PRAVIDLA ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍMU SYSTÉMU

Podobné dokumenty
PRAVIDLA BEZPEČNOSTI PŘIPOJENÍ A VYUŽÍVÁNÍ SÍTĚ CESNET A INTERNET

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

Klasifikace informací: Veřejné BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE PŘÍLOHA Č. 1 BEZPEČNOSTNÍ POLITIKA INFORMACÍ. Verze 2.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Organizační opatření, řízení přístupu k informacím

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Bezpečnostní politika společnosti synlab czech s.r.o.

UNIVERZITA PARDUBICE. Směrnice č. 13/2006. Zásady provozování a využívání datové sítě a výpočetní techniky na Univerzitě Pardubice

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Čl. 1 Předmět úpravy

Poliklinika Prosek a.s.

Pravidla užívání počítačové sítě VŠB-TU Ostrava

Směrnice o provozování kamerového systému

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Univerzita Tomáše Bati ve Zlíně. Směrnice rektora č. 23/2002 Pravidla provozu počítačové sítě Univerzity Tomáše Bati ve Zlíně

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

SPRÁVA A UŽÍVÁNÍ INTRANETU A ADMINISTRACE WEBOVÝCH STRÁNEK SOCIÁLNÍCH SLUŽEB VSETÍN

SMĚRNICE REKTORA č. 151/2010

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

VÝKLADOVÝ SLOVNÍK ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Univerzita Karlova. Opatření rektora č. 35/2017

1. Integrační koncept

Politika bezpečnosti informací

Zásady řízení dokumentů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Bezpečnostní politika společnosti synlab czech s.r.o.

Zákon o kybernetické bezpečnosti

Bezpečnostní politika a dokumentace

Provozní řád počítačových učeben

Personální evidence zaměstnanců

Směrnice děkana č. 8/2012 Pravidla podpory projektů vysokoškolského specifického výzkumu na Fakultě sportovních studií Masarykovy univerzity

Kybernetická bezpečnost

Základy řízení bezpečnosti

POKYNY K REGISTRACI PROFILU ZADAVATELE

doc. Ing. Zdeněk Horák, Ph.D JUDr. Pravomil Prchal, Ph.D. doc. MUDr. Václav Báča, Ph.D. rektor Počet stran: 7 Počet příloh: 0 Rozdělovník:

Směrnice ČLS JEP číslo 1/2018 O ochraně a zpracování osobních údajů

Výtisk č.: Počet listů 19. Přílohy: 0 ÚZIS ČR. Role žadatel - postup

Směrnice č. 4 Řízení, financování a realizace projektů

Směrnice pro zajištění ochrany osobních údajů při práci s ICT

Registr práv a povinností

PRO ROZVOJ A INFORMATIZACI

Bezpečnostní politika společnosti synlab czech s.r.o.

Politika bezpečnosti informací

Pracovní postup náběhu do produktivního provozu

Článek 1 Předmět úpravy

Není cloud jako cloud, rozhodujte se podle bezpečnosti

PRAVIDLA PROVOZU POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Provozní řád počítačových učeben

VNITŘNÍ NORMA PdF UP. PdF-B-17/04. Použití distančních forem studia v rámci PdF UP v Olomouci

Bezpečnostní politika informací SMK

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

PRAVIDLA PRO HODNOCENÍ AKADEMICKÝCH PRACOVNÍKŮ NA PF UJEP

SMĚRNICE DĚKANA S - 2/2016

Ne-bezpeční zemědělci

Uživatelská příručka: Portál CMS. Centrální místo služeb (CMS)

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Pravidla provozování a využívání univerzitního informačního systému Vysoké školy ekonomické v Praze

Registr práv a povinností

Obecné nařízení o ochraně osobních údajů

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

ORGANIZAČNÍ ŘÁD Fakulty strojního inženýrství Vysokého učení technického v Brně

Využívání telefonie a datového přenosu pro služební účely

SMĚRNICE DĚKANA Č. 4/2013

INFORMAČNÍ TECHNOLOGIE

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Certifikace pro výrobu čipové karty třetí stranou

Název materiálu: Směrnice rektora: Pravidla pro evidenci vyučovaných předmětů, studijních programů a oborů v informačním systému ČZU

SBÍRKA ROZHODNUTÍ A OPATŘENÍ JIHOČESKÉ UNIVERZITY V ČESKÝCH BUDĚJOVICÍCH

ORGANIZAČNÍ ŘÁD RD-01. Daniel Häusler ředitel Kanceláře ČIIA Schválil: Petr Vobořil prezident ČIIA. Vypracoval:

Zákon o kybernetické bezpečnosti

REGISTRACE UŽIVATELSKÉHO ÚČTU NOVÉHO STUDENTA V CRO

Směrnice rektorky SR 01/2015

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Na vod k nastavenı ovy ch schra nek Administrace

Praha PROJECT INSTINCT

Univerzita Karlova, Lékařská fakulta v Hradci Králové. Opatření děkana č. 10/2019

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Jednotný identitní prostor Provozní dokumentace

Ing. Tomáš Řemelka. KAAS/JIP. Informace pro vývojáře agendových informačních systémů

Výtisk č.: Počet listů 12. Přílohy: 0 ÚZIS ČR. Příručka pro aktivaci účtu

Google Apps. Administrace

Směrnice pro ochranu osobních údajů

SBÍRKA ROZHODNUTÍ A OPATŘENÍ JIHOČESKÉ UNIVERZITY V ČESKÝCH BUDĚJOVICÍCH

Uživatelské účty k modulům APV OKnouze/Okslužby pro kraje

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

SŽDC PO-27/2018-ŘO5. Pokyn ředitele odboru smluvních vztahů O5 pro ochranu osobních údajů. Účinnost ode dne zveřejnění

UNIVERZITA PARDUBICE Směrnice č. 13/2007 ve znění dodatku č. 1 Pravidla pro zveřejňování závěrečných prací a jejich základní jednotnou formální úpravu

Transkript:

K INFORMAČNÍMU SYSTÉMU ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 2008

K INFORMAČNÍMU SYSTÉMU ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 Účinnost od 1. 3. 2008 Klasifikace Interní Počet stran 11 Počet příloh 1 Garant Šup Libor, Bc., bezpečnostní technik ICT Šup Libor, Bc., bezpečnostní technik ICT Hradecký Ondřej, Ing., vedoucí OIKT ČZU Zpracoval Kéri František, Ing., konzultant, ClarioNet, s.r.o. Vlček Peter, Ing., projektový manažer, ClarioNet, s.r.o. Novák Jan, vedoucí manažer, ClarioNet, s.r.o. Kadeřávková Pavla, Ing., supervisor, ClarioNet, s.r.o. Schválil Působnost Hron Jan, prof. Ing. DrSc., dr.h.c., rektor ČZU Všichni zaměstnanci ČZU, studenti ČZU. Dále zástupci externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 2/11

Registr změn Číslo změny 1 2 3 4 5 6 7 8 9 10 Verze Účinnost od Popis změny Změnu provedl ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 3/11

Obsah 1. Úvod...5 2. Působnost...5 3. Východiska...5 4. Úvodní ustanovení...5 5. Všeobecná pravidla...5 6. Role a odpovědnosti v procesu řízení přístupu...6 7. Společný proces řízení přístupu...8 8. Monitorování a kontrola přístupu...9 9. Odpovědnosti uživatelů...10 9. 1. Odpovědnost při práci s hesly...10 9. 2. Odpovědnost při práci se systémy IS...11 10. Závěrečná ustanovení...11 ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 4/11

1. Úvod Vedení České zemědělské univerzity v Praze (dále ČZU) si uvědomuje důležitost zajištění bezpečnosti informačních systémů, informačních technologií a informací, které ČZU využívá pro naplnění svých cílů. Následující zásady, pravidla a odpovědnosti pro zajištění bezpečného přístupu k IS ČZU naplňují tento záměr. 2. Působnost Dokument Pravidla řízení přístupu k informačnímu systému České zemědělské univerzity v Praze (dále PŘPIS ČZU) definuje základní pravidla pro centralizované řízení přístupu uživatelů k informačním aktivům ČZU, zejména aplikacím, službám a datům IS ČZU. 3. Východiska Východiskem pro celkové postavení, působnost, tvorbu a strukturu PŘPIS ČZU je norma: ČSN ISO/IEC 27001. ČSN ISO/IEC 17799. 4. Úvodní ustanovení Pravidla bezpečnosti jsou platná pro všechny zaměstnance ČZU, studenty ČZU. Dále pro zástupce externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. Pravidla bezpečnosti uvedená v tomto dokumentu mohou být dále rozpracována v interních směrnicích fakult a dalších součástí univerzity. Takové směrnice jsou podřízeny tomuto řádu a navazujícím interním řídícím dokumentům vydaných rektorem ČZU. Pro zajištění trvalého rozvoje univerzity a jejich součástí je nezbytné udržovat bezpečnost univerzity minimálně na úrovni, která vylučuje nebo omezuje vliv zjištěných rizik na procesy ČZU. Cílem organizace bezpečnosti je vytvořit uvnitř univerzity takové vědomí potřeby bezpečnosti, které se stane neoddělitelnou součástí každodenního chodu univerzity a součástí celkové politiky a kultury akademického prostředí na ČZU. 5. Všeobecná pravidla Přístup ke všem informačním zdrojům a aktivům univerzity má být řízen centrálně, jednotným, rámcovým, společným postupem. Pro specifické typy aktiv je možné tento společný rámcový proces detailněji upravit, s podmínkou zachování těchto společných principů: ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 5/11

a) Přístup k počítačovým službám, aplikacím a datům, tj. aktivům IS ČZU musí být řízen na základě definovaných pravidel. b) Přístup k aktivům IS ČZU musí být přidělován na základě provozních požadavků procesů a odpovědnostních rolí za jednotlivé činnosti procesů dle principu přístup pouze tam, kde je výslovně třeba. c) Každý uživatel IS ČZU se hlásí ke zdrojům a aktivům IS ČZU (autentizuje je) na základě svého vlastního uživatelského účtu nebo i specifické identity, které jsou v jednotlivých subsystémech a aplikacích IS ČZU přiřazeny specifické role dle uživatelovy pracovní náplně. Těmto rolím jsou přiřazeny předdefinované sady oprávnění (přístupových práv) dle odpovědností a činností role v daném subsystému nebo aplikaci IS ČZU. Tato přístupová práva jednotlivých rolí jsou v aplikaci přiřazena na základě činností a odpovědností těchto rolí v procesech ČZU, které daná aplikace podporuje a zajišťuje. Uvedený postup je podporován systémem správy identit (Identity Management). d) Přístup k aktivům IS ČZU může být nastaven (realizován) pouze na základě příslušné žádosti, která splňuje všechny formální náležitosti a je řádně schválena odpovědnými osobami (dle typu IS). e) Musí být zajištěna evidence písemných a jejich uchování po dobu nejméně 3 let. f) Musí existovat formální postup pro zablokování a zrušení přístupových oprávnění a uživatelských účtů při odchodu zaměstnance, studenta a externího dodavatele. g) Pro přístup k interním (neveřejným) zdrojům a aktivům IS ČZU nesmí být využíváno skupinového uživatelského účtu. h) Přidělování privilegovaných oprávnění musí být řízeno a omezováno, a to pouze na nezbytně nutnou míru, která je nutná pro provoz systému. Oprávnění pracovníci (např. správci IS) nesmí využívat účty s privilegovanými oprávněními pro běžnou práci. 6. Role a odpovědnosti v procesu řízení přístupu Následující role systému řízení bezpečnosti informací ČZU jsou přímými účastníky procesu řízení přístupu k IS, v rámci kterého mají přiřazeny specifické činnosti a odpovědnosti. Role Administrátor OS, SW, DB, sítě (souhrnně Administrátoři IS ) Bezpečnostní inspektor IS ČZU Odpovědnosti Administrace přístupových práv rolím a uživatelským účtům dle schválených žádostí vedoucích/garantů/projektových manažerů a dodavatelů v závislosti na použitém podprocesu řízení přístupu. Zablokování a přesměrování přístupových práv odcházejících zaměstnanců na jiné osoby dle pokynů vedoucích oddělení. Kontrola dodržování formálních administrativních kroků a postupů. Kontrola existence záznamů (formulářů) a dodržování směrnic a souvisejících organizačních bezpečnostních opatření a postupů. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 6/11

Bezpečnostní manažer ČZU Bezpečnostní správce IS Garant/Vlastník informací a dat (procesů a modulů IS) Projektový manažer projektů IS (dále projektový manažer IS) Fórum pro bezpečnost informací ČZU Uživatelé IS ČZU Vedoucí odd./odborů/kateder a jiní vedoucí Vedoucí OIKT ČZU Vývojář a dodavatelé aplikací Posouzení návrhu, implementace a provozu bezpečnostních systémů. Návrh adekvátních bezpečnostních opatření a odpovědnost za kontrolu bezpečnostních opatření. Instalace, konfigurace, údržba a zajištění funkčnosti schválených bezpečnostních opatření. Kontrola instalace, nastavení a provozu bezpečnostních opatření. Ad-hoc kontrola bezpečnostních logů. Odpovídá za zpracování konkrétního informačního aktiva. Předmětem činnosti této role je řízení adekvátního zabezpečení zpracování svěřeného informačního aktiva a dohlížení na něj tak, aby bylo minimalizováno riziko ztráty, prozrazení, změny, poškození a zneužití informačních aktiv. Koordinace činností projektového týmu ČZU při vývoji a implementaci nových projektů (aplikací, služeb a subsystémů) ve spolupráci s projektovým týmem dodavatele. Předávání informací mezi garanty informací a dat, administrátory IS a projektovým týmem dodavatele z hlediska správné specifikace požadavků, rolí, oprávnění a implementace jednotného procesu řízení přístupu v probíhajících projektech IS. Posouzení a schválení změn bezpečnostní politiky a hlavních odpovědností. Dodržování a plnění všech stanovených provozních bezpečnostních zásad, povinností, a odpovědností. Schvalování a podávání žádostí o založení, změnu a zrušení uživatele a jeho oprávnění v IS ČZU. Pokyny administrátorům IS k přesměrování přístupových práv k elektronické poště, datům a souborům odcházejících zaměstnanců na jiné pracovníky oddělení. Schvalování požadavků na založení, změnu a zrušení uživatele a jeho oprávnění v IS ČZU. Delegování vybraných podřízených pracovníků do role garanta informací a dat pro jednotlivé procesy ČZU v působnosti svého odd./odboru. Návrh, výběr, schválení, implementace a provoz IT zajišťující funkčnost IS ČZU. Spolupráce při návrhu bezpečnostních opatření. Zajištění implementace a funkčnosti bezpečnostních opatření. Návrh, vývoj a implementace aplikací, služeb a subsystémů IS ČZU, které zajišťují funkčnost a podporu procesů ČZU. Implementace principů řízení přístupu a administrace rolí, oprávnění a transakcí procesů ČZU v modulech aplikací, služeb a subsystémů IS, dle požadavků projektových manažerů IS a garantů informací a dat. Další upřesnění participace a odpovědnosti uvedených rolí procesu řízení přístupu k IS je uvedeno v následujících kapitolách, které popisují jednotlivé podprocesy řízení přístupu. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 7/11

7. Společný proces řízení přístupu Tato kapitola definuje jednotný rámcový proces pro řízení (přidělení/modifikaci/zrušení) přístupových práv (oprávnění) rolí a uživatelských účtů ke všem aplikacím, službám, subsystémům a datovým aktivům IS ČZU. Tento společný proces řízení přístupu se skládá ze 4 základních podprocesů: Název podprocesu řízení přístupu k IS Administrace rolí a oprávnění v IS po změně procesu ČZU Administrace rolí a oprávnění v IS po změně funkce systému IS (aplikace/služby/ pod ) Administrace uživatelského účtu a jeho přiřazení k rolím a oprávněním v IS Blokace uživatelského účtu v IS při odchodu zaměstnance Popis účelu podprocesu Odkaz na interní formulář Postup administrace změny v nastavení Požadavek na založení, oprávnění uživatelské role, případně změnu a zrušení založení nové role v systému IS uživatele v informačním v důsledku změn odpovědností a činností systému ČZU a/nebo funkčních míst v procesu ČZU. jeho oprávnění Proces startuje zpravidla garant informací k aplikačnímu software. a dat za příslušný proces, v němž došlo ke změně. Postup administrace změny v nastavení oprávnění uživatelské role, případně založení nové role v systému IS v důsledku změn odpovědností a činností rolí ve funkcionalitě systému IS. Proces startuje zpravidla dodavatel IS nebo projektový manažer IS Postup administrace uživatelských účtů (založení, modifikace, zablokování a zrušení) pomocí přiřazení oprávnění dle funkcionality již nastavených rolí v systémech IS při nástupu nového zaměstnance nebo při jeho převodu na jiné zařazení nebo při dočasném zástupu jiným zaměstnancem. Proces startuje zpravidla vedoucí oddělení dotyčného zaměstnance. Postup zablokování, dočasného převodu a následného zrušení přístupových oprávnění uživatelského účtu do systému IS při odchodu zaměstnance. Proces startuje zpravidla personální odbor nebo vedoucí oddělení dotyčného zaměstnance. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 8/11

8. Monitorování a kontrola přístupu Jednotlivé systémy IS ČZU musí být monitorovány prostřednictvím zaznamenávání systémových a bezpečnostně-relevantních událostí, které nastavují dodavatelé a administrátoři IS ve spolupráci s bezpečnostními správci IS a bezpečnostním manažerem ČZU. Veškeré tyto postupy musí zachovávat zákonné normy ČR. Uživatel je povinen umožnit kontrolu zařízení. Nesmí vytvářet nebo pozměňovat data s cílem ovlivnit (mást) kontrolu oprávněnosti použití počítačových programů. Není povoleno jakkoli bránit v kontrole (ať už je prováděna osobně nebo pomocí příslušného programu na dálku) vybavení ČZU. Návrh na monitoring přístupu k datům a službám IS předkládá projektový manažer IS (dle doporučeného řešení dodavatele IS nebo administrátora IS) bezpečnostnímu manažerovi ČZU k posouzení. Ten na základě odhadu/analýzy rizik navrhne závazný rozsah logování a monitorování přístupu s použitím vybraných typů záznamů z uvedené nabídky: a) Pokusy o neautorizovaný přístup, včetně informací jako: Uživatelské ID. Datum a čas klíčových událostí. Druh událostí. Soubory, ke kterým bylo přistupováno. Použité programy/nástroje. Narušení přístupové politiky a upozornění od síťových bran a firewallů. Varování speciálních systémů pro detekci průniků. b) Použití privilegovaných operací, jako: Použití účtu administrátora. Spuštění a ukončení systému / služeb IS. Připojení a odpojení vstupně-výstupních zařízení. c) Systémová varování nebo chyby, jako: Zprávy nebo varování z konzole. Výjimky v systémových záznamech. Alarmy správy systémových služeb (procesů). Alarmy správy sítě. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 9/11

Tyto záznamy jsou v pravidelných intervalech kontrolovány administrátory IS z hlediska zajištění a kontroly funkčnosti systémů IS. Výsledky kontrol předává administrátor IS bezpečnostnímu manažerovi ČZU, který provádí jejich vyhodnocení a závěry předkládá k projednání řídícímu fóru pro bezpečnost informací ČZU. Cílem je detekovat a vyhodnocovat případy neoprávněných činností a přístupů k informacím a souvisejícím aktivům ČZU. 9. Odpovědnosti uživatelů Základní a prioritní povinností koncových uživatelů je dodržování a plnění všech stanovených bezpečnostních zásad, povinností, a odpovědností. Mezi nejdůležitější odpovědnosti uživatelů patří odpovědnosti za manipulaci a práci s hesly a klíčové povinnosti při práci se systémy IS ČZU. Pro získání přístupu k aplikacím a službám IS by měli uživatelé absolvovat všechna školení předepsaná personálním odborem ČZU ve spolupráci s OIKT ČZU. 9. 1. Odpovědnost při práci s hesly Uživatelé musí dodržovat následující nejdůležitější povinnosti při práci s hesly: a) Hesla nesmí být jakýmkoliv způsobem sdělena jiné osobě. b) Hesla nesmí být nikde poznamenána a musí se udržovat v tajnosti. c) Nesmí být jakkoliv umožněno jiné osobě seznámit se s heslem. d) Jako hesla nesmí být použita jména blízkých osob, zvířat a další slova, která mohou být odhadnuta ze znalosti držitele hesla nebo neobsahovalo po sobě jdoucí stejné. e) Heslo musí být dostatečně silné, tak aby se nedalo jednoduše strojově nebo ručně prolomit (kombinace velkých a malých písmen a číslic, délka alespoň 6 znaků) a mělo by být pravidelně měněno v závislosti rizicích spojených s prolomením. f) Hesla nesmí být zaznamenána na papíře nebo v obdobné podobě (výjimku tvoří bezpečné uložení administrátorských hesel pro případ havárií). g) Hesla se musí změnit v případě jakéhokoliv náznaku možného kompromitování systému nebo hesla. h) Uživatel IS ČZU změní dočasná hesla při prvním přihlášení. Uživatel nese zodpovědnost za prozrazení jeho hesla a následné zneužití svého účtu v rámci ČZU. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 10/11

9. 2. Odpovědnost při práci se systémy IS Uživatelé musí dodržovat následující nejdůležitější povinnosti při práci se systémy IS. a) Nutno hlásit jakékoliv nestandardní chování a podezření na bezpečnostní incidenty. b) Varování o nesprávném certifikátu. c) Nepřihlašovat se při nezvyklém chování systému. d) Důsledná politika prázdného stolu. e) Povinné používání spořiče obrazovek s heslem (maximálně 15 minut). f) Uživatel musí používat výhradně svůj přihlašovací (uživatelský) účet. g) Při opuštění na kratší dobu uzamknout stanici. h) Při opuštění pracoviště se odhlásit se ze systému. i) Vytištěné klasifikované dokumenty nesmí být ponechány na tiskárně ani na jiném přístupném místě. Uživatel je odpovědný Neplnění výše uvedených povinností a odpovědností může být považováno za neplnění základních povinností zaměstnance směrem k zaměstnavateli a může vést k disciplinárnímu řízení, finančním postihům a v konečném důsledku i k rozvázání pracovního poměru. 10. Závěrečná ustanovení a) PŘPIS ČZU nabývá platnosti dnem 1. 3. 2008. b) Případné výjimky z pravidel obsažených v tomto dokumentu musejí být s vysvětlením jejich opodstatnění předloženy ke schválení bezpečnostnímu manažerovi ČZU, který může pro jejich posouzení iniciovat proces analýzy rizik. Výjimka může být udělena jen v odůvodněných případech. Pokud jsou výjimky uděleny, musí být minimálně každých 6 měsíců přezkoumáno, zda nepominuly důvody pro jejich udělení a zda se nemění úroveň rizik. Neakceptovatelné zvýšení rizik je důvodem pro neudělení nebo zrušení výjimky. a) Změny uvedených pravidel budou prováděny na základě doporučení fóra pro bezpečnost informací ČZU a bezpečnostního manažera ČZU Přílohy Příloha 1: Požadavek na založení, změnu a zrušení uživatele v informačním systému ČZU a/nebo jeho oprávnění k aplikačnímu software. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 11/11

Požadavek na založení, změnu a zrušení uživatele v IS ČZU a/nebo jeho oprávnění k aplikačnímu software POŽADAVEK NA ZALOŽENÍ, ZMĚNU A ZRUŠENÍ UŽIVATELE V INFORMAČNÍM SYSTÉMU ČZU A/NEBO JEHO OPRÁVNĚNÍ K APLIKAČNÍMU SOFTWARE PŘÍLOHA Č. 1 K INFORMAČNÍMU SYSTÉMU ČZU Specifikace Název aplikačního software / IS: Příjmení, jméno, tituly: Osobní číslo: Číslo útvaru a název: Funkce: Telefon /e-mail: Popis požadavku: (založení, změna, výmaz, blokování uživatele, rozsah oprávnění, přístup na tiskárny, platnost a.j.) Zaměstnanec se seznámil s příkazem dokumentem - Pravidla řízení přístupu k informačnímu systému ČZU a bude ho dodržovat. Datum: Podpis zaměstnance: Návrh zadal: (vedoucí odboru, vedoucí katedry, děkan apod.) Datum: Jméno, podpis: Schválil: (pověřený zaměstnanec OIKT ČZU) Datum: Jméno, podpis: Provedl: (pověřený zaměstnanec OIKT ČZU nebo správce IS) Datum: Jméno, podpis:

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář