SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
OBSAH 1
Úvodní ustanovení ........................................................................................................................ 3 Účel .......................................................................................................................................... 3 Rozsah závaznosti .................................................................................................................... 3 Seznam útvarů obeslaných vydavatelem k prokazatelnému seznámení ................................ 3 Rozsah působnosti ........................................................................................................................ 3 Zkratky, definice a pojmy .............................................................................................................. 3 3.1 Použité zkratky ........................................................................................................................ 3 3.2 Základní pojmy ........................................................................................................................ 4 Práva a povinnosti uživatelů ......................................................................................................... 7 4.1 Hlavní principy ......................................................................................................................... 7 4.2 Služby poskytované IS ČHMÚ .................................................................................................. 7 4.3 Povinnosti uživatelů ................................................................................................................ 7 4.3.1 Obecné povinnosti:.......................................................................................................... 8 4.3.2 Koncové počítače: ........................................................................................................... 8 4.3.3 Přenosné počítače: .......................................................................................................... 8 4.3.4 Služby:.............................................................................................................................. 9 4.3.5 Dodržování důvěrnosti a integrity: ................................................................................ 10 Hlášení incidentů......................................................................................................................... 11 1.1 1.2 1.3
2 3
4
5
Změny a opravy dokumentu Číslo změny
Identifikace změny
Předmět změny
Datum
Zpracovatel
Revize dokumentu Číslo změny
Identifikace
Výsledek revize
Stránka 2 z 11
Datum
Zpracovatel
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
1
Úvodní ustanovení
1.1 Účel Tato metodika vychází z bezpečnostní politiky IS ČHMÚ, která je definována zejména v dokumentu SM ŘÚ 2016/BP-04 - Kybernetická bezpečnost IS ČHMÚ a v dokumentu SM ŘÚ 2016/BP-02 – Politika systému řízení bezpečnosti informací. Účelem je shrnutí všech hlavních zásad a povinností uživatele IS ČHMÚ ve vztahu k bezpečnosti informací, které jsou těmito informačními systémy zpracovávány a které jsou ČHMÚ poskytovány smluvním partnerům, zákazníkům, veřejnosti a orgánům státní správy a samosprávy. Cílem je zvýšit povědomí o bezpečnosti u všech uživatelů IS ČHMÚ a zajistit dodržování zásad bezpečnosti informací definovaných ve výše zmíněné bezpečnostní politice.
1.2 Rozsah závaznosti Tento dokument je závazný pro všechny zaměstnance ČHMÚ.
1.3 Seznam útvarů obeslaných vydavatelem k prokazatelnému seznámení Seznam zaměstnanců, kterým je dokument vydavatelem rozesílán k prokazatelnému seznamování, je aktualizován v IdM.
2
Rozsah působnosti
Viz 1.2 a 1.3.
3
Zkratky, definice a pojmy
3.1 Použité zkratky IdM WAN LAN SLA EZS EPS EKV CCTV SW HW OS ISMS PDCA STO FO NBÚ NCKB NDA CIRT FW IDS/IPS KBU KBI
- Identity Manager - wide area network - local area network - services level agreement (smlouva o úrovni (/parametrech) poskytovaných služeb) - elektronický zabezpečovací systém - elektronický protipožární systém - elektronická kontrola vstupu - kamerový systém - software (programové vybavení) - hardware (technické vybavení) - operating systém (operační systém) - information security management system (systém řízení bezpečnosti informací) - Plan- Do- Ceck- Act (plánuj - implementuj - monitoruj a kontroluj - udržuj a zlepšuj) - systém technické ochrany - fyzická ochrana - Národní bezpečnostní úřad - Národní centrum kybernetické bezpečnosti - Non-Disclosure Agreement (dohoda o mlčenlivosti, dohoda o důvěrnosti) - Computer Incident Response Team (bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů) - Firewall - Intrusion Detection / Prevention System - kybernetická bezpečnostní událost - kybernetický bezpečnostní incident Stránka 3 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
3.2 Základní pojmy Autentizace – proces ověření proklamované identity subjektu (např. uživatele informačního systému nebo komunikujícího systému) Autorizace – schválení (umožnění) provedení konkrétní operace daným subjektem (zpravidla uživatelem) – např. umožnění přístupu k dané službě informačního systému apod. Bezpečnost – v rámci této metodiky se jedná o stav, kdy jsou rizika ztráty, zneužití, poškození nebo zničení jakéhokoli systému (informační systém, IS ČHMÚ) nebo narušení podnikového procesu eliminovány nebo omezeny na přijatelnou úroveň Bezpečnostní incident - jakýkoli nestandardní stav snižující bezpečnost sledovaného procesu, služby, systému apod. Bezpečnostní událost - jakýkoli nestandardní stav, který potenciálně může vést ke snížení bezpečnosti. Bezpečnostní kategorie objektu - vyjadřuje význam objektu podle stanovených parametrů. Bezpečnostní standard – součást bezpečnostního systému, obecná norma bezpečnosti pro jednotlivé oblasti řízení stanovující minimální požadavek na organizační, režimová, administrativní, technická a personální opatření vycházející z posouzení hrozeb a ze stanovených rizik. Mimořádná událost - škodlivé působení sil a jevů vyvolaných činností člověka, přírodními vlivy, a také havárie, které ohrožují život, zdraví, majetek nebo životní prostředí a vyžadují provedení záchranných a likvidačních prací Fyzická ochrana – systém technických a organizačních opatření zabraňujících neoprávněným činnostem s majetkem (neoprávněné užívání, poškození, zničení nebo zcizení hmotného a nehmotného majetku), nebo která mají za cíl zajistit bezpečnost osob. Personální ochrana (bezpečnost) – souhrn všech postupů vedoucích k ověření důvěryhodnosti zaměstnanců a k jejich vzdělávání vedoucímu k bezpečnostnímu povědomí o možných bezpečnostních hrozbách a rizicích a k jednání, která toto povědomí odráží Fyzická ostraha (FO) – ochrana majetku (objektů, prostorů, a jiných chráněných zájmů) vykonávaná fyzickými osobami. Lokalita – označení místa, ve kterém jsou dislokovány organizační útvary, resp. jejich detašovaná pracoviště. Označení lokality se obvykle odvozuje od označení příslušného organizačního útvaru a geografického názvu příslušného místa. Objekt – nemovitost nebo soubor nemovitostí, technologických zařízení, komunikací, pozemků a ostatních prostor, které jsou majetkem ČHMÚ Politika bezpečnosti – vrcholný dokument bezpečnostního systému, kterým se statutární orgán nebo jiná nejvyšší autorita chráněného subjektu hlásí k zajištění celkové bezpečnosti Provozní dokumentace - plán zálohování, plán obnovy po havárii (DRP), havarijní plán (BCP), provozní deník, pracovní postupy a návody (pro danou část IS ČHMÚ). Proces bezpečnosti - analýza rizik, návrh optimálního nastavení a realizace výstupních opatření, včetně průběžného sledování a vyhodnocování funkčnosti opatření a úrovně bezpečnosti, vedení příslušné dokumentace. Standardy fyzické ochrany - závazné standardy minimálního užití technických prostředků pro zabezpečení kategorizovaných objektů. Technické prostředky fyzické ochrany (systém technické ochrany - STO) – bezpečnostní prvky (systém), jejichž použitím se zabraňuje, ztěžuje, odhaluje nebo dokumentuje narušení fyzické ochrany objektu. Stránka 4 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
Může obsahovat: a)
poplachové zabezpečovací a tísňové systémy ve smyslu ČSN EN řady 50131
b)
CCTV sledovací systémy ve smyslu ČSN EN řady 50132
c)
systémy kontroly vstupů ve smyslu ČSN EN řady 50133
d)
poplachové přenosové systémy a zařízení ve smyslu ČSN EN řady 50136
e)
kombinované a integrované systémy ve smyslu ČSN CLC/TS 50398
f)
mechanické zábranné prostředky
Informační systém (IS) - Soubor technologií určených k pořizování, zpracovávání a uchovávání informací v elektronické podobě a příslušné procesy, pravidla a personál pro provoz, správu, údržbu a rozvoj tohoto systému a pro zpracovávání informací v rámci tohoto systému. Informační technologie (IT) - Technologické (hardwarové, programové a komunikační) vybavení umožňující a podporující pořizování, zpracovávání a uchovávání informací v elektronické podobě. Aktivum IS - Aktivem informačního systému je cokoli, co je součástí informačního systému a má pro organizaci hodnotu. Aktiva zahrnují data, software, hardware, komunikační zařízení, služby, objekty, zaměstnance a dodavatele (resp. jejich služby). Primární aktivum IS - Informace nebo služba, kterou zpracovává nebo poskytuje IS. Podpůrné aktivum IS - Technické aktivum, zaměstnanci a dodavatelé, které se podílí na provozu, rozvoji, správě nebo bezpečnosti IS. Technické aktivum IS - Technické vybavení (HW), komunikační prostředky, programové vybavení (SW) a objekty, ve kterých se IS nachází. Modul IS ČHMÚ – část IS ČHMÚ, subsystém IS ČHMÚ, jednotlivý dílčí IS Bezpečnostní klasifikace informačních aktiv – stanovení stupně informační bezpečnosti (třídy informační bezpečnosti) na základě hodnocení dopadů (BIA) pro:
Dostupnost – vlastnost vyjadřující spolehlivost zajištění přístupnosti a využitelnosti informačního aktiva na žádost autorizované entity v požadovaném čase.
Důvěrnost – vlastnost vyjadřující omezení v oprávnění autorizované entity k přístupu a sdílení aktiv a ochranu osobních a proprietárních dat.
Integrita – vlastnost zajištění aktiva IS proti neoprávněné modifikaci nebo zničení, včetně zajištění autenticity a neodmítnutelnosti.
Hodnocení dopadů – (Business Impact Analysis, BIA); hodnocení prováděné na manažerské úrovni ve vztahu ke kategoriím dat a informací příslušných k podnikovému procesu, oblasti řízení, logickému, technologickému nebo technickému celku. Prostřednictvím hodnocení dopadů vlastník resp. garant informačních aktiv kvantitativně (např. finanční ztráta, úroveň poskytovaných služeb) a kvalitativně (např. provozní, právní, regulatorní požadavky, renomé apod.) zhodnotí největší újmu (ztrátu), která může nastat v důsledku možné realizace hrozeb (bezpečnostní události/incidentu). Na základě výstupů z BIA jsou stanoveny minimální zdroje potřebné pro obnovení kritických činností po závažném incidentu a jsou vytvářeny strategie a plány zajištění kontinuity činností ČHMÚ. Podnikový proces – (Business Process, zkráceně též jen proces) - souhrn činností, transformujících (pomocí lidí a nástrojů) souhrn vstupů do souhrnu výstupů (zboží, dat, informací nebo služeb), přičemž tyto výstupy jsou určeny pro jiné lidi nebo zákazníky nebo procesy. Dohoda o zachování důvěrnosti – (Non Disclosure Agreement, NDA), dohoda, která je uzavírána mezi ČHMÚ a externím subjektem, kdykoli se předpokládá sdělování interních informací ČHMÚ Stránka 5 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
externímu subjektu. NDA stanovuje podmínky ochrany předávaných nebo získaných informací ve smyslu § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník. Externí subjekt – externím subjektem se pro potřeby tohoto dokumentu rozumí:
Právnická osoba, mimo ČHMÚ,
Fyzická osoba, jiná než zaměstnanec nebo ředitel ČHMÚ,
Oprávněné orgány veřejné správy (např. Policie ČR, ministerstvo životního prostředí).
Garant externího subjektu – zaměstnanec ČHMÚ odpovědný za plnění náležitostí předepsaných interní řídicí dokumentací ČHMÚ ve vztahu k externímu subjektu (dodavateli), rovněž zajišťuje součinnost s externím subjektem (dodavatelem) při plnění požadavků informační bezpečnosti. Informace ČHMÚ – jakákoliv informace, která byla řádně získána, vyvinuta nebo vytvořena v ČHMÚ nebo pro ČHMÚ získána. Informace je dle příslušnosti k procesu nebo oblasti řízení kategorizována. Informace je zařazena do úrovně ochrany na základě požadavků na důvěrnost, integritu a dostupnost v závislosti na významu/hodnotě, kterou pro příslušný proces nebo oblast řízení má (viz též informační aktiva, vlastník informačních aktiv). Informační aktiva – součást aktiv ČHMÚ. Informačními aktivy pro účely tohoto dokumentu jsou aktiva IS ČHMÚ mimo zaměstnance a dodavatele – viz výše. Informační riziko – pro účely tohoto dokumentu označení pro možnost, že určitá hrozba využije zranitelnosti informačního aktiva nebo skupiny informačních aktiv a způsobí škodu ČHMÚ. Riziko je stanoveno na základě kombinace pravděpodobnosti, že situace nastane, a odhadu jejích dopadů/následků. Na základě průběžného vyhodnocování rizik (proces řízení informačních rizik) jsou realizována opatření informační bezpečnosti (procesy řízení informační bezpečnosti). Cílem je udržet identifikovaná rizika na takové úrovni, kterou je ČHMÚ připravena akceptovat a tolerovat nebo které je připravena se kdykoli vystavit. Kategorizace informačních aktiv – označování a popis informačních aktiv podle vlastníka resp. garanta, typu, příslušnosti k oblasti řízení, procesu, činnosti, logickému, technologickému nebo technickému celku a jejich zařazování do kategorií dat a informací. Objednatel služeb – Role přiřazena organizační jednotce ČHMÚ, která v rámci realizace bezpečnostních požadavků a opatření užívá služeb poskytovaných externími subjekty nebo interními poskytovateli služeb. Má odpovědnost za dodržení bezpečnostních požadavků a parametrů při objednaní a čerpání služby. Poskytovatel služeb (interní) – organizační jednotka ČHMÚ zajišťující v rámci působnosti služby v ČHMÚ. Poskytovatel služeb (externí) – (též externí subjekt) právnický subjekt, který poskytuje své služby ČHMÚ na základě smluvního vztahu a uzavřených SLA. Vlastník informačního aktiva – (též vlastník) pro účely tohoto dokumentu je ČHMÚ resp. jeho organizační složka, z jejíž činnosti nebo pro jejíž potřebu informační aktivum vzniklo nebo bylo získáno. Roli vlastníka informačního aktiva vykonává zaměstnanec, který má v souvislosti s výkonem práce přidělenu odpovědnost za správu informací/informačních aktiv a za jejich bezpečnost, s právem udělování přístupu k informacím/informačním aktivům. Výkonem správy a rozvoje a zajištění bezpečnosti aktiva je obvykle pověřen zaměstnanec ČHMÚ v roli garanta informačních aktiv. Administrátor – (administrátor jednotlivého subsystému IS ČHMÚ) - je osoba, která spravuje určenou část IS ČHMÚ dle požadavků garanta příslušného aktiva IS ČHMÚ, v souladu s dokumentací IS ČHMÚ a požadavky manažera kybernetické bezpečnosti. Výjimka ze standardů informační bezpečnosti – povolená odchylka od parametrů stanovených standardem informační bezpečnosti. Stránka 6 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
4
Práva a povinnosti uživatelů
4.1 Hlavní principy Politika bezpečnosti informací IS ČHMÚ vychází z následujících principů:
1. Co není výslovně povoleno, je zakázáno. 2. Uživatel smí IS ČHMÚ používat jen pro plnění pracovních povinností. 3. Princip minimálního oprávnění – uživateli jsou přidělena jen nezbytně nutná oprávnění pro výkon jeho práce v daném čase. 4. Princip jednoznačné identifikace – přístup k prostředkům IS ČHMÚ je povolen jen autentizovaným a autorizovaným uživatelům. Uživatel se musí pro přístup k prostředkům a službám IS ČHMÚ přihlásit pomocí svého uživatelského jména a hesla, tokenu, certifikátu apod. 5. Princip zodpovědnosti – uživatel nese plnou zodpovědnost za jemu přidělené přístupové kódy, přihlašovací údaje (přihlašovací jméno a heslo), tokeny, osobní a jiné certifikáty. Nesmí je sdělovat ani umožňovat využívat jiným osobám – ani spolupracovníkům ani rodinným příslušníkům. 6. Princip mlčenlivosti – uživatel nesmí zpřístupňovat neveřejné informace ČHMÚ třetím osobám jakoukoliv formou. 7. Bezpečnost jako pracovní povinnost – zodpovědnost za bezpečnost nesou všichni zaměstnanci ČHMÚ. 8. Princip zákonnosti – uživatel musí dodržovat zásady definované v bezpečnostních politikách IS ČHMÚ, v nařízeních a směrnicích ČHMÚ a v obecně platných zákonech a směrnicích. Uživatel smí využívat jen legálně pořízený SW. Tyto hlavní principy jsou podrobněji rozpracovány v následujících odstavcích zejména jako povinnosti uživatelů.
4.2 Služby poskytované IS ČHMÚ Z hlediska propojení interní sítě ČHMÚ se sítěmi externími (Internet) jsou uživatelům poskytovány následující základní služby:
www (protokoly http, https)
ftp
elektronická pošta
Jako doplňkové služby jsou poskytovány navíc služby:
vzdálený přístup
SMS zprávy
4.3 Povinnosti uživatelů Při využívání prostředků a služeb IS ČHMÚ musí všichni uživatelé dodržovat následující povinnosti: Stránka 7 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
4.3.1 Obecné povinnosti: 1. Uživatel smí prostředky a služby IS ČHMÚ používat jen pro plnění pracovních povinností. Uživatel nebude využívat informační aktiva (včetně hardwarových, tj. počítačových systémů) pro jiné účely než pro plnění pracovních povinností, zejména ne pro soukromé účely, pro vlastní podnikání, pro cizí prospěch, pro zábavu a podobně a to ani ve volném čase. 2. Uživatel se musí pro přístup k prostředkům a službám IS ČHMÚ přihlásit pomocí svého uživatelského jména a hesla, tokenu, certifikátu apod. 3. Přidělené přístupové kódy, přihlašovací údaje, tokeny, osobní a jiné certifikáty musí uživatel chránit - nesmí je sdělovat ani umožňovat využívat jiným osobám – ani spolupracovníkům ani rodinným příslušníkům. 4. Uživatel musí dodržovat zásady definované v bezpečnostních politikách IS ČHMÚ, v nařízeních a směrnicích ČHMÚ a v obecně platných zákonech a směrnicích. Uživatel nebude úmyslně ani nedbalostí ohrožovat bezpečnost informačních aktiv ČHMÚ pozměňováním či obcházením bezpečnostních opatření. 5. Dodržování bezpečnostních opatření bude uživatel požadovat i po krátkodobých pracovnících a pracovnících dodavatelských firem, mají-li přístup k informačním aktivům ČHMÚ. 6. Uživatel nebude poškozovat informační aktiva ČHMÚ úmyslným nebo nedbalým zanášením nesprávných, nepřesných a falešných informací. 7. Uživatel musí chránit hmotný i nehmotný majetek ČHMÚ a při podezření na bezpečnostní incident nebo možnost jeho vzniku, tuto skutečnost hlásit.
4.3.2 Koncové počítače: 8. Uživatel nesmí pro běžnou práci využívat účet správce - administrátora systému. 9. Uživatel nesmí měnit konfiguraci počítače ani instalovat dodatečný software. 10. Uživatel nesmí s počítači a dalšími aktivy IS ČHMÚ fyzicky manipulovat – nesmí je přemísťovat, přepojovat, odnášet apod. kromě případů, kdy je to nezbytné k plnění pracovních povinností. Toto opatření se týká hmotných, nehmotných i softwarových aktiv a též výměnných médií z hlediska přemísťování mimo prostory ČHMÚ. 11. Na každém počítači s operačním systémem Windows musí být nainstalován antivirový program, který je rezidentně spuštěn a kontroluje všechny otevírané soubory na přítomnost virů a jiného škodlivého software (včetně příloh přijímané i odesílané pošty). Antivirový program (resp. příslušná antivirová báze) musí být pravidelně, vždy neprodleně po zveřejnění nové verze u výrobce, aktualizován. 12. Rovněž vlastní OS musí být pravidelně (minimálně jednou za 14 dní) aktualizován.
