Organizační opatření, řízení přístupu k informacím

Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

BEZPEČNOSTI INFORMACÍ

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezpečnostní politika společnosti synlab czech s.r.o.

Zákon o kybernetické bezpečnosti

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika informací v ČSSZ

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

srpen 2008 Ing. Jan Káda

Úvod - Podniková informační bezpečnost PS1-1

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Zákon o kybernetické bezpečnosti

PRAVIDLA ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍMU SYSTÉMU

Návrh VYHLÁŠKA. ze dne 2014

Obecné pokyny. k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice (EU) 2015/2366 (PSD2)

Bezpečnostní politika a dokumentace

Obecné nařízení o ochraně osobních údajů

ORGANIZAČNÍ ŘÁD ŠKOLY

Systém řízení informační bezpečnosti (ISMS)

Systémy řízení jakosti pro realizaci výzkumu a vývoje

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Politika bezpečnosti informací

ČESKÁ TECHNICKÁ NORMA

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Klasifikace informací: Veřejné BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE PŘÍLOHA Č. 1 BEZPEČNOSTNÍ POLITIKA INFORMACÍ. Verze 2.

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

AleFIT MAB Keeper & Office Locator

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Platná od Bezpečnostní politika. Deklarace

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Návrh VYHLÁŠKA. ze dne 2014

Řízení rizik. RNDr. Igor Čermák, CSc.

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Státní pokladna. Centrum sdílených služeb

Implementace systému ISMS

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Řešení DocTag pro klasifikaci dokumentů. Matej Kačic

VYHLÁŠKA. ze dne 21. května 2018,

Politika ochrany osobních údajů

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Politika ochrany osobních údajů GJŠ Zlín

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Vzdělávání pro bezpečnostní systém státu

Čl. 1 Předmět úpravy

Věstník ČNB částka 5/2011 ze dne 7. června ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Obsah. Příloha č. 2: Standardy a doporučení Verze:

2. setkání interních auditorů ze zdravotních pojišťoven

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Technická a organizační opatření pro ochranu údajů

Dne: Platnost do: úplná Vedoucí zaměstnanci, Správce systému, Bezpečnostní správce systému, Garanti IS

METODICKÝ POKYN č. MP-I Směrnice pro dodavatele

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Základy řízení bezpečnosti

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Řízení informační bezpečnosti a veřejná správa

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Dotazník pro sebehodnocení a šablona pro plánování Global Network

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Hodnocení rizik v resortu Ministerstva obrany

Úvod. Projektový záměr

Pravidla užívání počítačové sítě VŠB-TU Ostrava

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Kybernetická bezpečnost resortu MV

Technické aspekty zákona o kybernetické bezpečnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečnost na internetu. přednáška

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

BEZPEČNOSTNÍ POLITIKA

VÝKLADOVÝ SLOVNÍK ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

Bezpečnostní politika IS. Městská část Praha Kunratice

Transkript:

Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 8 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 8.přednáška Organizační opatření, řízení přístupu k informacím 1

Struktura normy ISO/IEC 17799 (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) Klasifikace a řízení aktiv Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001: kapitola A.7 Řízení aktiv 2

A.7 Klasifikace a řízení aktiv A.7.1 Odpovědnost za aktiva Cíl: Udržovat přiměřenou ochranu aktiv organizace. U všech důležitých informačních aktiv by měla být stanovena odpovědnost a určen jejich vlastník. Pro všechna důležitá aktiva by měli být určeni vlastníci a měla by být stanovena jejich odpovědnost za udržování přiměřených bezpečnostních opatření. Odpovědnost za realizaci jednotlivých bezpečnostních opatření může být delegována, ale vlastní odpovědnost za ně by měla zůstat na vlastníkovi aktiva. A.7.1 Odpovědnost za aktiva A.7.1.1 Evidence aktiv Měla by být identifikována všechna aktiva organizace, všechna důležitá aktiva by měla být evidována a seznam udržován aktuální. A.7.1.2 Vlastnictví aktiv Veškeré informace a aktiva související se zařízením pro zpracování informací by měly mít určeného vlastníka. A.7.1.3 Přípustné použití aktiv Měla by být ustavena, zdokumentována a do praxe zavedena pravidla pro přípustné použití informací a aktiv souvisejících s prostředky pro zpracování informací. 3

A.7 Klasifikace a řízení aktiv A.7.2 Klasifikace informací Cíl: Zajištění přiměřenosti ochrany informačních aktiv. Informace by měly být klasifikovány tak, aby byla naznačena jejich potřebnost, důležitost a stupeň ochrany. Informace mohou mít různý stupeň citlivosti a mohou být různě kritické, některé mohou vyžadovat vyšší úroveň bezpečnosti nebo zvláštní způsob zacházení. Měl by existovat systém bezpečnostní klasifikace, který by určoval adekvátní stupeň ochrany a který by dával uživatelům informace o nutnosti zvláštního zacházení. A.7.2 Klasifikace informací A.7.2.1 Doporučení pro klasifikaci Informace by měly být klasifikovány a to ohledem na jejich hodnotu, právní požadavky, citlivost a kritičnost. A.7.2.2 Označování a nakládání s informacemi Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které jsou v souladu s klasifikačním schématem přijatým organizací. 4

Klasifikace a řízení aktiv Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001 Klasifikace a řízení aktiv Odpovědnost za aktiva Evidence aktiv Vlastnictví aktiv Přípustné použití aktiv Klasifikace informací Doporučení pro klasifikaci Označování a zacházení s informacemi 5

Struktura normy ISO/IEC 17799 (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) Bezpečnost lidských zdrojů Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001: Příloha A: kapitola A.8 Bezpečnost lidských zdrojů 6

A.8 Bezpečnost lidských zdrojů A.8.1 Před vznikem pracovního vztahu Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Odpovědnosti za bezpečnost by měly být zohledněny v rámci přijímacího řízení, měly by být zahrnuty v pracovních smlouvách a popisech práce. Potenciální uchazeči by měli být náležitě prověřeni, zejména v případě citlivých pracovních míst. Všichni zaměstnanci, smluvní a třetí strany, využívající prostředky organizace pro zpracování informací, by měli podepsat dohodu odpovídající jejich rolím a povinnostem. A.8.1 Před vznikem pracovního vztahu A.8.1.1 Role a odpovědnosti Role a odpovědnosti zaměstnanců, smluvních a třetích stran v oblasti bezpečnosti informací by měly být stanoveny a zdokumentovány v souladu s bezpečnostní politikou organizace. A.8.1.2 Prověrka Všichni uchazeči o zaměstnání, smluvní a třetí strany by měly být prověřeni dle platných zákonů, předpisů a v souladu s etikou. Prověření by měla být prováděna na základě požadavků stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat přístup, ale také z hlediska jejich spolehlivosti10 a potenciálních rizik. A.8.1.3 Podmínky výkonu pracovní činnosti Pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami by měly obsahovat ustanovení o jejich odpovědnostech za bezpečnost informací. 7

A.8 Bezpečnost lidských zdrojů A.8.2 Během pracovního vztahu Cíl: Zajistit, aby si zaměstnanci, smluvní a třetí strany byly vědomi bezpečnostních hrozeb a problémů s nimi spjatých, svých odpovědností a povinností a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby. Měly by být jasně definovány odpovědnosti vedoucích zaměstnanců, aby se zajistilo dodržování bezpečnosti ze strany jednotlivců během celé doby trvání pracovního vztahu. Zaměstnanci, smluvní a třetí strany by měli být školeni v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, aby byla minimalizována bezpečnostní rizika. Měla by být vytvořena formalizovaná pravidla pro disciplinární řízení v případě narušení bezpečnosti. A.8.2 Během pracovního vztahu A.8.2.1 Odpovědnosti vedoucích zaměstnanců Vedoucí zaměstnanci by měly po uživatelích, smluvních a třetích stranách, požadovat dodržování bezpečnosti v souladu se zavedenými politikami a směrnicemi. A.8.2.2 Povědomí, vzdělávání a školení v oblasti bezpečnosti informací Všichni zaměstnanci organizace, je-li to důležité, i pracovníci smluvních a třetích stran, by měli, s ohledem na svoji pracovní náplň, projít odpovídajícím a pravidelně se opakujícím školením k bezpečnosti informací, k politice a směrnicím organizace. A.8.2.3 Disciplinární řízení Mělo by existovat formalizované disciplinární řízení vůči zaměstnancům, kteří se dopustili narušení bezpečnosti. 8

A.8 Bezpečnost lidských zdrojů A.8.3 Ukončení nebo změna pracovního vztahu Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem. Měly by být určeny jednoznačné odpovědnosti za řádný průběh ukončení pracovního vztahu zaměstnanců, smluvních a třetích stran, za odevzdání přiděleného vybavení a odejmutí přístupových práv. Změna odpovědností a pracovního vztahu v rámci organizace by měla probíhat jako by se jednalo o odebrání odpovědností nebo ukončení pracovního vztahu, tedy tak, jak je popsáno v této kapitole. Při uzavření nového pracovního vztahu by se mělo postupovat tak, jak je popsáno v kapitole 8.1. A.8.3 Ukončení nebo změna pracovního vztahu A.8.3.1 Odpovědnosti za ukončení pracovního vztahu Měly by být jasně definovány a přiděleny odpovědnosti pro případ ukončení nebo změny pracovního vztahu. A.8.3.2 Navrácení zapůjčených předmětů Při ukončení pracovního vztahu by měli zaměstnanci, pracovníci smluvních a třetích stran odevzdat veškeré jim svěřené předměty, které jsou majetkem organizace. A.8.3.3 Odebrání přístupových práv Při ukončení pracovního vztahu by měla být uživatelům, smluvním a třetím stranám odejmuta nebo pozměněna přístupová práva k informacím a prostředkům pro zpracování informací. 9

Bezpečnost lidských zdrojů Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001 Bezpečnost lidských zdrojů Před vznikem pracovního poměru Role a odpovědnosti prověřování Podmínky výkonu pracovní činnosti Během pracovního poměru Odpovědnosti vedoucích zaměstnanců Bezpečnostní povědomí, vzdělávání a školení v oblasti bezpečnosti informací Disciplinární řízení 10

Bezpečnost lidských zdrojů Ukončení nebo změna pracovního vztahu Odpovědnosti při ukončení pracovního vztahu Navrácení zapůjčených prostředků Odebírání přístupových práv Struktura normy ISO/IEC 17799 (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) 11

A.11 Řízení přístupu A.11.1 Požadavky na řízení přístupu Cíl: Řídit přístup k informacím. Přístup k informacím, prostředkům pro zpracování informací a procesům organizace by měl být řízen na základě provozních a bezpečnostních požadavků. V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž probíhá schvalování. A.11.1.1 Politika řízení přístupu Měla by být vytvořena, dokumentována a v závislosti na aktuálních bezpečnostních požadavcích přezkoumávána politika řízení přístupu. A.11 Řízení přístupu A.11.2 Řízení přístupu uživatelů Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům. Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům a službám. Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelům překonat kontroly v systému. 12

A.11.2 Řízení přístupu uživatelů A.11.2.1 Registrace uživatele Měl by existovat postup pro formální registraci uživatele včetně jejího zrušení, který zajistí autorizovaný přístup ke všem víceuživatelským informačním systémům a službám. A.11.2.2 Řízení privilegovaného přístupu Přidělování a používání privilegií by mělo být omezeno a řízeno. A.11.2.3 Správa uživatelských hesel Přidělování hesel by mělo být řízeno formálním procesem. A.11.2.4 Přezkoumání přístupových práv uživatelů Vedení organizace by mělo v pravidelných intervalech provádět formální přezkoumání přístupových práv uživatelů. A.11 Řízení přístupu A.11.3 Odpovědnosti uživatelů Cíl: Předcházet neoprávněnému uživatelskému přístupu, prozrazení nebo krádeži informací a prostředků pro zpracování informací. Pro účinné zabezpečení je nezbytná spolupráce oprávněných uživatelů. Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly přístupu, zejména s ohledem na používání hesel, a bezpečnosti jim přidělených prostředků. Pro snížení rizika neoprávněného přístupu (nebo poškození) k dokumentům, médiím a prostředkům pro zpracování informací, by měla být zavedena zásada prázdného stolu a prázdné obrazovky monitoru. 13

A.11.3 Odpovědnosti uživatelů A.11.3.1 Používání hesel Při výběru a používání hesel by mělo být po uživatelích požadováno, aby dodržovali správné bezpečnostní postupy. A.11.3.2 Neobsluhovaná uživatelská zařízení Uživatelé by měli zajistit přiměřenou ochranu neobsluhovaných zařízení. A.11.3.3 Zásada prázdného stolu a prázdné obrazovky monitoru Měla by být přijata zásada prázdného stolu ve vztahu k dokumentům a vyměnitelným médiím a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací. A.11 Řízení přístupu A.11.4 Řízení přístupu k síti Cíl: Předcházet neautorizovanému přístupu k síťovým službám. Přístup k interním i externím síťovým službám by měl být řízen. Je to nezbytné pro zajištění toho, aby uživatelé mající přístup k sítím nebo síťovým službám neohrožovali bezpečnost těchto služeb. K tomu je potřeba: a) vhodné rozhraní sítě organizace se sítěmi jiných organizací nebo veřejnými sítěmi; b) odpovídající autentizační mechanizmus pro uživatele a zařízení; c) řízení přístupu uživatelů k informačním službám. 14

A.11.4 Řízení přístupu k síti A.11.4.1 Politika užívání síťových služeb Uživatelé by měli mít přímý přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť oprávněni. A.11.4.2 Autentizace uživatele externího připojení Přístup vzdálených uživatelů měl být autentizován. A.11.4.3 Identifikace zařízení v sítích Pro autentizaci připojení z určitých lokalit a přenosných zařízení by se měla zvážit automatická identifikace zařízení. A.11.4.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci Fyzický i logický přístup k diagnostickým a konfiguračním portům by měl být bezpečně řízen. A.11.4 Řízení přístupu k síti A.11.4.5 Princip oddělení v sítích Skupiny informačních služeb, uživatelů a informačních systémů by měly být v sítích odděleny. A.11.4.6 Řízení síťových spojení U sdílených sítí, zejména těch, které přesahují hranice organizace, by měly být omezeny možnosti připojení uživatelů. Omezení by měla být v souladu s politikou řízení přístupu a s požadavky aplikací. A.11.4.7 Řízení směrování sítě Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly systém řízení přístupu aplikací organizace, by mělo být implementováno řízení směrování sítě. 15

A.11 Řízení přístupu A.11.5 Řízení přístupu k operačnímu systému Cíl: Předcházet neautorizovanému přístupu k operačním systémům. Pro omezení přístupu k prostředkům počítače by měly být použity bezpečnostní prostředky na úrovni operačního systému. Tyto prostředky by měly být schopné: a) autentizace oprávněných uživatelů v souladu se stanovenou politikou řízení přístupu; b) zaznamenávat úspěšné a neúspěšné pokusy o autentizaci; c) zaznamenávat využití systémových privilegií; d) spouštět varování při porušení systémových bezpečnostních politik; e) poskytovat vhodné prostředky pro autentizaci; f) v případě potřeby omezit dobu připojení uživatele. A.11.5 Řízení přístupu k operačnímu systému A.11.5.1 Bezpečné postupy přihlášení Přístup k operačnímu systému by měl být řízen postupy bezpečného přihlášení. A.11.5.2 Identifikace a autentizace uživatelů Všichni uživatelé by měli mít pro výhradní osobní použití jednoznačný identifikátor (uživatelské ID), měl by být také zvolen vhodný způsob autentizace k ověření jejich identity. A.11.5.3 Systém správy hesel Systém správy hesel by měl být interaktivní a měl by zajišťovat kvalitní hesla. 16

A.11.5 Řízení přístupu k operačnímu systému A.11.5.4 Použití systémových nástrojů Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly by mělo být omezeno a přísně kontrolováno. A.11.5.5 Časové omezení relace Neaktivní relace by měly se po stanovené době nečinnosti ukončit. A.11.5.6 Časové omezení spojení U vysoce rizikových aplikací by pro zajištění dodatečné bezpečnosti mělo být zváženo použití omezení doby spojení. A.11 Řízení přístupu A.11.6 Řízení přístupu k aplikacím a informacím Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v počítačových systémech. Pro omezení přístupu k aplikačním systémům by měly být použity bezpečnostní prostředky. Logický přístup k programům a informacím by měl být omezen na oprávněné uživatele. Aplikační systémy by měly: a) kontrolovat přístup uživatelů k datům a funkcím aplikačního systému v souladu s definovanou politikou řízení přístupu; b) poskytovat ochranu před neoprávněným přístupem ke všem nástrojům a systémovým programům, které mohou obejít systémové a aplikační kontrolní mechanizmy; c) nenarušit bezpečnost jiných systémů, se kterými jsou sdíleny informační zdroje; 17

A.11.6 Řízení přístupu k aplikacím a informacím A.11.6.1 Omezení přístupu k informacím Uživatelé aplikačních systémů, včetně pracovníků podpory, by měli mít přístup k informacím a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu. A.11.6.2 Oddělení citlivých systémů Citlivé aplikační systémy by měly mít oddělené (izolované) počítačové prostředí. A.11 Řízení přístupu A.11.7 Mobilní výpočetní prostředky a práce na dálku Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití prostředků pro práci na dálku. Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento způsob práce. 18

A.11.7 Mobilní výpočetní prostředky a práce na dálku A.11.7.1 Mobilní výpočetní prostředky a sdělovací technika Měla by být ustavena formální pravidla a přijata opatření na ochranu proti rizikům použití mobilních výpočetních a komunikačních prostředků. A.11.7.2 Práce na dálku Organizace by měla vytvořit a do praxe zavést zásady, operativní plány a postupy pro práci na dálku. Řízení přístupu Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001; 19

Řízení přístupu Požadavky na řízení přístupu Politika řízení přístupu Řízení přístupu uživatelů Registrace uživatele Řízení privilegovaného přístupu Správa uživatelských hesel Přezkoumání přístupových práv uživatelů Řízení přístupu Odpovědnosti uživatelů Používání hesel Neobsluhovaná uživatelská zařízení Zásada prázdného stolu a prázdné obrazovky monitoru 20

Řízení přístupu Řízení přístupu k síti Politika užívání síťových služeb Autentizace uživatele pro externí připojení Identifikace zařízení v sítích Ochrana portů pro vzdálenou diagnostiku a konfiguraci Princip oddělení v sítích Řízení síťových spojení Řízení směrování sítě Řízení přístupu Řízení přístupu k operačnímu systému Bezpečné postupy přihlášení Identifikace a autentizace uživatelů Systém správy hesel Použití systémových nástrojů Časové omezení relace Časové omezení spojení 21

Řízení přístupu Řízení přístupu k aplikacím a informacím Omezení přístupu k informacím Oddělení citlivých systémů Mobilní výpočetní zařízení a práce na dálku Mobilní výpočetní zařízení a sdělovací technika Práce na dálku Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 22

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář