P. O. BOX Brno 16 Zásady tvorby bezpečnostní dokumentace informačních systémů určených k nakládání s utajovanými informacemi

Podobné dokumenty
Zpráva pro uživatele

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. III ZE DNE

Varování podle - použití a dopady. Adam Kučínský ředitel odbor regulace

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Posuzování zdravotní způsobilosti k řízení motorových vozidel jako součásti výkonu práce

bezpečnostní politiku na interní LAN síti, NAC) a řešení komplexní bezpečnostní politiky.

USNESENÍ. Č. j.: ÚOHS-S339/2012/VZ-21769/2012/523/Krk Brno 20. prosince 2012

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT, metodik ICT. Plán práce 2015/2016

INTRANET V JVK ČESKÉ BUDĚJOVICE

GLOBÁLNÍ ARCHITEKTURA ROB

PŘÍLOHA D Požadavky na Dokumentaci

Provozní řád služby zálohování CIT

Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze

UNIVERZITA PARDUBICE. Směrnice č. 29/2005. Vnitřní kontrolní systém na Univerzitě Pardubice

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

1. Státní fond rozvoje bydlení (dále jen Fond ) je právnickou osobou.

Informační systém o státní službě (ISoSS) Pracovní postup pro práci v Servisdesku ISoSS

Krajský úřad Karlovarského kraje

Vnitřní předpis města Náchoda pro zadávání veřejných zakázek malého rozsahu (mimo režim zákona č. 137/2006 Sb., o veřejných zakázkách)

Organizační řád Občanského sdružení NHfree.net

Program prevence nehod a bezpečnosti letů

MĚSTO KOPŘIVNICE MĚSTSKÝ ÚŘAD KOPŘIVNICE

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

uzavřená podle 1746 odst. 2 občanského zákoníku níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti. Ing. Tomáš Krejčí Odbor regulace, auditu a podpory

Etržiště České pošty Centrum veřejných zakázek.

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE

EXTRAKT z mezinárodní normy

Výzva k podání nabídky na veřejnou zakázku: Právní služby a poradenství pro Regionální radu regionu soudržnosti Jihovýchod

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT. Plán práce 2012/2013

Tento projekt je spolufinancován. a státním rozpočtem

Pravidla on-line výběrových řízení ENTERaukce.net

DOBRÁ ŠKOLA Ústeckého kraje 2013/2014

Provozní řád upravuje pravidla pro využívání informačních technologií Sdružení Tišnet členem.

PODPORA VYBUDOVÁNÍ A PROVOZU ZAŘÍZENÍ PÉČE O DĚTI PŘEDŠKOLNÍHO VĚKU PRO PODNIKY I VEŘEJNOST MIMO HL. M. PRAHU / V HL. M. PRAZE

Technická specifikace předmětu plnění. VR Organizace dotazníkového šetření mobility obyvatel města Bratislavy

Technický dozor investora (TDI) na stavbu Rekonstrukce a revitalizace městského centra v Mnichovicích. Město Mnichovice

Příjem a hodnocení žádostí o podporu

VIS ČAK - Uživatelský manuál - OnLine semináře

Výzva k podání nabídek

Sledování provedených změn v programu SAS

PRAVIDLA PRO ŽADATELE A PŘÍJEMCE PODPORY. v Operačním programu Životní prostředí pro období

INSPEKČNÍ POSTUP ATESTACE REFERENČNÍHO ROZHRANÍ ISVS

Pojišťovna České spořitelny, a. s. Směrnice č. 4/2006 Obecná certifikační politika Pojišťovny České spořitelny a.s. SMĚRNICE

Dohoda o výkonu pěstounské péče

VÝZVA K PODÁNÍ NABÍDKY

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

Shop System - Smlouva o poskytování software

Smlouva o obchodním zastoupení

Projektový manuál: SME Instrument Brno

Informace k ochraně osobních údajů

NÁVODNÁ STRUKTURA MÍSTNÍHO AKČNÍHO PLÁNU VZDĚLÁVÁNÍ

- Aplikace je napsána v C#.NET, je instalována na webovém serveru - Data jsou ukládána v databázi MS-SQL 2005 a vyšší

Zjednodušená projektová dokumentace pro realizaci bezpečnostních opatření

Všeobecné smluvní podmínky provozu služby Outsourcing e- spis LITE

65 51 H/01 Kuchař číšník. Téma "2012_SOP_ kuchař, číšník" samostatná odborná práce

Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory

ZADÁVACÍ DOKUMENTACE

Želešice - vodovodní řád pro zónu k podnikání

Příloha č.6 Procesy podpory produktivního provozu IISSP

Příloha č. 2 Popis podporovaných aktivit

IT Strategie a Standardy Akademie hotelnictví a cestovního ruchu střední škola, s.r.o.

VÝZVA K PODÁNÍ NABÍDKY V RÁMCI ZADÁNÍ VEŘEJNÉ ZAKÁZKY MALÉHO ROZSAHU: č. 20/2012/Město

HVĚZDÁRNA A PLANETÁRIUM BRNO, příspěvková organizace

Configuration Management

Informačně expertní systém včasného varování a vyrozumění v důsledku stanovení rizik skalního řícení

Vyzýváme Vás k podání cenové nabídky k veřejné zakázce malého rozsahu nazvané

Ministerstvo vnitra České republiky vyhlašuje Výzvu k předkládání žádostí o finanční podporu v rámci Integrovaného operačního programu

Tvorba jednotného zadání závěrečné zkoušky ve školním roce 2010/2011

ZPRÁVA PRO UŽIVATELE

VEŘEJNÁ VYHLÁŠKA OPATŘENÍ OBECNÉ POVAHY STANOVENÍ PŘECHODNÉ ÚPRAVY PROVOZU NA POZEMNÍCH KOMUNIKACÍCH

II. Vyhlašovatel programu, poskytovatel dotace. III. Cíle a priority programu (účelové určení)

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Případy užití RSSystems

Obecné informace podle 26 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), o uskutečněných kontrolách za rok 2018

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Pracovní seminář Koncesní řízení na provozování Vak dobrá praxe

MMR SLUŽBY MOBILNÍHO OPERÁTORA. nadlimitní veřejná zakázky otevřeného řízení. Česká republika, Ministerstvo pro místní rozvoj

Pravidla pro poskytování fakultativních služeb klientům

Město Tábor. Pravidla projektového řízení

Řád: 15/2018 Účinnost od: Číslo jednací: ZS_Curie 435/2018 Datum zpracování: Vypracoval:

16. výzva IROP Energetické úspory v bytových domech

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

Oznámení o vyhlášení výběrového řízení na služební místo vedoucího inspektora Oblastního inspektorátu práce pro hlavní město Prahu

Výzva č. 3/2017 Dotační program na podporu projektů prevence kriminality v roce 2017

INFORMACE SPOLEČNOSTI V SOUVISLOSTI S POSKYTOVÁNÍM INVESTIČNÍCH SLUŽEB

ŠKOLICÍ PŘÍRUČKA POŽÁRNÍ OCHRANA

INFORMOVÁNÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S OBSAZOVÁNÍM PRACOVNÍCH POZIC A ZAMĚSTNÁVÁNÍM OSOB

Specifikace pro SW aplikaci Start-up business.

CELOŽIVOTNÍ VZDĚLÁVÁNÍ V SOCIÁLNÍCH SLUŽBÁCH III. 3 OSNOVA VZDĚLÁVACÍHO PLÁNU ORGANIZACE B. 1 SOUČASNÝ STAV A STRUKTURA PRACOVNÍKŮ

Metoda klíčových ukazatelů pro činnosti zahrnující zvedání, držení, nošení

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE PŘÍKAZ. Č. j.: ÚOHS-S0096/2016/VZ-06824/2016/522/PKř Brno: 22. února 2016

METODIKA ZPŮSOBILÝCH VÝDAJŮ OPERAČNÍHO PROGRAMU LIDSKÉ ZDROJE A ZAMĚSTNANOST

METODIKA ZPŮSOBILÝCH VÝDAJŮ OPERAČNÍHO PROGRAMU LIDSKÉ ZDROJE A ZAMĚSTNANOST

Výzva k podání nabídek

STAVEBNÍ BYTOVÉ DRUŽSTVO PORUBA

VYMEZENÍ ZPŮSOBILÝCH VÝDAJŮ. PROGRAM PODPORY PORADENSTVÍ VÝZVA I Poradenské služby pro MSP

Transkript:

P. O. BOX 17 616 00 Brn 16 www.nukib.cz Zásady tvrby bezpečnstní dkumentace infrmačních systémů určených k nakládání s utajvanými infrmacemi verze 1.0 Praha, 2017

Obsah 1. Úvdní infrmace... 4 2. Dkument Bezpečnstní plitika infrmačníh systému... 4 2.1. Struktura dkumentu Bezpečnstní plitika infrmačníh systému... 4 2.2. Kapitla 1. Úvdní ustanvení... 4 2.3. Kapitla 2. Persnální bezpečnst... 5 2.4. Kapitla 3. Pčítačvá bezpečnsti... 6 2.5. Kapitla 4. Kryptgrafická chrana... 6 2.6. Kapitla 5. Fyzická bezpečnst... 6 2.7. Kapitla 6. Administrativní bezpečnst... 7 2.8. Kapitla 7. Řízení a plánvání kntinuity... 7 2.9. Kapitla 8. Další bezpečnstní dkumentace... 7 3. Dkument Analýza rizik infrmačníh systému... 8 3.1. Základní analýza rizik... 8 3.1.1. Prtipatření v blasti persnální bezpečnsti a rganizačních patřeních... 8 3.1.2. Prtipatření v blasti fyzické bezpečnsti... 9 3.1.3. Prtipatření v blasti pčítačvé bezpečnsti... 9 3.1.4. Prtipatření v blasti kmunikační bezpečnsti... 10 3.1.5. Prtipatření v blasti administrativní bezpečnsti... 10 3.1.6. Prtipatření v blasti kmprmitujícíh vyzařvání... 10 3.2. Dplňkvá analýza rizik... 10 4. Dkument Návrh bezpečnsti infrmačníh systému... 11 4.1. Struktura dkumentu Návrh bezpečnsti infrmačníh systému... 11 4.2. Kapitla 1. Úvdní ustanvení... 11 4.2.1. Kapitla 1.1. Ppis infrmačníh systému... 11 4.2.2. Kapitla 1.2. HW knfigurace infrmačníh systému... 12 4.2.3. Kapitla 1.3. SW knfigurace infrmačníh systému... 12 4.3. Kapitla 2. Persnální bezpečnst... 12 4.4. Kapitla 3. Pčítačvá bezpečnst... 13 4.4.1. Kapitla 3.1. Jednznačná identifikace a autentizace... 13 4.4.2. Kapitla 3.2. Vlitelné řízení přístupu... 13 4.4.3. Kapitla 3.3. Auditní záznamy... 14 4.4.4. Kapitla 3.4. Opakvané pužití bjektů... 14 4.4.5. Kapitla 3.5. Ochrana před škdlivým kódem... 14 4.4.6. Kapitla 3.6. Instalace, pužívání a bezpečnstní nastavení SW... 14 4.4.7. Kapitla 3.7. Kmunikační bezpečnst (puze pr LAN)... 14 Nárdní úřad pr kyberneticku a infrmační bezpečnst 2

4.4.8. Kapitla 3.8. Kmprmitující vyzařvání... 15 4.4.9. Kapitla 3.9. Servisní činnst... 15 4.4.10. Kapitla 3.10. Pžadavky na dstupnst... 15 4.5. Kapitla 4. Kryptgrafická chrana... 15 4.6. Kapitla 5. Fyzická bezpečnst... 16 4.7. Kapitla 6. Administrativní bezpečnst... 16 4.8. Kapitla 7. Řízení a plánvání kntinuity... 17 5. Dkumenty Bezpečnstní směrnice infrmačníh systému... 18 5.1. Struktura bezpečnstních směrnic... 18 5.2. Typické pvinnsti bezpečnstníh správce... 18 5.3. Typické pvinnsti správce... 19 5.4. Typické pvinnsti uživatele... 20 Nárdní úřad pr kyberneticku a infrmační bezpečnst 3

1. Úvdní infrmace Následující návd pdává základní infrmace pr tvrbu bezpečnstní dkumentace infrmačníh systému, který je určen k nakládání s utajvanými infrmacemi a prvzvaný v bezpečnstním prvzním módu vyhrazeném neb s nejvyšší úrvní, případně s nejvyšší úrvní s frmálním řízením přístupu k infrmacím. Cílem je zejména usnadnit tvrbu bezpečnstní dkumentace pr účely certifikace infrmačníh systému vlastními silami žadatele. POZNÁMKA Pr infrmační systém zalžený na pužití jednh neb více samstatných sbních pčítačů se vynechají části týkající se kmunikací a jejich zabezpečení. 2. Dkument Bezpečnstní plitika infrmačníh systému Dkument Bezpečnstní plitika infrmačníh systému je základním dkumentem bezpečnstní dkumentace infrmačníh systému. Vzniká jak první v návaznsti na ptřebu prvzvat certifikvaný infrmační systém určený k nakládání s utajvanu infrmací. Dkument Bezpečnstní plitika infrmačníh systému musí splňvat následující pžadavky: nebsahuje knkrétní infrmace (typ HW neb SW, umístění, nastavení parametrů apd.), je tvřen zejména deklaracemi naplnění pžadavků právních nrem především z blasti chrany utajvaných infrmací, je maximálně stručný a v rzsahu maximálně něklika stran, je autrizván právněnu sbu rganizace. 2.1. Struktura dkumentu Bezpečnstní plitika infrmačníh systému 1. Úvdní ustanvení 2. Persnální bezpečnst 3. Pčítačvá bezpečnst 4. Kryptgrafická chrana 5. Fyzická bezpečnst 6. Administrativní bezpečnst 7. Řízení a plánvání kntinuity 8. Další bezpečnstní dkumentace 2.2. Kapitla 1. Úvdní ustanvení Kapitla Úvdní ustanvení služí k základnímu ppisu infrmačníh systému a k vymezení základních bezpečnstních cílů. Základní ppis infrmačníh systému bsahuje: základní definici struktury infrmačníh systému (samstatný pčítač, skupina samstatných pčítačů, malá LAN, rzsáhlá LAN), základní určení dislkace infrmačníh systému (neuvádí se knkrétní umístění, ale puze rzsah umístění infrmačníh systému jedna/něklik místnstí, jedn/něklik pater budvy, jedn/něklik budv v jednm/něklika areálech apd.), určení základních typů periferních zařízení (síťvé/lkální tiskárny a skenery, aj.), Nárdní úřad pr kyberneticku a infrmační bezpečnst 4

nejvyšší stupeň utajení zpracvávaných infrmací, v případě předpkládanéh zpracvávání infrmací cizí mci i nejvyšší stupeň utajení infrmací cizí mci, zvlený bezpečnstní prvzní mód, základní typ a účel zpracvávaných utajvaných infrmací (běžné dkumenty, databáze, výkresvá dkumentace apd.), rzsah utajvaných infrmací s dkazem na plžky Nařízení vlády č. 522/2005 Sb., kterým se stanví seznam utajvaných infrmací, základní typ aplikačníh SW (kancelářský SW, SW pr kreslení technických výkresů apd.), předpkládaný pčet uživatelů, předpkládaný rzsah zpracvání utajvaných infrmací (časvý údaj např. pčet hdin za pracvní den), pužitý perační systém/systémy (neuvádí se knkrétní verze), vztah k jiným pčítačvým sítím (u samstatných sbních pčítačů např. vyjmutí síťvé karty, zákaz pužití mdemu, u LAN zpravidla izlace d jiných pčítačvých sítí), v případě záměru pužití kryptgrafických prstředků uvést účel. Mezi základní bezpečnstní cíle patří: zajištění důvěrnsti a integrity utajvané infrmace všude, kde se vyskytuje, zajištění dstupnsti infrmace a služeb infrmačníh systému a dpvědnsti uživatele infrmačníh systému za jeh činnst v něm, zajištění neppiratelnsti a pravsti infrmací všude, kde je t aplikvatelné, zpracvání utajvaných infrmací bude prbíhat v suladu s pžadavky zákna č. 412/2005 Sb. a s příslušnými vyhláškami Úřadu v platném znění, zpracvání utajvaných infrmací bude prbíhat v suladu s pžadavky dalších právních předpisů, nrem, mezinárdních smluv, nadřízené bezpečnstní plitiky, interních předpisů apd. (uvést jejich případný seznam). 2.3. Kapitla 2. Persnální bezpečnst V kapitle Persnální bezpečnst jsu deklarvány základní pžadavky na infrmační systém z hlediska persnální bezpečnsti vycházející ze zákna č. 412/2005 Sb. a 16 až 19 vyhlášky č. 523/2005 Sb. definice rlí půsbících v infrmačním systému (bezpečnstní správce, správce, uživatel apd.) včetně deklarace vytvření prvzních bezpečnstních směrnic pr tyt rle, které budu definvat jejich pvinnsti, deklarace základních pžadavků na uživatele infrmačníh systému: splnění pdmínek přístupu fyzické sby k utajvané infrmaci stupně utajení dpvídajícíh nejvyššímu stupni utajení infrmace, která může být v infrmačním systému zpracvávána ( 6 neb 11 zákna č. 412/2005 Sb.), splnění pdmínek přístupu fyzické sby k utajvané infrmaci cizí mci, pvěření d rle v infrmačním systému, pršklení ze znalstí prvzních bezpečnstních směrnic ( 19 dst. 2 vyhlášky č. 523/2005 Sb.), další pžadavky pdle ptřeb rganizace (např. dbrná způsbilst). Nárdní úřad pr kyberneticku a infrmační bezpečnst 5

deklarace zavedení frmálních pstupů pr udělení právnění pr přístup d infrmačníh systému, zavedení uživatele d infrmačníh systému, pr včasné vyřazení uživatele při zániku jeh Osvědčení neb Oznámení, změně jeh pracvníh zařazení, dchdu z rganizace apd., deklarace zásady pužívání jedinečnéh identifikátru uživatele pr přístup k infrmačnímu systému. 2.4. Kapitla 3. Pčítačvá bezpečnsti V kapitle je deklarván naplnění minimálních pžadavků pčítačvé bezpečnsti pdle 7 a 8 vyhlášky č. 523/2005 Sb., pžadavků na chranu prti kmprmitujícímu vyzařvání pdle 14 vyhlášky č. 523/2005 Sb., pžadavků na bezpečnst při instalaci infrmačníh systému pdle 22 vyhlášky č. 523/2005 Sb. a pžadavků na bezpečnst prvzvanéh infrmačníh systému pdle 23 vyhlášky č. 523/2005 Sb. V rámci pžadavků pčítačvé bezpečnsti je deklarván zejména naplnění zajištění: jednznačné identifikace a autentizace, vlitelnéh řízení k bjektům infrmačníh systému, nepřetržitéh zaznamenávání a mžnsti zpětnéh zkumání auditních záznamů, šetření paměťvých bjektů před jejich dalším pužitím, bezpečnsti vstupně výstupních prtů (zejména výměnné nsiče infrmací), naplnění pžadavků kmunikační bezpečnsti pdle 9 a 9a vyhlášky č. 523/2005 Sb., chrany před škdlivým kódem (zejména antivirvá chrana), chrany prti úniku utajvaných infrmací prstřednictvím kmprmitujícíh vyzařvání, chrany utajvaných infrmací při servisní činnsti, pžadavků na dstupnst infrmací a služeb infrmačníh systému v čase a místě pdle 10 vyhlášky č. 523/2005 Sb., (jak dluh smí být služby nedstupné, jaká minimální funkčnst musí být zajištěna i v krizvých situacích). 2.5. Kapitla 4. Kryptgrafická chrana Tat kapitla se zařazuje puze v případě, že bude v infrmačním systému prvzván kryptgrafický prstředek certifikvaný pdle zákna č. 412/2005 Sb. Je třeba uvést, zda kryptgrafický prstředek bude pužit pr chranu utajvané infrmace ulžené na pčítačvém médiu neb pr chranu kmunikací a deklarvat zajištění suladu se záknem č. 412/2005 Sb. a vyhlášku č. 432/2011 Sb., zajištění kryptgrafické chrany utajvaných infrmací, ve znění vyhlášky č. 417/2013 Sb. 2.6. Kapitla 5. Fyzická bezpečnst V kapitle je deklarván naplnění pžadavků fyzické bezpečnsti v závislsti na tm, zda na daném zařízení se infrmace puze zpracvávají a zbrazují neb i ukládají pdle vyhlášky č. 528/2005 Sb., fyzické bezpečnsti a certifikaci technických prstředků, ve znění vyhlášky č. 19/2008 Sb. a vyhlášky č. 454/2011 Sb., a 20 vyhlášky č. 523/2005 Sb. Nárdní úřad pr kyberneticku a infrmační bezpečnst 6

2.7. Kapitla 6. Administrativní bezpečnst V kapitle je deklarván naplnění pžadavků administrativní bezpečnsti pdle vyhlášky č. 529/2005 Sb., administrativní bezpečnsti a registrech utajvaných infrmací, ve znění pzdějších předpisů. V rámci administrativní bezpečnsti je deklarván naplnění pžadavků: na nsiče utajvaných infrmací pdle 15 vyhlášky č. 523/2005 Sb., na evidenci a autrizaci administrativních a evidenčních pmůcek a dkumentace. 2.8. Kapitla 7. Řízení a plánvání kntinuity V kapitle je deklarván zajištění řízení kntinuity a vypracvání plánů kntinuity (havarijní plány a činnsti při krizvých situacích a bezpečnstních incidentech). 2.9. Kapitla 8. Další bezpečnstní dkumentace V kapitle je deklarván, že bude prvedena analýza rizik v suladu se stanvenými bezpečnstními pžadavky a na základě výsledků tét analýzy bude vypracván Návrh bezpečnsti infrmačníh systému, bezpečnstní směrnice pr jedntlivé rle definvané v infrmačním systému a případně další specifikvané dkumenty. Nárdní úřad pr kyberneticku a infrmační bezpečnst 7

3. Dkument Analýza rizik infrmačníh systému Dkument Analýza rizik infrmačníh systému je druhým dkumentem v rámci prjektvé bezpečnstní dkumentace. Analýza rizik vychází z dkumentu Bezpečnstní plitika infrmačníh systému a snaží se nalézt mžné hrzby a zranitelnsti půsbící na hdncený infrmační systém a následně stanvit relevantní prtipatření pr zajištění přiměřené chrany tak, aby byla tat prtipatření dstatečně účinná a sučasně finančně a rganizačně přiměřená pvaze chráněné věci. Analýzu rizik je mžn prvádět různými metdami viz ČSN ISO/IEC 27005 Infrmační technlgie Bezpečnstní techniky Řízení rizik bezpečnsti infrmací. Pr infrmační systémy maléh rzsahu Úřad na základě nrmy ČSN ISO/IEC 27005 vypracval zjedndušenu metdiku hdncení rizik, kteru pskytuje na základě písemnéh vyžádání žadatelům certifikaci neb pakvanu certifikaci infrmačníh systému. Zjedndušená analýza rizik jer určena pr malé infrmační systémy (samstatná pracvní stanice) určené pr nakládání s utajvanými infrmacemi nejvýše d stupně utajení Vyhrazené. Při prvádění analýzy rizik u infrmačních systémů určených k nakládání s utajvanými infrmacemi je nutn brát v úvahu jistá specifika těcht systémů: maximální důraz na ddržvání legislativních patření určených právními předpisy z blasti chrany utajvaných infrmací, nemžnst stanvení knkrétní finanční hdnty nejdůležitějšíh aktiva utajvané infrmace. 3.1. Základní analýza rizik Pr infrmační systémy maléh rzsahu lze becně knstatvat, že pkud jsu ddržena veškerá legislativní patření a dpručení Úřadu, pak lze předpkládat, že míry veškerých rizik jsu pd hdntu akceptvatelné meze a infrmační systém lze pkládat za bezpečný pr nakládání s utajvanu infrmací. V takvémt případě pstačuje, aby dkument Analýza rizik infrmačníh systému bsahval puze seznam identifikvaných aktiv a aplikvaných prtipatření. 3.1.1. Prtipatření v blasti persnální bezpečnsti a rganizačních patřeních Uživatelé infrmačníh systému musí splňvat pdmínky pr přístup k utajvané infrmaci v suladu s 6 neb 11 zákna č. 412/2005 Sb. a musí být pr práci v infrmačním systému prkazatelně pvěřeni dpvědnu sbu prvzvatele infrmačníh systému neb jí pvěřenu sbu. Uživatelé, bezpečnstní správci a správci infrmačníh systému musí splňvat pdmínky pr přístup k utajvané infrmaci stupně utajení, stanveným v suladu s bezpečnstním prvzním módem a v závislsti na nejvyšším stupni utajení utajvaných infrmací se kterými může infrmační systém nakládat ( 16 vyhlášky č. 523/2005 Sb.). Je-li prvzvatelem infrmačníh systému pdnikatel, pak musí splňvat pdmínky 15 zákna č. 412/2005 Sb. Pr infrmační systém se zavádí systém bezpečnstní správy s rlí bezpečnstníh správce ( 18 vyhlášky č. 523/2005 Sb.). Bezpečnstní správce pvede seznam autrizvaných uživatelů infrmačníh systému ( 19 dst. 1 vyhlášky č. 523/2005 Sb.). Prvzvatel infrmačníh systému bude zajišťvat úvdní šklení uživatelů, bezpečnstních správců a správců v ddržvání patření stanvených v bezpečnstní dkumentaci a správném užívání infrmačníh systému. Další šklení bude prvzvatelem zajišťván kamžitě při Nárdní úřad pr kyberneticku a infrmační bezpečnst 8

pdstatných změnách v infrmačním systému a jinak nejméně jedenkrát rčně ( 19 dst. 2 vyhlášky č. 523/2005 Sb.). V bezpečnstní dkumentaci infrmačníh systému budu pr řešení krizvých situací stanvena patření zaměřená na jeh uvedení d stavu dpvídající bezpečnstní dkumentaci. V bezpečnstní dkumentaci budu uvedeny základní typy krizvých situací splu se specifikvanými činnstmi zaměřenými na minimalizaci škd, likvidaci následků a zajištění infrmací ptřebných pr zjištění příčin a mechanizmu vzniku ( 23 dst. 10 vyhlášky č. 523/2005 Sb.). Servisní činnst v infrmačním systému bude rganizvána tak, aby nebyla hržena jeh bezpečnst. Údržbu kmpnent infrmačníh systému zajišťující bezpečnstní funkce neb přím vlivňující jeh bezpečnst musí zajišťvat sby splňující pdmínky zákna pr přístup k utajvaným infrmacím nejvyššíh stupně utajení, pr jehž nakládání je infrmační systém určen ( 23 dst. 6 a7 vyhlášky č. 523/2005 Sb.). V infrmačním systému bude pužíván puze SW a HW vybavení dpvídající bezpečnstní dkumentaci schválené Úřadem a pdmínkám certifikační zprávy k certifikátu infrmačníh systému ( 23 dst. 4 vyhlášky č. 523/2005 Sb.). Pr infrmační systém bude existvat bezpečnstní dkumentace schválená Úřadem 4 vyhlášky č. 523/2005 Sb.). Bezpečnst infrmačníh systému bude průběžně, s hledem na jeh skutečný stav, prvěřvána a vyhdncvána ( 23 dst. 1 vyhlášky č. 523/2005 Sb.). 3.1.2. Prtipatření v blasti fyzické bezpečnsti Utajvaná infrmace bude zpracvávána v suladu s 24 dst. 5 zákna č. 412/2005 Sb., v zabezpečené blasti příslušné kategrie neb vyšší, neb v bjektu příslušné kategrie neb vyšší. Utajvaná infrmace bude ukládána v úschvném bjektu v zabezpečené blasti příslušné kategrie neb vyšší ( 24 dst. 6 zákna č. 412/2005 Sb.). Opatření fyzické bezpečnsti stanví dpvědná sba neb jí pvěřená sba v prjektu fyzické bezpečnsti ( 31 dst. 3 zákna č. 412/2005 Sb.). Orgán státu, právnická sba a pdnikající fyzická sba budu zajišťvat a pravidelně věřvat, zda pužitá patření fyzické bezpečnsti dpvídají prjektu fyzické bezpečnsti a právním předpisům v blasti chrany utajvaných infrmací ( 31 dst. 5 zákna č. 412/2005 Sb.). Aktiva infrmačníh systému budu umístěna d prstru, ve kterém je zajištěna fyzická chrana infrmačníh systému před neprávněným přístupem, pškzením a vlivněním ( 20 dst. 1 vyhlášky č. 523/2005 Sb.). Umístění aktiv infrmačníh systému bude prveden tak, aby zamezval nepvlané sbě dezírat utajvané infrmace neb infrmace služící k identifikaci a autentizaci uživatele ( 20 dst. 3 vyhlášky č. 523/2005 Sb.). Aktiva infrmačníh systému budu patřena chrannými prvky, tak aby je byl mžné tevřít, puze při sučasném zničení těcht prvků ( 20 dst. 2 vyhlášky č. 523/2005 Sb.). 3.1.3. Prtipatření v blasti pčítačvé bezpečnsti Operační systémy budu nastaveny v suladu s dpručeními Úřadu. Každý SW bude před nasazením d infrmačníh systému testván v prvzním prstředí s hledem na pžadvanu funkcinalitu a testvání bude zadkumentván. Řízení vstupně výstupních prtů bude prváděn v suladu s dpručeními Úřadu. Nárdní úřad pr kyberneticku a infrmační bezpečnst 9

Ochrana před škdlivým kódem bude prváděna v suladu s dpručeními Úřadu. 3.1.4. Prtipatření v blasti kmunikační bezpečnsti Kmunikační bezpečnst bude nastavena v suladu s dpručeními Úřadu. Ochrana pasivních prvků síťvé infrastruktury bude prváděna v suladu s dpručeními Úřadu. Ochrana aktivních prvků síťvé infrastruktury bude prváděna v suladu s dpručeními Úřadu. 3.1.5. Prtipatření v blasti administrativní bezpečnsti Všechny nsiče utajvaných infrmací pužívané při prvzu v infrmačním systému budu evidvané a značené ( 15 dst. 1 a 2 vyhlášky č. 523/2005 Sb.). Všechny nsiče utajvaných infrmací pužívané pr předávání utajvaných infrmací jiným subjektům (rgán státu, právnická sba neb pdnikající fyzická sba) budu evidvané a značené (vyhláška č. 529/2005 Sb.). Ničení nsiče utajvaných infrmací bude prveden tak, aby se znemžnil utajvanu infrmaci z něh pětvně získat ( 15 dst. 7 vyhlášky č. 523/2005 Sb.). 3.1.6. Prtipatření v blasti kmprmitujícíh vyzařvání Pužitá HW zařízení v infrmačním systému budu splňvat pžadavky na elektricku bezpečnst a elektrmagneticku kmpatibilitu (EMC) pdle zákna č. 22/1997 Sb., technických pžadavcích na výrbky a změně a dplnění některých záknů, ve znění pzdějších předpisů. Umístění aktiv infrmačníh systému bude prveden tak, aby zamezval nepvlané sbě dezírat utajvané infrmace neb infrmace služící k identifikaci a autentizaci uživatele ( 20 dst. 3 vyhlášky č. 523/2005 Sb.). Pužitá HW zařízení v infrmačním systému budu splňvat pžadavky standardu NBÚ-2/2007, verze 2 z rku 2011, Instalace zařízení z hlediska kmprmitujícíh elektrmagnetickéh vyzařvání. 3.2. Dplňkvá analýza rizik Pkud nelze splnit některá prtipatření definvaná v předešlých kapitlách, pak je nutné tut skutečnsti zhlednit a důvdnit v dplňkvé analýze rizik. Dplňkvá analýza rizik musí bsahvat: stanvení hrzeb a zranitelnstí na něž neaplikvané prtipatření měl půsbit, stanvení nvých náhradních prtipatření, hdncení vlivu nvých prtipatření na hrzby a zranitelnsti a důvdnění dstatečnsti navrhvaných prtipatření. Nárdní úřad pr kyberneticku a infrmační bezpečnst 10

4. Dkument Návrh bezpečnsti infrmačníh systému Dkument Návrh bezpečnsti infrmačníh systému je stěžejním dkumentem prjektvé bezpečnstní dkumentace infrmačníh systému. Návrh bezpečnsti detailně rzpracvává aplikaci prtipatření stanvených v dkumentu Analýza rizik infrmačníh systému pr splnění pžadavků definvaných v dkumentu Bezpečnstní plitika infrmačníh systému. Dkument Návrh bezpečnsti infrmačníh systému musí splňvat následující pžadavky: bsahuje knkrétní infrmace (typ HW neb SW, umístění, nastavení parametrů apd.), je maximálně přesný, je autrizván právněnu sbu rganizace. 4.1. Struktura dkumentu Návrh bezpečnsti infrmačníh systému 1. Úvdní ustanvení 1.1. Ppis infrmačníh systému 1.2. HW knfigurace infrmačníh systému 1.3. SW knfigurace infrmačníh systému 2. Persnální bezpečnst 3. Pčítačvá bezpečnst 3.1. Jednznačná identifikace a autentizace 3.2. Vlitelné řízení přístupu 3.3. Auditní záznamy 3.4. Opakvané pužití bjektů 3.5. Ochrana před škdlivým kódem 3.6. Instalace, pužívání a bezpečnstní nastavení SW 3.7. Kmunikační bezpečnst 3.8. Kmprmitující vyzařvání 3.9. Servisní činnst 3.10. Pžadavky na dstupnst 4. Kryptgrafická chrana 5. Fyzická bezpečnst 6. Administrativní bezpečnst 7. Řízení a plánvání kntinuity 4.2. Kapitla 1. Úvdní ustanvení Kapitla detailně rzpracvává základní ppis infrmačníh systému uvedený v dkumentu Bezpečnstní plitika. 4.2.1. Kapitla 1.1. Ppis infrmačníh systému úplný a přesný ppis infrmačníh systému dplněný schématem, přesnu dislkaci infrmačníh systému, Nárdní úřad pr kyberneticku a infrmační bezpečnst 11

nejvyšší stupeň utajení zpracvávaných infrmací, v případě zpracvávání infrmací cizí mci i nejvyšší stupeň utajení infrmací cizí mci, zvlený bezpečnstní prvzní mód, předpkládaný pčet uživatelů, předpkládaný rzsah zpracvání utajvaných infrmací (časvé vyjádření), vztah k jiným pčítačvým sítím (u samstatných sbních pčítačů např. vyjmutí síťvé karty, zákaz pužití mdemu, u LAN zpravidla izlace d jiných pčítačvých sítí), v případě záměru pužití kryptgrafických prstředků uvést účel a typ. 4.2.2. Kapitla 1.2. HW knfigurace infrmačníh systému Úplný a přesný seznam HW kmpnent včetně sérivých čísel. Infrmační systém samstatných pčítačů (1 a více): typ PC s bližšími údaji jeh kmpnentách včetně HDD, typ mnitru včetně typu připjení k PC (VGA, DVI apd.), human interface (klávesnice, myš) včetně typu připjení (PS2, USB apd.), HW kryptgrafické prstředky, periferní zařízení (např. zálhvání, UPS). Infrmační systém typu LAN: servery typ a bližší údaje jejich kmpnentách, pracvní stanice typ a bližší údaje jejich kmpnentách včetně lkálních periferních zařízeních (např. tiskárny, UPS), HW kryptgrafické prstředky, síťvé periferní zařízení (např. síťvé tiskárny, diskvá ple, zálhvací zařízení, centrální UPS), pasivní prvky síťvé infrastruktury (datvé rzvdy) typ, způsb vedení apd., aktivní prvky síťvé infrastruktury (např. ruter, switch). 4.2.3. Kapitla 1.3. SW knfigurace infrmačníh systému Úplný a přesný seznam SW kmpnent včetně značení jejich verzí. Mezi SW kmpnenty patří zejména: perační systémy, aplikační SW (kmerční i speciální), antivirvé prgramy, SW kryptgrafické prstředky, zálhvací utility, administrátrské utility. 4.3. Kapitla 2. Persnální bezpečnst definice rlí půsbících v infrmačním systému (pdle bezpečnstní plitiky), seznam knkrétních pžadavků na sby v jedntlivých rlích infrmačníh systému: splnění pdmínek přístupu fyzické sby k utajvané infrmaci knkrétníh stupně utajení (případně i utajvané infrmaci cizí mci), Nárdní úřad pr kyberneticku a infrmační bezpečnst 12

pvěření d rle v infrmačním systému (kd a jak), pršklení ze znalstí prvzních bezpečnstních směrnic (kd a jak), další knkrétní pžadavky pdle ptřeb rganizace (např. dbrná způsbilst). ppis způsbu pvěřvání sb vyžadvaných bezpečnstní plitiku pr správu infrmačníh systému (bezpečnstníh správce, správce, případně jejich zástupci aj.) dkaz na přílhu, v níž jsu uvedeny sby, aktuálně jmenvané d těcht funkcí, s čísly jejich Osvědčení d NBÚ pr přístup k dpvídajícímu stupni utajení, případně s údaji Oznámení vzry frmulářů pr jmenvání uvedených sb zajištění zástupnsti, případné slučení rlí, ppis pstupu pr zařazení/vyřazení uživatele d/z infrmačníh systému (kd tm rzhdne, kd infrmuje bezpečnstníh správce zrušení právnění pr přístup d infrmačníh systému před dchdem dané sby z rganizace, zánikem jejíh Osvědčení neb Oznámení, způsb sdělvání tét infrmace bezpečnstnímu správci, vzr frmuláře se schválením zařazení/vyřazení uživatele d/z infrmačníh systému), určení pvinnsti vedení seznamu uživatelů bezpečnstním správcem infrmačníh systému včetně vzru seznamu uživatelů. 4.4. Kapitla 3. Pčítačvá bezpečnst Uvést pr nasazené perační systémy půvd pužitéh bezpečnstníh nastavení (ddané Úřadem, vlastní návrh, ddané třetí stranu apd.). Bezpečnstní nastavení peračníh systému může být bsažen v jedntlivých pdkapitlách kapitly Pčítačvá bezpečnst, neb je mžné shrnut veškerá nastavení bezpečnstních parametrů d samstatnéh dkumentu a v dkumentu Návrhu bezpečnsti infrmačníh systému se na něj puze dkazvat. 4.4.1. Kapitla 3.1. Jednznačná identifikace a autentizace ppis nastavení bezpečnstních parametrů peračníh systému, ppis případných pužitých speciálních prstředků pr identifikaci a autentizaci včetně knkrétních údajů a nastavení (smart card, bimetrické zařízení, apd.), pkud je pužívána identifikace a autentizace na aplikační úrvni, tak ppsat a specifikvat ptřebné nastavení, definice pvinnsti uzamčením pracvní stanice neb samstatnéh sbníh pčítače při krátkdbém puštění zapnutéh pčítače a umžněním pětvné práce v systému až p úspěšné identifikaci a autentizaci uživatele, definice pvinnsti bezpečnéh ukládání hesel pr speciální účty ve stanveném úschvném bjektu (vestavěné účty administrátrů, účty důležitých služeb, BIOS apd.). 4.4.2. Kapitla 3.2. Vlitelné řízení přístupu ppis nastavení bezpečnstních parametrů peračníh systému, pkud je pužíván na aplikační úrvni, ppsat a specifikvat ptřebné nastavení, ppis řízení přístupu k vstupně výstupním prtům zejména k USB (zablkvání přístupu všech uživatelů, umžnění přístupu pr knkrétní média knkrétním uživatelům apd.), uvést pužité prstředky a příslušná nastavení, Nárdní úřad pr kyberneticku a infrmační bezpečnst 13

ppis lgické struktury pevných disků, pravidla pr řízení přístupu uživatelů k datvé části pevnéh disku, matice přístupvých práv pr uživatele. 4.4.3. Kapitla 3.3. Auditní záznamy ppis nastavení bezpečnstních parametrů peračníh systému, definice pvinnsti bezpečnstníh správce: zkumat pravidelně auditní záznamy, archivvat pravidelně auditní záznamy (kdy, jak a na jak dluh), pkud je pužíván vytváření auditních záznamů na aplikační úrvni, ppsat a specifikvat ptřebné nastavení (např. speciální SW pr řízení přístupu k USB), definvat mezení přístupu uživatelů k auditním záznamům, uvést a ppsat pužívané nástrje pr analýzu auditních záznamů. 4.4.4. Kapitla 3.4. Opakvané pužití bjektů ppis nastavení bezpečnstních parametrů peračníh systému, v případě pužívání speciálních prstředků, např. utilit pr bezpečné vymazávání infrmací z pevných disků, ppsat a specifikvat ptřebné nastavení, definvat mžnsti a způsb případné deklasifikace nsičů infrmací, definvat způsb zacházení s HW kmpnentami infrmačníh systému, které bsahují nsiče infrmací (paměti typu RAM, HDD apd.), dpjvání d napájecíh napětí, vyjímání nsičů apd. 4.4.5. Kapitla 3.5. Ochrana před škdlivým kódem uvést typ antivirvéh prstředku, definvat kd bude zajišťvat jeh aktualizaci, definvat jak čast bude prváděna jeh aktualizace. 4.4.6. Kapitla 3.6. Instalace, pužívání a bezpečnstní nastavení SW uvést způsb zajištění správy knfigurace a vedení seznamu SW bezpečnstním správcem, včetně údaje, případně pužívaném SW nástrji, uvést způsb zajištění údržby SW (aplikace pravných prgramvých balíčků a aktualizací vydávaných výrbci SW). 4.4.7. Kapitla 3.7. Kmunikační bezpečnst (puze pr LAN) Uvést kmpletní údaje LAN: typ kabeláže a pužité standardy, síťvé prtkly a pr ně ptřebná knfigurace (např. MAC adresy, IP adresy a masky pdsítí pr IP prtkl), tpgrafie LAN (fyzické umístění jedntlivých zařízení - servery, pracvní stanice, aktivní prvky sítě, kryptgrafické prstředky, kabely), Nárdní úřad pr kyberneticku a infrmační bezpečnst 14

tplgie LAN (např. sběrnicvá, hvězdicvá, kruhvá, fyzická segmentace na jedntlivých vrstvách OSI mdelu a skutečná knfigurace síťvých kmpnent, případně lgická segmentace na bázi VLAN a knfigurační subry), aj. 4.4.8. Kapitla 3.8. Kmprmitující vyzařvání definvat pvinnst pužívat puze HW zařízení, která splňují pžadavky na elektricku bezpečnst a elektrmagneticku kmpatibilitu (EMC) pdle zákna č. 22/1997 Sb., technických pžadavcích na výrbky a změně a dplnění některých záknů, ve znění pzdějších předpisů, definvat pvinnst umístění aktiv infrmačníh systému tak, aby se zamezil nepvlané sbě dezírat utajvané infrmace neb infrmace služící k identifikaci a autentizaci uživatele ( 20 dst. 3 vyhlášky č. 523/2005 Sb.). pr infrmační systém nakládající s utajvanu infrmací stupně utajení Důvěrné a vyšší definvat pvinnst splnit pžadavky standardu NBÚ-2/2007, verze 2 z rku 2011, Instalace zařízení z hlediska kmprmitujícíh elektrmagnetickéh vyzařvání, definvat pvinnst pracvníků správy systému v blasti kntrly a ddržvání stanvených pravidel. 4.4.9. Kapitla 3.9. Servisní činnst definvat pvinnst pracvníků správy systému při prvádění neb zajišťvání servisní činnst (kd, jak a kde může servis prvádět), definvat pdmínky pr náhradní HW kmpnenty pužívané při servisu v návaznsti na prblematiku kmprmitujícíh vyzařvání, definvat pdmínky prvádění servisu s hledem na chranu utajvaných infrmací (vyjímaní nsičů infrmací apd.), definvat pvinnst pužívat v infrmačním systému puze SW a HW vybavení dpvídající bezpečnstní dkumentaci schválené Úřadem a pdmínkám certifikační zprávy k certifikátu infrmačníh systému ( 23 dst. 4 vyhlášky č. 523/2005 Sb.), 4.4.10. Kapitla 3.10. Pžadavky na dstupnst uvést pžadavky na dstupnst definvané v bezpečnstní plitice, definvat systém zálhvání SW i HW prstředků pr zajištění definvané dstupnsti, definvat a ppsat minimální funkčnst systému, která musí být zajištěna, definvat a ppsat způsb bnvy systému, definvat dpvědnsti za zálhvání a bnvu systému. 4.5. Kapitla 4. Kryptgrafická chrana Uvést jaký kryptgrafický prstředek bude v infrmačním systému pužíván, přesný typ a pčty prstředků, jak bude zajišťván klíčvý materiál, kde bude umístěn a jak bude zajištěna jeh fyzická bezpečnst, vyšklený persnál pžadvaný pr jeh prvz, jaké dkumenty pr jeh prvz budu vytvřeny apd. Nárdní úřad pr kyberneticku a infrmační bezpečnst 15

4.6. Kapitla 5. Fyzická bezpečnst ppsat zabezpečení všech prstr, v nichž budu umístěny kmpnenty infrmačníh systému: identifikace místnsti, které kmpnenty v ní jsu a aplikvaná patření fyzické bezpečnsti včetně režimvých patření, pr pdrbnější ppis je mžn prvést dkaz na příslušný bezpečnstní prjekt neb směrnici, zvlášť patření pr servery a pr pracvní stanice, rzmístění jedntlivých zařízení v místnsti, se zhledněním instalačních pžadavků (např. frmu grafickéh znázrnění). definvat pvinnst pracvníků správy systému v blasti kntrly a vedení přehledu umístění všech zařízení a jejich rzmístění v stanvených prstrech, ppsat, jak bude vedena evidence spjatá se vstupem uživatelů, pkud je vyžadvána bezpečnstní plitiku, evidenční pmůcky, prcedury, ppsat, jak bude vedena evidence spjatá se vstupem návštěv, pkud jsu pvleny v bezpečnstní plitice, uvést umístění úschvných bjektů pr ukládání výměnných nsičů infrmací a řešení řízení fyzickéh přístupu k těmt nsičům, definvat způsb pužití a typ chranných prvků pr pečetění krytů HW kmpnent, definvat pvinnst pracvníků správy systému a uživatelů v blasti kntrly chranných prvků, definvat způsb evidence a značván HW kmpnent, definvat pvinnst pracvníků správy systému v blasti vedení seznamu HW kmpnent. 4.7. Kapitla 6. Administrativní bezpečnst definvat pvinnst ddržvat pžadavky vyhlášky č. 529/2005 Sb., administrativní bezpečnsti a registrech utajvaných infrmací, ve znění pzdějších předpisů, definvat pvinnst pužívání puze evidvaných a značených nsičů infrmací přičemž: nsiče pužívané v prvzu systému se evidují a značují pdle 15 vyhlášky č. 523/2005 Sb., nsiče pr předávání infrmací jiným subjektům se evidují a značují pdle vyhlášky č. 529/2005 Sb., pr evidence a značení nsičů pr neutajvané infrmace se přiměřeně pužije 15 vyhlášky č. 523/2005 Sb., definvat mžnsti a způsb ničení nsičů infrmací (kmisinální ničení s učiněním záznamu zničení, sulad se skartačním řádem rganizace, prstředky fyzickéh ničení a sulad s aktuálními standardy NBÚ, pstup pr pevné disky apd.), definvat všechny evidence a frmuláře vedené v infrmačním systému, kd je vede, kd je autrizuje, kde jsu ukládány během pužívání, kde a jak dluh jsu uchvávány, jejich vzry, jejich stupeň utajení, bvykle: seznam uživatelů, evidence šklení uživatelů, evidence prvzních nsičů infrmací, u vyjímatelných HDD evidence výdeje/příjmu HDD z úschvnéh bjektu, seznam HW (pkud není uveden v návrhu bezpečnsti), seznam SW (pkud není uveden v návrhu bezpečnsti), Nárdní úřad pr kyberneticku a infrmační bezpečnst 16

prvzní deník systému (záznamy pravách a údržbě, prvedení zálhy, prvedení updatu antivirvéh prgramu, kntrle auditních záznamů a jejich zálhvání, krizvých situacích a bezpečnstních incidentech, dalších bezpečnstně relevantních událstech, charakteru administrativní pmůcky, s uvedením data, času, zúčastněných sb a jejich pdpisů), případně další administrativní pmůcky. definvat další návaznu bezpečnstní dkumentaci pr infrmační systém, kd jí vede, kd jí autrizuje, její klasifikaci, bvykle: bezpečnstní směrnice pr jedntlivé rle, testy bezpečnsti, případně další dkumentace. 4.8. Kapitla 7. Řízení a plánvání kntinuity definvat typy a mdelvé způsby řešení mžných krizvých situací, definvat typy a mdelvé způsby řešení bezpečnstních incidentů, definvat typy a mdelvé způsby řešení mžné kmprmitace (v případě pužití kryptgrafické chrany), definvat pvinnst pracvníků správy systému při řízení změn v prvzvaném a certifikvaném infrmačním systému (jak změny prvádět a jaké změny hlásit Úřadu), definvat pvinnst pracvníků správy systému při prvádění testů bezpečnsti (způsb prvádění a vyhdncvání testů). Nárdní úřad pr kyberneticku a infrmační bezpečnst 17

5. Dkumenty Bezpečnstní směrnice infrmačníh systému Pr zajištění bezpečnsti během prvzu infrmačníh systému je vyhlášku č. 523/2005 Sb., vyžadván ddělené zpracvání bezpečnstních směrnic pr bezpečnstníh správce infrmačníh systému, správce infrmačníh systému a pr jedntlivé typy uživatelů infrmačníh systému. Obecně se i v malém infrmačním systému specifikuje rle správce infrmačníh systému, v důvdněných případech je slučvána s rlí bezpečnstníh správce infrmačníh systému. Prvzní bezpečnstní směrnice musí knkretizvat pvinnsti sb při manipulaci s infrmacemi a infrmačním systémem v chraně utajvaných infrmací. V dalším textu jsu uvedeny bvyklé pvinnsti uživatelů a bezpečnstních správců/správců infrmačníh systému malých infrmačních systémů. Tyt seznamy nepředstavují univerzální a úplný seznam pvinnstí uživatelů a bezpečnstních správců/správců infrmačních systémů a je třeba k nim přistupvat z hlediska pžadavků knkrétníh infrmačníh systému. Jedntlivé bdy vyžadují knkretizaci a rzvedení d ptřebných pdrbnstí. Rzdělení pvinnstí mezi správce infrmačníh systému a bezpečnstníh správce infrmačníh systému je mžn mdifikvat, s hledem na úrveň bezpečnstníh prvěření správce infrmačníh systému a předpkládané technické znalsti bezpečnstníh správce infrmačníh systému. Pkud je v infrmačním systému zavedena další rle suvisející se zabezpečením infrmačníh systému, je nutn navíc specifikvat pvinnsti a prcedury s ní spjaté. Dkumenty Bezpečnstní směrnice název rle musí být autrizvány právněnu sbu rganizace. 5.1. Struktura bezpečnstních směrnic Dkument Bezpečnstní směrnice název rle musí bsahvat minimálně kapitly, které ppisují: pvinnstí dané rle, práva dané rle, prcedury spjené s pvinnstmi a právy dané rle. Dkument Bezpečnstní směrnice uživatele musí navíc bsahvat kapitly ppisující: stručný a zjedndušený ppis infrmačníh systému včetně jeh rzsahu a umístění, definici a rzdělení krizvých situací včetně základníh ppisu th, jak se uživatel pdílí na řešení, definici a rzdělení bezpečnstních incidentů včetně základníh ppisu th, jak se uživatel pdílí na řešení, definici kmprmitace včetně základníh ppisu th, jak se uživatel pdílí na řešení (puze při pužití kryptgrafickéh prstředku). V bezpečnstní směrnici bezpečnstníh správce/správce infrmačníh systému je mžn specifikvat jeh pvinnsti a prcedury s nimi spjené dkazem na dkument Návrh bezpečnsti infrmačníh systému (pkud jsu v něm řešeny). V bezpečnstní směrnici uživatele je nutn je nutn uvádět úplnu a přesnu specifikaci jeh pvinnstí a prcedur s nimi spjených, nebť uživatel bvykle nemá k jiným dkumentům bezpečnstní dkumentace přístup. 5.2. Typické pvinnsti bezpečnstníh správce udržuje aktuální seznam právněných uživatelů, zajišťuje, aby fyzický přístup d prstr s HW kmpnentami infrmačníh systému, k vyjímatelným pevným diskům apd. mhli získat jen právnění uživatelé, Nárdní úřad pr kyberneticku a infrmační bezpečnst 18

přiděluje uživateli uživatelské jmén a prvtní hesl, vytváří uživatelské účty a spravuje je ve shdě s bezpečnstní dkumentací, v případě ptřeby mu v tét činnsti pskytuje technicku pdpru správce, ručí za trvalé ddržvání schválené knfigurace HW i SW infrmačníh systému, včetně nastavení bezpečnstních charakteristik peračníh systému a aplikačníh SW, ručí za ddržvání umístění infrmačníh systému a instalačních pžadavků, ve shdě s bezpečnstní dkumentací zkumá pravidelně auditní záznamy a vytváří jejich archivní kpie takvým způsbem, aby byl umžněn jejich zpětné zkumání, bvykle 3 rky nazpět, zajišťuje chranu zálžních kpií auditních záznamů před mdifikací neb zničením, zkumá auditní záznamy p bezpečnstním incidentu, zkumá a řeší bezpečnstní incidenty, hlásí je řediteli rganizace (neb jinému příslušnému funkcináři), zajišťuje šklení uživatelů v blasti bezpečnsti infrmačníh systému, kntrluje ddržvání bezpečnstních směrnic, zajišťuje v předepsaném rzsahu bezpečnst nsičů infrmací, zejména jejich vyřazvání a ničení, vede ptřebné evidence (pdle bezpečnstní dkumentace, uvést seznam evidencí), prvádí správu dkumentace bezpečnsti infrmačníh systému (kde je ulžena apd.), vydává uživatelům výměnné pevné disky, přensný pčítač (ppsat jak, pkud je všem tent pstup pužit), zajišťuje ddržvání pvinnsti při chraně utajvaných infrmací v případě servisu, splupracuje se správcem při uvedení infrmačníh systému d stavu dpvídajícíh schválené bezpečnstní dkumentaci infrmačníh systému p statních bezpečnstních incidentech neb mimřádných událstech, hraje klíčvu úlhu při řešení základních krizvých situací, je-li blastí půsbnsti bezpečnstníh správce LAN, musí být veškeré pvinnsti rzšířeny d síťvéh prstředí, musí být zahrnuta kntrla neprušensti kabeláže, aktivních prvků sítě, knfigurace VLAN apd. 5.3. Typické pvinnsti správce prvádí činnst administrátra peračníh systému (správce sítě LAN), stanveným způsbem zabezpečuje denní prvz infrmační systém p technické stránce, instaluje perační systém, aplikační SW, zajišťuje aktualizaci antivirvéh SW, prvádí zálhvání systémvéh prgramvéh vybavení, zajišťuje chranu zálžních dat (knkretizvat systém zálhvání, kde jsu zálhy ukládány apd.), splupracuje s bezpečnstním správcem infrmačníh systému při nastavení bezpečnstních charakteristik peračníh systému a aplikačníh SW pdle schválené bezpečnstní dkumentace infrmačníh systému, spravuje uživatelské účty ve splupráci s bezpečnstním správcem infrmačníh systému, splupracuje s bezpečnstním správcem infrmačníh systému při vyčištění a ztavení systému p napadení viry, splupracuje s bezpečnstním správcem při uvedení infrmačníh systému d stavu dpvídajícíh schválené bezpečnstní dkumentaci infrmačníh systému p statních bezpečnstních incidentech neb mimřádných událstech. Nárdní úřad pr kyberneticku a infrmační bezpečnst 19

5.4. Typické pvinnsti uživatele Bezpečnstní směrnice pr uživatele vyžaduje přehledné a srzumitelné zpracvání. Nesmí bsahvat údaje, které uživatel neptřebuje znát a které by mu umžnily zneužití infrmačníh systému. Zejména je třeba, aby byl uživatel infrmván: účelu infrmačníh systému, kde smí pracvat s utajvanými infrmacemi, případně v jakém časvém rzpětí během dne, jaké je standardní zahájení práce v infrmačním systému (přístup, přihlašvací prcedura a pstup identifikace a autentizace uživatele, jaká jsu mezení v pčtu chybných přihlášení, délce hesla a dbě jeh platnsti, délce PINu čipvé karty apd.), jaku kntrlu HW (případně kabeláže), prstředí neb pdle klnstí i jiných prvků infrmačníh systému má prvést před zapčetím práce, jak má zacházet s vyjímatelnými pevnými disky a dalšími nsiči infrmací pužívanými v daném infrmačním systému, d jakéh úschvnéh bjektu má ukládat klasifikvané nsiče infrmací neb d kh je před zapčetím práce v infrmačním systému získá a kmu je p sknčení práce vrací k ulžení, jakým způsbem získá vyjímatelný pevný disk neb přensný pčítač neb jiný HW systému před zapčetím práce, jakým způsbem h pět vrací, s tím spjaté pvinnsti a evidence, v jaké blasti pevnéh disku může/má ukládat uživatelské subry, případně že je na lkální pevný disk ukládat nesmí/nemůže apd., jak musí/může zálhvat uživatelská data a na jaký nsič infrmací, jak musí chránit zálžní nsiče infrmací, jak se chvat k návštěvě, jak k pracvníkům úklidu (aby t vyhvval bezpečnstní dkumentaci), své pvinnsti ddržvat schválenu knfiguraci HW a SW, své pvinnsti hlásit pruchy HW i SW, výskyt bezpečnstníh incidentu neb pdezření na mžnst kmprmitace utajvaných infrmací bezpečnstnímu správci, tm, jaké základní bezpečnstní incidenty se mhu vyskytnut a jak má bezprstředně reagvat, pkud t typ událsti vyžaduje, před kntaktem s bezpečnstním správcem, zavedené chraně vstupně výstupních prtů, zejména v suvislsti s pužíváním USB paměťvých zařízení, pstupu pr exprt infrmací z infrmačníh systému na nsič infrmací, pkud je uživateli pvlen, pstupu pr imprt infrmací d infrmačníh systému prstřednictvím nsiče infrmací, pkud je uživateli pvlen, pvinnsti značit tiskvé výstupy stupněm utajení a dalšími náležitstmi pdle pžadavků administrativní bezpečnsti a zajistit neprdleně jejich zaevidvání, pstupech při ničení a skartaci nsičů infrmací a příslušných pravidlech administrativní bezpečnsti, předepsaném pstupu při nutnsti pustit pčítač v běhu, pvlená lhůta, prceduře pr standardní bezpečné uknčení práce v infrmačním systému - veškeré pvinnsti týkající se pčítače, periférií, místnsti, klíčů, EZS atd. správném pužívání hesla, jak h tvřit, že h nesmí sdílet, przradit atd., chraně, kteru musí pskytvat magnetické neb čipvé kartě (případně jiným pmůckám) využívané pr identifikaci a autentizaci uživatele v infrmačním systému, Nárdní úřad pr kyberneticku a infrmační bezpečnst 20

způsbu pužívání klíčů d místnsti, systému elektrické zabezpečvací signalizace, systému elektrnické kntrly vstupu, pdle knkrétní situace, je mžn řešit i dkazem na příslušný bezpečnstní prjekt bjektvé a technické bezpečnsti, tm, jaké základní mimřádné (krizvé) situace mhu nastat a jaké jsu jeh pvinnsti při jejich řešení, všech svých dalších pvinnstech vyplývajících z bezpečnstní dkumentace infrmačníh systému, v ptřebné míře klnstech umžňujících mu pchpení jeh pvinnstí. Nárdní úřad pr kyberneticku a infrmační bezpečnst 21

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář