm a syst em um v oblasti Zaveden standard u rzen prstupu { denice omezen chr ancch pred neautorizovan ym prstupem respektujc od uvodnen e potreby voln eho prstupu nutn eho pro dosazen cl u cinnosti organizace kvalifikovaný kompromis mezi omezeními chránícícmi před neuatorizovaným přístupem a tlakem na neomezený přístup pro plnění potřeb činností organizace nedostatek standardů je zdroj rozdílností a tím i zranitelností pokud se nezmění řízení přístupu po zvýšení citlivosti, vzniká riziko odhalení důvěrné informace zbytečně přísné řízení přístupu překáží každodenní práci 3. Rzen prstupu k informacm a syst em um v oblasti Spr ava prstupu uzivatel u { prstup ke vsem syst em um mus b yt autorizovan y vlastnky techto syst em u a povolen e prstupy vcetne denice detailnch prstupov ych pr av mus b yt zaznamen any v seznamech prstupov ych pr av; { tyto seznamy se klasikuj jako velmi d uvern e a podle toho se adekv atne silne chr an přidělení zbytečně silných privilegií nezkušenému personálu může vést k nahodilým chybám nedostatečná dokumentace řízení přístupu odrazuje od jeho aktualizace neexistence procedur řízení přístupu může mít za následek možnost neautorizovaného přístupu Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 6 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 7

3 3. Rzen prstupu k informacm a syst em um v oblasti Zabezpecen poctac u bez dozoru { zarzen mus b yt vzdy adekv atne zabezpecen e, pokud je bez dozoru tak zvl aste je třeba minimalizovat riziko neautorizovaného přístupu s následkem neomezených škod Spr ava n astroj u rzen st'ov eho prstupu { pozadavek prsn eho rzen prstupu ke zdroj um umsten ych na sti chr ancho pred neautorizovan ym prstupem k nim { prstup ke vsem v ypocetnm, informacnm syst em um a periferim mus b yt adekv atne omezen y, l epe vsak explicitne autorizovan y příklad: notebook lze připojit do nepoužívané zapomenuté zásuvky ve stěně, obejde se přihlašovací server a notebook se připojí přímo na hlavní aplikační server neuatorizovaný přístup do sítě organizace má za následek při nejmenším ztrátu důvěrnosti dat organizace 3. Rzen prstupu k informacm a syst em um v oblasti Rzen prstupu k prkaz um OS { prstup k prkaz um OS mus b yt omezen y na osoby autorizovan e pro administraci syst emu, pro spr avn funkce { tento prstup mus b yt povolovan y pod principem duality rzen, autorizaci mus povolit vyss management, mus b yt zaznamen avan y Unix,... : kdo má přístup k výzvě $ má větší privilegia než ten, kdo může jen klást dotazy aplikačnímu serveru SQL Zach azen s hesly { volba hesla, jejich ud av an a spr ava jako prim arn n astroj rzen prstupu k syst em um mus b yt stanoven a politiko u pr ace s hesly Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 8 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 9 3. Rzen prstupu k informacm a syst em um v oblasti Zabezpecen proti neautorizovan emu fyzick emu prstupu { fyzick y prstup do oblast se silne omezen ym prstupem mus b yt rzen y striktnmi identikacnmi a autentizacnmi technikami { zamestnanci autorizovan pro prstup do takov ych oblast mus b yt sezn amen s mozn ymi bezpecnostnmi riziky omezov an prstupu { rzen prstupu mus b yt nastaveno na takovou urove n omezen, kter a minimalizuje rizika informacn bezpecnosti, ale soucasne neomezuj aktivity cinnosti organizace vce nez nutne Monitorov an prstup u a pouzv an syst em u { prstup mus b yt zaznamen avan y a monitorovan y, aby nespr avn e pouzit syst emu nebo informac bylo identikovateln e bez častého monitorování nelze posoudit účinnost řízení přístupu 3. Rzen prstupu k informacm a syst em um v oblasti Udelov an prstupu k soubor um a dokument um { prstup k soubor um a dokument um mus b yt peclive a detailne rzen y tak, aby se zajistilo, ze k citliv ym informacm maj prstup pouze autorizovan e osoby pokud je řízení přístupu příliš restriktvní, uživatelé budou mít snahu sdílet účty login+heslo Spr ava prstupu k syst em um s vyssm rizikem { rzen prstupu k vysoce citliv ym informacm nebo vysoce rizikov ym syst em um mus odpovdat hodnote a klasikaci chr anen ych aktiv je vhodné používat duálnost řízení, separaci odpovědností,... je nutné velmi pečlivě řešit personální politiku Rzen prstupu vzd alen ych uzivatel u { procedury pro rzen vzd alen eho prstupu mus poskytovat adekv atn bezpecnostn opatren implementovan a robustnmi identikacnmi, autentizacnmi a sifrovacmi technikami použití pouze ID uživatele+hesla jako jediný nástroj řízení přístupu může být nedostatečné, zvláště tam, kde je povolený přístup přes vytáčená spojení Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 10 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 11

4 3. Rzen prstupu k informacm a syst em um v oblasti dals typick e oblasti v politice rzen prstupu, kter e je nutno osetrit (uz jen v ycet) { Typy prstup u udelovan ych tretm stran am { D uvody udelov an prstupu tretm stran am { Monitorov an sluzeb poskytovan ych tretmi stranami { Zmenov e rzen sluzeb poskytovan ych tretmi stranami { Spr ava sluzeb poskytovan ych tretmi stranami { Autentizace uzl u { Diagnostick e a konguracn n astroje { Poskytov an prstupu z akaznk um { Povinnosti managementu St e Kongurov an ste { st' mus b yt navrzen a a kongurovan a tak, aby prenosov y v ykon byl adekv atne vysok y a aby spolehlivost splnila pozadavky proces u cinnosti organizace a st' pritom poskytovala potrebne siln y stupe n rzen prstupu a potrebnou sk alu omezen opr avnen (privilegi) Spr ava ste { spr avu ste zajist'uje primerene kvalikovan y perzon al, kter y ve spolupr aci s nominovan ymi vlastnky syst em u zajist'uje jej integritu Vzd alen y prstup do ste organizace { se poskytuje za predpokladu, ze autorizovan y uzivatel se autentizuje, data se sifruj a opr avnen (privilegia) jsou adekv atne omezen a nedůslednost standardů vytáčených telefonních spojení zvyšuje riziko neautorizovaného přístupu Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 12 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 13 Ochrana st'ov ych informac pred zlomysln ymi utoky { syst emov y hardware, OS, aplikacn syst emy, ste a komunikacn syst emy mus b yt adekv atne kongurovan e a chr anen e jak proti fyzick ym utok um, tak i pred neautorizovan ym vniknutm ze ste d ale pak se typicky mus osetrit i oblasti (uz jen v ycet) { Segregace st { Rzen sdlen ych st { Smerovac n astroje { St'ov a bezpecnost (VPN,... ) { Casov e limity { Vyuzitelnost skryt ych kan al u { Autentizace zarzen pro pripojov an do ste Provoz syst em u a jejich administrov an Ustanoven administr ator u syst emu { syst emy organizace mus b yt spravov any vhodne kvalikovan ymi spr avci/administr atory, kter jsou odpovedn za kazdodenn beh a bezpecnost syst em u (pokud není ustanovený samostatný bezpečnostní administrátor, člen týmu bezpečnostního manažera) Pozadavky na administr atora syst emu { administr ator syst emu mus b yt plne vycvicen y a mus mt adekv atn zkusenost se sirokou sk alou syst em u a platforem organizace { mus b yt erudovan y a dobre obezn amen y se sk alou rizik pro bezpecnost informac, kter a se mus zvl adat (Pozor zásahy správce mohou ovlivnit celou sít, ukřivděný správce je schopný zastavit kritické procesy činnosti organizace,... ) Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 14 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 15

5 Rzen distribuce dat { autorizovan e osoby mus mt potrebn a data/informace dostupn a teprve az o prstup k nim poz adaj { vsem ostatnm osob am mus b yt prstup k takov ym informacm zak azan y vhodn ymi technick ymi n astroji pouzit ymi pro prosazen t eto politiky vytváření násobných kopií souboru může snížit spolehlivost, zvyšuje riziko narušení integrity personál frustrovaný nedostupností dat se může uvolňovat reakcemi na zákaznících, kazí se činnost organizace Povolov an prstupu tretm stran am { prstup tret strane k informacm organizace se povoluje pouze tehdy, kdyz prslusn a informace je adekv atne chr anen a a riziko neautorizovan eho prstupu k n je zanedbateln e třetí straně někdy stačí poskytovat systematicky pozměněná data, přeformátovaná apod., např. pro vývoj systémů Spr ava elektronick ych (kryptograck ych) klc u { spr ava kryptograck ych klc u mus prov adena pod du alnm rzen a v ykon spr avy m a mezi person alem rotovat Spr ava provozu syst em u a administrace syst em u { mus b yt prov adena pomoc dokumentovan ych procedur efektivne a pri tom ucinne z hlediska zajisten informacn bezpecnosti ad hoc provozování administrace bez robustních procedur zvyšuje riziko nespolehlivosti systému a/nebo bezpečnosti zkratky v ovládání provozu mohou vést k chybám a/nebo snižovat účinnost opatření Spr ava dokumentace syst em u { vsechny informacn syst emy organizace mus mt trvale dostupnou aktu aln verzi sv e dokumentace častý problém domácích starších systémů, způsobuje silnou závislost na klíčových znalých členech týmu,... Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 16 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 17 Monitorov an z aznam u o chyb ach { kvalikovan ym person alem mus b yt prov aden e pravideln e vyhodnocov an a opravov an chyb Výpadek zkoumání chyb každého produkčního systému může ohrozit bezpečnost a efektivnost běžících systémů Pl anov an provozu syst emu { mus b yt form alne (predpisove) vypracovan e, autorizovan e a dokumentovan e Pl anov an zmen v rutinnm provozu syst emu { zmeny v pl anu rutinnho provozu syst emu se mus plne otestovat a pred implementac schv alit Každá změna v plánu provozu zavádi nová rizika, výpadek jedné úlohy může způsobit výpadek na ní zavislých úloh Monitorov an z aznam u z auditu provozu { pravideln e vyhodnocov an zkusen ym person alem a nesrovnalosti se mus sdelovat prslusn ym vlastnk um syst em u Synchronizace casu v syst emech { prov ad se pravidelne, zvl aste mezi r uzn ymi pracovnmi platformami organizace Významný rozdíl mezi systémovým a skutečným časem může způsobit chybnou funkci systému Manipulace s časem systému může být hrozby podvody Reakce na v ypadky syst emu { opravy po v ypadcch syst em u m uze prov adet pouze kvalikovan y a autorizovan y person al nebo technici schv alen e tret strany Spr ava a vyuzv an zpr av o transakcnm a produkcnm zpracov av an dat { pocty zpracovan ych jednotek, za cas,... { vyhodnocovat mus adekv atne zkusen y a kvalikovan y person al pravidelne neuatorizované opravy ve zprávách o zpracování by mohly zakrývat podvody Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 18 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 19

6 V ykon sluzeb poskytovan ych tretmi stranami { tret strana poskytujc organizaci sluzbu, mus demonstrovat, ze vyhovuje politice informacn bezpecnosti organizace a pracuje na z aklade smlouvy, kter a zarucuje poskytov an potrebn eho zpracov avatelskho v ykonu a n ahrady pro prpad neplnen smlouvy a Worldwide Web Stahov an soubor u z Internetu { vyzaduje se zaveden ochran proti skodliv emu software a nevhodn emu materi alu navíc hrozby nedodržení licencí, hrozby nepřesnosti informací hrozba zvýšení komunikační zátěže,... Pouzv an a prijm an digit alnch podpis u { prenos citliv ych a d uvern ych dat mus b yt autentizovan y digit alnmi podpisy kdykoliv je to mozn e (technicky, PKI,... ) Vysl an u { lze pouzvat pouze pro ucely cinnosti organizace a formou, kter a je konzistentn s ostatnmi formami komunikace organizace { prlohy zpr av se soubory dat lze pouzvat pouze po odsouhlasen klasikace odeslan e informace a mus b yt prohlzen e a verikovan e z hlediska v yskytu vir u a skodliv eho software hrozba ztráty reputace rozesíláním škodlivého software prostý je něco jako pohlednice, každý ji může číst díky nedostatku autentizace, vznikají násobné kopie týchž souborů (posílaných v přílohách),... Prijm an u { s prchozmi zpr avami mus b yt zach azeno s nejvyss opatrnost, prlohy nesm b yt otevran e dokud nejsou prohl ednut e a verikovan e z hlediska v yskytu vir u a skodliv eho software žádné právní opodstatnění sdělených faktů Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 20 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 21 Zapamatov av an a odstra nov an u { doba uchov av an zpr av mus vyhovovat pozadavk um legislativy a cinnosti organizace a mus b yt dodrzovan a vsemi zamestananci Zrizov an prstupu do intranetu { osoby odpovedn e za zrizov an prstupu do intranetu mus zarucit, ze vsechna prstupov a omezen t ykajc se dat v z akladnch syst emech jsou aplikovan a rovnez na prstup z intranetu organizace Zrizov an prstupu do extranetu { osoby odpovedn e za zrizov an prstupu do extranetu mus zarucit, ze vsechna prstupov a omezen t ykajc se dat v z akladnch syst emech jsou aplikovan a rovnez na prstup z extranetu organizace Zrizov an prstupu do Internetu { osoby odpovedn e za zrizov an prstupu do Internetu mus zarucit, ze st' organizace je chr anen a pred skodliv ym vniknutm z vnejsku alespo n pouzitm kongurovan ych rewall u { person aln spr ava mus zarucit, ze vsechny osoby s prstupem na Internet (vc. u) znaj a budou dodrzovat pravidla prstupu na Internet stanoven a politikou informacn bezpecnosti V yvoj webovsk ych str anek { vzhledem k velk emu riziku vniknut neautorizovan ych externch osob mohou webovsk e str anky vyvjet a udrzovat pouze vhodne kvalikovan e a autorizovan e osoby Prijm an nespr avne adresovan ych zpr av, spam { na nevyz adan e zpr avy se neodpovd a a zach az se s nimi obezretne Preposl an u { je nutn e zajistit spr avnou adresaci preposlan ych zpr av (zvl aste zpr av s prlohami) a adresovat lze pouze kompetentn osoby hrozba odhalení důvěrné informace Vyuzv an Internetu pro pr aci plynouc z v ykonu zamestn an { management je odpovedn y za rzen prstupu uzivatel u k Internetu, za zajisten, ze uzivatel e si jsou vedomi hrozeb a ze um pouzvat ochrany pro snizov an rizik bezpecnostnch incident u neautorizované užívání Internetu snižuje výkony, stahování může být ilegální, zneužívají se zdroje organizace Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 22 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 23

7 Politika on-line objedn av an zboz na Internetu { person al autorizovan y pro placen za zboz objedn avan e pres Internet je odpovedn y za bezpecn e a uceln e pouzit karet hrozba odhalení PIN a účtových detailů, výpadkek bezpečnostních opatření u příjemce má za následek možnou kompromitaci důvěrných dat klientů,... Vyuzv an bezpecnostnch rys u internetovsk ych prohlzec u { prohlzece se mus pouzvat bezpecne pomoc vestaven ych bezpecnostnch rys u prslusn eho software { management mus zabezpecit, ze t ym zn a potrebn e nastaven prslusn eho software problém cookies, Java appletů, JavaScriptů, nástrojů ActiveX firewall nezabrání útoku Trojským koněm,... Pouzv an internetovsk ych vyhled avac u { informace zskan a z Internetov ych zdroj u mus b yt pred pouzitm pro ucely cinnosti organizace overena Udrzov an obsahu www str anky { Web je d ulezit y marketingov y a informacn zdroj pro organizaci a jeho ochrana pred neautorizovan ym vniknutm m a nejvyss prioritu { zmeny na www str ance mohou delat pouze kvalikovan e autorizovan e osoby, zmeny mus b yt dokumentovan e a oponovan e Filtrov an nevhodn ych materi al u z Internetu { pro omezen prstupu t ymu k nevhodn ym informacm na Internetu pouzv a organizace ltry a jim podobn e techniky { management mus pravidelne vyhodnocovat zpr avy o pokusech o nevhodn e prstupy Jistota originality soubor u { soubory dat zskan e z nezn am ych zdroj u se mus odstra novat bez jejich otevr an Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 24 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 25 Telefony a faxy Vytv aren konferencnch vol an { konferencn vol an jsou povolena pouze kdyz si je t ym vedom y zahrnut ych probl em u informacn bezpecnosti nejistota identity partnera, riziko odhalení důvěrné informace Vyuzv an video-konferencingu { video-konference jsou povoleny pouze kdyz si je t ym vedom y zahrnut ych probl em u informacn bezpecnosti např. nejistota identity partnera, riziko odhalení důvěrné informace Zaznamen av an telefonnch konverzac { pokud se telefonn hovory zaznamen avaj, vsechny strany mus b yt o tom informovan e predem pokud se to neučiní, záznam není důkazem Zach azen se spamy a nespr avne dorucen ymi zpr avami z faxu { kazd y fax zskan y omylem se mus vr atit odeslateli, jeho obsah se bez povolen odeslatele nesm zverejnit Prijm an nevyz adan ych fax u { s nevyz adan ymi nebo neocek avan ymi faxy se mus do zjisten identity jejich odeslatel u zach azet opatrne Politika objedn av an zboz telefonicky { clenov e t ymu autorizovan pro placen za zboz objedn avan e pres telefon jsou odpovedn za bezpecn e a vhodn e pouzit karet Instruov an po telefonu { identita prjemc u citliv ych nebo d uvern ych informac sdelovan ych telefonicky se mus overovat Osoby zsk avajc informace telefonicky { identita osob pozadujcch zsk an citliv ych nebo d uvern ych informac telefonicky se mus overovat a osoby mus b yt autorizovan e Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 26 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 27

8 Spr ava dat Prenos a v ymena dat { citliv a nebo d uvern a data a informace se m uze pren aset st nebo koprovat na jin a m edia pouze kdyz je adekv atne zarucena d uvernost a integrita dat napr. sifrov anm Spr ava datov ych pamet { kazdodenne pouzvan e datov e pameti mus zarucit, ze bezn a data jsou autorizovan ym uzivatel um pohotove dostupn a a, pokud je to nutn e, vytv arej se kopie a ty jsou v prpade potreby dostupn e Spr ava datab az { trvale se mus udrzovat integrita a stabilita datab az organizace Povolov an nouzov ych oprav dat { nouzov e opravy lze prov adet pouze v extr emnch prpadech a pouze podle nouzov ych schv alen ych procedur Zsk av an informac s vnejsch m edi (disk u) { s v yjimkou speci alne autorizovan ych osob nen povolen e pouzv an vymeniteln ych m edi (diskety, ash pameti, CD,... ) Vytv aren nov ych adres ar u { nov e adres are mus vytv aret vlastnk informacnch syst em u s uzivateli uzvajcmi tyto syst emy { mus se aplikovat takov a omezen prstupu k takov ym adres ar um, kter a zamez neautorizovan ym prstup um Opravov an adres arov ych struktur { existujc adres arov e struktury mohou opravovat osoby s prslusnou autorizac, obvykle vlastnci prslusn ych informacnch syst em u Archivov an dokument u { mus se dodrzovat legislativn a regulacn omezen a omezen dan a cinnost organizace, na archivov an spolupracuj t ymy technik u i lid z oddelen produkujcch cinnost organizace Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 28 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 29 Politika skladov an informac { informace vytv aren e a uchov avan e organizac mus b yt skladovan e alespo n po dobu, kterou urcuj pozadavky legislativy a cinnosti organizace Zakl ad an nov ych tabulek tabulkov ych procesor u { klasikace tabulek tabulkov ych procesor u mus odpovdat citlivosti a d uvernosti dat, kter a jsou v nich obsazen a { vsechny datov e/nancn modely pouzit e pro rozhodov an mus b yt plne dokumentovan e a rzen e vlastnky informac Zakl ad an nov ych datab az { vsechny datab aze mus b yt pred uvedenm do provozu testovan e z hlediska logiky cinnosti organizace a procedur cinnost organizace { pokud takov e datab aze obsahuj person aln data, procedury a rzen prstupu mus vyhovovat z akonu o ochrane osobnch dat Vazba mezi dokumenty a soubory { vysoce citliv e nebo kritick e dokumenty nesm spol ehat na dostupnost nebo integritu (externch) soubor u dat, kter e nejsou pod kontrolou autor u dokument u { klcov e dokumenty a zpr avy mus b yt samoobsazn e a mus obsahovat vsechny nutn e informace Korekce pracovnch verz (drat) zpr av a manipulace s nimi { pracovn verze zpr avy mus b yt korigovan e autoritou budoucho vlastnka zpr avy Likvidace pracovnch verz (drat) zpr av { pracovn verze zpr avy mus b yt po vytvoren n aln verze zpr avy likvidovan e nebo archivovan e { v norm alnm provozu mus b yt dostupn a jedin a verze Pouzv an verzovacho syst emu { na dokumentaci patrc organizaci nebo jejm z akaznk um mus b yt aplikovan e procedury rdc verzov an Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 30 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 31

9 Sdlen dat v syst emu spr avy projekt u { k citliv ym nebo d uvern ym dat um o projektech vlastnen ych nebo spravovan ych organizac nebo jejmi zamestnanci mohou pristupovat pouze autorizovan e osoby Korekce informac o z akazncch { informace o z akazncch mohou korigovat pouze autorizovan e osoby { z akaznick a data se mus chr anit kombinac technick ych n astroj u rzen prstupu a robustnch procedur, zmeny mus b yt zurnalizov any a podl ehaj kontrole internm auditem Tvorba smyslupln ych jmen soubor u { pojmenov av an soubor u dat organizace mus b yt smyslupln e a rozpoznateln e zam yslen ymi uzivateli Pouzv an z ahlav a paticek { prostor na kazd e str ance dokumentu mj. pro uv aden klasikace a vlastnictv dokumentu Pouzv an a odstra nov an docasn ych soubor u { na osobnch poctacch uzivatel u mus b yt pravidelne likvidovan e tak, aby se zamezilo prpadn ym skod am prpadn ymi neautorizovan ymi osobami Pouzv an datov ych soubor u z akaznk u a tretch stran { kontaktn informace na z akaznky maj b yt klasikovan e jako prsne tajn e a mus se s nimi adekv atne zach azet Ukl ad an (uchov av an) dat/informac jednotliv ymi uzivateli { vsichni uzivatel e informacnch syst em u, kter podle sv e pracovn n aplne mus vytv aret a dopl novat soubory dat, mus pravidelne podle obvykl ych dobr ych praktik data uschov avat, aby zamezili jejich porusen nebo ztr at am pri v ypadcch syst emu ci energie Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 32 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 33 Z alohov an, obnova a archivov an Restart/obnoven cinnosti syst emu { vlastnci IS mus zajistit dostupnost adekv atnch procedur pro z alohov an a pro obnovu Z alohov an dat z prenosn ych poctac u {Informace a data uchov avan a na prenosn ych poctacch se mus z alohovat pravidelne { odpovd a uzivatel prenosn eho poctace Spr ava z alohovacch a obnovovacch procedur { z alohov an soubor u dat organizace a schopnost obnovy z takov ych z aloh m a nejvyss prioritu { za urcen frekvence z alohovacch operac je odpovedn y management { management je odpovedn y rovnez za adekv atnost prslusn ych procedur potreb am cinnost organizace Archivov an informac { pamet'ov a m edia pouzit a pro archivaci mus b yt pouziteln a po ocek avanou dobu trv an archivu { form at archivu mus b yt volen peclive, zvl aste je-li zvolen y propriet arn form at Archivov an elektronick ych soubor u { mus reektovat potreby cinnost organizace a legislativn a regulacn pozadavky Obnova soubor u s daty aplikac { management mus zajistit ochrany chr anc integritu soubor u dat behem obnovy ze z aloh a z archiv u, zvl aste v prpadech, kdy takov e soubory mohou nahradit nejcerstvejs soubory Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 34 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 35

10 Zach azen s dokumenty Zach azen s tisten ymi v ystupy { tisten y citliv y a d uvern y materi al mus b yt chr anen y a manipulovan y podle prslusn ych pravidel distribuce a urovn autorizace specick ych pro takov e dokumenty Fotokopie/duplikace d uvern ych informac { vsichni zamestnanci si mus b yt vedomi rizika narusen d uvernosti duplikac citliv ych dokument u { pro duplikaci dokument u klasikovan ych jak prsne tajn e se mus zskat autorizace od vlastnka takov eho dokumentu Archivov an dokument u { vsechny informace pouzvan e organizac mus b yt adekv atne archivovan e v souladu s jejich klasikac Kontrasignace, stvrzov an dokument u { dokumenty mus b yt manu alne nebo elektronicky kontrasignov any, aby se zajistila jejich validita a integrita (zvl aste ty, kter e potvrzuj nebo zavazuj organizaci v jejich cinnostech) Kontrola korektnosti a spr avnosti dokumentu { dokumenty mus b yt kontrolov any, aby se potvrdila jejich validita a integrita (zvl aste ty, kter e potvrzuj nebo zavazuj organizaci v jejich cinnostech) Odsouhlasov an dokument u { vesker a psan a komunikace zaslan a z organizace tretm stran am mus b yt schv alen a autorizovanou osobou Overov an podpis u { vsechny podpisy autorizujc prstup do syst emu nebo uvol nujc informace mus b yt overeny na autenticnost Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 36 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 37 Prijm an nevyz adan e posty { nevyz adan e poste do doby overen identity a autenticity odeslatele zpr avy se nesm venovat v azn a pozornost Styl a prezentace zpr av { m a se pouzvat schv alen y styl zpr av organizace, kter y podporuje konzistentnost a integritu image organizace Prenos citliv ych dokument u { jmenovan vlastnci dokument u obsahujcch citliv e informace jsou odpovedn za zajisten adekv atnch n astroj u pro ochranu jejich d uvernosti, integrity a dostupnosti, a to jak behem tak i po prenosu Likvidace nepotrebn ych tisten ych v ystup u { vsechny citliv e nebo d uvern e dokumenty dokumenty mus b yt po uplynut doby jejich potreby likvidovan e { destrukci mus autorizovat nebo spustit vlastnk dokumentu Pouzv an dobr ych praktik spr avy dokument u { vsichni uzivatel e IS mus rdit vytv aren, uchov av an, dopl nov an, koprov an a likvidov an soubor u dat takov ym zp usobem, kter y zajist a ochr an jejich d uvernost, integritu a dostupnost { vymezen, kter e softwarov e techniky a spolehliv e uzivatelsk e procedury se mus pouzvat, urcuje management a je urceno klasikac prslusn ych informac a dat Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 38 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 39

11 Zabezpecov an dat Pouzv an sifrovacch technik { kdykoli je to vhodn e, citliv e nebo d uvern e informace nebo data maj b yt vzdy pren asen e v sifrovan e forme { pred prenosem se mus vzdy zv azit, kter e procedury vyslajc a prijmajc strana mus pouzt a jak e plynou pr avn probl emy z pouzit sifrov an Sdlen informac { osoby odpovedn e za person aln politiku mus zabezpecit, aby vsichni zamestnanci si byli plne vedomi jejich pr avnch a zamestnaneck ych povinnost a odpovednost t ykajcch se nepatricn eho sdlen a uvol nov an informac, a to jak uvnitr organizace, tak i vnejsm stran am Zasl an informac tretm stran am { pred zasl an informace tret strane mus b yt prjemce autorizovan y pro jejich prjem predem a mus b yt jasn e, ze opatren prosazujc bezpecnost informac u tret strany zachov a d uvernost a integritu takov ych informac Udrzov an d uvernosti dat o z akazncch { informace o z akazncch a kontaktech s tretmi stranami organizace jsou d uvern e a mus b yt chr aneny a zabezpeceny pred neautorizovan ym zprstupnenm a odhalenm Zach azen s informacemi z platebnch karet z akaznk u { s detaily z platebnch karet z akaznk u sveren ymi organizaci mus b yt manipulov ano kombinac bezpecnostnch n astroj u technick e a procedur aln povahy, kter e v t eto kombinaci preventivne chr an vsechny rozpoznateln e detaily z karet pred zprstupnenm, zcizenm modikac nebo jak ymkoliv prozrazenm neautorizovan ym osob am Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 40 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 41 Ochrana pred znicenm poz arem { vsechna data a informace mus b yt trvale chr anena proti riziku znicen poz arem, urove n ochrany se odvozuje z velikosti rizika, z hodnot a klasikace dat Zasl an zpr av { pred zasl an zpr av tretm stran am mus b yt zam yslen y prjemce autorizovan y pro jejich prjem predem a mus b yt jasn e, ze opatren prosazujc bezpecnost informac u tret strany zachov a d uvernost a integritu takov ych informac Zach azen s citliv ymi nancnmi informacemi { citliv e nancn informace mus b yt klasikovan e jako prsne tajn e a mus s nimi b yt manipulov ano kombinac bezpecnostnch n astroj u technick e a procedur aln povahy, kter e v t eto kombinaci preventivne chr an tyto informace jak ymkoliv prozrazenm neautorizovan ym osob am Odstra nov an dat vytvoren ych/vlastnen ych jin ym subjektem { data mus b yt chr anen a proti neautorizovan ym nebo n ahodn ym zmen am a lze je odstranit pouze n alezitou autoritou Ochrana dokument u heslem { citliv a/d uvern a elektronick a data a informace maj b yt zabezpeceny kdykoliv je to mozn e prstupov ymi pr avy aplikovan ymi na adres ar prslusn eho poctace { ojedinel e pouzit hesla pro zabezpecen individu alnho dokumentu je m ene ucinn e, heslo lze zapomenout nebo je po case odhaleno Tisk klasikovan ych dokument u { informace klasikovan a jako prsne tajn e nelze nikdy poslat na st'ovou tisk arnu pokud u n nen prtomn a autorizovan a osoba, kter a v ytisk odebere a tak zajist d uvernost behem a po tisku Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 42 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 43

12 Ostatn typy oblast manipulace s informacemi Pouzv an duality pri vstupu dat { o pouzit rozhoduje vlastnk IS, pokud se pouzije, bezpecn e procedury spr avy dat se prizp usob dualite Zav aden sporic u obrazovek { obecne zak azan a cinnost Vyuzv an externch likvidacnch rem { likvidace star ych m edi a materi al u; { rma mus prok azat vyhoven politice informacn bezpecnosti organizace a pokud je to mozn e sluzbu poskytovat na smluvnm z akladu, kde se specikuj ocek avan e v ykony a prpadn e uhrady skod Pouzv an koprek pro soukrom e ucely { zak azan a cinnost, v yjimku m uze vydat bezprostredn nadrzen y zamestnance nebo manazer Poskytov an informac m edim { informace t ykajc se organizace sm poskytovat m edim pouze autorizovan a osoba Poskytov an informac z akaznk um { informace t ykajc se z akaznk u organizace nebo jin ych lid, kter jsou v kontaktu s organizac, jsou trvale udrzovan e jako tajn e { informace se mohou uvol novat pouze autorizovan ym a zkusen ym osob am Potreba dublov an rzen a segregace povinnost { obe techniky se pouzvaj pro vylepsov an spr avy procedur kdykoliv riziko a dopad relevantnho incidentu by pravdepodobne vedlo k nancn nebo jin e materi alov e skode organizace Politika cist eho (pr azdn eho) pracovnho stolu { povinn a politika Pracovn cesty Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 44 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) N akup a udrzov an komercnho software 5. N akup a udrzov an komercnho software N akup a instalace Specikace pozadavk u u6ivatele { vesker e pozadavky na nov e aplikacn syst emy nebo na jejich inovaci se mus predlozit vyssmu managementu jako obchodn prpad dolozen y odpovdajc dokumentac V yberov e rzen { organizace se mus vyvarovat v yberu software kritick eho pro plnen cinnost organizace, kter y podle mnen managementu nebyl adekv atne proveren y jeho dosavadnmi osvojiteli { v yberov e rzen mus denovat v yberov a krit eria schv alen a vyssm managementem V yber kancel arsk ych softwarov ych balk u { balk mus b yt kompatibiln s preferovan ymi a schv alen ymi platformami a OS pouzvan ymi organizac Pouzv an licencovan eho software { aby se vyhovelo legislative a aby se zarucila trval a podpora prodejcem software, mus se prsne dodrzovat vsechny z avazky a podmnky plynouc z licence udelen e koncov emu uzivateli Implementace nov eho/inovovan eho software { implementace mus b yt peclive napl anovan a a administrovan a tak, aby se zarucilo, ze se n ar ust rizik informacn bezpecnosti souvisejc s takov ym projektem snzil pomoc pouzit kombinace procedur alnch a technick ych opatren Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 46 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 47

13 5. N akup a udrzov an komercnho software 5. N akup a udrzov an komercnho software Udrzba a inovace Aplikov an z aplat { z aplaty resc softwarov e chyby mohou aplikov any pouze tam, kde je overen a nutnost aplikace a po autorizaci managementem { z aplaty mus poch azet z d uveryhodn eho zdroje a pred pouzitm mus b yt otestovan e Inovace software { pred jejich pouzitm v ostr em prostred mus b yt d ukladne otestovan e kvalikovanou osobou Reakce na doporucen inovac prodejcem software { rozhodnut zda akceptovat inovaci se del a pouze po zv azen souvisejcch rizik, ocek avan ych prnos u a nutnosti takov e zmeny Interfacing aplikac { v yvoj rozhran aplikacnch syst em u je vysoce technick y ukol a del a se podle pl anu a pod rzenm d ukladne kvalikovan ych osob Podpora aplikacnho software { vesker y aplikacn software mus b yt provozovan y s adekv atn urovn technick e podpory zajist'ujc, ze cinnosti organizace nebudou narusen e (softwarov e probl emy mus b yt zvl adan e ucinne a v akceptovateln em case) Politika inovac OS { nutn e inovace OS poctac u organizace mus identikovat souvisejc rizika a probhat podle pl anu a se zahrnutm procedur umoz nujcmi n avrat pred inovaci, mus probhat jako standardn projekt Podpora OS { OS mus b yt pravidelne monitorovan y a mus se dodrzovat vsechny udrzbov e procedury Zaznamen av an a informov an a v ypadcch software { z aznamy o v ypadcch software mus b yt form alne zaznamen avan e a sdelovan e tem, kdo jsou odpovedni za udrzbu a podporu software Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 48 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) N akup a udrzov an komercnho software 6. Zabezpecov an hardware, perif eri a pod. Likvidace software prov ad se pouze tehdy, kdyz se predem odsouhlas, ze syst em nen d ale pozadovan y a ze souvisejc soubory dat prpadne archivovan e nebude potreba v budoucnu obnovovat N akup a instalace Specikace pozadavk u na nov y HW z hlediska bezpecnosti inormac { n akupy nov ych hardwarov ych syst em u nebo nov ych komponent do existujcch syst em u mus vyhovovat politice informacn bezpecnosti a dalsm politik am organizace a technick ym standard um { pozadavky mus b yt dokumentovan e a mus se posuzovat z dlouhodob eho pohledu potreb cinnost organizace Specikace funkcnch pozadavk u na nov y HW { az na drobn e n akupy se hardware mus nakupovat pomoc strukturovan eho evaluacnho procesu, ve kter em se mus vypracovat dokument se z amerem n akupu a v nem se mus identikovat rysy a pozadavky informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 50 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 51

14 6. Zabezpecov an hardware, perif eri a pod. 6. Zabezpecov an hardware, perif eri a pod. Instalace nov eho HW { mus b yt predpisove pl anovan a a strany, kter ych se instalace t yk a mus b yt sezn amen e s realizac instalace predem soucasne se sdelenm pozadavk u z hlediska informacn bezpecnosti po nov e instalaci Testov an syst em u a zarzen { pred zarazenm do ziv eho-ostr eho syst emu mus b yt vsechna zarzen plne a vycerp avajcne testov any a uzivateli form alne prevzaty Kabel az, UPS, tisk arny, modemy Zajisten trvalosti dod avky energie kritick ym zarzenm { pro zajisten kontinuity sluzeb behem v ypadk u energie lze instalovat UPS (Uninterruptible Power Supply) Spr ava a udrzov an z aloznch gener ator u energie { pro zajisten kontinuity sluzeb behem v ypadk u energie lze instalovat n ahradn a z alozn gener atory Pouzv an fax u a modem u { citliv e a d uvern e informace se mohou faxovat pouze v prpade, ze nen k dispozici bezpecnejs metoda komunikace { vlastnk informace i zam yslen y prjemce mus prenos autorizovat predem Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 52 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) Zabezpecov an hardware, perif eri a pod. 6. Zabezpecov an hardware, perif eri a pod. Pouzv an modem u, spojen ISDN a DSL { citliv e a d uvern e informace se mohou pren aset verejn ymi komunikacnmi spoji pouze v prpade, ze nen k dispozici bezpecnejs metoda komunikace { vlastnk informace i zam yslen y prjemce mus prenos autorizovat predem Pouzv an centralizovan ych, st'ov ych nebo samostatn ych tisk aren { informace klasikovan a jako prsne tajn a m uze b yt zaslan a na st'ovou tisk arnu pouze za prtomnosti autorizovan e osoby, aby se zajistila d uvernost behem a po prenosu Instalace a udrzba st'ov e kabel aze { st'ovou kabel az mus instalovat a udrzovat pouze kvalikovan inzen yri, kter zajist integritu jak kabel aze tak i z asuvek ve sten ach { nepouzvan e z asuvky mus b yt zaslepen e a toto mus b yt form alne zaznamen ano Spotrebn materi al Rzen spotreby { spotrebn materi al mus b yt nakupovan y podle odsouhlasen ych procedur n akupu organizace, mus b yt sledovan y, aby zabr anilo kr adezm a nevhodn emu pouzit Pouzv an prenositeln ych m edi vc. disket, CD,... { prenositeln a m edia pro prenos dat z / do ste organizace mohou pouzvat pouze osoby autorizovan e pro instalov an a modikaci software { ostatn osoby si mus vyz adat zvl astn autorizaci Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 54 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 55

15 6. Zabezpecov an hardware, perif eri a pod. Pr ace z domu nebo outsourcovan e zpracov an Kontrakty nebo pouzv an outsourcovan eho zpracov an { osoby odpovedn e za uv aden do provozu outsourcovan eho zpracov an na poctacch mus zajistit, ze sluzby poskytuj renomovan e spolecnosti s provozem spl nujcm standardy kvality odpovdajc pozadavk um organizace vyjmenovan e ve smlouve o outsourcingu Vyd av an notebook u, PDA,... jednotlivc um { stredn management mus autorizovat pouzv an prenosn ych poctac u { pouzit je omezeno na ucely cinnosti organizace a uzivatel e mus zn at a akceptovat podmnky jejich pouzv an, zvl aste pak odpovednost za bezpecnost informac uchov avan ych v takov em zarzen Politika pouzv an notebook u, PDA,... { osoby, kter ym byl vyd an prenosn y poctac a kter e jezd na sluzebn cesty si mus b yt vedomi bezpecnostnch probl em u souvisejcch s prenosn ymi zarzenmi a mus implementovat vhodn a opatren minimalizujc rizika 6. Zabezpecov an hardware, perif eri a pod. Pr ace z domova, resp. jin eho externho prostred (tele-working) { pouzv an poctac u mimo prostory organizace mus b yt autorizovan e strednm managementem { pouzit je omezen e na ucely cinnosti organizace a uzivatel e mus zn at a akceptovat podmnky jejich pouzv an, zvl aste pak odpovednost za bezpecnost informac uchov avan ych v takov em zarzen a prijmout adekv atn a odpovdajc opatren Premst'ov an hardware { premsten hardware po lokalite organizace podl eh a prsn emu rzen autorizovan ymi osobami Pouzv an mobil u { osoby, kter ym organizace vyd a mobil, jsou odpovedn e za jeho pouzv an zp usobem odpovdajcm urovni d uvernosti diskutovan ych probl em u a z alezitost Bezn e, kazdodenn pouzv an notebook u { notebooky mohou pouzvat pouze autorizovan zamestnanci a pouze pro ucely, pro kter e jim byly vyd any { informace uchov avan e v nich mus b yt trvale vhodne chr anen a Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 56 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) Zabezpecov an hardware, perif eri a pod. Bezpecn e fyzick e uchov av an/skladov an Pouzv an zamykateln ych skrn { pro citliv y nebo hodnotn y materi al a zarzen, kter a se mus uchov avat/skladovat bezpecne a podle klasikacnho statutu informac, kter e jsou na nich obsazeny Pouzv an zamykateln ych registracek { pro paprov e dokumenty a drobn e predmety, kter e se mus uchov avat/skladovat bezpecne a podle klasikacnho statutu Pouzv an ohnivzdorn ych registracek { pro paprov e dokumenty a drobn e predmety, kter e se mus uchov avat/skladovat bezpecne a podle klasikacnho statutu s ochranou proti znicen ohnem Pouzv an trezor u { pro citliv y a d uvern y materi al organizace, kter y se mus uchov avat/skladovat bezpecne a podle klasikacnho statutu 6. Zabezpecov an hardware, perif eri a pod. Dokumentace hardware Spr ava a pouzv an dokumentace hardware { dokumentace HW mus b yt udrzovan e jako aktu aln a pohotove dostupn a t ymu, kter y je autorizovan y pro udrzbu syst emu Udrzov an soupisu (registru) hardware { trvale, s pr ubeznou aktualizac Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 58 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 59

16 6. Zabezpecov an hardware, perif eri a pod. Ostatn probl emy souvisejc s hardware Likvidace zastaral ych, d ale nepotrebn ych zarzen { zarzen vlastnen e organizac m uze b yt likvidov ano pouze autorizovan ymi osobami, kter e zajist eliminaci relevantnch bezpecnostnch rizik Z aznamy a zpr avu o v ypadcch hardware { z aznamy o v ypadcch hardware jsou delan e bez zbytecn eho prodlen a jsou uchov av any v prslusn e b azi dat o v ypadcch HW Pojist'ov an hardware { vsechna v ypocetn zarzen a dals souvisejc HW organizace mus b yt vhodne chr anen y proti kr adezm, znicen ci ztr ate pojistenm Pojist'ov an notebook u pouzvan ych doma a na cest ach { prenosn a v ypocetn zarzen mus chr anen y proti kr adezm, znicen ci ztr ate pojistenm platn ym v tuzemsku a prp. i v zahranic 6. Zabezpecov an hardware, perif eri a pod. Politika pr azdn e obrazovky { v dobe kdy se poctace nepouzvaj, jejich obrazovky mus b yt pr azdn e Prihlasov an/odhlasov an se k/z poctac um { mus se dodrzovat schv alen e prihlasovac procedury a uzivatel e zanech avajc sv e poctace bez dozoru, mus nejprve odhl asit Zach azen s odpovdacmi stroji / hlasov a posta { do odpovdacch stroj u a do hlasov e posty se nesm zaznamen avat citliv e nebo d uvern e informace Odn asen zarzen mimo are al organizace { mohou tak cinit pouze autorizovan e osoby, kter e jsou pak trvale odpovedn e za jejich bezpecnost Udrzba hardware, na mste, v externm prostred { vsechna zarzen vlastnen a, pronajat a, licencovan a,... mus mt vhodnou podporu udrzby od kvalikovan ych inzen yr u Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 60 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) Zabezpecov an hardware, perif eri a pod. 7. Ochrana pred kyber-kriminalitou Cisten obrazovek a kl avesnic { pro cisten zarzen vlastnen ych organizac lze pouzvat pouze schv alen ych cistcch prostredk u Poskozen zarzen { z amern e nebo n ahodn e poskozen veci vlastnen e organizac se mus ozn amit jmenovan emu bezpecnostnmu urednku bezprostredne po zjisten skody Ochrana pred umysln ymi vnejsmi utoky { bezpecnost ste mus b yt udrzovan a na nejvyss urovni { osoby odpovedn e za st'ov e a vnejs komunikace mus b yt proskolen e ve spr ave rizik a v budov an bezpecn ych syst em u minimalizujcch hrozby plynouc z kyber-kriminality Minimalizace dopad u kyber- utok u { mus b yt vypracov any, udrzov any a pravidelne testov any pl any zarucujc minimalizaci dopad u mozn ych vnejsch kyber- utok u a co nejrychlejs spusten obnovy Shromazd'ov an d ukaz u pro trestn rzen { protoze pachatel e kyber-krimin alnch cin u budou soudne sthan v pln em rozsahu pr ava, mus se vyvinout vhodn e procedury pro shromazd'ov an a ochranu d ukaz u Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 62 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 63

17 7. Ochrana pred kyber-kriminalitou 7. Ochrana pred kyber-kriminalitou Ochrana pred umysln ymi vnitrnmi utoky { aby se zamezilo v yskyt um a moznostem vnitrnch umysln ych utok u mus b yt standardy rzen prstupu a standardy klasikace dat behem sv eho pouzv an prehodnocovan e periodicky Ochrana pred zlomysln ymi utoky na moznost poskytov an sluzby { ochrana pred DOS, Denial of Services se dosahuje vypracov anm pl anu zajisten kontinuity cinnosti organizace a periodick ym testov anm jeho adekv atnosti Ochrana pred hackery, techno-vandalismem,... { je nutn e pestovat v ychovou t ymu z hlediska bezpecnostnho vedom a k bdelosti pouzvat odpovdajc ochrann e syst emy a zarzen Reakce na falesn a varov an pred viry { pozadavek na implementaci procedur varujcch pred zpr avami o falesn ych virech zabra nujcch neadekv atnm reakcm Antivirov a ochrana { pozadavek absolutn, bezv yjimkov e implementace antivirov e ochrany na vsech poctacch organizace Reakce na zavirov an { pozadavek v yvoj, testov an, pouzv an a pravideln e testov an a prehodnocov an procedur reagujcch na virov e incidenty Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 64 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) bezpecnost informac e-byznysu 9. V yvoj a udrzba vlastnho software Strukturov an syst em u e-byznysu vc. www str anek { syst emy resc e-obchod vc. www jejich str anky mus b yt navrhovan e tak, ze ochrane proti skodliv ym utok um je d ana nejvyss priorita Zabezpecov an st e-byznysu { syst emy resc e-obchod vc. www jejich str anky mus b yt zabezpecovan e kombinac technologi chr ancch proti vniknut a testujcch vniknut robustnmi procedurami pouzvajcmi dualitu rzen vsude tam kde se pozaduje manu aln interakce rzen Kongurov an www str anek e-byznysu { aby se minimalizovalo riziko pr uniku a odchyt av an dat na sti mus konguraci peclive delat specialist e, technici { www str anky mus b yt zabezpecen e proti neautorizovan emu prstupu kombinac robustnho rzen prstupu a sifrov an Pouzv an externch poskytovatel u sluzeb pro e-byznys { pokud se do syst em u e-obchodu a do dodavatelsk ych kan al u organizace zahrnou i tret strany, mus tyto tret strany mt stejnou odolnost a dosahovat bezpecnostn cle organizace Rzen procesu programov an Udrzov an knihoven bin arnch program u { do knihoven bin arnch program u sm pristupovat jen jmenovan y t ym { dopl nky se mohou delat pouze pomoc technik rzen prstupu a robustnch procedur provozovan ych principem duality rzen Udrzov an knihoven zdrojov ych program u { do knihoven zdroj. program u sm pristupovat jen jmenovan y t ym { dopl nky se mohou delat pouze pomoc technik rzen prstupu a robustnch procedur provozovan ych principem duality rzen Administrace k odu program u behem v yvoje software { vsechny zmeny v syst emech se mus prov adet pomoc standardnch procedur zmenov eho rzen { vsechny zmeny pred zavedenm do ziv ych syst em u mus b yt dostatecne autorizovan e a testovan e Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 66 Jan Staudek, FI MU Brno PV017 { Prklad politiky informacn bezpecnosti pro ISMS (ISO 27001) 67