Směrnice rektorky SR 05/2015

Transkript

1 SR 05/2015 Strana č. 1 z 23 Směrnice rektorky SR 05/2015 IT Garant předpisu: Schválil(a): Jméno: Ing. Milan Hála Ing. Lucie Marková, Ph.D. Funkce: kvestor rektorka Datum: Podpis: Ing. Milan Hála, v. r. Ing. Lucie Marková, Ph.D., v. r. Platnost od: Platnost do: odvolání Účinnost od: Účinnost do: odvolání Řízená kopie č.: razítko Není-li výtisk tohoto předpisu na první straně opatřen originálem razítka SVŠES a podpisem správce předpisu, není řízeným předpisem. 1

2 SR 05/2015 Strana č. 1 z 23 ČÁST PRVNÍ Úvodní ustanovení Čl. 1 Tato je základní směrnicí pro zabezpečení informačních technologií SVŠES. Stanovuje zásady a postupy, které jsou závazné pro všechny osoby využívající zdroje IT nabízené SVŠES a určuje základní pravidla, která mohou být rozpracována podle konkrétních potřeb. ČÁST DRUHÁ Cíle a rozsah použití Bezpečnostní politiky Čl. 2 (1) Účelem bezpečnostní politiky je udržet a zdokonalit zabezpečení počítačových systémů, aplikací a dat uvnitř SVŠES. Tato směrnice se vztahuje na všechny studenty a pracovníky SVŠES a také na osoby, které mají oprávnění nebo povinnost přistupovat ke zdrojům dostupným v síti SVŠES a je pro ně závazná. (2) Zásady stanovené touto politikou tvoří základ pro pravidla, která musí být vytvářena pro jednotlivá pracoviště i osoby využívající nabízené zdroje. Cílem je vytvořit komplexní zabezpečenou infrastrukturu IT. (3) Dodržování zásad stanovených touto směrnicí je pravidelně, nejméně jednou ročně kontrolováno a vyhodnocováno. Průběžná aktualizace a zdokonalování pravidel bude prováděna na základě vyhodnocených skutečností ČÁST TŘETÍ Požadavky na bezpečnost Čl. 3 Zavedením a dodržováním základních požadavků stanovených touto směrnicí se vytvoří základní úroveň bezpečnosti, která umožní společnou práci v atmosféře důvěry. 1

3 SR 05/2015 Strana č. 2 z 23 Čl. 4 Stanovení požadavků na bezpečnost (1) Jednotlivé organizační útvary SVŠES dané její organizační strukturou musí provést zatřídění požadavků na zabezpečení dat a IT komponent jimi spravovaných do skupin "nízké", "střední" a "vysoké". Taková kategorizace usnadní jednotné hodnocení v rámci celé školy. (2) Zatřídění provádí vedoucí konkrétního pracoviště ve spolupráci s pracovníkem správy sítě. (3) Za citlivá data nebo IT komponenty jsou považována data nebo IT komponenty, pro něž byla potřeba ochrany klasifikována jako "střední " nebo "vysoká". Pro všechna citlivá data musí být provedena analýza rizik. (4) Pro jednotlivé dílčí požadavky zabezpečení dané touto směrnicí jsou vytvářeny bezpečnostní standardy. Bezpečnostní standardy schvaluje vedoucí oddělení ICT. Čl. 5 Kategorizace software a IT komponent (1) Software se v prostředí SVŠES dělí z hlediska využití na následující skupiny: pro zajištění výuky, pro zajištění provozu školy, pro zajištění konektivity do internetu nebo jiných sítí, ostatní. (2) U ostatního software je potřeba ochrany stanovena obecně jako nízká, u ostatních jako vysoká. (3) Data, vytvářená, zpracovávaná a uchovávaná na IT komponentech jsou osobní údaje pracovníků potřeba ochrany vysoká, osobní údaje studentů potřeba ochrany vysoká, osobní údaje účastníků CŽV potřeba ochrany vysoká, osobní údaje ostatní potřeba ochrany vysoká, hospodářské a účetní údaje potřeba ochrany vysoká, ostatní provozní data potřeba ochrany střední, data učitelů pro výuku potřeba ochrany střední, data studentů pro výuku potřeba ochrany střední, soukromá data učitelů potřeba ochrany nízká, soukromá data studentů potřeba ochrany nízká. u jiných skupin dat se postupuje podle předchozích odstavců. 2

4 SR 05/2015 Strana č. 3 z 23 (4) Pro IT komponenty se stupně ochrany obecně stanoví takto: tvořící infrastrukturu sítě potřeba ochrany vysoká, servery potřeba ochrany vysoká, PC v laboratořích IT potřeba ochrany střední, PC v pracovnách učitelů potřeba ochrany nízká, PC v úseku kvestora potřeba ochrany vysoká, PC v provozních úsecích potřeba ochrany střední, ostatní, zde neuvedené potřeba ochrany nízká. ČÁST ČTVRTÁ Pravidla pro správu sítě Čl. 6 (1) Základním úkolem správy sítě je zabezpečit její bezporuchový chod tak, aby mohly být plněny úkoly vyplývající z poslání školy. Kromě organizačních opatření musí implementovat nejmodernější technologie a následně tyto technologie provozovat a udržovat. (2) Za provoz správy sítě odpovídá pracovník pověřený rektorem. (3) Pověřený pracovník (správce sítě) může pověřit další pracovníky jednotlivými úkoly při zabezpečení správy sítě (dále jen pracovníci správy sítě ). (4) Topologie sítě a základní technická pravidla pro zabezpečení jsou součástí příslušného bezpečnostního standardu. Čl. 7 Zabezpečení fyzického přístupu, instalace IT komponent a software (1) Při správě sítě musí být dodržena následující pravidla: servery musí být zabezpečeny proti fyzickému přístupu neoprávněných osob, přístup do místností se servery musí být regulován, citlivá data uložená na souborových serverech musí být šifrována, aktivní prvky musí být umístěny v uzamykatelných prostorech (lze je umístit i v pracovnách učitelů, naopak nepřípustné je jejich umístění v učebnách), vždy musí být k dispozici záložní zařízení tak, aby byla činnost sítě 100% zajištěna, veškerá kabeláž musí být řádně dokumentována a pravidelně kontrolována, pokud jsou instalovány síťové zásuvky ve veřejně přístupných místnostech 3

5 SR 05/2015 Strana č. 4 z 23 (učebny, zasedací místnosti ap.) musí být neaktivní a aktivovat je může pouze pracovník správy sítě na žádost oprávněné osoby a jen na nezbytně nutnou dobu, média se zálohami citlivých dat musí být uložena na bezpečném místě a přístup k nim musí být regulován. (2) Při instalování IT komponent musí být dodržena minimálně tato pravidla použité IT komponenty musí vyhovovat beze zbytku požadované činnosti, vedení kabeláže musí být řádně zdokumentováno, jednotlivé kabely musí být na plánech jednoznačně identifikovatelné, stejně tak musí být označeny i jednotlivé kabely, IT komponenty musí být pořizovány a instalovány tak, aby pro každou se stupněm bezpečnosti střední a vysoký byla k dispozici komponenta záložní, IT komponenty by měly být (je-li to potřebné z hlediska funkčního i ekonomického) jištěny nepřerušitelným zdrojem napájení; u serverů je použití UPS nezbytné, na aktivních prvcích musí být označeny jednotlivé porty tak, aby bylo možno okamžitě zjistit připojenou IT komponentu, pokud je třeba zajistit nepřerušovaný provoz IT komponenty, musí být osoba odpovídající za její činnost proškolena pracovníkem správy sítě, osoby odpovědné za činnost IT komponent musí být proškoleny i v oblasti bezpečnosti a ochrany zdraví při práci; zejména pak ochrany před úrazem elektrickým proudem a protipožární bezpečnosti v tom spolupracují pracovníci správy sítě s bezpečnostním technikem školy. (3) Při instalování software musí být dodrženy alespoň následující zásady: instalovat software smí jen pracovníci správy sítě nebo jimi pověřené osoby, instalovat lze jen software, pro který má škola licenci, zvláštní opatrnost je třeba při instalování nekomerčního software, zejména pak freeware a shareware, po instalování nového software je vhodné ověřit funkčnost dříve instalovaného software, operační systémy na počítačích ve škole je třeba pravidelně aktualizovat bezpečnostními záplatami pokud možno v automatickém režimu (např. Windows update ). pokud zanikne licence (oprávnění) k použití příslušného software je třeba všechny jeho instance odstranit z celého systému 4

6 SR 05/2015 Strana č. 5 z 23 Postupy pro přihlašování a řízení přístupu Čl. 8 Autentizace a přihlášení (1) Všechny IT komponenty musí být před předáním uživatelům nastaveny tak, aby vyhovovaly této směrnici. Pokud je to možné, musí být nakonfigurovány tak, aby běžný uživatel nemohl konfiguraci změnit. (2) Je nepřípustné, aby byl vytvořen uživatelský účet, který nebude zabezpečen heslem. Pověřený pracovník správy sítě bude pravidelně kontrolovat, zde je toto nařízení dodržováno. Pokud zjistí, že účet nemá stanoveno heslo, heslo nastaví a oznámí to vlastníkovi tohoto účtu. (2) Všechna výchozí hesla by měla být změněna uživatelem podle zásad pro vytváření hesel. (3) Získání a ztráta oprávnění pro přístup: u zaměstnance sdělí správci sítě datum pro zisk oprávnění (nebo jeho zánik) odpovědný pracovník za personální politiku, u studenta sděluje tyto informace studijní oddělení, v ostatních případech sděluje tyto informace vedoucí organizačního útvaru, který přístup požaduje (např. studijní oddělení v případě celoživotního vzdělávání). (4) Vznik oprávnění nebo jeho zánik musí být pracovníkem správy sítě zabezpečen nejpozději druhý pracovní den po stanoveném datu, není-li to možné již dříve. Čl. 9 Přístupová práva (1) Přístupová práva k datům nebo k IT komponentům jsou udělována na žádost, a to pouze v rozsahu stanoveném pro vykonávanou činnost. Měnit práva mohou pouze pracovníci správy sítě. (2) Přístupová práva u studentů, účastníků celoživotního vzdělávání a dalších osob, které potřebují přistupovat k prostředkům v lokální síti, jsou přidělována bez žádosti při vytváření uživatelského účtu podle typu osoby (student, CŽV,...). Pokud bude třeba pro účely výuky tato oprávnění rozšířit, provedou to pracovníci správy sítě na žádost příslušného akademického pracovníka. (2) Musí být zabezpečeno, aby jednotliví uživatelé nemohli měnit práva sobě, ani nikomu jinému. 5

7 SR 05/2015 Strana č. 6 z 23 Čl. 10 Povinnost dohledu nad externími osobami (1) Pokud musí k IT komponentům přistupovat externí osoby (návštěvy či pracovníci provádějící údržbu) nesmějí pracovat bez dohledu. Pokud není možné se práci bez dohledu vyhnout, měla by být taková práce náhodně kontrolována. (2) Pokud je třeba pro práci bez dohledu sdělit externí osobě přístupové heslo, musí být jednorázové a musí být po odchodu této osoby odstraněno ze systému. (3) Je nepřijatelné, aby externí osoby měly přístup k heslům umožňujícím správu sítě. (4) Pokud bude správa sítě outsourcingována, musí být smluvně zabezpečena odpovědnost pracovníků dodavatelské organizace. (6) Pokud se v prostoru školy pohybují externí osoby, které nemají mít přístup k IT komponentám, je třeba jim v tomto přístupu zabránit organizačními nebo technickými opatřeními (uzamčení místností, odstranění IT komponent, odpojení od sítě ap.) Čl. 11 Bezpečnostní školení (1) Pracovníci správy sítě musí být obzvláště důvěryhodní. Je zapotřebí věnovat velkou pozornost jejich náboru a přidělování jejich odpovědností. Kromě toho musí být každý zaměstnanec správy před zahájením práce prokazatelně poučen a vyškolen. (2) Pracovníci správy sítě musí sledovat současné trendy v oblasti zabezpečení počítačových systémů a jejich možných ohrožení. Získané poznatky musí průběžně aplikovat při zajišťování bezpečnosti jim svěřených IT komponent. (3) Pracovníci správy sítě zabezpečují proškolení ostatních zaměstnanců, studentů a dalších uživatelů informačního systémů a prostředků IT. 6

8 SR 05/2015 Strana č. 7 z 23 Předpisy pro přístup k internetu Čl. 12 (1) Nastavení přístupu k internetu zabezpečuje pracovník správy sítě a je naprosto nepřípustné, aby kdokoliv jiný měnil nastavené konfigurace. (2) Interní síť musí být od internetu oddělena firewallem. (3) Tento firewall musí zabezpečit alespoň následující funkce: musí zajistit ochranu sítě před neoprávněným přístupem zvenčí, interní síť musí být při pohledu z internetu skryta překladem adres, firewall musí vykonávat funkce PROXY, jiný, než povolený provoz musí být znemožněn, provoz by měl být kontrolován na škodlivý kód, jsou povoleny pouze potřebné služby HTTP, POP3, SMTP, DNS, ostatní pouze na žádost uživatele v oprávněných případech, pracovníkům správy sítě může být povolen přístup pro dálkovou správu sítě. (4) Pro povolené protokoly by měly být nastaveny alespoň následující opatření: SMTP (Simple Mail Transfer Protocol) povolení jen pro stanovený rozsah vnitřních adres sítě, zabránit vnějším počítačům ve využití SMTP služeb, kontrola ů na obsah škodlivého kódu, použít filtr na ochranu proti nevyžádané poště. POP3 (Post Office Protocol 3) použít filtr na ochranu proti nevyžádané poště, kontrola ů na obsah škodlivého kódu. DNS (Domain Name System) filtrování DNS, pravidelné kontroly poskytovaných DNS informací. HTTP (Hyper Text Transfer Protocol) filtrování HTTP pouze v případě narušování pracovní nebo studijní kázně, kontroly přenášených dat na škodlivý kód, použití šifrování pro citlivá data, pravidelné kontroly vlastních webových stránek proti neoprávněným změnám. 7