4.3.3 Přenosné počítače: 13. Vlastník aktiva mobilního zařízení je zodpovědný za stav a konfiguraci operačního systému a všech aplikací, které mobilní zařízení používá. 14. Uživatel se musí chovat tak, aby minimalizoval riziko ztráty zařízení nebo dat ze zařízení, riziko odcizení zařízení, riziko prozrazení informací nebo přístupových oprávnění. 15. Mobilní zařízení se nesmějí nechávat na veřejných místech nebo na místech, kam má přístup veřejnost, bez dozoru uživatele. Je nepřípustné ponechávat mobilní zařízení bez dozoru v automobilech či jiných dopravních prostředcích, a to i zamčené v zavazadlovém prostoru. Stránka 8 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
16. Na mobilním zařízení musí být nainstalován operační systém, který umožňuje řízení práv jednotlivých uživatelů, zejména oddělení běžného uživatele a správce systému. Uživatel nesmí pro běžnou práci využívat účet správce - administrátora systému. 17. Na přenosném počítači musí být nainstalován antivirový program, který je rezidentně spuštěn a kontroluje všechny otevírané soubory na přítomnost virů a jiného škodlivého software (včetně příloh přijímané i odesílané pošty). Antivirový program (resp. příslušná antivirová báze) musí být pravidelně, vždy neprodleně po zveřejnění nové verze u výrobce nebo minimálně jednou týdně, aktualizován. Uživatel musí provést aktualizaci v době kratší než jeden den před připojením do sítě ČHMÚ. 18. Na mobilním zařízení musí být nakonfigurován a trvale spuštěn personální firewall umožňující řídit příchozí i odchozí spojení. 19. Na mobilních zařízeních, kde výše uvedená tři opatření (viz body 16, 17, 18) není možné zajistit (např. tzv. smart phones), nesmí být zpracovávány informace klasifikované jako citlivé nebo kritické. Nesmějí být zde ukládány např. přístupové údaje (přihlašovací jména, hesla, PINy a jiné kódy) k informačním systémům resp. modulům IS ČHMÚ apod. 20. Třetí strany, které využívají prostředků mobilních zařízení pro zajištění správy systémů v interní síti ČHMÚ, smějí mobilní zařízení využívat pouze jako terminál. Žádná aktiva nesmějí být přenášena z interní sítě ČHMÚ na mobilní zařízení anebo naopak. 21. Na mobilní zařízení přidělená zaměstnancům ČHMÚ a pod správou ČHMÚ mohou být přenášena i citlivá informační aktiva, avšak jen za podmínky kryptografického zabezpečení (šifrování) uložených dat.
4.3.4 Služby:
www 22. Je výslovně zakázáno používat www prohlížeč k přístupu na soukromé emailové schránky. 23. Je výslovně zakázáno tunelování jiných protokolů prostřednictvím protokolu HTTP (kazaa, ICQ, Skype, TeamViewer apod.). 24. Flash soubory se mohou prohlížet pouze ve verzi posledního dostupného prohlížeče Macromedia Flash Player. 25. Uživatel se musí při používání služby www chovat obezřetně a zodpovědně. Je zakázáno zadávat osobní či citlivé údaje (např. čísla a hesla k bankovním účtům ČHMÚ), přihlašovací údaje k interním systémům a firemní e-mail adresu do formulářů na neznámých (neprověřených) serverech apod.
ftp 26. Uživatel je povinen veškeré informace předávat jen ve formě schválené manažerem kybernetické bezpečnosti (např. kryptograficky zajištěná) a akceptovatelné příjemcem dat
elektronická pošta 27. Je zakázán přístup do Internetu protokoly POP3 a IMAP4. Uživatelé nesmí ke svým soukromým schránkám přistupovat za využití prostředků IS ČHMÚ. 28. Ke své schránce na SMTP serveru ČHMÚ mohou uživatelé přistupovat z Internetu jen přes www rozhraní pomocí zabezpečeného https spojení a po autentizaci svým přihlašovacím jménem a heslem. Stránka 9 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
29. Uživatel je povinen v pracovních dnech dle jeho rozpisu směn při přítomnosti na pracovišti prohlížet nejméně jednou dopoledne a jednou odpoledne svoji schránku elektronické pošty. 30. Uživatel je povinen při obdržení emailu z nedůvěryhodného zdroje neotevírat email a zahodit jej nebo v případě pochybností požádat úsek informatiky prostřednictvím aplikace Help Desk o kontrolu zásilky. 31. Uživatel je povinen vhodným způsobem minimalizovat velikost odesílaných zpráv. 32. Uživatel nesmí zasílat elektronickou poštou aplikační software, s výjimkou případů zvlášť povolených manažerem kybernetické bezpečnosti. 33. Uživatel je povinen informace zasílat elektronickou poštou jen ve formě schválené manažerem kybernetické bezpečnosti (např. kryptograficky zajištěná) a akceptovatelné příjemcem dat. 34. Uživatel je povinen seznámit se s možnými útoky na služby elektronické pošty, zejména podvržení identity odesílatele a vyzrazení zpráv při přenosu.
vzdálený přístup 35. Uživatelům je poskytován vzdálený přístup trojím způsobem: a. pomocí www rozhraní – jen k poštovní schránce – viz bod 2828. Přidělené přihlašovací údaje (jméno, heslo) musí uživatel chránit – viz bod 3. b. pomocí VPN – použitý osobní certifikát a heslo k němu musí uživatel chránit – viz bod 3. c. pomocí SSH - přidělené přihlašovací údaje (jméno, heslo) musí uživatel chránit – viz bod 3. 36. Ve všech výše uvedených případech žádá uživatel o zřízení přístupu Úsek informatiky využitím aplikačního rozhraní IdM ČHMÚ – viz https://idm.chmi.cz/idm/user/authentication/login.seam.
SMS zprávy 37. Zasílání informací pomocí SMS zpráv je uživatelům poskytováno jen v následujících případech: a. administrátorům jednotlivých modulů IS ČHMÚ pro účely správy a dohledu těchto aktiv. Řídí se pracovními postupy Úseku informatiky. b. odběratelům informačních služeb / dat – řídí se pracovními postupy oddělení obchodu a marketingu ČHMÚ.
4.3.5 Dodržování důvěrnosti a integrity: 38. Uživatel nebude poskytovat informační aktiva ČHMÚ třetím stranám, pokud se nejedná o bezplatné veřejně dostupné informace, nebo pokud poskytování informací není ujednáno ve smlouvě s dotčenou třetí stranou. 39. Uživatel nebude prozrazovat pracovní postupy a předpisy třetím stranám s výjimkou případů, kdy je předání takových informací nutné pro plnění závazků plynoucích ze smluvního vztahu mezi ČHMÚ a třetí stranou. 40. Uživatel je povinen dodržovat politiku čistého stolu a obrazovky – tj. při ukončení nebo přerušení práce s informačním systémem na dobu delší než 15 minut má povinnost ukončit všechny uživatelské relace, a odhlásit se ze systému, případně zajistit blokování systému pomocí vhodného spořiče obrazovky chráněného heslem. 41. Uživatel je povinen vytištěné dokumenty odstranit z tiskárny v co nejkratším čase. Citlivé a utajované informace nesmí uživatel tisknout bez osobního dozoru.
Stránka 10 z 11
SM ŘÚ 2016/BP-07 Příručka uživatele IS ČHMÚ __________________________________________________________________________________________
42. Citlivé či utajované informace musí být bezprostředně po vytištění označeny jako důvěrné a musí na nich být uvedena osoba, která tisk provedla. Takto označené tiskoviny musí být bezprostředně po splnění účelu, za kterým byly vytištěny, zničeny ve skartačním stroji. Za nakládání s citlivými či utajovanými informacemi v tištěné podobě i za dodržení způsobu jejich zničení je zodpovědná osoba, který tisk provedla. 43. Všechny dokumenty a výměnná média, která obsahují citlivé informace, je uživatel povinen před odchodem z pracoviště uschovat v bezpečně zamykatelné skříni nebo zásuvce. 44. Všechna přenosná média (CD-RW, DVD-RW, USB flash disky, pásky apod.) musejí být používána obezřetně. Média musejí být před prvním použitím zkontrolována antivirovým systémem. Pro fyzické zacházení s přenosovými médii platí obdobné požadavky jako pro přenosné počítače – viz body 14 a 15. 45. Citlivá data mohou být ukládána jen na interní přenosová média (média ve vlastnictví ČHMÚ) a musejí být předtím zašifrována.
5 Hlášení incidentů Pro oznamování a zpracování bezpečnostních incidentů a dalších závad se používá aplikace ČHMÚ Help Desk. Uživatel je povinen při zjištění bezpečnostního incidentu nebo při podezření na něj nahlásit tuto skutečnost svému nadřízenému a operátorům Help Desk. Dále je povinen spolupracovat na řešení incidentu – tj. obnově správné funkce postiženého modulu, subsystému nebo komponenty, minimalizaci dalších ztrát, odstraňování dopadů, prošetření příčin a odpovědnosti za incident, nalezení viníka, případně pachatele.
Stránka 11 z 11
