ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Transkript

1 ISO/IEC 27002:2013 Katalog opatren, ISO/IEC Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Information Security Management Information technology Security techniques Code of practice for information security management Informacn technologie { Bezpecnostn techniky { Soubor postup u pro rzen informacn bezpecnosti Struktura standardu Standard obsahuje celkem 11 z akladnch oddl u, kter e jsou d ale rozdeleny do 39 kategori bezpecnosti V kazd e kategorii bezpecnosti se specikuje alespo n jedno opatren Mimo to jsou ve standardu uvedeny z akladn informace o procesech hodnocen a zvl ad an rizik. Oddly jsou cslovan e poradm kapitol standardu obsahujcch jejich popis (5 { 15) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC ISO/IEC 27002:2013, Oddly kategori bezpecnosti Kazd y z oddl u obsahuje jednu nebo vce kategori bezpecnosti 5) Bezpecnostn politika 6) Organizace bezpecnosti { intern organizace, extern subjekty 7) Klasikace a rzen aktiv { odpovednosti za aktiva, klasikace 8) Bezpecnost lidsk ych zdroj u { prijet do, pr ubeh, ukoncen vztahu 9) Fyzick a bezpecnost a bezpecnost prostred 10) Rzen komunikac a rzen provozu { vybran y ilustracn prklad 11) Rzen prstupu { vybran y ilustracn prklad 12) N akup, v yvoj a udrzba informacnho syst emu 13) Zvl ad an bezpecnostnch incident u 14) Rzen kontinuity cinnost organizace 15) Soulad s pozadavky { pr ava, politik, smluv,..., audit ISO/IEC 27002:2013, Popis kategori bezpecnosti Popis kazd e z kategori bezpecnosti obsahuje: cl opatren, urcujc ceho m a b yt dosazeno; popis jednoho nebo vce opatren, kter a lze pouzt k dosazen stanoven eho cle opatren. Popis opatren je strukturov an n asledovn e: Opatren { Presn a formulace konkr etnho opatren, kter e vede k naplnen cle opatren. Doporucen k realizaci { Podrobnejs informace a doporucen na podporu implementace vybran ych opatren, kter a vedou k dosazen cle opatren. Dals informace { Dals informace, kter e m uze b yt potrebn e vzt do uvahy, ot azky legislativy, odkazy na dals relevantn normy a predpisy,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

2 10. Rzen komunikac a rzen provozu Kategorie opatren spadajc do oddlu 10: 10.1 Operational procedures and responsibilities Cl: To ensure the correct and secure operation of information processing facilities Third party service delivery management Cl: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements System planning and acceptance Cl: To minimize the risk of systems failures Protection against malicious and mobile code Cl: To protect the integrity of software and information. 10. Rzen komunikac a rzen provozu 10.5 Back-up Cl: To maintain the integrity and availability of information and information processing facilities Network security management Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure Media handling Cl: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities Exchange of information Cl: To maintain the security of information and software exchanged within an organization and with any external entity. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Rzen komunikac a rzen provozu Provozn procedury a odpov ednosti 10.9 Electronic commerce services Cl: To ensure the security of electronic commerce services, and their secure use Monitoring Cl: To detect unauthorized information processing activities. Cl { To ensure the correct and secure operation of information processing facilities. procedura pracovn postup Relevantn skupiny opatren v kategorii 10.1 v oddlu 10 Dokumentace provoznch procedur Zmenov e rzen Oddelen odpovednost Oddelen v yvoje, test u a provoz u Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

3 10.1. Dokumentace provoznch procedur Cl { Operating procedures shall be documented, maintained, and made available to all users who need them Provozn procedury mus vyhovovat pozadavk um syst emu spr avy dokument u organizace (principy viz ISO 9000) nutn e je schv alen relevantnm vedenm organizace Zverejn en provoznch procedur pro zamestnance { v intranetu pro partnersk e tret strany { v extranetu pozadavky: snadn a udrzba, pohotov a aktualizace Dokumentace provoznch procedur Nezbytn e provozn procedury pro ISMS identikuje bezpecnostn politika z aklad skladby provoznch procedur tvor ty procedury, kter e implementuj politiku informacn bezpecnosti z aklad lze doplnit detailnejsmi provoznmi procedurami vypracovan ymi na z aklade doporucen poradce pro ITSec a odpovedn ych provoznch pracovnk u pro typov e provozn oblasti nutn e je jejich schv alen relevantnm vedenm organizace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Oblasti pokr yvan e v ISMS provoznmi procedurami Zpracov an informac a nakl ad an s informacemi vc. pozadavk u na d uvernost a klasikaci informac Z alohov an (detaily viz 10.5) Pl anov an cinnost, (napr. z alohov an) vc. n avaznost na jin e syst emy vc. nejdrvejsch a nejzazsch mozn ych termn u proveden (napr. pr ave z alohov an) Chybov e rzen a rzen ve v yjimecn ych podmnk ach vc. instrukc pro omezen e pouzv an syst emu vc. n avod u pro nov e (a nezkusen e) zamestnance (1. reakce na incident) chybov e rzen a rzen ve v yjimecn ych podmnk ach je jinak predmetem cinnosti specialist u s dostatecn ymi zkusenostmi a dovednostmi Oblasti pokr yvan e v ISMS provoznmi procedurami Kontaktov an odpovdajc podp urn ych t ym u v prpad e neocek avan ych provoznch nebo technick ych obtz a dokumentov an t echto kontakt u Spr ava speci alnch v ystup u (tisk u) vc. reakc na selh an v ystup u speci alnch uloh Restart syst emu a postupy po v ypadku syst emu Vsechny hospod arsk e/udrzbov e cinnosti start a vypnut poctace udrzba zarzen vyuzv an poctacov eho s alu,... maj b yt viditelne vystaven e zamestnanci maj b yt skolen na jejich pouzv an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

4 10.1. Dokumentace provoznch procedur, pozn amky Zm enov e rzen Zbytecn e detailn procedury / rdce aplikovateln e procedury { jakoby by nebyly z adn e Pri outsourcov an IT sluzeb mus b yt provozn procedury vyz ad any v kontraktu Cl { Changes to information processing facilities and systems shall be controlled. Rzen zm en zarzen pro zpracov an informac, operacnch syst em u a aplikacnho software Form aln, dokumentovan e postupy pro vsechny zmeny techto aktiv Neadekv atn urove n zm enov eho rzen { v yrazn a zranitelnost zdroj zbytecn ych n aklad u Inovacn zm ena mus b yt vyvol ana adekv atnmi d uvody, mus existovat krit eria pro rozhodov an o inovaci a relevantn casov e pl any postupu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Zm enov e rzen procedura zm enov eho rzen OS a aplikacnch syst em u { typicky 1-str ankov y dokument pokr yvajc identikci v yznamu zmeny z pohledu cinnost organizace (prpadne doplnenou o posouzen prnosu zmeny) pl an testov an zmeny a prevzet zmeny uzivatelem posouzen mozn ych (bezpecnostnch,... ) dopad u, vc. dopad u na jin y aplikacn ci provozn software a hardware form aln odsouhlasen zmeny sdelen o zmene vsem relevantnm osob am postup pro zrusen zmeny a n avrat do p uvodnho stavu Kazd a zm ena v sti by m ela vyvolat prehodnocen hlavnch rizik pro bezpecnost informac a prpadne n asledn e zmeny v prohl asen o aplikovatelnosti Mus se opravit vsechny dokumenty z avisl e na menen em jevu Odd elen povinnost (oblast odpov ednosti) Cl { Duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization s assets. Odd elen rdicch a v ykonn ych povinnost snizuje moznosti proveden neopr avn en ych uprav / zneuzit informac / sluzeb. V mal ych organizacch obtzne dosaziteln e vzdy je nutn e implementovat separaci v co mozn a nejvetsm rozsahu Oddelen rzen, monitoringu a auditu je neobejiteln e, audit vzdy mus b yt nez avisl y Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

5 10.1. Odd elen povinnost (oblast odpov ednosti) Odd elen v yvojov ych, testovac a provoznch prostred Clem je odd elen iniciace ud alosti od povolen jejho v yskytu prevence sp ach an podvodu bez moznosti detekce v oblasti s jedinou odpov ednost, tj. odd elen cinnost, kter e { pro sp ach an podvodu vyzaduj uzavren tajn e dohody (napr. vystaven objedn avky x potvrzen zsk an zboz) pracuj s aktivy, kter e posouzen rizik oznacilo jako podvodne manipulovateln e a mus b yt do manipulace s nimi zahrnuty alespo n dva intern zamestnanci (snzen pravdepodobnosti konspirace s extern osobou) Cl { Development, test and operational facilities shall be separated to reduce the risks of unauthorised access or changes to the operational system. relevantn pozadavek pro organizace s vlastnm v yvojov ym strediskem prp. s v yvojem zajist'ovan ym outsourcingem Mus b yt dokumentovan a pravidla pro prenos software z v yvojov eho do testovacho a z testovacho do provoznho prostred Jednotliv a prostred maj b yt implementovan a na r uzn ych poctacch / v r uzn ych dom en ach Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Odd elen v yvojov ych, testovac a provoznch prostred Jednotliv a prostred maj pracovat s r uzn ymi daty v yvojov e prostred { umel a nebo scramblovan a ziv a data testovac prostred { vzorek ziv ych dat za podmnek shodn ych s provoznm prostredm s ziv ymi daty pouze v provoznm prostred Mus se pouzvat odlisn e autentizacn metody v jednotliv ych prostredch V yvoj nesm mt nikdy prstup do provoznho prostred Rzen dod avek sluzeb tretch stran Tret strana { jin a entita nez entita prmo zahrnut a do transakc, cinnost,..., organizace Firma x zákazníci x tret strana dod avajc sluzby rme Cl { To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements. Relevantn oblasti opatren Dod avky sluzeb Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Zmenov e rzen ve sluzb ach tretch stran Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

6 10.2. Dod avky sluzeb Cl { It shall be ensured that the security controls, service definitions and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party. Smlouva o dod avk ach s tret stranou mus identikovat vsechna bezpecnostn opatren, denice vsech sluzeb a formy jejich poskytov an Outsourcing m uze pozadovat zrzen rdicho t ymu a mechanism u pro sledov an v ykonnosti Mus se peclive a detailne pl anovat a dokumentovat pred an dat tret stran e vc. posouzen rizik jeste pred uzavrenm kontraktu Dod avky sluzeb Smlouva by m ela obsahovat dolozku o moznosti pozadovat nav ysen sly bezpecnostnch opatren Vzdy je nutno v enovat zvl astn pozornost probl em um typu citliv e nebo kritick e aplikace, kter e by mohly b yt l epe reseny in-house souhlas vlastnk u a dodavatel u softwaru s outsourcingem procesu dopady na pl any zachov an cinnosti bezpecnostn standardy, kter e budou z avazn e pro tret strany, a jak se m a soulad s nimi merit kter e cinnosti a individu aln odpovednosti je treba sledovat zvl ad an bezpecnostnch incident u a zabudov an smluvnch procedur do politik organizace D uraz na smluvn z avazky tret strany v oblasti bezpecnosti rzen prstupu, spr ava bezpecnosti podle dohodnut ych standard u,... D ukladn a dokumentace agendy, z apisy z porad, dodatecn e dohody,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Cl { The services, reports and records provided by the third party shall be regularly monitored and reviewed, and audits shall be carried out regularly. Za dod avky sluzeb mus b yt nekdo (role/oddelen) odpovedn y Mezi klcov e odpov ednosti patr sledov an v ykonu { zajist'ov an, aby se skutecne dosahovala smluvn urovne sluzeb, identikace nedostatk u, a dohadov an jak by nedostatky mely b yt opraveny. prezkoum av an vsech z aznam u o bezpecnostnch incidentech (vcetne auditnch zpr av), provoznch probl emech, poruch ach, z avad ach a o cemkoliv jin em, co m uze generovat riziko pro organizaci a zajisten, aby byla prijata prslusn a n apravn a opatren. To m uze v est k eskalaci smluvnch vztah u doplnenm smluvnch ustanoven o mozn em nav ysen plnen a manazersk y t ym odpovedn y za smlouvu by mel mt dovednosti a zkusenosti pro rzen eskalace. Z adn y prostor pro nejasnosti { vse mus b yt dokumentovan e Mus ex. moznost prezkoum avat u tret strany procesy zmenov eho rzen, z aznamen av an incident u a reakc na ne, identikace zranitelnost a uplat nov an opatren Odpov ednost za zpracov an dat m a objedn avajc strana, odpov ednost nelze smlouvou prev ezt na tret stranu m a-li organizace vyhovet datove orientovan e legislative, mus b yt adekv atn procesy a syst emy i u tret strany Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

7 10.2. Zm enov e rzen ve sluzb ach tretch stran Cl { Changes to the provision of services, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business systems and processes involved and re-assessment of risks. Spr ava zm enov eho rzen zajist'ovan eho u tret strany mus b yt r adne zakotveno ve smlouve o outsourcingu jedn a se o mezi-organizacn procesy musej b yt odsouhlaseny oboustranne Jedn a se o vsechny zmeny majc dopad na inf. bezpecnost mus se prov est posouzen rizik n asledovan e identikac a implementac relevantnch opatren Zm enu m uze iniciovat i tret strana (podle pravidel ve smlouv e) Pl anov an a prejm an syst em u Cl { To minimize the risk of systems failures. Relevantn oblasti opatren Spr ava kapacit Prejm an syst em u Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Spr ava kapacit Prejm an syst em u Cl { The use of resources shall be monitored, tuned, and projections made of future capacity requirements to ensure the required system performance. Organizace m a sledovat pozadavky na kapacity a progn ozovat jejich v yvoj souborov e / dom enov e servery, tisk arny, komunikacn spoje,... zv ysen aktivit si vyz ad a zvetsen t ymu, bude potreba vce osobnch poctac u,... n ar ust webov ych aktivit pri e-komerci Nedostatecn e kapacity jsou zdroje bezpecnostnch incident u typu DoS (Denial of Services) Cl { Acceptance criteria for new information systems, upgrades, and new versions shall be established and suitable tests of the system(s) carried out during development and prior to acceptance. Organizace m a stanovit prejmac krit eria pro nov e syst emy, vylepsen syst em u, pro jejich nov e verze pri prejm an mus probehnout relevantn testy Prejmac krit eria mus b yt strucn a, jasn a, (smluvn e) odsouhlasen a a dokumentovan a Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

8 10.3. Prejm an syst em u Prejm an nov e verze syst emu vyzaduje prov est kontroly spln en pozadavk u dan ych cinnost organizace na: na v ykony poctac u a kapacity revize / vytvoren nov ych program u pro obnovu po poruch ach a restart prepracov an a otestov an rutinnch provoznch procedur implementaci nov ych bezpecnostnch opatren po znovu proveden em posouzen rizik vypracov an nov ych manu al u a dokumentovan ych provoznch procedur inovaci pl anu zachov an kontinuity cinnosti organizace pod an d ukaz u, ze nov e syst emu nemaj neprzniv y vliv na bezc existujc syst emy pod an d ukaz u posouzenm rizik jak y m a dopad nov y syst em na celkovou bezpecnost organizace zaskolen uzivatel u na nov y syst em a posouzen dopadu na uplat novan e pracovn praktiky Prejm an syst em u M a se provozovat nov y syst em po jistou dobu soubezne s p uvodnm syst emem? Zvl astn pozornost je potreba v enovat prejmacm krit erim pro nov e komunikacn syst emy Posouzen rizik m uze vyz adat proveden test u, verikac a certikac nez avislou tret stranou Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Ochrana proti skodliv ym a mobilnm program um Cl { To protect the integrity of software and information. Relevantn oblasti opatren Opatren proti skodliv ym program um Malware is a term that denotes software designed for some malicious purpose. programy, kter e na poctaci bez bez vedom uzivatele a nejak ym zp usobem jej poskozuj, nebo zhorsuj jeho funkci { viry, cervi, Trojst kone,..., spyware Opatren proti mobilnm program um program that can execute on remote locations with any modification in the code. [It] can travel and execute from one machine to another on a network during its lifetime { software transferred between systems, e.g. transferred across a network or via a USB flash drive, and executed on a local system without explicit installation or execution by the recipient ActiveX, Java, JavaScript, VBScript, MS Word macros, PostScript, Opatren proti skodliv ym program um Cl { Detection, prevention, and recovery controls to protect against malicious code and appropriate user awareness procedures shall be implemented. ISMS m a obsahovat politiku a procedury pozadujc vyhoven softwarov ym licencm a zakazujc pouzvat neutorizovan y software ISMS m a obsahovat politiku a procedury chr anc organizaci proti importu skodliv eho software { z akaz prm eho prstupu uzivateli na extern disky, CD-ROM, USB pameti apod. Data z nich m uze zav adet pouze IT t ym po kontrole. V sti organizace m a b yt instalovan y aktualizovan y,,anti-malware software" Bez prodlen instalovat opravy (z aplaty) zverejnen e v yrobcem licencovan eho software a o vsech instalac z aplat v est auditn z aznamy (kdy, kdo, co instaloval) Pravidelne prezkoum avat software a data na vsech poctacch organizace a odhalovat a odstra novat neautorizovan e programy / data Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

9 10.4. Opatren proti skodliv ym program um Opatren proti mobilnm program um Vsechny soubory z externch zdroj u kontrolovat na v yskyt skodliv eho software Vsechny prlohy u kontrolovat na rewallu na v yskyt skodliv eho software Zamestnance proskolovat v rozpozn av an potenci alne napaden ych u skodliv ym software Ustanoven odpovednosti za beh ochran proti skodliv emu software, detekce incident u a odtra nov an d usledk u cinnosti skodliv eho software se m a resit dokumentovan ymi procedurami M a existovat BCP pro obnovu po utoku skodliv ym software Bezpecnostn manazeri maj mt prstup ke vhodn ym a d uveryhodn ym zdroj um aktu alnch informac o skodliv em software Maj b yt instalov any opatren proti spyware Zamestnanci maj b yt skolen jak z achazet s webovsk ymi uzly napadnut ymi skodliv ym software Cl { Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to clearly defined security policy, and unauthorized mobile code shall be prevented from executing. trivi aln resen { politikou zak azat instalaci a na rewallu blokovat software obsahujc mobiln k od blokov an lze omezit na vybran e podezrel e uzly Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Z alohov an 10.5.Z alohov an informac Cl: To maintain the integrity and availability of information and information processing facilities. Relevantn oblasti opatren Z alohov an informac Cl { Back-up copies of information and software shall be taken and tested regularly in accordance with the agreed backup policy. Ide al { vsechny informace organizace uchov avat na serverech organizace a servery pravidelne (automaticky) z alohovat Povinnost z alohovat data z prenosn ych zarzench na serverech organizace m a b yt souc ast inici alnho bezpecnostnho skolen zamestnance politika z alohov an mus pokr yvat vsechna potenci aln msta obsahujc citliv a data organizace z alohovat je potreba data origin alne uchov avan a nejen v elektronick e, ale i v paprov e forme mus se urcit metody a frekvence z alohov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

10 10.5.Z alohov an informac 10.5.Z alohov an informac z alohovan e informace spolecne s upln ymi a presn ymi z aznamy o tom co je z alohov ano a dokumentace procedur obnovy se m a uchov avat ve vzd alen e lokalite z aloh an lze resit kontraktem s tret stranou z alohovac cyklus m a implementovat 3-generacn postup aplikovan y na mescn, t ydenn a denn z alohy: { syn: kazd y den v t ydnu samostatne, prepis kazd y t yden { otec: kazd y t yden v mesc, prepis kazd y mesc { dedecek: kazd y mesc v roce, prepis kazd y rok na z alohy se mus aplikovat stejn a bezpecnostn opatren jako na origin aln data, prpadne je navc utajovat sifrov anm z alohovac m edia je potreba pravidelne testovat na zpracovatelnost pravidelne se maj testovat vsechny obnovovac procedury dokumentovan e v ISMS a v ysledky test u se maj uchov avat v dokumentaci BCP z alohov an m a b yt predmetem pravideln eho prezkoum av an managementem Kritick e aplikace maj b yt provozovan e na serverech implementovan ych na technologii RAID (ide alne RAID 5) m a b yt stanovena doba uchov av an z aloh podle omezen dan ych pozadavkem vyhoven legislative, smluvnm z avazk u a byznys modelu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC St'ov a bezpecnost St'ov a opatren Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure. Relevantn oblasti opatren St'ov a opatren { Internet acceptable use policy, AUP Bezpecnost st'ov ych sluzeb Cl { Networks shall be adequately managed and controlled, in order to be protected from threats, and to maintain security for the systems and applications using the network, including information in transit. odpovednost za provoz ste resit oddelene od administrace poctac u { viz Oddelen/Oddelen povinnost jednoznacne denovat odpovednosti a procedury spr avy vzd alen ych zarzen vc. oblast vzd alen ych uzivatel u speci aln opatren se mus prijato pro ochranu dat pren asen ych bezdr atov ymi a verejn ymi stemi v cel e sti mus b yt mus b yt konzistentne aplikovan a opatren denovan v ISMS mus b yt dokumentovan a architektura cel e ste vc. detail u konguracnch nastaven a specikace vsech softwarov ych a hardwarov ych komponent Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

11 10.6. Internet acceptable use policy, AUP Internet acceptable use policy, AUP Mus b yt v psemn e forme Mus b yt srozumitelne sdelena vsem zamestnanc um Nastavuje povolen e pouzv an jak Internetu, tak i u, m a kombinovat prohl asen o pouzv an Internetu a vyuzv an u Specilkuje, kter e pouzv an Internetu je zak azano { napr. stahov an neprstojn ych dokument u, pornograe a nez akonn ych materi al u Ud av a z ak azan e on-line oblasti { napr. pornograck e / rasistick e servery Nastavuje pravidla zachov an soukrom ve vztahu k ostatnm uzivatel um pri respektov an pr ava zam estnavatele sledovat aktivity zam estnanc u Sd eluje co jsou pravd epodobn e disciplin arn d usledky porusen pravidel AUP Sd eluje, co se monitoruje Denuje prijateln e on-line chov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Internet acceptable use policy, AUP Internet acceptable use policy, AUP Uvod AUP tvor souhrnn e prohl asen Melo by zact s pripomenutm hrozeb Internetu a rci, ze organizace nebude odpovedn a za jak ekoli stazen e ci prohlzen e materi aly. D ale se m a sdelit, ze pouzv an Internetu mus b yt v souladu se standardy plnen cinnost organizace a je souc ast pracovnch povinnost zamestnance. Jak ekoli porusen AUP m uze v est k disciplin arnmu rzen a prp. i k ukoncen zamestn an. Nez akonn e cinnosti mohou b yt ozn ameny prslusn ym org an um. Generick e body obsahu AUP Uzivatelsk e ID organizace, weby a ov e ucty lze pouzvat pouze pro komunikaci schv alenou organizac Pouzit internetu/intranetu/ u/konverzacnch syst em u m uze b yt predmetem sledov an a uzivatel e mohou b yt pri pouzv an techto zdroj u omezov ani. Distribuce informac prostrednictvm Internetu (vcetne u a jin ych poctaci podporovan ych syst em u) m uze b yt organizac kontrolov ana a organizace si rezervuje pr avo stanovit vhodnosti informace. Pouzv an poctacov ych prostredk u organizace podl eh a pr avu a zneuzit bude adekv atne potrest ano. Uzivatel e nesm navstevovat internetov e str anky, kter e obsahuj vulg arn, nen avistn e nebo nez adouc materi aly a nesm obch azet opatren omezujc prohlzen a na Internet nesm ucinit nebo vystavit neslusn e pozn amky, n avrhy nebo materi aly. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

12 10.6. Internet acceptable use policy, AUP Internet acceptable use policy, AUP Uzivatel e nesm rozeslat y, kter e nesouvis s cinnost organizace nebo pro sv uj osobn prospech, nesm odeslat nebo prijmat jak ykoli obsc enn ci hanliv y materi al nebo materi al urcen y k obtezov an nebo k zastrasov an jin e osoby a nesm predkl adat sv e osobn n azory jako n azory organizace. Uzivatel e nesm ukl adat, stahovat nebo jinak pren aset komercn software a/nebo autorsky chr anen y materi al, patrc organizaci nebo kter ekoliv jin e tret strane Uzivatel nesm ani odhalit ani zverejnit d uvern e informace (uvede se klasikacn urove n) a nesm odeslat d uvern e e-maiy bez zasifrov an na urovni vyzadovan e politikou ISMS. Uzivatel e se nesm pokouset obch azet politiku prevence uplatnen skodliv eho software a mus zachov avat vsechny odpovdajc politiky organizace, Uzivatel z amerne nezasahuje do norm aln cinnosti ste a ani necin z adn e kroky, kter e by ostatnm br anily ve vyuzv an ste a nesm bez explicitnho povolen zkoumat, menit nebo pouzvat soubory jin ych osob nebo jak ekoli jin e informacn aktivum Uzivatel e nesm vykon avat jak ekoliv jin e nevhodn e aktivity, kter e v jist ych casov ych intervalech oznacuje organizace, a nesm mrhat casem neo i jin ymi zdroji na cinnosti nesouvisejc s cinnostmi organizace. Mysl se tm stahov an ze server u soci alnch st, servery, objemy dat n arocn e na srku p asma, jako jsou naprklad videa a hudebn soubory MP3, sdlen digit alnch fotogra atd. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Bezpecnost st'ov ych sluzeb Cl { Security features, service levels, and management requirements of all network services shall be identified and included in any network services agreement, whether these services are provided in-house or outsourced. St'ov e sluzby m uze poskytovat organizace intern e nebo outsourcingem Prklady { application service providers (ASP), Internet service providers (ISPs), serverov e farmy, sluzby poskytujc dedikovan e informace, Bezpecnost st'ov ych sluzeb Je nutn e identikovat a dokumentovat bezpecnostn charakteristiky st'ov ych sluzeb bezpecnostn technologie (sifrov an, autentizace, typ sit'ov eho spojen,... ) technick e parametry pro bezpecn e spojen s poskytovatelem sluzby procedury pro omezen prstupu ke sluzb am, existuj-li opatren vztahujc se k udaj um uchopv avan ym v syst emu (napr. osobn data) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

13 10.7. Spr ava m edi Spr ava v ymenn ych m edi Cl: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities. Relevantn oblasti opatren Spr ava v ymenn ych m edi Skladov ani m edi Procedury pro manipulac s informacemi Bezpecnost syst emov e dokumentace Cl { There shall be procedures in place for the management of removable media. p asky, disky, kazety, tisten e zpr avy ochrana pred znicenm, kr adez, neautorizovan ym prstupem manipulaci s USB pametmi apod. mus denovat bezpecnostn politika m edium odstra novan e z organizace mus b yt vymaz ano, plne, ne pouze co je videt v adres ari vyn asen m edia mimo budovu m a b yt explicitne povolov ano a dokumentov ano, pravideln e vyn asen (z alohy) m a rdit procedura skladov an m edi mus vyhovovat pravidl um stanoven ych v yrobcem je nutno respektovat dobu zivotnosti stanovenou v yrobcem Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Skladov ani m edi Procedury pro manipulac s informacemi Cl { Media shall be disposed of securely and safely when no longer required, using formal procedures. ISMS mus obsahovat procedury zajist'ujc bezpecn e skladov an m edi obsahujcch listinn e dokumenty hlasov e a videoz aznamy kopr aky v ystupn zpr avy tisk arensk e p asky USB pameti CD ROM listingy program u, testovac data, dokumentace syst emu,... nutn e jsou procedury skartace a likvidace Cl { Procedures for the handling and storage of information shall be established to protect this information from unauthorized disclosure or misuse. procedury mus pokr yvat prevoz m edi rzen prstupu urcen autorizovan eho prjemce dat na b azi klasikace dat zajisten kompletnosti vstupnch dat, zpracov an, validace v ystup u zach azen s m ediu podle specikace v yrobcem distribuci dat vyhovujc klasikacnm sch emat um pravideln e prezkoum av avn distribucnch a autorizacnch seznam u zda obsahuj aktu aln cle Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

14 10.7. Bezpecnost syst emov e dokumentace V ym ena informac Cl { System documentation shall be protected against unauthorized access. ochrana pred neautorizovan ym prstupem nejde o verejne dostupn e manu aly,... jde o vnitrn dokumentaci organizace popisujc syst emy, procesy, struktury dat, autorizacn procesy,... Cl: To maintain the security of information and software exchanged within an organization and with any external entity. Relevantn oblasti opatren Politiky a procedury pri v ymene informac Dohody o v ymene informac a program u Fyzick a m edia pri preprave Elektronick e zasl an zpr av Aplikacn informacn syst emy organizace t emer zcela nahradil d alnopis a zjevne brzo nahrad fax a tradicn postu. se od bezn e posty odlisuje { m a vysokou rychlost, jinou strukturu zpr av, nzkou form alnost, vykazuje moznost chybn eho dorucen, koprov an, snadn eho zachycen a moznost prenosu prloh. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Politiky a procedury pri v ym en e informac Cl { Formal exchange policies, procedures, and controls shall be in place to protect the exchange of information through the use of all types of communication facilities. V ym ena informac formami komunikacn linky, , hlas, fax, video,... Opatren mus zajist'ovat ochranu proti neautorizovan emu zachycov an, koprov an, modikov an, presmerov av an, rusen,... informac Pouzit e mechanismy Vodoznaky, sifrov an,... pro zajisten d uvernosti, integrity, autenticity,... Nutnost respektovat klasikacn sch ema, legislativn omezen, Politiky a procedury pri v ym en e informac Mus se prijmout politika ochrany proti skodliv emu software a mus se implementovat relevantn opatren Citliv e dokumenty se nesm tisknout / ponech avat ve verejn e dostupn ych tisk arn ach / faxech, mus b yt zaslan e na dedikovan a zarzen Je potreba srozumiteln e identikovat hrozbu komunikace v bezdr atov em prostred a do prohl asen o aplikovatelnosti d at adekv atn politiku a opatren Pouzit telefon u a mobil u z mst, kter a nejsou bezpecn a, nesm vyzradit d uv ernou informaci (verejn e prostory, kancel are s tenk ymi stenami, are al konkurenta, preplnen y vlak... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

15 10.8. Politiky a procedury pri v ym en e informac Nepouzvat pro d uv ernou v ym enu informac zarzen, kter a lze snadno kompromitovat (telefon v are alu konkurenta) nebo jsou automaticky nahr avan a (banky,... ) D uvernou informaci nesdelovat do hlasov e schr anky nebo pomoc SMS lze snadno chybn e nasm erovat, pred odesl anm se mus pecliv e ov erit vsichni adres ati D uv ern e informace se nesm poslat faxem Dohody o v ymene informac a program u Cl { Agreements shall be established for the exchange of information and software betweenthe organization and external parties. Smlouva mus specikovat bezpecnostn podmnky v ym en dan e sch ematem klasikace informac Zaveden v ym en m uze si vyz adat proveden ohodnocen rizik Mus se identikovat na obou stran ach kdo je odpovedn y za rzen, oznamov an, zahajov an a prijm an v ym en Mus se denovat procedury sd elujc druh e stran e odesl an / prijet citliv e informace a opatren zajist'ujc sledovatelnost a nepopiratelnost Mus se urcit technick e standardy pro balen a prenos informac Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Dohody o v ymene informac a program u Mus se urcit kur yrn identikacn procedury Mus se urcit odpov ednosti a rucen za ztr atu informac nebo bezpecnostn incidenty Mus se dohodnout syst em oznacov an, kter y zajist, ze se bezprostredn e zjist a poskytnou odpovdajc ochrany. Mel by b yt shodn y se syst emem pouzvan ym v organizaci intern e. Mus urcit odpov ednost za vlastnictv informac a software, ochrany dat, autorsk a pr ava apod. Maj se urcit technick e standardy pro z apis / cten informac Mus se denovat specick a opatren (napr. kryptograck a), kter a mohou b yt potrebn a pro konkr etn citliv e informace Fyzick a m edia pri preprave Cl { Media containing information shall be protected against unauthorized access, misuse or corruption during transportation beyond an organization s physical boundaries. Nejcast eji se prepravuj CD-ROMy a p asky Posta a obcasn a kur yrn sluzba nejsou bezpecn e prepravn syst emy Je nutn e prijmout opatren typu sifrov an, pokud m edium obsahuje citliv e / osobn data udrzovat seznam spolehliv ych, d uveryhodn ych kur yrnch sluzeb, prpadne pouzvat smluvne v azanou kur yrn sluzbu jako sluzbu poskytovanou tret stranou Balen hardware mus respektovat pozadavky jeho v yrobce Prpadne pouzvat fyzick a opatren (zamykateln e kontejnery,... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

16 10.8. Elektronick e zasl an zpr av Cl { Information involved in electronic messaging shall be appropriately protected. Politika bezpecn eho pouzv an u Generick a rizika u zranitelnost neautorizovan ym prstupem, neautorizovanou modikac a utoky typu DoS zranitelnost nespr avn ym adresov anm, chybn ym smerov anm a nespolehlivost Internetu legislativn probl emy { nejsou dostupn e d ukazy p uvodu, odesl an a prjmu neovladatelnost vzd alen eho uzivatele Elektronick e zasl an zpr av Politika bezpecn eho pouzv an u by m ela zajistit Odpovednost zamestnance nekomprmitovat organizaci zakazujc pouzit u spolecnosti pro zasl an hanliv ych mail u nebo pro obtezov an, pro neopr avnen e n akupy nebo publikov an n azor u na dodavatele, partnery ci z akaznky z organizace. by se nemel pouzvat pro komunikaci citliv e informace s jistou klasikac Prlohy u by mel b yt vhodne chr aneny, (prpadne) pomoc kryptograck ych kontrol nejak eho typu Jak reagovat na viry a podvod zavirovanou zpr avou Velikost schr anky s prchoz postou mus b yt zajistena procedurou Bez konkr etnho predchozho povolen nelze pouzvat pro n akup jm enem organizace. Pokud lze, pak jen v souladu s aktu aln politikou organizace pro n akupu. Firemn ov a adresa nesm b yt pouzita pro osobn n akupy nebo jin e osobn transakce. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Aplikacn informacn syst emy organizace Aplikacn informacn syst emy organizace Cl { Policies and procedures shall be developed and implemented to protect information associated with the interconnection of business information systems. Soucasn e distribuovan e syst emy dramaticky zvysuj elektronickou komunikaci mezi zam estnanci a moznost sdlen informaci F2F komunikace je vrozene bezpecnejs Doporucen a opatren Jasne denovan a politika sdlen informac respektujc sch ema Jestlize nelze zajistit adekv atn ochranu proti prstupu zvenc organizace, pak chr anenou informaci nelze publikovat na vnitroorganizacnch n astenk ach Opatren zajist'ujc bezpecnou komunikaci via rizikov y Internet Osobn kalend are akc zverej novat pouze spolupracovnk um na projektu,... Pro kazd y aplikacn informacn syst em by mela b yt stanovena pozadovan a v yse z aruky za bezpecnost a jej dosazen prok azat evaluac ISMS pozaduje identikovat kategorie zamestnanc u a smluvnch partner u s povolen ym prstupem k syst em u a lokality, odkud lze syst emy zprstup novat ISMS pozaduje urcit prstupov a pr ava k aplikacnm syst em um jednotlivc um, na z aklade jejich rol v organizacnm sch ematu mus rozlisovat mezi internmi a externmi adresami, aby uzivatel e mohli omezit cirkulaci informac Mus b yt zavedena politka z alohov an a obnov Mus b yt zavedena politika cinnosti organizace v nouzov em rezimu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

17 10.9. Elektronick e obchodov an Elektronick e obchodov an Cl: To ensure the security of electronic commerce services, and their secure use. Relevantn oblasti opatren Elektronick e obchodov an On-line transakce Verejne dostupn e informace Cl { Information involved in electronic commerce passing over public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification. Hlavn probl em elektronick eho obchodov an { nepopiratelnost nepopiratelnost p uvodu { jistota pro prijmac stranu, ze odeslatel nen podvodnk nepopiratelnost odesl an { d ukaz, ze v jist em case vec byla odesl ana nepopiratelnost prijet { d ukaz, ze prijmac strana skutecne zzskala odeslanou vec, druhosledove kdy a kde Ochrana Web server u pred utoky Ochrana komunikac { SSL, IPSec, PKIX, S/MIME,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Elektronick e obchodov an Elektronick e obchodov an Opatren mus zajistit, ze obchodov an pres verejn e st e je chr anen e pred podvody, smluvnmi rozepremi, neautorizovan ym zprstupn enm a modikac d uv ern ych dat Mezi stranami se mus dohodnout (prklad pro B2B) Autentizace { poslen d uvery mezi z akaznkem a obchodnkem Autorizace { strany mus vedet ze smluvn vztahy byly domluveny s autorizovanou rol Prodejn procesy { s nepopiratelnost, d uvernost, integritou, d ukazy odesl an a prjmu dokument u Jak d uvern e jsou domluvy o slev ach Jak a je d uvernost chr anen ych transakcnch detail u (platba, detaily dod avky,... ) Co se mus overovat na platebnch informacch Nejbezpecnejs metodu plateb a jak se bude resit podvod s padelanou platebn kartou Jak se zabr an duplikacm a ztr at am transakc Kdo nese odpovednost za skody podvodn ymi transakcemi a jak se res pojisten Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

18 10.9. On-line transakce Verejn e dostupn e informace Cl { Information involved in on-line transactions shall be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay. Vhodn a opatren Elektronick e podpisov an { vesmes pro B2B, casto nepraktick e pro C2B Zajisten d uvernosti transakc (pomoc SSL), zajisten ochrany osobnch dat Pln e sifrov an komunikac Bezpecnost mus b yt resena v koncov ych syst emech Mus se respektovat legislativn omezen Cl { The integrity of information being made available on a publicly available system shall be protected to prevent unauthorized modification. Typy opatren Informace publikovan a na webu m a b yt odsouhlasen a predem Informace zsk avan a z verejn ych web u od lid sm b yt shromazd'ov ana v souladu s omezenmi dan ymi legislativou Webovsk e aplikace mus ltrovat uzivateli dod avan a data (viz OWASP) Citliv a data mus b yt pri zsk av an a ukl ad an adekv atne chr anena (platebn informace z karet apod. { SSL, 3D-Secure,... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Sledov an, monitorov an Porizov an auditnch z aznam u Cl: To detect unauthorized information processing activities. Relevantn oblasti opatren Porizov an auditnch z aznam u Monitorov an pouzv an syst emu Ochrana auditnch z aznam u Administr atorsk y a oper atorsk y denk Denky selh an Synchronizace casu Detekce odchylek ucink u prijat ych opatren odchylek od politiky rzen prstupu detekce opakovan eho zneuzv an,... Zsk av an d ukaz u pro n asledn e resen bezpecnostnch incident u a podklad u pro kontrolu efektivnosti prijat ych opatren Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Cl { Audit logs recording user activities, exceptions, and information security events shall be produced and kept for an agreed periodto assist in future investigations and access control monitoring. Z aznamy o v yjimk ach ud alostech souvisejcch s informacn bezpecnost Mus se uchov avat po stanovenou dobu zdroj informac o tom co funguje spatne Za veden odpovd a CISO, co se sleduje obvykle stanovuje rdic v ybor ITSec Sbrat se mus nutn e informace, ne,,vsechny"informace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

19 Porizov an auditnch z aznam u Monitorov an pouzv an syst emu Typicky sledovan e informace, prklady ID uzivatele, doba prihl asen / odhl asen uspesn e a ne uspesn e prstupy uzivatel u k aktiv um zmeny v konguraci syst emu pouzit aplikac aktivace / deaktivace ochran (anti-vir) vesker a narusen pravidel bezopecnostn politiky upozornen z rewal u a syst em u detekce pr unik u,... Auditn denk mus b yt silne prstupove chr anen y, slouz mj. pro odhalen neautorizovan ych prstup u Cl { Procedures for monitoring use of information processing facilities shall be established and the results of the monitoring activities reviewed regularly. organizace mus mt zavedeny procedury pro sledov an zpracov an informac z aznamy ze sledov an se mus pravideln e zkoumat frekvenci zkoum an urc v ysledek posouzen rizik jeho veden by melo zajist'ovat Oddelen internho auditu IT administr atori nemaj mt k denku prstup a nesmej mt moznost vypnat sv e sledov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Ochrana auditnch z aznam u Administr atorsk y a oper atorsk y denk Cl { Logging facilities and log information shall be protected against tampering and unauthorized access. Je nutn a striktn autorizace modikacnch prstupov ych pr av Z aznamy lze pouzvat jako d ukazy pri soudnch sporech Objemy zaznamen avan ych informac b yvaj obrovsk e je nutn e stanovit politiku bezpecn e archivace z aznam u ide aln resen { datov e trezory Cl { System administrator and system operator activities shall be logged. Prklady zaznamen avan ych ud alost spusten a zastaven cinnosti, kdo tak ucinil popis akce (zahrnut e procesy, soubory,... ) chyby syst emu (co, kdy) a opravn e akce vse co souvis se z alohov anm a obnovou jm eno osoby ucinvs z aznam Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

20 Denky selh an Synchronizace casu Cl { Faults shall be logged, analyzed, and appropriate action taken. O selh anch maj b yt vedeny z aznamy, tyto maj b yt analyzovan e a z avady maj b yt odstra novan e Cl { The clocks of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source. Napr. zkoum an z aznam u o bezpecnostnch incidentech vyzaduje informaci o case v yskyt u ud alost Hodiny ve vsech poctacch maj b yt synchronizovan e bud'to s UCT (Universal Coordinated Time) nebo s lok alnm standardnm casem dopad driftu hodin v poctacch,... Maj se pouzvat standardizovan e form aty vyj adren casu nerespektov an letnho casu m uze mt negativn dopad na zkoum an auditnch z aznam u,... chybn a interpretace casu br an zkoum an ud alost, prprave d ukaz u,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Rzen prstupu { vybran y ilustracn prklad oddlu Oddl 11. Rzen prstupu obsahuje 7 kategori bezpecnosti 11.1 Pozadavky na rzen prstupu { vybran y ilustracn prklad kategorie bezpecnosti 11.2 Rzen prstupu uzivatel u 11.3 Odpovednosti uzivatel u 11.4 Rzen prstupu k sti 11.5 Rzen prstupu k operacnmu syst emu 11.6 Rzen prstupu k aplikacm a informacm 11.7 Mobiln v ypocetn zarzen a pr ace na d alku 11.1 Pozadavky na rzen prstupu Cl { Rdit prstup k informacm Prstup k informacm, prostredk um pro zpracov an informac a proces um organizace by mel b yt rzen na z aklade provoznch a bezpecnostnch pozadavk u organizace Mela by b yt zohlednena pravidla organizace pro sren informac a pravidla, podle nichz probh a schvalov an. V ycet opatren Politika rzen prstupu Tato kategorie zav ad jedin e opatren { politiku rzen prstupu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

21 Politika rzen prstupu Politika rzen prstupu Opatren Mela by b yt vytvorena, zdokumentov ana a v z avislosti na aktu alnch bezpecnostnch pozadavcch prezkoum av ana politika rzen prstupu Doporucen k realizaci Prstupov a pravidla a opr avnen by mela b yt jasne stanovena pro kazd eho uzivatele nebo skupinu uzivatel u v seznamu pravidel prstupu. Pravidla by mela pokr yvat jak logick y, tak fyzick y prstup, oba typy prstup u by mely b yt reseny soucasne. Uzivatel um a poskytovatel um sluzeb by melo b yt pred ano jasn e vyj adren o provoznch pozadavcch, kter e napl nuje rzen prstupu. Doporucen k realizaci (pokrac.) { Politika rzen prstupu by mela br at v uvahu n asledujc hlediska: bezpecnostn pozadavky jednotliv ych aplikac organizace identikace vsech informac ve vztahu k jednotliv ym aplikacm a rizika, kter ym jsou informace vystaveny pravidla pro sren informac a pravidla schvalov an, tj. princip potreby zn at, bezpecnostn urovne a klasikaci informac konzistence prstupov ych pravidel a klasikace informac pro r uzn e syst emy a ste odpovdajc legislativu a ostatn smluvn z avazky ve vztahu k ochrane prstupu k dat um nebo sluzb am standardn prstupov e proly uzivatel u pro bezn e kategorie cinnost Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Politika rzen prstupu Politika rzen prstupu rzen pravidel prstupu v distribuovan em a st'ov em prostred rozezn avajcm vsechny mozn e typy pripojen oddelen jednotliv ych rol pro rzen prstupu, napr. vyrizov an pozadavk u na prstup, schvalov an prstupu, spr ava prstup u pozadavky na form aln schv alen z adost o prstup pozadavky na pravideln e prezkoum av an prstupov ych pr av podmnky a postupy pro odebr an prstupov ych pr av Dals informace rozlisovat mezi pravidly, kter a mus b yt v platnosti vzdy, a temi, kter a jsou nepovinn a nebo podmnen a stanovit pravidla na z aklade principu,,vsechno, co nen v yslovne povoleno, je zak az ano\, ne na z aklade mekcho pravidla,,vsechno, co nen v yslovne zak az ano, je povoleno\ zohled novat zmeny ve oznacov an informac, kter e jsou vyvol any automaticky prostredky pro zpracov an informac, a zmeny, kter e jsou vyvol any z rozhodnut uzivatele zohled novat zmeny uzivatelsk ych opr avnen, kter e jsou vyvol any automaticky prostredky pro zpracov an informac, a ty, kter e jsou vyvol any administr atorem rozlisovat pravidla, kter a vyzaduj schv alen administr atorem nebo jinou poverenou osobou, a ta, kter a toto nevyzaduj. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC

22 Politika rzen prstupu Politika rzen prstupu Pravidla pro rzen prstupu by mela b yt podporov ana zavedenm form alnch postup u a jasne urcen ych odpovednost Uzivatel e maj zn at cle cinnosti organizace, kter e politika prstupu dosahuje Opatren mohou b yt jak fyzick eho, tak i logick eho typu Uzivatel e maj b yt skolen na pravidla a politiku rzen prstupu Rozdln e aplikacn cinnosti organizace mvaj rozdln e pozadavky na bezpecnost { kdo m a nebo nem a mt prstup k syst emu uk aze ohodnocen rizik Vhodn y je princip,,need-to-know" { Napr. referentka zad avajc objedn avku platebnmu syst emu nemus mt pr avo prkazce operace proveden platby Mus se respektovt syst em klasikace informac { Pozadavek konzistence klasikacnch sch emat a rzen prstupu a r uzn ych stch t eze organizace Mus se zohled novat relevantn legislativa Pro zaveden e kategorie pracovnch funkc maj b yt denovan e standardizovan e proly uzivatelsk ych prstup u V distribuovan ych syst emech je nutn e resit prstupov a pr ava jak pri lok alnm prstupu, tak i vzd alen em prstupem jednoho a t ehoz uzivatele Vhodn e je dodrzovat princip separace odpovednost { V dostatecne velk ych organizacch vzdy oddelit role odpovedn e za plnen prstupov ych pozadavk u, za jejich autorizaci a za jejich nastaven Pravidelne prezkoum avat opatren rdic prstupy, prstupy je nutn e pr ubezne monitorovat Rusit prstupov a pr ava pri v ypovedi Nekter a pravidla politiky rzen prstupu mohou b yt prosazovan a trvale, jin a volitelne, prp. podmnecne nebo pouze v jist ych situacch Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Politika rzen prstupu Skladba opatren ostatnch kategori rzen prstupu Mus b yt stanovena prstupov a pr ava k proveden zmen v klasikaci informaci, v pravidlech rzen prstupu, v uzivatelsk ych prstupov ych prolech, Rzen prstupu uzivatel u Cl: Zajistit opr avnen y prstup uzivatel u a predch azet neopr avnen emu prstupu k informacnm syst em um. Registrace uzivatele Rzen privilegovan eho prstupu Spr ava uzivatelsk ych hesel Prezkoum an prstupov ych pr av uzivatel u 11.3 Odpov ednosti uzivatel u Cl: Predch azet neopr avnen emu uzivatelsk emu prstupu, vyzrazen nebo kr adezi informac a prostredk u pro zpracov an informac. Pouzv an hesel Neobsluhovan a uzivatelsk a zarzen Z asada pr azdn eho stolu a pr azdn e obrazovky monitoru Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC