Městská část Praha Zbraslav Zbraslavské náměstí 464 156 00 Praha Zbraslav tel/fax: +420 257 111 888 e- mail: info@mc-zbraslav.cz http: www.mc-zbraslav.cz Název: Politika bezpečnosti informací Řízení bezpečnosti informačního systému veřejné správy Vlastník (garant): Tajemnice ÚMČ Praha-Zbraslav Účel zpracování: Naplnit požadavky zákona č. 365/2000 Sb., o informačních systémech veřejné správy Schváleno Zastupitelstvem MČ Praha-Zbraslav usnesením číslo xx ze dne xx Dne: Ing. Zuzana Vejvodová Starostka MČ Praha-Zbraslav Účinnost od: 1.1.2018 Platnost do: 31.1.2023 Přehled rušených nebo nahrazovaných dokumentů Nový dokument Rozsah znalostí úplná informativní Vedoucí zaměstnanci, Správce systému, Bezpečnostní správce systému, Garanti IS, Garanti aktiv Uživatelé informačních systémů (veřejné správy) Evidenční číslo Počet listů: 49 Klasifikace Provozní informace Počet výtisků: Verze 2.0 Výtisk číslo: Přílohy 02/01/2017 č. 1 - Základní pojmy ING. JAN RADA TEL.: 737250009, EMAIL: JNRD@EMAIL.CZ
Obsah I. Úvodní ustanovení... 6 1. Rozsah, účel a cíl... 6 2. Závaznost... 6 3. Použité pojmy a zkratky... 6 Politika bezpečnosti informací... 6 Bezpečnost informací... 7 Aktiva... 7 Rizika... 8 Řízení rizik... 8 Stanovení kontextu... 9 Hodnocení rizik (analýza rizik)... 9 Zvládání rizik... 10 Akceptace rizik... 10 II. Řízení bezpečnosti informací... 11 1. Rozsah řízení bezpečnosti informací (kontext)... 11 2. Požadavky vybraných právních předpisů... 11 3. Závazek Vedení městské části... 13 4. Subjekty řízení bezpečnosti informací... 14 Vedení městské části... 15 Vedoucí zaměstnanci... 15 Odborné orgány a role v systému bezpečnosti informací... 15 Vlastníci (garanti) aktiv... 15 Bezpečnostní správce systému... 15 Správce systému... 16 Uživatelé... 16 Odbor kancelář tajemníka OKT... 16 Třetí strany... 16 5. Obecná opatření k zajištění bezpečnosti informací... 18 Školení, informovanost a odborná způsobilost... 18 6. Hodnocení a zvládání rizik... 20 Analýza rizik... 20 Hodnocení rizik... 21 Návrh a implementace opatření ke zvládání rizik... 21 Akceptace rizik... 22 7. Provozní dokumentace a záznamy... 23 Provozní dokumentace... 23 Záznamy... 23 8. Zlepšování ochrany informací... 24 III. Požadavky na opatření k zajištění bezpečnosti informací... 25 1. Řízení aktiv... 25 Odpovědnost za aktiva... 25 Evidence aktiv... 25 Vlastnictví aktiv... 25 Přípustné použití aktiv... 26 KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 2/49
Klasifikace informací... 26 2. Personální bezpečnost... 28 Před vznikem pracovního poměru... 28 Během pracovního poměru... 29 Odpovědnosti vedoucích zaměstnanců... 29 Bezpečnostní povědomí, vzdělávání a školení v oblasti bezpečnosti informací... 29 Disciplinární řízení... 29 Při ukončení nebo změně pracovního vztahu... 30 Navrácení zapůjčených prostředků... 30 Odebrání přístupových práv... 30 3. Fyzická bezpečnost a bezpečnost prostředí... 31 Zabezpečené oblasti... 31 Fyzické kontroly vstupu osob... 32 Zabezpečení kanceláří, místností a prostředků... 32 Ochrana před hrozbami vnějšku a prostředí... 32 Práce v zabezpečených oblastech... 33 Bezpečnost zařízení... 33 Umístění zařízení a jeho ochrana... 33 Podpůrná zařízení... 33 Bezpečnost kabelových rozvodů... 34 Údržba zařízení... 34 Bezpečná likvidace nebo opakované použití zařízení... 34 Přemístění prostředků pro zpracování informací... 34 4. Řízení komunikací a provozu... 36 Provozní postupy a odpovědnosti... 36 Dokumentace provozních postupů... 36 Provádění změn... 36 Oddělení povinností... 36 Oddělení vývoje, testování a provozu... 37 Dodávky služeb třetích stran (externích subjektů)... 37 Dodávky služeb... 37 Monitorování a přezkoumávání služeb třetích stran... 37 Plánování a přejímání informačních systémů... 37 Ochrana proti škodlivým programům... 38 Zálohování... 38 Správa bezpečnosti sítě... 38 Síťová opatření... 38 Bezpečnost síťových služeb... 38 Bezpečnost při zacházení s médii... 39 Správa výměnných počítačových médií... 39 Likvidace médií... 39 Správa bezpečnosti sítě... 39 Poskytování (výměna) informací... 39 Monitorování... 39 Monitorování používání systému... 40 Ochrana vytvořených záznamů... 40 5. Řízení přístupů... 41 KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 3/49
Rozsah a úroveň přístupových práv... 41 Přístup uživatelů... 41 Privilegovaný přístup... 42 Správa uživatelských hesel... 42 Přezkoumání přístupových práv uživatelů... 42 Odpovědnosti uživatelů... 42 Přístup k operačnímu systému... 42 Přístup k informacím... 43 Mobilní výpočetní technika a práce na dálku... 43 6. Akvizice, vývoj a údržba informačních systémů... 44 Požadavky na bezpečnost informací a prostředků pro jejich zpracování... 44 Požadavky na kvalitu informací... 44 Kryptografická ochrana... 45 7. Zvládání bezpečnostních incidentů... 46 Shromažďování důkazů... 46 8. Zvládání mimořádných událostí (Řízení kontinuity činností)... 47 9. Soulad s požadavky... 48 Ochrana duševního vlastnictví... 48 Ochrana dat a soukromí osobních údajů... 48 Ochrana záznamů... 48 IV. Záznamy o revizích a změnách Informační koncepce... 49 KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 4/49
Obrázky Tabulky Odkazy na přílohy Příloha Příloha č. 1 Základní pojmy Odkaz PBI P1 Základní pojmy bezpečnosti in KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 5/49
I. Úvodní ustanovení 1. Rozsah, účel a cíl Tato politika bezpečnosti informací (dále jen Politika ) se vztahuje na informační systém veřejné správy (dále i IS ) a provozní systémy spravované Městskou částí Praha Zbraslav (dále i MČ ) a provozované ÚMČ Praha-Zbraslav (dále i ÚMČ ), které jsou popsány v Politice dlouhodobého řízení informačních systémů, s výjimkou informací a informačních systémů spadajících do působnosti zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Účelem této Politiky je naplnit požadavky zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a dalších právních předpisů (například zákona č. 101/2000 Sb., o ochraně osobních údajů), které stanovují povinnosti při ochraně informací v průběhu jejich pořizování, zpracování a poskytování. Cílem této Politiky je deklarovat zájem zastupitelstva, rady a starostky MČ Praha-Zbraslav a tajemnice Úřadu MČ Praha-Zbraslav (dále i Vedení městské části ) na ochraně informací zpracovávaných informačními systémy a prostředky pro zpracování informací, definovat řídící strukturu a stanovit odpovědnosti a základní principy a směry řízení bezpečnosti informací. 2. Závaznost Tato Politika se vztahuje a je závazná pro všechny, kdo přichází do styku s informacemi a prostředky pro jejich zpracování MČ Praha-Zbraslav, zejména s informacemi charakteru osobních údajů, ve všech fázích jejich zpracování. Politika musí být uplatňována v přiměřeném rozsahu i ve vztahu k třetím stranám. 3. Použité pojmy a zkratky Pojmy z oblasti ochrany informací jsou v příloze č. 1 - Základní pojmy v oblasti bezpečnosti informací. Zde jsou rozebrány podrobněji jen ty nejdůležitější. Politika bezpečnosti informací Politika bezpečnosti informací je základním a výchozím dokumentem řízení bezpečnosti informací, který deklaruje zájem a odpovědnost Vedení městské části na řízení bezpečnosti informací a stanovuje rozsah, cíle, zásady a požadavky na opatření ke zvládání rizik. Politika podléhá pravidelnému přezkoumávání. Politika je strukturována do dvou základních částí, z nichž jedna stanovuje zásady a pravidla systému řízení bezpečnosti informací a druhá definuje požadavky na jednotlivé oblasti (tzv. aspekty) bezpečnosti informací. Požadavky (aspekty) jsou spolu s výsledky analýzy rizik východiskem pro návrh opatření ke zvládání identifikovaných, ale neakceptovaných rizik ve vztahu k informacím a dalším aktivům MČ. Obrázek 1: Struktura Politiky bezpečnosti informací KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 6/49
Bezpečnost informací Bezpečnost informací je chápána jako zajištění dostupnosti, důvěrnosti a integrity informací, prostředků pro jejich zpracování, služeb a dalších aktiv. Obrázek 2: Bezpečnost informací Dostupnost je chápána jako zajištění toho, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby, Důvěrnost je chápána jako zajištění toho, že informace je přístupná nebo sdělena pouze těm, kteří jsou k tomu oprávněni, Integrita je chápána jako zajištění správnosti a úplnosti informace a zajištění toho, že informace nebyla neoprávněně měněna. K zajištění dostupnosti, důvěrnosti a integrity informací byly stanoveny dlouhodobé cíle a požadavky (viz. Kapitola Chyba! Nenalezen zdroj odkazů.. Chyba! Nenalezen zdroj odkazů.). Konkrétní opatření, tedy způsob, jak budou požadavky plněny, bude stanoven na základě provedené analýzy rizik. Aktiva Nejdůležitějším aktivem jsou informace, které je nutné vnímat v kontextu zájmů MČ, procesů a služeb poskytovaných ÚMČ, a také v kontextu prostředků pro zpracování informací. Aktivem nejsou jen vlastní informace a prostředky pro jejich zpracování, ale i takové hodnoty jako je dobré jméno MČ nebo ÚMČ. Z pohledu standardů bezpečnosti informací, je aktivem cokoli, co má pro organizaci nezanedbatelnou cenu. Obrázek 3: Struktura aktiv KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 7/49
Informace, prostředky pro jejich zpracování, služby a vše ostatní, co je nezbytné pro fungování prostředků pro zpracování informací, a poskytování služeb ÚMČ jsou aktiva MČ, která je nutné přiměřeným způsobem chránit, aby nedošlo k narušení stanovené úrovně jejich dostupnosti, důvěrnosti a integrity v důsledku působení hrozeb. Protože informace jsou nehmotné, musí být uloženy na nosiči nebo zpracovávány zařízením, jsou do bezpečnosti informací zahrnuty i tyto prostředky (aktiva). Míru jejich ochrany však určují informace, které jsou na nich uloženy nebo jsou jimi zpracovávány. Rizika Riziko je numerické vyjádření toho, že hrozba s danou pravděpodobností využije zranitelnost aktiva a způsobí tak škodu. Obrázek 4: Působení hrozby na aktivum Situace, kdy hrozba využije zranitelné místo, nebo opatření ke zvládání rizik není dodrženo, je bezpečnostním incidentem. Řízení rizik Řízení rizik zahrnuje odpovědnost, postupy a metody odhadu rizik a jejich zvládání. Odhad rizik je výsledkem analýzy rizik, ve které se identifikují hrozby, stanovují pravděpodobnosti jejich výskytu, a identifikují se možné scénáře dopadu hrozby na aktiva. Konkrétní metoda odhadu rizik musí být uvedena v Metodice analýzy rizik. Zvládání rizik je prováděno opatřeními, která zajistí, že se organizace riziku vyhne nebo je přenese na jiný subjekt nebo rizika budou akceptovatelná pro Vedení městské části. Řízením rizik (bezpečnosti informací) je zajišťována kontinuita činností agend (procesů), a také jsou minimalizovány ztráty a škody vzniklé v důsledku bezpečnostních incidentů. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 8/49
Stanovení kontextu Stanovení kritérií Definování rozsahu a hranic Stanovení odpovědností Hodnocení rizik Analýza rizik Identifikace rizik Identifikace a ohodnocení aktiv Identifikace hrozeb Identifikace zranitelností Identifikace dopadů (následků) Odhad rizik Hodnocení dopadů (následků) Určení pravděpodobnosti incidentu Odhad míry (úrovně) rizik Vyhodnocení rizik Kategorizace rizik Zvládání rizik Rozhodnutí o naložení s riziky Akceptace rizik Rozhodnutí o akceptaci zbytkových rizik Obrázek 5: Schéma řízení rizik podle ČSN ISO/IEC 27005 Stanovení kontextu Cílem stanovení kontextu je definovat hranice, kde bude systém řízení bezpečnosti informací aplikován, stanovit jednoznačné odpovědnosti a definovat kritéria pro akceptaci rizik. Hodnocení rizik (analýza rizik) Stanovení míry rizik je základní proces řízení bezpečnosti informací, který předurčuje, jaká opatření a v jaké ceně budou následně navržena a aplikována pro zajištění požadované úrovně bezpečnosti informací. Nejdůležitějším faktorem pro analýzu rizik je hodnota aktiva, která se stanovuje na základě ceny pořízení nebo znovupořízení aktiva, škod vzniklých v důsledku narušení bezpečnosti. Škody mohou být i nemateriální, například poškození dobrého jména. Hodnota aktiva se proto stanovuje s využitím škály koeficientů. Analýza rizik je prováděna podle Metodiky analýzy rizik, která obsahuje postupy provádění analýzy rizik, škály použitých koeficientů a postup stanovení míry rizik. Metodika musí KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 9/49
zajistit srovnatelnost výsledků při každém opakování analýzy rizik. Metodiku zpracuje bezpečnostní správce systému. Zvládání rizik Zvládání rizik je proces, kdy Vedení městské části zhodnotí výsledky analýzy rizik (rizika) a rozhodne o tom, jak budou odhadnutá rizika zvládána. Výsledkem tohoto procesu je dokumentované rozhodnutí Vedení městské části o tom, která rizika budou akceptována, která budou přenesena na jiný subjekt, kterým se MČ vyhne a pro která přijme opatření k jejich zvládání (redukci). Rizika mohou být zvládána jedním nebo kombinací: 1. Návrhem a zavedením opatření k redukci rizika, 2. podstoupením rizika, 3. vyhnutím se riziku, 4. přenosem rizika. Návrh a zavedení opatření k redukci rizik Návrh a zavedení opatření k redukci rizik je činnost Bezpečnostního správce systému a Garanta IS, jehož výsledkem jsou přiměřená, zpravidla organizačně technická opatření, která sníží míru rizik na akceptovatelnou úroveň. Podstoupení rizik Jestliže úroveň rizik splňuje kritéria akceptace rizik stanovená v Metodice analýzy rizik, nejsou přijímána další opatření a rizika lze podstoupit. Vyhnutí se riziku Když jsou identifikovaná rizika příliš vysoká, nebo když náklady na uplatnění jiných způsobů zvládání rizik převyšují přínosy, MČ se může vyhnout riziku tím, že upustí od dané činnosti nebo změní podmínky, za nichž tuto činnost provádí (například přesunutím činnosti do jiných prostor). Přenos rizik Přenos rizika zahrnuje rozhodnutí sdílet vybraná rizika s třetími stranami (např. externí služby nebo pojištění). Při přenosu rizika je nezbytné identifikovat a analyzovat nová rizika vzniklá s přenesením původních rizik. Také je potřeba vzít v úvahu, že v určitých případech není možné přenést odpovědnost za dopad rizika. Akceptace rizik Výsledkem kroku akceptace rizik je dokumentované rozhodnutí Vedení městské části o přijmutí zbytkových rizik, která vyhovují stanoveným kritériím akceptace rizik nebo o přijmutí rizik, která nesplňují kritéria akceptace, pokud k tomu jsou závažné důvody. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 10/49
II. Řízení bezpečnosti informací 1. Rozsah řízení bezpečnosti informací (kontext) Tato Politika pokrývá bezpečnost informací, zpracovávaných v informačním systému veřejné správy, specifikovaném v informační koncepci, bez ohledu na místo jejich zpracování. Řízení bezpečnosti informací zahrnuje pravidelné přezkoumávání a zlepšování samotného systému řízení bezpečnosti informací, rizik a opatření k jejich zvládání. Pro stanovení požadavků na bezpečnost informací byla použita norma ČSN ISO/IEC 17799 (ISO/IEC 27002). Konkrétní opatření ke zvládání rizik budou navržena v závislosti na výsledku analýzy rizik a budou upřesňována a doplňována v rámci hodnocení jejich účinnosti. 2. Požadavky vybraných právních předpisů Oblast bezpečnosti informací upravuje řada zákonů, vyhlášek a mezinárodních i národních standardů. Následující výčet právních předpisů je pouze základní a obsahuje právní předpisy s přímým dopadem na řízení bezpečnosti informací. Tabulka 1: Hlavní právní předpisy upravující bezpečnost informací Právní předpis Ústavní zákon č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky Zákon č. 101/2000 Sb., o ochraně osobních údajů Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 (GDPR) Zákon č. 106/1999 Sb., o svobodném přístupu k informacím Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy Vyplývající povinnosti Listina základních lidských práv a svobod, která stanovuje základní lidská práva a svobody, Politická práva, práva národnostních a etických menšin, dále hospodářská, sociální a kulturní práva, právo na soudní a právní ochranu. Tato práva a svobody, zejména čl. 10, odstavec (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě., mohou být porušena narušením bezpečnosti informací. Zákon o ochraně osobních údajů přímo stanovuje povinnosti pro zajištění bezpečnosti informací (osobních údajů). Tento zákon, který je jednou z hlavních právních norem řešících bezpečnost informací, přímo stanovuje povinnosti správce a zpracovatele osobních údajů. Nařízení stanovuje pravidla ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla volného pohybu osobních údajů. Zákon ukládá státním orgánům a orgánům územní samosprávy povinnost poskytovat informace vztahující se k jejich působnosti. Z hlediska bezpečnosti je kladen důraz na dostupnost a integritu zveřejňovaných informací. Tento klíčový právní předpis pro oblast řízení informačních systémů, stanovuje odpovědnosti a požadavky na zajištění kvality a bezpečnosti informací, prostředků pro jejich zpracování (informační systémy veřejné správy) a služeb poskytovaných orgánem veřejné správy s využitím těchto prostředků. Vyhláška stanoví a) požadavky na strukturu a obsah informační koncepce, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy, b) požadavky na strukturu a obsah provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 11/49
Právní předpis Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 480/2004 Sb., o některých službách informační společnosti Zákon č. 89/2012 Sb., občanský zákoník Zákon č. 240/2000 Sb., o krizovém řízení Zákon č. 89/1995 Sb., o státní statistické službě Zákon č. 40/2009 Sb., trestní zákoník Zákon č. 499/2004 Sb., o archivnictví a spisové službě Vyplývající povinnosti Zákon o elektronickém podpisu je významným zákonem, který řeší používání jednoho prostředku pro zajištění bezpečnosti informací při elektronickém styku mezi úřady, mezi úřady a občany nebo třetími stranami. Zákon upravuje odpovědnosti, práva a povinnosti subjektů poskytujících služby informační společnosti a šíření obchodní sdělení. Zákon dále reguluje nevyžádanou elektronickou inzerci, tzv. spam, který je jednou ze základních hrozeb pro automatizované informační systémy, jejíž možné dopady musí být v rámci bezpečnosti informací minimalizovány. Zákon upravuje mimo jiné obchodní závazkové vztahy, jakož i některé jiné vztahy s podnikáním související. Oblasti informační bezpečnosti se dotýká ochrany obchodního tajemství. Zákon stanoví působnost a pravomoc státních orgánů a orgánů územních samosprávných celků a práva a povinnosti právnických a fyzických osob při přípravě na krizové situace. Problematiky bezpečnosti informací se zákon dotýká tím, že specifikuje Informační systémy krizového řízení a požadavky na jejich zabezpečení. Zákon stanovuje odpovědnosti, pravomoci a postupy při získávání údajů, vytváření statistických informací o sociálním, ekonomickém, demografickém a ekologickém vývoji České republiky a jejích jednotlivých částí, poskytování statistických informací a jejich zveřejňování. Rovněž stanovuje povinnosti při ochraně důvěrných údajů. Účelem trestního zákona je chránit zájmy společnosti, ústavní zřízení České republiky, práva a oprávněné zájmy fyzických a právnických osob. Oblasti bezpečnosti informací jsou stanoveny sankce například v případě: neoprávněného nakládání s osobními údaji, neoprávněného přístupu k počítačovému systému a nosiči informací nebo poškození záznamu v počítačovém systému a na nosiči informací a zásahu do vybavení počítače z nedbalosti Zákon upravuje výběr, evidenci a kategorizaci archiválií, ochranu archiválií, práva a povinnosti vlastníků archiválií a dalších subjektů, využívání archiválií, zpracování osobních údajů pro účely archivnictví, soustavu archivů, práva a povinnosti zřizovatelů archivů, spisovou službu, působnost Ministerstva vnitra a dalších správních úřadů na úseku archivnictví a spisové služby a stanoví řešení správních deliktů. Problematiky bezpečnosti informací se zákon dotýká v oblasti: výběru archiválií z dokumentů obsahujících utajované skutečnosti, obchodní a bankovní tajemství a osobní údaje, povinnosti mlčenlivosti zaměstnanců na úseku archivnictví, nahlížení do archiválií vztahujících se k žijící osobě, Archiv je zákonem výslovně označen za správce osobních údajů podle zákona č. 101/2000 Sb., o ochraně osobních údajů. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 12/49
3. Závazek Vedení městské části Zastupitelstvo, rada a starostka MČ Praha-Zbraslav a tajemnice si uvědomují důležitost ochrany (bezpečnosti) informací zpracovávaných Úřadem MČ Praha-Zbraslav a vnímají ji jako součást plnění požadavků právních předpisů, a proto tímto veřejně deklarují svůj zájem na ochraně informací, zejména na ochraně osobních údajů, vlastních informací a informací třetích stran, zpracovávaných MČ. Vedení městské části si je vědomo skutečnosti, že MČ Praha-Zbraslav je správcem informačních systémů veřejné správy podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a také správcem osobních údajů podle zákona č. 101/2000 Sb., o ochraně osobních údajů, že je povinno poskytovat informace podle zákona 106/1999 Sb., o svobodném přístupu k informacím, a že je povinno plnit povinnosti v oblasti ochrany informací, vyplývající z těchto a dalších právních předpisů. Vedení MČ vyhlašuje následující cíle bezpečnosti informací: 1. Dosáhnout vysoké spolehlivosti zpracování informací zajištěním jejich dostupnosti, důvěrnosti a integrity, 2. zavést řízení bezpečnosti informací jako integrální součást řídících procesů, 3. striktně dodržovat požadavky právních předpisů na zpracovávání informací, 4. chránit informace a jiná aktiva nezanedbatelné hodnoty, 5. zajistit vysokou kvalitu informací, 6. neustále zvyšovat povědomí a znalosti zaměstnanců ÚMČ o ochraně informací, 7. zamezit vzniku bezpečnostních incidentů a minimalizovat škody způsobené bezpečnostními incidenty a 8. zajistit kontinuitu informační podpory činnosti ÚMČ. Vedení městské části se zavazuje: 1. Vytvářet vhodné podmínky umožňující zaměstnancům zajišťovat ochranu informací, 2. zajistit odborný růst zaměstnanců, aby byli schopni plnit požadavky na ochranu informací, 3. poskytovat zdroje pro návrh, realizaci a zlepšování opatření, zajišťujících stanovenou míru ochrany informací, 4. zahrnout ochranu informací do svých řídících procesů. Tajemnice ÚMČ Praha-Zbraslav (dále jen Tajemnice ) od zaměstnanců vyžaduje: 1. Aktivní přístup při návrhu, zavádění, dodržování a zlepšování opatření k zajištění bezpečnosti informací, 2. důsledné naplňování cílů a dodržování zavedených opatření bezpečnosti informací, 3. důsledné dodržování platných právních předpisů a souvisejících vnitřních předpisů, 4. rozšiřování a zvyšování svých znalostí a povědomí v oblasti ochrany informací. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 13/49
4. Subjekty řízení bezpečnosti informací Právní předpisy a normy stanovují role nutné pro správu a provozování IS. Nejdůležitější role jsou uvedeny v následující tabulce. Tabulka 2: Nejdůležitější role pro provozování IS Role Správce IS (Správce IS) ( 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy) Provozovatel IS (Provozovatel IS) ( 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy) Správce systému ( 12 vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy) Bezpečnostní správce systému ( 12 vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy) Správce osobních údajů ( 4 zákona 101/2000 Sb., o ochraně osobních údajů) Vlastník aktiva (ISO/IEC 27001) Charakteristika Správcem IS je subjekt, který podle zákona určuje účel a prostředky zpracování informací a za informační systém odpovídá. Provozovatelem IS je subjekt, který provádí alespoň některé informační činnosti související s informačním systémem. Provozováním IS může správce pověřit jiné subjekty, pokud to jiný zákon nevylučuje. Správce systému je zaměstnanec nebo jiná fyzická osoba, která zajišťuje řízení provozu IS. Bezpečnostní správce systému je zaměstnanec nebo jiná fyzická osoba, která zajišťuje kontrolu bezpečnosti IS. Správcem osobních údajů je každý subjekt, který určuje účel a prostředky pro zpracování osobních údajů, provádí zpracování a odpovídá za něj. Vlastník aktiva (služby, informace a prostředky pro jejich zpracování) je role, která za aktivum odpovídá, klasifikuje ho ohodnocuje ho a určuje přípustný způsob použití aktiva. Obrázek 6: Role při řízení bezpečnosti informací KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 14/49
Vedení městské části Za bezpečnost informací, tj. za zajištění dostupnosti, důvěrnosti a integrity informací a dohledatelnosti aktivit, za dodržování platných právních předpisů v oblasti bezpečnosti informací, a za řízení a koordinaci bezpečnosti informací odpovídá Tajemnice. Povinnosti spojené s ochranou informací a dalších aktiv MČ vykonává zaměstnanec ÚMČ, který je starostkou MČ Praha-Zbraslav jmenován do role Bezpečnostní správce systému podle vyhlášky č. 529/2006 Sb., vyhláška o dlouhodobém řízení informačních systémů veřejné správy. Tajemnice vytváří předpoklady a poskytuje zdroje pro řízení bezpečnosti informací, pro realizaci a provozování opatření ke zvládání rizik a pro pravidelné školení Bezpečnostního správce systému a ostatních zaměstnanců ÚMČ v oblasti bezpečnosti informací. Vedoucí zaměstnanci Vedoucí zaměstnanci odpovídají za zavedení a dodržování opatření ke zvládání rizik (opatření k ochraně informací) ve své působnosti. Vytváří podmínky pro dodržování nastavených pravidel ochrany informací svými podřízenými. Vedoucí zaměstnanci se podílí na: 1. odhadu míry rizik a na pravidelném přezkoumávání rizik, 2. návrhu, implementaci a zlepšování opatření ke zvládání rizik, 3. šetření bezpečnostních incidentů a na disciplinárních řízeních s těmi, kdo bezpečnostní incident zavinili. Odborné orgány a role v systému bezpečnosti informací Vlastníci (garanti) aktiv Vlastnictví aktiva je metodou, jak aplikovat požadavek na přidělení jednoznačné odpovědnosti za každé aktivum. Vlastník aktiva odpovídá za svěřené aktivum a nastavuje pravidla pro jeho používání. Jeho aktivum je pak používáno oprávněnými osobami přesně podle jím nastavených pravidel. Vlastník (garant) aktiva je určený zaměstnanec ÚMČ, který: 1. klasifikuje a ohodnocuje aktivum, 2. stanovuje pravidla pro používání jím vlastněného aktiva, 3. podílí se na hodnocení míry rizik a návrhu a implementaci opatření ke zvládání rizik ve vztahu k vlastněnému aktivu, 4. má pravomoc vydávat úkoly směřující o ochraně aktiva všem jeho uživatelům. Metodicky jsou vlastníci (garanti) aktiv řízeni bezpečnostním správcem systému, který jim poskytuje odbornou pomoc. Vlastníky (garanty) aktiv určuje Tajemnice. Bezpečnostní správce systému Bezpečnostní správce systému je role, do které je určen zaměstnanec ÚMČ, který: 1. přezkoumává a zdokonaluje Politiku bezpečnosti informací, 2. identifikuje a analyzuje hrozby a zranitelnosti aktiv a stanovuje míry rizik, 3. navrhuje a kontroluje zavedení opatření ke zvládání rizik, 4. školí a poskytuje odbornou pomoc uživatelům a vlastníkům aktiv, 5. eviduje a šetří bezpečnostní incidenty, 6. navrhuje opatření proti opakování bezpečnostních incidentů, 7. vytváří hodnotící zprávy o stavu bezpečnosti informací pro Tajemnice. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 15/49
Správce systému Správce systému je zaměstnanec ÚMČ nebo externí poskytovatel služeb, který zajišťuje provoz IS, a který zejména: 1. nastavuje a provozuje svěřené části IS tak, aby byla zajištěna požadovaná kvalita a bezpečnost zpracovávaných informací, 2. implementuje a provozuje opatření zajišťující dostupnost, důvěrnost a integritu informací a průběhu jejich zpracovávání podle pokynů Bezpečnostního správce systému, 3. monitoruje průběh zpracování informací (provoz IS) a aktivity uživatelů a poskytuje o tom zprávy oprávněným osobám, 4. navrhuje změny infrastruktury IS s cílem zvýšit kvalitu a bezpečnost informací. Uživatelé Uživatelé jsou fyzické osoby, které mají v předem definovaném rozsahu právo pořizovat, zpracovávat a využívat informace pomocí prostředků pro jejich zpracování. Uživatelem informačního sytému veřejné správy může být: 1. osoba v pracovněprávním vztahu s ÚMČ, která má přidělena přístupová práva k informacím a prostředkům pro jejich zpracování, 2. jiná fyzická osoba, které byl povolen přístup k informacím a prostředkům pro jejich zpracování na základě smluvního vztahu, v němž je přesně stanoven rozsah a úroveň přidělených přístupových práv. Každý uživatel musí být před přidělením přístupu k informacím a prostředkům pro jejich zpracování prokazatelně seznámen se svými právy a povinnostmi z hlediska: 1. práce s informacemi a prostředky pro jejich zpracování, 2. zajišťování kvality informací, 3. dodržování bezpečnosti informací a 4. možných sankcí při zavinění bezpečnostního incidentu. Odbor kancelář tajemníka OKT Organizačně zajišťuje provoz prostředků pro zpracování informací a zajišťuje plnění Politiky bezpečnosti informací. Poskytuje podporu všem uživatelům a kontroluje dodržování Politiky bezpečnosti informací, souvisejících vnitřních předpisů a zavedených opatření ke zvládání rizik. Účastní se řešení bezpečnostních incidentů a je účastníkem disciplinárního řízení. Zajišťuje výběr zaměstnanců a další činnosti před vznikem, v průběhu a při ukončení pracovního vztahu v souladu s požadavky stanovenými Politikou bezpečnosti informací a zavedenými opatřeními k zajištění bezpečnosti informací. Ukládá záznamy o výsledcích disciplinárních řízení při řešení bezpečnostních incidentů. Třetí strany Třetí stranou je pro účely Politiky bezpečnosti informací právnická nebo fyzická osoba, která není v pracovně právním s ÚMČ a účastní se procesu zpracování informací, nebo využívá informace v něm zpracovávané, nebo se jinak podílí na provozování IS. Poznámka: Třetí stranou je i osoba, která poskytuje služby, které bezprostředně nesouvisí s provozem IS, ale může zapříčinit bezpečnostní incident. Příkladem je zásobování provozním materiálem, úklid nebo revize zařízení. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 16/49
Třetí strany si musí být vědomy své odpovědnosti za bezpečnost informací zpracovávaných prostředky pro jejich zpracování. Pokud je nezbytné přidělit třetím stranám přístupová práva, přidělují se pouze na základě právního předpisu nebo smluvního vztahu a vždy dokumentovaným způsobem. Zaměstnanci ÚMČ, kteří připravují a uzavírají smluvní vztah s třetími stranami, jehož obsahem je i přístup k aktivům, musí zajistit, že smlouvy obsahují ustanovení, která stanovují požadavky na bezpečnost těchto aktiv. Smlouvy také musí obsahovat ujednání o sankcích pro případ, že třetí strana zaviní nebo způsobí bezpečnostní incident. Výše těchto sankcí musí odpovídat předpokládané výši škody, která může v důsledku bezpečnostního incidentu vzniknout. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 17/49
5. Obecná opatření k zajištění bezpečnosti informací Uživatelé jsou povinni: 1. používat informace a přidělené prostředky pro zpracování informací pouze ke stanovenému účelu (zejména osobní údaje podle zákona č. 101/2000 Sb., o ochraně osobních údajů a Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, dále také GDPR.), 2. zpracovávat kvalitní informace (zejména přesné osobní údaje a ve stanoveném rozsahu podle zákona č. 101/2000 Sb., o ochraně osobních údajů a GDPR), 3. zajistit, že jimi zpracovávané informace budou poskytovány (sdělovány nebo jinak zpřístupňovány) pouze oprávněným osobám a ve stanoveném (povoleném) rozsahu, 4. přistupovat k prostředkům pro zpracování informací pouze pod svým účtem, tj. jménem a heslem, které: a) musí být vytvořeno v souladu s nastavenými pravidly pro tvorbu hesel, b) nesmí být komukoli sdělováno nebo jinak zpřístupněno, 5. při opuštění pracoviště (i krátkodobém) učinit veškerá opatření, aby nemohlo dojít k narušení bezpečnosti informací (zásada prázdného stolu, odhlásit se nebo uzamknout pracovní stanici, zamknout kancelář atd.) Všem uživatelům je zakázáno: 1. používat informace a prostředky pro zpracování informací k soukromým účelům nebo v rozporu s vlastníkem (garantem) aktiva nastavenými pravidly 2. používat prostředky pro zpracování informací v rozporu s podmínkami daných jejich výrobcem (dodavatelem), 3. instalovat jakýkoli software (neplatí pro uživatele, kteří jsou k tomu určeni) s výjimkou automatických aktualizací již instalovaného softwaru, 4. vyřazovat z činnosti prostředky pro ochranu před škodlivými programy (antivir, firewall apod.), 5. svévolně přemisťovat prostředky pro zpracování informací, 6. používat bez povolení soukromé prostředky (notebooky, PC, tablety, mobilní telefony apod.) pro zpracování a ukládání informací. Školení, informovanost a odborná způsobilost ÚMČ zajišťuje odbornou způsobilost uživatelů, ve vztahu k ochraně informací. K tomu: 1. definuje požadavky na odbornou způsobilost rolí podílejících se na zpracování informací a provozování prostředků pro zpracování informací, 2. zajišťuje odpovídající školení nebo jiné vzdělávací aktivity, 3. vyhodnocuje efektivnost školení a jiných vzdělávacích aktivit a 4. vytváří a uchovává záznamy o školeních a jiných vzdělávacích aktivitách. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 18/49
Tabulka 3: Požadavky na odbornou způsobilost rolí Role Požadovaná dovednost Obsah školení Četnost Bezpečnostní 1. Provádět a aktualizovat analýzu Základy řízení správce rizik bezpečnosti informací systému 2. Navrhovat požadavky na nejlépe podle ČSN ISI bezpečnost informací IEC 27001:2006 3. Navrhovat opatření ke zvládání Způsoby naplnění rizik požadavků normy 4. Provádět školení v oblasti ISO/IEC 17799 - bezpečnosti informací Bezpečnostní techniky Správce systému Garant (Vlastník) aktiva Uživatel 1. Navrhovat opatření ke zvládání rizik 2. Aplikovat schválená opatření do prostředí IS 3. Řídit incidenty a problémy 4. Vyhledávat slabá místa kvality a bezpečnosti informací a navrhovat opatření pro zlepšování 1. Klasifikovat aktiva 2. Stanovovat jejich hodnotu 3. Stanovovat pravidla pro používání přidělených (vlastněných) aktiv 1. Aplikovat postupy zpracování informací 2. Používat nastavená opatření k ochraně informací a jiných aktiv 3. Vyhledávat slabá místa kvality a bezpečnosti informací a navrhovat opatření pro zlepšování Způsoby naplnění požadavků normy ISO/IEC 17799 - Bezpečnostní techniky Implementace a provoz prostředků použitých v IS Základní principy a metody ochrany informací (aktiv) Metodika klasifikace a hodnocení aktiv Používání (dodržování) aplikovaných opatření ke zvládání rizik a používání prostředků pro zpracování informací v souladu s definovanými pravidly Po jmenování do role Bezpečnostního správce systému a následně 1x ročně Externí služby (SLA) Po určení do role vlastníka aktiva a následně 1x ročně Před zahájením práce a následně 1x ročně KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 19/49
6. Hodnocení a zvládání rizik Procesy hodnocení a zvládání rizik jsou důležité pro návrh přiměřené ochrany informací a prostředků pro zpracování informací. Hodnocení a zvládání rizik provádí ÚMČ ve třech krocích: 1. Analýza rizik 2. Hodnocení rizik 3. Návrh a implementace opatření ke zvládání rizik Za provedení analýzy rizik odpovídá Bezpečnostní správce systému a provádí ji spolu s Garanty (vlastníky) aktiv. Za hodnocení a zvládání rizik odpovídá Tajemnice. Za návrh a implementaci opatření ke zvládání rizik odpovídá Bezpečnostní správce systému a Správce systému. Za zajištění zdrojů nezbytných pro implementaci opatření ke zvládání rizik odpovídá Tajemnice. Analýza rizik Analýza rizik je základním nástrojem řízení rizik. Analýza rizik musí být prováděna (Pozn. V případě, že analýza rizik byla provedena, je prováděna její aktualizace) vždy při změně způsobu zpracovávaných informací, při změnách prostředků pro zpracování informací, při změnách právních předpisů souvisejících s bezpečností informací a jiných změnách, které mohou ovlivnit požadovanou úroveň bezpečnosti informací. Analýza rizik zahrnuje: 1. identifikaci a ohodnocení aktiv, 2. identifikaci hrozeb, 3. určení pravděpodobnosti uplatnění hrozby, 4. popis scénářů bezpečnostních incidentů, 5. výpočet hodnoty rizika. Bezpečnostní správce používá při provádění analýzy rizik svoji dokumentovanou Metodiku analýzy rizik, která vychází z principu na následujícím obrázku. Analýza rizik může být prováděna libovolným, avšak dokumentovaným způsobem. Bezpečnostní správce systému v metodice stanoví škály koeficientů, které uplatní při výpočtu míry rizik. Tyto škály jsou v průběhu provádění opakovaných analýz rizik neměnné, aby bylo možné výsledky analýz a účinnost implementovaných opatření porovnávat. Nejdůležitějším faktorem analýzy rizik je hodnota aktiva, která je stanovována jako funkce: 1. nákladů na pořízení nebo znovupořízení aktiva, 2. nákladů na odstranění škod vzniklých v důsledku bezpečnostního incidentu, 3. ztráty dobrého jména a 4. sankcí vyplývajících z právních předpisů a smluvních vztahů. Pro jednotlivé složky hodnoty aktiva jsou v Metodice analýzy rizik stanoveny neměnné škály koeficientů. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 20/49
Obrázek 7: Struktura hodnoty aktiva Hodnocení rizik Stanovené míry rizik vzešlé z analýzy rizik jsou roztříděny do čtyř kategorií viz Tabulka 4: Kategorie pro hodnocení rizik. Vedení městské části svým dokumentovaným rozhodnutím akceptuje ta rizika, která mají zanedbatelnou míru. Pokud k tomu má závažné důvody, může akceptovat i rizika vyšší míry. Důvody musí být uvedeny v rozhodnutí. Tabulka 4: Kategorie pro hodnocení rizik Kategorie Charakteristika Míra rizika Zanedbatelné Riziko je považováno za zanedbatelné (zbytkové). Tato úroveň zahrnuje hrozby, jejichž pravděpodobnost výskytu je velice malá, dopady na aktiva by byly nevýznamné, nebo aktiva nejsou příliš citlivá na působení těchto hrozeb. Není potřeba implementovat opatření ke zvládání rizik. menší než x Nízké Střední Vysoké Tato úroveň zahrnuje kombinace ceny aktiva, hrozeb a zranitelností, které určují míru rizika ve stanoveném rozsahu. Riziko by mělo být sníženo méně náročnými opatřeními. Tato úroveň zahrnuje cenná aktiva, reálné hrozby a zranitelností, které určují míru rizika ve stanoveném rozsahu Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho minimalizaci Tato úroveň zahrnuje vysoce cenná aktiva nebo často se vyskytující hrozby, které působí na velmi zranitelná místa více aktiv. Je nezbytné v co nejkratší době implementovat účinná opatření, která sníží míru rizika na zanedbatelnou nebo alespoň nižší úroveň. od x do y od y do z z a větší Konkrétní hodnoty logaritmické škály míry rizik, tj. hodnoty x, y, z, Bezpečnostní správce systému doplní po vytvoření své Metodiky analýzy rizik. Návrh a implementace opatření ke zvládání rizik Za návrh a provozování opatření ke zvládání rizik odpovídá Bezpečnostní správce. Na základě výsledků hodnocení rizik Bezpečnostní správce připraví návrh opatření ke zvládání rizik, který předkládá Tajemnice k projednání Vedení městské části, které plán posoudí a rozhodne o tom, která rizika budou akceptována, která přenesena na jiný subjekt, kterým se MČ vyhne, a na která budou aplikována opatření k redukci rizik. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 21/49
Návrh a zavedení opatření k redukci rizik Za návrh a zavedení opatření k redukci rizik je odpovědný Bezpečnostní správce systému. Při návrhu a provozování opatření úzce spolupracuje s vlastníkem aktiva, který odpovídá za aktivum a Správcem systému. Opatření navrhuje tak, aby platila zásada přiměřenosti. Cena opatření by neměla být vyšší než škoda způsobená uplatněním rizika (tj. škoda vzniklá v důsledku bezpečnostního incidentu). Návrh na vyhnutí se riziku U příliš vysokých rizik, nebo pokud náklady na opatření k redukci rizika převyšují výši vzniklé škody, Tajemnice vytvoří návrh změny činnosti ÚMČ, který riziko zcela nebo částečně odstraní. Návrh musí obsahovat i analýzu rizik vyvolaných změnou činnosti ÚMČ. Návrh na přenos rizika na jiný subjekt V případech, kdy to právní předpisy umožňují a je to pro ÚMČ výhodné, Tajemnice vytvoří návrh opatření, kterými bude riziko sdíleno s jiným subjektem. Návrh musí obsahovat i analýzu rizik vyvolaných přenesením rizika na jiný subjekt. Návrh na podstoupení rizik Tajemnice vytvoří návrh na podstoupení těch rizik, jejichž úroveň splňuje kritéria akceptace rizik a není zapotřebí přijímat další opatření. Akceptace rizik Tajemnice připraví návrh na přijetí rizik a Vedení městské části rozhodne o tom, která rizika budou přijata (akceptována). Rozhodnutí musí obsahovat i zdůvodnění akceptace každého akceptovaného rizika, které nesplňuje kritéria akceptace a podmínky, za kterých je riziko akceptováno. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 22/49
7. Provozní dokumentace a záznamy Provozní dokumentace Struktura provozní dokumentace IS je stanovena vyhláškou č. 529/2006 Sb., vyhláška o dlouhodobém řízení informačních systémů veřejné správy. Provozní dokumentaci IS tvoří tyto dokumenty: 1. Bezpečnostní dokumentace, která zahrnuje: a) bezpečnostní Politiku (Politiku bezpečnosti informací), b) bezpečnostní směrnici pro činnost Bezpečnostního správce systému, 2. Systémová příručka, 3. Uživatelská příručka. Za úplnost a aktuálnost provozní dokumentace IS odpovídá Tajemnice. Záznamy Záznamy jsou informace a dokumenty sloužící k chronologickému zaznamenávání událostí nebo stavů prostředků pro zpracování informací, které slouží jako důkaz. Záznamy jsou vytvářeny prostředky IS, Správcem systému, Bezpečnostním správcem systému, dalšími uživateli nebo třetími stranami. Za nastavení odpovědností a postupů vytváření a ukládání záznamů odpovídá Bezpečnostní správce systému. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 23/49
8. Zlepšování ochrany informací Tato Politika podléhá pravidelnému přezkoumávání, které zajišťuje Tajemnice minimálně 1x ročně nebo v případě změny rozsahu a způsobu zpracování informací, změně prostředků nebo prostředí, ve kterém je IS provozován. O revizi a jejích výsledcích jsou prováděny záznamy. Aktualizaci ostatních dokumentů provádí vždy Garant (vlastník) dokumentu. Analýza rizik, hodnocení rizik a navržená opatření ke zvládání rizik také podléhají pravidelným revizím, a to zejména v případě změny rozsahu a způsobu zpracování informací, změně prostředků nebo prostředí, ve kterém je IS provozován, na základě identifikace nových hrozeb nebo na základě informací o bezpečnostních incidentech. Minimálně však jednou za rok. V případě, že uživatel prostředků pro zpracování informací, Správce systému nebo vedoucí zaměstnanec ÚMČ zjistí nedostatek v kvalitě zpracování informací nebo nedostatek v ochraně informací, informuje o tom Bezpečnostního správce systému, který podnět zaznamená a přijme nezbytná opatření. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 24/49
III. Požadavky na opatření k zajištění bezpečnosti informací 1. Řízení aktiv Účel Nastavit a udržovat přiměřenou ochranu aktiv. Cíl Stanovit odpovědnosti za aktiva a zavést přiměřená opatření k jejich ochraně s ohledem na klasifikaci zpracovávaných informací. Odpovědnost za aktiva Pro každé aktivum je určen vlastník (garant), který má odpovědnost za toto aktivum, jeho klasifikaci a stanovení hodnoty aktiva a za udržování opatření ke zvládání rizik, která se vztahují k aktivu a která byla navržena ve spolupráci s Bezpečnostním správcem systému a Správcem systému. Vlastník aktiva má přiděleny nezbytné pravomoci k plnění svých povinností. Evidence aktiv ÚMČ identifikuje všechna aktiva a určí vlastníky (garanty) aktiv, kteří klasifikují aktiva a stanoví jejich hodnotu. Aktiva jsou Bezpečnostním správcem systému evidována v evidenci aktiv, která obsahuje i informace potřebné pro případ obnovy aktiv po havárii. Evidence aktiv je vytvořena a vedena tak, že: 1. zajistí jednoznačnou identifikaci aktiva, 2. definuje jeho klasifikaci a hodnotu, 3. stanovuje přípustné použití aktiva a 4. identifikuje vlastníka (garanta). Jsou evidovány alespoň tyto položky: 1. název aktiva, 2. typ aktiva, 3. přípustné použití aktiva, 4. forma a jiné upřesňující údaje, 5. klasifikace, 6. umístění, 7. hodnota aktiva pro organizaci, 8. vlastník aktiva. Vlastnictví aktiv Jsou dokumentovaným způsobem určeni vlastníci informací a dalších aktiv ÚMČ, kteří mají dokumentovaným způsobem stanoveny odpovědnosti za: 1. zajištění klasifikace a ohodnocení informací a dalších aktiv, 2. definování a pravidelné přezkoumání přístupových práv k informacím a prostředkům pro jejich zpracování, 3. definování přípustného použití informací a dalších aktiv. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 25/49
Přípustné použití aktiv Přípustné použití aktiv je u informací chápáno jako postup jejich zpracování, shromažďování a uchovávání, a stanovení rozsahu a účelu jejich zpracování. U prostředků pro zpracování informací je to způsob jejich ochrany, provozování a užívání s důrazem na používání mobilní výpočetní techniky a vzdálený přístup. Bezpečnostní správce systému zajistí, že: 1. jsou definována pravidla pro používání aktiv, 2. součástí těchto pravidel jsou i pravidla pro používání elektronické pošty a internetu a pravidla pro použití mobilních zařízení mimo prostory ÚMČ, 3. uživatelé aktiv a pracovníci třetích stran, kteří mají k aktivům přístup, jsou s těmito pravidly seznámeni, 4. dodržování pravidel je kontrolováno a vymáháno, 5. existují záznamy o kontrolách a vymáhání dodržování stanovených pravidel. Klasifikace informací Informace musí být klasifikovány a tím definován jejich charakter, potřebnost, důležitost a úroveň jejich ochrany. Musí být stanoven způsob, jak bude s aktivy nakládáno v závislosti na jejich klasifikaci. Informace mají různý charakter a důležitost pro MČ a ÚMČ, některé mohou vyžadovat vyšší úroveň zabezpečení nebo zvláštní způsob zacházení. Informace proto musí být klasifikovány způsobem, který předurčuje úroveň jejich ochrany, který předurčuje požadavky na zajištění dostupnosti, důvěrnosti a integrity informací, a který dává uživatelům informace o způsobu zacházení s informacemi. Stupně klasifikace informací Poznámky: Utajované informace podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, nejsou zahrnuty do této Politiky bezpečnosti informací, protože podléhají zvláštnímu režimu manipulace a ochrany. Klasifikovány jsou vždy informace. Způsob jejich ochrany závisí na nosiči, na kterém jsou uloženy nebo na prostředku, kterým jsou zpracovávány. Obrázek 8: Klasifikace informací KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 26/49
Neklasifikované informace Neklasifikované informace jsou takové informace, u nichž není potřebné zajistit dostupnost, důvěrnost ani integritu. Dokumenty a nosiče s těmito informacemi se neoznačují a nevyžadují žádnou ochranu. Nemají pro MČ nebo ÚMČ zpravidla žádnou významnou hodnotu. Klasifikované informace Klasifikované informace jsou ostatní informace, u nichž je nutné zabezpečit alespoň jeden atribut bezpečnosti informací: 1. dostupnost, 2. důvěrnost nebo 3. integritu. Klasifikované informace představují vymezený okruh informací, které jsou: 1. Důvěrné z důvodu ochrany osobnosti a soukromí, obchodního tajemství, údajů o majetkových poměrech, duševního vlastnictví, některých vnitřních postupů, rozhodnutí nebo průběhu a výsledků správních činností. Jsou důvěrné v rozsahu a po dobu stanovenou příslušnými právními předpisy a přístup k nim je řízen. 2. Veřejné z důvodu naplnění požadavků právních předpisů, zejména zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Klasifikované informace Veřejné informace Informace klasifikované jako veřejné informace nepodléhají požadavkům na důvěrnost. Naproti tomu je u těchto informací kladen důraz na dostupnost a integritu. Jsou označovány zkratkou VI Klasifikované informace Provozní informace Provozní informace jsou důvěrné informace spojené s provozem IS a jeho infrastrukturou, informace spojené s provozem ÚMČ a jiné informace, u nichž by vyzrazení neoprávněné osobě, poškození nebo nedostupnost mohlo způsobit ohrožení oprávněných zájmů ÚMČ nebo její činnosti. Přístup k těmto informacím je vždy omezen na vybraný okruh uživatelů. Informace jsou označovány zkratkou PI. Klasifikované informace Vázané informace Vázané informace jsou důvěrné informace, ke kterým je v souladu s právními předpisy regulovaný přístup (přístup vázaný na splnění určených podmínek). Například osobní údaje. Informace jsou označovány zkratkou VP. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 27/49
2. Personální bezpečnost Účel Snížit rizika narušení dostupnosti, důvěrnosti nebo integrity informací v důsledku lidského faktoru (chyba, krádež, poškození, zneužití atd.) Cíl Zajistit: 1. aby uživatelé, smluvní a třetí strany byli srozuměni se svými povinnostmi a aby pro jednotlivé role byli vybráni vhodní kandidáti, 2. aby si uživatelé, smluvní a třetí strany uvědomovali přítomnost hrozeb a možnost vzniku škody v důsledku bezpečnostního incidentu a aby si uvědomovali své odpovědnosti a povinnosti při ochraně informací během své práce a 3. aby ukončení nebo změna pracovního vztahu, smluvního nebo jiného vztahu proběhlo řádným způsobem. Za plnění cíle odpovídá Tajemnice ÚMČ. Před vznikem pracovního poměru Před vznikem pracovního vztahu (v rámci přijímacího řízení) jsou uchazeči vždy seznámení s jejich budoucími rolemi a odpovědnosti spojené s funkcí, o kterou se ucházejí. Uchazeči musí být náležitě, ale v souladu s právními předpisy, prověřeni, zejména v případě pracovních míst, která nakládají s informacemi a aktivy, která jsou kritická pro MČ nebo ÚMČ. K tomu vedoucí, který organizuje výběr uchazeče na pracovní místo, odpovídá za to, že: 1. je pracovní místo řádně popsáno, 2. pro pracovní místo byl vybrán vhodný uchazeč, 3. uchazeč byl srozuměn se svými povinnostmi, 4. odpovědnosti za bezpečnost informací byly zohledněny v rámci přijímacího řízení a byly zahrnuty do pracovní smlouvy vybraného uchazeče, 5. vybraný uchazeč byl přiměřeně prověřen, 6. vybraný uchazeč podepsal dohodu o odpovědnosti za ochranu informací, odpovídající jeho rolím a povinnostem. Vybraný uchazeč musí být před podpisem pracovní smlouvy prokazatelně seznámen: 1. s úplným popisem jeho právní odpovědnost ve vztahu k vykonávané funkci, 2. s popisem jeho pravomocí a odpovědností při všech jeho činnostech ve vazbě na bezpečnost informací, 3. se svými odpovědnostmi při nakládání s osobními údaji, 4. s dohodou o zachování stanovených odpovědností i mimo objekty ÚMČ a mimo běžnou pracovní dobu, 5. s postupem řešení zjištěného porušení povinností ze strany zaměstnance a možné sankce. KLASIFIKACE: PROVOZNÍ INFORMACE STRANA: 28/49