IEC 27002:2013, Popis kategori bezpecnosti

ISO/IEC 27002:2013 2

Katalog opat ren, ISO/IEC 27002

Information Security Management X Information technology – Security techniques – Code of practice for information security management X Informacn technologie { Bezpecnostn techniky {

Dodatek predna sky Anatomie inform. bezpec., ilustracn vyklad

Soubor postupu pro r zen informacn bezpecnosti

PV 017 Bezpecnost IT

2

X Standard obsahuje celkem 11 zakladn ch oddlu,

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

Struktura standardu ktere jsou dale rozdeleny do 39 kategori bezpecnosti X V kazde kategorii bezpecnosti se speci kuje alespon jedno opatren X Mimo to jsou ve standardu uvedeny zakladn informace o procesech hodnocen a zvlad an rizik. X Oddly jsou c slovane poradm kapitol standardu obsahujcch jejich popis (5 { 15)

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016 Jan Staudek, FI MU Brno

ISO/IEC 27002:2013, Oddly kategori bezpecnosti 2

5) Bezpecnostn politika

Popis kazde z kategori bezpecnosti obsahuje: ktera lze pouzt k dosazen stanoveneho cle opatren.

7) Klasi kace a r zen aktiv { odpovednosti za aktiva, klasi kace 2

8) Bezpecnost lidskych zdroju { prijet do, prub eh, ukoncen vztahu

Popis opatren je strukturovan nasledovn e: X Opatren {

9) Fyzicka bezpecnost a bezpecnost prostred zen komunikac a r zen provozu { vybrany ilustracn prklad 10) R

Presna formulace konkretn ho opatren, ktere vede k naplnen cle opatren. X Doporucen k realizaci { Podrobnejs informace a doporucen na podporu implementace vybranych opatren, ktera vedou k dosazen cle opatren. X Dals informace { Dals informace, ktere mu ze byt potrebne vzt do uvahy, otazky legislativy, odkazy na dals relevantn normy a predpisy, . . .

zen prstupu { vybrany ilustracn prklad 11) R 12) Nakup, vyvoj a udr zba informacnho systemu 13) Zvlad an bezpecnostnch incidentu zen kontinuity c innost organizace 14) R 15) Soulad s pozadavky { prava, politik, smluv, . . . , audit PV017 { Katalog opat ren, ISO/IEC 27002

1

X cl opatren, urcujc c eho ma byt dosazeno; X popis jednoho nebo vce opatren,

6) Organizace bezpecnosti { intern organizace, extern subjekty

|

PV017 { Katalog opat ren, ISO/IEC 27002

ISO/IEC 27002:2013, Popis kategori bezpecnosti

Kazdy z oddlu obsahuje jednu nebo vce kategori bezpecnosti

Jan Staudek, FI MU Brno

|

2


|


3

zen komunikac a r zen provozu 10. R

zen komunikac a r zen provozu 10. R

Kategorie opatren spadajc do oddlu 10: 2

2

and information processing facilities.

10.1 Operational procedures and responsibilities Cl: To ensure the correct and secure operation of information

2

processing facilities.

2

2

2

|


10.7 Media handling Cl: To prevent unauthorized disclosure, modification, removal

or destruction of assets, and interruption to business activities.

10.3 System planning and acceptance Cl: To minimize the risk of systems failures. 10.4 Protection against malicious and mobile code Cl: To protect the integrity of software and information. Jan Staudek, FI MU Brno

10.6 Network security management Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure.

10.2 Third party service delivery management Cl: To implement and maintain the appropriate level of

information security and service delivery in line with third party service delivery agreements.

2

10.5 Back-up Cl: To maintain the integrity and availability of information

2

10.8 Exchange of information Cl: To maintain the security of information and software

exchanged within an organization and with any external entity.

4


10.9 Electronic commerce services Cl: To ensure the security of electronic commerce services,

2

Cl { To ensure the correct and secure operation of

2

10.10 Monitoring Cl: To detect unauthorized information processing activities.

2

procedura ≡ pracovn postup Relevantn skupiny opatren v kategorii 10.1 v oddlu 10

and their secure use.

2



|


5

10.1. Provozn procedury a odpovednosti

zen komunikac a r zen provozu 10. R 2

|

information processing facilities.

X X X X

6

Dokumentace provoznch procedur Zmenove r zen Oddelen odpovednost Oddelen vyvoje, testu a provozu


|


7

10.1. Dokumentace provoznch procedur

10.1. Dokumentace provoznch procedur

2

Cl { Operating procedures shall be documented, maintained, and

2

Provozn procedury mus vyhovovat pozadavkum systemu spravy dokumentu organizace (principy viz ISO 9000)

2

made available to all users who need them

X zaklad skladby provoznch procedur tvor ty procedury,

ktere implementuj politiku informacn bezpecnosti X zaklad lze doplnit detailnejsmi provoznmi procedurami vypracovanymi na zaklad e doporucen poradce pro ITSec a odpovednych provoznch pracovnku pro typove provozn oblasti X nutne je jejich schvalen relevantnm vedenm organizace

X nutne je schvalen relevantnm vedenm organizace 2

Zverejnen provoznch procedur X pro zamestnance { v intranetu X pro partnerske tret strany { v extranetu X pozadavky: snadna udr zba, pohotova aktualizace


|


8


Zpracovan informac a naklad an s informacemi

2

X vc. pozadavku na duv ernost a klasi kaci informac 2 2

Zalohov an (detaily viz 10.5) Planov an c innost, (napr. zalohov an )

2

X vc. navaznost na jine systemy X vc. nejdrvejsch a nejzazsch moznych termnu proveden

2 2

Chybove r zen a r zen ve vyjime cnych podmnkach X vc. instrukc pro omezene pouzvan systemu X vc. navod u pro nove (a nezkusene) zamestnance (1. reakce na incident) X chybove r zen a r zen ve vyjime cnych podmnkach je jinak predmetem

c innosti specialistu s dostatecnymi zkusenostmi a dovednostmi Jan Staudek, FI MU Brno

|



9

Kontaktovan odpovdajc podpurn ych tym u v prpade neocekavan ych provoznch nebo technickych obtz a dokumentovan techto kontaktu Sprava specialn ch vystup u (tisku) X vc. reakc na selhan vystup u specialn ch uloh

(napr. prav e zalohov an )

2

|

10.1. Oblasti pokryvan e v ISMS provoznmi procedurami

10.1. Oblasti pokryvan e v ISMS provoznmi procedurami 2

Nezbytne provozn procedury pro ISMS identi kuje bezpecnostn politika

10

Restart systemu a postupy po vypadku systemu Vsechny hospoda rske/udr zbove c innosti X X X X X

start a vypnut poctace udr zba zarzen vyuzvan poctacoveho salu, ... maj byt viditelne vystavene zamestnanci maj byt s kolen na jejich pouzvan Jan Staudek, FI MU Brno

|


11

10.1. Zmenove r zen

10.1. Dokumentace provoznch procedur, poznamky 2 2

Zbytecne detailn procedury / r dce aplikovatelne procedury { jakoby by nebyly z adn e Pri outsourcovan IT sluzeb mus byt provozn procedury vyzad any v kontraktu

2

Cl { Changes to information processing facilities and systems shall

2

zen zmen zarzen pro zpracovan R informac, operacnch system u a aplikacnho software Formaln , dokumentovane postupy pro vsechny zmeny techto aktiv Neadekvatn urove n zmenoveho r zen {

2 2

be controlled.

X vyrazn a zranitelnost X zdroj zbytecnych naklad u 2


|


12


10.1. Zmenove r zen 2

2


2

Cl { Duties and areas of responsibility shall be segregated to

2

Oddelen r dicch a vykonn ych povinnost snizuje moznosti proveden neopravn enych uprav / zneuzit informac / sluzeb.

X identi kci vyznamu zmeny z pohledu c innost organizace

X X X

|

13

10.1. Oddelen povinnost (oblast odpovednosti)

procedura zmenoveho r zen OS a aplikacnch system u { typicky 1-strankov y dokument pokryvaj c X X

Inovacn zmena mus byt vyvolana adekvatn mi duvody, mus existovat kriteria pro rozhodovan o inovaci a relevantn c asove plany postupu

(prpadne doplnenou o posouzen prnosu zmeny) plan testovan zmeny a prevzet zmeny uzivatelem posouzen moznych (bezpecnostnch , . . . ) dopadu, vc. dopadu na jiny aplikacn c i provozn software a hardware formaln odsouhlasen zmeny sdelen o zmene vsem relevantnm osobam postup pro zrusen zmeny a navrat do puvodn ho stavu

reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

X V malych organizacch obtz ne dosazitelne X vzdy je nutne implementovat separaci v co mozna nejvetsm rozsahu X Oddelen r zen, monitoringu a auditu je neobejitelne,

audit vzdy mus byt nezavisl y

Kazda zmena v sti by mela vyvolat prehodnocen hlavnch rizik pro bezpecnost informac X a prpadne nasledn e zmeny v prohla sen o aplikovatelnosti

2

Mus se opravit vsechny dokumenty zavisl e na menenem jevu Jan Staudek, FI MU Brno

|


14


|


15

10.1. Oddelen povinnost (oblast odpovednosti) 2 2

10.1. Oddelen vyvojov ych, testovac a provoznch prostred

Clem je oddelen iniciace udalosti od povolen jejho vyskytu prevence spach an podvodu bez moznosti detekce v oblasti s jedinou odpovednost, tj. oddelen c innost, ktere { X pro spach an podvodu vyzaduj uzavren tajne dohody

(napr. vystaven objednavky x potvrzen zskan zboz) X pracuj s aktivy, ktere posouzen rizik oznacilo jako podvodne manipulovatelne a mus byt do manipulace s nimi zahrnuty alespon dva intern zamestnanci (snz en pravdepodobnosti konspirace s extern osobou)

2

Cl { Development, test and operational facilities shall be separated

2

relevantn pozadavek pro organizace s vlastnm vyvojov ym strediskem X prp. s vyvojem zajist'ovanym outsourcingem

2

2


|


Jednotliva prostred maj pracovat s ruzn ymi daty

2

Mus se pouzvat odlisne autentizacn metody v jednotlivych prostredch Vyvoj nesm mt nikdy prstup do provoznho prostred


|



17

Tret strana { jina entita nez entita prmo zahrnuta do transakc, c innost, . . . , organizace X Firma x zakazn´ ıci x tret strana dodavaj c sluzby rme ´

vzorek z ivych dat za podmnek shodnych s provoznm prostredm X s z ivymi daty pouze v provoznm prostred

2

|

zen dodavek 10.2. R sluzeb tretch stran

X vyvojov e prostred { umela nebo scramblovana z iva data X testovac prostred {

2

Mus byt dokumentovana pravidla pro prenos software z vyvojov eho do testovacho a z testovacho do provoznho prostred Jednotliva prostred maj byt implementovana na ruzn ych poctacch / v ruzn ych domen ach


16

10.1. Oddelen vyvojov ych, testovac a provoznch prostred 2

to reduce the risks of unauthorised access or changes to the operational system.

2

Cl { To implement and maintain the appropriate level of

2

Relevantn oblasti opatren

information security and service delivery in line with third party service delivery agreements.

X Dodavky sluzeb X Sledovan a prezkoumav an poskytovanych dodavek sluzeb X Zmenove r zen ve sluzbach tretch stran

18


|


19

10.2. Dodavky sluzeb

10.2. Dodavky sluzeb 2

2

2 2

2

Cl { It shall be ensured that the security controls, service

definitions and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party.

2

Smlouva by mela obsahovat dolozku o moznosti pozadovat navy sen sly bezpecnostnch opatren Vzdy je nutno venovat zvla stn pozornost problem um typu citlive nebo kriticke aplikace, ktere by mohly byt lepe r eseny in-house souhlas vlastnku a dodavatelu softwaru s outsourcingem procesu dopady na plany zachovan c innosti bezpecnostn standardy, ktere budou zavazn e pro tret strany, a jak se ma soulad s nimi mer it X ktere c innosti a individualn odpovednosti je treba sledovat X zvlad an bezpecnostnch incidentu a zabudovan smluvnch procedur do politik organizace X X X X

Smlouva o dodavk ach s tret stranou mus identi kovat vsechna bezpecnostn opatren, de nice vsech sluzeb a formy jejich poskytovan Outsourcing mu ze pozadovat zrzen r dicho tymu a mechanismu pro sledovan vykonnosti Mus se peclive a detailne planovat a dokumentovat predan dat tret strane

2

Duraz na smluvn zavazky tret strany v oblasti bezpecnosti X r zen prstupu, sprava bezpecnosti podle dohodnutych standardu, ...

X vc. posouzen rizik jeste pred uzavrenm kontraktu

2

Dukladn a dokumentace X agendy, zapisy z porad, dodatecne dohody, . . .


|



20

10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb 2

2 2

shall be regularly monitored and reviewed, and audits shall be carried out regularly.

Za dodavky sluzeb mus byt nekdo (role/oddelen) odpovedny Mezi klc ove odpovednosti patr X sledovan vykonu { zajist'ovan , aby se skutecne dosahovala smluvn

urovn e sluzeb, identi kace nedostatku, a dohadovan jak by nedostatky mely byt opraveny. X prezkoumav an vsech zaznam u o bezpecnostnch incidentech (vcetne auditnch zprav), provoznch problemech, poruchach, zavad ach a o c emkoliv jinem, co mu ze generovat riziko pro organizaci a zajisten, aby byla prijata prslusna napravn a opatren. To mu ze vest k eskalaci smluvnch vztahu doplnenm smluvnch ustanoven o moznem navy sen plnen a manazersky tym odpovedny za smlouvu by mel mt dovednosti a zkusenosti pro r zen eskalace . |



21

10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb

Cl { The services, reports and records provided by the third party


|

22

2 2

2

Z adn y prostor pro nejasnosti { vse mus byt dokumentovane Mus ex. moznost prezkoumavat u tret strany procesy zmenoveho r zen, zaznamen av an incidentu a reakc na ne, identi kace zranitelnost a uplatnov an opatren Odpovednost za zpracovan dat ma objednavaj c strana, odpovednost nelze smlouvou prevezt na tret stranu X ma-li organizace vyhovet datove orientovane legislative,

mus byt adekvatn procesy a systemy i u tret strany


|


23

10.2. Zmenove r zen ve sluzbach tretch stran 2

2

10.3. Planov an a prejman system u

Cl { Changes to the provision of services, including maintaining

and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business systems and processes involved and re-assessment of risks.

2 2

Cl { To minimize the risk of systems failures. Relevantn oblasti opatren X Sprava kapacit X Prejman system u

Sprava zmenoveho r zen zajist'ovaneho u tret strany mus byt r adn e zakotveno ve smlouve o outsourcingu X jedna se o mezi-organizacn procesy X musej byt odsouhlaseny oboustranne

2

Jedna se o vsechny zmeny majc dopad na inf. bezpecnost X mus se provest posouzen rizik nasledovan e identi kac a

implementac relevantnch opatren

2

Zmenu mu ze iniciovat i tret strana (podle pravidel ve smlouve) Jan Staudek, FI MU Brno

|


24


10.3. Sprava kapacit

|


10.3. Prejman system u

2

Cl { The use of resources shall be monitored, tuned, and

2

Cl { Acceptance criteria for new information systems, upgrades,

2

Organizace ma sledovat pozadavky na kapacity a prognozovat jejich vyvoj

2

Organizace ma stanovit prejmac kriteria pro nove systemy, vylepsen system u, pro jejich nove verze

projections made of future capacity requirements to ensure the required system performance.

X souborove / domenov e servery, tiskarny, komunikacn spoje, . . . X zvy sen aktivit si vyzad a zvetsen tymu, 2

Nedostatecne kapacity jsou zdroje bezpecnostnch incidentu typu DoS (Denial of Services)


|


and new versions shall be established and suitable tests of the system(s) carried out during development and prior to acceptance.

X pri prejman mus probehnout relevantn testy

bude potreba vce osobnch poctacu, ... X nar ust webovych aktivit pri e-komerci 2

25

26

Prejmac kriteria mus byt strucna, jasna, (smluvne) odsouhlasena a dokumentovana


|


27

10.3. Prejman system u 2

10.3. Prejman system u

Prejman nove verze systemu vyzaduje provest kontroly splnen pozadavku danych c innost organizace na: X X X X X X X X X

2

na vykony poctacu a kapacity revize / vytvoren novych programu pro obnovu po poruchach a restart prepracovan a otestovan rutinnch provoznch procedur implementaci novych bezpecnostnch opatren po znovu provedenem posouzen rizik vypracovan novych manual u a dokumentovanych provoznch procedur inovaci planu zachovan kontinuity c innosti organizace podan dukaz u, z e nove systemu nemaj neprznivy vliv na bez c existujc systemy podan dukaz u posouzenm rizik jaky ma dopad novy system na celkovou bezpecnost organizace zaskolen uzivatelu na novy system a posouzen dopadu na uplatnovan e pracovn praktiky Jan Staudek, FI MU Brno

|


2 2

Ma se provozovat novy system po jistou dobu soubez ne s puvodn m systemem ? Zvla stn pozornost je potreba venovat prejmacm kriteri m pro nove komunikacn systemy Posouzen rizik mu ze vyzadat proveden testu, veri kac a certi kac nezavislou tret stranou

28


2

Cl { To protect the integrity of software and information. Relevantn oblasti opatren

2

X Opatren proti s kodlivym programum ‘Malware’ is a term that denotes software designed for some malicious purpose.

|


29

Cl { Detection, prevention, and recovery controls to protect

against malicious code and appropriate user awareness procedures shall be implemented.

X ISMS ma obsahovat politiku a procedury pozadujc vyhoven

programy, ktere na poctaci bez bez vedom uzivatele a nejakym zpusobem jej poskozuj, nebo zhorsuj jeho funkci { viry, c ervi, Trojst kone, . . . , spyware X Opatren proti mobilnm programum ‘program that can execute on remote locations with any modification in the code. [It] can travel and execute from one machine to another on a network during its lifetime’ { software transferred between systems, e.g. transferred across a network or via a USB flash drive, and executed on a local system without explicit installation or execution by the recipient ActiveX, Java, JavaScript, VBScript, MS Word macros, PostScript, . . . Jan Staudek, FI MU Brno


10.4. Opatren proti s kodlivym programum

10.4. Ochrana proti s kodlivym a mobilnm programum 2

|

30

X

X X

X

softwarovym licencm a zakazujc pouzvat neutorizovany software ISMS ma obsahovat politiku a procedury chran c organizaci proti importu s kodliveho software { zakaz prmeho prstupu uzivateli na extern disky, CD-ROM, USB pameti apod. Data z nich mu ze zavad et pouze IT tym po kontrole. V sti organizace ma byt instalovany aktualizovany ,,anti-malware software" Bez prodlen instalovat opravy (zaplaty) zverejnene vyrobcem licencovaneho software a o vsech instalac zaplat vest auditn zaznamy (kdy, kdo, co instaloval) Pravidelne prezkoumavat software a data na vsech poctacch organizace a odhalovat a odstranovat neautorizovane programy / data Jan Staudek, FI MU Brno

|


31

10.4. Opatren proti s kodlivym programum

10.4. Opatren proti mobilnm programum

X Vsechny soubory z externch zdroju kontrolovat na vyskyt X X X

X X X X

s kodliveho software Vsechny prlohy e-mailu kontrolovat na rewallu na vyskyt s kodliveho software Zamestnance proskolovat v rozpoznav an potencialn e napadenych e-mailu s kodlivym software Ustanoven odpovednosti za beh ochran proti s kodlivemu software, detekce incidentu a odtranov an dusledk u c innosti s kodliveho software se ma r esit dokumentovanymi procedurami Ma existovat BCP pro obnovu po utoku s kodlivym software Bezpecnostn manazeri maj mt prstup ke vhodnym a duv eryhodnym zdrojum aktualn ch informac o s kodlivem software Maj byt instalovany opatren proti spyware Zamestnanci maj byt s kolen jak zachazet s webovskymi uzly napadnutymi s kodlivym software Jan Staudek, FI MU Brno

|


2

Cl { Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to clearly defined security policy, and unauthorized mobile code shall be prevented from executing.

X trivialn r esen { politikou zakazat instalaci a na rewallu blokovat

software obsahujc mobiln kod X blokovan lze omezit na vybrane podezrele uzly


32

10.5. Zalohov an


33

10.5.Zalohov an informac

2

Cl: To maintain the integrity and availability of information and

2


2

information processing facilities.

Cl { Back-up copies of information and software shall be taken and tested regularly in accordance with the agreed backup policy.

X Ideal { vsechny informace organizace uchovavat na serverech

X Zalohov an informac

X

X X X


|

|


34

organizace a servery pravidelne (automaticky) zalohovat Povinnost zalohovat data z prenosnych zarzench na serverech organizace ma byt soucast inicialn ho bezpecnostnho s kolen zamestnance politika zalohov an mus pokryvat vsechna potencialn msta obsahujc citliva data organizace zalohovat je potreba data originaln e uchovavan a nejen v elektronicke, ale i v paprove forme mus se urcit metody a frekvence zalohov an


|


35



X zalohovan e informace spolecne s upln ymi a presnymi zaznamy o tom

X X

X X X

X zalohov an ma byt predmetem pravidelneho prezkoumav an

co je zalohov ano a dokumentace procedur obnovy se ma uchovavat ve vzdalen e lokalite zaloh an lze r esit kontraktem s tret stranou zalohovac cyklus ma implementovat 3-generacn postup aplikovany na mesc n, tydenn a denn zalohy: { syn: kazdy den v tydnu samostatne, prepis kazdy tyden { otec: kazdy tyden v mesc, prepis kazdy mesc { dedecek: kazdy mesc v roce, prepis kazdy rok na zalohy se mus aplikovat stejna bezpecnostn opatren jako na originaln data, prpadne je navc utajovat s ifrovan m zalohovac media je potreba pravidelne testovat na zpracovatelnost pravidelne se maj testovat vsechny obnovovac procedury dokumentovane v ISMS a vysledky testu se maj uchovavat v dokumentaci BCP Jan Staudek, FI MU Brno

|


managementem X Kriticke aplikace maj byt provozovane na serverech implementovanych na technologii RAID (idealn e RAID 5) X ma byt stanovena doba uchovav an zaloh podle omezen danych pozadavkem vyhoven legislative, smluvnm zavazk u a byznys modelu

36


10.6. St'ova bezpecnost 2

Cl: To ensure the protection of information in networks and

2



37

10.6. St'ova opatren 2

the protection of the supporting infrastructure.

X St'ova opatren { Internet acceptable use policy, AUP X Bezpecnost st'ovych sluzeb

Cl { Networks shall be adequately managed and controlled, in

order to be protected from threats, and to maintain security for the systems and applications using the network, including information in transit.

X odpovednost za provoz ste r esit oddelene od administrace poctacu X X X X


|

|


38

{ viz Oddelen/Oddelen povinnost jednoznacne de novat odpovednosti a procedury spravy vzdalen ych zarzen vc. oblast vzdalen ych uzivatelu specialn opatren se mus prijato pro ochranu dat prena senych bezdratov ymi a verejnymi stemi v cele sti mus byt mus byt konzistentne aplikovana opatren de novan v ISMS mus byt dokumentovana architektura cele ste vc. detailu kon guracnch nastaven a speci kace vsech softwarovych a hardwarovych komponent Jan Staudek, FI MU Brno

|


39

10.6. Internet acceptable use policy, AUP 2 2 2

2

2 2

10.6. Internet acceptable use policy, AUP

Mus byt v psemne forme Mus byt srozumitelne sdelena vsem zamestnancum Nastavuje povolene pouzvan jak Internetu, tak i e-mailu, ma kombinovat prohla sen o pouzvan Internetu a vyuzvan e-mailu Speci lkuje, ktere pouzvan Internetu je zakazano { napr. stahovan neprstojnych dokumentu, pornogra e a nezakonn ych material u Sdeluje, co se monitoruje De nuje prijatelne on-line chovan


|


2 2

2

Udav a zak azan e on-line oblasti { napr. pornogra cke / rasisticke servery Nastavuje pravidla zachovan soukrom ve vztahu k ostatnm uzivatelum pri respektovan prava zamestnavatele sledovat aktivity zamestnancu Sdeluje co jsou pravdepodobne disciplinarn dusledky porusen pravidel AUP

40


Uvod AUP tvor souhrnne prohla sen

2

z e organizace nebude odpovedna za jakekoli stazene c i prohlz ene materialy. Dale se ma sdelit, z e pouzvan Internetu mus byt v souladu se standardy plnen c innost organizace a je soucast pracovnch povinnost zamestnance. X Jakekoli porusen AUP mu ze vest k disciplinarn mu r zen a prp. i k ukoncen zamestnan . X Nezakonn e c innosti mohou byt oznameny prslusnym organ um.

Genericke body obsahu AUP X

X

X X

|


41

X Uzivatelske ID organizace, weby a e-mailove u cty lze pouzvat pouze

X Melo by zact s pripomenutm hrozeb Internetu a r ci,




10.6. Internet acceptable use policy, AUP 2

|

42

pro komunikaci schvalenou organizac Pouzit internetu/intranetu/e-mailu/konverzacnch system u mu ze byt predmetem sledovan a uzivatele mohou byt pri pouzvan techto zdroju omezovani. Distribuce informac prostrednictvm Internetu (vcetne e-mailu a jinych poctaci podporovanych system u) mu ze byt organizac kontrolovana a organizace si rezervuje pravo stanovit vhodnosti informace. Pouzvan poctacovych prostredku organizace podleh a pravu a zneuzit bude adekvatn e potrestano. Uzivatele nesm navstevovat internetove stranky, ktere obsahuj vulgarn , nenavistn e nebo nezadouc materialy a nesm obchazet opatren omezujc prohlz en a na Internet nesm ucinit nebo vystavit neslusne poznamky, navrhy nebo materialy. Jan Staudek, FI MU Brno

|


43



X Uzivatele nesm rozeslat e-maily, ktere nesouvis s c innost organizace

X Uzivatel zam erne nezasahuje do normaln c innosti ste a ani necin

nebo pro svuj osobn prospech, nesm odeslat nebo prijmat jakykoli obscenn c i hanlivy material nebo material urceny k obtez ovan nebo k zastrasovan jine osoby a nesm predkladat sve osobn nazory jako nazory organizace. X Uzivatele nesm ukladat, stahovat nebo jinak prena set komercn software a/nebo autorsky chran eny material, patrc organizaci nebo kterekoliv jine tret strane X Uzivatel nesm ani odhalit ani zverejnit duv erne informace (uvede se klasi kacn urove n) a nesm odeslat duv erne e-maiy bez zasifrovan na urovni vyzadovane politikou ISMS. X Uzivatele se nesm pokouset obchazet politiku prevence uplatnen s kodliveho software a mus zachovavat vsechny odpovdajc politiky organizace,


|


z adn e kroky, ktere by ostatnm branily ve vyuzvan ste a nesm bez explicitnho povolen zkoumat, menit nebo pouzvat soubory jinych osob nebo jakekoli jine informacn aktivum X Uzivatele nesm vykonavat jakekoliv jine nevhodne aktivity, ktere v jistych c asovych intervalech oznacuje organizace, a nesm mrhat c asem neo i jinymi zdroji na c innosti nesouvisejc s c innostmi organizace. Mysl se tm stahovan ze serveru socialn ch st, servery, objemy dat naro cne na s r ku pasma, jako jsou naprklad videa a hudebn soubory MP3, sdlen digitaln ch fotogra atd.

44


10.6. Bezpecnost st'ovych sluzeb 2

2 2

2

requirements of all network services shall be identified and included in any network services agreement, whether these services are provided in-house or outsourced.


45

Je nutne identi kovat a dokumentovat bezpecnostn charakteristiky st'ovych sluzeb X bezpecnostn technologie (sifrovan , autentizace,

typ sit'oveho spojen, . . . ) X technicke parametry pro bezpecne spojen s poskytovatelem sluzby X procedury pro omezen prstupu ke sluzbam, existuj-li X opatren vztahujc se k udaj um uchopvavan ym v systemu (napr. osobn data)

St'ove sluzby mu ze poskytovat organizace interne nebo outsourcingem Prklady { application service providers (ASP), Internet service providers (ISPs), serverove farmy, sluzby poskytujc dedikovane informace, . . .

|


10.6. Bezpecnost st'ovych sluzeb

Cl { Security features, service levels, and management


|

46


|


47

10.7. Sprava medi

10.7. Sprava vym ennych medi

2

Cl: To prevent unauthorized disclosure, modification, removal or

2

Cl { There shall be procedures in place for the management

2


2

pasky, disky, kazety, tistene zpravy ochrana pred znicenm, krade z, neautorizovanym prstupem

destruction of assets, and interruption to business activities.

X X X X

Sprava vym ennych medi Skladovani medi Procedury pro manipulac s informacemi Bezpecnost systemov e dokumentace


2

of removable media.

X manipulaci s USB pametmi apod. mus de novat bezpecnostn politika X medium odstranovan e z organizace mus byt vymazano, plne,

ne pouze co je videt v adresa ri X vyna sen media mimo budovu ma byt explicitne povolovano a dokumentovano, pravidelne vyna sen (zalohy) ma r dit procedura X skladovan medi mus vyhovovat pravidlum stanovenych vyrobcem X je nutno respektovat dobu z ivotnosti stanovenou vyrobcem

|


48


10.7. Skladovani medi 2 2

2


49

10.7. Procedury pro manipulac s informacemi

Cl { Media shall be disposed of securely and safely when no longer required, using formal procedures.

ISMS mus obsahovat procedury zajist'ujc bezpecne skladovan medi obsahujcch X X X X X X X X

|

listinne dokumenty hlasove a videozaznamy kopraky vystupn zpravy tiskarensk e pasky USB pameti CD ROM listingy programu, testovac data, dokumentace systemu, ...

2

Cl { Procedures for the handling and storage of information shall

2

procedury mus pokryvat

be established to protect this information from unauthorized disclosure or misuse.

X X X X X X X

prevoz medi r zen prstupu urcen autorizovaneho prjemce dat na bazi klasi kace dat zajisten kompletnosti vstupnch dat, zpracovan , validace vystup u zachazen s mediu podle speci kace vyrobcem distribuci dat vyhovujc klasi kacnm schemat um pravidelne prezkoumav avn distribucnch a autorizacnch seznamu zda obsahuj aktualn cle

nutne jsou procedury skartace a likvidace Jan Staudek, FI MU Brno

|


50


|


51

10.8. Vym ena informac

10.7. Bezpecnost systemov e dokumentace 2

Cl { System documentation shall be protected against

2

Cl: To maintain the security of information and software

X ochrana pred neautorizovanym prstupem X nejde o verejne dostupne manualy, ... X jde o vnitrn dokumentaci organizace popisujc systemy, procesy,

2


unauthorized access.

exchanged within an organization and with any external entity.

X X X X X

struktury dat, autorizacn procesy, . . .

2

Politiky a procedury pri vym ene informac Dohody o vym ene informac a programu Fyzicka media pri preprave Elektronicke zaslan zprav Aplikacn informacn systemy organizace

E-mail tem er zcela nahradil dalnopis a zjevne brzo nahrad fax a tradicn postu. X E-mail se od bez ne posty odlisuje { ma vysokou rychlost, jinou

strukturu zprav, nzkou formalnost, vykazuje moznost chybneho dorucen, koprovan , snadneho zachycen a moznost prenosu prloh.


|



52

10.8. Politiky a procedury pri vym ene informac Cl { Formal exchange policies, procedures, and controls shall be

2

2

Vym ena informac formami

2

in place to protect the exchange of information through the use of all types of communication facilities.

X komunikacn linky, e-mail, hlas, fax, video, . . .

Opatren mus zajist'ovat ochranu proti neautorizovanemu

2

X zachycovan , koprovan , modi kovan , presmerovav an , rusen, . . .

informac

2

Pouzite mechanismy

2

X Vodoznaky, s ifrovan , . . . pro zajisten duv ernosti, integrity,

autenticity, . . .

2

Nutnost respektovat klasi kacn schema, legislativn omezen, . . . Jan Staudek, FI MU Brno

|



53

10.8. Politiky a procedury pri vym ene informac

2

2

|

54

Mus se prijmout politika ochrany proti s kodlivemu software a mus se implementovat relevantn opatren Citlive dokumenty se nesm tisknout / ponechavat ve verejne dostupnych tiskarn ach / faxech, mus byt zaslane na dedikovana zarzen Je potreba srozumitelne identi kovat hrozbu komunikace v bezdratov em prostred a do prohla sen o aplikovatelnosti dat adekvatn politiku a opatren Pouzit telefonu a mobilu z mst, ktera nejsou bezpecna, nesm vyzradit duv ernou informaci (verejne prostory, kancela re s tenkymi stenami, areal konkurenta, preplneny vlak . . . )


|


55

10.8. Dohody o vym ene informac a programu

10.8. Politiky a procedury pri vym ene informac 2

2 2 2

Nepouzvat pro duv ernou vym enu informac zarzen, ktera lze snadno kompromitovat (telefon v arealu konkurenta) nebo jsou automaticky nahravan a (banky, . . . ) Duv ernou informaci nesdelovat do hlasove schranky nebo pomoc SMS E-mail lze snadno chybne nasmerovat, pred odeslan m se mus peclive over it vsichni adresati Duv erne informace se nesm poslat faxem

2

Cl { Agreements shall be established for the exchange

2

Smlouva mus speci kovat bezpecnostn podmnky vym en dane schematem klasi kace informac Zaveden vym en mu ze si vyzadat proveden ohodnocen rizik Mus se identi kovat na obou stranach kdo je odpovedny za r zen, oznamovan , zahajovan a prijman vym en Mus se de novat procedury sdelujc druhe strane odeslan / prijet citlive informace a opatren zajist'ujc sledovatelnost a nepopiratelnost Mus se urcit technicke standardy pro balen a prenos informac

2 2 2

2


|


56


2 2

2 2 2

Mus se urcit kuryrn identi kacn procedury Mus se urcit odpovednosti a rucen za ztratu informac nebo bezpecnostn incidenty Mus se dohodnout system oznacovan , ktery zajist, z e se bezprostredne zjist a poskytnou odpovdajc ochrany. Mel by byt shodny se systemem pouzvanym v organizaci interne. Mus urcit odpovednost za vlastnictv informac a software, ochrany dat, autorska prava apod. Maj se urcit technicke standardy pro zapis / c ten informac Mus se de novat speci cka opatren (napr. kryptogra cka), ktera mohou byt potrebna pro konkretn citlive informace Jan Staudek, FI MU Brno

|


|


57

10.8. Fyzicka media pri preprave

10.8. Dohody o vym ene informac a programu 2

of information and software betweenthe organization and external parties.

58

2

Cl { Media containing information shall be protected against

2

Nejcasteji se prepravuj CD-ROMy a pasky Posta a obcasna kuryrn sluzba nejsou bezpecne prepravn systemy Je nutne prijmout opatren typu

2 2

unauthorized access, misuse or corruption during transportation beyond an organization’s physical boundaries.

X s ifrovan , pokud medium obsahuje citlive / osobn data X udrzovat seznam spolehlivych, duv eryhodnych kuryrn ch sluzeb,

prpadne pouzvat smluvne vazanou kuryrn sluzbu jako sluzbu poskytovanou tret stranou X Balen hardware mus respektovat pozadavky jeho vyrobce X Prpadne pouzvat fyzicka opatren (zamykatelne kontejnery, . . . ) Jan Staudek, FI MU Brno

|


59

10.8. Elektronicke zaslan zprav

10.8. Elektronicke zaslan zprav 2

Cl { Information involved in electronic messaging shall be

2

Politika bezpecneho pouzvan e-mailu Genericka rizika e-mailu

2

2

appropriately protected.

Politika bezpecneho pouzvan e-mailu by mela zajistit

X Odpovednost zamestnance nekomprmitovat organizaci zakazujc

X

X zranitelnost neautorizovanym prstupem,

neautorizovanou modi kac a utoky typu DoS X zranitelnost nespravn ym adresovan m, chybnym smerovan m a nespolehlivost Internetu X legislativn problemy { nejsou dostupne dukazy puvodu, odeslan a prjmu X neovladatelnost vzdalen eho uzivatele

X X X X

X


|


60


10.8. Aplikacn informacn systemy organizace 2

2

2

X

Soucasne distribuovane systemy dramaticky zvysuj elektronickou komunikaci mezi zamestnanci a moznost sdlen informaci

X

X F2F komunikace je vrozene bezpecnejs

X

Doporucena opatren

X

X Jasne de novana politika sdlen informac respektujc schema X Jestlize nelze zajistit adekvatn ochranu proti prstupu zvenc

X X

organizace, pak chran enou informaci nelze publikovat na vnitroorganizacnch nast enkach ' X Opatren zajist ujc bezpecnou komunikaci via rizikovy Internet PV017 { Katalog opat ren, ISO/IEC 27002


61

X Osobn kalenda re akc zverejnovat pouze spolupracovnkum na

to protect information associated with the interconnection of business information systems.

|

|

10.8. Aplikacn informacn systemy organizace

Cl { Policies and procedures shall be developed and implemented


pouzit e-mailu spolecnosti pro zaslan hanlivych mailu nebo pro obtez ovan , pro neopravn ene nakupy nebo publikovan nazor u na dodavatele, partnery c i zakazn ky z organizace. E-mail by se nemel pouzvat pro komunikaci citlive informace s jistou klasi kac Prlohy e-mailu by mel byt vhodne chran eny, (prpadne) pomoc kryptogra ckych kontrol nejakeho typu Jak reagovat na viry a podvod zavirovanou zpravou Velikost schranky s prchoz postou mus byt zajistena procedurou Bez konkretn ho predchozho povolen nelze pouzvat e-mail pro nakup jmenem organizace. Pokud lze, pak jen v souladu s aktualn politikou organizace pro nakupu. Firemn e-mailova adresa nesm byt pouzita pro osobn nakupy nebo jine osobn transakce.

62

projektu, . . . Pro kazdy aplikacn informacn system by mela byt stanovena pozadovana vy se zaruky za bezpecnost a jej dosazen prokazat evaluac ISMS pozaduje identi kovat kategorie zamestnancu a smluvnch partneru s povolenym prstupem k system u a lokality, odkud lze systemy zprstupnovat ISMS pozaduje urcit prstupova prava k aplikacnm system um jednotlivcum, na zaklad e jejich rol v organizacnm schematu E-mail mus rozlisovat mezi internmi a externmi adresami, aby uzivatele mohli omezit cirkulaci informac Mus byt zavedena politka zalohov an a obnov Mus byt zavedena politika c innosti organizace v nouzovem rezimu


|


63

10.9. Elektronicke obchodovan

10.9. Elektronicke obchodovan 2

Cl: To ensure the security of electronic commerce services,

2


2

Cl { Information involved in electronic commerce passing over

2

Hlavn problem elektronickeho obchodovan { nepopiratelnost

and their secure use.

X Elektronicke obchodovan X On-line transakce X Verejne dostupne informace

public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification.

X nepopiratelnost puvodu { jistota pro prijmac stranu, z e odeslatel

nen podvodnk X nepopiratelnost odeslan { dukaz, z e v jistem c ase vec byla odeslana X nepopiratelnost prijet { dukaz, z e prijmac strana skutecne zzskala

odeslanou vec, druhosledove kdy a kde 2 2 Jan Staudek, FI MU Brno

|


64

10.9. Elektronicke obchodovan 2

2

Ochrana Web serveru pred utoky Ochrana komunikac { SSL, IPSec, PKIX, S/MIME, . . . Jan Staudek, FI MU Brno

|


65

10.9. Elektronicke obchodovan

Opatren mus zajistit, z e obchodovan pres verejne ste je chran ene pred podvody, smluvnmi rozepremi, neautorizovanym zprstupnenm a modi kac duv ernych dat Mezi stranami se mus dohodnout (prklad pro B2B)

X Co se mus over ovat na platebnch informacch X Nejbezpecnejs metodu plateb a jak se bude r esit podvod

s padelanou platebn kartou X Jak se zabran duplikacm a ztrat am transakc X Kdo nese odpovednost za s kody podvodnymi transakcemi a jak se r es pojisten

X Autentizace { poslen duv ery mezi zakazn kem a obchodnkem X Autorizace { strany mus vedet z e smluvn vztahy byly domluveny

s autorizovanou rol

X Prodejn procesy { s nepopiratelnost, duv ernost, integritou,

dukazy odeslan a prjmu dokumentu X Jak duv erne jsou domluvy o slevach X Jaka je duv ernost chran enych transakcnch detailu (platba, detaily dodavky, ...) Jan Staudek, FI MU Brno

|


66


|


67

10.9. On-line transakce 2

Cl { Information involved in on-line transactions shall be

2

Vhodna opatren

10.9. Verejne dostupne informace

protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

2

Cl { The integrity of information being made available on

2

Typy opatren X Informace publikovana na webu ma byt odsouhlasena predem X Informace zskavan a z verejnych webu od lid sm byt shromazd'ovana

X Elektronicke podpisovan { vesmes pro B2B, c asto neprakticke pro C2B X Zajisten duv ernosti transakc (pomoc SSL),

v souladu s omezenmi danymi legislativou X Webovske aplikace mus ltrovat uzivateli dodavan a data (viz OWASP) X Citliva data mus byt pri zskav an a uklad an adekvatn e chran ena (platebn informace z karet apod. { SSL, 3D-Secure, . . . )

zajisten ochrany osobnch dat X Plne s ifrovan komunikac X Bezpecnost mus byt r esena v koncovych systemech X Mus se respektovat legislativn omezen


|


68


10.10. Sledovan , monitorovan 2 2

2

Porizovan auditnch zaznam u Monitorovan pouzvan systemu Ochrana auditnch zaznam u Administratorsk y a operatorsk y denk Denky selhan Synchronizace c asu

Cl { Audit logs recording user activities, exceptions, and

2

Zaznamy o vyjimk ach udalostech souvisejcch s informacn bezpecnost Mus se uchovavat po stanovenou dobu

2

Zskav an dukaz u pro nasledn e r esen bezpecnostnch incidentu a podkladu pro kontrolu efektivnosti prijatych opatren

information security events shall be produced and kept for an agreed periodto assist in future investigations and access control monitoring.

2

Za veden odpovda CISO, co se sleduje obvykle stanovuje r dic vybor ITSec Sbrat se mus nutne informace, ne ,,vsechny"informace Jan Staudek, FI MU Brno

|


69

X zdroj informac o tom co funguje s patne

Detekce odchylek ucinku prijatych opatren



2

2

X odchylek od politiky r zen prstupu X detekce opakovaneho zneuzvan , . . . 2

|

10.10. Porizovan auditnch zaznam u

Cl: To detect unauthorized information processing activities. Relevantn oblasti opatren X X X X X X

a publicly available system shall be protected to prevent unauthorized modification.

70

|


||||||||||||||||||||||||

71

10.10. Porizovan auditnch zaznam u 2

Typicky sledovane informace, prklady X X X X X X X

2

10.10. Monitorovan pouzvan systemu

ID uzivatele, doba prihla sen / odhla sen usp es ne a neusp es ne prstupy uzivatelu k aktivum zmeny v kon guraci systemu pouzit aplikac aktivace / deaktivace ochran (anti-vir) veskera narusen pravidel bezopecnostn politiky upozornen z rewalu a system u detekce prunik u, ...

2

Cl { Procedures for monitoring use of information processing

2

organizace mus mt zavedeny procedury pro sledovan zpracovan informac zaznamy ze sledovan se mus pravidelne zkoumat

2

facilities shall be established and the results of the monitoring activities reviewed regularly.

X frekvenci zkouman urc vysledek posouzen rizik

Auditn denk mus byt silne prstupove chran eny, slouz mj. pro odhalen neautorizovanych prstupu X jeho veden by melo zajist'ovat Oddelen internho auditu X IT administrato ri nemaj mt k denku prstup a nesmej mt moznost

vypnat sve sledovan


|


72


10.10. Ochrana auditnch zaznam u

|


10.10. Administratorsk y a operatorsk y denk

2

Cl { Logging facilities and log information shall be protected

2

Cl { System administrator and system operator activities

2

Je nutna striktn autorizace modi kacnch prstupovych prav Zaznamy lze pouzvat jako dukazy pri soudnch sporech Objemy zaznamenavan ych informac byvaj obrovske

2

Prklady zaznamenavan ych udalost

2 2

against tampering and unauthorized access.

|


shall be logged.

X X X X X

X je nutne stanovit politiku bezpecne archivace zaznam u X idealn r esen { datove trezory


73

74

spusten a zastaven c innosti, kdo tak ucinil popis akce (zahrnute procesy, soubory, . . . ) chyby systemu (co, kdy) a opravne akce vse co souvis se zalohov an m a obnovou jmeno osoby ucinvs zaznam


|


75

10.10. Synchronizace c asu

10.10. Denky selhan 2

Cl { Faults shall be logged, analyzed, and

2

O selhan ch maj byt vedeny zaznamy, tyto maj byt analyzovane a zavady maj byt odstranovan e

2

appropriate action taken.

Cl { The clocks of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source.

X Napr. zkouman zaznam u o bezpecnostnch incidentech vyzaduje

informaci o c ase vyskyt u udalost

2

Hodiny ve vsech poctacch maj byt synchronizovane bud'to s UCT (Universal Coordinated Time) nebo s lokaln m standardnm c asem X dopad driftu hodin v poctacch, . . .

2

Maj se pouzvat standardizovane formaty vyjad ren c asu X nerespektovan letnho c asu mu ze mt negativn dopad na zkouman

auditnch zaznam u, ... X chybna interpretace c asu bran zkouman udalost , prprave dukaz u, ... Jan Staudek, FI MU Brno

|


76


zen prstupu { vybrany ilustracn prklad oddlu 11. R 2

2

X 11.1 Pozadavky na r zen prstupu { vybrany ilustracn prklad


dit prstup k informacm Cl { R procesum organizace by mel byt r zen na zaklad e provoznch a bezpecnostnch pozadavku organizace X Mela by byt zohlednena pravidla organizace pro s r en informac a pravidla, podle nichz probha schvalovan .

zen prstupu uzivatelu 11.2 R 11.3 Odpovednosti uzivatelu zen prstupu k sti 11.4 R zen prstupu k operacnmu systemu 11.5 R zen prstupu k aplikacm a informacm 11.6 R 11.7 Mobiln vypo cetn zarzen a prace na dalku

|

77

X Prstup k informacm, prostredkum pro zpracovan informac a

kategorie bezpecnosti



11.1 Pozadavky na r zen prstupu

zen prstupu obsahuje 7 kategori bezpecnosti Oddl 11. R

X X X X X X

|

2

Vy cet opatren X 11.1.1 Politika r zen prstupu X Tato kategorie zavad jedine opatren { politiku r zen prstupu

78


|


79

11.1.1 Politika r zen prstupu 2

11.1.1 Politika r zen prstupu

Opatren

2

X Mela by byt vytvorena, zdokumentovana a v zavislosti na aktualn ch

Politika r zen prstupu by mela brat v uvahu nasleduj c hlediska:

bezpecnostnch pozadavcch prezkoumav ana politika r zen prstupu

2

X bezpecnostn pozadavky jednotlivych aplikac organizace X identi kace vsech informac ve vztahu k jednotlivym aplikacm a

Doporucen k realizaci

rizika, kterym jsou informace vystaveny

X Prstupova pravidla a opravn en by mela byt jasne stanovena

X pravidla pro s r en informac a pravidla schvalovan ,

pro kazdeho uzivatele nebo skupinu uzivatelu v seznamu pravidel prstupu. X Pravidla by mela pokryvat jak logicky, tak fyzicky prstup, oba typy prstupu by mely byt r eseny soucasne. X Uzivatelum a poskytovatelum sluzeb by melo byt predano jasne vyjad ren o provoznch pozadavcch, ktere naplnuje r zen prstupu.


|


Doporucen k realizaci (pokrac.) {

tj. princip potreby znat, bezpecnostn urovn e a klasi kaci informac X konzistence prstupovych pravidel a klasi kace informac pro ruzn e systemy a ste X odpovdajc legislativu a ostatn smluvn zavazky ve vztahu k ochrane prstupu k datum nebo sluzbam X standardn prstupove pro ly uzivatelu pro bez ne kategorie c innost

80



X X X

2

rozeznavaj cm vsechny mozne typy pripojen oddelen jednotlivych rol pro r zen prstupu, napr. vyrizovan pozadavku na prstup, schvalovan prstupu, sprava prstupu pozadavky na formaln schvalen z adost o prstup pozadavky na pravidelne prezkoumav an prstupovych prav podmnky a postupy pro odebran prstupovych prav

X rozlisovat mezi pravidly, ktera mus byt v platnosti vzdy, a temi, X

X

X

|


81

Dals informace

X




X r zen pravidel prstupu v distribuovanem a st'ovem prostred X

|

82

ktera jsou nepovinna nebo podmnena stanovit pravidla na zaklad e principu ,,Vsechno, co nen vyslovn e povoleno, je zakaz ano\, ne na zaklad e mekcho pravidla ,,Vsechno, co nen vyslovn e zakaz ano, je povoleno\ zohlednovat zmeny ve oznacovan informac, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a zmeny, ktere jsou vyvolany z rozhodnut uzivatele zohlednovat zmeny uzivatelskych opravn en, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a ty, ktere jsou vyvolany administratorem rozlisovat pravidla, ktera vyzaduj schvalen administratorem nebo jinou pover enou osobou, a ta, ktera toto nevyzaduj. Jan Staudek, FI MU Brno

|


83



X Pravidla pro r zen prstupu by mela byt podporovana zavedenm X X X X

X

X

X Mus se zohlednovat relevantn legislativa X Pro zavedene kategorie pracovnch funkc maj byt de novane

formaln ch postupu a jasne urcenych odpovednost Uzivatele maj znat cle c innosti organizace, ktere politika prstupu dosahuje Opatren mohou byt jak fyzickeho, tak i logickeho typu Uzivatele maj byt s kolen na pravidla a politiku r zen prstupu Rozdlne aplikacn c innosti organizace mvaj rozdlne pozadavky na bezpecnost { kdo ma nebo nema mt prstup k systemu uka ze ohodnocen rizik Vhodny je princip ,,need-to-know" { Napr. referentka zadavaj c objednavku platebnmu systemu nemus mt pravo prkazce operace proveden platby Mus se respektovt system klasi kace informac { Pozadavek konzistence klasi kacnch schemat a r zen prstupu a ruzn ych stch te ze organizace Jan Staudek, FI MU Brno

|


X

X

X X X

84

standardizovane pro ly uzivatelskych prstupu V distribuovanych systemech je nutne r esit prstupova prava jak pri lokaln m prstupu, tak i vzdalen em prstupem jednoho a teho z uzivatele Vhodne je dodrzovat princip separace odpovednost { V dostatecne velkych organizacch vzdy oddelit role odpovedne za plnen prstupovych pozadavku, za jejich autorizaci a za jejich nastaven Pravidelne prezkoumavat opatren r dic prstupy, prstupy je nutne prub ez ne monitorovat Rusit prstupova prava pri vypov edi Nektera pravidla politiky r zen prstupu mohou byt prosazovana trvale, jina volitelne, prp. podmnecne nebo pouze v jistych situacch Jan Staudek, FI MU Brno

|


85

Skladba opatren ostatnch kategori r zen prstupu

11.1.1 Politika r zen prstupu X Mus byt stanovena prstupova prava k proveden zmen

2

v klasi kaci informaci, v pravidlech r zen prstupu, v uzivatelskych prstupovych pro lech, . . .

zen prstupu uzivatelu 11.2 R X Cl: Zajistit opravn eny prstup uzivatelu a predchazet neopravn enemu X X X X

2

prstupu k informacnm system um. Registrace uzivatele zen privilegovaneho R prstupu Sprava uzivatelskych hesel Prezkouman prstupovych prav uzivatelu

11.3 Odpovednosti uzivatelu X Cl: Predchazet neopravn enemu uzivatelskemu prstupu, vyzrazen

nebo krade zi informac a prostredku pro zpracovan informac.

X Pouzvan hesel X Neobsluhovana uzivatelska zarzen X Zasada prazdn eho stolu a prazdn e obrazovky monitoru Jan Staudek, FI MU Brno

|


86


|


87

Skladba opatren ostatnch kategori r zen prstupu

Skladba opatren ostatnch kategori r zen prstupu 2

zen prstupu k sti 11.4 R X X X X X X X X

2

Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Politika uzvan st'ovych sluzeb Autentizace uzivatele pro extern pripojen Identi kace zarzen v stch Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen Rzen smerovan ste

zen prstupu k operacnmu systemu 11.5 R X X X X X X X

2

Cl: Predchazet neautorizovanemu prstupu k operacnm system um. Bezpecne postupy prihla sen Identi kace a autentizace uzivatelu System spravy hesel Pouzit systemov ych nastroj u Casove omezen relace Casov e omezen spojen

zen prstupu k aplikacm a informacm 11.6 R X Cl: Predchazet neopravn enemu prstupu k informacm ulozenym

v poctacovych systemech. X Omezen prstupu k informacm X Oddelen citlivych system u Jan Staudek, FI MU Brno

|



88


89

zen prstupu k sti Ilustrativn rozpis kategorie 11.4, R

Skladba opatren ostatnch kategori r zen prstupu 2

|

11.7 Mobiln vypo cetn zarzen a prace na dalku

2

X Cl: Zajistit bezpecnost informac pri pouzit mobiln

2

vypo cetn techniky a zarzen pro praci na dalku. X Mobiln vypo cetn zarzen a sdelovac technika X Prace na dalku

Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Relevantn oblasti opatren X X X X X X X

2

Politika pouzvan st'ovych sluzeb Autentizace uzivatelu pro extern pripojen Identi kace zarzen v sti Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen zen smerovan R v sti

Typova zabezpecovana prostred X privatn ste na bazi pevnych privatn ch spoju { WAN, LAN X VPN { alternativa WAN, na bazi protokolu IPSec ve verejne sti

(VPN pro vzdalen y prstup, site-to-site VPN)

X extranety { podpora B2B c innost, VPN technologie X bezdratov e ste { IEEE 802.11, Bluetooth, mobiln ste, . . . Jan Staudek, FI MU Brno

|


90


|


91

Politika pouzvan st'ovych sluzeb

Autentizace uzivatelu pro extern pripojen

2

Cl { Users shall only be provided with access to the services that

2

Cl { Appropriate authentication methods shall be used to

2

Politika urcuje

2

Zranitelnost vzdalen eho prstupu

they have been specifically authorized to use.

X ktere ste a ktere st'ove sluzby lze zprstupnovat X adekvatn auutorizacn procedury pro zskan prava prstupu X ktera opatren mus chranit st'ova pripojen 2 2

control access by remote users.

X vyta cena (komutovana) spojen X bezdratov a spojen 2

Politika mus vyhovovat politice r zen prstupu Bezpecnostn perimetr ste vymezuj smerovace a rewally

2

Bezpecny vzdalen y prstup z internetu zajist napr. protokol Kerberos Na vyta cenych spojench lze pouzt zpetna volan

X k aplikacm, udaj um a sluzbam bez cm v sti mohou pristupovat

pouze autentizovan uzivatele


|


92


Identi kace zarzen v sti 2

Cl { Automatic equipment identification shall be considered as

2

a means to authenticate connections from specific locations and equipment.

zajistit, aby se relace otevrala pouze z konkretn ho msta c i poctace X napr. bankovn presuny penez lze provad et pouze z . . .

Nestac znat adresu portu kabelu vedoucho k terminalu


|



93

Ochrana portu pro vzdalenou diagnostiku a kon guraci

X nutne implementovat, pokud ohodnocen rizik indikuje, z e je dule zite

2

|

94

Cl { Physical and logical access to diagnostic and configuration ports shall be controlled.

X vzdalen y prstup si vynucuje pozadavek moznosti

kon guracnho nebo opravneho zasahu X porty lze chranit fyzicky, zamkem, zprstupnen podle ISMS procedury r es obsluha poctace { po nale zite autentizaci port na urcenou dobu odemkne a ucin o tom auditn zaznam


|


95

zen st'ovych R spojen

Princip oddelen v stch 2

Cl { Groups of information services, users, and information

2

Oddelen

2

systems shall be segregated on networks.

X Oddelen pusobnost jiste sluzby mu ze redukovat dopad

narusen sluzby X Bezdratov e ste maj byt oddeleny a s jinak bezpecnou zbyvaj c st propojeny jedinym bezpecnym spojem (napr. rewallem) 2

Cl { For shared networks, especially those extending across

the organization’s boundaries, the capability of users to connect to the network shall be restricted, in line with the access control policy and requirements of the business applications.

X spojen mus vyhovovat politice r zen prstupu X nektera spojen mohou podlehat c asovemu planu

Nutnost dukladn e dokumentace X domen, rozmsten aktiv do domen, ...


|


96

zen smerovan R v sti 2

Cl { Routing controls shall be implemented for networks to ensure that computer connections and information flows do not breach the access control policy of the business applications. X smerovan mus vyhovovat politice r zen prstupu


|


98


|


97

IEC 27002:2013, Popis kategori bezpecnosti

Recommend Documents