PRAVIDLA ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍMU SYSTÉMU

Transkript

1 K INFORMAČNÍMU SYSTÉMU ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze

2 K INFORMAČNÍMU SYSTÉMU ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 Účinnost od Klasifikace Interní Počet stran 11 Počet příloh 1 Garant Šup Libor, Bc., bezpečnostní technik ICT Šup Libor, Bc., bezpečnostní technik ICT Hradecký Ondřej, Ing., vedoucí OIKT ČZU Zpracoval Kéri František, Ing., konzultant, ClarioNet, s.r.o. Vlček Peter, Ing., projektový manažer, ClarioNet, s.r.o. Novák Jan, vedoucí manažer, ClarioNet, s.r.o. Kadeřávková Pavla, Ing., supervisor, ClarioNet, s.r.o. Schválil Působnost Hron Jan, prof. Ing. DrSc., dr.h.c., rektor ČZU Všichni zaměstnanci ČZU, studenti ČZU. Dále zástupci externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

3 Registr změn Číslo změny Verze Účinnost od Popis změny Změnu provedl ClarioNet 2008, Česká zemědělská univerzita v Praze /11

4 Obsah 1. Úvod Působnost Východiska Úvodní ustanovení Všeobecná pravidla Role a odpovědnosti v procesu řízení přístupu Společný proces řízení přístupu Monitorování a kontrola přístupu Odpovědnosti uživatelů Odpovědnost při práci s hesly Odpovědnost při práci se systémy IS Závěrečná ustanovení...11 ClarioNet 2008, Česká zemědělská univerzita v Praze /11

5 1. Úvod Vedení České zemědělské univerzity v Praze (dále ČZU) si uvědomuje důležitost zajištění bezpečnosti informačních systémů, informačních technologií a informací, které ČZU využívá pro naplnění svých cílů. Následující zásady, pravidla a odpovědnosti pro zajištění bezpečného přístupu k IS ČZU naplňují tento záměr. 2. Působnost Dokument Pravidla řízení přístupu k informačnímu systému České zemědělské univerzity v Praze (dále PŘPIS ČZU) definuje základní pravidla pro centralizované řízení přístupu uživatelů k informačním aktivům ČZU, zejména aplikacím, službám a datům IS ČZU. 3. Východiska Východiskem pro celkové postavení, působnost, tvorbu a strukturu PŘPIS ČZU je norma: ČSN ISO/IEC ČSN ISO/IEC Úvodní ustanovení Pravidla bezpečnosti jsou platná pro všechny zaměstnance ČZU, studenty ČZU. Dále pro zástupce externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. Pravidla bezpečnosti uvedená v tomto dokumentu mohou být dále rozpracována v interních směrnicích fakult a dalších součástí univerzity. Takové směrnice jsou podřízeny tomuto řádu a navazujícím interním řídícím dokumentům vydaných rektorem ČZU. Pro zajištění trvalého rozvoje univerzity a jejich součástí je nezbytné udržovat bezpečnost univerzity minimálně na úrovni, která vylučuje nebo omezuje vliv zjištěných rizik na procesy ČZU. Cílem organizace bezpečnosti je vytvořit uvnitř univerzity takové vědomí potřeby bezpečnosti, které se stane neoddělitelnou součástí každodenního chodu univerzity a součástí celkové politiky a kultury akademického prostředí na ČZU. 5. Všeobecná pravidla Přístup ke všem informačním zdrojům a aktivům univerzity má být řízen centrálně, jednotným, rámcovým, společným postupem. Pro specifické typy aktiv je možné tento společný rámcový proces detailněji upravit, s podmínkou zachování těchto společných principů: ClarioNet 2008, Česká zemědělská univerzita v Praze /11