9 SR 05/2015 Strana č. 8 z 23 (5) Vzdálený přístup k systému mimo protokol HTTP (web, intranet) je umožněn pouze pracovníkům správy sítě. Přístup pro externí osoby je vyloučen. (6) Podrobnosti o zabezpečení přístupu na internet jsou součástí příslušného bezpečnostního standardu. Preventivní opatření pro havarijní situace Čl. 13 Havárie (1) Jako havarijní případy definujeme stav, kdy IT komponenty nejsou schopny zajišťovat požadovanou službu. O vážnou havárii jde při bezpečnostních incidentech většího rozsahu, při nichž dojde k narušení těchto bezpečnostních cílů v oblastech s vysokými požadavky. (2) Pro případy vzniku vážných havárií je nutno vypracovat plány, které stanoví postup při organizovaném uvedení informačních technologií do chodu a obnovení jejich funkčnosti. (3) Tyto plány musí obsahovat údaje: o způsobu identifikace vzniku havárie, o okamžitých opatřeních ("první pomoc"), o postupech pro omezení možných škod, nouzové a záložní postupy. (4) Stejně tak musí být vypracovány plány pro případ neoprávněného průniku do systému. Pracovníci správci sítě musí sledovat a analyzovat možné průniky do systému i pokusy o ně ve spolupráci s poskytovatelem připojení do internetu. (5) Plány obnovení po havárii jsou stanoveny v příslušném bezpečnostním standardu. Čl. 14 Zálohování dat (1) Informace, které jsou potřebné pro chod školy, řádné zabezpečení výuky či citlivá data ukládaná na souborových serverech musí být pravidelně zálohována. (2) Média se záložními daty musí být uložena odděleně od serverů na bezpečném místě (např. trezor). Přístup k datovým médiím se zálohami dat je nutno chránit způsobem, který odpovídá třídě ochrany zálohovaných dat. 8

10 SR 05/2015 Strana č. 9 z 23 (3) U záložních dat je třeba pravidelně ověřovat jejich čitelnost. (4) Pokud budou záložní data likvidována, je třeba je smazat takovým způsobem, aby je nebylo možné obnovit. Pokud jde o neměnný záznam (např. CD-R) je třeba média zničit. (5) Pravidla pro zálohování jsou stanovena bezpečnostním standardem. Čl. 15 Ochrana proti škodlivým programům (1) Data, vstupující do vnitřní sítě z externích zdrojů, musí být kontrolována na přítomnost škodlivého kódu. Na firewallu musí být provozován antivirový software. Stejnou metodou musí být kontrolovány i přicházející a odcházející ové zprávy. (2) Na škodlivý kód musí být kontrolovány protokoly HTTP, POP3 a SMTP, u jiných protokolů tehdy, pokud je toho pro řádný chod školy zapotřebí. (3) Použitý antivirový software musí být pravidelně, zpravidla několikrát denně aktualizován. (4) Pracovníci správy sítě poskytují poradenskou službu pro zaměstnance a studenty školy v oblasti škodlivého kódu na jejich vyžádání, stejně tak i vyčištění počítačů v případě jejich nákazy. Čl. 16 Opravy IT komponent (1) Pokud je pracovníkem nebo studentem školy nahlášena nesprávná funkce IT komponenty (nebo SW vybavení) je povinen pracovník správy sítě neodkladně (nejpozději v druhý pracovní den po nahlášení závady) ověřit oprávněnost této informace. (2) Je-li závadu možno odstranit vlastními silami, je tak třeba učinit neprodleně. Není-li to možné, je třeba opravu zajistit externě. V každém případě je nutné zajistit možnost plnění pracovních povinností a výuky studentů. Pro tento účel musí být pro každé zařízení se stupněm zabezpečení střední a vysoký záložní pro možnost výměny. (3) V případě externí opravy mimo prostor školy nesmí tyto IT komponenty obsahovat citlivá data. Není-li to možné, je třeba jejich bezpečnost zajistit smluvně s organizací, zajišťující 9

11 SR 05/2015 Strana č. 10 z 23 externí opravu. Je nepřípustné, aby externí opravu zajišťoval někdo jiný než pracovník správy sítě. ČÁST PÁTÁ Bezpečnostní pravidla pro uživatele Čl. 17 Obecné pokyny pro všechny uživatele IT (1) Přístup k počítačům musí být chráněn pomocí hesel. (2) Nelze používat hesla, která je možné snadno odhadnout. (3) Při opuštění pracoviště je třeba chránit PC před neoprávněným přístupem. (4) Není přípustné pokoušet se o přístup k cizím datům nebo o odhalení cizích hesel. (5) Přenosným počítačům je třeba věnovat zvláštní pozornost. (6) Používat lze pouze software schválený správou sítě. (7) Před použitím je třeba zkontrolovat, zda na datových médiích není škodlivý kód. (8) Vytištěné dokumenty je třeba chránit před zneužitím se stejným stupněm ochrany jako odpovídající data. (9) K internetu se lze připojit jen pomocí připojení nastaveného pracovníky správy sítě, toto nastavení není možné měnit. (10) Je třeba vyhnout se činnostem, které by umožnily neautorizovaný přístup do interní sítě SVŠES (například prozrazení hesel ap.). (11) Je nepřípustné připojit do sítě SVŠES soukromé IT komponenty. Pokud je to nezbytné (např. pro hendikepované studenty) je třeba požádat o souhlas pracovníka správy sítě. (12) IT komponenty SVŠES je povoleno používat jen pro pracovní potřeby, je nepřípustné používat je pro použití soukromé (včetně tisku ap.). 10

12 SR 05/2015 Strana č. 11 z 23 (13) Je třeba si uvědomit, že veškerý provoz dovnitř i vně školy je logován (zaznamenáván) tedy prohlížení webových stránek, adresy příchozích i odchozích ů ap. (14) Data je třeba pravidelně zálohovat. Pokud zálohuje data uživatel sám, je třeba ukládat datová média se záložními daty bezpečně. Pokud nelze média již dále používat, zabezpečí jejich likvidaci pracovník správy sítě. (15) Je vhodné ukládat data na souborové servery, protože zde jsou pravidelně zálohována. Čl. 18 Pokyny pro práci s citlivými daty (1) Pokud nelze citlivá data chránit jinak, je třeba je šifrovat. To se týká především osobních dat studentů a zaměstnanců. (2) Přenos citlivých dat je možný pouze v zašifrované podobě. (3) Je vhodné soubory přenášené internetem podepsat digitálním podpisem. Pravidla pro přihlašování a pro řízení přístupu Čl. 19 IT komponenty obsahující data označená stupněm střední nebo vysoký musí být chráněna před neoprávněným přístupem. Čl. 20 Hesla, obecná pravidla pro práci s hesly (1) Osobní a tajná hesla je třeba používat všude, kde to je možné. a. zabezpečení přístupu k hardware PC, b. zabezpečení přístupu k operačnímu systému PC, c. uzamčení obrazovky (šetřič), d. provoz aplikací. (2) Pro určení hesla je třeba dodržet následující pravidla: a. heslo by mělo obsahovat minimálně 8 znaků, b. heslo nesmí být snadno zjistitelné i. jména příbuzných, psů, značky automobilů, slovo heslo, ii. pořadí znaků na klávesnici (asdfghj), iii. datumy, iv. přihlašovací jméno k počítači, 11

13 SR 05/2015 Strana č. 12 z 23 c. heslo by nemělo být nalezitelné ve slovníku (existují programy pro odhalení hesel, tzv. slovníkový útok), d. heslo by mělo být vytvořeno jako posloupnost písmen a čísel vytvářejících zapamatovatelný obsah (Mssnv835 Můj syn se narodil v 8.35), e. heslo by mělo být pravidelně měněno, f. nové heslo by nemělo být shodné s předchozími hesly, g. heslo nesmí být ukládáno veřejně (nalepeno na monitoru či kalendáři). (3) Pokud je heslo přednastaveno dodavatelem nebo pracovníkem správy sítě, je vhodné ho okamžitě změnit. (4) Pokud je heslo prozrazeno, je třeba oznámit tuto skutečnost neprodleně pracovníkům správy sítě hrozí závažné škody. (5) Heslo použité v síti SVŠES by nemělo být používáno mimo školu. (6) Je nepřípustné sdělovat někomu hesla, v případě jejich zneužití nese odpovědnost majitel hesla. Čl. 21 Stanovení hesel pro zaměstnance, studenty, účastníky CŽV a ostatní osoby (1) Přihlašovací jméno a heslo stanovuje pracovník správy sítě. (2) Pravidla pro vytvoření uživatelských jmen a hesel jsou stanovena v příslušném bezpečnostním standardu. Čl. 22 Uschování hesel zaměstnanců pro případ nepřítomnosti (1) V případě nepřítomnosti může být potřeba přístup údajům konkrétních pracovníků. V tom případě je vhodné heslo uložit v zapečetěné obálce do trezoru. Postup pro použití hesla je následující: oprávněný pracovník přebere zapečetěnou obálku na obálku uvede datum a důvod rozpečetění a heslo použije po pominutí potřeby přístupu nadřízený nebo pracovník správce sítě změní heslo a uloží ho v zapečetěné obálce do trezoru po návratu nadřízený pracovník oznámí použití hesla pracovník si změní heslo a v zapečetěné obálce ho uloží 12

14 SR 05/2015 Strana č. 13 z 23 (2) Pokud zaměstnanec heslo stanoveným způsobem neuloží a přístup k jeho datům je třeba zajistit, změní jeho heslo správce sítě. Dále se postupuje podle předchozího odstavce. Čl. 23 Opuštění pracoviště (1) Při opuštění pracoviště je třeba zabezpečit počítače proti neoprávněnému přístupu. Možnosti jsou následující: vypnout počítač, odhlásit se od systémů či sítě, použití šetřiče obrazovky zajištěného heslem, v tomto případě lze opustit pracoviště až po aktivaci prohlížeče (tuto variantu nelze použít na počítačích s osobními daty studentů a zaměstnanců). (2) Pracoviště je nutné při odchodu zabezpečit i standardním způsobem jako je uzamčení místnosti ap. Čl. 24 Snaha o neoprávněný přístup (1) Je nepřípustné získávat přihlašovací jména a hesla patřící jiným osobám. V síti SVŠES je zakázáno používat nástroje pro zjišťování hesel, monitorování a analyzování provozu sítě. Tento zákaz se nevztahuje na pracovníky správy sítě při zabezpečování bezpečného provozu sítě. (2) Pokud uživatel zjistí, že se omylem dostal k datům, pro něž nemáte oprávnění, ohlásí to ihned pracovníkům správy sítě. (3) V případě záměrného neoprávněného přístupu k prostředkům sítě bude postupováno podle Disciplinárního řádu pro studenty nebo Zákoníku práce. ČÁST ŠESTÁ Organizačně bezpečnostní opatření Čl. 25 Odpovědnost za bezpečnost IT (1) Za bezpečný provoz počítačové sítě zodpovídají pracovníci správy sítě. 13

15 SR 05/2015 Strana č. 14 z 23 (2) Za zabezpečení bezpečnosti dat a IT komponent odpovídají pracovníci dle organizační struktury uvedené ve Statutu SVŠES, studenti dle poučení při nástupu do školy. Čl. 26 Pravidla pro přístup studentů do laboratoří IT (1) Studenti musí být při prvním setkání ve škole seznámeni s touto bezpečnostní směrnicí minimálně v rozsahu potřebném pro jejich další působení na VŠ. (2) Je vhodné je poučit také o zásadách bezpečnosti a ochrany zdraví při práci s důrazem na ochranu před nepříznivými účinky elektrického proudu a na nebezpečí požáru. (3) Při práci v laboratořích IT v rámci výuky odpovídá za práci studentů příslušný vyučující, stejně tak za dodržování této směrnice. (4) Při samostatné práci studentů v laboratořích IT nebo IC musí student dodržet následující zásady: při příchodu oznámí na katedře matematiky a IT (KMIT) požadavek na přístup do laboratoře, po ověření oprávněnosti tohoto požadavku (pokud student není osobně znám, ověřením jeho průkazu studenta) je student do laboratoře vpuštěn, při odchodu korektně vypne přidělený počítač a oznámí svůj odchod na KMIT. (5) Použití datových médií (USB, CD, DVD ap.) je bez souhlasu vyučujícího nebo pracovníka KMIT zakázáno. Čl. 27 Zálohování dat (1) Pro zajištění kontinuity chodu školy a výuky je třeba zálohovat data. (2) Data uložená na serverech školy zálohuje pravidelně (nejméně jednou týdně) pověřený pracovník správy sítě. (3) Je třeba pravidelně kontrolovat čitelnost dat na záložních médiích. (4) Pokud budou záložní data likvidována, je třeba je smazat takovým způsobem, aby je nebylo 14

16 SR 05/2015 Strana č. 15 z 23 možné obnovit. Pokud jde o neměnný záznam (např. CD-R) je třeba média zničit. (5) Je doporučeno, aby svá data pravidelně zálohovali i jednotliví pracovníci SVŠES. S požadavky na technickou podporu se mohou obracet na pracovníky správy sítě. Čl. 28 Bezpečnostní opatření pro notebooky (1) Ztráta nebo krádež notebooku je nejen majetková újma, ale v případě, že obsahuje citlivá data i možnost ztráty cenných informací a může zakládat i možnost spáchání trestného činu. (2) Pokud přenosný počítač obsahuje data označená stupněm střední nebo vysoký musí být v případě opuštění prostoru školy data šifrována. (3) Bude-li počítač umístěn ve veřejně přístupných prostorech (např. na výstavách a veletrzích, při dnech otevřených dveří ap.) je třeba ho zajistit proti krádeži (uzamykatelná schránka, zámek ap.) (4) Při cestách s přenosným počítačem: není vhodné spouštět počítač z očí, je nepřípustné nechat počítač v automobilu, při cestách letadlem jej neodbavovat jako běžné zavazadlo, v případě uložení v hotelu využít služeb hotelového trezoru. Čl. 29 Ochrana před škodlivým kódem (malware) (1) Malware (škodlivý kód) představuje velké ohrožení chodu školy i uchovávaných dat. Jeho činnost je záludná, využívá poznatků sociálního inženýrství a nepoučeného uživatele počítače může snadno zmást. (2) Malware se šíří například: pomocí nakaženého souboru, který do počítače vložíte, z přílohy u, přímo ze sítě, a samozřejmě i dalšími způsoby. (3) Otevírání neznámých programů (nebo i dokumentů) může škodlivý kód šířit. 15

17 SR 05/2015 Strana č. 16 z 23 (4) Proto jsou zaváděna opatření proti škodlivým programům: na vstupu dat z internetu je instalován antivirový software, který se pravidelně každé 4 hodiny aktualizuje a zamezuje průniku většiny škodlivého kódu (především příloh ů) do vnitřní sítě na všechny samostatné počítače je nainstalován antivirový systém, který se aktualizuje vždy při zapnutí počítače a pracuje rezidentně (tedy v pozadí při vaší činnosti až do nalezení viru o jeho činnosti nevíte) pokud bude malware programem nalezen, je třeba provést tři kroky nakažený soubor smazat pomocí antivirového programu, oznámit tuto skutečnost pracovníkovi správy sítě, postupovat podle pokynů pracovníka správy sítě; pokud nebude žádný pracovník správy sítě k zastižení, počítač vypnout a počkat na pracovníka správy sítě. (5) Všechna tato opatření by byla naprosto zbytečná, pokud nebude uživatel postupovat s nutnou dávkou opatrnosti: je zakázáno spouštět nebo instalovat jakékoliv programy nepovolené pracovníkem správy sítě včetně (nebo hlavně) různého freeware, shareware ap. (veškeré potřebné programy byly již v síti i na pracovní stanice instalovány), není povoleno spouštět přílohy ů, pokud nejsou očekávány nebo nebyly povoleny pracovníkem správy sítě, je zakázáno šířit nevyžádanou poštu (spam), prostředky IT v SVŠES lze používat jen pro služební účely, pokud se začne počítač chovat atypicky, jinak než obvykle (např. odmítá psát písmena s háčky), je nezbytné to oznámit neprodleně pracovníkům správce sítě a postupovat dále podle jejich pokynů. Čl. 30 Použití neschváleného softwaru (1) Používat lze pouze školou zakoupený nebo jinak oficiálně získaný a instalovaný software. Pokud je potřeba jiný, dosud neinstalovaný software pro plnění pracovních (nebo výukových) úkolů, zabezpečí jeho instalaci (a pořízení) pracovník správy sítě nebo úsek kvestora. (2) Je zakázáno vytvářet kopie instalovaných programů nebo dat, to neplatí pro případ vytváření záloh podle příslušného bezpečnostního standardu. Pokud je součástí licence instalovaného programu i právo na použití zaměstnanci či studenty doma, sdělí to na požádání pracovník správy sítě. 16

18 SR 05/2015 Strana č. 17 z 23 Přístup k internetu Čl. 31 Připojení k internetu (1) K internetu lze přistupovat pouze přes zřízené připojení, které je nakonfigurováno správou sítě. Všechny počítače jsou již k využití tohoto připojení nakonfigurovány je zakázáno tuto konfiguraci měnit. Pokud budou změny zjištěny, bude příslušný bod sítě od přístupu k internetu odpojen. (2) Je zakázáno instalovat jakákoliv jiná zařízení pro přenos dat a provozovat je souběžně se stávajícím přístupem k síti. (3) Je zakázáno používat bezdrátové (WiFi, Bluetooth...) propojení počítačů bez využití šifrování. Jakékoliv zásahy do IT infrastruktury musí povolit pracovník správy sítě. (4) Je nepřípustný vzdálený přístup do informačního systému nad rámec služby www či intranetu s výjimkou pracovníků správy sítě. Čl. 32 Konfigurace internetového prohlížeče (1) Stránky v internetu mohou obsahovat škodlivý kód, který se provádí při jejich otevření v prohlížeči. Proto je třeba v maximální možné míře zabránit jejich spouštění a šíření. (2) Prohlížeč je třeba v pravidelných intervalech (nebo pokud možno automaticky) aktualizovat. (3) Je zakázáno konfiguraci prohlížeče měnit a současně není dovoleno přidávat jiné softwarové komponenty. V případě potřeby je možno vyžádat instalaci plug-in modulů. Šifrování a digitální podpisy Čl. 33 Šifrování dat (1) Citlivá data musí být šifrována, není-li možno zajistit jejich ochranu jiným způsobem (uzamčení, mechanické zabezpečení), zvláště je-li počítač připojen k síti. Šifrování není nezbytně nutné, pokud není počítač připojen do sítě. 17

19 SR 05/2015 Strana č. 18 z 23 (2) Pro šifrování je třeba použít klíč dlouhý alespoň 1024b. K šifrování lze použít i program PGP nebo jiný srovnatelný program. Instalování programu zabezpečí pracovník správce sítě na požádání. (3) Šifrovací postupy nechrání data před zničením nebo vymazáním. Proto je nadále nezbytné provádět pravidelné zálohování všech dat. ČÁST ŠESTÁ Školení a vzdělávání Čl. 34 Poučení nových zaměstnanců a studentů (1) Při přijímání nového pracovníka je nezbytně nutné, aby byl pracovníkem správy sítě prokazatelně seznámen s povinnostmi, vyplývajícím pro něj z této směrnice. Je nepřípustné umožnit přístup k síťovým zdrojům novému zaměstnanci před jeho poučením. (2) Při nástupu nového studenta zajistí pracovníci správce sítě poučení studenta o povinnostech vyplývajících z této směrnice. Je nepřípustné, aby byl studentům povolen přístup k síťovým zdrojům před jejich poučením. Čl. 35 Pravidelná školení zaměstnanců (1) Pracovníci správy sítě jsou povinni nejméně jednou ročně informovat zaměstnance o otázkách informační bezpečnosti a diskutovat s nimi problémy v oblasti bezpečnosti informačních technologií, s nimiž se zaměstnanci setkávají při své práci. (2) Je vhodné pomocí prostředků pro e-learning umožnit zaměstnancům přístup k aktuálním informacím v oblastech IT bezpečnosti. 18

20 SR 05/2015 Strana č. 19 z 23 ČÁST SEDMÁ Čl. 36 Závěrečná ustanovení Tato směrnice je nová a neruší žádné předchozí předpisy. Nabývá platnosti dnem podpisu rektorkou a její účinnosti byla stanovena na Ing. Lucie Marková, Ph.D. rektorka 19

21 SR 05/2015 Strana č. 20 z 23 PŘÍLOHA Rejstřík (1) Antivirový software program, sloužící k ochraně před škodlivým kódem (malware) zpravidla se skládá ze dvou základních komponent vyhledávače a rezidentní komponenty automaticky vyhledávající škodlivý kód a bránící mu v činnosti. (2) Autentizace ověřovací procedura, při které jsou pro přístup k IT komponentám zapotřebí vlastnictví, znalost nebo vlastnost. Například: vlastnictví čipové karty; znalosti hesla nebo otisku prstu. (3) Digitální podpis metoda pro zabezpečení elektronických dokumentů proti pozměnění a zaručení identity odesílatele. (4) Dešifrování matematické postupy pro převod nesrozumitelného textu na srozumitelný - opak šifrování. (5) POP3 internetový protokol používaný pro elektronickou poštu ( ). (6) elektronická pošta. (7) Firewall systém zabraňující neoprávněné komunikaci mezi sítěmi. (8) Freeware programy, které je možno používat bezplatně. (9) Hardware technické vybavení počítače, ze kterého je počítač a sestaven. (10) Heslo identifikační prvek umožňující přístup k počítačům. (11) HTTP internetový protokol používaný zpravidla pro službu world wide web (www). (12) Internet celosvětová komunikační síť. (13) Intranet vnitropodniková síť, využívající stejné technologie jako internet. (14) IT komponenty veškerá zařízení, ze kterých je tvořena počítačová síť (počítače, komunikační zařízení, síťové prvky, kabeláž, periferie). (15) Java programovací jazyk. 20

22 SR 05/2015 Strana č. 21 z 23 (16) Java-script programovací jazyk, programy vytvořené v tomto jazyce jsou vkládány do webových stránek a spouštěny při prohlížení na vlastním PC. (17) LAN Local Area Network; lokální počítačová síť. (18) Licence oprávnění k používání programů, zpravidla za úplatu. (19) Malware škodlivý kód sloužící zpravidla k získání nebo poškození dat uživatele (20) Operační systém základní programové vybavení počítače určené pro správu ostatního hardware a software (21) Paměťová média diskety, magnetické pásky, optické disky, USB flash paměti (22) Pevný disk paměťové zařízení v PC, které obvykle není snadné vyjmout. (23) POP3 internetový protokol používaný pro elektronickou poštu ( ) (24) Prohlížeč (browser) program pro zobrazení dat (zpravidla z internetu) na obrazovce počítače. (25) Shareware programy, které mohou být po určitou dobu zkoušeny bezplatně (26) SMTP internetový protokol používaný pro elektronickou poštu ( ) (27) Spolehlivé vymazání odstranění dat z paměťového média tak, aby je nebylo možno obnovit; u magnetických paměťových zpravidla několikanásobným přepsáním. (28) Software programy, které mohou být spuštěny na počítači (29) Šifrování matematické postupy pro převod srozumitelného textu na nesrozumitelný - opak dešifrování. (30) World Wide Web dnes jedna z nejvíce používaných internetových služeb sloužící k prezentaci informací v celosvětově jednotném formátu na internetu. 21

23 SR 05/2015 Strana č. 22 z 23 Seznam změn Pořadové číslo změny Článek, kde je změna aplikována předpis Stručný popis změny: Datum účinnosti 22