BEZPEČNOSTNÍ POLITIKA

Transkript

1 BEZPEČNOSTNÍ POLITIKA I N F O R M AČNÍHO SYSTÉMU OSTRAVSKÉ UNIVERZITY CENTRUM INFORMAČNÍCH TECHNOLOGIÍ OSTRAVSKÁ UNIVERZITA V OSTRAVĚ 2005

2 OBSAH 1. Úvod Cíl dokumentu Definice základních pojmů Cíle bezpečnostní politiky Závaznost dokumentu bezpečnostní politiky ORGANIZACE BEZPEČNOSTI Infrastruktura bezpečnostních informací Vedení organizace Odborné orgány a role Bezpečnostní dokumentace Rozsah a struktura bezpečnostní dokumentace Bezpečnost přístupu třetích stran Důvody přístupu Typy přístupu Smluvní zajištění informační bezpečnosti KLASIFIKACE A KONTROLA AKTIV Odpovědnost za aktiva Klasifikace informací Citlivé informace Veřejné informace PERSONÁLNÍ BEZPEČNOST Zajišťování lidských zdrojů Školení uživatelů Reakce na bezpečnostní incidenty FYZICKÁ BEZPEČNOST Bezpečné zóny Bezpečnostní zařízení Obecná pravidla SPRÁVA KOMUNIKACÍ A ŘÍZENÍ PROVOZU Provozní postupy a dokumentace Plánování a akceptace systému Správce systému a sítě Bezpečnost informací Používání počítačů a médií Používání elektronické pošty Antivirová ochrana /24

3 6.4.4 Zálohování a archivace dat Používání šifrovacích prostředků ŘÍZENÍ PŘÍSTUPU Požadavky na řízení přístupu Správa řízení přístupu Odpovědnost uživatelů Řízení komunikačních vazeb IS OU s vnějšími IS Monitorování používání a přístupu k systému Mobilní prostředky a vzdálený přístup Vývoj a údržba systému ŘÍZENÍ KONTINUITY SOULAD S POŽADAVKY Soulad s právními normami Audit systému, kontrola shody s bezpečnostní dokumentací ZÁVĚREČNÁ USTANOVENÍ Kontrola plnění bezpečnostní politiky Aktualizace bezpečnostní politiky Účinnost bezpečnostní politiky /24

4 1. ÚVOD 1.1 Cíl dokumentu V oblasti bezpečnosti je termín politika velice frekventovaným pojmem. Často bývá používána jako synonymum pro systém nastavení parametrů konkrétních bezpečnostních produktů. Zde však máme na mysli dokument, který definuje požadavky v oblasti informační bezpečnosti. Bezpečnostní politika Ostravské univerzity v Ostravě (dále jen OU) je základní písemný dokument, definující základní bezpečnostní požadavky a nařízení s cílem zajistit ochranu a bezpečnost informací v OU. Bezpečnostní politika (dále jen BP) OU je založena na dohodnutých bezpečnostních cílech a bezpečnostní strategii IT. 1.2 Definice základních pojmů V dokumentu BP OU jsou použity dále uvedené definice. a) bezpečnost IT (IT security) všechny aspekty související s definováním, dosažením a udržováním důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity a spolehlivosti. b) aktivum (asset) - cokoliv mající pro vlastníka hodnotu (budovy, počítačové a jiné vybavení, data, procesy aj.). c) informace (information) - jsou aktiva, které mají pro organizaci nějakou hodnotu a musí být tedy odpovídajícím způsobem chráněna. d) důvěrnost (confidentiality) vlastnost, že informace není dostupná nebo přístupná neautorizovaným jednotlivcům, entitám, nebo procesům. e) integrita dat (data integrity) vlastnost, že data nebyla změněna nebo zničena neautorizovaným způsobem. f) dostupnost (availability) vlastnost, že je něco na požádání přístupné a použitelné autorizovanou entitou. g) individuální zodpovědnost (accountability) vlastnost zajišťující, že činnosti určité entity mohou být sledovány jedinečně pro tuto entitu. h) autenticita (autenticity) vlastnost zajišťující, že identita subjektu nebo zdroje je taková, za kterou je prohlašována. i) spolehlivost (reliability) vlastnost, zajišťující konzistentní zamýšlené chování a jeho výsledky. j) riziko (risk) potenciální možnost, že daná hrozba využije zranitelnosti aktiv nebo skupin aktiv a způsobí tak ztrátu, která vyžaduje ochranná opatření. k) hrozba (threat) potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace. l) zranitelnost (vulnerability) zahrnuje slabé místo nebo skupiny aktiv, které může být využito hrozbou. m) informační systém (information system) pro potřeby bezpečnostní politiky je informačním systém chápán jako soustava všech informačních systémů OU. 1.3 Cíle bezpečnostní politiky OU je provozovatelem informačního systému, který slouží k zajišťování základních činností, a jako takový zpracovává, obsahuje a uchovává velké množství informací různé povahy a míry citlivosti. 4/24

5 OU jako provozovatel tohoto informačního systému je povinen zajišťovat ochranu informací a bezpečnost informačního systému. Základním cílem tohoto dokumentu je stanovit základní bezpečnostní zásady a pravidla pro řízení informační bezpečnosti na OU. Tyto zásady a pravidla budou definovány v souladu s mezinárodní normou ISO/IEC (ČSN ISO/IEC 17799), která popisuje organizaci a řízení bezpečnosti. Základní cíle bezpečnostní politiky jsou: a) zavést bezpečnostní procesy pro zpracovávání informací a rozvoj informačního systému, b) zajistit spolehlivost informačního systému a informací, zvláště pak s ohledem na dostupnost, důvěrnost a integritu, c) chránit investice vložené do informačního systému, d) zabezpečit naplnění všech odpovídajících legislativních požadavků a informačních potřeb uživatelů informačního systému, e) snížit případné škody vzniklé v důsledku bezpečnostních incidentů, f) zajistit kontinuitu informačního systému. Smyslem BP je celkové zlepšení: a) ochrany IS před neoprávněným přístupem, b) ochrany IS před riziky prostředí, c) ochrany komunikační infrastruktury, d) dokumentace fyzické bezpečnosti, e) identifikace osob pro práci s utajovanými informacemi, f) identifikace osob pro práci s chráněnými informacemi, g) identifikace osob pro bezpečnostní správu IS, h) školení správců k bezpečnosti IS, i) školení uživatelů k bezpečnosti IS. 1.4 Závaznost dokumentu bezpečnostní politiky Dokument BP OU je závazný pro všechny zaměstnance a studenty OU a dále musí být prosazován ve vztazích i k jiným subjektům, například dodavatelům IS, provozovatelům částí informačního systému (pokud je využíván outsourcing), partnerským subjektům apod. BP se vztahuje na všechny informace v rámci celého informačního systému (dále jen IS) OU a musí být respektována ve vnitřních předpisech a normách, které ji mohou dále rozvíjet, nikoli však omezovat. 5/24

6 2. ORGANIZACE BEZPEČNOSTI V rámci IS OU podléhá informační bezpečnost jednotnému řízení a definované organizaci. Všechny činnosti spojené s řízením a organizací informační bezpečnosti jsou pak definovány vnitřními normami organizace a bezpečnostní dokumentací. Na organizaci a řízení informační bezpečnosti se podílejí vedoucí pracovníci, odborné orgány a role v systému informační bezpečnosti a organizační útvary v rozsahu uvedeném v této kapitole. Jejich konkrétní povinnosti a úkoly jsou uvedeny v bezpečnostní dokumentaci a stanoveny popisem pracovní náplně příslušných zaměstnanců. 2.1 Infrastruktura bezpečnostních informací Bezpečnost IS OU je interdisciplinární oblast a týká se každého projektu a systému IT a všech uživatelů IS OU. Odpovídající přiřazení a vyznačení zodpovědností by mělo zajistit, že jsou plněny všechny důležité úkoly a že jsou prováděny efektivně Vedení organizace a) vrcholové vedení zodpovídá za jednotné řízení informační bezpečnosti. Za implementaci BP v rámci OU odpovídá prorektor pro strategii, organizaci a rozvoj. Ten také předkládá rektorovi jednou ročně zprávu o stavu informační bezpečnosti a plnění bezpečnostní politiky stejně jako návrhy, či případné revize, bezpečnostní politiky. Rektor schvaluje bezpečnostní politiku a vydává ji jako závazný dokument - směrnici. b) vedoucí pracovníci - vedoucí pracovníci všech stupňů odpovídají za realizaci bezpečnostní politiky v rámci své působnosti. Vedoucí pracovníci odpovídají za kontrolu dodržování stanovených zásad v každodenní praxi jejich podřízenými a udělení postihů v případě nedodržení těchto zásad Odborné orgány a role a) garanti informační systémů jsou ti pracovníci organizace, v jejichž působnosti je provozování jednotlivých informačních systémů. Jedná se o kvestora, prorektory a další vedoucí pracovníky. Garanti informačních systémů: odpovídají za správnost, využitelnost a ochranu informací v rámci své působnosti, odpovídají za stanovení požadavků na zajištění dostupnosti, důvěrnosti a integrity informací a za implementaci požadavků vyplývajících z legislativy a bezpečnostní politiky pro zpracování informací v oblasti jejich působnosti, odpovídají za realizaci postupů a splnění náležitostí procesů životního cyklu informačního systému, stanovují procesy zpracování informací (informační činnosti), stanovují a formulují požadavky na vývoj informačního systému a jeho změny, na dokumentaci informačního systému a uživatelskou dokumentaci. Výkonem svých práv a povinností mohou garanti pověřit vlastníky informací a další pracovníky. Seznam garantů informačních systémů je součástí dokumentu Provozní řád informačních systémů a sítí OU. b) bezpečnostní manažer - je role odborného vedoucího pracovníka pro informační bezpečnost, jehož hlavním úkolem je organizovat, řídit a zajišťovat odborné úkoly informační bezpečnosti. 6/24

7 Bezpečnostní manažer plní tyto hlavní úkoly: zajišťuje organizaci a výkon centrální správy informační bezpečnosti, zajišťuje jednotnou správu bezpečnostní politiky a je jejím vlastníkem (garantem), odpovídá za její správnost z hlediska změn v legislativě, v organizační struktuře organizace a změn v informačním systému na základě projektů informačního systému; za tímto účelem navrhuje příslušné změny bezpečnostní politiky a vnitřních norem, provádí výklad bezpečnostní politiky a přijímá stanoviska, v nezbytných případech řeší výjimky z této politiky o přijatých opatřeních bez zbytečného odkladu informuje ředitele Centra informačních technologií (CIT) a prorektora pro strategii, organizaci a rozvoj, metodicky řídí správce IS, navrhuje pravidla a postupy bezpečnostní správy informačního systému, připravuje roční zprávu o stavu informační bezpečnosti a návrhy na opatření a prostřednictvím prorektora pro strategii, organizaci a rozvoj ji předkládá rektorovi, posuzuje návrhy bezpečnostní politiky a jejích změn, dalších vnitřních norem týkajících se informační bezpečnosti, koordinuje zavádění bezpečnostních opatření, vyhodnocuje plnění bezpečnostní politiky a implementaci principů informační bezpečnosti v projektech informačního systému a vnitřních normách Bezpečnostního manažera jmenuje prorektor pro strategii, organizaci a rozvoj. c) bezpečnostní správce - je role odborného pracovníka pro informační bezpečnost, jehož hlavním úkolem je výkon odborných činností spojených s informační bezpečností. Bezpečnostní správci se určují pro důležité informační systémy organizace. Bezpečnostní správce plní tyto hlavní úkoly: realizuje opatření k zajištění informační bezpečnosti, odpovídá za implementaci a aktualizaci bezpečnostní politiky a bezpečnostní dokumentace v rámci provozovaného informačního systému, je vlastníkem (garantem) systémové bezpečnostní politiky příslušného informačního systému za předpokladu, že je požadována její existence, odpovídá za řešení bezpečnosti informačních systémů ve všech fázích jejich životního cyklu, účastní se projektů a realizuje opatření stanovená bezpečnostní politikou při vývoji a implementaci informačních systémů, provádí analýzy rizik informačních systémů, formuluje požadavky na bezpečnost informačních systémů, podílí se na vedení registru aktiv informačního systému, organizuje provedení bezpečnostních testů a kontroluje výsledky, provádí kontrolu stanovených bezpečnostních opatření, vyšetřuje bezpečnostní incidenty spojené s funkcí informačních systémů, po obsahové stránce zpracovává program bezpečnostní výchovy a školení, 7/24

8 zpracovává a vede bezpečnostní dokumentaci, formuluje návrhy závazných bezpečnostních postupů k realizaci ustanovení bezpečnostní politiky a předkládá je ke schválení a vydání, zpracovává havarijní plány informačního systému a provádí jejich testování. Bezpečnostní správce určuje ředitel CIT. S ohledem na kapacitní možnosti organizace, je tato role spojena s rolí správce systémů (administrátora), viz následující kapitola. d) správci systémů a komunikačních technologií - je určený zaměstnanec, jehož úkolem je odborná správa, obsluha a údržba systémů OU. Správce systému OU odpovídá za provoz IS v souladu s platnými pracovními postupy. Je povinen ve své činnosti prosazovat informační bezpečnost stanovenou touto bezpečnostní politikou a bezpečnostní dokumentací. Aby správce systému mohl úspěšně vykonávat svoji práci, musí být náležitě kvalifikován. Je povinen se stále odborně vzdělávat a sledovat nejnovější vývoj v oblasti svěřených technologií tak, aby byl schopen samostatně reagovat na nově vznikající rizika. Ve spolupráci s bezpečnostním správcem a bezpečnostním manažerem navrhuje opatření přesahující jeho působnost k zajištění informační bezpečnosti. Seznam správců systémů je součástí dokumentu Provozní řád informačních systémů a sítí OU. e) vlastníci informací - jsou určení pracovníci organizačních útvarů OU. Vlastníci informací: spravují konkrétní informační aktiva, vymezují pravidla manipulace s nimi, zejména pravidla pořizování informací, seznamování se s informacemi a jejich zveřejňování, provádění změn a likvidace informací; tato pravidla se promítají do definice rolí a z nich vyplývajících přístupových práv uživatelů, do klasifikace informací a procesů zveřejňování informací, vedou přehled o výměně informací poskytovaných mimo informační systém jiným subjektům a informací přijatých ke zpracování v rámci příslušného informačního aktiva (včetně sdílení dat); součástí této evidence je spis obsahující seznam smluvních ujednání a jejich písemné vyhotovení, na jejichž základě organizace poskytuje či přijímá tyto informace, podílejí se na specifikaci požadavků na vývoj informačního systému a jeho změny, vyjadřují se k uživatelské dokumentaci aplikačních systémů, uplatňují požadavky na dodatečná opatření k zajištění důvěrnosti citlivých informací. Za vytvoření metodických návodů a poskytování odborné pomoci vlastníkům informací odpovídá bezpečnostní manažer. Vlastníky informací určují garanti informačních systémů. Pokud není vlastník informací určen, plní jeho roli (úlohu) garant daného informačního systému. Seznam vlastníků informací je součástí dokumentu Provozní řád informačních systémů a sítí OU. f) uživatelé informačních systémů - jsou ty fyzické osoby, které mají právo v předem definovaném rozsahu používat informační systém organizace, zejména využívat a pořizovat informace v tomto informačním systému. 8/24

9 Uživatelem informačního sytému může být: osoba v pracovně právním vztahu s organizací (zaměstnanec); základní rozsah informací potřebných k výkonu činností příslušných funkčnímu místu zaměstnance a rozsah přístupu tohoto uživatele k informacím v informačním systému je stanoven v popisu jeho pracovní náplně, povinností zaměstnance je při práci v IS OU se řídit dokumentem Provozní řád informačních systémů a sítí OU. osoba ve studijním poměru s organizací (student); základní rozsah přístupných informací a přístupová oprávnění k těmto informacím jsou definována v dokumentu Provozní řád informačních systémů a sítí OU a student je povinen se tímto dokumentem řídit. i jiná fyzická osoba, které byl povolen přístup k informačnímu systému OU na základě formálního smluvního nebo na jiné úrovni definovaného vztahu, který přesně stanoví přidělená přístupová práva. Každému uživateli musí být umožněno, aby se seznámil s dokumentem bezpečnostní politiky a byl tak poučen o odpovědnosti za ochranu jím zpracovávaných informací a o těch bezpečnostních opatřeních, které souvisí s výkonem jeho práce. 2.2 Bezpečnostní dokumentace Bezpečnostní dokumentace definuje základní postupy řízení bezpečnosti a postupy k dosažení cílů stanovených bezpečnostní politikou. Vývoj a provoz všech informačních systémů musí být řízen na základě zpracované a schválené bezpečnostní dokumentace Rozsah a struktura bezpečnostní dokumentace a) vnitřní normy bezpečnostní dokumentace těmito normami jsou: Bezpečnostní politika informačního systému Ostravské univerzity, Provozní řád informačních systémů a sítí Ostravské univerzity, Systémové bezpečnostní politiky stěžejních informačních systémů, Normativní a operativní dokumenty informační bezpečnosti. Bezpečnostní politika informačního systému Ostravské univerzity je směrnice vydávaná rektorem. Provozní řád informačních systémů a sítí OU je vnitřní norma vydávaná ředitelem CIT, která definuje povinnosti a pravomoci jednotlivých typů uživatelů přistupujících k informačnímu systému. Systémové bezpečnostní politiky stěžejních informačních systémů jsou vnitřní normy vydávané k provedení Bezpečnostní politiky informačního systému OU. Systémové bezpečnostní politiky vydávají garanti informačních systémů ve spolupráci se správci systémů, vlastníky informací a bezpečnostním manažerem. Normativní a operativní dokumenty informační bezpečnosti jsou technické politiky, odborné standardy a metodické návody vydávané ředitelem CIT. Tyto dokumenty stanoví pravidla činností nebo konkrétní postupy pro vlastníky informací, správce systémů a pro všechny uživatele informačního systému. 9/24

10 b) projektová bezpečnostní dokumentace - je tvořena: zpráva o výsledcích analýzy rizik, návrh bezpečnostních opatření a plán implementace pro jednotlivé fáze projektu, dokumentace k testům bezpečnosti výsledku projektu. Za vytvoření projektové bezpečnostní dokumentace odpovídají bezpečnostní správci. c) provozní bezpečnostní dokumentace - je tvořena normativními dokumenty: bezpečnostní směrnice pro jednotlivé typy uživatelů, havarijní plány informačního systému. Součástí provozní bezpečnostní dokumentace je dokumentace informačního systému. Za vytvoření provozní bezpečnostní dokumentace odpovídají bezpečnostní správci. d) operativní dokumentace IS - Tuto dokumentaci tvoří operativní dokumenty sloužící k chronologickému zaznamenávání událostí nebo stavů, které mají význam pro informační bezpečnost. Operativní dokumentaci vedou bezpečnostní správci, určení správci systémů a další zaměstnanci, případně dodavatelé a externí pracovníci, je-li pro provoz využíván outsourcing. Za tvorbu a vedení operativní dokumentace odpovídají jednotliví správci systémů. 2.3 Bezpečnost přístupu třetích stran Třetími stranami pro účely této bezpečnostní politiky se rozumí fyzické nebo právnické osoby, které nejsou s organizací ve studijním nebo pracovně právním vztahu. Může se například jednat o: a) subjekty, se kterými OU vyměňuje informace (orgány veřejné a státní správy, soukromé a další organizace), b) subjekty, jimž umožňuje přístup k informacím nebo jiným aktivům, c) dodavatelé technologií a služeb pro informační systém. Všechny třetí strany si musí být vědomy své odpovědnosti vzhledem k informační bezpečnosti organizace. Tato odpovědnost musí vyplývat z právního nebo jiného závazného předpisu platného pro OU i pro třetí stranu, nebo musí být vyjádřena smluvně Důvody přístupu Důvody pro něž je třetím stranám povolen přístup vyplývají ze vztahu třetích stran k organizaci a činností, které na základě tohoto vztahu vykonávají. Tyto důvody musí být vždy uvedeny ve smluvním ujednání povolující tento přístup Typy přístupu Důvodům a provozovaným činnostem odpovídá také typ přístupu: a) fyzický přístup přístup do prostor organizace, kanceláří, serveroven, atd., b) logický přístup přístup do informačního systému prostřednictvím síťového spojení. Jednotlivé typy přístupů představují různá rizika. Těmto rizikům pak odpovídají přijatá opatření. Všechny tyto skutečnosti by měly být součástí smluvního ujednání mezi OU a třetí stranou viz následující kapitola. 10/24

11 2.3.3 Smluvní zajištění informační bezpečnosti Přístup k informacím, informačnímu systému a jiným aktivům třetím stranám je možný pouze na základě právního předpisu, správního aktu, smlouvy nebo na této úrovni písemně stanovených pravidel (smluvní ujednání). Vedoucí organizačních jednotek, které připravují (schvalují) smluvní ujednání se třetími stranami musí zajistit, aby tato ujednání odrážela požadavky informační bezpečnosti vycházející z bezpečnostní politiky, vnitřních norem a dalších dokumentů vyjadřujících povinnosti, práva a zájmy OU. Vlastníci informací odpovídají za stanovení takových bezpečnostních požadavků (typ přístupu, hrozby a odpovídající opatření) ve smluvních ujednáních, které jsou relevantní pro dané informace a zajištění jejich ochrany a splňují požadavky platných předpisů. Ve smlouvách s dodavateli musí být vždy uplatněny bezpečnostní požadavky stanovené v bezpečnostní politice a bezpečnostní dokumentaci informačního systému. Plnění bezpečnostních požadavků a soulad smluvních plnění dodavatele s ustanoveními smlouvy musí být pravidelně hodnoceno. Smlouvy s dodavateli musí zahrnovat závazek plnění bezpečnostních požadavků případnými subdodavateli, ustanovení o odpovědnosti a kontrole. Do smluv s externími pracovníky přicházejícími do styku s informačním systémem musí být začleněn závazek zajistit ochranu informací, včetně sankcí, a navazující písemný závazek mlčenlivosti. Požadavky na vlastnosti dodavatelských smluv odpovídající potřebám informační bezpečnosti stanoví metodickým návodem ředitel CIT. Jedná se především o zpracování provozní dokumentace a provedení akceptačních testů apod. 3. KLASIFIKACE A KONTROLA AKTIV Aby mohla být důsledně zajištěna informační bezpečnost OU, musí být veden registr aktiv informačního systému. Tento registr by měl obsahovat: a) seznam informačních (datových) aktiv, b) seznam instalovaného hardware, c) seznam používaného software. Za zřízení a vedení registru aktiv je zodpovědný ředitel CIT. 3.1 Odpovědnost za aktiva Každý uživatel informačního systému si musí být vědom své odpovědnosti při nakládání s informacemi a dalšími aktivy. Informace z informačního systému smějí být využívány výhradně k plnění pracovních úkolů. Jakékoli jiné využití těchto informací, například jejich neoprávněné kopírování nebo poskytování mimo organizaci v libovolné formě se považuje za hrubé porušení této bezpečnostní politiky a pracovní kázně, v některých případech se může jednat i o trestný čin. 3.2 Klasifikace informací Touto bezpečnostní politikou je zavedena klasifikace informací z hlediska důvěrnosti, která vyjadřuje míru zájmu a povinnosti OU na zachování důvěrnosti informací. OU respektuje právo zachování důvěrnosti a klasifikaci svěřených informací, které patří jiným subjektům. Klasifikaci informací provádí vlastníci informací. 11/24

12 3.2.1 Citlivé informace Informace klasifikované jako citlivé informace představují omezený okruh informací důvěrných z hlediska ochrany osobnosti (zákon č. 101/200 Sb. o ochraně osobních údajů) a soukromí, obchodního tajemství, důvěrnosti majetkových poměrů, krizového plánování, duševního vlastnictví, některých vnitřních pokynů a předpisů a informací vznikajících při přípravě rozhodnutí nebo v rámci jiných činností. Na citlivé informace se vztahuje omezení práva na přístup a jsou důvěrné v rozsahu a po dobu stanovenou příslušnými předpisy. Přístup k těmto informacím je řízen podle zásady need to know (potřeba vědět). Omezený okruh citlivých informací představuje informace velmi důvěrného charakteru. Přístup k těmto informacím je co nejvíce omezován. Při práci s nimi jsou vedle standardních mechanizmů ochrany používána ještě dodatečná opatření. Dodatečná opatření k ochraně citlivých informací a přístup k nim stanoví s ohledem na hodnotu informací vlastníci informací. Bezpečnostní správci stanoví pravidla používání silnějších bezpečnostních mechanizmů pro dodatečná opatření k ochraně citlivých informací Veřejné informace Informace klasifikované jako veřejné informace představují široký okruh informací k zajištění činností OU, na které se nevztahují omezení jako na citlivé informace. Zveřejňování informací je řízený proces, který v souladu s právními předpisy a vnitřními normami představuje závazné postupy poskytování informací. 4. PERSONÁLNÍ BEZPEČNOST Cílem personální bezpečnosti je omezení rizik lidských chyb, krádeže nebo zneužití zařízení. S tím souvisí vytvoření povědomí o hrozbách bezpečnosti informací a školící činnosti. 4.1 Zajišťování lidských zdrojů Všichni uživatelé informačního systému musí být pro svoji práci kvalifikováni. Tato kvalifikace předpokládá základní znalosti obsluhy výpočetní techniky, znalost obsluhy příslušných aplikací, se kterými uživatel pracuje, a znalost zásad informační bezpečnosti (bezpečnostní politiky). Bez těchto předpokladů nesmí být uživateli umožněn přístup k informačnímu systému. Skutečnost zda jsou tyto předpoklady splněny je předmětem zkoumání při přijímacím řízení a dále během samotného působení uživatele na půdě OU. Zápisy o provedeném školení nebo poučení a doklady o kvalifikaci, například absolvovaných kurzech, se ukládají v osobním spise zaměstnance. Za plnění požadavků na personální bezpečnost odpovídají vedoucí pracovníci, kteří provádějí výběr lidských zdrojů. Kontrolu provádí bezpečnostní manažer. Základní rozsah informací potřebných k výkonu práce zaměstnance a rozsah přístupových práv uživatele k informačnímu systému je stanoven v popisu pracovní náplně. Uživatelé jsou povinni bezpodmínečně dodržovat tuto bezpečnostní politiku a za každých okolností si počínat tak, aby nebyla ohrožena informační bezpečnost. V případě nejasností a neobvyklých situací, kdy si uživatelé nejsou jisti, jak mají postupovat, se obracejí na nadřízené pracovníky. 12/24

13 Zastávání funkce správce sytému vyžaduje zvýšenou míru důvěry, neboť zaměstnanci na těchto funkcích ve velkém rozsahu ovlivňují úroveň informační bezpečnosti organizace. Z tohoto důvodu musí být jejich výběru, motivaci a kontrole věnována prvořadá pozornost. 4.2 Školení uživatelů Cílem je dosažení povědomí o bezpečnosti a zvýšení úrovně povědomí na OU na úroveň, kdy se bezpečnost stává druhou přirozeností a proces se stává rutinou, kterou mohou snadno dodržovat všichni zaměstnanci a studenti OU. Všichni uživatelé informačního systému si musí být vědomi důležitosti dodržování bezpečnostních zásad, to je zajištěno prováděním pravidelných školení. Stejně tak jako v otázkách informační bezpečnosti jsou všichni uživatelé pravidelně proškolováni ve správném použití prostředků pro zpracování informací (použití aplikací, přístupu do IS apod.). Pravidelná školení jsou povinná a za proškolení uživatele odpovídá nadřízený pracovník. Proškolení studentů o pravidlech používání IS probíhá v rámci výuky, případně u zápisu. 4.3 Reakce na bezpečnostní incidenty Bezpečnostní incidenty představují narušení bezpečnosti informačního systému a stanovených pravidel k jeho ochraně. Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny, zdokumentovány a vyšetřeny s ohledem na příčiny, které je vyvolaly, aby mohlo být dosaženo nápravy. Zaměstnanci a další uživatelé, kteří zjistí bezpečnostní incident nebo bezpečnostní nedostatek, jsou povinni ihned informovat bezpečnostní správce. Bezpečnostní správci dokumentují zjištěné bezpečnostní incidenty a nedostatky a organizují jejich vyšetření; k tomu soustřeďují všechny potřebné podklady, například kontrolní záznamy, které mohou následně sloužit pro detailní zjištění příčin, resp. míry zavinění. Podle povahy případu je bezpečnostní manažer nebo bezpečnostní správce povinen neprodleně informovat ředitele CIT a všechny uživatele, kterých se bezpečnostní incident (a jeho následky) nebo bezpečnostní nedostatek týká. Uživatelům je zakázáno podávat jakékoli informace o bezpečnostních incidentech a nedostatcích mimo organizaci. Uživatelé si musí počínat tak, aby informace, které mohou odkrýt slabiny informačního systému, nemohly být druhotně zneužity proti zájmům organizace. V denním provozu je prioritním zájmem rychlé odstranění vzniklých potíží, proto řešení běžných problémů spojených s provozem organizuje správce systému OU neodkladně. Pokud však tyto problémy mají charakter bezpečnostního incidentu nebo bezpečnostního nedostatku, musí být vždy zajištěna součinnost s bezpečnostním manažerem. Jedná-li se o systémový problém, musí být navrženo adekvátní opatření, které je promítnuto do bezpečnostní dokumentace. Pravidla ohlašování bezpečnostních incidentů a nedostatků stanoví bezpečnostní manažer. Způsoby předání informací a kontakty na správce jsou specifikovány v provozní bezpečnostní dokumentaci. Při zjištění zavinění bezpečnostního incidentu ze strany uživatele informačního systému v důsledku nedodržení bezpečnostní politiky nebo jiných bezpečnostních předpisů je proti tomuto uživateli zahájeno disciplinární řízení. 13/24

14 5. FYZICKÁ BEZPEČNOST Cílem fyzické bezpečnosti informačního systému je chránit prostředí, ve kterém systém pracuje, před možnými riziky narušení. Zahrnuje především následující opatření: a) prvky informačního systému musí být umístěny do zabezpečeného prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. b) prvky informačního systému musí být fyzicky chráněny před bezpečnostními hrozbami a riziky prostředí. c) umístění prvků informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezírat chráněné informace. d) telekomunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených informací a jejich poškození. 5.1 Bezpečné zóny Místnosti, kde jsou umístěna důležitá technická zařízení, uložena počítačová a jiná média a dokumentace, a kde se ve velké míře pracuje s citlivými informacemi, se definují jako bezpečnostní zóny. Pro všechny bezpečnostní zóny jsou stanovena závazná pravidla (režimové směrnice) zajišťující nezbytnou ochranu zpracovávaných informací. Tyto směrnice stanovují odpovídající bezpečnostní bariéry (fyzické prostředky stejně jako administrativní postupy vstupní kontroly apod.), které vycházejí ze zjištěných rizik. Dále také stanovují způsoby práce v těchto pracovních zónách (například povinný dohled pracovníků třetích stran, povinné schválení vstupu do zabezpečené zóny atd.). 5.2 Bezpečnostní zařízení Technická zařízení informačního systému (informační a komunikační technologie) musí být umístěna tak, aby byly zajištěny podmínky v souladu s předpisy výrobce a aby byla v maximální míře chráněna před náhodným i úmyslným poškozením. Tato zařízení jsou podle své důležitosti a poskytované funkčnosti umístěna v jednotlivých bezpečnostních zónách. Základním opatřením zajišťujícím bezpečnost zařízení je jejich ochrana před výpadkem elektrického proudu a provádění pravidelné údržby podle doporučení výrobce. Na základě ocenění aktiv, musí být kritické části informačního systému vybaveny nepřerušitelným zdrojem napájení (UPS). UPS musí být pravidelně testovány podle doporučení výrobců. 5.3 Obecná pravidla Osobní počítače a další technická zařízení používaná uživateli informačního systému jsou umístěny v kancelářích, učebnách a dalších prostorách určených k výkonu pracovní činnosti. Tyto místnosti musí být uzamykány v případě, že v nich není nikdo přítomen po dobu přesahující 1 hodinu (týká se jak pracovní, tak i mimopracovní doby). Počítačová média, dokumentace a další materiály obsahující citlivé informace, pro něž je dodatečnými opatřeními stanoven přísnější režim ochrany, je v těchto místnostech v mimopracovní době zakázáno ponechávat volně rozložené například na stolech. Tyto věci 14/24

15 musí být uloženy v úschovných objektech, které jsou k tomu určeny (skříně, plechové uzamykatelné skříně, trezory). Stejně tak v nepřítomnosti uživatelů musí být nastaveno automatické uzamčení obrazovky pracovní stanice. 6. SPRÁVA KOMUNIKACÍ A ŘÍZENÍ PROVOZU 6.1 Provozní postupy a dokumentace K zajištění bezpečného a správného provozu prostředků pro zpracování informací jsou v elektronické a/nebo písemné formě vyhotoveny provozní postupy, které detailně popisují jednotlivé činnosti. Tyto dokumenty mají charakter oficiální dokumentace. Zvláštní důraz je kladen na zpracování postupů spojených se správou informačního systému a jeho jednotlivých částí. V rámci CIT jsou povinnosti a odpovědnosti součástí popisu práce pracovníků. Provozní dokumentace popisuje stav prostředků pro zpracování informací resp. jednotlivých částí informačního systému. Za udržování aktuálního stavu zodpovídají bezpečnostní správci, za hlášení změn zodpovídají správci systémů. Libovolné změny v informačním systému musejí být řízeny, kontrolovány a pokud je to možné také plánovány. K tomu účelu jsou vypracovány změnové řídící postupy, které definují pravomoci a odpovědnosti v rámci provádění jednotlivých změn. 6.2 Plánování a akceptace systému Při plánování změn a rozvoji IS je nutné zajistit zhodnocení vlivu na existující funkci informačního systému, kapacitní plánování (definice výkonnostních požadavků atd.), zaškolení obsluhy a uživatelů, aktualizaci provozní a bezpečnostní dokumentace. Instalace nových systémů stejně jako změny stávajících jsou zakončeny testy, které předcházejí konečné akceptaci změn a systému. Na základě stanovených kritérií je prověřena funkčnost a bezpečnost samotného systému a také dopady na zabezpečení a funkčnost celého informačního systému. Na plánování a akceptaci systému se podílí správci systémů s garantem IS. 6.3 Správce systému a sítě Za správu prostředků zodpovídají jednotliví správci. Správa probíhá podle definovaných provozních postupů. Mezi základní povinnosti správců patří: a) zajištění dostupnosti prostředků (zálohování, ochrana před škodlivým SW, atd.), b) vedení provozních záznamů, c) vyhodnocování auditních záznamů (stavových informací), d) udržování provozní dokumentace. V rámci CIT jsou povinnosti a odpovědnosti součástí popisu práce pracovníků. 6.4 Bezpečnost informací Informace patří k důležitým aktivům OU, stejně důležitým jako jsou aktiva finanční a materiální. Informace jsou součástí majetku, který OU využívá k plnění svých funkcí. OU je správcem informací nejen vlastních, ale také svěřených mu jinými subjekty. O svěřené informace pečuje OU se stejnou odpovědností jako o informace, které jsou součástí jeho majetku. 15/24

16 Zvyšující se závislost zabezpečení činností OU na spolehlivém a bezpečném informačním systému vede k potřebě stanovit závazná bezpečnostní pravidla pro všechny subjekty, které při své činnosti informace a informační systém OU využívají Používání počítačů a médií Informační systém a všechny jeho zdroje (informace, služby, zařízení) jsou majetkem OU nebo majetkem ve správě OU (resp. nájmu). Používání tohoto informačního systému je možné pouze stanoveným způsobem a ke stanovenému účelu, v souladu s právními předpisy, platnými vnitřními normami, schválenou dokumentací a rozhodnutím vedoucích zaměstnanců. Je zakázáno používání informačního systému, jeho aplikačních programů, dat, služeb počítačové sítě, počítačů a jednotlivých zařízení k aktivitám nesouvisejícím s pracovní činností. Výjimky při používání elektronické pošty a při přístupu na Internet jsou uvedeny v příslušných článcích následujících dále v této kapitole. Při styku se subjekty mimo organizaci jsou uživatelé povinni dbát, aby nebyly sdělovány informace o informačním systému, jeho zabezpečení, způsobu ovládání a další podrobnosti, které by mohly být zneužity proti zájmům OU a bezpečnosti informačního systému. Zejména musí ve vlastním zájmu dbát na utajení vlastních přístupových hesel. Uživatelská data obsahující citlivé informace, například data pořízená s využitím kancelářského systému, se ukládají především v určených sdílených nebo domovských adresářích umístěných na souborových serverech (nikoli na jednotlivých pracovních stanicích). Obdobně je preferováno ukládání všech ostatních uživatelských dat, neboť tak je zajištěna jejich kvalitnější ochrana (fyzický i logický přístup, zálohování a další opatření). V případě opuštění pracovního místa uživatelé musí zabezpečit pracovní stanici proti zneužití ostatními zaměstnanci a cizími osobami. K tomu se podle situace použije některá z těchto možností: a) spořič obrazovky chráněný heslem, b) uzamknutí pracovní stanice (je-li to technicky možné) nebo kanceláře, c) uzavření všech aplikací a odhlášení od sítě / systému. Po ukončení práce je uzavření aplikací a odhlášení uživatele povinné. Uživatel nesmí sám provádět žádné změny v programovém vybavení a konfiguraci počítače, kromě změn, ke kterým je výslovně oprávněn. Rozsah těchto oprávnění pro jednotlivé kategorie uživatelů (například instalace motivů pracovní plochy, uspořádání domovských a uživatelských adresářů nebo jejich sdílení) stanoví odpovědný správce. Uživatelům se výslovně zakazuje instalovat jakýkoli software, pokud k tomu nejsou výslovně oprávněni. Instalace volně šířeného a dalšího softwaru pocházejícího z neoficiálních zdrojů je možná pouze za splnění všech následujících podmínek: a) jedná se o software nebo utility pro pracovní účely, b) instalaci provádí pracovník, který je k tomu oprávněný, c) instalace je v souladu s licenčními a dalšími podobnými podmínkami, d) software byl předem prověřen antivirovým programem a otestován z hlediska jeho funkčnosti a kompatibility a schválen zodpovědným správcem. Pro ukládání dat na počítačových médiích (disketách, CD-ROM, aj.) musí být média viditelně označena. Média pro ukládání dat z informačního systému tvoří uzavřený systém a nesmí být předávána mimo pracoviště organizace. 16/24

17 Je-li třeba předat data na počítačovém médiu mimo organizaci, použije se nové médium, nebo musí být předem použito metody bezpečného mazání dříve zapsaných dat Používání elektronické pošty Pro využívání služeb interní elektronické pošty mají oprávnění všichni uživatelé informačního systému. Uživatelé smějí využívat pouze přidělených schránek elektronické pošty. Používání schránek jiných uživatelů je zakázáno. Citlivé informace smějí být přenášeny pouze prostřednictvím univerzitní sítě resp. poštovní aplikace Novell GroupWise, kde dochází k šifrování. Pokud jsou citlivé informace směřovány mimo OU je nutné využit šifrování určeným šifrovacím programem (prostředkem) nebo chráněny jiným schváleným způsobem. Pokud si uživatelé nejsou jisti, kontaktují zodpovědného správce. Elektronická pošta je určena primárně k pracovním účelům; používat elektronické adresy organizace (jmeno.prijmeni@osu.cz) v Internetu pro mimopracovní aktivity je dovoleno jen výjimečně, se zachováním pravidel etického vystupování a s vyloučením případného konfliktu zájmů tak, aby tato komunikace nemohla být zneužita proti zájmům organizace. Pravidla bezpečného používání elektronické pošty stanoví CIT. Uživatelé musí být poučeni o hrozbách zavlečení virů a jsou povinni počínat si opatrně při otevírání zpráv a jejich příloh, zejména těch, které pocházejí od neznámých odesílatelů. Pokud si uživatelé nejsou jisti, kontaktují zodpovědného správce. Jestliže zprávy elektronické pošty obsahují takové informace, které mají dlouhodobou platnost, informace důležité pro rozhodování nebo mají jinou evidentní hodnotu pro OU, musí být uchovávány pro další použití mimo systém elektronické pošty Antivirová ochrana Ochraně informačního systému před zavlečením počítačových virů je věnována soustavná pozornost, která spočívá zejména: a) v prevenci opírající se o výchovu uživatelů, b) v provozování antivirového systému. Uživatelé musí být poučeni o hrozbách počítačových virů a dalšího útočného softwaru. Na všech pracovních stanicích, přenosných počítačích, určených serverech a rozhraních informačního systému musí být instalována aktuální verze schváleného antivirového programu. Antivirový program provádějící kontrolu na pracovních stanicích uživatelů musí umožnit: a) nepřetržitou kontrolu kritických částí disků, souborů a zpráv elektronické pošty na pozadí, b) uživatelem aktivovanou antivirovou kontrolu zvolených médií, adresářů, souborů. Za výběr, instalaci a aktualizaci antivirového systému odpovídá CIT. Uživatelé nesmějí svévolně vypínat antivirovou ochranu ani se pokoušet o její odstranění. V případě podezření na výskyt počítačového viru jsou povinni informovat příslušného správce systému Zálohování a archivace dat Zálohování dat v informačním systému se provádí centrálně podle dokumentace popisující jednak proces zálohování a také samotný proces obnovy. Dokument zálohování schvaluje ředitel CIT. Tento dokument musí být formulován a zpracován tak, aby 17/24

18 v případě nutnosti podle něho bylo možné provést zálohování a obnovu dat i jinými pracovníky, než kteří tuto činnost běžně provádějí. Záložní kopie se ukládají v lokalitě, kde jsou zálohy pořizovány, aby byly k dispozici pro případnou obnovu dat. O místě uložení rozhoduje ředitel CIT. Pokud jsou záložní kopie uloženy mimo zabezpečené místo, musí být zašifrovány. Zálohování dat na pracovních stanicích a na přenosných počítačích se centrálně neprovádí. Povinností uživatelů těchto počítačů je zajistit, aby důležitá data, se kterými pracují, byla zálohována. Vlastníci informací odpovídají za stanovení požadavků na archivaci dat digitálních i analogových v souladu s potřebami organizace případně v souladu s legislativními požadavky. Za správu archivních médií odpovídá zodpovědný správce. O stavu zálohování je pravidelně každý rok vypracovávaná zpráva, která je předkládána řediteli CIT Používání šifrovacích prostředků Šifrovací prostředky jsou používány k ochraně vysoce citlivých informací. V informačním systému mohou být používány pouze schválené šifrovací (kryptografické) prostředky. Pravidla používání šifrovacích prostředků a ochrany šifrovacích klíčů stanoví CIT. 7. ŘÍZENÍ PŘÍSTUPU 7.1 Požadavky na řízení přístupu Každý přístup k informačnímu systému musí být řízeným procesem a jako takový musí podléhat definovaným pravidlům. Tato pravidla jsou definována politikou řízení přístupu, která zohledňuje bezpečnostní požadavky jednotlivých aplikací, klasifikaci informací, pravidla pro šíření informací, odpovídající legislativní a smluvní ustanovení. 7.2 Správa řízení přístupu S každým uživatelským jménem jsou spojena oprávnění aktivně nebo pasivně pracovat s určitými zdroji informačního systému pořizovat, měnit nebo zjišťovat informace, využívat služby počítačové sítě, pracovat s hardwarem a softwarem a další oprávnění. Tato oprávnění se označují jako přístupová práva. Přístupová práva jsou stanovena typově pro jednotlivá funkční místa a role. Za stanovení těchto typových přístupových práv zodpovídá příslušný vlastník informací. V nezbytných případech mohou být stanovena individuální přístupová práva. Přidělení přístupových práv vychází se zásady need to know (potřeba vědět); aplikace této zásady zaručuje přístup ke všem zdrojům informačního systému, které jsou potřeba pro výkon práce na určitém funkčním místě, na druhé straně zabraňuje v přístupu k ostatním zdrojům s cílem omezit chyby, omyly a možnosti zneužití, například vyzrazení citlivých informací. Typová přístupová práva náleží zaměstnanci na základě jeho ustavení na funkční místo. Přidělení individuálních přístupových práv koncovým uživatelům musí odsouhlasit vlastník příslušného informačního aktiva. Individuální přístupová práva správcům systémů (administrátorům) přiděluje ředitel CIT na návrh garanta příslušného informačního systému. Přidělování individuálních přístupových práv se provádí jen ve výjimečných případech. 18/24

19 Za technické nastavení přístupových práv jednotlivých uživatelů a včasné zrušení nebo změnu přístupových práv zodpovídají určení zodpovědní správci systémů. Za kontrolu správnosti nastavení přístupových práv zodpovídají bezpečnostní správci. Přístupová práva se přidělují uživatelům formálně nástupem na funkční místo/roli. Pominou-li důvody přidělení přístupových práv, například odchodem zaměstnance nebo jeho přeřazením na jiné funkční místo, musí být neprodleně přístupová práva zrušena nebo změněna. Za včasné oznámení této skutečnosti zodpovídají vedoucí pracovníci a personální oddělení OU. Nejméně jednou ročně se provádí kontrola aktuálnosti přidělených přístupových práv. Tuto kontrolu organizují bezpečnostní správci a správci jednotlivých systémů v součinností s personálními odděleními OU. V rámci prováděné kontroly se rovněž zjišťuje stav a tendence v přidělování individuálních přístupových práv. Pokud je kontrolou zjištěn nepřiměřený rozsah individuálních přístupových práv, je informován bezpečnostní manažer. Případné problémy se řeší na půdě Rady CIT. Vyhodnocení přístupových práv se provádí v roční zprávě o stavu informační bezpečnosti. Pokud uživatel zjistí, že má přístup ke zdrojům informačního systému, kam za normálních okolností nemá přidělena přístupová práva, je povinen ihned informovat bezpečnostního správce a příslušného správce systému. Může se jednat o technickou závadu nebo chybu správy systému. V žádném případě tato skutečnost neopravňuje uživatele k prohledávání adresářů, spouštění programů a dalším aktivitám, ke kterým nemá formálně přidělena přístupová práva. Základním předpokladem řízení přístupu je správa uživatelů informačního systému. Jedná se především o formalizovaný postup registrace a rušení registrace uživatele. Speciálním případem je pak správa privilegovaných uživatelů (správci, bezpečnostní správci apod.). Uživatelé se liší rozsahem přístupových práv k určitým zdrojům informačního systému (k informacím, službám, zařízením). Každý uživatel informačního systému má přiděleno jedno nebo více uživatelských jmen. Anonymní přístup k informačnímu systému poskytující neveřejné informace (bez uživatelského jména) není dovolen. Uživatelská jména se přidělují tak, aby byla zaručena jejich jedinečnost ve vztahu k fyzickým osobám. Pokud určitý uživatel (fyzická osoba) vystupuje ve více rolích s odlišnými přístupovými právy (například koncový uživatel a správce systému), musí pro tyto různé role používat různá přístupová jména. Autentizace uživatelů se provádí heslem případně jiným prostředkem schváleným CIT. Heslo je tajná posloupnost znaků a jeho volba je v kompetenci uživatele. Pravidla pro manipulaci a výběr hesla stanoví CIT. Uživatelé jsou povinni udržovat svá hesla v tajnosti a nesdělovat je nikomu, a to za žádných okolností a pod žádnou záminkou (zákaz se týká i sdělování hesla nadřízeným pracovníkům, správcům, auditorům a jiným autoritám). Používání hesel sdílených více uživateli je možné pouze u správců systémů a musí být schváleno ředitelem CIT. Inicializační a další dočasná hesla nastavená výrobcem, dodavatelem nebo správcem systému musí být při první příležitosti změněna za hesla zvolená uživatelem. Uživatel musí mít možnost kdykoli a bezodkladně změnit své heslo, případně zajistit zablokování přístupu k informačnímu systému pod svým uživatelským jménem. To je nezbytné v případě, že došlo ke kompromitaci (vyzrazení) hesla nebo má uživatel podezření, že k takové kompromitaci mohlo dojít. 19/24

20 7.3 Odpovědnost uživatelů Uživatel především zodpovídá, že bude postupovat v souladu s bezpečnostní politikou a dalším bezpečnostními nařízeními, které upravují jeho činnosti. Jedná se především o: a) používání hesel, vhodná volba hesla, držení hesla v tajnosti, pravidelné změny hesel, okamžitá změna hesla při podezření z jeho kompromitace, b) zajištění přístupu k uživatelským zařízením a informacím, dodržování zásady čistého stolu při opuštění zařízení zajistit jeho zabezpečení (uzamčení obrazovky, kanceláře apod.), při ukončení práce ukončit všechny aktivní relace a až poté provést vypnutí zařízení. 7.4 Řízení komunikačních vazeb IS OU s vnějšími IS Výměna informací s jakýmkoliv jiným informačním systémem, propojení (vazba) s jiným informačním systémem či připojení jejich prvků k informačnímu systému OU, je možná pouze na základě smlouvy nebo na této úrovni písemně stanovených pravidel či správních aktů. Toto smluvní ujednání stanoví závazné podmínky nakládání s informacemi, resp. náležitosti informací poskytovaných ve prospěch informačního systému. Podle potřeby jsou smluvně upraveny technické podmínky propojení, požadavky na dostupnost informací a náhradní způsoby předávání informací. Smluvní ujednání upravující propojení musí definovat datové prvky a rozhraní včetně popisu vazeb v souladu s bezpečnostními předpisy. Propojení s ostatními informačními systémy schvaluje Rada CIT. K záměru propojení se musí vyjádřit vlastník příslušného informačního aktiva a bezpečnostní manažer. Za propojení s ostatními informačními systémy odpovídají po stránce věcné a smluvní garanti informačních systémů, po stránce informačních technologií ředitel CIT. V případě nedodržení smluvních ujednání jsou přijímána okamžitá opatření ke sjednání nápravy u správce příslušného jiného informačního systému včetně případného vypovězení smluvního ujednání. 7.5 Monitorování používání a přístupu k systému V rámci řízení přístupu k prostředkům informačního systému musí být prováděn také dohled přístupů. Hlavním účelem tohoto dohledu je odhalování neautorizovaných aktivit a dalších bezpečnostních incidentů. Dohled spočívá v zaznamenávání stavových informací jednotlivých systémů, především pak výjimečných stavů a dalších bezpečnostně relevantních událostí. Tyto informace musí být pravidelně zpracovávány příslušnými správci minimálně jednou denně a minimálně jednou měsíčně musí být prováděna kontrola bezpečnostním správcem. Stavové informace musí obsahovat: a) identifikátor uživatele, b) datum a čas v němž se zaznamenaná událost uskutečněna, 20/24

21 c) identifikace místa, kde byl uživatel přihlášen, d) záznam o tom zda událost proběhla úspěšně nebo neúspěšně. Mezi relevantní stavové informace patří především: a) pokusy o neautorizované přístupy k informacím a systémům, b) všechny privilegované operace, c) varovná a chybová hlášení jednotlivých systémů. Důležitým údajem stavových informací je čas, povinností správců je dohled nad správným nastavením systémového času. K časové synchronizaci pokud je to možné, by mělo být využito technických prostředků. Stavové informace patří k důležitým datům a mohou být nezbytné v důkazovém řízení (například v rámci disciplinárního řízení) a jako takové musí být archivovány. Doba po niž jsou archivovány je dána důležitostí systému. Všichni uživatelé informačního systému si musí být vědomi, že jejich aktivity v informačním systému mohou být průběžně protokolovány a následně auditovány, a to i bez předchozího upozornění. 7.6 Mobilní prostředky a vzdálený přístup Přenosné počítače (notebooky) a další mobilní prostředky umožňující zpracování informací mimo vlastní informační systém OU, nebo umožňující vzdálený přístup k informačnímu systému přidělené některým zaměstnancům jsou evidovány. Zaměstnanec, kterému byl takovýto prostředek přidělen, zodpovídá za jeho ochranu od protokolárního převzetí do jeho navrácení. Pokud příslušný vedoucí zaměstnanec nestanoví jinak, nesmí uživatel přenosného počítače povolit nebo umožnit jeho užívání jiné osobě. Uživatel přenosného počítače je za toto zařízení zodpovědný. Na přenosných počítačích smějí být ukládána data z informačního systému pouze při dodržení následujících podmínek: a) citlivé informace, pro něž je dodatečnými opatřeními stanoven přísnější režim ochrany lze ukládat pouze tehdy, jsou-li zašifrovány schváleným šifrovacím programem, b) ostatní citlivé informace mohou být výjimečně ukládány i bez zašifrování, avšak pouze na dobu nezbytně nutnou, c) informace klasifikované jako veřejné informace smějí být ukládány bez omezení. Nejméně jednou ročně uživatelé předkládají přenosné počítače k údržbě příslušným správcům systému. Pro přenosné počítače ať již jsou majetkem OU a nebo soukromým majetkem zaměstnanců či studentů, které využívají prostředků sítí a IS OU platí všechna pravidla stanovená touto bezpečnostní politikou pro počítače a informační systém (změny v programovém vybavení, zálohování, antivirová ochrana a další opatření). Vzdálený přístup k neveřejným částem informačního systému podléhá vždy autentizaci a je zabezpečen šifrováním. 8. VÝVOJ A ÚDRŽBA SYSTÉMU Řízení vývoje informačního systému a jeho změny se provádějí v souladu s formálně stanovenými pravidly, které jsou obsahem vnitřní normy OU. Za realizaci těchto pravidel v praxi a za jejich dodržování odpovídají garanti informačních systémů. 21/24