6 a) Přístup k počítačovým službám, aplikacím a datům, tj. aktivům IS ČZU musí být řízen na základě definovaných pravidel. b) Přístup k aktivům IS ČZU musí být přidělován na základě provozních požadavků procesů a odpovědnostních rolí za jednotlivé činnosti procesů dle principu přístup pouze tam, kde je výslovně třeba. c) Každý uživatel IS ČZU se hlásí ke zdrojům a aktivům IS ČZU (autentizuje je) na základě svého vlastního uživatelského účtu nebo i specifické identity, které jsou v jednotlivých subsystémech a aplikacích IS ČZU přiřazeny specifické role dle uživatelovy pracovní náplně. Těmto rolím jsou přiřazeny předdefinované sady oprávnění (přístupových práv) dle odpovědností a činností role v daném subsystému nebo aplikaci IS ČZU. Tato přístupová práva jednotlivých rolí jsou v aplikaci přiřazena na základě činností a odpovědností těchto rolí v procesech ČZU, které daná aplikace podporuje a zajišťuje. Uvedený postup je podporován systémem správy identit (Identity Management). d) Přístup k aktivům IS ČZU může být nastaven (realizován) pouze na základě příslušné žádosti, která splňuje všechny formální náležitosti a je řádně schválena odpovědnými osobami (dle typu IS). e) Musí být zajištěna evidence písemných a jejich uchování po dobu nejméně 3 let. f) Musí existovat formální postup pro zablokování a zrušení přístupových oprávnění a uživatelských účtů při odchodu zaměstnance, studenta a externího dodavatele. g) Pro přístup k interním (neveřejným) zdrojům a aktivům IS ČZU nesmí být využíváno skupinového uživatelského účtu. h) Přidělování privilegovaných oprávnění musí být řízeno a omezováno, a to pouze na nezbytně nutnou míru, která je nutná pro provoz systému. Oprávnění pracovníci (např. správci IS) nesmí využívat účty s privilegovanými oprávněními pro běžnou práci. 6. Role a odpovědnosti v procesu řízení přístupu Následující role systému řízení bezpečnosti informací ČZU jsou přímými účastníky procesu řízení přístupu k IS, v rámci kterého mají přiřazeny specifické činnosti a odpovědnosti. Role Administrátor OS, SW, DB, sítě (souhrnně Administrátoři IS ) Bezpečnostní inspektor IS ČZU Odpovědnosti Administrace přístupových práv rolím a uživatelským účtům dle schválených žádostí vedoucích/garantů/projektových manažerů a dodavatelů v závislosti na použitém podprocesu řízení přístupu. Zablokování a přesměrování přístupových práv odcházejících zaměstnanců na jiné osoby dle pokynů vedoucích oddělení. Kontrola dodržování formálních administrativních kroků a postupů. Kontrola existence záznamů (formulářů) a dodržování směrnic a souvisejících organizačních bezpečnostních opatření a postupů. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

7 Bezpečnostní manažer ČZU Bezpečnostní správce IS Garant/Vlastník informací a dat (procesů a modulů IS) Projektový manažer projektů IS (dále projektový manažer IS) Fórum pro bezpečnost informací ČZU Uživatelé IS ČZU Vedoucí odd./odborů/kateder a jiní vedoucí Vedoucí OIKT ČZU Vývojář a dodavatelé aplikací Posouzení návrhu, implementace a provozu bezpečnostních systémů. Návrh adekvátních bezpečnostních opatření a odpovědnost za kontrolu bezpečnostních opatření. Instalace, konfigurace, údržba a zajištění funkčnosti schválených bezpečnostních opatření. Kontrola instalace, nastavení a provozu bezpečnostních opatření. Ad-hoc kontrola bezpečnostních logů. Odpovídá za zpracování konkrétního informačního aktiva. Předmětem činnosti této role je řízení adekvátního zabezpečení zpracování svěřeného informačního aktiva a dohlížení na něj tak, aby bylo minimalizováno riziko ztráty, prozrazení, změny, poškození a zneužití informačních aktiv. Koordinace činností projektového týmu ČZU při vývoji a implementaci nových projektů (aplikací, služeb a subsystémů) ve spolupráci s projektovým týmem dodavatele. Předávání informací mezi garanty informací a dat, administrátory IS a projektovým týmem dodavatele z hlediska správné specifikace požadavků, rolí, oprávnění a implementace jednotného procesu řízení přístupu v probíhajících projektech IS. Posouzení a schválení změn bezpečnostní politiky a hlavních odpovědností. Dodržování a plnění všech stanovených provozních bezpečnostních zásad, povinností, a odpovědností. Schvalování a podávání žádostí o založení, změnu a zrušení uživatele a jeho oprávnění v IS ČZU. Pokyny administrátorům IS k přesměrování přístupových práv k elektronické poště, datům a souborům odcházejících zaměstnanců na jiné pracovníky oddělení. Schvalování požadavků na založení, změnu a zrušení uživatele a jeho oprávnění v IS ČZU. Delegování vybraných podřízených pracovníků do role garanta informací a dat pro jednotlivé procesy ČZU v působnosti svého odd./odboru. Návrh, výběr, schválení, implementace a provoz IT zajišťující funkčnost IS ČZU. Spolupráce při návrhu bezpečnostních opatření. Zajištění implementace a funkčnosti bezpečnostních opatření. Návrh, vývoj a implementace aplikací, služeb a subsystémů IS ČZU, které zajišťují funkčnost a podporu procesů ČZU. Implementace principů řízení přístupu a administrace rolí, oprávnění a transakcí procesů ČZU v modulech aplikací, služeb a subsystémů IS, dle požadavků projektových manažerů IS a garantů informací a dat. Další upřesnění participace a odpovědnosti uvedených rolí procesu řízení přístupu k IS je uvedeno v následujících kapitolách, které popisují jednotlivé podprocesy řízení přístupu. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

