ISO/IEC 27002:2013 2
Katalog opat ren, ISO/IEC 27002
Information Security Management X Information technology – Security techniques – Code of practice for information security management X Informacn technologie { Bezpecnostn techniky {
Dodatek predna sky Anatomie inform. bezpec., ilustracn vyklad
Soubor postupu pro r zen informacn bezpecnosti
PV 017 Bezpecnost IT
2
X Standard obsahuje celkem 11 zakladn ch oddlu,
Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }
Struktura standardu ktere jsou dale rozdeleny do 39 kategori bezpecnosti X V kazde kategorii bezpecnosti se speci kuje alespon jedno opatren X Mimo to jsou ve standardu uvedeny zakladn informace o procesech hodnocen a zvlad an rizik. X Oddly jsou c slovane poradm kapitol standardu obsahujcch jejich popis (5 { 15)
w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"
Æ
Verze : podzim 2016 Jan Staudek, FI MU Brno
ISO/IEC 27002:2013, Oddly kategori bezpecnosti 2
5) Bezpecnostn politika
Popis kazde z kategori bezpecnosti obsahuje: ktera lze pouzt k dosazen stanoveneho cle opatren.
7) Klasi kace a r zen aktiv { odpovednosti za aktiva, klasi kace 2
8) Bezpecnost lidskych zdroju { prijet do, prub eh, ukoncen vztahu
Popis opatren je strukturovan nasledovn e: X Opatren {
9) Fyzicka bezpecnost a bezpecnost prostred zen komunikac a r zen provozu { vybrany ilustracn prklad 10) R
Presna formulace konkretn ho opatren, ktere vede k naplnen cle opatren. X Doporucen k realizaci { Podrobnejs informace a doporucen na podporu implementace vybranych opatren, ktera vedou k dosazen cle opatren. X Dals informace { Dals informace, ktere mu ze byt potrebne vzt do uvahy, otazky legislativy, odkazy na dals relevantn normy a predpisy, . . .
zen prstupu { vybrany ilustracn prklad 11) R 12) Nakup, vyvoj a udr zba informacnho systemu 13) Zvlad an bezpecnostnch incidentu zen kontinuity c innost organizace 14) R 15) Soulad s pozadavky { prava, politik, smluv, . . . , audit PV017 { Katalog opat ren, ISO/IEC 27002
1
X cl opatren, urcujc c eho ma byt dosazeno; X popis jednoho nebo vce opatren,
6) Organizace bezpecnosti { intern organizace, extern subjekty
|
PV017 { Katalog opat ren, ISO/IEC 27002
ISO/IEC 27002:2013, Popis kategori bezpecnosti
Kazdy z oddlu obsahuje jednu nebo vce kategori bezpecnosti
Jan Staudek, FI MU Brno
|
2
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
3
zen komunikac a r zen provozu 10. R
zen komunikac a r zen provozu 10. R
Kategorie opatren spadajc do oddlu 10: 2
2
and information processing facilities.
10.1 Operational procedures and responsibilities Cl: To ensure the correct and secure operation of information
2
processing facilities.
2
2
2
|
PV017 { Katalog opat ren, ISO/IEC 27002
10.7 Media handling Cl: To prevent unauthorized disclosure, modification, removal
or destruction of assets, and interruption to business activities.
10.3 System planning and acceptance Cl: To minimize the risk of systems failures. 10.4 Protection against malicious and mobile code Cl: To protect the integrity of software and information. Jan Staudek, FI MU Brno
10.6 Network security management Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure.
10.2 Third party service delivery management Cl: To implement and maintain the appropriate level of
information security and service delivery in line with third party service delivery agreements.
2
10.5 Back-up Cl: To maintain the integrity and availability of information
2
10.8 Exchange of information Cl: To maintain the security of information and software
exchanged within an organization and with any external entity.
4
Jan Staudek, FI MU Brno
10.9 Electronic commerce services Cl: To ensure the security of electronic commerce services,
2
Cl { To ensure the correct and secure operation of
2
10.10 Monitoring Cl: To detect unauthorized information processing activities.
2
procedura ≡ pracovn postup Relevantn skupiny opatren v kategorii 10.1 v oddlu 10
and their secure use.
2
PV017 { Katalog opat ren, ISO/IEC 27002
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
5
10.1. Provozn procedury a odpovednosti
zen komunikac a r zen provozu 10. R 2
|
information processing facilities.
X X X X
6
Dokumentace provoznch procedur Zmenove r zen Oddelen odpovednost Oddelen vyvoje, testu a provozu
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
7
10.1. Dokumentace provoznch procedur
10.1. Dokumentace provoznch procedur
2
Cl { Operating procedures shall be documented, maintained, and
2
Provozn procedury mus vyhovovat pozadavkum systemu spravy dokumentu organizace (principy viz ISO 9000)
2
made available to all users who need them
X zaklad skladby provoznch procedur tvor ty procedury,
ktere implementuj politiku informacn bezpecnosti X zaklad lze doplnit detailnejsmi provoznmi procedurami vypracovanymi na zaklad e doporucen poradce pro ITSec a odpovednych provoznch pracovnku pro typove provozn oblasti X nutne je jejich schvalen relevantnm vedenm organizace
X nutne je schvalen relevantnm vedenm organizace 2
Zverejnen provoznch procedur X pro zamestnance { v intranetu X pro partnerske tret strany { v extranetu X pozadavky: snadna udr zba, pohotova aktualizace
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
8
Jan Staudek, FI MU Brno
Zpracovan informac a naklad an s informacemi
2
X vc. pozadavku na duv ernost a klasi kaci informac 2 2
Zalohov an (detaily viz 10.5) Planov an c innost, (napr. zalohov an )
2
X vc. navaznost na jine systemy X vc. nejdrvejsch a nejzazsch moznych termnu proveden
2 2
Chybove r zen a r zen ve vyjime cnych podmnkach X vc. instrukc pro omezene pouzvan systemu X vc. navod u pro nove (a nezkusene) zamestnance (1. reakce na incident) X chybove r zen a r zen ve vyjime cnych podmnkach je jinak predmetem
c innosti specialistu s dostatecnymi zkusenostmi a dovednostmi Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
9
Kontaktovan odpovdajc podpurn ych tym u v prpade neocekavan ych provoznch nebo technickych obtz a dokumentovan techto kontaktu Sprava specialn ch vystup u (tisku) X vc. reakc na selhan vystup u specialn ch uloh
(napr. prav e zalohov an )
2
|
10.1. Oblasti pokryvan e v ISMS provoznmi procedurami
10.1. Oblasti pokryvan e v ISMS provoznmi procedurami 2
Nezbytne provozn procedury pro ISMS identi kuje bezpecnostn politika
10
Restart systemu a postupy po vypadku systemu Vsechny hospoda rske/udr zbove c innosti X X X X X
start a vypnut poctace udr zba zarzen vyuzvan poctacoveho salu, ... maj byt viditelne vystavene zamestnanci maj byt s kolen na jejich pouzvan Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
11
10.1. Zmenove r zen
10.1. Dokumentace provoznch procedur, poznamky 2 2
Zbytecne detailn procedury / r dce aplikovatelne procedury { jakoby by nebyly z adn e Pri outsourcovan IT sluzeb mus byt provozn procedury vyzad any v kontraktu
2
Cl { Changes to information processing facilities and systems shall
2
zen zmen zarzen pro zpracovan R informac, operacnch system u a aplikacnho software Formaln , dokumentovane postupy pro vsechny zmeny techto aktiv Neadekvatn urove n zmenoveho r zen {
2 2
be controlled.
X vyrazn a zranitelnost X zdroj zbytecnych naklad u 2
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
12
Jan Staudek, FI MU Brno
10.1. Zmenove r zen 2
2
PV017 { Katalog opat ren, ISO/IEC 27002
2
Cl { Duties and areas of responsibility shall be segregated to
2
Oddelen r dicch a vykonn ych povinnost snizuje moznosti proveden neopravn enych uprav / zneuzit informac / sluzeb.
X identi kci vyznamu zmeny z pohledu c innost organizace
X X X
|
13
10.1. Oddelen povinnost (oblast odpovednosti)
procedura zmenoveho r zen OS a aplikacnch system u { typicky 1-strankov y dokument pokryvaj c X X
Inovacn zmena mus byt vyvolana adekvatn mi duvody, mus existovat kriteria pro rozhodovan o inovaci a relevantn c asove plany postupu
(prpadne doplnenou o posouzen prnosu zmeny) plan testovan zmeny a prevzet zmeny uzivatelem posouzen moznych (bezpecnostnch , . . . ) dopadu, vc. dopadu na jiny aplikacn c i provozn software a hardware formaln odsouhlasen zmeny sdelen o zmene vsem relevantnm osobam postup pro zrusen zmeny a navrat do puvodn ho stavu
reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.
X V malych organizacch obtz ne dosazitelne X vzdy je nutne implementovat separaci v co mozna nejvetsm rozsahu X Oddelen r zen, monitoringu a auditu je neobejitelne,
audit vzdy mus byt nezavisl y
Kazda zmena v sti by mela vyvolat prehodnocen hlavnch rizik pro bezpecnost informac X a prpadne nasledn e zmeny v prohla sen o aplikovatelnosti
2
Mus se opravit vsechny dokumenty zavisl e na menenem jevu Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
14
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
15
10.1. Oddelen povinnost (oblast odpovednosti) 2 2
10.1. Oddelen vyvojov ych, testovac a provoznch prostred
Clem je oddelen iniciace udalosti od povolen jejho vyskytu prevence spach an podvodu bez moznosti detekce v oblasti s jedinou odpovednost, tj. oddelen c innost, ktere { X pro spach an podvodu vyzaduj uzavren tajne dohody
(napr. vystaven objednavky x potvrzen zskan zboz) X pracuj s aktivy, ktere posouzen rizik oznacilo jako podvodne manipulovatelne a mus byt do manipulace s nimi zahrnuty alespon dva intern zamestnanci (snz en pravdepodobnosti konspirace s extern osobou)
2
Cl { Development, test and operational facilities shall be separated
2
relevantn pozadavek pro organizace s vlastnm vyvojov ym strediskem X prp. s vyvojem zajist'ovanym outsourcingem
2
2
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
Jednotliva prostred maj pracovat s ruzn ymi daty
2
Mus se pouzvat odlisne autentizacn metody v jednotlivych prostredch Vyvoj nesm mt nikdy prstup do provoznho prostred
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
17
Tret strana { jina entita nez entita prmo zahrnuta do transakc, c innost, . . . , organizace X Firma x zakazn´ ıci x tret strana dodavaj c sluzby rme ´
vzorek z ivych dat za podmnek shodnych s provoznm prostredm X s z ivymi daty pouze v provoznm prostred
2
|
zen dodavek 10.2. R sluzeb tretch stran
X vyvojov e prostred { umela nebo scramblovana z iva data X testovac prostred {
2
Mus byt dokumentovana pravidla pro prenos software z vyvojov eho do testovacho a z testovacho do provoznho prostred Jednotliva prostred maj byt implementovana na ruzn ych poctacch / v ruzn ych domen ach
Jan Staudek, FI MU Brno
16
10.1. Oddelen vyvojov ych, testovac a provoznch prostred 2
to reduce the risks of unauthorised access or changes to the operational system.
2
Cl { To implement and maintain the appropriate level of
2
Relevantn oblasti opatren
information security and service delivery in line with third party service delivery agreements.
X Dodavky sluzeb X Sledovan a prezkoumav an poskytovanych dodavek sluzeb X Zmenove r zen ve sluzbach tretch stran
18
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
19
10.2. Dodavky sluzeb
10.2. Dodavky sluzeb 2
2
2 2
2
Cl { It shall be ensured that the security controls, service
definitions and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party.
2
Smlouva by mela obsahovat dolozku o moznosti pozadovat navy sen sly bezpecnostnch opatren Vzdy je nutno venovat zvla stn pozornost problem um typu citlive nebo kriticke aplikace, ktere by mohly byt lepe r eseny in-house souhlas vlastnku a dodavatelu softwaru s outsourcingem procesu dopady na plany zachovan c innosti bezpecnostn standardy, ktere budou zavazn e pro tret strany, a jak se ma soulad s nimi mer it X ktere c innosti a individualn odpovednosti je treba sledovat X zvlad an bezpecnostnch incidentu a zabudovan smluvnch procedur do politik organizace X X X X
Smlouva o dodavk ach s tret stranou mus identi kovat vsechna bezpecnostn opatren, de nice vsech sluzeb a formy jejich poskytovan Outsourcing mu ze pozadovat zrzen r dicho tymu a mechanismu pro sledovan vykonnosti Mus se peclive a detailne planovat a dokumentovat predan dat tret strane
2
Duraz na smluvn zavazky tret strany v oblasti bezpecnosti X r zen prstupu, sprava bezpecnosti podle dohodnutych standardu, ...
X vc. posouzen rizik jeste pred uzavrenm kontraktu
2
Dukladn a dokumentace X agendy, zapisy z porad, dodatecne dohody, . . .
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
Jan Staudek, FI MU Brno
20
10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb 2
2 2
shall be regularly monitored and reviewed, and audits shall be carried out regularly.
Za dodavky sluzeb mus byt nekdo (role/oddelen) odpovedny Mezi klc ove odpovednosti patr X sledovan vykonu { zajist'ovan , aby se skutecne dosahovala smluvn
urovn e sluzeb, identi kace nedostatku, a dohadovan jak by nedostatky mely byt opraveny. X prezkoumav an vsech zaznam u o bezpecnostnch incidentech (vcetne auditnch zprav), provoznch problemech, poruchach, zavad ach a o c emkoliv jinem, co mu ze generovat riziko pro organizaci a zajisten, aby byla prijata prslusna napravn a opatren. To mu ze vest k eskalaci smluvnch vztahu doplnenm smluvnch ustanoven o moznem navy sen plnen a manazersky tym odpovedny za smlouvu by mel mt dovednosti a zkusenosti pro r zen eskalace . |
PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
21
10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb
Cl { The services, reports and records provided by the third party
Jan Staudek, FI MU Brno
|
22
2 2
2
Z adn y prostor pro nejasnosti { vse mus byt dokumentovane Mus ex. moznost prezkoumavat u tret strany procesy zmenoveho r zen, zaznamen av an incidentu a reakc na ne, identi kace zranitelnost a uplatnov an opatren Odpovednost za zpracovan dat ma objednavaj c strana, odpovednost nelze smlouvou prevezt na tret stranu X ma-li organizace vyhovet datove orientovane legislative,
mus byt adekvatn procesy a systemy i u tret strany
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
23
10.2. Zmenove r zen ve sluzbach tretch stran 2
2
10.3. Planov an a prejman system u
Cl { Changes to the provision of services, including maintaining
and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business systems and processes involved and re-assessment of risks.
2 2
Cl { To minimize the risk of systems failures. Relevantn oblasti opatren X Sprava kapacit X Prejman system u
Sprava zmenoveho r zen zajist'ovaneho u tret strany mus byt r adn e zakotveno ve smlouve o outsourcingu X jedna se o mezi-organizacn procesy X musej byt odsouhlaseny oboustranne
2
Jedna se o vsechny zmeny majc dopad na inf. bezpecnost X mus se provest posouzen rizik nasledovan e identi kac a
implementac relevantnch opatren
2
Zmenu mu ze iniciovat i tret strana (podle pravidel ve smlouve) Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
24
Jan Staudek, FI MU Brno
10.3. Sprava kapacit
|
PV017 { Katalog opat ren, ISO/IEC 27002
10.3. Prejman system u
2
Cl { The use of resources shall be monitored, tuned, and
2
Cl { Acceptance criteria for new information systems, upgrades,
2
Organizace ma sledovat pozadavky na kapacity a prognozovat jejich vyvoj
2
Organizace ma stanovit prejmac kriteria pro nove systemy, vylepsen system u, pro jejich nove verze
projections made of future capacity requirements to ensure the required system performance.
X souborove / domenov e servery, tiskarny, komunikacn spoje, . . . X zvy sen aktivit si vyzad a zvetsen tymu, 2
Nedostatecne kapacity jsou zdroje bezpecnostnch incidentu typu DoS (Denial of Services)
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
and new versions shall be established and suitable tests of the system(s) carried out during development and prior to acceptance.
X pri prejman mus probehnout relevantn testy
bude potreba vce osobnch poctacu, ... X nar ust webovych aktivit pri e-komerci 2
25
26
Prejmac kriteria mus byt strucna, jasna, (smluvne) odsouhlasena a dokumentovana
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
27
10.3. Prejman system u 2
10.3. Prejman system u
Prejman nove verze systemu vyzaduje provest kontroly splnen pozadavku danych c innost organizace na: X X X X X X X X X
2
na vykony poctacu a kapacity revize / vytvoren novych programu pro obnovu po poruchach a restart prepracovan a otestovan rutinnch provoznch procedur implementaci novych bezpecnostnch opatren po znovu provedenem posouzen rizik vypracovan novych manual u a dokumentovanych provoznch procedur inovaci planu zachovan kontinuity c innosti organizace podan dukaz u, z e nove systemu nemaj neprznivy vliv na bez c existujc systemy podan dukaz u posouzenm rizik jaky ma dopad novy system na celkovou bezpecnost organizace zaskolen uzivatelu na novy system a posouzen dopadu na uplatnovan e pracovn praktiky Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
2 2
Ma se provozovat novy system po jistou dobu soubez ne s puvodn m systemem ? Zvla stn pozornost je potreba venovat prejmacm kriteri m pro nove komunikacn systemy Posouzen rizik mu ze vyzadat proveden testu, veri kac a certi kac nezavislou tret stranou
28
Jan Staudek, FI MU Brno
2
Cl { To protect the integrity of software and information. Relevantn oblasti opatren
2
X Opatren proti s kodlivym programum ‘Malware’ is a term that denotes software designed for some malicious purpose.
|
PV017 { Katalog opat ren, ISO/IEC 27002
29
Cl { Detection, prevention, and recovery controls to protect
against malicious code and appropriate user awareness procedures shall be implemented.
X ISMS ma obsahovat politiku a procedury pozadujc vyhoven
programy, ktere na poctaci bez bez vedom uzivatele a nejakym zpusobem jej poskozuj, nebo zhorsuj jeho funkci { viry, c ervi, Trojst kone, . . . , spyware X Opatren proti mobilnm programum ‘program that can execute on remote locations with any modification in the code. [It] can travel and execute from one machine to another on a network during its lifetime’ { software transferred between systems, e.g. transferred across a network or via a USB flash drive, and executed on a local system without explicit installation or execution by the recipient ActiveX, Java, JavaScript, VBScript, MS Word macros, PostScript, . . . Jan Staudek, FI MU Brno
PV017 { Katalog opat ren, ISO/IEC 27002
10.4. Opatren proti s kodlivym programum
10.4. Ochrana proti s kodlivym a mobilnm programum 2
|
30
X
X X
X
softwarovym licencm a zakazujc pouzvat neutorizovany software ISMS ma obsahovat politiku a procedury chran c organizaci proti importu s kodliveho software { zakaz prmeho prstupu uzivateli na extern disky, CD-ROM, USB pameti apod. Data z nich mu ze zavad et pouze IT tym po kontrole. V sti organizace ma byt instalovany aktualizovany ,,anti-malware software" Bez prodlen instalovat opravy (zaplaty) zverejnene vyrobcem licencovaneho software a o vsech instalac zaplat vest auditn zaznamy (kdy, kdo, co instaloval) Pravidelne prezkoumavat software a data na vsech poctacch organizace a odhalovat a odstranovat neautorizovane programy / data Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
31
10.4. Opatren proti s kodlivym programum
10.4. Opatren proti mobilnm programum
X Vsechny soubory z externch zdroju kontrolovat na vyskyt X X X
X X X X
s kodliveho software Vsechny prlohy e-mailu kontrolovat na rewallu na vyskyt s kodliveho software Zamestnance proskolovat v rozpoznav an potencialn e napadenych e-mailu s kodlivym software Ustanoven odpovednosti za beh ochran proti s kodlivemu software, detekce incidentu a odtranov an dusledk u c innosti s kodliveho software se ma r esit dokumentovanymi procedurami Ma existovat BCP pro obnovu po utoku s kodlivym software Bezpecnostn manazeri maj mt prstup ke vhodnym a duv eryhodnym zdrojum aktualn ch informac o s kodlivem software Maj byt instalovany opatren proti spyware Zamestnanci maj byt s kolen jak zachazet s webovskymi uzly napadnutymi s kodlivym software Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
2
Cl { Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to clearly defined security policy, and unauthorized mobile code shall be prevented from executing.
X trivialn r esen { politikou zakazat instalaci a na rewallu blokovat
software obsahujc mobiln kod X blokovan lze omezit na vybrane podezrele uzly
Jan Staudek, FI MU Brno
32
10.5. Zalohov an
PV017 { Katalog opat ren, ISO/IEC 27002
33
10.5.Zalohov an informac
2
Cl: To maintain the integrity and availability of information and
2
Relevantn oblasti opatren
2
information processing facilities.
Cl { Back-up copies of information and software shall be taken and tested regularly in accordance with the agreed backup policy.
X Ideal { vsechny informace organizace uchovavat na serverech
X Zalohov an informac
X
X X X
Jan Staudek, FI MU Brno
|
|
PV017 { Katalog opat ren, ISO/IEC 27002
34
organizace a servery pravidelne (automaticky) zalohovat Povinnost zalohovat data z prenosnych zarzench na serverech organizace ma byt soucast inicialn ho bezpecnostnho s kolen zamestnance politika zalohov an mus pokryvat vsechna potencialn msta obsahujc citliva data organizace zalohovat je potreba data originaln e uchovavan a nejen v elektronicke, ale i v paprove forme mus se urcit metody a frekvence zalohov an
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
35
10.5.Zalohov an informac
10.5.Zalohov an informac
X zalohovan e informace spolecne s upln ymi a presnymi zaznamy o tom
X X
X X X
X zalohov an ma byt predmetem pravidelneho prezkoumav an
co je zalohov ano a dokumentace procedur obnovy se ma uchovavat ve vzdalen e lokalite zaloh an lze r esit kontraktem s tret stranou zalohovac cyklus ma implementovat 3-generacn postup aplikovany na mesc n, tydenn a denn zalohy: { syn: kazdy den v tydnu samostatne, prepis kazdy tyden { otec: kazdy tyden v mesc, prepis kazdy mesc { dedecek: kazdy mesc v roce, prepis kazdy rok na zalohy se mus aplikovat stejna bezpecnostn opatren jako na originaln data, prpadne je navc utajovat s ifrovan m zalohovac media je potreba pravidelne testovat na zpracovatelnost pravidelne se maj testovat vsechny obnovovac procedury dokumentovane v ISMS a vysledky testu se maj uchovavat v dokumentaci BCP Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
managementem X Kriticke aplikace maj byt provozovane na serverech implementovanych na technologii RAID (idealn e RAID 5) X ma byt stanovena doba uchovav an zaloh podle omezen danych pozadavkem vyhoven legislative, smluvnm zavazk u a byznys modelu
36
Jan Staudek, FI MU Brno
10.6. St'ova bezpecnost 2
Cl: To ensure the protection of information in networks and
2
Relevantn oblasti opatren
PV017 { Katalog opat ren, ISO/IEC 27002
37
10.6. St'ova opatren 2
the protection of the supporting infrastructure.
X St'ova opatren { Internet acceptable use policy, AUP X Bezpecnost st'ovych sluzeb
Cl { Networks shall be adequately managed and controlled, in
order to be protected from threats, and to maintain security for the systems and applications using the network, including information in transit.
X odpovednost za provoz ste r esit oddelene od administrace poctacu X X X X
Jan Staudek, FI MU Brno
|
|
PV017 { Katalog opat ren, ISO/IEC 27002
38
{ viz Oddelen/Oddelen povinnost jednoznacne de novat odpovednosti a procedury spravy vzdalen ych zarzen vc. oblast vzdalen ych uzivatelu specialn opatren se mus prijato pro ochranu dat prena senych bezdratov ymi a verejnymi stemi v cele sti mus byt mus byt konzistentne aplikovana opatren de novan v ISMS mus byt dokumentovana architektura cele ste vc. detailu kon guracnch nastaven a speci kace vsech softwarovych a hardwarovych komponent Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
39
10.6. Internet acceptable use policy, AUP 2 2 2
2
2 2
10.6. Internet acceptable use policy, AUP
Mus byt v psemne forme Mus byt srozumitelne sdelena vsem zamestnancum Nastavuje povolene pouzvan jak Internetu, tak i e-mailu, ma kombinovat prohla sen o pouzvan Internetu a vyuzvan e-mailu Speci lkuje, ktere pouzvan Internetu je zakazano { napr. stahovan neprstojnych dokumentu, pornogra e a nezakonn ych material u Sdeluje, co se monitoruje De nuje prijatelne on-line chovan
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
2 2
2
Udav a zak azan e on-line oblasti { napr. pornogra cke / rasisticke servery Nastavuje pravidla zachovan soukrom ve vztahu k ostatnm uzivatelum pri respektovan prava zamestnavatele sledovat aktivity zamestnancu Sdeluje co jsou pravdepodobne disciplinarn dusledky porusen pravidel AUP
40
Jan Staudek, FI MU Brno
Uvod AUP tvor souhrnne prohla sen
2
z e organizace nebude odpovedna za jakekoli stazene c i prohlz ene materialy. Dale se ma sdelit, z e pouzvan Internetu mus byt v souladu se standardy plnen c innost organizace a je soucast pracovnch povinnost zamestnance. X Jakekoli porusen AUP mu ze vest k disciplinarn mu r zen a prp. i k ukoncen zamestnan . X Nezakonn e c innosti mohou byt oznameny prslusnym organ um.
Genericke body obsahu AUP X
X
X X
|
PV017 { Katalog opat ren, ISO/IEC 27002
41
X Uzivatelske ID organizace, weby a e-mailove u cty lze pouzvat pouze
X Melo by zact s pripomenutm hrozeb Internetu a r ci,
Jan Staudek, FI MU Brno
PV017 { Katalog opat ren, ISO/IEC 27002
10.6. Internet acceptable use policy, AUP
10.6. Internet acceptable use policy, AUP 2
|
42
pro komunikaci schvalenou organizac Pouzit internetu/intranetu/e-mailu/konverzacnch system u mu ze byt predmetem sledovan a uzivatele mohou byt pri pouzvan techto zdroju omezovani. Distribuce informac prostrednictvm Internetu (vcetne e-mailu a jinych poctaci podporovanych system u) mu ze byt organizac kontrolovana a organizace si rezervuje pravo stanovit vhodnosti informace. Pouzvan poctacovych prostredku organizace podleh a pravu a zneuzit bude adekvatn e potrestano. Uzivatele nesm navstevovat internetove stranky, ktere obsahuj vulgarn , nenavistn e nebo nezadouc materialy a nesm obchazet opatren omezujc prohlz en a na Internet nesm ucinit nebo vystavit neslusne poznamky, navrhy nebo materialy. Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
43
10.6. Internet acceptable use policy, AUP
10.6. Internet acceptable use policy, AUP
X Uzivatele nesm rozeslat e-maily, ktere nesouvis s c innost organizace
X Uzivatel zam erne nezasahuje do normaln c innosti ste a ani necin
nebo pro svuj osobn prospech, nesm odeslat nebo prijmat jakykoli obscenn c i hanlivy material nebo material urceny k obtez ovan nebo k zastrasovan jine osoby a nesm predkladat sve osobn nazory jako nazory organizace. X Uzivatele nesm ukladat, stahovat nebo jinak prena set komercn software a/nebo autorsky chran eny material, patrc organizaci nebo kterekoliv jine tret strane X Uzivatel nesm ani odhalit ani zverejnit duv erne informace (uvede se klasi kacn urove n) a nesm odeslat duv erne e-maiy bez zasifrovan na urovni vyzadovane politikou ISMS. X Uzivatele se nesm pokouset obchazet politiku prevence uplatnen s kodliveho software a mus zachovavat vsechny odpovdajc politiky organizace,
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
z adn e kroky, ktere by ostatnm branily ve vyuzvan ste a nesm bez explicitnho povolen zkoumat, menit nebo pouzvat soubory jinych osob nebo jakekoli jine informacn aktivum X Uzivatele nesm vykonavat jakekoliv jine nevhodne aktivity, ktere v jistych c asovych intervalech oznacuje organizace, a nesm mrhat c asem neo i jinymi zdroji na c innosti nesouvisejc s c innostmi organizace. Mysl se tm stahovan ze serveru socialn ch st, servery, objemy dat naro cne na s r ku pasma, jako jsou naprklad videa a hudebn soubory MP3, sdlen digitaln ch fotogra atd.
44
Jan Staudek, FI MU Brno
10.6. Bezpecnost st'ovych sluzeb 2
2 2
2
requirements of all network services shall be identified and included in any network services agreement, whether these services are provided in-house or outsourced.
PV017 { Katalog opat ren, ISO/IEC 27002
45
Je nutne identi kovat a dokumentovat bezpecnostn charakteristiky st'ovych sluzeb X bezpecnostn technologie (sifrovan , autentizace,
typ sit'oveho spojen, . . . ) X technicke parametry pro bezpecne spojen s poskytovatelem sluzby X procedury pro omezen prstupu ke sluzbam, existuj-li X opatren vztahujc se k udaj um uchopvavan ym v systemu (napr. osobn data)
St'ove sluzby mu ze poskytovat organizace interne nebo outsourcingem Prklady { application service providers (ASP), Internet service providers (ISPs), serverove farmy, sluzby poskytujc dedikovane informace, . . .
|
PV017 { Katalog opat ren, ISO/IEC 27002
10.6. Bezpecnost st'ovych sluzeb
Cl { Security features, service levels, and management
Jan Staudek, FI MU Brno
|
46
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
47
10.7. Sprava medi
10.7. Sprava vym ennych medi
2
Cl: To prevent unauthorized disclosure, modification, removal or
2
Cl { There shall be procedures in place for the management
2
Relevantn oblasti opatren
2
pasky, disky, kazety, tistene zpravy ochrana pred znicenm, krade z, neautorizovanym prstupem
destruction of assets, and interruption to business activities.
X X X X
Sprava vym ennych medi Skladovani medi Procedury pro manipulac s informacemi Bezpecnost systemov e dokumentace
Jan Staudek, FI MU Brno
2
of removable media.
X manipulaci s USB pametmi apod. mus de novat bezpecnostn politika X medium odstranovan e z organizace mus byt vymazano, plne,
ne pouze co je videt v adresa ri X vyna sen media mimo budovu ma byt explicitne povolovano a dokumentovano, pravidelne vyna sen (zalohy) ma r dit procedura X skladovan medi mus vyhovovat pravidlum stanovenych vyrobcem X je nutno respektovat dobu z ivotnosti stanovenou vyrobcem
|
PV017 { Katalog opat ren, ISO/IEC 27002
48
Jan Staudek, FI MU Brno
10.7. Skladovani medi 2 2
2
PV017 { Katalog opat ren, ISO/IEC 27002
49
10.7. Procedury pro manipulac s informacemi
Cl { Media shall be disposed of securely and safely when no longer required, using formal procedures.
ISMS mus obsahovat procedury zajist'ujc bezpecne skladovan medi obsahujcch X X X X X X X X
|
listinne dokumenty hlasove a videozaznamy kopraky vystupn zpravy tiskarensk e pasky USB pameti CD ROM listingy programu, testovac data, dokumentace systemu, ...
2
Cl { Procedures for the handling and storage of information shall
2
procedury mus pokryvat
be established to protect this information from unauthorized disclosure or misuse.
X X X X X X X
prevoz medi r zen prstupu urcen autorizovaneho prjemce dat na bazi klasi kace dat zajisten kompletnosti vstupnch dat, zpracovan , validace vystup u zachazen s mediu podle speci kace vyrobcem distribuci dat vyhovujc klasi kacnm schemat um pravidelne prezkoumav avn distribucnch a autorizacnch seznamu zda obsahuj aktualn cle
nutne jsou procedury skartace a likvidace Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
50
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
51
10.8. Vym ena informac
10.7. Bezpecnost systemov e dokumentace 2
Cl { System documentation shall be protected against
2
Cl: To maintain the security of information and software
X ochrana pred neautorizovanym prstupem X nejde o verejne dostupne manualy, ... X jde o vnitrn dokumentaci organizace popisujc systemy, procesy,
2
Relevantn oblasti opatren
unauthorized access.
exchanged within an organization and with any external entity.
X X X X X
struktury dat, autorizacn procesy, . . .
2
Politiky a procedury pri vym ene informac Dohody o vym ene informac a programu Fyzicka media pri preprave Elektronicke zaslan zprav Aplikacn informacn systemy organizace
E-mail tem er zcela nahradil dalnopis a zjevne brzo nahrad fax a tradicn postu. X E-mail se od bez ne posty odlisuje { ma vysokou rychlost, jinou
strukturu zprav, nzkou formalnost, vykazuje moznost chybneho dorucen, koprovan , snadneho zachycen a moznost prenosu prloh.
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
Jan Staudek, FI MU Brno
52
10.8. Politiky a procedury pri vym ene informac Cl { Formal exchange policies, procedures, and controls shall be
2
2
Vym ena informac formami
2
in place to protect the exchange of information through the use of all types of communication facilities.
X komunikacn linky, e-mail, hlas, fax, video, . . .
Opatren mus zajist'ovat ochranu proti neautorizovanemu
2
X zachycovan , koprovan , modi kovan , presmerovav an , rusen, . . .
informac
2
Pouzite mechanismy
2
X Vodoznaky, s ifrovan , . . . pro zajisten duv ernosti, integrity,
autenticity, . . .
2
Nutnost respektovat klasi kacn schema, legislativn omezen, . . . Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
53
10.8. Politiky a procedury pri vym ene informac
2
2
|
54
Mus se prijmout politika ochrany proti s kodlivemu software a mus se implementovat relevantn opatren Citlive dokumenty se nesm tisknout / ponechavat ve verejne dostupnych tiskarn ach / faxech, mus byt zaslane na dedikovana zarzen Je potreba srozumitelne identi kovat hrozbu komunikace v bezdratov em prostred a do prohla sen o aplikovatelnosti dat adekvatn politiku a opatren Pouzit telefonu a mobilu z mst, ktera nejsou bezpecna, nesm vyzradit duv ernou informaci (verejne prostory, kancela re s tenkymi stenami, areal konkurenta, preplneny vlak . . . )
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
55
10.8. Dohody o vym ene informac a programu
10.8. Politiky a procedury pri vym ene informac 2
2 2 2
Nepouzvat pro duv ernou vym enu informac zarzen, ktera lze snadno kompromitovat (telefon v arealu konkurenta) nebo jsou automaticky nahravan a (banky, . . . ) Duv ernou informaci nesdelovat do hlasove schranky nebo pomoc SMS E-mail lze snadno chybne nasmerovat, pred odeslan m se mus peclive over it vsichni adresati Duv erne informace se nesm poslat faxem
2
Cl { Agreements shall be established for the exchange
2
Smlouva mus speci kovat bezpecnostn podmnky vym en dane schematem klasi kace informac Zaveden vym en mu ze si vyzadat proveden ohodnocen rizik Mus se identi kovat na obou stranach kdo je odpovedny za r zen, oznamovan , zahajovan a prijman vym en Mus se de novat procedury sdelujc druhe strane odeslan / prijet citlive informace a opatren zajist'ujc sledovatelnost a nepopiratelnost Mus se urcit technicke standardy pro balen a prenos informac
2 2 2
2
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
56
Jan Staudek, FI MU Brno
2 2
2 2 2
Mus se urcit kuryrn identi kacn procedury Mus se urcit odpovednosti a rucen za ztratu informac nebo bezpecnostn incidenty Mus se dohodnout system oznacovan , ktery zajist, z e se bezprostredne zjist a poskytnou odpovdajc ochrany. Mel by byt shodny se systemem pouzvanym v organizaci interne. Mus urcit odpovednost za vlastnictv informac a software, ochrany dat, autorska prava apod. Maj se urcit technicke standardy pro zapis / c ten informac Mus se de novat speci cka opatren (napr. kryptogra cka), ktera mohou byt potrebna pro konkretn citlive informace Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
|
PV017 { Katalog opat ren, ISO/IEC 27002
57
10.8. Fyzicka media pri preprave
10.8. Dohody o vym ene informac a programu 2
of information and software betweenthe organization and external parties.
58
2
Cl { Media containing information shall be protected against
2
Nejcasteji se prepravuj CD-ROMy a pasky Posta a obcasna kuryrn sluzba nejsou bezpecne prepravn systemy Je nutne prijmout opatren typu
2 2
unauthorized access, misuse or corruption during transportation beyond an organization’s physical boundaries.
X s ifrovan , pokud medium obsahuje citlive / osobn data X udrzovat seznam spolehlivych, duv eryhodnych kuryrn ch sluzeb,
prpadne pouzvat smluvne vazanou kuryrn sluzbu jako sluzbu poskytovanou tret stranou X Balen hardware mus respektovat pozadavky jeho vyrobce X Prpadne pouzvat fyzicka opatren (zamykatelne kontejnery, . . . ) Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
59
10.8. Elektronicke zaslan zprav
10.8. Elektronicke zaslan zprav 2
Cl { Information involved in electronic messaging shall be
2
Politika bezpecneho pouzvan e-mailu Genericka rizika e-mailu
2
2
appropriately protected.
Politika bezpecneho pouzvan e-mailu by mela zajistit
X Odpovednost zamestnance nekomprmitovat organizaci zakazujc
X
X zranitelnost neautorizovanym prstupem,
neautorizovanou modi kac a utoky typu DoS X zranitelnost nespravn ym adresovan m, chybnym smerovan m a nespolehlivost Internetu X legislativn problemy { nejsou dostupne dukazy puvodu, odeslan a prjmu X neovladatelnost vzdalen eho uzivatele
X X X X
X
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
60
Jan Staudek, FI MU Brno
10.8. Aplikacn informacn systemy organizace 2
2
2
X
Soucasne distribuovane systemy dramaticky zvysuj elektronickou komunikaci mezi zamestnanci a moznost sdlen informaci
X
X F2F komunikace je vrozene bezpecnejs
X
Doporucena opatren
X
X Jasne de novana politika sdlen informac respektujc schema X Jestlize nelze zajistit adekvatn ochranu proti prstupu zvenc
X X
organizace, pak chran enou informaci nelze publikovat na vnitroorganizacnch nast enkach ' X Opatren zajist ujc bezpecnou komunikaci via rizikovy Internet PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
61
X Osobn kalenda re akc zverejnovat pouze spolupracovnkum na
to protect information associated with the interconnection of business information systems.
|
|
10.8. Aplikacn informacn systemy organizace
Cl { Policies and procedures shall be developed and implemented
Jan Staudek, FI MU Brno
pouzit e-mailu spolecnosti pro zaslan hanlivych mailu nebo pro obtez ovan , pro neopravn ene nakupy nebo publikovan nazor u na dodavatele, partnery c i zakazn ky z organizace. E-mail by se nemel pouzvat pro komunikaci citlive informace s jistou klasi kac Prlohy e-mailu by mel byt vhodne chran eny, (prpadne) pomoc kryptogra ckych kontrol nejakeho typu Jak reagovat na viry a podvod zavirovanou zpravou Velikost schranky s prchoz postou mus byt zajistena procedurou Bez konkretn ho predchozho povolen nelze pouzvat e-mail pro nakup jmenem organizace. Pokud lze, pak jen v souladu s aktualn politikou organizace pro nakupu. Firemn e-mailova adresa nesm byt pouzita pro osobn nakupy nebo jine osobn transakce.
62
projektu, . . . Pro kazdy aplikacn informacn system by mela byt stanovena pozadovana vy se zaruky za bezpecnost a jej dosazen prokazat evaluac ISMS pozaduje identi kovat kategorie zamestnancu a smluvnch partneru s povolenym prstupem k system u a lokality, odkud lze systemy zprstupnovat ISMS pozaduje urcit prstupova prava k aplikacnm system um jednotlivcum, na zaklad e jejich rol v organizacnm schematu E-mail mus rozlisovat mezi internmi a externmi adresami, aby uzivatele mohli omezit cirkulaci informac Mus byt zavedena politka zalohov an a obnov Mus byt zavedena politika c innosti organizace v nouzovem rezimu
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
63
10.9. Elektronicke obchodovan
10.9. Elektronicke obchodovan 2
Cl: To ensure the security of electronic commerce services,
2
Relevantn oblasti opatren
2
Cl { Information involved in electronic commerce passing over
2
Hlavn problem elektronickeho obchodovan { nepopiratelnost
and their secure use.
X Elektronicke obchodovan X On-line transakce X Verejne dostupne informace
public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification.
X nepopiratelnost puvodu { jistota pro prijmac stranu, z e odeslatel
nen podvodnk X nepopiratelnost odeslan { dukaz, z e v jistem c ase vec byla odeslana X nepopiratelnost prijet { dukaz, z e prijmac strana skutecne zzskala
odeslanou vec, druhosledove kdy a kde 2 2 Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
64
10.9. Elektronicke obchodovan 2
2
Ochrana Web serveru pred utoky Ochrana komunikac { SSL, IPSec, PKIX, S/MIME, . . . Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
65
10.9. Elektronicke obchodovan
Opatren mus zajistit, z e obchodovan pres verejne ste je chran ene pred podvody, smluvnmi rozepremi, neautorizovanym zprstupnenm a modi kac duv ernych dat Mezi stranami se mus dohodnout (prklad pro B2B)
X Co se mus over ovat na platebnch informacch X Nejbezpecnejs metodu plateb a jak se bude r esit podvod
s padelanou platebn kartou X Jak se zabran duplikacm a ztrat am transakc X Kdo nese odpovednost za s kody podvodnymi transakcemi a jak se r es pojisten
X Autentizace { poslen duv ery mezi zakazn kem a obchodnkem X Autorizace { strany mus vedet z e smluvn vztahy byly domluveny
s autorizovanou rol
X Prodejn procesy { s nepopiratelnost, duv ernost, integritou,
dukazy odeslan a prjmu dokumentu X Jak duv erne jsou domluvy o slevach X Jaka je duv ernost chran enych transakcnch detailu (platba, detaily dodavky, ...) Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
66
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
67
10.9. On-line transakce 2
Cl { Information involved in on-line transactions shall be
2
Vhodna opatren
10.9. Verejne dostupne informace
protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.
2
Cl { The integrity of information being made available on
2
Typy opatren X Informace publikovana na webu ma byt odsouhlasena predem X Informace zskavan a z verejnych webu od lid sm byt shromazd'ovana
X Elektronicke podpisovan { vesmes pro B2B, c asto neprakticke pro C2B X Zajisten duv ernosti transakc (pomoc SSL),
v souladu s omezenmi danymi legislativou X Webovske aplikace mus ltrovat uzivateli dodavan a data (viz OWASP) X Citliva data mus byt pri zskav an a uklad an adekvatn e chran ena (platebn informace z karet apod. { SSL, 3D-Secure, . . . )
zajisten ochrany osobnch dat X Plne s ifrovan komunikac X Bezpecnost mus byt r esena v koncovych systemech X Mus se respektovat legislativn omezen
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
68
Jan Staudek, FI MU Brno
10.10. Sledovan , monitorovan 2 2
2
Porizovan auditnch zaznam u Monitorovan pouzvan systemu Ochrana auditnch zaznam u Administratorsk y a operatorsk y denk Denky selhan Synchronizace c asu
Cl { Audit logs recording user activities, exceptions, and
2
Zaznamy o vyjimk ach udalostech souvisejcch s informacn bezpecnost Mus se uchovavat po stanovenou dobu
2
Zskav an dukaz u pro nasledn e r esen bezpecnostnch incidentu a podkladu pro kontrolu efektivnosti prijatych opatren
information security events shall be produced and kept for an agreed periodto assist in future investigations and access control monitoring.
2
Za veden odpovda CISO, co se sleduje obvykle stanovuje r dic vybor ITSec Sbrat se mus nutne informace, ne ,,vsechny"informace Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
69
X zdroj informac o tom co funguje s patne
Detekce odchylek ucinku prijatych opatren
Jan Staudek, FI MU Brno
PV017 { Katalog opat ren, ISO/IEC 27002
2
2
X odchylek od politiky r zen prstupu X detekce opakovaneho zneuzvan , . . . 2
|
10.10. Porizovan auditnch zaznam u
Cl: To detect unauthorized information processing activities. Relevantn oblasti opatren X X X X X X
a publicly available system shall be protected to prevent unauthorized modification.
70
|
PV017 { Katalog opat ren, ISO/IEC 27002
||||||||||||||||||||||||
71
10.10. Porizovan auditnch zaznam u 2
Typicky sledovane informace, prklady X X X X X X X
2
10.10. Monitorovan pouzvan systemu
ID uzivatele, doba prihla sen / odhla sen usp es ne a neusp es ne prstupy uzivatelu k aktivum zmeny v kon guraci systemu pouzit aplikac aktivace / deaktivace ochran (anti-vir) veskera narusen pravidel bezopecnostn politiky upozornen z rewalu a system u detekce prunik u, ...
2
Cl { Procedures for monitoring use of information processing
2
organizace mus mt zavedeny procedury pro sledovan zpracovan informac zaznamy ze sledovan se mus pravidelne zkoumat
2
facilities shall be established and the results of the monitoring activities reviewed regularly.
X frekvenci zkouman urc vysledek posouzen rizik
Auditn denk mus byt silne prstupove chran eny, slouz mj. pro odhalen neautorizovanych prstupu X jeho veden by melo zajist'ovat Oddelen internho auditu X IT administrato ri nemaj mt k denku prstup a nesmej mt moznost
vypnat sve sledovan
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
72
Jan Staudek, FI MU Brno
10.10. Ochrana auditnch zaznam u
|
PV017 { Katalog opat ren, ISO/IEC 27002
10.10. Administratorsk y a operatorsk y denk
2
Cl { Logging facilities and log information shall be protected
2
Cl { System administrator and system operator activities
2
Je nutna striktn autorizace modi kacnch prstupovych prav Zaznamy lze pouzvat jako dukazy pri soudnch sporech Objemy zaznamenavan ych informac byvaj obrovske
2
Prklady zaznamenavan ych udalost
2 2
against tampering and unauthorized access.
|
PV017 { Katalog opat ren, ISO/IEC 27002
shall be logged.
X X X X X
X je nutne stanovit politiku bezpecne archivace zaznam u X idealn r esen { datove trezory
Jan Staudek, FI MU Brno
73
74
spusten a zastaven c innosti, kdo tak ucinil popis akce (zahrnute procesy, soubory, . . . ) chyby systemu (co, kdy) a opravne akce vse co souvis se zalohov an m a obnovou jmeno osoby ucinvs zaznam
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
75
10.10. Synchronizace c asu
10.10. Denky selhan 2
Cl { Faults shall be logged, analyzed, and
2
O selhan ch maj byt vedeny zaznamy, tyto maj byt analyzovane a zavady maj byt odstranovan e
2
appropriate action taken.
Cl { The clocks of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source.
X Napr. zkouman zaznam u o bezpecnostnch incidentech vyzaduje
informaci o c ase vyskyt u udalost
2
Hodiny ve vsech poctacch maj byt synchronizovane bud'to s UCT (Universal Coordinated Time) nebo s lokaln m standardnm c asem X dopad driftu hodin v poctacch, . . .
2
Maj se pouzvat standardizovane formaty vyjad ren c asu X nerespektovan letnho c asu mu ze mt negativn dopad na zkouman
auditnch zaznam u, ... X chybna interpretace c asu bran zkouman udalost , prprave dukaz u, ... Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
76
Jan Staudek, FI MU Brno
zen prstupu { vybrany ilustracn prklad oddlu 11. R 2
2
X 11.1 Pozadavky na r zen prstupu { vybrany ilustracn prklad
PV017 { Katalog opat ren, ISO/IEC 27002
dit prstup k informacm Cl { R procesum organizace by mel byt r zen na zaklad e provoznch a bezpecnostnch pozadavku organizace X Mela by byt zohlednena pravidla organizace pro s r en informac a pravidla, podle nichz probha schvalovan .
zen prstupu uzivatelu 11.2 R 11.3 Odpovednosti uzivatelu zen prstupu k sti 11.4 R zen prstupu k operacnmu systemu 11.5 R zen prstupu k aplikacm a informacm 11.6 R 11.7 Mobiln vypo cetn zarzen a prace na dalku
|
77
X Prstup k informacm, prostredkum pro zpracovan informac a
kategorie bezpecnosti
Jan Staudek, FI MU Brno
PV017 { Katalog opat ren, ISO/IEC 27002
11.1 Pozadavky na r zen prstupu
zen prstupu obsahuje 7 kategori bezpecnosti Oddl 11. R
X X X X X X
|
2
Vy cet opatren X 11.1.1 Politika r zen prstupu X Tato kategorie zavad jedine opatren { politiku r zen prstupu
78
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
79
11.1.1 Politika r zen prstupu 2
11.1.1 Politika r zen prstupu
Opatren
2
X Mela by byt vytvorena, zdokumentovana a v zavislosti na aktualn ch
Politika r zen prstupu by mela brat v uvahu nasleduj c hlediska:
bezpecnostnch pozadavcch prezkoumav ana politika r zen prstupu
2
X bezpecnostn pozadavky jednotlivych aplikac organizace X identi kace vsech informac ve vztahu k jednotlivym aplikacm a
Doporucen k realizaci
rizika, kterym jsou informace vystaveny
X Prstupova pravidla a opravn en by mela byt jasne stanovena
X pravidla pro s r en informac a pravidla schvalovan ,
pro kazdeho uzivatele nebo skupinu uzivatelu v seznamu pravidel prstupu. X Pravidla by mela pokryvat jak logicky, tak fyzicky prstup, oba typy prstupu by mely byt r eseny soucasne. X Uzivatelum a poskytovatelum sluzeb by melo byt predano jasne vyjad ren o provoznch pozadavcch, ktere naplnuje r zen prstupu.
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
Doporucen k realizaci (pokrac.) {
tj. princip potreby znat, bezpecnostn urovn e a klasi kaci informac X konzistence prstupovych pravidel a klasi kace informac pro ruzn e systemy a ste X odpovdajc legislativu a ostatn smluvn zavazky ve vztahu k ochrane prstupu k datum nebo sluzbam X standardn prstupove pro ly uzivatelu pro bez ne kategorie c innost
80
Jan Staudek, FI MU Brno
11.1.1 Politika r zen prstupu
X X X
2
rozeznavaj cm vsechny mozne typy pripojen oddelen jednotlivych rol pro r zen prstupu, napr. vyrizovan pozadavku na prstup, schvalovan prstupu, sprava prstupu pozadavky na formaln schvalen z adost o prstup pozadavky na pravidelne prezkoumav an prstupovych prav podmnky a postupy pro odebran prstupovych prav
X rozlisovat mezi pravidly, ktera mus byt v platnosti vzdy, a temi, X
X
X
|
PV017 { Katalog opat ren, ISO/IEC 27002
81
Dals informace
X
Jan Staudek, FI MU Brno
PV017 { Katalog opat ren, ISO/IEC 27002
11.1.1 Politika r zen prstupu
X r zen pravidel prstupu v distribuovanem a st'ovem prostred X
|
82
ktera jsou nepovinna nebo podmnena stanovit pravidla na zaklad e principu ,,Vsechno, co nen vyslovn e povoleno, je zakaz ano\, ne na zaklad e mekcho pravidla ,,Vsechno, co nen vyslovn e zakaz ano, je povoleno\ zohlednovat zmeny ve oznacovan informac, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a zmeny, ktere jsou vyvolany z rozhodnut uzivatele zohlednovat zmeny uzivatelskych opravn en, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a ty, ktere jsou vyvolany administratorem rozlisovat pravidla, ktera vyzaduj schvalen administratorem nebo jinou pover enou osobou, a ta, ktera toto nevyzaduj. Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
83
11.1.1 Politika r zen prstupu
11.1.1 Politika r zen prstupu
X Pravidla pro r zen prstupu by mela byt podporovana zavedenm X X X X
X
X
X Mus se zohlednovat relevantn legislativa X Pro zavedene kategorie pracovnch funkc maj byt de novane
formaln ch postupu a jasne urcenych odpovednost Uzivatele maj znat cle c innosti organizace, ktere politika prstupu dosahuje Opatren mohou byt jak fyzickeho, tak i logickeho typu Uzivatele maj byt s kolen na pravidla a politiku r zen prstupu Rozdlne aplikacn c innosti organizace mvaj rozdlne pozadavky na bezpecnost { kdo ma nebo nema mt prstup k systemu uka ze ohodnocen rizik Vhodny je princip ,,need-to-know" { Napr. referentka zadavaj c objednavku platebnmu systemu nemus mt pravo prkazce operace proveden platby Mus se respektovt system klasi kace informac { Pozadavek konzistence klasi kacnch schemat a r zen prstupu a ruzn ych stch te ze organizace Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
X
X
X X X
84
standardizovane pro ly uzivatelskych prstupu V distribuovanych systemech je nutne r esit prstupova prava jak pri lokaln m prstupu, tak i vzdalen em prstupem jednoho a teho z uzivatele Vhodne je dodrzovat princip separace odpovednost { V dostatecne velkych organizacch vzdy oddelit role odpovedne za plnen prstupovych pozadavku, za jejich autorizaci a za jejich nastaven Pravidelne prezkoumavat opatren r dic prstupy, prstupy je nutne prub ez ne monitorovat Rusit prstupova prava pri vypov edi Nektera pravidla politiky r zen prstupu mohou byt prosazovana trvale, jina volitelne, prp. podmnecne nebo pouze v jistych situacch Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
85
Skladba opatren ostatnch kategori r zen prstupu
11.1.1 Politika r zen prstupu X Mus byt stanovena prstupova prava k proveden zmen
2
v klasi kaci informaci, v pravidlech r zen prstupu, v uzivatelskych prstupovych pro lech, . . .
zen prstupu uzivatelu 11.2 R X Cl: Zajistit opravn eny prstup uzivatelu a predchazet neopravn enemu X X X X
2
prstupu k informacnm system um. Registrace uzivatele zen privilegovaneho R prstupu Sprava uzivatelskych hesel Prezkouman prstupovych prav uzivatelu
11.3 Odpovednosti uzivatelu X Cl: Predchazet neopravn enemu uzivatelskemu prstupu, vyzrazen
nebo krade zi informac a prostredku pro zpracovan informac.
X Pouzvan hesel X Neobsluhovana uzivatelska zarzen X Zasada prazdn eho stolu a prazdn e obrazovky monitoru Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
86
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
87
Skladba opatren ostatnch kategori r zen prstupu
Skladba opatren ostatnch kategori r zen prstupu 2
zen prstupu k sti 11.4 R X X X X X X X X
2
Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Politika uzvan st'ovych sluzeb Autentizace uzivatele pro extern pripojen Identi kace zarzen v stch Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen Rzen smerovan ste
zen prstupu k operacnmu systemu 11.5 R X X X X X X X
2
Cl: Predchazet neautorizovanemu prstupu k operacnm system um. Bezpecne postupy prihla sen Identi kace a autentizace uzivatelu System spravy hesel Pouzit systemov ych nastroj u Casove omezen relace Casov e omezen spojen
zen prstupu k aplikacm a informacm 11.6 R X Cl: Predchazet neopravn enemu prstupu k informacm ulozenym
v poctacovych systemech. X Omezen prstupu k informacm X Oddelen citlivych system u Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
Jan Staudek, FI MU Brno
88
PV017 { Katalog opat ren, ISO/IEC 27002
89
zen prstupu k sti Ilustrativn rozpis kategorie 11.4, R
Skladba opatren ostatnch kategori r zen prstupu 2
|
11.7 Mobiln vypo cetn zarzen a prace na dalku
2
X Cl: Zajistit bezpecnost informac pri pouzit mobiln
2
vypo cetn techniky a zarzen pro praci na dalku. X Mobiln vypo cetn zarzen a sdelovac technika X Prace na dalku
Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Relevantn oblasti opatren X X X X X X X
2
Politika pouzvan st'ovych sluzeb Autentizace uzivatelu pro extern pripojen Identi kace zarzen v sti Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen zen smerovan R v sti
Typova zabezpecovana prostred X privatn ste na bazi pevnych privatn ch spoju { WAN, LAN X VPN { alternativa WAN, na bazi protokolu IPSec ve verejne sti
(VPN pro vzdalen y prstup, site-to-site VPN)
X extranety { podpora B2B c innost, VPN technologie X bezdratov e ste { IEEE 802.11, Bluetooth, mobiln ste, . . . Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
90
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
91
Politika pouzvan st'ovych sluzeb
Autentizace uzivatelu pro extern pripojen
2
Cl { Users shall only be provided with access to the services that
2
Cl { Appropriate authentication methods shall be used to
2
Politika urcuje
2
Zranitelnost vzdalen eho prstupu
they have been specifically authorized to use.
X ktere ste a ktere st'ove sluzby lze zprstupnovat X adekvatn auutorizacn procedury pro zskan prava prstupu X ktera opatren mus chranit st'ova pripojen 2 2
control access by remote users.
X vyta cena (komutovana) spojen X bezdratov a spojen 2
Politika mus vyhovovat politice r zen prstupu Bezpecnostn perimetr ste vymezuj smerovace a rewally
2
Bezpecny vzdalen y prstup z internetu zajist napr. protokol Kerberos Na vyta cenych spojench lze pouzt zpetna volan
X k aplikacm, udaj um a sluzbam bez cm v sti mohou pristupovat
pouze autentizovan uzivatele
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
92
Jan Staudek, FI MU Brno
Identi kace zarzen v sti 2
Cl { Automatic equipment identification shall be considered as
2
a means to authenticate connections from specific locations and equipment.
zajistit, aby se relace otevrala pouze z konkretn ho msta c i poctace X napr. bankovn presuny penez lze provad et pouze z . . .
Nestac znat adresu portu kabelu vedoucho k terminalu
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
PV017 { Katalog opat ren, ISO/IEC 27002
93
Ochrana portu pro vzdalenou diagnostiku a kon guraci
X nutne implementovat, pokud ohodnocen rizik indikuje, z e je dule zite
2
|
94
Cl { Physical and logical access to diagnostic and configuration ports shall be controlled.
X vzdalen y prstup si vynucuje pozadavek moznosti
kon guracnho nebo opravneho zasahu X porty lze chranit fyzicky, zamkem, zprstupnen podle ISMS procedury r es obsluha poctace { po nale zite autentizaci port na urcenou dobu odemkne a ucin o tom auditn zaznam
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
95
zen st'ovych R spojen
Princip oddelen v stch 2
Cl { Groups of information services, users, and information
2
Oddelen
2
systems shall be segregated on networks.
X Oddelen pusobnost jiste sluzby mu ze redukovat dopad
narusen sluzby X Bezdratov e ste maj byt oddeleny a s jinak bezpecnou zbyvaj c st propojeny jedinym bezpecnym spojem (napr. rewallem) 2
Cl { For shared networks, especially those extending across
the organization’s boundaries, the capability of users to connect to the network shall be restricted, in line with the access control policy and requirements of the business applications.
X spojen mus vyhovovat politice r zen prstupu X nektera spojen mohou podlehat c asovemu planu
Nutnost dukladn e dokumentace X domen, rozmsten aktiv do domen, ...
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
96
zen smerovan R v sti 2
Cl { Routing controls shall be implemented for networks to ensure that computer connections and information flows do not breach the access control policy of the business applications. X smerovan mus vyhovovat politice r zen prstupu
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
98
Jan Staudek, FI MU Brno
|
PV017 { Katalog opat ren, ISO/IEC 27002
97