PV 017 Bezpecnost IT

Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016

ISO/IEC 27002:2013 Information Security Management Information technology Security techniques Code of practice for information security management Informacn technologie { Bezpecnostn techniky { Soubor postup u pro rzen informacn bezpecnosti Struktura standardu Standard obsahuje celkem 11 z akladnch oddl u, kter e jsou d ale rozd eleny do 39 kategori bezpecnosti V kazd e kategorii bezpecnosti se specikuje alespo n jedno opatren Mimo to jsou ve standardu uvedeny z akladn informace o procesech hodnocen a zvl ad an rizik. Oddly jsou cslovan e poradm kapitol standardu obsahujcch jejich popis (5 { 15) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 1

ISO/IEC 27002:2013, Oddly kategori bezpecnosti Kazd y z oddl u obsahuje jednu nebo vce kategori bezpecnosti 5) Bezpecnostn politika 6) Organizace bezpecnosti { intern organizace, extern subjekty 7) Klasikace a rzen aktiv { odpov ednosti za aktiva, klasikace 8) Bezpecnost lidsk ych zdroj u { prijet do, pr ub eh, ukoncen vztahu 9) Fyzick a bezpecnost a bezpecnost prostred 10) Rzen komunikac a rzen provozu { vybran y ilustracn prklad 11) Rzen prstupu { vybran y ilustracn prklad 12) N akup, v yvoj a udrzba informacnho syst emu 13) Zvl ad an bezpecnostnch incident u 14) Rzen kontinuity cinnost organizace 15) Soulad s pozadavky { pr ava, politik, smluv,..., audit Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 2

ISO/IEC 27002:2013, Popis kategori bezpecnosti Popis kazd e z kategori bezpecnosti obsahuje: cl opatren, urcujc ceho m a b yt dosazeno; popis jednoho nebo vce opatren, kter a lze pouzt k dosazen stanoven eho cle opatren. Popis opatren je strukturov an n asledovn e: Opatren { Presn a formulace konkr etnho opatren, kter e vede k napln en cle opatren. Doporucen k realizaci { Podrobn ejs informace a doporucen na podporu implementace vybran ych opatren, kter a vedou k dosazen cle opatren. Dals informace { Dals informace, kter e m uze b yt potrebn e vzt do uvahy, ot azky legislativy, odkazy na dals relevantn normy a predpisy,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 3

10. Rzen komunikac a rzen provozu Kategorie opatren spadajc do oddlu 10: 10.1 Operational procedures and responsibilities Cl: To ensure the correct and secure operation of information processing facilities. 10.2 Third party service delivery management Cl: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements. 10.3 System planning and acceptance Cl: To minimize the risk of systems failures. 10.4 Protection against malicious and mobile code Cl: To protect the integrity of software and information. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 4

10. Rzen komunikac a rzen provozu 10.5 Back-up Cl: To maintain the integrity and availability of information and information processing facilities. 10.6 Network security management Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure. 10.7 Media handling Cl: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities. 10.8 Exchange of information Cl: To maintain the security of information and software exchanged within an organization and with any external entity. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 5

10. Rzen komunikac a rzen provozu 10.9 Electronic commerce services Cl: To ensure the security of electronic commerce services, and their secure use. 10.10 Monitoring Cl: To detect unauthorized information processing activities. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 6

10.1. Provozn procedury a odpov ednosti Cl { To ensure the correct and secure operation of information processing facilities. procedura pracovn postup Relevantn skupiny opatren v kategorii 10.1 v oddlu 10 Dokumentace provoznch procedur Zm enov e rzen Odd elen odpov ednost Oddelen v yvoje, test u a provoz u Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 7

10.1. Dokumentace provoznch procedur Cl { Operating procedures shall be documented, maintained, and made available to all users who need them Provozn procedury mus vyhovovat pozadavk um syst emu spr avy dokument u organizace (principy viz ISO 9000) nutn e je schv alen relevantnm vedenm organizace Zverejn en provoznch procedur pro zam estnance { v intranetu pro partnersk e tret strany { v extranetu pozadavky: snadn a udrzba, pohotov a aktualizace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 8

10.1. Dokumentace provoznch procedur Nezbytn e provozn procedury pro ISMS identikuje bezpecnostn politika z aklad skladby provoznch procedur tvor ty procedury, kter e implementuj politiku informacn bezpecnosti z aklad lze doplnit detailn ejsmi provoznmi procedurami vypracovan ymi na z aklad e doporucen poradce pro ITSec a odpov edn ych provoznch pracovnk u pro typov e provozn oblasti nutn e je jejich schv alen relevantnm vedenm organizace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 9

10.1. Oblasti pokr yvan e v ISMS provoznmi procedurami Zpracov an informac a nakl ad an s informacemi vc. pozadavk u na d uv ernost a klasikaci informac Z alohov an (detaily viz 10.5) Pl anov an cinnost, (napr. z alohov an) vc. n avaznost na jin e syst emy vc. nejdrv ejsch a nejzazsch mozn ych termn u proveden (napr. pr ave z alohov an) Chybov e rzen a rzen ve v yjimecn ych podmnk ach vc. instrukc pro omezen e pouzv an syst emu vc. n avod u pro nov e (a nezkusen e) zamestnance (1. reakce na incident) chybov e rzen a rzen ve v yjimecn ych podmnk ach je jinak predmetem cinnosti specialist u s dostatecn ymi zkusenostmi a dovednostmi Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 10

10.1. Oblasti pokr yvan e v ISMS provoznmi procedurami Kontaktov an odpovdajc podp urn ych t ym u v prpad e neocek avan ych provoznch nebo technick ych obtz a dokumentov an t echto kontakt u Spr ava speci alnch v ystup u (tisk u) vc. reakc na selh an v ystup u speci alnch uloh Restart syst emu a postupy po v ypadku syst emu Vsechny hospod arsk e/udrzbov e cinnosti start a vypnut poctace udrzba zarzen vyuzv an poctacov eho s alu,... maj b yt viditelne vystaven e zam estnanci maj b yt skolen na jejich pouzv an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 11

10.1. Dokumentace provoznch procedur, pozn amky Zbytecn e detailn procedury / rdce aplikovateln e procedury { jakoby by nebyly z adn e Pri outsourcov an IT sluzeb mus b yt provozn procedury vyz ad any v kontraktu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 12

10.1. Zm enov e rzen Cl { Changes to information processing facilities and systems shall be controlled. Rzen zm en zarzen pro zpracov an informac, operacnch syst em u a aplikacnho software Form aln, dokumentovan e postupy pro vsechny zmeny techto aktiv Neadekv atn urove n zm enov eho rzen { v yrazn a zranitelnost zdroj zbytecn ych n aklad u Inovacn zm ena mus b yt vyvol ana adekv atnmi d uvody, mus existovat krit eria pro rozhodov an o inovaci a relevantn casov e pl any postupu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 13

10.1. Zm enov e rzen procedura zm enov eho rzen OS a aplikacnch syst em u { typicky 1-str ankov y dokument pokr yvajc identikci v yznamu zm eny z pohledu cinnost organizace (prpadn e dopln enou o posouzen prnosu zm eny) pl an testov an zm eny a prevzet zm eny uzivatelem posouzen mozn ych (bezpecnostnch,... ) dopad u, vc. dopad u na jin y aplikacn ci provozn software a hardware form aln odsouhlasen zm eny sdelen o zmene vsem relevantnm osob am postup pro zrusen zmeny a n avrat do p uvodnho stavu Kazd a zm ena v sti by m ela vyvolat prehodnocen hlavnch rizik pro bezpecnost informac a prpadne n asledn e zmeny v prohl asen o aplikovatelnosti Mus se opravit vsechny dokumenty z avisl e na menen em jevu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 14

10.1. Odd elen povinnost (oblast odpov ednosti) Cl { Duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization s assets. Odd elen rdicch a v ykonn ych povinnost snizuje moznosti proveden neopr avn en ych uprav / zneuzit informac / sluzeb. V mal ych organizacch obtzn e dosaziteln e vzdy je nutn e implementovat separaci v co mozn a nejv etsm rozsahu Odd elen rzen, monitoringu a auditu je neobejiteln e, audit vzdy mus b yt nez avisl y Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 15

10.1. Odd elen povinnost (oblast odpov ednosti) Clem je odd elen iniciace ud alosti od povolen jejho v yskytu prevence sp ach an podvodu bez moznosti detekce v oblasti s jedinou odpov ednost, tj. odd elen cinnost, kter e { pro sp ach an podvodu vyzaduj uzavren tajn e dohody (napr. vystaven objedn avky x potvrzen zsk an zboz) pracuj s aktivy, kter e posouzen rizik oznacilo jako podvodn e manipulovateln e a mus b yt do manipulace s nimi zahrnuty alespo n dva intern zam estnanci (snzen pravd epodobnosti konspirace s extern osobou) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 16

10.1. Odd elen v yvojov ych, testovac a provoznch prostred Cl { Development, test and operational facilities shall be separated to reduce the risks of unauthorised access or changes to the operational system. relevantn pozadavek pro organizace s vlastnm v yvojov ym strediskem prp. s v yvojem zajist'ovan ym outsourcingem Mus b yt dokumentovan a pravidla pro prenos software z v yvojov eho do testovacho a z testovacho do provoznho prostred Jednotliv a prostred maj b yt implementovan a na r uzn ych poctacch / v r uzn ych dom en ach Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 17

10.1. Odd elen v yvojov ych, testovac a provoznch prostred Jednotliv a prostred maj pracovat s r uzn ymi daty v yvojov e prostred { umel a nebo scramblovan a ziv a data testovac prostred { vzorek ziv ych dat za podmnek shodn ych s provoznm prostredm s ziv ymi daty pouze v provoznm prostred Mus se pouzvat odlisn e autentizacn metody v jednotliv ych prostredch V yvoj nesm mt nikdy prstup do provoznho prostred Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 18

10.2. Rzen dod avek sluzeb tretch stran Tret strana { jin a entita nez entita prmo zahrnut a do transakc, cinnost,..., organizace Firma x zákazníci x tret strana dod avajc sluzby rm e Cl { To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements. Relevantn oblasti opatren Dod avky sluzeb Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Zm enov e rzen ve sluzb ach tretch stran Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 19

10.2. Dod avky sluzeb Cl { It shall be ensured that the security controls, service definitions and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party. Smlouva o dod avk ach s tret stranou mus identikovat vsechna bezpecnostn opatren, denice vsech sluzeb a formy jejich poskytov an Outsourcing m uze pozadovat zrzen rdicho t ymu a mechanism u pro sledov an v ykonnosti Mus se peclive a detailne pl anovat a dokumentovat pred an dat tret stran e vc. posouzen rizik jest e pred uzavrenm kontraktu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 20

10.2. Dod avky sluzeb Smlouva by m ela obsahovat dolozku o moznosti pozadovat nav ysen sly bezpecnostnch opatren Vzdy je nutno v enovat zvl astn pozornost probl em um typu citliv e nebo kritick e aplikace, kter e by mohly b yt l epe reseny in-house souhlas vlastnk u a dodavatel u softwaru s outsourcingem procesu dopady na pl any zachov an cinnosti bezpecnostn standardy, kter e budou z avazn e pro tret strany, a jak se m a soulad s nimi merit kter e cinnosti a individu aln odpov ednosti je treba sledovat zvl ad an bezpecnostnch incident u a zabudov an smluvnch procedur do politik organizace D uraz na smluvn z avazky tret strany v oblasti bezpecnosti rzen prstupu, spr ava bezpecnosti podle dohodnut ych standard u,... D ukladn a dokumentace agendy, z apisy z porad, dodatecn e dohody,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 21

10.2. Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Cl { The services, reports and records provided by the third party shall be regularly monitored and reviewed, and audits shall be carried out regularly. Za dod avky sluzeb mus b yt nekdo (role/oddelen) odpovedn y Mezi klcov e odpov ednosti patr sledov an v ykonu { zajist'ov an, aby se skutecn e dosahovala smluvn urovn e sluzeb, identikace nedostatk u, a dohadov an jak by nedostatky m ely b yt opraveny. prezkoum av an vsech z aznam u o bezpecnostnch incidentech (vcetn e auditnch zpr av), provoznch probl emech, poruch ach, z avad ach a o cemkoliv jin em, co m uze generovat riziko pro organizaci a zajisten, aby byla prijata prslusn a n apravn a opatren. To m uze v est k eskalaci smluvnch vztah u doplnenm smluvnch ustanoven o mozn em nav ysen plnen a manazersk y t ym odpovedn y za smlouvu by m el mt dovednosti a zkusenosti pro rzen eskalace. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 22

10.2. Sledov an a prezkoum av an poskytovan ych dod avek sluzeb Z adn y prostor pro nejasnosti { vse mus b yt dokumentovan e Mus ex. moznost prezkoum avat u tret strany procesy zmenov eho rzen, z aznamen av an incident u a reakc na ne, identikace zranitelnost a uplat nov an opatren Odpov ednost za zpracov an dat m a objedn avajc strana, odpov ednost nelze smlouvou prev ezt na tret stranu m a-li organizace vyhov et datov e orientovan e legislativ e, mus b yt adekv atn procesy a syst emy i u tret strany Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 23

10.2. Zm enov e rzen ve sluzb ach tretch stran Cl { Changes to the provision of services, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business systems and processes involved and re-assessment of risks. Spr ava zm enov eho rzen zajist'ovan eho u tret strany mus b yt r adne zakotveno ve smlouve o outsourcingu jedn a se o mezi-organizacn procesy musej b yt odsouhlaseny oboustrann e Jedn a se o vsechny zmeny majc dopad na inf. bezpecnost mus se prov est posouzen rizik n asledovan e identikac a implementac relevantnch opatren Zm enu m uze iniciovat i tret strana (podle pravidel ve smlouv e) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 24

10.3. Pl anov an a prejm an syst em u Cl { To minimize the risk of systems failures. Relevantn oblasti opatren Spr ava kapacit Prejm an syst em u Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 25

10.3. Spr ava kapacit Cl { The use of resources shall be monitored, tuned, and projections made of future capacity requirements to ensure the required system performance. Organizace m a sledovat pozadavky na kapacity a progn ozovat jejich v yvoj souborov e / dom enov e servery, tisk arny, komunikacn spoje,... zv ysen aktivit si vyz ad a zvetsen t ymu, bude potreba vce osobnch poctac u,... n ar ust webov ych aktivit pri e-komerci Nedostatecn e kapacity jsou zdroje bezpecnostnch incident u typu DoS (Denial of Services) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 26

10.3. Prejm an syst em u Cl { Acceptance criteria for new information systems, upgrades, and new versions shall be established and suitable tests of the system(s) carried out during development and prior to acceptance. Organizace m a stanovit prejmac krit eria pro nov e syst emy, vylepsen syst em u, pro jejich nov e verze pri prejm an mus prob ehnout relevantn testy Prejmac krit eria mus b yt strucn a, jasn a, (smluvn e) odsouhlasen a a dokumentovan a Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 27

10.3. Prejm an syst em u Prejm an nov e verze syst emu vyzaduje prov est kontroly spln en pozadavk u dan ych cinnost organizace na: na v ykony poctac u a kapacity revize / vytvoren nov ych program u pro obnovu po poruch ach a restart prepracov an a otestov an rutinnch provoznch procedur implementaci nov ych bezpecnostnch opatren po znovu proveden em posouzen rizik vypracov an nov ych manu al u a dokumentovan ych provoznch procedur inovaci pl anu zachov an kontinuity cinnosti organizace pod an d ukaz u, ze nov e syst emu nemaj neprzniv y vliv na bezc existujc syst emy pod an d ukaz u posouzenm rizik jak y m a dopad nov y syst em na celkovou bezpecnost organizace zaskolen uzivatel u na nov y syst em a posouzen dopadu na uplat novan e pracovn praktiky Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 28

10.3. Prejm an syst em u M a se provozovat nov y syst em po jistou dobu soubezne s p uvodnm syst emem? Zvl astn pozornost je potreba v enovat prejmacm krit erim pro nov e komunikacn syst emy Posouzen rizik m uze vyz adat proveden test u, verikac a certikac nez avislou tret stranou Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 29

10.4. Ochrana proti skodliv ym a mobilnm program um Cl { To protect the integrity of software and information. Relevantn oblasti opatren Opatren proti skodliv ym program um Malware is a term that denotes software designed for some malicious purpose. programy, kter e na poctaci bez bez vedom uzivatele a nejak ym zp usobem jej poskozuj, nebo zhorsuj jeho funkci { viry, cervi, Trojst kone,..., spyware Opatren proti mobilnm program um program that can execute on remote locations with any modification in the code. [It] can travel and execute from one machine to another on a network during its lifetime { software transferred between systems, e.g. transferred across a network or via a USB flash drive, and executed on a local system without explicit installation or execution by the recipient ActiveX, Java, JavaScript, VBScript, MS Word macros, PostScript,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 30

10.4. Opatren proti skodliv ym program um Cl { Detection, prevention, and recovery controls to protect against malicious code and appropriate user awareness procedures shall be implemented. ISMS m a obsahovat politiku a procedury pozadujc vyhov en softwarov ym licencm a zakazujc pouzvat neutorizovan y software ISMS m a obsahovat politiku a procedury chr anc organizaci proti importu skodliv eho software { z akaz prm eho prstupu uzivateli na extern disky, CD-ROM, USB pameti apod. Data z nich m uze zav adet pouze IT t ym po kontrole. V sti organizace m a b yt instalovan y aktualizovan y,,anti-malware software" Bez prodlen instalovat opravy (z aplaty) zverejn en e v yrobcem licencovan eho software a o vsech instalac z aplat v est auditn z aznamy (kdy, kdo, co instaloval) Pravideln e prezkoum avat software a data na vsech poctacch organizace a odhalovat a odstra novat neautorizovan e programy / data Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 31

10.4. Opatren proti skodliv ym program um Vsechny soubory z externch zdroj u kontrolovat na v yskyt skodliv eho software Vsechny prlohy e-mail u kontrolovat na rewallu na v yskyt skodliv eho software Zam estnance proskolovat v rozpozn av an potenci aln e napaden ych e-mail u skodliv ym software Ustanoven odpov ednosti za b eh ochran proti skodliv emu software, detekce incident u a odtra nov an d usledk u cinnosti skodliv eho software se m a resit dokumentovan ymi procedurami M a existovat BCP pro obnovu po utoku skodliv ym software Bezpecnostn manazeri maj mt prstup ke vhodn ym a d uv eryhodn ym zdroj um aktu alnch informac o skodliv em software Maj b yt instalov any opatren proti spyware Zamestnanci maj b yt skolen jak z achazet s webovsk ymi uzly napadnut ymi skodliv ym software Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 32

10.4. Opatren proti mobilnm program um Cl { Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to clearly defined security policy, and unauthorized mobile code shall be prevented from executing. trivi aln resen { politikou zak azat instalaci a na rewallu blokovat software obsahujc mobiln k od blokov an lze omezit na vybran e podezrel e uzly Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 33

10.5. Z alohov an Cl: To maintain the integrity and availability of information and information processing facilities. Relevantn oblasti opatren Z alohov an informac Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 34

10.5.Z alohov an informac Cl { Back-up copies of information and software shall be taken and tested regularly in accordance with the agreed backup policy. Ide al { vsechny informace organizace uchov avat na serverech organizace a servery pravideln e (automaticky) z alohovat Povinnost z alohovat data z prenosn ych zarzench na serverech organizace m a b yt souc ast inici alnho bezpecnostnho skolen zam estnance politika z alohov an mus pokr yvat vsechna potenci aln msta obsahujc citliv a data organizace z alohovat je potreba data origin alne uchov avan a nejen v elektronick e, ale i v paprov e forme mus se urcit metody a frekvence z alohov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 35

10.5.Z alohov an informac z alohovan e informace spolecne s upln ymi a presn ymi z aznamy o tom co je z alohov ano a dokumentace procedur obnovy se m a uchov avat ve vzd alen e lokalite z aloh an lze resit kontraktem s tret stranou z alohovac cyklus m a implementovat 3-generacn postup aplikovan y na mescn, t ydenn a denn z alohy: { syn: kazd y den v t ydnu samostatne, prepis kazd y t yden { otec: kazd y t yden v mesc, prepis kazd y mesc { dedecek: kazd y mesc v roce, prepis kazd y rok na z alohy se mus aplikovat stejn a bezpecnostn opatren jako na origin aln data, prpadn e je navc utajovat sifrov anm z alohovac m edia je potreba pravideln e testovat na zpracovatelnost pravideln e se maj testovat vsechny obnovovac procedury dokumentovan e v ISMS a v ysledky test u se maj uchov avat v dokumentaci BCP Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 36

10.5.Z alohov an informac z alohov an m a b yt predmetem pravideln eho prezkoum av an managementem Kritick e aplikace maj b yt provozovan e na serverech implementovan ych na technologii RAID (ide aln e RAID 5) m a b yt stanovena doba uchov av an z aloh podle omezen dan ych pozadavkem vyhov en legislativ e, smluvnm z avazk u a byznys modelu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 37

10.6. St'ov a bezpecnost Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure. Relevantn oblasti opatren St'ov a opatren { Internet acceptable use policy, AUP Bezpecnost st'ov ych sluzeb Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 38

10.6. St'ov a opatren Cl { Networks shall be adequately managed and controlled, in order to be protected from threats, and to maintain security for the systems and applications using the network, including information in transit. odpov ednost za provoz st e resit odd elen e od administrace poctac u { viz Odd elen/odd elen povinnost jednoznacn e denovat odpov ednosti a procedury spr avy vzd alen ych zarzen vc. oblast vzd alen ych uzivatel u speci aln opatren se mus prijato pro ochranu dat pren asen ych bezdr atov ymi a verejn ymi stemi v cel e sti mus b yt mus b yt konzistentne aplikovan a opatren denovan v ISMS mus b yt dokumentovan a architektura cel e ste vc. detail u konguracnch nastaven a specikace vsech softwarov ych a hardwarov ych komponent Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 39

10.6. Internet acceptable use policy, AUP Mus b yt v psemn e forme Mus b yt srozumitelne sdelena vsem zamestnanc um Nastavuje povolen e pouzv an jak Internetu, tak i e-mailu, m a kombinovat prohl asen o pouzv an Internetu a vyuzv an e-mailu Specilkuje, kter e pouzv an Internetu je zak azano { napr. stahov an neprstojn ych dokument u, pornograe a nez akonn ych materi al u Sd eluje, co se monitoruje Denuje prijateln e on-line chov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 40

10.6. Internet acceptable use policy, AUP Ud av a z ak azan e on-line oblasti { napr. pornograck e / rasistick e servery Nastavuje pravidla zachov an soukrom ve vztahu k ostatnm uzivatel um pri respektov an pr ava zam estnavatele sledovat aktivity zam estnanc u Sd eluje co jsou pravd epodobn e disciplin arn d usledky porusen pravidel AUP Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 41

10.6. Internet acceptable use policy, AUP Uvod AUP tvor souhrnn e prohl asen M elo by zact s pripomenutm hrozeb Internetu a rci, ze organizace nebude odpov edn a za jak ekoli stazen e ci prohlzen e materi aly. D ale se m a sdelit, ze pouzv an Internetu mus b yt v souladu se standardy pln en cinnost organizace a je souc ast pracovnch povinnost zam estnance. Jak ekoli porusen AUP m uze v est k disciplin arnmu rzen a prp. i k ukoncen zam estn an. Nez akonn e cinnosti mohou b yt ozn ameny prslusn ym org an um. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 42

10.6. Internet acceptable use policy, AUP Generick e body obsahu AUP Uzivatelsk e ID organizace, weby a e-mailov e ucty lze pouzvat pouze pro komunikaci schv alenou organizac Pouzit internetu/intranetu/e-mailu/konverzacnch syst em u m uze b yt predmetem sledov an a uzivatel e mohou b yt pri pouzv an techto zdroj u omezov ani. Distribuce informac prostrednictvm Internetu (vcetn e e-mailu a jin ych poctaci podporovan ych syst em u) m uze b yt organizac kontrolov ana a organizace si rezervuje pr avo stanovit vhodnosti informace. Pouzv an poctacov ych prostredk u organizace podl eh a pr avu a zneuzit bude adekv atn e potrest ano. Uzivatel e nesm navst evovat internetov e str anky, kter e obsahuj vulg arn, nen avistn e nebo nez adouc materi aly a nesm obch azet opatren omezujc prohlzen a na Internet nesm ucinit nebo vystavit neslusn e pozn amky, n avrhy nebo materi aly. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 43

10.6. Internet acceptable use policy, AUP Uzivatel e nesm rozeslat e-maily, kter e nesouvis s cinnost organizace nebo pro sv uj osobn prosp ech, nesm odeslat nebo prijmat jak ykoli obsc enn ci hanliv y materi al nebo materi al urcen y k obtezov an nebo k zastrasov an jin e osoby a nesm predkl adat sv e osobn n azory jako n azory organizace. Uzivatel e nesm ukl adat, stahovat nebo jinak pren aset komercn software a/nebo autorsky chr an en y materi al, patrc organizaci nebo kter ekoliv jin e tret strane Uzivatel nesm ani odhalit ani zverejnit d uv ern e informace (uvede se klasikacn urove n) a nesm odeslat d uvern e e-maiy bez zasifrov an na urovni vyzadovan e politikou ISMS. Uzivatel e se nesm pokouset obch azet politiku prevence uplatn en skodliv eho software a mus zachov avat vsechny odpovdajc politiky organizace, Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 44

10.6. Internet acceptable use policy, AUP Uzivatel z amerne nezasahuje do norm aln cinnosti ste a ani necin z adn e kroky, kter e by ostatnm br anily ve vyuzv an ste a nesm bez explicitnho povolen zkoumat, m enit nebo pouzvat soubory jin ych osob nebo jak ekoli jin e informacn aktivum Uzivatel e nesm vykon avat jak ekoliv jin e nevhodn e aktivity, kter e v jist ych casov ych intervalech oznacuje organizace, a nesm mrhat casem neo i jin ymi zdroji na cinnosti nesouvisejc s cinnostmi organizace. Mysl se tm stahov an ze server u soci alnch st, servery, objemy dat n arocn e na srku p asma, jako jsou naprklad videa a hudebn soubory MP3, sdlen digit alnch fotogra atd. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 45

10.6. Bezpecnost st'ov ych sluzeb Cl { Security features, service levels, and management requirements of all network services shall be identified and included in any network services agreement, whether these services are provided in-house or outsourced. St'ov e sluzby m uze poskytovat organizace intern e nebo outsourcingem Prklady { application service providers (ASP), Internet service providers (ISPs), serverov e farmy, sluzby poskytujc dedikovan e informace,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 46

10.6. Bezpecnost st'ov ych sluzeb Je nutn e identikovat a dokumentovat bezpecnostn charakteristiky st'ov ych sluzeb bezpecnostn technologie (sifrov an, autentizace, typ sit'ov eho spojen,... ) technick e parametry pro bezpecn e spojen s poskytovatelem sluzby procedury pro omezen prstupu ke sluzb am, existuj-li opatren vztahujc se k udaj um uchopv avan ym v syst emu (napr. osobn data) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 47

10.7. Spr ava m edi Cl: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities. Relevantn oblasti opatren Spr ava v ymenn ych m edi Skladov ani m edi Procedury pro manipulac s informacemi Bezpecnost syst emov e dokumentace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 48

10.7. Spr ava v ymenn ych m edi Cl { There shall be procedures in place for the management of removable media. p asky, disky, kazety, tisten e zpr avy ochrana pred znicenm, kr adez, neautorizovan ym prstupem manipulaci s USB pam etmi apod. mus denovat bezpecnostn politika m edium odstra novan e z organizace mus b yt vymaz ano, plne, ne pouze co je videt v adres ari vyn asen m edia mimo budovu m a b yt explicitne povolov ano a dokumentov ano, pravideln e vyn asen (z alohy) m a rdit procedura skladov an m edi mus vyhovovat pravidl um stanoven ych v yrobcem je nutno respektovat dobu zivotnosti stanovenou v yrobcem Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 49

10.7. Skladov ani m edi Cl { Media shall be disposed of securely and safely when no longer required, using formal procedures. ISMS mus obsahovat procedury zajist'ujc bezpecn e skladov an m edi obsahujcch listinn e dokumenty hlasov e a videoz aznamy kopr aky v ystupn zpr avy tisk arensk e p asky USB pam eti CD ROM listingy program u, testovac data, dokumentace syst emu,... nutn e jsou procedury skartace a likvidace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 50

10.7. Procedury pro manipulac s informacemi Cl { Procedures for the handling and storage of information shall be established to protect this information from unauthorized disclosure or misuse. procedury mus pokr yvat prevoz m edi rzen prstupu urcen autorizovan eho prjemce dat na b azi klasikace dat zajist en kompletnosti vstupnch dat, zpracov an, validace v ystup u zach azen s m ediu podle specikace v yrobcem distribuci dat vyhovujc klasikacnm sch emat um pravideln e prezkoum av avn distribucnch a autorizacnch seznam u zda obsahuj aktu aln cle Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 51

10.7. Bezpecnost syst emov e dokumentace Cl { System documentation shall be protected against unauthorized access. ochrana pred neautorizovan ym prstupem nejde o verejne dostupn e manu aly,... jde o vnitrn dokumentaci organizace popisujc syst emy, procesy, struktury dat, autorizacn procesy,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 52

10.8. V ym ena informac Cl: To maintain the security of information and software exchanged within an organization and with any external entity. Relevantn oblasti opatren Politiky a procedury pri v ym en e informac Dohody o v ymene informac a program u Fyzick a m edia pri preprave Elektronick e zasl an zpr av Aplikacn informacn syst emy organizace E-mail t emer zcela nahradil d alnopis a zjevne brzo nahrad fax a tradicn postu. E-mail se od bezn e posty odlisuje { m a vysokou rychlost, jinou strukturu zpr av, nzkou form alnost, vykazuje moznost chybn eho dorucen, koprov an, snadn eho zachycen a moznost prenosu prloh. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 53

10.8. Politiky a procedury pri v ym en e informac Cl { Formal exchange policies, procedures, and controls shall be in place to protect the exchange of information through the use of all types of communication facilities. V ym ena informac formami komunikacn linky, e-mail, hlas, fax, video,... Opatren mus zajist'ovat ochranu proti neautorizovan emu zachycov an, koprov an, modikov an, presm erov av an, rusen,... informac Pouzit e mechanismy Vodoznaky, sifrov an,... pro zajist en d uv ernosti, integrity, autenticity,... Nutnost respektovat klasikacn sch ema, legislativn omezen,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 54

10.8. Politiky a procedury pri v ym en e informac Mus se prijmout politika ochrany proti skodliv emu software a mus se implementovat relevantn opatren Citliv e dokumenty se nesm tisknout / ponech avat ve verejn e dostupn ych tisk arn ach / faxech, mus b yt zaslan e na dedikovan a zarzen Je potreba srozumiteln e identikovat hrozbu komunikace v bezdr atov em prostred a do prohl asen o aplikovatelnosti d at adekv atn politiku a opatren Pouzit telefon u a mobil u z mst, kter a nejsou bezpecn a, nesm vyzradit d uv ernou informaci (verejn e prostory, kancel are s tenk ymi stenami, are al konkurenta, preplnen y vlak... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 55

10.8. Politiky a procedury pri v ym en e informac Nepouzvat pro d uv ernou v ym enu informac zarzen, kter a lze snadno kompromitovat (telefon v are alu konkurenta) nebo jsou automaticky nahr avan a (banky,... ) D uvernou informaci nesdelovat do hlasov e schr anky nebo pomoc SMS E-mail lze snadno chybn e nasm erovat, pred odesl anm se mus pecliv e ov erit vsichni adres ati D uv ern e informace se nesm poslat faxem Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 56

10.8. Dohody o v ymene informac a program u Cl { Agreements shall be established for the exchange of information and software betweenthe organization and external parties. Smlouva mus specikovat bezpecnostn podmnky v ym en dan e sch ematem klasikace informac Zaveden v ym en m uze si vyz adat proveden ohodnocen rizik Mus se identikovat na obou stran ach kdo je odpovedn y za rzen, oznamov an, zahajov an a prijm an v ym en Mus se denovat procedury sd elujc druh e stran e odesl an / prijet citliv e informace a opatren zajist'ujc sledovatelnost a nepopiratelnost Mus se urcit technick e standardy pro balen a prenos informac Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 57

10.8. Dohody o v ymene informac a program u Mus se urcit kur yrn identikacn procedury Mus se urcit odpov ednosti a rucen za ztr atu informac nebo bezpecnostn incidenty Mus se dohodnout syst em oznacov an, kter y zajist, ze se bezprostredn e zjist a poskytnou odpovdajc ochrany. Mel by b yt shodn y se syst emem pouzvan ym v organizaci intern e. Mus urcit odpov ednost za vlastnictv informac a software, ochrany dat, autorsk a pr ava apod. Maj se urcit technick e standardy pro z apis / cten informac Mus se denovat specick a opatren (napr. kryptograck a), kter a mohou b yt potrebn a pro konkr etn citliv e informace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 58

10.8. Fyzick a m edia pri preprave Cl { Media containing information shall be protected against unauthorized access, misuse or corruption during transportation beyond an organization s physical boundaries. Nejcast eji se prepravuj CD-ROMy a p asky Posta a obcasn a kur yrn sluzba nejsou bezpecn e prepravn syst emy Je nutn e prijmout opatren typu sifrov an, pokud m edium obsahuje citliv e / osobn data udrzovat seznam spolehliv ych, d uv eryhodn ych kur yrnch sluzeb, prpadn e pouzvat smluvn e v azanou kur yrn sluzbu jako sluzbu poskytovanou tret stranou Balen hardware mus respektovat pozadavky jeho v yrobce Prpadn e pouzvat fyzick a opatren (zamykateln e kontejnery,... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 59

10.8. Elektronick e zasl an zpr av Cl { Information involved in electronic messaging shall be appropriately protected. Politika bezpecn eho pouzv an e-mailu Generick a rizika e-mailu zranitelnost neautorizovan ym prstupem, neautorizovanou modikac a utoky typu DoS zranitelnost nespr avn ym adresov anm, chybn ym sm erov anm a nespolehlivost Internetu legislativn probl emy { nejsou dostupn e d ukazy p uvodu, odesl an a prjmu neovladatelnost vzd alen eho uzivatele Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 60

10.8. Elektronick e zasl an zpr av Politika bezpecn eho pouzv an e-mailu by m ela zajistit Odpov ednost zam estnance nekomprmitovat organizaci zakazujc pouzit e-mail u spolecnosti pro zasl an hanliv ych mail u nebo pro obtezov an, pro neopr avnen e n akupy nebo publikov an n azor u na dodavatele, partnery ci z akaznky z organizace. E-mail by se nem el pouzvat pro komunikaci citliv e informace s jistou klasikac Prlohy e-mail u by mel b yt vhodne chr aneny, (prpadn e) pomoc kryptograck ych kontrol n ejak eho typu Jak reagovat na viry a podvod zavirovanou zpr avou Velikost schr anky s prchoz postou mus b yt zajist ena procedurou Bez konkr etnho predchozho povolen nelze pouzvat e-mail pro n akup jm enem organizace. Pokud lze, pak jen v souladu s aktu aln politikou organizace pro n akupu. Firemn e-mailov a adresa nesm b yt pouzita pro osobn n akupy nebo jin e osobn transakce. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 61

10.8. Aplikacn informacn syst emy organizace Cl { Policies and procedures shall be developed and implemented to protect information associated with the interconnection of business information systems. Soucasn e distribuovan e syst emy dramaticky zvysuj elektronickou komunikaci mezi zam estnanci a moznost sdlen informaci F2F komunikace je vrozen e bezpecn ejs Doporucen a opatren Jasn e denovan a politika sdlen informac respektujc sch ema Jestlize nelze zajistit adekv atn ochranu proti prstupu zvenc organizace, pak chr an enou informaci nelze publikovat na vnitroorganizacnch n ast enk ach Opatren zajist'ujc bezpecnou komunikaci via rizikov y Internet Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 62

10.8. Aplikacn informacn syst emy organizace Osobn kalend are akc zverej novat pouze spolupracovnk um na projektu,... Pro kazd y aplikacn informacn syst em by m ela b yt stanovena pozadovan a v yse z aruky za bezpecnost a jej dosazen prok azat evaluac ISMS pozaduje identikovat kategorie zam estnanc u a smluvnch partner u s povolen ym prstupem k syst em u a lokality, odkud lze syst emy zprstup novat ISMS pozaduje urcit prstupov a pr ava k aplikacnm syst em um jednotlivc um, na z aklad e jejich rol v organizacnm sch ematu E-mail mus rozlisovat mezi internmi a externmi adresami, aby uzivatel e mohli omezit cirkulaci informac Mus b yt zavedena politka z alohov an a obnov Mus b yt zavedena politika cinnosti organizace v nouzov em rezimu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 63

10.9. Elektronick e obchodov an Cl: To ensure the security of electronic commerce services, and their secure use. Relevantn oblasti opatren Elektronick e obchodov an On-line transakce Verejn e dostupn e informace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 64

10.9. Elektronick e obchodov an Cl { Information involved in electronic commerce passing over public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification. Hlavn probl em elektronick eho obchodov an { nepopiratelnost nepopiratelnost p uvodu { jistota pro prijmac stranu, ze odeslatel nen podvodnk nepopiratelnost odesl an { d ukaz, ze v jist em case vec byla odesl ana nepopiratelnost prijet { d ukaz, ze prijmac strana skutecn e zzskala odeslanou vec, druhosledove kdy a kde Ochrana Web server u pred utoky Ochrana komunikac { SSL, IPSec, PKIX, S/MIME,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 65

10.9. Elektronick e obchodov an Opatren mus zajistit, ze obchodov an pres verejn e st e je chr anen e pred podvody, smluvnmi rozepremi, neautorizovan ym zprstupn enm a modikac d uv ern ych dat Mezi stranami se mus dohodnout (prklad pro B2B) Autentizace { poslen d uv ery mezi z akaznkem a obchodnkem Autorizace { strany mus v ed et ze smluvn vztahy byly domluveny s autorizovanou rol Prodejn procesy { s nepopiratelnost, d uv ernost, integritou, d ukazy odesl an a prjmu dokument u Jak d uvern e jsou domluvy o slev ach Jak a je d uvernost chr anen ych transakcnch detail u (platba, detaily dod avky,... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 66

10.9. Elektronick e obchodov an Co se mus ov erovat na platebnch informacch Nejbezpecn ejs metodu plateb a jak se bude resit podvod s pad elanou platebn kartou Jak se zabr an duplikacm a ztr at am transakc Kdo nese odpov ednost za skody podvodn ymi transakcemi a jak se res pojist en Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 67

10.9. On-line transakce Cl { Information involved in on-line transactions shall be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay. Vhodn a opatren Elektronick e podpisov an { vesm es pro B2B, casto nepraktick e pro C2B Zajist en d uv ernosti transakc (pomoc SSL), zajist en ochrany osobnch dat Pln e sifrov an komunikac Bezpecnost mus b yt resena v koncov ych syst emech Mus se respektovat legislativn omezen Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 68

10.9. Verejn e dostupn e informace Cl { The integrity of information being made available on a publicly available system shall be protected to prevent unauthorized modification. Typy opatren Informace publikovan a na webu m a b yt odsouhlasen a predem Informace zsk avan a z verejn ych web u od lid sm b yt shromazd'ov ana v souladu s omezenmi dan ymi legislativou Webovsk e aplikace mus ltrovat uzivateli dod avan a data (viz OWASP) Citliv a data mus b yt pri zsk av an a ukl ad an adekv atne chr anena (platebn informace z karet apod. { SSL, 3D-Secure,... ) Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 69

10.10. Sledov an, monitorov an Cl: To detect unauthorized information processing activities. Relevantn oblasti opatren Porizov an auditnch z aznam u Monitorov an pouzv an syst emu Ochrana auditnch z aznam u Administr atorsk y a oper atorsk y denk Denky selh an Synchronizace casu Detekce odchylek ucink u prijat ych opatren odchylek od politiky rzen prstupu detekce opakovan eho zneuzv an,... Zsk av an d ukaz u pro n asledn e resen bezpecnostnch incident u a podklad u pro kontrolu efektivnosti prijat ych opatren Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 70

10.10. Porizov an auditnch z aznam u Cl { Audit logs recording user activities, exceptions, and information security events shall be produced and kept for an agreed periodto assist in future investigations and access control monitoring. Z aznamy o v yjimk ach ud alostech souvisejcch s informacn bezpecnost Mus se uchov avat po stanovenou dobu zdroj informac o tom co funguje spatn e Za veden odpovd a CISO, co se sleduje obvykle stanovuje rdic v ybor ITSec Sbrat se mus nutn e informace, ne,,vsechny"informace Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 71

10.10. Porizov an auditnch z aznam u Typicky sledovan e informace, prklady ID uzivatele, doba prihl asen / odhl asen uspesn e a ne uspesn e prstupy uzivatel u k aktiv um zm eny v konguraci syst emu pouzit aplikac aktivace / deaktivace ochran (anti-vir) vesker a narusen pravidel bezopecnostn politiky upozornen z rewal u a syst em u detekce pr unik u,... Auditn denk mus b yt silne prstupove chr anen y, slouz mj. pro odhalen neautorizovan ych prstup u jeho veden by m elo zajist'ovat Odd elen internho auditu IT administr atori nemaj mt k denku prstup a nesm ej mt moznost vypnat sv e sledov an Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 72

10.10. Monitorov an pouzv an syst emu Cl { Procedures for monitoring use of information processing facilities shall be established and the results of the monitoring activities reviewed regularly. organizace mus mt zavedeny procedury pro sledov an zpracov an informac z aznamy ze sledov an se mus pravideln e zkoumat frekvenci zkoum an urc v ysledek posouzen rizik Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 73

10.10. Ochrana auditnch z aznam u Cl { Logging facilities and log information shall be protected against tampering and unauthorized access. Je nutn a striktn autorizace modikacnch prstupov ych pr av Z aznamy lze pouzvat jako d ukazy pri soudnch sporech Objemy zaznamen avan ych informac b yvaj obrovsk e je nutn e stanovit politiku bezpecn e archivace z aznam u ide aln resen { datov e trezory Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 74

10.10. Administr atorsk y a oper atorsk y denk Cl { System administrator and system operator activities shall be logged. Prklady zaznamen avan ych ud alost spust en a zastaven cinnosti, kdo tak ucinil popis akce (zahrnut e procesy, soubory,... ) chyby syst emu (co, kdy) a opravn e akce vse co souvis se z alohov anm a obnovou jm eno osoby ucinvs z aznam Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 75

10.10. Denky selh an Cl { Faults shall be logged, analyzed, and appropriate action taken. O selh anch maj b yt vedeny z aznamy, tyto maj b yt analyzovan e a z avady maj b yt odstra novan e Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 76

10.10. Synchronizace casu Cl { The clocks of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source. Napr. zkoum an z aznam u o bezpecnostnch incidentech vyzaduje informaci o case v yskyt u ud alost Hodiny ve vsech poctacch maj b yt synchronizovan e bud'to s UCT (Universal Coordinated Time) nebo s lok alnm standardnm casem dopad driftu hodin v poctacch,... Maj se pouzvat standardizovan e form aty vyj adren casu nerespektov an letnho casu m uze mt negativn dopad na zkoum an auditnch z aznam u,... chybn a interpretace casu br an zkoum an ud alost, prprave d ukaz u,... Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 77

11. Rzen prstupu { vybran y ilustracn prklad oddlu Oddl 11. Rzen prstupu obsahuje 7 kategori bezpecnosti 11.1 Pozadavky na rzen prstupu { vybran y ilustracn prklad kategorie bezpecnosti 11.2 Rzen prstupu uzivatel u 11.3 Odpov ednosti uzivatel u 11.4 Rzen prstupu k sti 11.5 Rzen prstupu k operacnmu syst emu 11.6 Rzen prstupu k aplikacm a informacm 11.7 Mobiln v ypocetn zarzen a pr ace na d alku Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 78

11.1 Pozadavky na rzen prstupu Cl { Rdit prstup k informacm Prstup k informacm, prostredk um pro zpracov an informac a proces um organizace by mel b yt rzen na z aklade provoznch a bezpecnostnch pozadavk u organizace M ela by b yt zohledn ena pravidla organizace pro sren informac a pravidla, podle nichz probh a schvalov an. V ycet opatren 11.1.1 Politika rzen prstupu Tato kategorie zav ad jedin e opatren { politiku rzen prstupu Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 79

11.1.1 Politika rzen prstupu Opatren Mela by b yt vytvorena, zdokumentov ana a v z avislosti na aktu alnch bezpecnostnch pozadavcch prezkoum av ana politika rzen prstupu Doporucen k realizaci Prstupov a pravidla a opr avnen by mela b yt jasne stanovena pro kazd eho uzivatele nebo skupinu uzivatel u v seznamu pravidel prstupu. Pravidla by mela pokr yvat jak logick y, tak fyzick y prstup, oba typy prstup u by mely b yt reseny soucasne. Uzivatel um a poskytovatel um sluzeb by melo b yt pred ano jasn e vyj adren o provoznch pozadavcch, kter e napl nuje rzen prstupu. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 80

11.1.1 Politika rzen prstupu Doporucen k realizaci (pokrac.) { Politika rzen prstupu by m ela br at v uvahu n asledujc hlediska: bezpecnostn pozadavky jednotliv ych aplikac organizace identikace vsech informac ve vztahu k jednotliv ym aplikacm a rizika, kter ym jsou informace vystaveny pravidla pro sren informac a pravidla schvalov an, tj. princip potreby zn at, bezpecnostn urovn e a klasikaci informac konzistence prstupov ych pravidel a klasikace informac pro r uzn e syst emy a ste odpovdajc legislativu a ostatn smluvn z avazky ve vztahu k ochrane prstupu k dat um nebo sluzb am standardn prstupov e proly uzivatel u pro b ezn e kategorie cinnost Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 81

11.1.1 Politika rzen prstupu rzen pravidel prstupu v distribuovan em a st'ov em prostred rozezn avajcm vsechny mozn e typy pripojen odd elen jednotliv ych rol pro rzen prstupu, napr. vyrizov an pozadavk u na prstup, schvalov an prstupu, spr ava prstup u pozadavky na form aln schv alen z adost o prstup pozadavky na pravideln e prezkoum av an prstupov ych pr av podmnky a postupy pro odebr an prstupov ych pr av Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 82

11.1.1 Politika rzen prstupu Dals informace rozlisovat mezi pravidly, kter a mus b yt v platnosti vzdy, a temi, kter a jsou nepovinn a nebo podmnen a stanovit pravidla na z aklad e principu,,vsechno, co nen v yslovn e povoleno, je zak az ano\, ne na z aklade mekcho pravidla,,vsechno, co nen v yslovne zak az ano, je povoleno\ zohled novat zm eny ve oznacov an informac, kter e jsou vyvol any automaticky prostredky pro zpracov an informac, a zm eny, kter e jsou vyvol any z rozhodnut uzivatele zohled novat zm eny uzivatelsk ych opr avn en, kter e jsou vyvol any automaticky prostredky pro zpracov an informac, a ty, kter e jsou vyvol any administr atorem rozlisovat pravidla, kter a vyzaduj schv alen administr atorem nebo jinou pov erenou osobou, a ta, kter a toto nevyzaduj. Jan Staudek, FI MU Brno PV017 { Katalog opatren, ISO/IEC 27002 83