8 7. Společný proces řízení přístupu Tato kapitola definuje jednotný rámcový proces pro řízení (přidělení/modifikaci/zrušení) přístupových práv (oprávnění) rolí a uživatelských účtů ke všem aplikacím, službám, subsystémům a datovým aktivům IS ČZU. Tento společný proces řízení přístupu se skládá ze 4 základních podprocesů: Název podprocesu řízení přístupu k IS Administrace rolí a oprávnění v IS po změně procesu ČZU Administrace rolí a oprávnění v IS po změně funkce systému IS (aplikace/služby/ pod ) Administrace uživatelského účtu a jeho přiřazení k rolím a oprávněním v IS Blokace uživatelského účtu v IS při odchodu zaměstnance Popis účelu podprocesu Odkaz na interní formulář Postup administrace změny v nastavení Požadavek na založení, oprávnění uživatelské role, případně změnu a zrušení založení nové role v systému IS uživatele v informačním v důsledku změn odpovědností a činností systému ČZU a/nebo funkčních míst v procesu ČZU. jeho oprávnění Proces startuje zpravidla garant informací k aplikačnímu software. a dat za příslušný proces, v němž došlo ke změně. Postup administrace změny v nastavení oprávnění uživatelské role, případně založení nové role v systému IS v důsledku změn odpovědností a činností rolí ve funkcionalitě systému IS. Proces startuje zpravidla dodavatel IS nebo projektový manažer IS Postup administrace uživatelských účtů (založení, modifikace, zablokování a zrušení) pomocí přiřazení oprávnění dle funkcionality již nastavených rolí v systémech IS při nástupu nového zaměstnance nebo při jeho převodu na jiné zařazení nebo při dočasném zástupu jiným zaměstnancem. Proces startuje zpravidla vedoucí oddělení dotyčného zaměstnance. Postup zablokování, dočasného převodu a následného zrušení přístupových oprávnění uživatelského účtu do systému IS při odchodu zaměstnance. Proces startuje zpravidla personální odbor nebo vedoucí oddělení dotyčného zaměstnance. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

9 8. Monitorování a kontrola přístupu Jednotlivé systémy IS ČZU musí být monitorovány prostřednictvím zaznamenávání systémových a bezpečnostně-relevantních událostí, které nastavují dodavatelé a administrátoři IS ve spolupráci s bezpečnostními správci IS a bezpečnostním manažerem ČZU. Veškeré tyto postupy musí zachovávat zákonné normy ČR. Uživatel je povinen umožnit kontrolu zařízení. Nesmí vytvářet nebo pozměňovat data s cílem ovlivnit (mást) kontrolu oprávněnosti použití počítačových programů. Není povoleno jakkoli bránit v kontrole (ať už je prováděna osobně nebo pomocí příslušného programu na dálku) vybavení ČZU. Návrh na monitoring přístupu k datům a službám IS předkládá projektový manažer IS (dle doporučeného řešení dodavatele IS nebo administrátora IS) bezpečnostnímu manažerovi ČZU k posouzení. Ten na základě odhadu/analýzy rizik navrhne závazný rozsah logování a monitorování přístupu s použitím vybraných typů záznamů z uvedené nabídky: a) Pokusy o neautorizovaný přístup, včetně informací jako: Uživatelské ID. Datum a čas klíčových událostí. Druh událostí. Soubory, ke kterým bylo přistupováno. Použité programy/nástroje. Narušení přístupové politiky a upozornění od síťových bran a firewallů. Varování speciálních systémů pro detekci průniků. b) Použití privilegovaných operací, jako: Použití účtu administrátora. Spuštění a ukončení systému / služeb IS. Připojení a odpojení vstupně-výstupních zařízení. c) Systémová varování nebo chyby, jako: Zprávy nebo varování z konzole. Výjimky v systémových záznamech. Alarmy správy systémových služeb (procesů). Alarmy správy sítě. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

10 Tyto záznamy jsou v pravidelných intervalech kontrolovány administrátory IS z hlediska zajištění a kontroly funkčnosti systémů IS. Výsledky kontrol předává administrátor IS bezpečnostnímu manažerovi ČZU, který provádí jejich vyhodnocení a závěry předkládá k projednání řídícímu fóru pro bezpečnost informací ČZU. Cílem je detekovat a vyhodnocovat případy neoprávněných činností a přístupů k informacím a souvisejícím aktivům ČZU. 9. Odpovědnosti uživatelů Základní a prioritní povinností koncových uživatelů je dodržování a plnění všech stanovených bezpečnostních zásad, povinností, a odpovědností. Mezi nejdůležitější odpovědnosti uživatelů patří odpovědnosti za manipulaci a práci s hesly a klíčové povinnosti při práci se systémy IS ČZU. Pro získání přístupu k aplikacím a službám IS by měli uživatelé absolvovat všechna školení předepsaná personálním odborem ČZU ve spolupráci s OIKT ČZU Odpovědnost při práci s hesly Uživatelé musí dodržovat následující nejdůležitější povinnosti při práci s hesly: a) Hesla nesmí být jakýmkoliv způsobem sdělena jiné osobě. b) Hesla nesmí být nikde poznamenána a musí se udržovat v tajnosti. c) Nesmí být jakkoliv umožněno jiné osobě seznámit se s heslem. d) Jako hesla nesmí být použita jména blízkých osob, zvířat a další slova, která mohou být odhadnuta ze znalosti držitele hesla nebo neobsahovalo po sobě jdoucí stejné. e) Heslo musí být dostatečně silné, tak aby se nedalo jednoduše strojově nebo ručně prolomit (kombinace velkých a malých písmen a číslic, délka alespoň 6 znaků) a mělo by být pravidelně měněno v závislosti rizicích spojených s prolomením. f) Hesla nesmí být zaznamenána na papíře nebo v obdobné podobě (výjimku tvoří bezpečné uložení administrátorských hesel pro případ havárií). g) Hesla se musí změnit v případě jakéhokoliv náznaku možného kompromitování systému nebo hesla. h) Uživatel IS ČZU změní dočasná hesla při prvním přihlášení. Uživatel nese zodpovědnost za prozrazení jeho hesla a následné zneužití svého účtu v rámci ČZU. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

11 9. 2. Odpovědnost při práci se systémy IS Uživatelé musí dodržovat následující nejdůležitější povinnosti při práci se systémy IS. a) Nutno hlásit jakékoliv nestandardní chování a podezření na bezpečnostní incidenty. b) Varování o nesprávném certifikátu. c) Nepřihlašovat se při nezvyklém chování systému. d) Důsledná politika prázdného stolu. e) Povinné používání spořiče obrazovek s heslem (maximálně 15 minut). f) Uživatel musí používat výhradně svůj přihlašovací (uživatelský) účet. g) Při opuštění na kratší dobu uzamknout stanici. h) Při opuštění pracoviště se odhlásit se ze systému. i) Vytištěné klasifikované dokumenty nesmí být ponechány na tiskárně ani na jiném přístupném místě. Uživatel je odpovědný Neplnění výše uvedených povinností a odpovědností může být považováno za neplnění základních povinností zaměstnance směrem k zaměstnavateli a může vést k disciplinárnímu řízení, finančním postihům a v konečném důsledku i k rozvázání pracovního poměru. 10. Závěrečná ustanovení a) PŘPIS ČZU nabývá platnosti dnem b) Případné výjimky z pravidel obsažených v tomto dokumentu musejí být s vysvětlením jejich opodstatnění předloženy ke schválení bezpečnostnímu manažerovi ČZU, který může pro jejich posouzení iniciovat proces analýzy rizik. Výjimka může být udělena jen v odůvodněných případech. Pokud jsou výjimky uděleny, musí být minimálně každých 6 měsíců přezkoumáno, zda nepominuly důvody pro jejich udělení a zda se nemění úroveň rizik. Neakceptovatelné zvýšení rizik je důvodem pro neudělení nebo zrušení výjimky. a) Změny uvedených pravidel budou prováděny na základě doporučení fóra pro bezpečnost informací ČZU a bezpečnostního manažera ČZU Přílohy Příloha 1: Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. ClarioNet 2008, Česká zemědělská univerzita v Praze /11

12 Požadavek na založení, změnu a zrušení uživatele v IS ČZU a/nebo jeho oprávnění k aplikačnímu software POŽADAVEK NA ZALOŽENÍ, ZMĚNU A ZRUŠENÍ UŽIVATELE V INFORMAČNÍM SYSTÉMU ČZU A/NEBO JEHO OPRÁVNĚNÍ K APLIKAČNÍMU SOFTWARE PŘÍLOHA Č. 1 K INFORMAČNÍMU SYSTÉMU ČZU Specifikace Název aplikačního software / IS: Příjmení, jméno, tituly: Osobní číslo: Číslo útvaru a název: Funkce: Telefon / Popis požadavku: (založení, změna, výmaz, blokování uživatele, rozsah oprávnění, přístup na tiskárny, platnost a.j.) Zaměstnanec se seznámil s příkazem dokumentem - Pravidla řízení přístupu k informačnímu systému ČZU a bude ho dodržovat. Datum: Podpis zaměstnance: Návrh zadal: (vedoucí odboru, vedoucí katedry, děkan apod.) Datum: Jméno, podpis: Schválil: (pověřený zaměstnanec OIKT ČZU) Datum: Jméno, podpis: Provedl: (pověřený zaměstnanec OIKT ČZU nebo správce IS) Datum: Jméno, podpis: