Označení: Počet listů: 5 Verze: 1.0
SMĚRNICE ISMS
Název:
Pravidla pro uživatele IT systémů Vytvořil:
Schválil:
Účinnost od:
Obsah: 1. Účel 2. Rozsah platnosti 3. Použité zkratky a pojmy 3.1. Zkratky 4. Popis 4.1. Předání výpočetní techniky 4.2. Klasifikace a nakládání s informacemi 4.3. Přístup do systému 4.4. Používání Internetu 4.5. Používání e-mailu 4.6. Manipulace s HW 4.7. Instalace SW 4.8. Zacházení s informacemi uloženými v papírové podobě a na vyměnitelných médiích, jejich likvidace 4.9. Pravidla fyzické bezpečnosti - opuštění pracovního místa 4.10. Odhlášení 4.11. Používání mobilních prostředků 4.12. Hlášení poruch, bezpečnostních incidentů, zranitelností (slabých míst), a mimořádných událostí 4.13. Antivirová ochrana, výskyt viru 4.14. Antispamová ochrana 4.15. Zálohování 4.16. Sankce 5. Související předpisy 5.1. Externí 5.2. Interní
Pravidla pro uživatele IT systémů
1/5
Změna:
Platí od:
Popis změny:
Změnil:
Schválil:
01 02 03 04 05
1. Účel Účelem směrnice je stanovit pravidla pro přístup k informačním systémům a práci s informačními technologiemi ve společnosti
2. Rozsah platnosti Tato směrnice je závazná pro všechny pracovníky Společnosti, kteří v rámci svých pracovních povinností přistupují k informačním systémům.
3. Použité zkratky a pojmy 3.1. Zkratky ISMS – Information Security Management System (systém řízení bezpečnosti informací)
4. Popis 4.1. Předání výpočetní techniky Každý uživatel musí při převzetí svěřené výpočetní techniky (PC, monitor, notebook apod.) potvrdit písemné potvrzení o převzetí. Jakékoliv výměny výpočetní techniky a zásahy do ní je oprávněn provádět pouze oprávněný pracovník Společnosti. Při rozvázání pracovního poměru je uživatel povinen předat svěřenou výpočetní techniku svému nadřízenému. 4.2. Klasifikace a nakládání s informacemi Všichni uživatelé jsou povinni se při zacházení s informacemi řídit pravidly týkajícími se klasifikace informací popsanými ve směrnici Pravidla pro klasifikaci informací. Zároveň jsou povinni dodržovat pravidla pro nakládání s klasifikovanými informacemi popsanými ve směrnici Pravidla pro zacházení s informacemi, bezpečnost zařízení při převozu. 4.3. Přístup do systému Každý zaměstnanec přistupuje k informačním systémům Společnosti prostřednictvím stanice, která je zapojena do počítačové sítě Společnosti (pro stanice, které nejsou připojeny k počítačové síti platí stejná pravidla). Rozsah přístupových oprávnění (to, které aplikace a na jaké úrovni bude moci uživatel využívat) definuje přímý nadřízený pracovníka. Přístup do sítě, k operačnímu systému počítače a k aplikacím je zabezpečen použitím přístupových Pravidla pro uživatele IT systémů
2/5
uživatelských jmen a hesel (viz směrnice Politika řízení přístupu). Přístupové heslo je povinen změnit rovněž v případě jeho prozrazení nebo podezření na jeho prozrazení. Při zapomenutí hesla požádá uživatel systémového administrátora o distribuci nového hesla – učiní tak prostřednictvím emailové adresy:..... Bližší informace týkající se pravidel uživatelského přístupu jsou popsány ve směrnici Politika řízení přístupu. 4.4. Používání Internetu Uživatelé nesmí měnit nastavení internetového prohlížeče. Je zakázáno využívat Internet pro jakékoliv formy soukromého podnikání. Tyto zákazy platí i v mimopracovní době. Na veřejné servery Internetu se nesmějí ukládat žádné informace. 4.5. Používání e-mailu Uživatel je povinen při práci s elektronickou poštou věnovat zvýšenou pozornost doručené poště s přílohou. Pokud uživatel obdrží poštu s přílohou od nedůvěryhodných odesilatelů, nesmí přílohy otevírat ani spouštět, ale má povinnost je vymazat. V případě jakýchkoliv pochybností je povinností uživatele kontaktovat správce sítě. Uživatel nesmí vyvíjet žádné nelegální aktivity (např. hromadné odesílání nevyžádané elektronické pošty tzv. spamming). Zároveň nesmí jiným uživatelům přeposílat žádné pohoršující, nesmyslné nebo navádějící emaily, které obdrželi od jiného uživatele nebo z externí sítě. Došlá pošta, která již pro uživatele není potřebná, by měla být pravidelně mazána (včetně mazání ze složky odstraněná pošta). Informace klasifikované jako chráněné je možno poslat prostřednictvím e-mailu jen při dodržení pravidel definovaných ve směrnici Pravidla pro používání kryptografie. 4.6. Manipulace s HW Uživatelům je zakázáno jakkoliv manipulovat (měnit, stěhovat, vynášet ze Společnosti apod.) se svěřenými hardwarovými prostředky (PC, monitor, tiskárna apod.) bez souhlasu přímého nadřízeného. Je zakázáno provádět na svěřených prostředcích jakékoliv hardwarové zásahy (např. měnit komponenty počítače, připojovat vlastní externí zařízení apod.). Uživatelé nesmí svévolně připojovat či odpojovat jakákoliv zařízení do (resp. z) počítačové sítě. 4.7. Instalace SW Uživatel smí instalovat a používat pouze legální software schválený k používání v síti Společnosti. Instalovat SW (pouze legální) mohou pouze uživatelé, jimž byla k tomu přidělena postupy dle směrnice Politika řízení přístupu. Nepovolený software musí podléhat zásadám změnového řízení – viz směrnice Změnové řízení. 4.8. Zacházení s informacemi uloženými v papírové podobě a na vyměnitelných médiích, jejich likvidace Vyměnitelnými médii rozumíme: CD/DVD disky přepisovatelné CD/DVD diskety magnetické pásky externí pevné počítačové disky USB flash paměti apod.
Pravidla pro uživatele IT systémů
3/5
Pro informace, které jsou uložené na těchto médiích a jsou klasifikované dle směrnice Pravidla pro klasifikaci informací, platí pravidla dle směrnice Pravidla pro zacházení s informacemi, bezpečnost zařízení při převozu. Likvidace informací, které jsou uloženy na vyměnitelných médiích či likvidace samotných médií nebo papírových dokumentů musí být v souladu s pravidly popsanými ve směrnici Likvidace a vyřazení zařízení a médií. 4.9. Pravidla fyzické bezpečnosti - opuštění pracovního místa Uživatel je povinen zajistit ochranu IT aktiva tak, aby nemohlo dojít k jeho zneužití jiným pracovníkem, případně cizí neoprávněnou osobou přítomnou na pracovišti. Tato povinnost zahrnuje: zamknutí dveří kdykoli při odchodu z kanceláře (pokud je v kanceláři sám nebo pokud odchází jako poslední), v prostorách, kde není možné zajistit zamykání, musí být aktiva Společnosti uloženy v zamykatelné skříni/boxu, které musí být uzamknuty bez možnosti jejich nenásilného otevření neoprávněnou osobou aktivaci spořiče obrazovky chráněného heslem kdykoli se uživatel vzdálí od pracovní stanice dodržování pravidla čistého stolu, tzn. neponechávat v době své nepřítomnosti na pracovním stole volně položené dokumenty klasifikované jako chráněné ani média s daty obsahující informace klasifikované jako chráněné 4.10. Odhlášení Práce v uživatelské aplikaci vykonává uživatel jen po dobu nezbytně nutnou, po ukončení nebo přerušení práce je povinen aplikaci korektně uzavřít, aby nedošlo ke ztrátě nebo poškození uživatelských dat. Před vypnutím pracovní stanice je uživatel povinen provést řádné ukončení všech spuštěných aplikací a odhlásit se ze sítě. 4.11. Používání mobilních prostředků Vybraní uživatelé používají ke své práci tyto mobilní prostředky: Notebooky Uživatelé jsou povinni dbát vzhledem k možnosti odcizení zařízení zvýšené opatrnosti. Je zakázáno nechávat mobilní zařízení na místech, kde je riziko jejich odcizení či ztráty (např. v zaparkovaných autech, v zavazadlovém prostoru autobusu či letadla, v prostorách bez možnosti řízení přístupu). Notebooky musí být chráněny heslem, v případě uložení chráněných dat je nutno provést posouzení vhodnosti použít šifrování pevných disků, které provede bezpečnostní manažer na základě žádosti uživatele. Důležitá data uložená v mobilních zařízeních musí být zálohována. Odcizení mobilního zařízení je potřeba ihned nahlásit přímému nadřízenému. 4.12. Hlášení poruch, bezpečnostních a mimořádných událostí
incidentů,
zranitelností
(slabých
míst),
Bezpečnostní incident je událost, při které dochází k selhání nebo úmyslnému či neúmyslnému ohrožení informační bezpečnosti. Zranitelnost je slabé místo systému (aktiva), které může být využito hrozbou. Uživatel je povinen neprodleně hlásit jakýkoliv bezpečnostní incident nebo zranitelnost prostřednictvím emailu: bezpečnostnímu manažerovi. Cílem je zajistit okamžité řešení incidentu a účinnou obranu proti jeho následkům. Uživatel musí na uvedený email ihned ohlásit poruchu a ostatní zjištěné závady na pracovní stanici a ostatních technických zařízeních, zvláště pokud by mohly narušit bezpečnost.
Pravidla pro uživatele IT systémů
4/5
4.13. Antivirová ochrana, výskyt viru Uživatelům je zakázáno jakkoliv měnit nastavení, případně vypínat antivirovou ochranu. Uživatel je povinen v případě výskytu neznámých nebo nesrozumitelných jevů (např. na displeji) okamžitě přerušit práci a nahlásit tuto skutečnost prostřednictvím telefonu bezpečnostnímu manažerovi. Bezpečnostní manažer o této skutečnosti sepíše záznam do seznamu incidentů. 4.14. Antispamová ochrana V případě zjištění spamových zpráv je uživatel povinen je neprodleně odstranit a v případě jejich hromadného výskytu (desítky denně) nahlásí tuto skutečnost prostřednictvím emailu bezpečnostnímu manažerovi. 4.15. Zálohování Uživatelé jsou povinni ukládat důležitá data pouze na disky severu. Ty jsou pravidelně zálohovány. 4.16. Sankce Uživatel bere na vědomí, že porušení výše uvedených pravidel bude posuzováno ve smyslu porušení pracovní kázně zvlášť hrubým způsobem ve smyslu zákoníku práce a bude proti němu zahájeno disciplinární řízení.
5. Související předpisy 5.1. Externí ČSN ISO/IEC 27001:2006 5.2. Interní Bezpečnostní politika Společnosti Pravidla pro klasifikaci informací Politika řízení přístupu Pravidla pro používání kryptografie Likvidace a vyřazení zařízení, médií Změnové řízení Pravidla pro zacházení s informacemi, bezpečnost zařízení při převozu
Pravidla pro uživatele IT systémů
5/5
