MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

Podobné dokumenty
Bezpečnostní politika společnosti synlab czech s.r.o.

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní politika IS. Městská část Praha Kunratice

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Organizační opatření, řízení přístupu k informacím

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Zákon o kybernetické bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE

Bezpečnostní politika společnosti synlab czech s.r.o.

Odbor městské informatiky

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečností politiky a pravidla

Technická a organizační opatření pro ochranu údajů

Provozní řád datové sítě MiloviceFree

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Úvod - Podniková informační bezpečnost PS1-2

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Bezpečnost na internetu. přednáška

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Praha PROJECT INSTINCT

Bezpečnostní politika

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

SMĚRNICE O BEZPEČNOSTI ICT

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Bezpečnostní politika informací SMK

Pracovní postup náběhu do produktivního provozu

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Magic Power vzdálené sledování finančních dat. Popis a funkce systému. Strana: 1 / 6

Informační systémy veřejné správy (ISVS)

Bezpečnost ICT. Příloha ke Standardu kvality sociální služby Ochrana osobních údajů

1.05 Informační systémy a technologie

INFORMAČNÍ TECHNOLOGIE

PŘÍLOHA C Požadavky na Dokumentaci

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Outsourcing v podmínkách Statutárního města Ostravy

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager

MĚSTSKÝ ROK INFORMATIKY - ZKUŠENOSTI S NASAZENÍM STANDARDNÍCH APLIKAČNÍCH ŘEŠENÍ V PROSTŘEDÍ STATUTÁRNÍHO MĚSTA LIBEREC

Právní důvod zpracování: Oprávněné zájmy správce Článek 6 odst. 1 písm. c) GDPR - splnění právní povinnosti

Specifikace požadavků. POHODA Web Interface. Verze 1.0. Datum: Autor: Ondřej Šrámek

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Směrnice pro zajištění ochrany osobních údajů při práci s ICT

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í. č. 541 ze dne

Politika bezpečnosti informací

Český olympijský výbor. Směrnice o ochraně osobních údajů v rámci kamerového systému

Zákon o kybernetické bezpečnosti

Návrh VYHLÁŠKA. ze dne 2014

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

S M Ě R N I C E K OCHRANĚ OSOBNÍCH ÚDAJŮ A ZÁZNAMY SPRÁVCE O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Kybernetická bezpečnost III. Technická opatření

TECHNICKÉ POŽADAVKY NA NÁVRH, IMPLEMENTACI, PROVOZ, ÚDRŽBU A ROZVOJ INFORMAČNÍHO SYSTÉMU

Technické aspekty zákona o kybernetické bezpečnosti

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

srpen 2008 Ing. Jan Káda

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

INTERNÍ TECHNICKÝ STANDARD ITS

Zkušenosti s budováním základního registru obyvatel

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í. č. 890 ze dne

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

1.05 Informační systémy a technologie

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Jak být online a ušetřit? Ing. Ondřej Helar

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, Pelhřimov ICT PLÁN ŠKOLY

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

UniSPIS Oboustranné rozhraní RŽP na e-spis

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Rada města Přerova. Předloha pro 4. schůzi Rady města Přerova, která se uskuteční dne

PB169 Operační systémy a sítě

Bezepečnost IS v organizaci

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Provozní řád počítačových sálů CIT.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

AleFIT MAB Keeper & Office Locator

Příručka pro nasazení a správu výukového systému edu-learning

Institut elektronických aplikací, s.r.o. Stránka 1 z 7. AVEPOP - Automatický Výdej a Evidence Pracovních a Ochranných Prostředků

ICT plán školy. Základní škola profesora Zdeňka Matějčka v Mostě ICT koordinátor: Mgr. Anita Pohlová

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

STUPNICE PRO HODNOCENÍ DOPADU ZPRACOVÁNÍ / INCIDENTU

DODATEČNÉ INFORMACE K ZADÁVACÍ DOKUMENTACI č. 3

Transkript:

č.j.: 728/2016 MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í č. 667 ze dne 12.09.2016 Aktualizace Informační koncepce dle zákona č. 365/2000 Sb., o ISVS informačního systému ÚMČ Praha 3 Rada městské části I. b e r e n a v ě d o m í II. 1. předložený návrh aktualizace Koncepce informačního systému městské části Praha 3 dle zákona č. 365/2000 Sb., o ISVS ve znění pozdějších předpisů, který je přílohou č. 1 tohoto usnesení 2. předložený návrh aktualizace "Bezpečnostní politiky městské části Praha 3", který je přílohou č. 2 tohoto usnesení s c h v a l u j e 1. aktualizované znění Koncepce informačního systému městské části Praha 3 dle zákona č. 365/2000 Sb., o ISVS ve znění pozdějších předpisů, která je přílohou č. 1 tohoto usnesení 2. aktualizované znění Bezpečnostní politiky městské části Praha 3, která je přílohou č. 2 tohoto usnesení Ing. Vladislava Hujová starostka městské části Mgr. Lucie Vítkovská zástupkyně starostky

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 Městská část Praha 3 BEZPEČNOSTNÍ POLITIKA INFORMAČNÍHO SYSTÉMU MČ PRAHA 3 1/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 1 Identifikační údaje Organizace Název organizace Městská část Praha 3 Typ organizace Orgán veřejné správy IČ 00063517 DIČ CZ00063517 Adresa Havlíčkovo nám. 9/700, 130 85 Praha 3 Telefon: 222 116 111 Fax: 222 540 864 E-mail: podatelna@praha3.cz Web: www.praha3.cz ID Datové schránky eqkbt8g Bezpečnostní politika IS Aktuální verze 3.0 Počátek platnosti Konec platnosti do odvolání Datum schválení Schvalovatel Rada městské části Praha 3 Platná verze Informační koncepce 2.2 2/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 Přehled změn Bezpečnostní politiky IS MČ Praha 3 Verze Datum vydání Zpracoval Schválil Změny dokumentu 1.0 13. 8. 2004 Odbor informatiky Rada městské části Praha 3 2.0 1. 11. 2011 Odbor informatiky Rada městské části Praha 3 3.0 Odbor informatiky Rada městské části Praha 3 Aktualizace dokumentu v souladu s požadavky z.č.365/2000 Sb. Aktualizace dokumentu, nová příloha 3/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 2 Obsah 1 IDENTIFIKAČNÍ ÚDAJE... 2 2 OBSAH... 4 3 ÚVOD... 6 4 ORGANIZACE BEZPEČNOSTI... 7 4.1 Výkon be zpe čnostní politiky... 7 4.2 Role při správě informačního systému veřejné správy... 8 4.3 Povinnosti provozovatele IS... 8 5 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ... 9 5.1 Kontrola vstupu... 10 5.2 Bezpečnost zařízení... 10 6 ZAJIŠTĚNÍ PROVOZU IS MČ PRAH A 3... 11 6.1 Dokumentace provozních postupů... 11 6.2 Řízení provozních změn... 11 6.3 Postupy pro řízení bezpečnostního incidentu... 11 6.4 Monitorování datového provozu... 11 6.5 Sledování kapacit... 11 6.6 Ochrana proti škodlivým programům (antivirová ochrana)... 12 6.7 Správa systému... 12 6.8 Bezpečnost při zacházení s medii... 13 6.9 Bezpečnost elektronické pošty... 13 7 ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍM SYSTÉMŮM... 14 7.1 Řízení přístupu uživatelů... 14 7.2 Vytvoření přístupu uživatele k IS MČ Praha 3... 14 7.3 Změna a rušení přístupu uživatelů k IS MČ Praha 3... 14 7.4 Řízení přístupu uživatelů ke zdrojům IS MČ Praha 3... 14 4/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 7.5 Řízení přístupu k operačním systémům (včetně operačních systémů síťových prvků)... 15 7.6 Řízení přístupu k síti... 15 7.7 Mobilní výpočetní prostředky... 16 7.8 Řízení přístupu třetích stran... 16 8 PŘÍLOHY:... 17 5/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 3 Úvod Bezpečnostní politika informačního systému Městské části Praha 3 (dále jen IS MČ Praha 3 ) představuje základní dokument pro zajištění bezpečnosti IS MČ Praha 3, který definuje požadavky na zajištění bezpečnosti informací zpracovávaných v IS MČ Praha 3. Hlavním cílem bezpečnostní politiky IS MČ Praha 3 je trvalé a kvalitní zajištění dostupnosti, důvěrnosti a integrity informací, které jsou zpracovávány v prostředí IS MČ Praha 3, a zajištění odpovědnosti uživatele za jeho činnost v informačním systému (dále jen IS ). Účel a rozsah bezpečnostní politiky Bezpečnostní politika IS MČ Praha 3 se zabývá informacemi, které jsou vytvářeny, zpracovávány a ukládány prostřednictvím IS MČ Praha 3 a službami, které zpracování informací podporují. Bezpečnostní politika IS MČ Praha 3: definuje hlavní cíle při ochraně informací, stanovuje způsoby řešení bezpečnosti informací, vymezuje pravomoci a zodpovědnost při ochraně informací. Bezpečnostní politika IS MČ Praha 3: je závazná pro všechny zaměstnance i ostatní uživatele IS MČ Praha 3 (např. externí dodavatele). se vztahuje na všechny IS (informační systémy veřejné správy a provozní informační systémy) provozované na Praze 3. je součástí provozní dokumentace dlouhodobého řízení informačních systémů veřejné správy (dále jen ISVS ) dle zákona č. 365/2000 Sb., o ISVS. 6/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 4 Organizace bezpečnosti Pravomoc pro stanovení a vyhlášení bezpečnostní politiky má výhradně Rada MČ Praha 3. Další pravomoci jsou uvedeny v organizačním a pracovním řádu nebo v dalších dokumentech systému. 4.1 Výkon bezpečnostní politiky Hlavní odpovědnost za zajišťování bezpečnostní politiky nese tajemník Úřadu městské části Praha 3 (dále jen UMČ Praha 3 ). Výkonem bezpečnostní politiky pověřuje Bezpečnostního manažera. Vedoucí všech organizačních útvarů (úseků, odborů, oddělení apod.) a ostatní vedoucí zaměstnanci jsou odpovědni za vedení a dodržování bezpečnostních opatření v jimi řízených útvarech v souladu s bezpečnostní politikou a vnitřními předpisy. K tomu účelu zejména: zajišťují, aby zaměstnanci znali své povinnosti a odpovědnosti a chránili informace a informační systémy a aby uživatelé systému byli vyškoleni v oblasti jimi používaných systémů v potřebné míře, zajišťují dodržování vydaných norem, standardů (včetně standardů ISVS) a postupů, pravidelně (nejméně však jedenkrát za 3 roky) vyhodnocují rizika spojená se ztrátou důvěrnosti, integrity a dostupnosti informací, zajišťují, aby uživatelé a dodavatelé služeb IT dodržovali bezpečnostní politiku organizace a ostatní relevantní vnitřní předpisy. Bezpečnostní manažer Bezpečnostní manažer řeší: revizi a zdokonalení bezpečnostní politiky informačního systému MČP3 a veškerých odpovědností, sledování významných změn zranitelnosti informačních aktiv ze strany hlavních hrozeb, revizi a sledování bezpečnostních incidentů, schvalování hlavních kroků vedoucích ke zvýšení bezpečnosti informací, koordinování implementace opatření v oblasti bezpečnosti informací. navrhuje specifické metodologie a postupy v oblasti bezpečnosti informací, např. hodnocení rizik, systém bezpečnostní klasifikace, navrhuje a podporuje iniciativy v oblasti bezpečnosti informací dotýkající se celé organizace, např. program zvyšování bezpečnostního vědomí, zajišťuje, aby bezpečnost IS MČ Praha 3 byla součástí procesu plánování v oblasti informatiky, hodnotí adekvátnost specifických opatření v oblasti bezpečnosti informací pro nové systémy nebo služby a koordinuje jejich implementaci. 7/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 4.2 Role při správě informačního systému veřejné správy V souladu s vyhláškou č. 529/2006 Sb., o dlouhodobém řízení ISVS, vykonává roli správce systému a současně roli bezpečnostního správce systému jedna fyzická osoba. ÚMČ Praha 3 sloučil bezpečnostní směrnici pro činnost bezpečnostního správce systému podle 10 odst. 2 písm. b) se systémovou příručkou podle 10 odst. 1 písm. b). Bezpečnostní správce IS je role odborného pracovníka v oblasti ICT, jehož hlavním úkolem je výkon odborných činností spojených s bezpečnostní informací IS. 4.3 Povinnosti provozovatele IS Provozovatel IS MČ Praha 3 zodpovídá za specifikaci bezpečnostních požadavků na projektovaných informačních systémech a za zpracovávané informace z hlediska bezpečnostní politiky. Provozovatel dále zodpovídá za řízení přístupu k informačním systémům a informačním aktivům a za průběžné ověřování funkčnosti zavedených bezpečnostních mechanizmů. 8/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 5 Fyzická bezpečnost a bezpečnost prostředí Cílem fyzické bezpečnosti je předcházet neautorizovanému přístupu, poškození a zásahům do prostor a informací ÚMČ Praha 3. Za tím účelem: stanovuje se fyzický bezpečnostní perimetr, který zahrnuje prostory ÚMČ P3 v budovách na adrese Lipanská 11, Havlíčkovo nám. 9, Lipanská 14, Seifertova 51, Havlíčkovo nám. 11, Olšanská 7, Perunova 5 a Milešovská 1, zavádí se v lokalitě Lipanská 11 jedna citlivá zóna, kterou se pro účely této bezpečnostní politiky rozumí místnost serverovny na odboru informatiky. Citlivá zóna serverovna je vymezena obvodovým zdivem, podlahou a stropem. Obvodové zdivo místnosti musí mít pevnou konstrukci a místnost musí být dostatečně chráněna proti vniknutí vody, a to jak vody z potrubí, tak vody dešťové. Přístup do místnosti musí být umožněn pouze prostřednictvím jediných vstupních dveří při použití mechanického klíče. V citlivé zóně je instalován elektronický zabezpečovací systém (EZS) a elektronická protipožární signalizace (EPS), zavádí se v obou lokalitách Lipanská 9 a Seifertova 51 citlivá zóna, kterou se vždy rozumí samostatná místnost vymezena obvodovým zdivem, podlahou a stropem. Obvodové zdivo místnosti musí mít pevnou konstrukci a místnost musí být dostatečně chráněna proti vniknutí vody, a to jak vody z potrubí, tak vody dešťové. Přístup do místnosti musí být umožněn pouze prostřednictvím jediných vstupních dveří při použití mechanického klíče, zavádí se ve všech prostorách fyzického bezpečnostního perimetru, ve kterých se nachází jakékoliv komponenty informačního systému MČ Praha 3, tzv. zabezpečená zóna vyjma těch prostor, které spadají do kategorie citlivá zóna a které podléhají zvláštnímu režimu a jakékoli osoby mimo zaměstnanců mohou vstupovat a pobývat v těchto zónách pouze s doprovodem zaměstnanců ÚMČ P3, jsou všechny prostory, ve kterých se nenachází komponenty IS MČ Praha 3 považovány za veřejné a osoby mimo zaměstnanců mohou vstupovat a pobývat v těchto prostorách bez doprovodu zaměstnanců ÚMČ P3. Vstup do citlivé zóny v lokalitě Lipanská 11 je samostatně povolen pouze vlastníkům aktiv, která se v citlivé zóně nacházejí. Těm je protokolárně předán kód systému EZS a mechanický klíč ke dveřím citlivé zóny. Tyto osoby jsou vždy povinny před vstupem do citlivé zóny systém EZS deaktivovat, při odchodu z citlivé zóny systém EZS opětně aktivovat a zamknout. Požaduje se, aby byl instalován takový systém EZS, který vede elektronický provozní deník, do kterého zapisuje datum a čas aktivace/deaktivace systému včetně jednoznačného identifikátoru osoby, která operaci provedla. Vstup do citlivé zóny v lokalitě Lipanská 9, resp. do citlivé zóny v lokalitě Seifertova 51 je samostatně povolen pouze vlastníkům aktiv, která se v citlivé zóně nacházejí. Těm je protokolárně předán mechanický klíč ke dveřím citlivé zóny. Tyto osoby jsou povinny při odchodu z citlivé zóny dveře zamknout. Jiné osoby než vlastníci aktiv mají do citlivé zóny přístup výhradně v doprovodu vlastníků aktiv. Následující komponenty IS MČ Praha 3 musí být umístěny v citlivé zóně v příslušné lokalitě: centrální routery, přepínače a huby, všechny kritické síťové servery, zařízení radiového a laserového spojení vyjma těch komponent, které musí být z technických důvodů umístěné jinde, např. na střeše budovy. 9/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 5.1 Kontrola vstupu Pro kontrolu fyzického přístupu do budov Havlíčkovo nám. 9 (resp. Lipanská 11) a Seifertova 51 je využíváno recepce nebo vstupního místa, které je pod kontrolou bezpečnostní služby. Do budov bude umožněn přístup pouze oprávněným osobám: zaměstnancům ÚMČ Praha 3, klientům v průběhu otevírací doby ÚMČ Praha 3 a osobám, které zde vykonávají činnost ve prospěch organizace. 5.2 Bezpečnost zařízení Komponenty informačního systému musí být umístěny tak, aby byla snížena rizika působení vnějších vlivů a minimalizovány příležitosti pro neautorizovaný přístup. Za tímto účelem: centrální přepínače musí být umístěny v uzamykatelných rozvodných skříních uvnitř citlivých zón (viz kap. 4), síťové servery musí být umístěny uvnitř citlivých zón (viz kap. 5), v citlivých zónách není povoleno jíst, pít a kouřit, citlivá zóna lokality Lipanská 11 musí být vybavena klimatizační jednotkou, která zajistí, že teplota prostředí nebude vyšší než nejnižší ze všech nejvýše povolených teplot prostředí pro instalovaná zařízení. Kritické servery musí být vybaveny systémem detekce přehřátí počítače a jeho automatického zastavení v takovém případě, ostatní síťové prvky, uživatelské stanice a ostatní HW informačního systému musí být umístěn v zabezpečených zónách (viz kap. 5), páteřní síťová infrastruktura musí být vedena pod podlahou, pod omítkou nebo v samostatných šachtách s vývodem v rozvodných skříních uvnitř citlivé zóny (viz kap. 5), centrální přepínače, a síťové servery musí být připojeny ke zvláštnímu elektrickému obvodu se samostatným jištěním a s ochranou proti přepětí a rušení. Pro tyto systémy musí být zajištěn systém nepřetržitého napájení elektrickým proudem (UPS), který překlene výpadek dodávek energie minimálně po dobu 30 minut, všechna zařízení musí být provozována v souladu s doporučením výrobce/dodavatele týkající se intervalu servisních prohlídek, opravy a servis musí provádět pouze oprávněný personál. 10/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 6 Zajištění provozu IS MČ Praha 3 6.1 Dokumentace provozních postupů Každý nový IS spravovaný MČ Praha 3 musí mít zajištěnu provozní dokumentaci v souladu s požadavky zákona č.365/2000 Sb., o ISVS. 6.2 Řízení provozních změn Pro každé z nehmotných softwarových aktiv a zejména pro všechna aktiva ze skupiny Aplikační software vede správce aktiva elektronický provozní deník, který obsahuje časově označený záznam systémových událostí (log) s popisem. Při každé provozní změně je změna okamžitě otestována před nasazením do produktivního provozu a případné problémy jsou řešeny v rámci příslušných smluvních vztahu podpory provozu dané části IS MČ Prahy 3. Popis změn poskytuje dodavatel a je vždy k dispozici v rámci nasazení testovací verze. Souhlas s nasazením do produktivního provozu uděluje pověřený pracovník odboru informatiky. 6.3 Postupy pro řízení bezpečnostního incidentu Cílem této kapitoly je přijmout opatření, která umožní rychlou, efektivní a řádnou reakci na incident. Nezanedbatelnou součástí je detekce příčin incidentu a přijmutí opatření, která jeho výskyt v budoucnu sníží. Za tímto účel je nutné v operačních systémech všech serverů, zajistit: synchronizaci času tak, aby na všech těchto serverech byl stejný systémový čas, automatické vedení záznamu běhových událostí (auditních záznamů), které budou obsahovat minimálně: o dobu startu a ukončení činnosti systému a na něm provozovaných aplikací, o chyby při provozu aplikace nebo systému, zajistit spolupráci Helpdesk, který přijme hlášení o bezpečnostním incidentu, se správcem serveru a vlastníkem příslušného datového aktiva, aby při vzájemné součinnosti mohla být vypracována analýza příčin bezpečnostního incidentu a provedena co nejrychlejší obnova systému podle obnovovacích procedur v souladu s provozní dokumentací, všechny zjištěné bezpečnostní incidenty musí být klasifikovány, analyzovány a musí být přijmuta nápravná opatření. 6.4 Monitorování datového provozu Monitorování provozu datové sítě je zajištěno automatickými systémy. Výstupy z monitoringu jsou pravidelně analyzovány odborem informatiky. 6.5 Sledování kapacit V IS MČ Praha 3 je implementován systém automatického sledování využití výpočetních, paměťových a přenosových kapacit pro páteřní síťovou infrastrukturu, pro kritické síťové servery. V pravidelných intervalech je automaticky vyhodnocován a jsou odesílány pravidelné notifikace zjištěných nedostatků správci IS. 11/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 6.6 Ochrana proti škodlivým programům (antivirová ochrana) Cílem těchto opatření je chránit integritu programů a dat IS MČ Praha 3. Za tímto účelem: je v IS MČ Praha 3 povoleno používání pouze takových operačních systémů, které umožňují oddělení uživatelských práv od práv administrátora systému, administraci všech počítačů zajišťuje výhradně správce informačního systému. Využívá přitom postupů obdobných pro řízení přístupu k informačním systémům, operační systémy na všech počítačích IS MČ Praha 3 musí být instalovány a provozovány tak, aby běžný uživatel nemohl měnit systémovou konfiguraci počítače, správce informačního systému musí zajistit pravidelné aplikování bezpečnostních záplat použitých operačních systémů na kritických síťových serverech, a to nejméně jednou za 14 dnů, na každém počítači s operačním systémem Windows musí být nainstalován antivirový program, který je rezidentně spuštěn a kontroluje všechny otevírané soubory na přítomnost virů a jiného škodlivého software. Antivirový program (resp. příslušná antivirová báze) musí být pravidelně, vždy neprodleně po zveřejnění nové verze u výrobce, aktualizován, v IS bude instalován centrální antivirový scanner pro veškerou příchozí i odchozí elektronickou poštu. Centrální antivirový scanner bude jiný, než je antivirový systém používaný na stanicích uživatelů, při stahování dokumentů ze sítě Internet anebo jakékoliv jiné sítě mimo IS MČ Praha 3 musí být na systému pro propojení sítí s různou úrovní důvěryhodnosti (firewall, viz kap. 6.6) implementováno pravidlo pro filtrování nebezpečných prvků HTML kódů, zejména: o prvků ActiveX, o jazyky VB script a Java o Macromedia Flash ve zvláštních případech mohou být z předcházejícího pravidla vyloučeny některé počítače. Tyto počítače pak musí být pod zvláštním bezpečnostním dozorem správce IS. Správce IS zajistí, že na operačním systému takového počítače budou instalovány všechny aktuální bezpečnostní záplaty a provede nastavení přiměřené bezpečnostní úrovně webového prohlížeče. 6.7 Správa systému Pro nehmotná softwarová aktiva operační systémy Windows a pro všechna aktiva ze skupiny aplikační software se předepisuje správci aktiva vytvořit záložní kopii při převzetí aplikace od dodavatele. Záložní kopie bude vytvořena formou zálohy bitové kopie virtuálního stroje a bude opatřena datem jejího vytvoření. Do provozního deníku aplikace je zaznamenáno vytvoření této zálohy. 6.8 Zálohování Probíhá pravidelné zálohování je zálohována celá virtuální infrastruktura (VM), SQL server, Exchange server, konfigurace aktivních sítových prvků. Zálohy jsou ukládány na dedikované diskové pole umístěné v serverovně, zálohy jsou zrcadlené na externí úložiště mimo lokalitu Lipanská 11. Systém automaticky ověřuje konzistenci záloh 12/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 6.9 Bezpečnost při zacházení s medii V IS MČ Praha 3 mohou uživatelé používat floppy diskety, CD-R(W), DVD-R(W), a USB disky. Tato média vydává správce informačního systému. Povinnosti zaměstnanců ve vztahu k zabezpečení přenosných medií jsou uvedeny v Bezpečnostní politice pro uživatele IS MČ Praha 3. 6.10 Bezpečnost elektronické pošty Elektronická pošta je primárně určena pro plnění služebních povinností. Elektronická emailová podání se se řídí Spisovým řádem ÚMČ P3.. Veškerá příchozí i odcházející emailová pošta musí být kontrolována na přítomnost virů (viz též kap. 5.6). Povinnosti zaměstnanců ve vztahu k práci s elektronickou poštou jsou uvedeny v Bezpečnostní politice pro uživatele IS MČ Praha 3. 13/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 7 Řízení přístupu k informačním systémům Tato kapitola bezpečnostní politiky popisuje formální postupy pro přidělování uživatelských práv k IS MČ Praha 3 po celou dobu životního cyklu přístupu uživatele. 7.1 Řízení přístupu uživatelů Přístupová práva k jednotlivým subsystémům IS jsou přidělována, upravována a evidována oddělením informatiky na základě pokynů oddělení personální práce a mezd nebo na základě pokynů vedoucích zaměstnanců prostřednictví Helpdesk. Evidence přístupových oprávnění je vedena v aplikaci EOS (Evidence organizační struktury) a AD (Active directory). 7.2 Vytvoření přístupu uživatele k IS MČ Praha 3 Vedoucí odboru, do kterého nastupuje nový zaměstnanec, je povinen v dostatečně dlouhé době před započetím práce zaměstnance v informačním systému stanovit rozsah oprávnění funkčního místa. Zaměstnanec obdrží rozsah oprávnění dle funkčního místa na které je zařazen. Uživateli je přidělen jednoznačný identifikátor, aby bylo možné propojit uživatele s jimi prováděnými akcemi a zajistit tak jeho odpovědnost za prováděné akce. Nově přijatý zaměstnanec je povinen seznámit se s bezpečnostní politikou a dalšími relevantními dokumenty provozu informačního systému. 7.3 Změna a rušení přístupu uživatelů k IS MČ Praha 3 Dochází-li k převedení zaměstnance mezi odbory nebo odděleními je tato změna prováděna formou zařazení zaměstnance na příslušné funkční místo v personálním systému a rozsah oprávnění je přebírán automaticky. Dojde-li ke změně pracovní náplně zaměstnance, oznámí příslušnou změnu přístupových práv zaměstnance vedoucí odboru/oddělení prostřednictvím Helpdesk odboru informatiky požadované změny a to v dostatečném předstihu tak, aby mohl správce informačního systému provést změny současně s přechodem/odchodem zaměstnance. V případě odchodu zaměstnance dochází k automatickému zablokování přístupových údajů zaměstnance na základě úkonů provedených v personálním systému. Následné odstranění přístupových údajů provádí správce IS. 7.4 Řízení přístupu uživatelů ke zdrojům IS MČ Praha 3 Před zpřístupněním jakýchkoliv zdrojů IS MČ Praha 3 musí IS vyžadovat autentizaci uživatelů. V IS existuje centrální autentizační databáze. Autentizace je možná i v případě výpadku komunikačního spojení mezi lokalitou a centrálním uzlem v rozsahu přihlášení do pracovní stanice již existující lokální kopií účtu. Změny v autentizační databázi může provádět výhradně osoba pověřená správcem IS. Autentizační databáze musí být zálohována shodně jako datová informační aktiva IS systému MČ Praha 3. Pro autentizaci uživatelů v rámci přístupu ke zdrojům IS musí být použito jednoznačné uživatelské jméno a uživatelské heslo. Požadavky na složitost hesla jsou definovány v bezpečnostní politice uživatelů. Autentizační mechanismus musí být odolný proti různým 14/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 druhům kryptografických útoků s cílem předstírání identity uživatele včetně útoků založených na odposlechu komunikačního média nebo útoků typu replay attack. Po třech neúspěšných pokusech o autentizaci je uživatelský účet krátkodobě zablokován. Veškeré pokusy o přihlášení a odhlášení uživatele musí být logovány. V případě nečinnosti uživatele delší než 30 minut musí systém provést automatické odhlášení uživatele ze systému nebo zablokovat konzolu počítače např. spuštěním spořiče obrazovky chráněného heslem. Po provedení autentizace musí být uživateli přidělena pouze takové přístupová práva, která nezbytně potřebuje pro výkon pracovních úkolů. Tam, kde to pro plnění pracovních úkolů uživatele IS dostačuje, se vyžaduje nastavení přístupových práv pouze pro čtení informačních aktiv, a to na úrovni příslušné aplikace. Systém běhových událostí (auditní záznam) musí být nastaven tak, aby zaznamenal každé přihlášení uživatele k těmto nehmotným informačním aktivům včetně data a času, kdy byl úspěšný či neúspěšný pokus o přístup k nehmotnému informačnímu aktivu proveden. 7.5 Řízení přístupu k operačním systémům (včetně operačních systémů síťových prvků) Prostředky použité pro řízení přístupu k operačnímu systému musí zajistit: jednoznačnou identifikaci administrátora (příp. identifikaci za použití jednorázových hesel nebo autentizačních předmětů), zaznamenávat úspěšné i neúspěšné pokusy o autentizaci administrátora, v případě nečinnosti delší než 30 minut provést automatické odhlášení administrátora nebo zablokovat konzolu počítače např. spuštěním spořiče obrazovky chráněného heslem. 7.6 Řízení přístupu k síti IS MČ Praha 3 je připojen: k datové síti MepNet hlavního města Prahy a jejím prostřednictvím k veřejné datové síti Internet, k veřejné datové síti internet prostřednictví záložní konektivity. Tato propojení jsou realizována prostřednictvím systému pro řízení komunikace datových sítí (firewall). Firewall musí umožňovat připojení nejméně dvou sítí na dvou nezávislých fyzických rozhraních. Jedním síťovým rozhraním musí být připojen do IS MČ Praha 3 (dále interní síťové rozhraní), druhým síťovým rozhraním je připojen do externí sítě (dále jen externí síťové rozhraní). Firewall musí mít implementována následující pravidla řízení datového provozu: komunikace externích síťových rozhraní do sítě IS MČ Praha 3 (interní síťové rozhraní) není povolena. Výjimky povoluje vedoucí odboru informatiky stanovením protokolů a případně IP adres, pro které se komunikace povoluje, rozsah a způsob komunikace z IS MČ Praha 3 (interní síťové rozhraní) externích síťových rozhraní) řídí správce IS prostřednictvím definice pravidel firewallu a IPS (Intrusion prevention systém). 15/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 7.7 Mobilní výpočetní prostředky Všechna mobilní zařízení jako jsou notebooky, tablety a telefony používané mimo lokality ÚMČ Praha 3 a připojované k IS MČ Praha 3 se řídí pravidly dle dokumentu Bezpečnostní politika pro uživatele IS MČ Praha 3. 7.8 Řízení přístupu třetích stran Do informačního systému MČ Praha 3 je povolen přístup třetích stran pouze v případě, že je smluvně ošetřen. Třetí strany musí dodržovat pravidla stanovená touto bezpečnostní politikou. 16/17

Příloha č.1 usnesení č.667 ze dne 12.09.2016 - Informační koncepce ver. 2.2 8 Přílohy: Příloha č.1 Bezpečnostní politika pro uživatele IS MČ Praha 3 17/17

Městská část Praha 3 BEZPEČNOSTNÍ POLITIKA INFORMAČNÍHO SYSTÉMU MČ PRAHA 3 1/28

1 Identifikační údaje Organizace Název organizace Městská část Praha 3 Typ organizace Orgán veřejné správy IČ 00063517 DIČ CZ00063517 Adresa Havlíčkovo nám. 9/700, 130 85 Praha 3 Telefon: 222 116 111 Fax: 222 540 864 E-mail: podatelna@praha3.cz Web: www.praha3.cz ID Datové schránky eqkbt8g Bezpečnostní politika IS Aktuální verze 3.0 Počátek platnosti Konec platnosti do odvolání Datum schválení Schvalovatel Rada městské části Praha 3 Platná verze Informační koncepce 2.2 2/28

Přehled změn Bezpečnostní politiky IS MČ Praha 3 Verze Datum vydání Zpracoval Schválil Změny dokumentu 1.0 13. 8. 2004 Odbor informatiky Rada městské části Praha 3 2.0 1. 11. 2011 Odbor informatiky Rada městské části Praha 3 3.0 Odbor informatiky Rada městské části Praha 3 Aktualizace dokumentu v souladu s požadavky z.č.365/2000 Sb. Aktualizace dokumentu, nová příloha 3/28

2 Obsah 1 IDENTIFIKAČNÍ ÚDAJE... 2 2 OBSAH... 4 3 ÚVOD... 6 4 ORGANIZACE BEZPEČNOSTI... 7 4.1 Výkon be zpe čnostní politiky... 7 4.2 Role při správě informačního systému veřejné správy... 8 4.3 Povinnosti provozovatele IS... 8 5 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ... 9 5.1 Kontrola vstupu... 10 5.2 Bezpečnost zařízení... 10 6 ZAJIŠTĚNÍ PROVOZU IS MČ PRAH A 3... 11 6.1 Dokumentace provozních postupů... 11 6.2 Řízení provozních změn... 11 6.3 Postupy pro řízení bezpečnostního incidentu... 11 6.4 Monitorování datového provozu... 11 6.5 Sledování kapacit... 11 6.6 Ochrana proti škodlivým programům (antivirová ochrana)... 12 6.7 Správa systému... 12 6.8 Bezpečnost při zacházení s medii... 13 6.9 Bezpečnost elektronické pošty... 13 7 ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍM SYSTÉMŮM... 14 7.1 Řízení přístupu uživatelů... 14 7.2 Vytvoření přístupu uživatele k IS MČ Praha 3... 14 7.3 Změna a rušení přístupu uživatelů k IS MČ Praha 3... 14 7.4 Řízení přístupu uživatelů ke zdrojům IS MČ Praha 3... 14 4/28

7.5 Řízení přístupu k operačním systémům (včetně operačních systémů síťových prvků)... 15 7.6 Řízení přístupu k síti... 15 7.7 Mobilní výpočetní prostředky... 16 7.8 Řízení přístupu třetích stran... 16 8 PŘÍLOHY:... 17 5/28

3 Úvod Bezpečnostní politika informačního systému Městské části Praha 3 (dále jen IS MČ Praha 3 ) představuje základní dokument pro zajištění bezpečnosti IS MČ Praha 3, který definuje požadavky na zajištění bezpečnosti informací zpracovávaných v IS MČ Praha 3. Hlavním cílem bezpečnostní politiky IS MČ Praha 3 je trvalé a kvalitní zajištění dostupnosti, důvěrnosti a integrity informací, které jsou zpracovávány v prostředí IS MČ Praha 3, a zajištění odpovědnosti uživatele za jeho činnost v informačním systému (dále jen IS ). Účel a rozsah bezpečnostní politiky Bezpečnostní politika IS MČ Praha 3 se zabývá informacemi, které jsou vytvářeny, zpracovávány a ukládány prostřednictvím IS MČ Praha 3 a službami, které zpracování informací podporují. Bezpečnostní politika IS MČ Praha 3: definuje hlavní cíle při ochraně informací, stanovuje způsoby řešení bezpečnosti informací, vymezuje pravomoci a zodpovědnost při ochraně informací. Bezpečnostní politika IS MČ Praha 3: je závazná pro všechny zaměstnance i ostatní uživatele IS MČ Praha 3 (např. externí dodavatele). se vztahuje na všechny IS (informační systémy veřejné správy a provozní informační systémy) provozované na Praze 3. je součástí provozní dokumentace dlouhodobého řízení informačních systémů veřejné správy (dále jen ISVS ) dle zákona č. 365/2000 Sb., o ISVS. 6/28

4 Organizace bezpečnosti Pravomoc pro stanovení a vyhlášení bezpečnostní politiky má výhradně Rada MČ Praha 3. Další pravomoci jsou uvedeny v organizačním a pracovním řádu nebo v dalších dokumentech systému. 4.1 Výkon bezpečnostní politiky Hlavní odpovědnost za zajišťování bezpečnostní politiky nese tajemník Úřadu městské části Praha 3 (dále jen UMČ Praha 3 ). Výkonem bezpečnostní politiky pověřuje Bezpečnostního manažera. Vedoucí všech organizačních útvarů (úseků, odborů, oddělení apod.) a ostatní vedoucí zaměstnanci jsou odpovědni za vedení a dodržování bezpečnostních opatření v jimi řízených útvarech v souladu s bezpečnostní politikou a vnitřními předpisy. K tomu účelu zejména: zajišťují, aby zaměstnanci znali své povinnosti a odpovědnosti a chránili informace a informační systémy a aby uživatelé systému byli vyškoleni v oblasti jimi používaných systémů v potřebné míře, zajišťují dodržování vydaných norem, standardů (včetně standardů ISVS) a postupů, pravidelně (nejméně však jedenkrát za 3 roky) vyhodnocují rizika spojená se ztrátou důvěrnosti, integrity a dostupnosti informací, zajišťují, aby uživatelé a dodavatelé služeb IT dodržovali bezpečnostní politiku organizace a ostatní relevantní vnitřní předpisy. Bezpečnostní manažer Bezpečnostní manažer řeší: revizi a zdokonalení bezpečnostní politiky informačního systému MČP3 a veškerých odpovědností, sledování významných změn zranitelnosti informačních aktiv ze strany hlavních hrozeb, revizi a sledování bezpečnostních incidentů, schvalování hlavních kroků vedoucích ke zvýšení bezpečnosti informací, koordinování implementace opatření v oblasti bezpečnosti informací. navrhuje specifické metodologie a postupy v oblasti bezpečnosti informací, např. hodnocení rizik, systém bezpečnostní klasifikace, navrhuje a podporuje iniciativy v oblasti bezpečnosti informací dotýkající se celé organizace, např. program zvyšování bezpečnostního vědomí, zajišťuje, aby bezpečnost IS MČ Praha 3 byla součástí procesu plánování v oblasti informatiky, hodnotí adekvátnost specifických opatření v oblasti bezpečnosti informací pro nové systémy nebo služby a koordinuje jejich implementaci. 7/28

4.2 Role při správě informačního systému veřejné správy V souladu s vyhláškou č. 529/2006 Sb., o dlouhodobém řízení ISVS, vykonává roli správce systému a současně roli bezpečnostního správce systému jedna fyzická osoba. ÚMČ Praha 3 sloučil bezpečnostní směrnici pro činnost bezpečnostního správce systému podle 10 odst. 2 písm. b) se systémovou příručkou podle 10 odst. 1 písm. b). Bezpečnostní správce IS je role odborného pracovníka v oblasti ICT, jehož hlavním úkolem je výkon odborných činností spojených s bezpečnostní informací IS. 4.3 Povinnosti provozovatele IS Provozovatel IS MČ Praha 3 zodpovídá za specifikaci bezpečnostních požadavků na projektovaných informačních systémech a za zpracovávané informace z hlediska bezpečnostní politiky. Provozovatel dále zodpovídá za řízení přístupu k informačním systémům a informačním aktivům a za průběžné ověřování funkčnosti zavedených bezpečnostních mechanizmů. 8/28

5 Fyzická bezpečnost a bezpečnost prostředí Cílem fyzické bezpečnosti je předcházet neautorizovanému přístupu, poškození a zásahům do prostor a informací ÚMČ Praha 3. Za tím účelem: stanovuje se fyzický bezpečnostní perimetr, který zahrnuje prostory ÚMČ P3 v budovách na adrese Lipanská 11, Havlíčkovo nám. 9, Lipanská 14, Seifertova 51, Havlíčkovo nám. 11, Olšanská 7, Perunova 5 a Milešovská 1, zavádí se v lokalitě Lipanská 11 jedna citlivá zóna, kterou se pro účely této bezpečnostní politiky rozumí místnost serverovny na odboru informatiky. Citlivá zóna serverovna je vymezena obvodovým zdivem, podlahou a stropem. Obvodové zdivo místnosti musí mít pevnou konstrukci a místnost musí být dostatečně chráněna proti vniknutí vody, a to jak vody z potrubí, tak vody dešťové. Přístup do místnosti musí být umožněn pouze prostřednictvím jediných vstupních dveří při použití mechanického klíče. V citlivé zóně je instalován elektronický zabezpečovací systém (EZS) a elektronická protipožární signalizace (EPS), zavádí se v obou lokalitách Lipanská 9 a Seifertova 51 citlivá zóna, kterou se vždy rozumí samostatná místnost vymezena obvodovým zdivem, podlahou a stropem. Obvodové zdivo místnosti musí mít pevnou konstrukci a místnost musí být dostatečně chráněna proti vniknutí vody, a to jak vody z potrubí, tak vody dešťové. Přístup do místnosti musí být umožněn pouze prostřednictvím jediných vstupních dveří při použití mechanického klíče, zavádí se ve všech prostorách fyzického bezpečnostního perimetru, ve kterých se nachází jakékoliv komponenty informačního systému MČ Praha 3, tzv. zabezpečená zóna vyjma těch prostor, které spadají do kategorie citlivá zóna a které podléhají zvláštnímu režimu a jakékoli osoby mimo zaměstnanců mohou vstupovat a pobývat v těchto zónách pouze s doprovodem zaměstnanců ÚMČ P3, jsou všechny prostory, ve kterých se nenachází komponenty IS MČ Praha 3 považovány za veřejné a osoby mimo zaměstnanců mohou vstupovat a pobývat v těchto prostorách bez doprovodu zaměstnanců ÚMČ P3. Vstup do citlivé zóny v lokalitě Lipanská 11 je samostatně povolen pouze vlastníkům aktiv, která se v citlivé zóně nacházejí. Těm je protokolárně předán kód systému EZS a mechanický klíč ke dveřím citlivé zóny. Tyto osoby jsou vždy povinny před vstupem do citlivé zóny systém EZS deaktivovat, při odchodu z citlivé zóny systém EZS opětně aktivovat a zamknout. Požaduje se, aby byl instalován takový systém EZS, který vede elektronický provozní deník, do kterého zapisuje datum a čas aktivace/deaktivace systému včetně jednoznačného identifikátoru osoby, která operaci provedla. Vstup do citlivé zóny v lokalitě Lipanská 9, resp. do citlivé zóny v lokalitě Seifertova 51 je samostatně povolen pouze vlastníkům aktiv, která se v citlivé zóně nacházejí. Těm je protokolárně předán mechanický klíč ke dveřím citlivé zóny. Tyto osoby jsou povinny při odchodu z citlivé zóny dveře zamknout. Jiné osoby než vlastníci aktiv mají do citlivé zóny přístup výhradně v doprovodu vlastníků aktiv. Následující komponenty IS MČ Praha 3 musí být umístěny v citlivé zóně v příslušné lokalitě: centrální routery, přepínače a huby, všechny kritické síťové servery, zařízení radiového a laserového spojení vyjma těch komponent, které musí být z technických důvodů umístěné jinde, např. na střeše budovy. 9/28

5.1 Kontrola vstupu Pro kontrolu fyzického přístupu do budov Havlíčkovo nám. 9 (resp. Lipanská 11) a Seifertova 51 je využíváno recepce nebo vstupního místa, které je pod kontrolou bezpečnostní služby. Do budov bude umožněn přístup pouze oprávněným osobám: zaměstnancům ÚMČ Praha 3, klientům v průběhu otevírací doby ÚMČ Praha 3 a osobám, které zde vykonávají činnost ve prospěch organizace. 5.2 Bezpečnost zařízení Komponenty informačního systému musí být umístěny tak, aby byla snížena rizika působení vnějších vlivů a minimalizovány příležitosti pro neautorizovaný přístup. Za tímto účelem: centrální přepínače musí být umístěny v uzamykatelných rozvodných skříních uvnitř citlivých zón (viz kap. 4), síťové servery musí být umístěny uvnitř citlivých zón (viz kap. 5), v citlivých zónách není povoleno jíst, pít a kouřit, citlivá zóna lokality Lipanská 11 musí být vybavena klimatizační jednotkou, která zajistí, že teplota prostředí nebude vyšší než nejnižší ze všech nejvýše povolených teplot prostředí pro instalovaná zařízení. Kritické servery musí být vybaveny systémem detekce přehřátí počítače a jeho automatického zastavení v takovém případě, ostatní síťové prvky, uživatelské stanice a ostatní HW informačního systému musí být umístěn v zabezpečených zónách (viz kap. 5), páteřní síťová infrastruktura musí být vedena pod podlahou, pod omítkou nebo v samostatných šachtách s vývodem v rozvodných skříních uvnitř citlivé zóny (viz kap. 5), centrální přepínače, a síťové servery musí být připojeny ke zvláštnímu elektrickému obvodu se samostatným jištěním a s ochranou proti přepětí a rušení. Pro tyto systémy musí být zajištěn systém nepřetržitého napájení elektrickým proudem (UPS), který překlene výpadek dodávek energie minimálně po dobu 30 minut, všechna zařízení musí být provozována v souladu s doporučením výrobce/dodavatele týkající se intervalu servisních prohlídek, opravy a servis musí provádět pouze oprávněný personál. 10/28

6 Zajištění provozu IS MČ Praha 3 6.1 Dokumentace provozních postupů Každý nový IS spravovaný MČ Praha 3 musí mít zajištěnu provozní dokumentaci v souladu s požadavky zákona č.365/2000 Sb., o ISVS. 6.2 Řízení provozních změn Pro každé z nehmotných softwarových aktiv a zejména pro všechna aktiva ze skupiny Aplikační software vede správce aktiva elektronický provozní deník, který obsahuje časově označený záznam systémových událostí (log) s popisem. Při každé provozní změně je změna okamžitě otestována před nasazením do produktivního provozu a případné problémy jsou řešeny v rámci příslušných smluvních vztahu podpory provozu dané části IS MČ Prahy 3. Popis změn poskytuje dodavatel a je vždy k dispozici v rámci nasazení testovací verze. Souhlas s nasazením do produktivního provozu uděluje pověřený pracovník odboru informatiky. 6.3 Postupy pro řízení bezpečnostního incidentu Cílem této kapitoly je přijmout opatření, která umožní rychlou, efektivní a řádnou reakci na incident. Nezanedbatelnou součástí je detekce příčin incidentu a přijmutí opatření, která jeho výskyt v budoucnu sníží. Za tímto účel je nutné v operačních systémech všech serverů, zajistit: synchronizaci času tak, aby na všech těchto serverech byl stejný systémový čas, automatické vedení záznamu běhových událostí (auditních záznamů), které budou obsahovat minimálně: o dobu startu a ukončení činnosti systému a na něm provozovaných aplikací, o chyby při provozu aplikace nebo systému, zajistit spolupráci Helpdesk, který přijme hlášení o bezpečnostním incidentu, se správcem serveru a vlastníkem příslušného datového aktiva, aby při vzájemné součinnosti mohla být vypracována analýza příčin bezpečnostního incidentu a provedena co nejrychlejší obnova systému podle obnovovacích procedur v souladu s provozní dokumentací, všechny zjištěné bezpečnostní incidenty musí být klasifikovány, analyzovány a musí být přijmuta nápravná opatření. 6.4 Monitorování datového provozu Monitorování provozu datové sítě je zajištěno automatickými systémy. Výstupy z monitoringu jsou pravidelně analyzovány odborem informatiky. 6.5 Sledování kapacit V IS MČ Praha 3 je implementován systém automatického sledování využití výpočetních, paměťových a přenosových kapacit pro páteřní síťovou infrastrukturu, pro kritické síťové servery. V pravidelných intervalech je automaticky vyhodnocován a jsou odesílány pravidelné notifikace zjištěných nedostatků správci IS. 11/28

6.6 Ochrana proti škodlivým programům (antivirová ochrana) Cílem těchto opatření je chránit integritu programů a dat IS MČ Praha 3. Za tímto účelem: je v IS MČ Praha 3 povoleno používání pouze takových operačních systémů, které umožňují oddělení uživatelských práv od práv administrátora systému, administraci všech počítačů zajišťuje výhradně správce informačního systému. Využívá přitom postupů obdobných pro řízení přístupu k informačním systémům, operační systémy na všech počítačích IS MČ Praha 3 musí být instalovány a provozovány tak, aby běžný uživatel nemohl měnit systémovou konfiguraci počítače, správce informačního systému musí zajistit pravidelné aplikování bezpečnostních záplat použitých operačních systémů na kritických síťových serverech, a to nejméně jednou za 14 dnů, na každém počítači s operačním systémem Windows musí být nainstalován antivirový program, který je rezidentně spuštěn a kontroluje všechny otevírané soubory na přítomnost virů a jiného škodlivého software. Antivirový program (resp. příslušná antivirová báze) musí být pravidelně, vždy neprodleně po zveřejnění nové verze u výrobce, aktualizován, v IS bude instalován centrální antivirový scanner pro veškerou příchozí i odchozí elektronickou poštu. Centrální antivirový scanner bude jiný, než je antivirový systém používaný na stanicích uživatelů, při stahování dokumentů ze sítě Internet anebo jakékoliv jiné sítě mimo IS MČ Praha 3 musí být na systému pro propojení sítí s různou úrovní důvěryhodnosti (firewall, viz kap. 6.6) implementováno pravidlo pro filtrování nebezpečných prvků HTML kódů, zejména: o prvků ActiveX, o jazyky VB script a Java o Macromedia Flash ve zvláštních případech mohou být z předcházejícího pravidla vyloučeny některé počítače. Tyto počítače pak musí být pod zvláštním bezpečnostním dozorem správce IS. Správce IS zajistí, že na operačním systému takového počítače budou instalovány všechny aktuální bezpečnostní záplaty a provede nastavení přiměřené bezpečnostní úrovně webového prohlížeče. 6.7 Správa systému Pro nehmotná softwarová aktiva operační systémy Windows a pro všechna aktiva ze skupiny aplikační software se předepisuje správci aktiva vytvořit záložní kopii při převzetí aplikace od dodavatele. Záložní kopie bude vytvořena formou zálohy bitové kopie virtuálního stroje a bude opatřena datem jejího vytvoření. Do provozního deníku aplikace je zaznamenáno vytvoření této zálohy. 6.8 Zálohování Probíhá pravidelné zálohování je zálohována celá virtuální infrastruktura (VM), SQL server, Exchange server, konfigurace aktivních sítových prvků. Zálohy jsou ukládány na dedikované diskové pole umístěné v serverovně, zálohy jsou zrcadlené na externí úložiště mimo lokalitu Lipanská 11. Systém automaticky ověřuje konzistenci záloh 12/28

6.9 Bezpečnost při zacházení s medii V IS MČ Praha 3 mohou uživatelé používat floppy diskety, CD-R(W), DVD-R(W), a USB disky. Tato média vydává správce informačního systému. Povinnosti zaměstnanců ve vztahu k zabezpečení přenosných medií jsou uvedeny v Bezpečnostní politice pro uživatele IS MČ Praha 3. 6.10 Bezpečnost elektronické pošty Elektronická pošta je primárně určena pro plnění služebních povinností. Elektronická emailová podání se se řídí Spisovým řádem ÚMČ P3.. Veškerá příchozí i odcházející emailová pošta musí být kontrolována na přítomnost virů (viz též kap. 5.6). Povinnosti zaměstnanců ve vztahu k práci s elektronickou poštou jsou uvedeny v Bezpečnostní politice pro uživatele IS MČ Praha 3. 13/28

7 Řízení přístupu k informačním systémům Tato kapitola bezpečnostní politiky popisuje formální postupy pro přidělování uživatelských práv k IS MČ Praha 3 po celou dobu životního cyklu přístupu uživatele. 7.1 Řízení přístupu uživatelů Přístupová práva k jednotlivým subsystémům IS jsou přidělována, upravována a evidována oddělením informatiky na základě pokynů oddělení personální práce a mezd nebo na základě pokynů vedoucích zaměstnanců prostřednictví Helpdesk. Evidence přístupových oprávnění je vedena v aplikaci EOS (Evidence organizační struktury) a AD (Active directory). 7.2 Vytvoření přístupu uživatele k IS MČ Praha 3 Vedoucí odboru, do kterého nastupuje nový zaměstnanec, je povinen v dostatečně dlouhé době před započetím práce zaměstnance v informačním systému stanovit rozsah oprávnění funkčního místa. Zaměstnanec obdrží rozsah oprávnění dle funkčního místa na které je zařazen. Uživateli je přidělen jednoznačný identifikátor, aby bylo možné propojit uživatele s jimi prováděnými akcemi a zajistit tak jeho odpovědnost za prováděné akce. Nově přijatý zaměstnanec je povinen seznámit se s bezpečnostní politikou a dalšími relevantními dokumenty provozu informačního systému. 7.3 Změna a rušení přístupu uživatelů k IS MČ Praha 3 Dochází-li k převedení zaměstnance mezi odbory nebo odděleními je tato změna prováděna formou zařazení zaměstnance na příslušné funkční místo v personálním systému a rozsah oprávnění je přebírán automaticky. Dojde-li ke změně pracovní náplně zaměstnance, oznámí příslušnou změnu přístupových práv zaměstnance vedoucí odboru/oddělení prostřednictvím Helpdesk odboru informatiky požadované změny a to v dostatečném předstihu tak, aby mohl správce informačního systému provést změny současně s přechodem/odchodem zaměstnance. V případě odchodu zaměstnance dochází k automatickému zablokování přístupových údajů zaměstnance na základě úkonů provedených v personálním systému. Následné odstranění přístupových údajů provádí správce IS. 7.4 Řízení přístupu uživatelů ke zdrojům IS MČ Praha 3 Před zpřístupněním jakýchkoliv zdrojů IS MČ Praha 3 musí IS vyžadovat autentizaci uživatelů. V IS existuje centrální autentizační databáze. Autentizace je možná i v případě výpadku komunikačního spojení mezi lokalitou a centrálním uzlem v rozsahu přihlášení do pracovní stanice již existující lokální kopií účtu. Změny v autentizační databázi může provádět výhradně osoba pověřená správcem IS. Autentizační databáze musí být zálohována shodně jako datová informační aktiva IS systému MČ Praha 3. Pro autentizaci uživatelů v rámci přístupu ke zdrojům IS musí být použito jednoznačné uživatelské jméno a uživatelské heslo. Požadavky na složitost hesla jsou definovány v bezpečnostní politice uživatelů. Autentizační mechanismus musí být odolný proti různým 14/28

druhům kryptografických útoků s cílem předstírání identity uživatele včetně útoků založených na odposlechu komunikačního média nebo útoků typu replay attack. Po třech neúspěšných pokusech o autentizaci je uživatelský účet krátkodobě zablokován. Veškeré pokusy o přihlášení a odhlášení uživatele musí být logovány. V případě nečinnosti uživatele delší než 30 minut musí systém provést automatické odhlášení uživatele ze systému nebo zablokovat konzolu počítače např. spuštěním spořiče obrazovky chráněného heslem. Po provedení autentizace musí být uživateli přidělena pouze takové přístupová práva, která nezbytně potřebuje pro výkon pracovních úkolů. Tam, kde to pro plnění pracovních úkolů uživatele IS dostačuje, se vyžaduje nastavení přístupových práv pouze pro čtení informačních aktiv, a to na úrovni příslušné aplikace. Systém běhových událostí (auditní záznam) musí být nastaven tak, aby zaznamenal každé přihlášení uživatele k těmto nehmotným informačním aktivům včetně data a času, kdy byl úspěšný či neúspěšný pokus o přístup k nehmotnému informačnímu aktivu proveden. 7.5 Řízení přístupu k operačním systémům (včetně operačních systémů síťových prvků) Prostředky použité pro řízení přístupu k operačnímu systému musí zajistit: jednoznačnou identifikaci administrátora (příp. identifikaci za použití jednorázových hesel nebo autentizačních předmětů), zaznamenávat úspěšné i neúspěšné pokusy o autentizaci administrátora, v případě nečinnosti delší než 30 minut provést automatické odhlášení administrátora nebo zablokovat konzolu počítače např. spuštěním spořiče obrazovky chráněného heslem. 7.6 Řízení přístupu k síti IS MČ Praha 3 je připojen: k datové síti MepNet hlavního města Prahy a jejím prostřednictvím k veřejné datové síti Internet, k veřejné datové síti internet prostřednictví záložní konektivity. Tato propojení jsou realizována prostřednictvím systému pro řízení komunikace datových sítí (firewall). Firewall musí umožňovat připojení nejméně dvou sítí na dvou nezávislých fyzických rozhraních. Jedním síťovým rozhraním musí být připojen do IS MČ Praha 3 (dále interní síťové rozhraní), druhým síťovým rozhraním je připojen do externí sítě (dále jen externí síťové rozhraní). Firewall musí mít implementována následující pravidla řízení datového provozu: komunikace externích síťových rozhraní do sítě IS MČ Praha 3 (interní síťové rozhraní) není povolena. Výjimky povoluje vedoucí odboru informatiky stanovením protokolů a případně IP adres, pro které se komunikace povoluje, rozsah a způsob komunikace z IS MČ Praha 3 (interní síťové rozhraní) externích síťových rozhraní) řídí správce IS prostřednictvím definice pravidel firewallu a IPS (Intrusion prevention systém). 15/28

7.7 Mobilní výpočetní prostředky Všechna mobilní zařízení jako jsou notebooky, tablety a telefony používané mimo lokality ÚMČ Praha 3 a připojované k IS MČ Praha 3 se řídí pravidly dle dokumentu Bezpečnostní politika pro uživatele IS MČ Praha 3. 7.8 Řízení přístupu třetích stran Do informačního systému MČ Praha 3 je povolen přístup třetích stran pouze v případě, že je smluvně ošetřen. Třetí strany musí dodržovat pravidla stanovená touto bezpečnostní politikou. 16/28

8 Přílohy: Příloha č.1 Bezpečnostní politika pro uživatele IS MČ Praha 3 17/28

Příloha č.1 Bezpečnostní politika pro uživatele IS MČ Praha 3 Městská část Praha 3 Bezpečnostní politika pro uživatele IS MČ Praha 3 1/28

Příloha č.1 Bezpečnostní politika pro uživatele IS MČ Praha 3 OBSAH 1 IDENTIFIKACE DOKUMENTU... 3 2 SEZN AM POJMŮ A ZKR ATEK... 4 3 ZÁSADY CHOVÁNÍ UŽIVATELŮ... 5 3.1 ÚVOD... 5 3.2 CÍLE... 5 4 OPATŘENÍ... 6 4.1 ZNALOST INTERNÍCH PŘEDPISŮ... 6 4.2 PŘIHLAŠOVACÍ ÚDAJE... 6 4.3 INFORMAČNÍ SYSTÉMY... 6 4.4 ZÁSADA PRÁZDNÉ OBRAZOVKY MONITORU... 7 4.5 INTERNÍ POČÍTAČOVÁ SÍŤ - LAN... 7 4.6 PŘÍSTUP NA INTERNET... 8 4.7 ELEKTRONICKÁ POŠTA... 8 4.8 BEZPEČNOST KONCOVÝCH ZAŘÍZENÍ... 9 4.9 BEZPEČNOST PŘI ZACHÁZENÍ S MEDII... 9 4.10 ZAJIŠTĚNÍ OCHRANY DAT... 10 4.11 HLÁŠENÍ PROBLÉMŮ... 10 5 ZÁVĚREČNÉ USTANOVENÍ... 11 2/28

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář