Doporučené postupy pro zabezpečení Důvěrných informací¶

Tento dokument popisuje doporučené postupy pro zabezpečení Důvěrných informací.

Dokument může být aktualizován s ohledem na vývoj IT technologií a také s ohledem na nové bezpečnostní situace.

1. Zavedení šifrování dat na úrovni celého zařízení (pevné disky, interní paměť zařízení, paměťové karty, USB flash disky), včetně operačního systému, ve všech zařízeních (stolní počítače, notebooky, tablety, mobilní telefony), které obsahují Důvěrné informace;
   • Pro systémy s Microsoft Windows Home edice (například Windows 10 Home, Windows 11 Home), lze použít pro šifrování aplikaci VeraCrypt;
   • Pro systémy s Microsoft Windows Pro edice (například Windows 10 Pro, Windows 11 Pro), obsahují nativní podporu šifrování skrze nástroj BitLocker;
   • Pro systémy s Microsoft Windows Enterprise edice (například Windows 10 Enterprise, Windows 11 Enterprise), obsahují nativní podporu šifrování skrze nástroj BitLocker;
   • Pro systémy s Apple macOS obsahují nativní podporu šifrování celého zařízení;
   • Pro systémy založených na jádře Linux, lze použít pro šifrování aplikaci VeraCrypt;
   • Zařízení s operačním systémem Apple iOS, Apple iPadOS, nebo Google Android obsahují nativní podporu šifrování celého zařízení.
2. Zavedení celoplošného využívání hesel ke všem uživatelským účtům ve všech zařízeních, které obsahují Důvěrné informace, dle následujících kritérií:
   1. heslo není kratší 12 znaků,
   2. heslo nesmí být starší více, než 6 měsíců,
   3. heslo nesmí obsahovat části názvu uživatelského účtu,
   4. heslo nesmí obsahovat po sobě se opakující znaky,
   5. heslo nesmí obsahovat sekvence znaků,
   6. heslo musí obsahovat znaky z každé z uvedených čtyř kategorií:
      • Velká písmena anglické abecedy (A až Z),
      • Malá písmena anglické abecedy (a až z),
      • číslovky (0 až 9),
      • speciální znaky (například: " " (mezera), "." (tečka), "," (čárka), "!", "*", "#", "$", "%", "+", "-", "?", ":", "/", "\").
3. Zavedení celoplošného využívání PINu ve všech mobilních telefonech a/nebo tabletech, které obsahují Důvěrné informace, dle následujících kritérií:
   1. PIN není kratší 6 znaků (čísel),
   2. PIN nesmí obsahovat po sobě se opakující znaky (číslice),
   3. PIN nesmí obsahovat sekvence znaků (číslic),
   4. PIN nesmí být starší více, než 6 měsíců.
4. Přenos Důvěrných informací emailem pouze v šifrované podobě. Šifrovanou podobou se rozumí:
   1. šifrovaný tunel protokolem SSL mezi klientem a poštovním serverem, a
   2. šifrovaný tunel protokolem SSL mezi oběma emailovými servery (mezi Příjemcem a Odesílatem), nebo
   3. šifrováním obsahu emailové zprávy, včetně příloh.
5. Předání hesla, PINu, nebo jiných přihlašovacích informací musí proběhnout jedním z níže uvedených postupů:
   1. heslo je předáno dvěma komunikačními kanály. Například téměř celá část hesla emailem a poslední 4 znaky hesla formou SMS, nebo
   2. heslo je předáno osobně ústně, či telefonicky v jednoduché formě (výchozí heslo, například Krk22Tygr06Bagr11Drak07) s vynucením změny hesla ihned po přihlášení, nebo
   3. heslo je předáno celé emailem, skrze jednorázově generovaný odkaz s dočasnou platností v aplikaci OneTimeSecret.
6. Všechna Zařízení musí obsahovat aktualizovaný a podporovaný operační systém,
   1. Pokud pro operační systém vyšla bezpečnostní aktualizace, tato aktualizace musí být nainstalována dle závažnosti
      1. pokud bezpečnostní aktualizace chrání před možným útokem vzdálenou metodou (remote attack), musí být tato aktualizace nainstalována nejpozději do dvou týdnů od jejího vydání.
      2. ostatní bezpečnostní aktualizace musí být nainstalovány nejpozději do čtyř týdnů od jejich vydání.
   2. Pokud je pro používaný operační systém ukončena podpora ze strany výrobce, je nutné nejpozději do třech měsíců od data ukončení podpory:
      • aktualizovat operační systém na nejnovější podporovanou verzi, nebo
      • přestat používat zařízení s nepodporovaným operačním systémem.
   3. Operačním systémem v rámci tohoto dokumentu jsou myšleny následující operační systémy:
      • Microsoft Windows
        • Microsoft Windows 10 Home & Pro 21H2, nebo novější.
        • Microsoft Windows 10 Enterprise & Education 20H2, 21H2, 22H2, nebo novější.
        • Microsoft Windows 11 Home & Pro 21H2, nebo novější.
        • Microsoft Windows 11 Enterprise & Education 21H2, 22H2, nebo novější.
      • Apple iOS
        • Apple iOS 15,
        • Apple iOS 16, nebo novější.
      • Apple iPadOS
        • Apple iPadOS 15,
        • Apple iPadOS 16, nebo novější.
      • Apple macOS
        • Apple macOS 11,
        • Apple macOS 12,
        • Apple macOS 13, nebo novější.
      • Google Android
        • Google Android 11,
        • Google Android 12,
        • Google Android 13, nebo novější.

Nedílnou součástí tohoto dokumentu jsou následující dokumenty:

• Metoda pro bezpečné smazání dat (Wipe)
• Emailové služby
• Nedůvěryhodné emailové služby

Odkazy¶

• Microsoft: Seznam produktů s datem ukončení jejich podpory
• Životní cyklus podpory Windows 10 Home & Pro
• Životní cyklus podpory Windows 10 Enterprise & Education
• Životní cyklus podpory Windows 11 Home & Pro
• Životní cyklus podpory Windows 11 Enterprise & Education
• Apple iOS version history (anglicky)
• Apple macOS version history (anglicky)
• Android version history (anglicky)

Aktualizace dokumentu¶

Aktualizace 15.05.2022¶

Přidán nový bod popisující možné způsoby předání hesel.
Upřesnění dostupné podpory pro jednotlivé edice Windows 10.
Doplnění informací o dostupné podpoře pro Windows 11.

Aktualizace 05.04.2023¶

Upravena část popisující podporované operační systémy:

• odebrány zastaralé OS,
• přidány nové, podporované OS.

Přidán odkaz na historii operačních systémů Google Android.

Aktualizace 10.06.2023¶

Reorganizace odkazů pro dokumentaci poskytování podpory operačních systémů Microsoft Windows, přesun do sekce Odkazy.