PRAVIDLA BEZPEČNOSTI PŘIPOJENÍ A VYUŽÍVÁNÍ SÍTĚ CESNET A INTERNET

Transkript

1 PRAVIDLA BEZPEČNOSTI PŘIPOJENÍ A VYUŽÍVÁNÍ SÍTĚ ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze

2 PRAVIDLA BEZPEČNOSTI ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 Účinnost od Klasifikace Interní Počet stran 10 Garant Šup Libor, Bc., bezpečnostní technik ICT Šup Libor, Bc., bezpečnostní technik ICT Hradecký Ondřej, Ing., vedoucí OIKT ČZU Kéri František, Ing., konzultant, ClarioNet, s.r.o. Zpracoval Vlček Peter, Ing., projektový manažer, ClarioNet, s.r.o. Novák Jan, vedoucí manažer, ClarioNet, s.r.o. Kadeřávková Pavla, Ing., supervisor, ClarioNet, s.r.o. Schválil Působnost Hron Jan, prof. Ing. DrSc., dr.h.c., rektor ČZU Všichni zaměstnanci ČZU, studenti ČZU. Dále zástupci externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

3 Registr změn Číslo změny Verze Účinnost od Popis změny Změnu provedl ClarioNet 2008, Česká zemědělská univerzita v Praze /10

4 Obsah 1. Úvod Působnost Východiska Úvodní ustanovení Všeobecná pravidla Role a odpovědnosti ve vztahu k PBP ČZU Pravidla řízení přístupu Nastavení přístupu k Internetu Omezení přístupu Modifikace a zrušení přístupu Pravidla řízení bezpečnosti Řízení rizik Ochrana proti útokům z Internetu Zvládání bezpečnostních incidentů Pravidla správy a kontroly provozu Závěrečná ustanovení ClarioNet 2008, Česká zemědělská univerzita v Praze /10

5 1. Úvod Vedení České zemědělské univerzity v Praze (dále ČZU) si uvědomuje důležitost zajištění bezpečnosti informačních systémů, informačních technologií a informací, které ČZU využívá pro naplnění svých cílů. Následující zásady, pravidla a odpovědnosti pro zajištění bezpečného připojení do sítě CESNET a celosvětové sítě Internet naplňují tento záměr. 2. Působnost Dokument Pravidla bezpečnosti připojení a využívání sítě CESNET a sítě Internet České zemědělské univerzity v Praze (dále PBP ČZU) definuje základní pravidla pro zajištění bezpečného připojení IS ČZU k síti CESNET a pravidla bezpečného využívání vybraných služeb a komunikačních protokolů sítě Internet. 3. Východiska Východiskem pro celkové postavení, působnost, tvorbu a strukturu PBP ČZU je norma: ČSN ISO/IEC ČSN ISO/IEC Úvodní ustanovení Pravidla bezpečnosti jsou platná pro všechny zaměstnance ČZU, studenty ČZU. Dále pro zástupce externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. Pravidla bezpečnosti uvedená v tomto dokumentu mohou být dále rozpracována v interních směrnicích fakult a dalších součástí univerzity. Takové směrnice jsou podřízeny tomuto řádu a navazujícím interním řídícím dokumentům vydaných rektorem ČZU. Pro zajištění trvalého rozvoje univerzity a jejich součástí je nezbytné udržovat bezpečnost univerzity minimálně na úrovni, která vylučuje nebo omezuje vliv zjištěných rizik na procesy ČZU. Cílem organizace bezpečnosti je vytvořit uvnitř univerzity takové vědomí potřeby bezpečnosti, které se stane neoddělitelnou součástí každodenního chodu univerzity a součástí celkové politiky a kultury akademického prostředí na ČZU. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

6 5. Všeobecná pravidla Připojení IS ČZU k síti Internet (díle jen Internet) je využíváno jednak pro výměnu datových souborů a elektronickou komunikaci ČZU s externími subjekty, které jsou připojeny k síti Internet. Dále je využíváno za účelem získávání i předávání informací, dokumentů a podkladů z nebo do různých veřejných i privátních informačních zdrojů Internetu, k prezentaci ČZU prostřednictvím provozování vlastních WWW stránek a pro uživatele Internetu. Stejně jako při zasílání elektronických zpráv mimo informační systém ČZU (do Internetu) musí uživatel i při využívání dalších komunikačních služeb a protokolů Internetu pro výměnu, prohlížení či kopírování datových souborů dbát na to, aby tímto způsobem nebyly ohroženy diskrétní, osobní nebo interní data. Pro účely publikování informací na WWW stránkách ČZU, by měla být věnována pozornost ochraně integrity elektronicky publikovaných informací tak, aby se zamezilo neautorizovaným změnám, které by mohly způsobit ztrátu dobré pověsti ČZU. Informace na veřejně přístupných systémech, např. informace na webových a FTP serverech, přístupné prostřednictvím Internetu, by měly odpovídat zákonům, pravidlům a omezením podle jurisdikce, ve které je systém umístěn. Pro zveřejnění informací by měly existovat formální schvalovací procesy. Přístup k Internetu nesmí být zneužit proti zájmům ČZU a České republiky, v rozporu s platnou legislativou, ani používán k soukromým podnikatelským aktivitám zaměstnanců a studentů. Dále je přísně zakázáno využívat připojení IS ČZU k celosvětové počítačové síti Internet k šíření jakýchkoliv pomlouvačných, urážlivých, obscénních či výhružných materiálů, k šíření násilí, rasizmu, nesnášenlivosti, fašismu, xenofobie, pornografie, k propagaci politických názorů, hnutí a skupin směřujících k potlačení práv a svobod občanů a k šíření reklamních zpráv. Používání přístupu k Internetu pro soukromé nekomerční účely je tolerováno v rozumné míře tak, aby toto používání nijak neovlivnilo pracovní výkonnost zaměstnanců, studijní povinnosti studentů, kapacitu přístupového komunikačního kanálu, případně funkčnost a výkonnost libovolné části IS ČZU. 6. Role a odpovědnosti ve vztahu k PBP ČZU Pravidlo oddělení klíčových rolí a odpovědností při návrhu, implementaci, provozu, kontrole a zlepšování připojení počítačové sítě ČZU k síti Internet je aplikováno dle požadavků Bezpečnostního řádu ČZU (Příloha č.1 Bezpečnostní politiky informací ČZU ) a dle požadavků Bezpečnostní politiky používání IS ČZU. Role Vedoucí OIKT ČZU Bezpečnostní manažer ČZU Odpovědnosti a povinnosti ve vztahu k elektronické poště Návrh, výběr, schválení, implementace a provoz IKT zajišťující funkčnost připojení počítačové sítě ČZU k síti Internet. Spolupráce při návrhu bezpečnostních opatření. Zajištění implementace a funkčnosti bezpečnostních opatření. Posouzení návrhu, implementace a provozu připojení počítačové sítě ČZU k síti Internet z hlediska identifikace potencionálních rizik. Návrh adekvátních bezpečnostních opatření a odpovědnost za kontrolu bezpečnostních opatření. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

7 Administrátor IS /Správce IS Bezpečnostní správce IS Bezpečnostní inspektor IS ČZU Vedoucí útvarů (rektorátu, fakult a dalších součástí ČZU) Uživatelé IS ČZU Instalace, konfigurace, údržba a zajištění provozu připojení počítačové sítě ČZU k síti Internet. Vyřizování schválených žádostí o přístup, změnu nastavení a zrušení přístupu uživatelů. Instalace, konfigurace, údržba a zajištění funkčnosti schválených bezpečnostních opatření. Kontrola instalace, nastavení a provozu bezpečnostních opatření připojení počítačové sítě ČZU k síti Internet. Ad-hoc kontrola bezpečnostních logů. Kontrola dodržování administrativních a organizačních bezpečnostních opatření a postupů. Schvalování žádostí pracovníků oddělení o přístup k připojení počítačové sítě ČZU k síti Internet, případně žádostí o změnu parametrů. Dodržování a plnění všech stanovených provozních bezpečnostních zásad, povinností a odpovědností. 7. Pravidla řízení přístupu Tato kapitola definuje pravidla pro řízení (přidělení/modifikaci/zrušení) přístupu uživatelů ke službám sítě Internet Nastavení přístupu k Internetu Přístup k Internetu je standardně nastaven všem uživatelům IS ČZU. Nastavení přístupu k Internetu musí být konsolidováno se zavedenou správou identit (Identity Management). Přístup k Internetu je přidělován v souladu s procesem centralizovaného řízení přístupu k IS ČZU (viz Pravidla řízení přístupu k IS ČZU ), na základě žádosti (viz formulář Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software ), kterou příslušný nadřízený pracovník předá OIKT ČZU. V případě zavedení správy identit (Identity management) lze tyto postupy vykonávat i automaticky Omezení přístupu Přístup ke službám sítě Internet je pro uživatele IS ČZU omezen z důvodu sdílené kapacity datového připojení k síti Internet s dalšími klíčovými komunikačními službami zajišťujícími provoz IS ČZU. Základní typy omezení přístupu ke službám sítě Internet: Povolení pouze vybraných typů služeb Omezení max. velikosti souborů ke stažení Přístup na stránky WWW (protokol http a https). Přístup k datovým souborům na například na serverech FTP (protokol FTP). Z důvodu zajištění propustnosti datového připojení k síti Internet může být omezena max. velikost souborů, které lze stáhnout (download). Aktuální velikost tohoto limitu stanoví a oznámí OIKT ČZU. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

8 Omezení typů souborů, které lze stáhnout Omezení vybraných adres FTP a WWW Z důvodů uvedených v předchozím bodě a z důvodu ochrany před malware jsou omezeny typy datových souborů, které lze stáhnout (download). Jedná se zejména o spustitelné soubory, archivy a multimediální soubory. Aktuální seznam typů datových souborů, které nelze z Internetu stahovat, stanoví a oznámí OIKT ČZU. Z důvodů uvedených v předcházejících bodech a z důvodu omezení nežádoucího využívání přístupu k Internetu může být zablokován přístup k některým informačním zdrojům Internetu, které stanoví a oznámí OIKT po konzultaci s bezpečnostním manažerem ČZU. 8. Modifikace a zrušení přístupu Uživatel IS ČZU může požádat o úpravu parametrů a změnu přístupových práv ke službám sítě Internet na základě žádosti (viz formulář Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software ), schválené nadřízeným pracovníkem, který formulář předá OIKT ČZU. Pokud bude žádost oprávněná a technicky realizovatelná, vyřídí OIKT žádost v nejbližším možném termínu. Zablokování a zrušení přístupu ke službám sítě Internet při odchodu zaměstnanců se vykoná na základě rozhodnutí personálního odboru ČZU, které musí být předáno na formuláři Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software OIKT ČZU v přiměřené době před plánovaným odchodem zaměstnance. V případě zavedení správy identit (Identity management) lze tyto postupy vykonávat i automaticky. 9. Pravidla řízení bezpečnosti Tato kapitola definuje pravidla pro řízení bezpečnostních rizik související s připojením počítačové sítě ČZU k celosvětové síti Internet Řízení rizik Vzhledem ke značným bezpečnostním rizikům, spojených s připojením IS ČZU k Internetu, musí být pravidelně (min. 1x za rok) prováděna analýza rizik, zaměřená na rozhraní IS ČZU - Internet, která by měla zahrnovat minimálně tato následující rizika: a) Zranitelnosti systémů a služeb ČZU, připojených k rozhraní ČZU - Internet ze strany neoprávněného přístupu, odposlechu, modifikace nebo odmítnutí služby. b) Zranitelnost systémů a služeb ČZU, připojených k rozhraní ČZU - Internet z hlediska automatizovaných i individuálních útoků, vedených z Internetu. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

9 c) Zranitelnost ze strany chyb, např. chybné směrování nebo odeslání na nesprávnou adresu vzhledem k obecné spolehlivosti a dostupnosti služby, stejně tak jako všeobecná spolehlivost a dostupnost služeb. Na základě periodicky prováděné analýzy rizik jsou definovány přiměřené požadavky na zajištění bezpečnosti připojení k síti Internet, na jejichž základě jsou vybírána ochranná opatření Ochrana proti útokům z Internetu Musí být udržován funkční a průběžně aktualizovaný vícestupňový systém ochrany proti automatizovaným i individuálním (ručně vedeným) cíleným útokům z Internetu. Odolnost IKT zařízení, systémů a služeb ČZU, které jsou umístěny v síťovém rozhraní ČZU - Internet proti útokům z Internetu, by měla být také pravidelně (min. 1x ročně) testována penetračním testováním a testováním zranitelností IKT Zvládání bezpečnostních incidentů Proces detekce, hlášení, analýzy a vyhodnocení bezpečnostních incidentů souvisejících s provozem připojení k síti Internet se řídí podle interního řídícího dokumentu o zvládání bezpečnostních incidentů. 10. Pravidla správy a kontroly provozu Pro zajištění funkčnosti a dostupnosti připojení k síti Internet je třeba vykonávat pravidelně a rutinně následující úkony: Opatření Plánování a řízení kapacit pro zajištění dostupnosti systému Testování odolnosti a zranitelností ICT proti útokům z Internetu Plánování a oznamování odstávek, off-line údržby Administrace opatření (Správce IS, Bezpečnostní správce IS, Administrátor IS) Omezení max.velikosti jedné zprávy elektronické pošty (včetně příloh) pro odesílání/příjem z/do Internetu. Kvóty jsou zveřejněny na stránkách Intranetu ČZU. Omezení stahování, odesílání i příjmu nežádoucích typů souborů, které mohou obsahovat spustitelné kódy a skripty, případně obsáhlé multimediální soubory. Monitoring zátěže WAN segmentu Internetu. Periodické provádění penetračních testů a testů zranitelností ICT zařízení, systémů a služeb ČZU z hlediska hrozby útoků z Internetu. Opakování testů zranitelností po závažných změnách pravidel zabezpečení. Všechny plánované odstávky v pracovní době (instalaci, přeinstalaci, aktualizaci a off-line údržbu) je třeba konzultovat s vedením ČZU a oznamovat uživatelům min. 3 dny předem. ClarioNet 2008, Česká zemědělská univerzita v Praze /10

10 Opatření Aktualizace seznamu zakázaných adres a typů souborů ke stažení Monitoring provozu pro zajištění dostupnosti a integrity dat. Vytváření log souborů a statistik provozu, využívání připojení k síti Internet Ochrana vzdáleného administrátorského přístupu Administrátorský deník a řízení změn konfigurace Administrace opatření (Správce IS, Bezpečnostní správce IS, Administrátor IS) Pravidelná manuální kontrola dostupnosti aktualizovaných seznamů zakázaných adres (Black-List) a jejich manuální instalace. Manuální aktualizace (dle potřeby) seznamu zakázaných typů souborů ke stažení. Sledování stavu systémových procesů na bezpečnostních branách (firewallech). Nastavení automatických upozornění při detekci nejznámějších typů útoků (port-scan, DoS, Buffer-Overflow, ) Přístup k službám Internetu a jejich využívání všemi uživateli jsou zaznamenány v logech souborů s těmito atributy: kdo, odkud, kam a jaký typ dat prohlížel a stahoval. Ze záznamů v log souborech jsou automatizovaně vytvářeny denní statistiky přístupu ke službám sítě Internet. ICT zařízení, systémy a služby ČZU, umístěné na rozhraní ČZU-Internet (DMZ zóny) musejí mít zabezpečeny porty pro vzdálený administrátorský přístup nastavením těchto parametrů: přístup pouze z vybraných interních IP adres, šifrovaná autentizace a přístup protokolem SSH, zakázán otevřený protokol SNMP). Vedení a průběžná aktualizace administrátorského deníku se záznamem těchto typů událostí: (instalace, záznam konfigurace, změny konfigurace, ruční spuštění a vypnutí systému, detekce provozní chyby a technického výpadku, postup odstranění chyby/výpadku). Provádění změn v nastavení zabezpečení připojení k síti Internet pouze na základě žádosti, se schválením vedoucího OIKT a bezpečnostního manažera ČZU. Evidence a uchování žádostí min. 1 rok. Realizaci a funkčnost uvedených technologických opatření namátkově kontroluje bezpečnostní manažer ČZU. Dodržování uvedených administrativních opatření (odpovědností, záznamů) kontroluje bezpečnostní inspektor IS ČZU. 11. Závěrečná ustanovení a) PBP ČZU nabývá platnosti dnem b) Případné výjimky z pravidel obsažených v tomto dokumentu musejí být s vysvětlením jejich opodstatnění předloženy ke schválení bezpečnostnímu manažerovi ČZU, který může pro jejich posouzení iniciovat proces analýzy rizik. Výjimka může být udělena jen v odůvodněných případech. Pokud jsou výjimky uděleny, musí být minimálně každých 6 měsíců přezkoumáno, zda nepominuly důvody pro jejich udělení a zda se nemění úroveň rizik. Neakceptovatelné zvýšení rizik je důvodem pro neudělení nebo zrušení výjimky. a) Změny uvedených pravidel budou prováděny na základě doporučení fóra pro bezpečnost informací ČZU a bezpečnostního manažera ČZU. ClarioNet 2008, Česká zemědělská univerzita v Praze /10