PV 017 Bezpecnost IT

Katalog opat ren, ISO/IEC 27002

Dodatek predna sky Anatomie inform. bezpec., ilustracn vyklad

PV 017 Bezpecnost IT Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016

ISO/IEC 27002:2013 2

Information Security Management X Information technology – Security techniques – Code of practice for information security management X Informacn technologie { Bezpecnostn techniky {

Soubor postupu pro r zen informacn bezpecnosti

2

Struktura standardu X Standard obsahuje celkem 11 zakladn ch oddlu,

ktere jsou dale rozdeleny do 39 kategori bezpecnosti X V kazde kategorii bezpecnosti se speci kuje alespon jedno opatren X Mimo to jsou ve standardu uvedeny zakladn informace o procesech hodnocen a zvlad an rizik. X Oddly jsou c slovane poradm kapitol standardu obsahujcch jejich popis (5 { 15) Jan Staudek, FI MU Brno

|

PV017 { Katalog opat ren, ISO/IEC 27002

1

ISO/IEC 27002:2013, Oddly kategori bezpecnosti Kazdy z oddlu obsahuje jednu nebo vce kategori bezpecnosti 5) Bezpecnostn politika 6) Organizace bezpecnosti { intern organizace, extern subjekty 7) Klasi kace a r zen aktiv { odpovednosti za aktiva, klasi kace 8) Bezpecnost lidskych zdroju { prijet do, prub eh, ukoncen vztahu 9) Fyzicka bezpecnost a bezpecnost prostred zen komunikac a r zen provozu { vybrany ilustracn prklad 10) R zen prstupu { vybrany ilustracn prklad 11) R 12) Nakup, vyvoj a udr zba informacnho systemu 13) Zvlad an bezpecnostnch incidentu zen kontinuity c innost organizace 14) R 15) Soulad s pozadavky { prava, politik, smluv, . . . , audit Jan Staudek, FI MU Brno

|


2

ISO/IEC 27002:2013, Popis kategori bezpecnosti 2

Popis kazde z kategori bezpecnosti obsahuje: X cl opatren, urcujc c eho ma byt dosazeno; X popis jednoho nebo vce opatren,

ktera lze pouzt k dosazen stanoveneho cle opatren.

2

Popis opatren je strukturovan nasledovn e: X Opatren {

Presna formulace konkretn ho opatren, ktere vede k naplnen cle opatren. X Doporucen k realizaci { Podrobnejs informace a doporucen na podporu implementace vybranych opatren, ktera vedou k dosazen cle opatren. X Dals informace { Dals informace, ktere mu ze byt potrebne vzt do uvahy, otazky legislativy, odkazy na dals relevantn normy a predpisy, . . . Jan Staudek, FI MU Brno

|


3

zen komunikac a r zen provozu 10. R Kategorie opatren spadajc do oddlu 10: 2

10.1 Operational procedures and responsibilities Cl: To ensure the correct and secure operation of information processing facilities.

2

10.2 Third party service delivery management Cl: To implement and maintain the appropriate level of

information security and service delivery in line with third party service delivery agreements.

2 2

10.3 System planning and acceptance Cl: To minimize the risk of systems failures. 10.4 Protection against malicious and mobile code Cl: To protect the integrity of software and information. Jan Staudek, FI MU Brno

|


4

zen komunikac a r zen provozu 10. R 2

10.5 Back-up Cl: To maintain the integrity and availability of information and information processing facilities.

2

10.6 Network security management Cl: To ensure the protection of information in networks and the protection of the supporting infrastructure.

2

10.7 Media handling Cl: To prevent unauthorized disclosure, modification, removal

or destruction of assets, and interruption to business activities.

2

10.8 Exchange of information Cl: To maintain the security of information and software

exchanged within an organization and with any external entity.

Jan Staudek, FI MU Brno

|


5

zen komunikac a r zen provozu 10. R 2

10.9 Electronic commerce services Cl: To ensure the security of electronic commerce services, and their secure use.

2

10.10 Monitoring Cl: To detect unauthorized information processing activities.


|


6

10.1. Provozn procedury a odpovednosti 2

Cl { To ensure the correct and secure operation of

2

procedura ≡ pracovn postup Relevantn skupiny opatren v kategorii 10.1 v oddlu 10

2

information processing facilities.

X X X X

Dokumentace provoznch procedur Zmenove r zen Oddelen odpovednost Oddelen vyvoje, testu a provozu


|


7

10.1. Dokumentace provoznch procedur 2

Cl { Operating procedures shall be documented, maintained, and

2

Provozn procedury mus vyhovovat pozadavkum systemu spravy dokumentu organizace (principy viz ISO 9000)

made available to all users who need them

X nutne je schvalen relevantnm vedenm organizace 2

Zverejnen provoznch procedur X pro zamestnance { v intranetu X pro partnerske tret strany { v extranetu X pozadavky: snadna udr zba, pohotova aktualizace


|


8

10.1. Dokumentace provoznch procedur 2

Nezbytne provozn procedury pro ISMS identi kuje bezpecnostn politika X zaklad skladby provoznch procedur tvor ty procedury,

ktere implementuj politiku informacn bezpecnosti X zaklad lze doplnit detailnejsmi provoznmi procedurami vypracovanymi na zaklad e doporucen poradce pro ITSec a odpovednych provoznch pracovnku pro typove provozn oblasti X nutne je jejich schvalen relevantnm vedenm organizace


|


9

10.1. Oblasti pokryvan e v ISMS provoznmi procedurami 2

Zpracovan informac a naklad an s informacemi X vc. pozadavku na duv ernost a klasi kaci informac

2 2

Zalohov an (detaily viz 10.5) Planov an c innost, (napr. zalohov an ) X vc. navaznost na jine systemy X vc. nejdrvejsch a nejzazsch moznych termnu proveden

(napr. prav e zalohov an )

2

Chybove r zen a r zen ve vyjime cnych podmnkach X vc. instrukc pro omezene pouzvan systemu X vc. navod u pro nove (a nezkusene) zamestnance (1. reakce na incident) X chybove r zen a r zen ve vyjime cnych podmnkach je jinak predmetem

c innosti specialistu s dostatecnymi zkusenostmi a dovednostmi Jan Staudek, FI MU Brno

|


10

10.1. Oblasti pokryvan e v ISMS provoznmi procedurami 2

2

Kontaktovan odpovdajc podpurn ych tym u v prpade neocekavan ych provoznch nebo technickych obtz a dokumentovan techto kontaktu Sprava specialn ch vystup u (tisku) X vc. reakc na selhan vystup u specialn ch uloh

2 2

Restart systemu a postupy po vypadku systemu Vsechny hospoda rske/udr zbove c innosti X X X X X

start a vypnut poctace udr zba zarzen vyuzvan poctacoveho salu, ... maj byt viditelne vystavene zamestnanci maj byt s kolen na jejich pouzvan Jan Staudek, FI MU Brno

|


11

10.1. Dokumentace provoznch procedur, poznamky 2 2

Zbytecne detailn procedury / r dce aplikovatelne procedury { jakoby by nebyly z adn e Pri outsourcovan IT sluzeb mus byt provozn procedury vyzad any v kontraktu


|


12

10.1. Zmenove r zen 2

Cl { Changes to information processing facilities and systems shall

2

zen zmen zarzen pro zpracovan R informac, operacnch system u a aplikacnho software Formaln , dokumentovane postupy pro vsechny zmeny techto aktiv Neadekvatn urove n zmenoveho r zen {

2 2

be controlled.

X vyrazn a zranitelnost X zdroj zbytecnych naklad u 2

Inovacn zmena mus byt vyvolana adekvatn mi duvody, mus existovat kriteria pro rozhodovan o inovaci a relevantn c asove plany postupu Jan Staudek, FI MU Brno

|


13

10.1. Zmenove r zen 2

procedura zmenoveho r zen OS a aplikacnch system u { typicky 1-strankov y dokument pokryvaj c X identi kci vyznamu zmeny z pohledu c innost organizace

X X X X X 2

(prpadne doplnenou o posouzen prnosu zmeny) plan testovan zmeny a prevzet zmeny uzivatelem posouzen moznych (bezpecnostnch , . . . ) dopadu, vc. dopadu na jiny aplikacn c i provozn software a hardware formaln odsouhlasen zmeny sdelen o zmene vsem relevantnm osobam postup pro zrusen zmeny a navrat do puvodn ho stavu

Kazda zmena v sti by mela vyvolat prehodnocen hlavnch rizik pro bezpecnost informac X a prpadne nasledn e zmeny v prohla sen o aplikovatelnosti

2

Mus se opravit vsechny dokumenty zavisl e na menenem jevu Jan Staudek, FI MU Brno

|


14

10.1. Oddelen povinnost (oblast odpovednosti) 2

Cl { Duties and areas of responsibility shall be segregated to

2

Oddelen r dicch a vykonn ych povinnost snizuje moznosti proveden neopravn enych uprav / zneuzit informac / sluzeb.

reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

X V malych organizacch obtz ne dosazitelne X vzdy je nutne implementovat separaci v co mozna nejvetsm rozsahu X Oddelen r zen, monitoringu a auditu je neobejitelne,

audit vzdy mus byt nezavisl y


|


15

10.1. Oddelen povinnost (oblast odpovednosti) 2 2

Clem je oddelen iniciace udalosti od povolen jejho vyskytu prevence spach an podvodu bez moznosti detekce v oblasti s jedinou odpovednost, tj. oddelen c innost, ktere { X pro spach an podvodu vyzaduj uzavren tajne dohody

(napr. vystaven objednavky x potvrzen zskan zboz) X pracuj s aktivy, ktere posouzen rizik oznacilo jako podvodne manipulovatelne a mus byt do manipulace s nimi zahrnuty alespon dva intern zamestnanci (snz en pravdepodobnosti konspirace s extern osobou)


|


16

10.1. Oddelen vyvojov ych, testovac a provoznch prostred 2

Cl { Development, test and operational facilities shall be separated

2

relevantn pozadavek pro organizace s vlastnm vyvojov ym strediskem

to reduce the risks of unauthorised access or changes to the operational system.

X prp. s vyvojem zajist'ovanym outsourcingem 2

2

Mus byt dokumentovana pravidla pro prenos software z vyvojov eho do testovacho a z testovacho do provoznho prostred Jednotliva prostred maj byt implementovana na ruzn ych poctacch / v ruzn ych domen ach


|


17

10.1. Oddelen vyvojov ych, testovac a provoznch prostred 2

Jednotliva prostred maj pracovat s ruzn ymi daty X vyvojov e prostred { umela nebo scramblovana z iva data X testovac prostred {

vzorek z ivych dat za podmnek shodnych s provoznm prostredm X s z ivymi daty pouze v provoznm prostred 2 2

Mus se pouzvat odlisne autentizacn metody v jednotlivych prostredch Vyvoj nesm mt nikdy prstup do provoznho prostred


|


18

zen dodavek sluzeb tretch stran 10.2. R 2

Tret strana { jina entita nez entita prmo zahrnuta do transakc, c innost, . . . , organizace X Firma x zakazn´ ıci x tret strana dodavaj c sluzby rme ´

2

Cl { To implement and maintain the appropriate level of

2

Relevantn oblasti opatren

information security and service delivery in line with third party service delivery agreements.

X Dodavky sluzeb X Sledovan a prezkoumav an poskytovanych dodavek sluzeb X Zmenove r zen ve sluzbach tretch stran


|


19

10.2. Dodavky sluzeb 2

Cl { It shall be ensured that the security controls, service

2

Smlouva o dodavk ach s tret stranou mus identi kovat vsechna bezpecnostn opatren, de nice vsech sluzeb a formy jejich poskytovan Outsourcing mu ze pozadovat zrzen r dicho tymu a mechanismu pro sledovan vykonnosti Mus se peclive a detailne planovat a dokumentovat predan dat tret strane

2 2

definitions and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party.

X vc. posouzen rizik jeste pred uzavrenm kontraktu


|


20

10.2. Dodavky sluzeb 2 2

Smlouva by mela obsahovat dolozku o moznosti pozadovat navy sen sly bezpecnostnch opatren Vzdy je nutno venovat zvla stn pozornost problem um typu citlive nebo kriticke aplikace, ktere by mohly byt lepe r eseny in-house souhlas vlastnku a dodavatelu softwaru s outsourcingem procesu dopady na plany zachovan c innosti bezpecnostn standardy, ktere budou zavazn e pro tret strany, a jak se ma soulad s nimi mer it X ktere c innosti a individualn odpovednosti je treba sledovat X zvlad an bezpecnostnch incidentu a zabudovan smluvnch procedur do politik organizace X X X X

2

Duraz na smluvn zavazky tret strany v oblasti bezpecnosti X r zen prstupu, sprava bezpecnosti podle dohodnutych standardu, ...

2

Dukladn a dokumentace X agendy, zapisy z porad, dodatecne dohody, . . . Jan Staudek, FI MU Brno

|


21

10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb 2

Cl { The services, reports and records provided by the third party

2

Za dodavky sluzeb mus byt nekdo (role/oddelen) odpovedny Mezi klc ove odpovednosti patr

2

shall be regularly monitored and reviewed, and audits shall be carried out regularly.

X sledovan vykonu { zajist'ovan , aby se skutecne dosahovala smluvn

urovn e sluzeb, identi kace nedostatku, a dohadovan jak by nedostatky mely byt opraveny. X prezkoumav an vsech zaznam u o bezpecnostnch incidentech (vcetne auditnch zprav), provoznch problemech, poruchach, zavad ach a o c emkoliv jinem, co mu ze generovat riziko pro organizaci a zajisten, aby byla prijata prslusna napravn a opatren. To mu ze vest k eskalaci smluvnch vztahu doplnenm smluvnch ustanoven o moznem navy sen plnen a manazersky tym odpovedny za smlouvu by mel mt dovednosti a zkusenosti pro r zen eskalace . Jan Staudek, FI MU Brno

|


22

10.2. Sledovan a prezkoumav an poskytovanych dodavek sluzeb 2 2

2

Z adn y prostor pro nejasnosti { vse mus byt dokumentovane Mus ex. moznost prezkoumavat u tret strany procesy zmenoveho r zen, zaznamen av an incidentu a reakc na ne, identi kace zranitelnost a uplatnov an opatren Odpovednost za zpracovan dat ma objednavaj c strana, odpovednost nelze smlouvou prevezt na tret stranu X ma-li organizace vyhovet datove orientovane legislative,

mus byt adekvatn procesy a systemy i u tret strany


|


23

10.2. Zmenove r zen ve sluzbach tretch stran 2

Cl { Changes to the provision of services, including maintaining

2

Sprava zmenoveho r zen zajist'ovaneho u tret strany mus byt r adn e zakotveno ve smlouve o outsourcingu

and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business systems and processes involved and re-assessment of risks.

X jedna se o mezi-organizacn procesy X musej byt odsouhlaseny oboustranne 2

Jedna se o vsechny zmeny majc dopad na inf. bezpecnost X mus se provest posouzen rizik nasledovan e identi kac a

implementac relevantnch opatren

2

Zmenu mu ze iniciovat i tret strana (podle pravidel ve smlouve) Jan Staudek, FI MU Brno

|


24

10.3. Planov an a prejman system u 2 2

Cl { To minimize the risk of systems failures. Relevantn oblasti opatren X Sprava kapacit X Prejman system u


|


25

10.3. Sprava kapacit 2

Cl { The use of resources shall be monitored, tuned, and

2

Organizace ma sledovat pozadavky na kapacity a prognozovat jejich vyvoj

projections made of future capacity requirements to ensure the required system performance.

X souborove / domenov e servery, tiskarny, komunikacn spoje, . . . X zvy sen aktivit si vyzad a zvetsen tymu,

bude potreba vce osobnch poctacu, ... X nar ust webovych aktivit pri e-komerci 2

Nedostatecne kapacity jsou zdroje bezpecnostnch incidentu typu DoS (Denial of Services)


|


26

10.3. Prejman system u 2

Cl { Acceptance criteria for new information systems, upgrades,

2

Organizace ma stanovit prejmac kriteria pro nove systemy, vylepsen system u, pro jejich nove verze

and new versions shall be established and suitable tests of the system(s) carried out during development and prior to acceptance.

X pri prejman mus probehnout relevantn testy 2

Prejmac kriteria mus byt strucna, jasna, (smluvne) odsouhlasena a dokumentovana


|


27

10.3. Prejman system u 2

Prejman nove verze systemu vyzaduje provest kontroly splnen pozadavku danych c innost organizace na: X X X X X X X X X

na vykony poctacu a kapacity revize / vytvoren novych programu pro obnovu po poruchach a restart prepracovan a otestovan rutinnch provoznch procedur implementaci novych bezpecnostnch opatren po znovu provedenem posouzen rizik vypracovan novych manual u a dokumentovanych provoznch procedur inovaci planu zachovan kontinuity c innosti organizace podan dukaz u, z e nove systemu nemaj neprznivy vliv na bez c existujc systemy podan dukaz u posouzenm rizik jaky ma dopad novy system na celkovou bezpecnost organizace zaskolen uzivatelu na novy system a posouzen dopadu na uplatnovan e pracovn praktiky Jan Staudek, FI MU Brno

|


28

10.3. Prejman system u 2 2 2

Ma se provozovat novy system po jistou dobu soubez ne s puvodn m systemem ? Zvla stn pozornost je potreba venovat prejmacm kriteri m pro nove komunikacn systemy Posouzen rizik mu ze vyzadat proveden testu, veri kac a certi kac nezavislou tret stranou


|


29

10.4. Ochrana proti s kodlivym a mobilnm programum 2 2

Cl { To protect the integrity of software and information. Relevantn oblasti opatren

X Opatren proti s kodlivym programum ‘Malware’ is a term that denotes software designed for some malicious purpose.

programy, ktere na poctaci bez bez vedom uzivatele a nejakym zpusobem jej poskozuj, nebo zhorsuj jeho funkci { viry, c ervi, Trojst kone, . . . , spyware X Opatren proti mobilnm programum ‘program that can execute on remote locations with any modification in the code. [It] can travel and execute from one machine to another on a network during its lifetime’ { software transferred between systems, e.g. transferred across a network or via a USB flash drive, and executed on a local system without explicit installation or execution by the recipient ActiveX, Java, JavaScript, VBScript, MS Word macros, PostScript, . . . Jan Staudek, FI MU Brno

|


30

10.4. Opatren proti s kodlivym programum 2

Cl { Detection, prevention, and recovery controls to protect

against malicious code and appropriate user awareness procedures shall be implemented.

X ISMS ma obsahovat politiku a procedury pozadujc vyhoven X

X X

X

softwarovym licencm a zakazujc pouzvat neutorizovany software ISMS ma obsahovat politiku a procedury chran c organizaci proti importu s kodliveho software { zakaz prmeho prstupu uzivateli na extern disky, CD-ROM, USB pameti apod. Data z nich mu ze zavad et pouze IT tym po kontrole. V sti organizace ma byt instalovany aktualizovany ,,anti-malware software" Bez prodlen instalovat opravy (zaplaty) zverejnene vyrobcem licencovaneho software a o vsech instalac zaplat vest auditn zaznamy (kdy, kdo, co instaloval) Pravidelne prezkoumavat software a data na vsech poctacch organizace a odhalovat a odstranovat neautorizovane programy / data Jan Staudek, FI MU Brno

|


31

10.4. Opatren proti s kodlivym programum X Vsechny soubory z externch zdroju kontrolovat na vyskyt X X X

X X X X

s kodliveho software Vsechny prlohy e-mailu kontrolovat na rewallu na vyskyt s kodliveho software Zamestnance proskolovat v rozpoznav an potencialn e napadenych e-mailu s kodlivym software Ustanoven odpovednosti za beh ochran proti s kodlivemu software, detekce incidentu a odtranov an dusledk u c innosti s kodliveho software se ma r esit dokumentovanymi procedurami Ma existovat BCP pro obnovu po utoku s kodlivym software Bezpecnostn manazeri maj mt prstup ke vhodnym a duv eryhodnym zdrojum aktualn ch informac o s kodlivem software Maj byt instalovany opatren proti spyware Zamestnanci maj byt s kolen jak zachazet s webovskymi uzly napadnutymi s kodlivym software Jan Staudek, FI MU Brno

|


32

10.4. Opatren proti mobilnm programum 2

Cl { Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to clearly defined security policy, and unauthorized mobile code shall be prevented from executing.

X trivialn r esen { politikou zakazat instalaci a na rewallu blokovat

software obsahujc mobiln kod X blokovan lze omezit na vybrane podezrele uzly


|


33

10.5. Zalohov an 2

Cl: To maintain the integrity and availability of information and

2


information processing facilities.

X Zalohov an informac


|


34

10.5.Zalohov an informac 2

Cl { Back-up copies of information and software shall be taken and tested regularly in accordance with the agreed backup policy.

X Ideal { vsechny informace organizace uchovavat na serverech X

X X X

organizace a servery pravidelne (automaticky) zalohovat Povinnost zalohovat data z prenosnych zarzench na serverech organizace ma byt soucast inicialn ho bezpecnostnho s kolen zamestnance politika zalohov an mus pokryvat vsechna potencialn msta obsahujc citliva data organizace zalohovat je potreba data originaln e uchovavan a nejen v elektronicke, ale i v paprove forme mus se urcit metody a frekvence zalohov an


|


35

10.5.Zalohov an informac X zalohovan e informace spolecne s upln ymi a presnymi zaznamy o tom

X X

X X X

co je zalohov ano a dokumentace procedur obnovy se ma uchovavat ve vzdalen e lokalite zaloh an lze r esit kontraktem s tret stranou zalohovac cyklus ma implementovat 3-generacn postup aplikovany na mesc n, tydenn a denn zalohy: { syn: kazdy den v tydnu samostatne, prepis kazdy tyden { otec: kazdy tyden v mesc, prepis kazdy mesc { dedecek: kazdy mesc v roce, prepis kazdy rok na zalohy se mus aplikovat stejna bezpecnostn opatren jako na originaln data, prpadne je navc utajovat s ifrovan m zalohovac media je potreba pravidelne testovat na zpracovatelnost pravidelne se maj testovat vsechny obnovovac procedury dokumentovane v ISMS a vysledky testu se maj uchovavat v dokumentaci BCP Jan Staudek, FI MU Brno

|


36

10.5.Zalohov an informac X zalohov an ma byt predmetem pravidelneho prezkoumav an

managementem X Kriticke aplikace maj byt provozovane na serverech implementovanych na technologii RAID (idealn e RAID 5) X ma byt stanovena doba uchovav an zaloh podle omezen danych pozadavkem vyhoven legislative, smluvnm zavazk u a byznys modelu


|


37

10.6. St'ova bezpecnost 2

Cl: To ensure the protection of information in networks and

2


the protection of the supporting infrastructure.

X St'ova opatren { Internet acceptable use policy, AUP X Bezpecnost st'ovych sluzeb


|


38

10.6. St'ova opatren 2

Cl { Networks shall be adequately managed and controlled, in

order to be protected from threats, and to maintain security for the systems and applications using the network, including information in transit.

X odpovednost za provoz ste r esit oddelene od administrace poctacu X X X X

{ viz Oddelen/Oddelen povinnost jednoznacne de novat odpovednosti a procedury spravy vzdalen ych zarzen vc. oblast vzdalen ych uzivatelu specialn opatren se mus prijato pro ochranu dat prena senych bezdratov ymi a verejnymi stemi v cele sti mus byt mus byt konzistentne aplikovana opatren de novan v ISMS mus byt dokumentovana architektura cele ste vc. detailu kon guracnch nastaven a speci kace vsech softwarovych a hardwarovych komponent Jan Staudek, FI MU Brno

|


39

10.6. Internet acceptable use policy, AUP 2 2 2

2

2 2

Mus byt v psemne forme Mus byt srozumitelne sdelena vsem zamestnancum Nastavuje povolene pouzvan jak Internetu, tak i e-mailu, ma kombinovat prohla sen o pouzvan Internetu a vyuzvan e-mailu Speci lkuje, ktere pouzvan Internetu je zakazano { napr. stahovan neprstojnych dokumentu, pornogra e a nezakonn ych material u Sdeluje, co se monitoruje De nuje prijatelne on-line chovan


|


40

10.6. Internet acceptable use policy, AUP 2 2

2

Udav a zak azan e on-line oblasti { napr. pornogra cke / rasisticke servery Nastavuje pravidla zachovan soukrom ve vztahu k ostatnm uzivatelum pri respektovan prava zamestnavatele sledovat aktivity zamestnancu Sdeluje co jsou pravdepodobne disciplinarn dusledky porusen pravidel AUP


|


41

10.6. Internet acceptable use policy, AUP 2

Uvod AUP tvor souhrnne prohla sen X Melo by zact s pripomenutm hrozeb Internetu a r ci,

z e organizace nebude odpovedna za jakekoli stazene c i prohlz ene materialy. Dale se ma sdelit, z e pouzvan Internetu mus byt v souladu se standardy plnen c innost organizace a je soucast pracovnch povinnost zamestnance. X Jakekoli porusen AUP mu ze vest k disciplinarn mu r zen a prp. i k ukoncen zamestnan . X Nezakonn e c innosti mohou byt oznameny prslusnym organ um.


|


42

10.6. Internet acceptable use policy, AUP 2

Genericke body obsahu AUP X Uzivatelske ID organizace, weby a e-mailove u cty lze pouzvat pouze X

X

X X

pro komunikaci schvalenou organizac Pouzit internetu/intranetu/e-mailu/konverzacnch system u mu ze byt predmetem sledovan a uzivatele mohou byt pri pouzvan techto zdroju omezovani. Distribuce informac prostrednictvm Internetu (vcetne e-mailu a jinych poctaci podporovanych system u) mu ze byt organizac kontrolovana a organizace si rezervuje pravo stanovit vhodnosti informace. Pouzvan poctacovych prostredku organizace podleh a pravu a zneuzit bude adekvatn e potrestano. Uzivatele nesm navstevovat internetove stranky, ktere obsahuj vulgarn , nenavistn e nebo nezadouc materialy a nesm obchazet opatren omezujc prohlz en a na Internet nesm ucinit nebo vystavit neslusne poznamky, navrhy nebo materialy. Jan Staudek, FI MU Brno

|


43

10.6. Internet acceptable use policy, AUP X Uzivatele nesm rozeslat e-maily, ktere nesouvis s c innost organizace

nebo pro svuj osobn prospech, nesm odeslat nebo prijmat jakykoli obscenn c i hanlivy material nebo material urceny k obtez ovan nebo k zastrasovan jine osoby a nesm predkladat sve osobn nazory jako nazory organizace. X Uzivatele nesm ukladat, stahovat nebo jinak prena set komercn software a/nebo autorsky chran eny material, patrc organizaci nebo kterekoliv jine tret strane X Uzivatel nesm ani odhalit ani zverejnit duv erne informace (uvede se klasi kacn urove n) a nesm odeslat duv erne e-maiy bez zasifrovan na urovni vyzadovane politikou ISMS. X Uzivatele se nesm pokouset obchazet politiku prevence uplatnen s kodliveho software a mus zachovavat vsechny odpovdajc politiky organizace,


|


44

10.6. Internet acceptable use policy, AUP X Uzivatel zam erne nezasahuje do normaln c innosti ste a ani necin

z adn e kroky, ktere by ostatnm branily ve vyuzvan ste a nesm bez explicitnho povolen zkoumat, menit nebo pouzvat soubory jinych osob nebo jakekoli jine informacn aktivum X Uzivatele nesm vykonavat jakekoliv jine nevhodne aktivity, ktere v jistych c asovych intervalech oznacuje organizace, a nesm mrhat c asem neo i jinymi zdroji na c innosti nesouvisejc s c innostmi organizace. Mysl se tm stahovan ze serveru socialn ch st, servery, objemy dat naro cne na s r ku pasma, jako jsou naprklad videa a hudebn soubory MP3, sdlen digitaln ch fotogra atd.


|


45

10.6. Bezpecnost st'ovych sluzeb 2

Cl { Security features, service levels, and management

2

St'ove sluzby mu ze poskytovat organizace interne nebo outsourcingem Prklady { application service providers (ASP), Internet service providers (ISPs), serverove farmy, sluzby poskytujc dedikovane informace, . . .

2

requirements of all network services shall be identified and included in any network services agreement, whether these services are provided in-house or outsourced.


|


46

10.6. Bezpecnost st'ovych sluzeb 2

Je nutne identi kovat a dokumentovat bezpecnostn charakteristiky st'ovych sluzeb X bezpecnostn technologie (sifrovan , autentizace,

typ sit'oveho spojen, . . . ) X technicke parametry pro bezpecne spojen s poskytovatelem sluzby X procedury pro omezen prstupu ke sluzbam, existuj-li X opatren vztahujc se k udaj um uchopvavan ym v systemu (napr. osobn data)


|


47

10.7. Sprava medi 2

Cl: To prevent unauthorized disclosure, modification, removal or

2


destruction of assets, and interruption to business activities.

X X X X

Sprava vym ennych medi Skladovani medi Procedury pro manipulac s informacemi Bezpecnost systemov e dokumentace


|


48

10.7. Sprava vym ennych medi 2

Cl { There shall be procedures in place for the management

2

pasky, disky, kazety, tistene zpravy ochrana pred znicenm, krade z, neautorizovanym prstupem

2

of removable media.

X manipulaci s USB pametmi apod. mus de novat bezpecnostn politika X medium odstranovan e z organizace mus byt vymazano, plne,

ne pouze co je videt v adresa ri X vyna sen media mimo budovu ma byt explicitne povolovano a dokumentovano, pravidelne vyna sen (zalohy) ma r dit procedura X skladovan medi mus vyhovovat pravidlum stanovenych vyrobcem X je nutno respektovat dobu z ivotnosti stanovenou vyrobcem


|


49

10.7. Skladovani medi 2

Cl { Media shall be disposed of securely and safely when

2

ISMS mus obsahovat procedury zajist'ujc bezpecne skladovan medi obsahujcch

no longer required, using formal procedures.

X X X X X X X X 2

listinne dokumenty hlasove a videozaznamy kopraky vystupn zpravy tiskarensk e pasky USB pameti CD ROM listingy programu, testovac data, dokumentace systemu, ...

nutne jsou procedury skartace a likvidace Jan Staudek, FI MU Brno

|


50

10.7. Procedury pro manipulac s informacemi 2

Cl { Procedures for the handling and storage of information shall

2

procedury mus pokryvat

be established to protect this information from unauthorized disclosure or misuse.

X X X X X X X

prevoz medi r zen prstupu urcen autorizovaneho prjemce dat na bazi klasi kace dat zajisten kompletnosti vstupnch dat, zpracovan , validace vystup u zachazen s mediu podle speci kace vyrobcem distribuci dat vyhovujc klasi kacnm schemat um pravidelne prezkoumav avn distribucnch a autorizacnch seznamu zda obsahuj aktualn cle


|


51

10.7. Bezpecnost systemov e dokumentace 2

Cl { System documentation shall be protected against unauthorized access.

X ochrana pred neautorizovanym prstupem X nejde o verejne dostupne manualy, ... X jde o vnitrn dokumentaci organizace popisujc systemy, procesy,

struktury dat, autorizacn procesy, . . .


|


52

10.8. Vym ena informac 2

Cl: To maintain the security of information and software

2


exchanged within an organization and with any external entity.

X X X X X 2

Politiky a procedury pri vym ene informac Dohody o vym ene informac a programu Fyzicka media pri preprave Elektronicke zaslan zprav Aplikacn informacn systemy organizace

E-mail tem er zcela nahradil dalnopis a zjevne brzo nahrad fax a tradicn postu. X E-mail se od bez ne posty odlisuje { ma vysokou rychlost, jinou

strukturu zprav, nzkou formalnost, vykazuje moznost chybneho dorucen, koprovan , snadneho zachycen a moznost prenosu prloh. Jan Staudek, FI MU Brno

|


53

10.8. Politiky a procedury pri vym ene informac 2

Cl { Formal exchange policies, procedures, and controls shall be

2

Vym ena informac formami

in place to protect the exchange of information through the use of all types of communication facilities.

X komunikacn linky, e-mail, hlas, fax, video, . . . 2

Opatren mus zajist'ovat ochranu proti neautorizovanemu X zachycovan , koprovan , modi kovan , presmerovav an , rusen, . . .

informac

2

Pouzite mechanismy X Vodoznaky, s ifrovan , . . . pro zajisten duv ernosti, integrity,

autenticity, . . .

2

Nutnost respektovat klasi kacn schema, legislativn omezen, . . . Jan Staudek, FI MU Brno

|


54

10.8. Politiky a procedury pri vym ene informac 2 2

2

2

Mus se prijmout politika ochrany proti s kodlivemu software a mus se implementovat relevantn opatren Citlive dokumenty se nesm tisknout / ponechavat ve verejne dostupnych tiskarn ach / faxech, mus byt zaslane na dedikovana zarzen Je potreba srozumitelne identi kovat hrozbu komunikace v bezdratov em prostred a do prohla sen o aplikovatelnosti dat adekvatn politiku a opatren Pouzit telefonu a mobilu z mst, ktera nejsou bezpecna, nesm vyzradit duv ernou informaci (verejne prostory, kancela re s tenkymi stenami, areal konkurenta, preplneny vlak . . . )


|


55

10.8. Politiky a procedury pri vym ene informac 2

2 2 2

Nepouzvat pro duv ernou vym enu informac zarzen, ktera lze snadno kompromitovat (telefon v arealu konkurenta) nebo jsou automaticky nahravan a (banky, . . . ) Duv ernou informaci nesdelovat do hlasove schranky nebo pomoc SMS E-mail lze snadno chybne nasmerovat, pred odeslan m se mus peclive over it vsichni adresati Duv erne informace se nesm poslat faxem


|


56

10.8. Dohody o vym ene informac a programu 2

Cl { Agreements shall be established for the exchange

2

Smlouva mus speci kovat bezpecnostn podmnky vym en dane schematem klasi kace informac Zaveden vym en mu ze si vyzadat proveden ohodnocen rizik Mus se identi kovat na obou stranach kdo je odpovedny za r zen, oznamovan , zahajovan a prijman vym en Mus se de novat procedury sdelujc druhe strane odeslan / prijet citlive informace a opatren zajist'ujc sledovatelnost a nepopiratelnost Mus se urcit technicke standardy pro balen a prenos informac

2 2 2

2

of information and software betweenthe organization and external parties.


|


57

10.8. Dohody o vym ene informac a programu 2 2 2

2 2 2

Mus se urcit kuryrn identi kacn procedury Mus se urcit odpovednosti a rucen za ztratu informac nebo bezpecnostn incidenty Mus se dohodnout system oznacovan , ktery zajist, z e se bezprostredne zjist a poskytnou odpovdajc ochrany. Mel by byt shodny se systemem pouzvanym v organizaci interne. Mus urcit odpovednost za vlastnictv informac a software, ochrany dat, autorska prava apod. Maj se urcit technicke standardy pro zapis / c ten informac Mus se de novat speci cka opatren (napr. kryptogra cka), ktera mohou byt potrebna pro konkretn citlive informace Jan Staudek, FI MU Brno

|


58

10.8. Fyzicka media pri preprave 2

Cl { Media containing information shall be protected against

2

Nejcasteji se prepravuj CD-ROMy a pasky Posta a obcasna kuryrn sluzba nejsou bezpecne prepravn systemy Je nutne prijmout opatren typu

2 2

unauthorized access, misuse or corruption during transportation beyond an organization’s physical boundaries.

X s ifrovan , pokud medium obsahuje citlive / osobn data X udrzovat seznam spolehlivych, duv eryhodnych kuryrn ch sluzeb,

prpadne pouzvat smluvne vazanou kuryrn sluzbu jako sluzbu poskytovanou tret stranou X Balen hardware mus respektovat pozadavky jeho vyrobce X Prpadne pouzvat fyzicka opatren (zamykatelne kontejnery, . . . ) Jan Staudek, FI MU Brno

|


59

10.8. Elektronicke zaslan zprav 2

Cl { Information involved in electronic messaging shall be

2

Politika bezpecneho pouzvan e-mailu Genericka rizika e-mailu

2

appropriately protected.

X zranitelnost neautorizovanym prstupem,

neautorizovanou modi kac a utoky typu DoS X zranitelnost nespravn ym adresovan m, chybnym smerovan m a nespolehlivost Internetu X legislativn problemy { nejsou dostupne dukazy puvodu, odeslan a prjmu X neovladatelnost vzdalen eho uzivatele


|


60

10.8. Elektronicke zaslan zprav 2

Politika bezpecneho pouzvan e-mailu by mela zajistit

X Odpovednost zamestnance nekomprmitovat organizaci zakazujc

X X X X X

X

pouzit e-mailu spolecnosti pro zaslan hanlivych mailu nebo pro obtez ovan , pro neopravn ene nakupy nebo publikovan nazor u na dodavatele, partnery c i zakazn ky z organizace. E-mail by se nemel pouzvat pro komunikaci citlive informace s jistou klasi kac Prlohy e-mailu by mel byt vhodne chran eny, (prpadne) pomoc kryptogra ckych kontrol nejakeho typu Jak reagovat na viry a podvod zavirovanou zpravou Velikost schranky s prchoz postou mus byt zajistena procedurou Bez konkretn ho predchozho povolen nelze pouzvat e-mail pro nakup jmenem organizace. Pokud lze, pak jen v souladu s aktualn politikou organizace pro nakupu. Firemn e-mailova adresa nesm byt pouzita pro osobn nakupy nebo jine osobn transakce. Jan Staudek, FI MU Brno

|


61

10.8. Aplikacn informacn systemy organizace 2

Cl { Policies and procedures shall be developed and implemented

2

Soucasne distribuovane systemy dramaticky zvysuj elektronickou komunikaci mezi zamestnanci a moznost sdlen informaci

to protect information associated with the interconnection of business information systems.

X F2F komunikace je vrozene bezpecnejs 2

Doporucena opatren X Jasne de novana politika sdlen informac respektujc schema X Jestlize nelze zajistit adekvatn ochranu proti prstupu zvenc

organizace, pak chran enou informaci nelze publikovat na vnitroorganizacnch nast enkach X Opatren zajist'ujc bezpecnou komunikaci via rizikovy Internet Jan Staudek, FI MU Brno

|


62

10.8. Aplikacn informacn systemy organizace X Osobn kalenda re akc zverejnovat pouze spolupracovnkum na X X

X X X X

projektu, . . . Pro kazdy aplikacn informacn system by mela byt stanovena pozadovana vy se zaruky za bezpecnost a jej dosazen prokazat evaluac ISMS pozaduje identi kovat kategorie zamestnancu a smluvnch partneru s povolenym prstupem k system u a lokality, odkud lze systemy zprstupnovat ISMS pozaduje urcit prstupova prava k aplikacnm system um jednotlivcum, na zaklad e jejich rol v organizacnm schematu E-mail mus rozlisovat mezi internmi a externmi adresami, aby uzivatele mohli omezit cirkulaci informac Mus byt zavedena politka zalohov an a obnov Mus byt zavedena politika c innosti organizace v nouzovem rezimu


|


63

10.9. Elektronicke obchodovan 2

Cl: To ensure the security of electronic commerce services,

2


and their secure use.

X Elektronicke obchodovan X On-line transakce X Verejne dostupne informace


|


64


Cl { Information involved in electronic commerce passing over

2

Hlavn problem elektronickeho obchodovan { nepopiratelnost

public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification.

X nepopiratelnost puvodu { jistota pro prijmac stranu, z e odeslatel

nen podvodnk X nepopiratelnost odeslan { dukaz, z e v jistem c ase vec byla odeslana X nepopiratelnost prijet { dukaz, z e prijmac strana skutecne zzskala odeslanou vec, druhosledove kdy a kde 2 2

Ochrana Web serveru pred utoky Ochrana komunikac { SSL, IPSec, PKIX, S/MIME, . . . Jan Staudek, FI MU Brno

|


65


2

Opatren mus zajistit, z e obchodovan pres verejne ste je chran ene pred podvody, smluvnmi rozepremi, neautorizovanym zprstupnenm a modi kac duv ernych dat Mezi stranami se mus dohodnout (prklad pro B2B) X Autentizace { poslen duv ery mezi zakazn kem a obchodnkem X Autorizace { strany mus vedet z e smluvn vztahy byly domluveny

s autorizovanou rol X Prodejn procesy { s nepopiratelnost, duv ernost, integritou, dukazy odeslan a prjmu dokumentu X Jak duv erne jsou domluvy o slevach X Jaka je duv ernost chran enych transakcnch detailu (platba, detaily dodavky, ...) Jan Staudek, FI MU Brno

|


66

10.9. Elektronicke obchodovan X Co se mus over ovat na platebnch informacch X Nejbezpecnejs metodu plateb a jak se bude r esit podvod

s padelanou platebn kartou X Jak se zabran duplikacm a ztrat am transakc X Kdo nese odpovednost za s kody podvodnymi transakcemi a jak se r es pojisten


|


67

10.9. On-line transakce 2

Cl { Information involved in on-line transactions shall be

2

Vhodna opatren

protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay.

X Elektronicke podpisovan { vesmes pro B2B, c asto neprakticke pro C2B X Zajisten duv ernosti transakc (pomoc SSL),

zajisten ochrany osobnch dat X Plne s ifrovan komunikac X Bezpecnost mus byt r esena v koncovych systemech X Mus se respektovat legislativn omezen


|


68

10.9. Verejne dostupne informace 2

Cl { The integrity of information being made available on

2

Typy opatren

a publicly available system shall be protected to prevent unauthorized modification.

X Informace publikovana na webu ma byt odsouhlasena predem X Informace zskavan a z verejnych webu od lid sm byt shromazd'ovana

v souladu s omezenmi danymi legislativou X Webovske aplikace mus ltrovat uzivateli dodavan a data (viz OWASP) X Citliva data mus byt pri zskav an a uklad an adekvatn e chran ena (platebn informace z karet apod. { SSL, 3D-Secure, . . . )


|


69

10.10. Sledovan , monitorovan 2 2

Cl: To detect unauthorized information processing activities. Relevantn oblasti opatren X X X X X X

2

Porizovan auditnch zaznam u Monitorovan pouzvan systemu Ochrana auditnch zaznam u Administratorsk y a operatorsk y denk Denky selhan Synchronizace c asu

Detekce odchylek ucinku prijatych opatren X odchylek od politiky r zen prstupu X detekce opakovaneho zneuzvan , . . .

2

Zskav an dukaz u pro nasledn e r esen bezpecnostnch incidentu a podkladu pro kontrolu efektivnosti prijatych opatren Jan Staudek, FI MU Brno

|


70

10.10. Porizovan auditnch zaznam u 2

Cl { Audit logs recording user activities, exceptions, and

2

Zaznamy o vyjimk ach udalostech souvisejcch s informacn bezpecnost Mus se uchovavat po stanovenou dobu

2

information security events shall be produced and kept for an agreed periodto assist in future investigations and access control monitoring.

X zdroj informac o tom co funguje s patne 2 2

Za veden odpovda CISO, co se sleduje obvykle stanovuje r dic vybor ITSec Sbrat se mus nutne informace, ne ,,vsechny"informace Jan Staudek, FI MU Brno

|


||||||||||||||||||||||||

71

10.10. Porizovan auditnch zaznam u 2

Typicky sledovane informace, prklady X X X X X X X

2

ID uzivatele, doba prihla sen / odhla sen usp es ne a neusp es ne prstupy uzivatelu k aktivum zmeny v kon guraci systemu pouzit aplikac aktivace / deaktivace ochran (anti-vir) veskera narusen pravidel bezopecnostn politiky upozornen z rewalu a system u detekce prunik u, ...

Auditn denk mus byt silne prstupove chran eny, slouz mj. pro odhalen neautorizovanych prstupu X jeho veden by melo zajist'ovat Oddelen internho auditu X IT administrato ri nemaj mt k denku prstup a nesmej mt moznost

vypnat sve sledovan


|


72

10.10. Monitorovan pouzvan systemu 2

Cl { Procedures for monitoring use of information processing

2

organizace mus mt zavedeny procedury pro sledovan zpracovan informac zaznamy ze sledovan se mus pravidelne zkoumat

2

facilities shall be established and the results of the monitoring activities reviewed regularly.

X frekvenci zkouman urc vysledek posouzen rizik


|


73

10.10. Ochrana auditnch zaznam u 2

Cl { Logging facilities and log information shall be protected

2

Je nutna striktn autorizace modi kacnch prstupovych prav Zaznamy lze pouzvat jako dukazy pri soudnch sporech Objemy zaznamenavan ych informac byvaj obrovske

2 2

against tampering and unauthorized access.

X je nutne stanovit politiku bezpecne archivace zaznam u X idealn r esen { datove trezory


|


74

10.10. Administratorsk y a operatorsk y denk 2

Cl { System administrator and system operator activities

2

Prklady zaznamenavan ych udalost

shall be logged.

X X X X X

spusten a zastaven c innosti, kdo tak ucinil popis akce (zahrnute procesy, soubory, . . . ) chyby systemu (co, kdy) a opravne akce vse co souvis se zalohov an m a obnovou jmeno osoby ucinvs zaznam


|


75

10.10. Denky selhan 2

Cl { Faults shall be logged, analyzed, and

2

O selhan ch maj byt vedeny zaznamy, tyto maj byt analyzovane a zavady maj byt odstranovan e

appropriate action taken.


|


76

10.10. Synchronizace c asu 2

Cl { The clocks of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source.

X Napr. zkouman zaznam u o bezpecnostnch incidentech vyzaduje

informaci o c ase vyskyt u udalost

2

Hodiny ve vsech poctacch maj byt synchronizovane bud'to s UCT (Universal Coordinated Time) nebo s lokaln m standardnm c asem X dopad driftu hodin v poctacch, . . .

2

Maj se pouzvat standardizovane formaty vyjad ren c asu X nerespektovan letnho c asu mu ze mt negativn dopad na zkouman

auditnch zaznam u, ... X chybna interpretace c asu bran zkouman udalost , prprave dukaz u, ... Jan Staudek, FI MU Brno

|


77

zen prstupu { vybrany ilustracn prklad oddlu 11. R 2

zen prstupu obsahuje 7 kategori bezpecnosti Oddl 11. R X 11.1 Pozadavky na r zen prstupu { vybrany ilustracn prklad

kategorie bezpecnosti

X X X X X X

zen prstupu uzivatelu 11.2 R 11.3 Odpovednosti uzivatelu zen prstupu k sti 11.4 R zen prstupu k operacnmu systemu 11.5 R zen prstupu k aplikacm a informacm 11.6 R 11.7 Mobiln vypo cetn zarzen a prace na dalku


|


78

11.1 Pozadavky na r zen prstupu 2

dit prstup k informacm Cl { R X Prstup k informacm, prostredkum pro zpracovan informac a

procesum organizace by mel byt r zen na zaklad e provoznch a bezpecnostnch pozadavku organizace X Mela by byt zohlednena pravidla organizace pro s r en informac a pravidla, podle nichz probha schvalovan . 2

Vy cet opatren X 11.1.1 Politika r zen prstupu X Tato kategorie zavad jedine opatren { politiku r zen prstupu


|


79

11.1.1 Politika r zen prstupu 2

Opatren X Mela by byt vytvorena, zdokumentovana a v zavislosti na aktualn ch

bezpecnostnch pozadavcch prezkoumav ana politika r zen prstupu

2

Doporucen k realizaci X Prstupova pravidla a opravn en by mela byt jasne stanovena

pro kazdeho uzivatele nebo skupinu uzivatelu v seznamu pravidel prstupu. X Pravidla by mela pokryvat jak logicky, tak fyzicky prstup, oba typy prstupu by mely byt r eseny soucasne. X Uzivatelum a poskytovatelum sluzeb by melo byt predano jasne vyjad ren o provoznch pozadavcch, ktere naplnuje r zen prstupu.


|


80


Doporucen k realizaci (pokrac.) { Politika r zen prstupu by mela brat v uvahu nasleduj c hlediska: X bezpecnostn pozadavky jednotlivych aplikac organizace X identi kace vsech informac ve vztahu k jednotlivym aplikacm a X X X X

rizika, kterym jsou informace vystaveny pravidla pro s r en informac a pravidla schvalovan , tj. princip potreby znat, bezpecnostn urovn e a klasi kaci informac konzistence prstupovych pravidel a klasi kace informac pro ruzn e systemy a ste odpovdajc legislativu a ostatn smluvn zavazky ve vztahu k ochrane prstupu k datum nebo sluzbam standardn prstupove pro ly uzivatelu pro bez ne kategorie c innost


|


81

11.1.1 Politika r zen prstupu X r zen pravidel prstupu v distribuovanem a st'ovem prostred X X X X

rozeznavaj cm vsechny mozne typy pripojen oddelen jednotlivych rol pro r zen prstupu, napr. vyrizovan pozadavku na prstup, schvalovan prstupu, sprava prstupu pozadavky na formaln schvalen z adost o prstup pozadavky na pravidelne prezkoumav an prstupovych prav podmnky a postupy pro odebran prstupovych prav


|


82


Dals informace X rozlisovat mezi pravidly, ktera mus byt v platnosti vzdy, a temi, X

X

X

X

ktera jsou nepovinna nebo podmnena stanovit pravidla na zaklad e principu ,,Vsechno, co nen vyslovn e povoleno, je zakaz ano\, ne na zaklad e mekcho pravidla ,,Vsechno, co nen vyslovn e zakaz ano, je povoleno\ zohlednovat zmeny ve oznacovan informac, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a zmeny, ktere jsou vyvolany z rozhodnut uzivatele zohlednovat zmeny uzivatelskych opravn en, ktere jsou vyvolany automaticky prostredky pro zpracovan informac, a ty, ktere jsou vyvolany administratorem rozlisovat pravidla, ktera vyzaduj schvalen administratorem nebo jinou pover enou osobou, a ta, ktera toto nevyzaduj. Jan Staudek, FI MU Brno

|


83

11.1.1 Politika r zen prstupu X Pravidla pro r zen prstupu by mela byt podporovana zavedenm X X X X

X

X

formaln ch postupu a jasne urcenych odpovednost Uzivatele maj znat cle c innosti organizace, ktere politika prstupu dosahuje Opatren mohou byt jak fyzickeho, tak i logickeho typu Uzivatele maj byt s kolen na pravidla a politiku r zen prstupu Rozdlne aplikacn c innosti organizace mvaj rozdlne pozadavky na bezpecnost { kdo ma nebo nema mt prstup k systemu uka ze ohodnocen rizik Vhodny je princip ,,need-to-know" { Napr. referentka zadavaj c objednavku platebnmu systemu nemus mt pravo prkazce operace proveden platby Mus se respektovt system klasi kace informac { Pozadavek konzistence klasi kacnch schemat a r zen prstupu a ruzn ych stch te ze organizace Jan Staudek, FI MU Brno

|


84

11.1.1 Politika r zen prstupu X Mus se zohlednovat relevantn legislativa X Pro zavedene kategorie pracovnch funkc maj byt de novane X

X

X X X

standardizovane pro ly uzivatelskych prstupu V distribuovanych systemech je nutne r esit prstupova prava jak pri lokaln m prstupu, tak i vzdalen em prstupem jednoho a teho z uzivatele Vhodne je dodrzovat princip separace odpovednost { V dostatecne velkych organizacch vzdy oddelit role odpovedne za plnen prstupovych pozadavku, za jejich autorizaci a za jejich nastaven Pravidelne prezkoumavat opatren r dic prstupy, prstupy je nutne prub ez ne monitorovat Rusit prstupova prava pri vypov edi Nektera pravidla politiky r zen prstupu mohou byt prosazovana trvale, jina volitelne, prp. podmnecne nebo pouze v jistych situacch Jan Staudek, FI MU Brno

|


85

11.1.1 Politika r zen prstupu X Mus byt stanovena prstupova prava k proveden zmen

v klasi kaci informaci, v pravidlech r zen prstupu, v uzivatelskych prstupovych pro lech, . . .


|


86

Skladba opatren ostatnch kategori r zen prstupu 2

zen prstupu uzivatelu 11.2 R X Cl: Zajistit opravn eny prstup uzivatelu a predchazet neopravn enemu X X X X

2

prstupu k informacnm system um. Registrace uzivatele zen privilegovaneho R prstupu Sprava uzivatelskych hesel Prezkouman prstupovych prav uzivatelu

11.3 Odpovednosti uzivatelu X Cl: Predchazet neopravn enemu uzivatelskemu prstupu, vyzrazen

nebo krade zi informac a prostredku pro zpracovan informac. X Pouzvan hesel X Neobsluhovana uzivatelska zarzen X Zasada prazdn eho stolu a prazdn e obrazovky monitoru Jan Staudek, FI MU Brno

|


87


zen prstupu k sti 11.4 R X X X X X X X X

Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Politika uzvan st'ovych sluzeb Autentizace uzivatele pro extern pripojen Identi kace zarzen v stch Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen zen smerovan R ste


|


88


zen prstupu k operacnmu systemu 11.5 R X X X X X X X

2

Cl: Predchazet neautorizovanemu prstupu k operacnm system um. Bezpecne postupy prihla sen Identi kace a autentizace uzivatelu System spravy hesel Pouzit systemov ych nastroj u Casov e omezen relace Casov e omezen spojen

zen prstupu k aplikacm a informacm 11.6 R X Cl: Predchazet neopravn enemu prstupu k informacm ulozenym

v poctacovych systemech. X Omezen prstupu k informacm X Oddelen citlivych system u


|


89


11.7 Mobiln vypo cetn zarzen a prace na dalku X Cl: Zajistit bezpecnost informac pri pouzit mobiln

vypo cetn techniky a zarzen pro praci na dalku. X Mobiln vypo cetn zarzen a sdelovac technika X Prace na dalku


|


90

zen prstupu k sti Ilustrativn rozpis kategorie 11.4, R 2 2

Cl: Predchazet neautorizovanemu prstupu k st'ovym sluzbam. Relevantn oblasti opatren X X X X X X X

2

Politika pouzvan st'ovych sluzeb Autentizace uzivatelu pro extern pripojen Identi kace zarzen v sti Ochrana portu pro vzdalenou diagnostiku a kon guraci Princip oddelen v stch zen st'ovych R spojen zen smerovan R v sti

Typova zabezpecovana prostred X privatn ste na bazi pevnych privatn ch spoju { WAN, LAN X VPN { alternativa WAN, na bazi protokolu IPSec ve verejne sti

(VPN pro vzdalen y prstup, site-to-site VPN) X extranety { podpora B2B c innost, VPN technologie X bezdratov e ste { IEEE 802.11, Bluetooth, mobiln ste, . . . Jan Staudek, FI MU Brno

|


91

Politika pouzvan st'ovych sluzeb 2

Cl { Users shall only be provided with access to the services that

2

Politika urcuje

they have been specifically authorized to use.

X ktere ste a ktere st'ove sluzby lze zprstupnovat X adekvatn auutorizacn procedury pro zskan prava prstupu X ktera opatren mus chranit st'ova pripojen 2 2

Politika mus vyhovovat politice r zen prstupu Bezpecnostn perimetr ste vymezuj smerovace a rewally X k aplikacm, udaj um a sluzbam bez cm v sti mohou pristupovat

pouze autentizovan uzivatele


|


92

Autentizace uzivatelu pro extern pripojen 2

Cl { Appropriate authentication methods shall be used to

2

Zranitelnost vzdalen eho prstupu

control access by remote users.

X vyta cena (komutovana) spojen X bezdratov a spojen 2 2

Bezpecny vzdalen y prstup z internetu zajist napr. protokol Kerberos Na vyta cenych spojench lze pouzt zpetna volan


|


93

Identi kace zarzen v sti 2

Cl { Automatic equipment identification shall be considered as a means to authenticate connections from specific locations and equipment.

X nutne implementovat, pokud ohodnocen rizik indikuje, z e je dule zite

zajistit, aby se relace otevrala pouze z konkretn ho msta c i poctace X napr. bankovn presuny penez lze provad et pouze z . . . 2

Nestac znat adresu portu kabelu vedoucho k terminalu


|


94

Ochrana portu pro vzdalenou diagnostiku a kon guraci 2

Cl { Physical and logical access to diagnostic and configuration ports shall be controlled.

X vzdalen y prstup si vynucuje pozadavek moznosti

kon guracnho nebo opravneho zasahu X porty lze chranit fyzicky, zamkem, zprstupnen podle ISMS procedury r es obsluha poctace { po nale zite autentizaci port na urcenou dobu odemkne a ucin o tom auditn zaznam


|


95

Princip oddelen v stch 2

Cl { Groups of information services, users, and information

2

Oddelen

systems shall be segregated on networks.

X Oddelen pusobnost jiste sluzby mu ze redukovat dopad

narusen sluzby X Bezdratov e ste maj byt oddeleny a s jinak bezpecnou zbyvaj c st propojeny jedinym bezpecnym spojem (napr. rewallem) 2

Nutnost dukladn e dokumentace X domen, rozmsten aktiv do domen, ...


|


96

zen st'ovych R spojen 2

Cl { For shared networks, especially those extending across

the organization’s boundaries, the capability of users to connect to the network shall be restricted, in line with the access control policy and requirements of the business applications.

X spojen mus vyhovovat politice r zen prstupu X nektera spojen mohou podlehat c asovemu planu


|


97

zen smerovan R v sti 2

Cl { Routing controls shall be implemented for networks to ensure that computer connections and information flows do not breach the access control policy of the business applications. X smerovan mus vyhovovat politice r zen prstupu


|


98

PV 017 Bezpecnost IT

Recommend Documents