Bezpečnostní politika

Transkript

1 Městský úřad Blovice Bezpečnostní politika atestační minimum Projekt: Předmět: Atestace IS Městského úřadu BLOVICE dle Standardu ISVS č. 005/02.01 pro náležitosti životního cyklu Bezpečnostní politika Objednatel: Město Blovice Masarykovo náměstí 143 Blovice, Zhotovitel: ADVICE.CZ, s.r.o. Písnické zahrady 428, Praha 4 Zpracoval: kolektiv autorů ADVICE.CZ Spolupracovali: Eliška Pečenková Datum:

2 1. Definice, obsah a účel bezpečnostní politiky Bezpečnostní politika IS je souhrnem bezpečnostních předpisů a zásad definujících způsob zabezpečení provozu IS MěÚ Blovice (dále jen IS MěÚ). Základní bezpečnostní zásady a z nich vyplývající povinnosti uživatelů IS MěÚ jsou uvedeny v Provozním řádu IS MěÚ Blovice. Pomocí bezpečnostní politiky IS MěÚ jsou stanovena základní pravidla zajišťující bezpečný provoz, integritu uložených dat a řízení přístupů k datům pro oprávněné uživatele na základě jejich funkčního zařazení v organizační struktuře organizace. Bezpečnostní politika určuje normy, pravidla a předpisy, které definují způsob správy, ochrany a distribuce citlivých informací a jiných konkrétních informačních zdrojů v rámci úřadu. Specifikuje bezpečnostní opatření a způsob jejich implementace, určuje způsob použití, který zaručuje přiměřenou bezpečnost odpovídající požadavkům bezpečnostní politiky úřadu. Bezpečnostní politika IS MěÚ rovněž obecně definuje bezpečné používání informačních zdrojů. 2. Základní bezpečnostní cíle IS Cílem bezpečnostní politiky je zajištění následujících stavů a činností: 1) ochrana dat a prostředků IS, 2) trvalé a kvalitní zajištění dostupnosti, důvěrnosti, integrity a autentizace dat, 3) zajištění bezpečné komunikace s okolím. Bezpečnostní politika je strategickým dokumentem pro určení a dosahování bezpečnostních cílů. Bezpečnostní politika IS MěÚ Blovice strana 2 (celkem 11)

3 3. Základní požadavky na bezpečnost Požadavky na bezpečnost IT jsou konkretizací bezpečnostních cílů IS: TRVALÉ A KVALITNÍ ZAJIŠTĚNÍ DOSTUPNOSTI, DŮVĚRNOSTI, INTEGRITY A AUTENTIZACE DAT zajištění soukromí uživatelů ochrana uživatele před zjištěním nebo zneužitím jeho identity jinými uživateli nebo cizími osobami, identifikace a autentifikace uživatelů zajištění přístupu k datům (prohlížení, aktualizace) IS MěÚ pouze pro oprávněné uživatele a to na základě jejich funkčního zařazení, existence systému pravidelného zálohování a archivace dat, OCHRANA DAT A PROSTŘEDKŮ IS zajištění personální bezpečnosti, zajištění fyzické bezpečnosti prostředků IS MěÚ, existence systému komplexní antivirové ochrany, vybudování bezpečnostních mechanismů vůči napadení zevnitř (bezpečnostní pravidla, jak se mají uživatelé chovat), ochrana IS MěÚ před napadením z vnějšku (hackeři apod.) bezpečnostní opatření zamezující možnosti průniku do vnitřní sítě, ustanovení správce IS. ZAJIŠTĚNÍ BEZPEČNÉ KOMUNIKACE S OKOLÍM bezpečná komunikace mezi MěÚ Blovice a jinými subjekty (především s orgány veřejné správy), používání bezpečných komunikačních cest. Bezpečnostní politika IS MěÚ Blovice strana 3 (celkem 11)

4 4. Organizační zajištění v oblasti bezpečnosti Protože bezpečnost IS MěÚ spadá do oblasti provozní problematiky úřadu, schvaluje a vyhlašuje realizaci bezpečnostní politiky včetně základního personálního obsazení a stanovení rolí a odpovědností v oblasti bezpečnosti tajemník úřadu. Pro bezpečnost IS jsou přijata následující organizační opatření: definování bezpečnostní komise, její pravomoci a odpovědnosti, definování bezpečnostního správce, jeho pravomoci a odpovědnosti, definování odpovědnosti a povinností uživatelů IS MěÚ Bezpečnostní komise Bezpečnostní komise má tyto členy: tajemník úřadu, vedoucí útvaru informatiky úřadu. Bezpečnostní komise: formuluje zásady bezpečnostní politiky, zodpovídá za průběžné monitorování a ověřování funkčnosti zavedených bezpečnostních opatření, schvaluje a podporuje iniciativy týkající se bezpečnosti IS, prosazuje, aby podpora bezpečnostní politiky ze strany vedení byla viditelná v celém úřadě, definuje bezpečnostní cíle a sleduje jejich zavádění, schvaluje hlavní kroky vedoucí ke zvýšení bezpečnosti dat a prostředků v IS, schvaluje specifické role a odpovědnosti v oblasti bezpečnosti IS v rámci celého úřadu, zodpovídá za řízení přístupu k informačním systémům a informačním aktivům, koordinuje implementaci opatření v oblasti bezpečnosti IS, zodpovídá za průběžné monitorování a ověřování funkčnosti zavedených bezpečnostních opatření, schvaluje a podporuje iniciativy týkající se bezpečnosti IS, Bezpečnostní politika IS MěÚ Blovice strana 4 (celkem 11)

5 prosazuje, aby podpora bezpečnostní politiky ze strany vedení byla viditelná v celém úřadě, definuje bezpečnostní cíle a sleduje jejich zavádění, schvaluje hlavní kroky vedoucí ke zvýšení bezpečnosti dat a prostředků v IS, schvaluje specifické role a odpovědnosti v oblasti bezpečnosti IS v rámci celého úřadu, schvaluje metody a postupy v oblasti bezpečnosti IS, kontroluje, aby bezpečnost byla součástí procesu plánování v oblasti informatiky, prosazuje zvyšování bezpečnostního uvědomění uživatelů IS, definuje potřebné požadavky na lidské znalosti a na finanční náklady, řeší disciplinární problémy vůči bezpečnosti, hodnotí účinnost bezpečnostní politiky Bezpečnostní správce Bezpečnostní správce: zodpovídá za bezpečnost IS MěÚ, spolupracuje s bezpečnostní komisí, řídí zavádění bezpečnostních opatření podle vydefinovaných bezpečnostních cílů, průběžně monitoruje bezpečnostní incidenty a účinnost bezpečnostní politiky a ověřuje funkčnost zavedených bezpečnostních opatření, podílí se na zvyšování bezpečnostního uvědomění uživatelů IS, zodpovídá za to, aby bezpečnostní politika byla součástí plánování v oblasti informatiky, navrhuje hlavní kroky vedoucí ke zvýšení bezpečnosti dat a prostředků v IS MěÚ, navrhuje specifické role a odpovědnosti v oblasti bezpečnosti IS v rámci celého úřadu, navrhuje metody a postupy v oblasti bezpečnosti IS MěÚ, zajišťuje, aby dodavatelé služeb IT dodržovali bezpečnostní politiku úřadu a ostatní relevantní vnitřní předpisy. Bezpečnostní politika IS MěÚ Blovice strana 5 (celkem 11)

6 4.3. Uživatelé IS MěÚ Blovice Uživatel IS je povinen: řídit se Provozním řádem IS MěÚ, používat svěřenou výpočetní techniku pouze k výkonu svého povolání, řídit se pokyny útvaru informatiky MěÚ, zabezpečit počítač proti přístupu všech neoprávněných osob, v případě pochybností o autenticitě svého uživatelského přístupového hesla změnit přístupové heslo, při odchodu z pracoviště zabezpečit řádné odstavení výpočetní techniky z provozu tak, aby jej nemohla použít nepovolaná osoba, dodržovat ustanovení zák. č.101/200 Sb., o ochraně osobních údajů. Uživateli IS je zakázáno: provádět technické zásahy do prostředků výpočetní techniky a ostatních zařízení s touto technikou souvisejících, jakýmkoliv způsobem měnit konfiguraci přiděleného počítače, 5. Základní postupy řízení bezpečnosti a postupy pro dosažení bezpečnostních cílů 5.1. Identifikace možných hrozeb a následků Na tomto místě jsou uvedeny možné hrozby, které mohou nepříznivě ovlivnit provoz IS. Úkolem bezpečnostní politiky je specifikace postupů, které tato rizika snižují na přijatelnou míru. Jsou to hrozby: přírodní nebo fyzické živelná pohroma, požár, zaplavení povodní či vodou z vodovodního potrubí, přerušení dodávky elektrické energie; technické poruchy hardware a sítě, nestandardní chování softwarových produktů, poškození nosiče dat, napadení virem; personální zneužití identity uživatele neoprávněnou osobou, vyzrazení osobních nebo citlivých dat, neoprávněná modifikace dat; Bezpečnostní politika IS MěÚ Blovice strana 6 (celkem 11)

7 ostatní krádež hardware nebo nosiče dat, průnik do IS zvenčí (hacking). Realizace některých hrozeb může mít pro město Blovice různé následky. Jedná se především o: nedodržení legislativních předpisů a nařízení, omezení provozu úřadu, finanční ztrátu různého rozsahu, ztrátu důležitých dat Bezpečnostní postupy a opatření Zajištění fyzické bezpečnosti V rámci zamezení nedovoleného přístupu do prostor úřadu je v budově instalováno elektronické zabezpečovací zařízení. Z důvodu zajištění fyzické bezpečnosti jsou některé prostory, ve kterých se nachází prostředky IS prohlášeny za neveřejné a vstup do nich je zejména cizím osobám povolen jen v doprovodu správce IS, popř. zástupce vedení úřadu. Jde především o prostory, ve kterých se nalézají síťové servery a centrální aktivní prvky kabelových rozvodů. Tyto prostory jsou vybaveny klimatizací. Všechna tato zařízení musí být provozována v souladu s doporučením výrobce. Do infrastruktury sítě jsou zabudovány takové síťové prvky, které dokáží zamezit neoprávněnému proniknutí do vnitřní sítě. Míra účinnosti závisí i na jejich umístění a vzájemném zapojení. Síťové servery jsou vybaveny systémem nepřetržitého napájení elektrickým proudem (UPS) poskytujícím dostatečný časový prostor pro zastavení provozovaných aplikací a operačních systémů v případě výpadku dodávky elektrické energie. V případě vedení kabeláže mimo prostory úřadu je nutné ji vést tak, aby byla dostatečně chráněna před vnějšími vlivy a byla dodržena všechna bezpečnostní opatření. Všechna výpočetní technika (až na výjimky dané charakterem výpočetní techniky) musí být používána pouze v prostorách úřadu. Výjimku tvoří např. notebooky, kiosky určené veřejnosti apod. Bezpečnostní politika IS MěÚ Blovice strana 7 (celkem 11)

8 Organizační a administrativní opatření Jsou jasně stanovena pravidla, kompetence a odpovědnosti v oblasti bezpečnosti IT a každý uživatel s nimi je seznámen. Jedná se o soubor interních směrnic obsahujících příslušná ustanovení se vztahem k IS spolu s odkazy na platné legislativní nařízení. Jsou to následující dokumenty: Pracovní řád MěÚ závazná interní směrnice obsahující ustanovení o povinnosti zachovávat mlčenlivost o citlivých informacích a osobních údajích. Provozní řád IS MěÚ BLOVICE popisuje a stanovuje základní všeobecná pravidla provozu IS formou vnitřní směrnice MěÚ, závazné pro všechny osoby s pracovním nebo obdobným poměrem k MěÚ BLOVICE. Porušení bezpečnostní politiky úřad definuje sankce pro zaměstnance, kteří poruší bezpečnostní politiku nebo bezpečnostní postupy a opatření definované úřadem. Řízení přístupu do IS uživatel má přístup pouze k takovému uživatelskému programovému vybavení a k takovým datům, na které má nárok podle vykonávané funkce. O přístupu k uživatelskému programovému vybavení rozhoduje vedoucí příslušného odboru podle vykonávaných úkolů a funkce jednotlivých uživatelů. Stanovení odpovědnosti za platnost dat v IS určení konkrétních osob, které jsou zodpovědné za udržování konkrétních dat v aktuálním stavu. Provádění osvěty v oblasti bezpečnosti základní pravidla bezpečného chování uživatele definuje Provozní řád IS MěÚ BLOVICE. Uživatelé jsou rovněž informováni o možných rizicích při zavádění nových agend a způsobů řešení jejich pracovních povinností. Jsou vyškoleni v základních bezpečnostních opatření (zacházení s médii, antivirová ochrana, postup při vzniknuvší komplikaci mající za následek ohrožení bezpečnosti IS apod.) Hlášení poruch a podezření na porušení bezpečnosti každý uživatel je povinen nahlásit jakékoliv i jen podezření na porušení bezpečnosti IS bezpečnostnímu správci. Dokumentace veškeré incidenty mající za následek porušení bezpečnosti IS musí být zdokumentovány. Za dokumentaci odpovídá bezpečnostní správce. Jedná se například o provozní deníky, evidenci poruch apod. Trvalá dostupnost kompetentních osob v případě nepřítomnosti kompetentních osob (bezpečnostní správce, správce IS, bezpečnostní komise, ) musí být k dispozici jejich zástupce, který v případě vzniklých komplikací bude schopen situaci řešit. Použití informačních technologií/ použití technických prostředků Řízení přístupu k IS bezpečné nastavení přístupu k datům, dostatečná délka hesel, zabezpečení prostředků výpočetní techniky při odchodu z pracoviště apod. Bezpečnostní politika IS MěÚ Blovice strana 8 (celkem 11)

9 Důsledné používání administračních prostředků (modulů) provozovaných operačních systémů a softwarových produktů, pokud jsou jejich součástí. Pro autentifikaci uživatele k IS je používáno jednoznačné uživatelské jméno a heslo, které je uživatel povinen držet v tajnosti. Používání antivirových programů, jejich nastavení v maximální únosné míře (elektronická pošta, Internet, antivirová kontrola cizích médii, ) a pravidelná aktualizace. Používání prostředků k šifrování dat slouží především pro ochranu přenášených dat při komunikaci prostřednictvím sítě Internet. Maximální možné monitorování všech dostupných parametrů bezpečnosti IS, pokud možno co nejvíc zautomatizované zaznamenávání provozu serverů, monitorování přístupů na Internet, fyzických přístupů do neveřejných prostor úřadu, kontrola komunikačních cest, evidence poruch, 5.3. Analýza rizik kritických aktiv Aktivum je cokoliv hodnotného pro úřad, co může být zmenšeno působením nějaké hrozby. Např. datové soubory, dokumentace, software, hardware, dodávka elektrické energie. Identifikace aktiv IS je klíčová pro jejich další ochranu. Pro analýzu rizik je nutné nejprve provést výčet aktiv, která se dělí na hmotná, nehmotná a služby. U každého aktiva je zároveň uveden odhad doby obnovy provozu po havárii (D dny, T týdny, M měsíce) a stanovena jeho informační hodnota (1 nízká, 2 střední, 3 vysoká). Hmotná aktiva název aktiva hodnota obnovitelnost síťové servery 3 T centrální prvky sítě 3 T infrastruktura sítě 3 D osobní počítače 2 D ostatní hardware 1 D Bezpečnostní politika IS MěÚ Blovice strana 9 (celkem 11)

10 Nehmotná aktiva název aktiva hodnota obnovitelnost operační systémy serverové 3 T operační systémy osobních počítačů 1 D MS Exchange 3 D MS SQL Server 3 D Symantec antivirus 3 D InterBase FB 2 D ASPI (ASPI Publishing) 3 D EPIS (GRAND) 1 D EVI/ESPI (Inisoft) 2 D Ovzduší SQL (Kvasar) 3 D Účetnictví (PVT) 3 D Rozpočet (PVT) 3 D KDF (PVT) 2 D Účetní výkaznictví (PVT) 2 D Pohledávky (PVT) 3 D e-spis (Exprit/ICZ) 3 D Misys (Geoing) 3 D Evidence majetku (Unicos) 3 D Mzdy (Unicos) 3 D Stavební a silniční úřad (VITA SW) 3 D Přestupky (VITA SW) 2 D Úřad územního plánování (VITA SW) 2 D Registr obyvatel (Geovap) 3 D Matrika (Geovap) 3 D Volby (Geovap) 2 D Bezpečnostní politika IS MěÚ Blovice strana 10 (celkem 11)

11 Tiskař (Geovap) 1 D Příjmové agendy (Geovap) 3 D Komunální odpad (Geovap) 2 D Evidence psů (Geovap) 2 D Evidence hrobů (Geovap) 1 D Evidence rybářských a mysliveckých lístků (YAMACO Software) 2 D Evidence myslivosti (YAMACO Software) 2 D Evidence zemědělských podnikatelů (PCHelp) 2 D Aktiva služeb název aktiva hodnota obnovitelnost připojení do sítě MPSV ČR 3 D připojení do sítě MV ČR 3 D připojení do sítě Internet 3 D komunikační kanál pro přímé bankovnictví 2 D Některá provozovaná aktiva jsou vzhledem k jejich informační hodnotě a době obnovitelnosti označena jako kritická. Tyto aktiva jsou v tabulkách zvýrazněna. Kritickým aktivům je zapotřebí věnovat zvýšenou pozornost s důrazem na snižování možných rizik ohrožení na co nejnižší míru. Kritická aktiva jsou ve velké míře závislá na externích zdrojích. Je proto nutné, aby dodavatelé těchto aktiv a souvisejících služeb byli smluvně zavázáni k servisním zásahům v určitých časových termínech. Bezpečnostní politika IS MěÚ Blovice strana 11 (celkem 11)