Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
)
pošta
Česká
Metodický pokyn
Identitikace MP-2/2015 Čísto jednací ČP/5368/2015/GŘ
Nahrazuje Klasiřikace Intemí
Platnost 15. 1. 2015 Účinnost 1.2. 2015
Bezpečnostní příručka uživatele ICT CP
Verze 1.0
Podpis
Datum 6 8 2014
Garant dokumentu
Ing. Pavel Chyla v. r.
Vrchní ředitel divize ICT a
Funkce eGovernment
Podpis Podpis
Datum 8. 10. 2014 Datum 15. 1. 2015
Garant dokumentu Jan Přerovský v. r. Schvalovatel Ing. Martin Elkán v. r.
Peunkce Ředitel OZ ICTs Funkce generální ředitel
Dokument je řízen správcem řídicích dokumentů ČP a platná verze je dostupná na podnikovém portálu ČP, po vytištění se výtisk stává neřízeným dokumentem.
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodnim rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 1/7
Tento dokument je považován za vlastnictví podniku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
)
Česp—ošta Bezpečnostní příručka uživatele ICT ČP MP-2/2015
Obsah dokumentu
1. Úvodní ustanoVvení.....mmmmmmeemmoeeu e moeneeaeerennonwewwsranasoennroen nenenon nnn č ER oI PO E PRHHR 3
2. Základní pojmy a názvosloví užívané v fCT rr nnn enenenoenin n cne nn zn tro n nenanana a nnn sevtotkokeka n nánáné ch 3
3. Povinnosti uživatele ICT ČP 000000 ooo ooo c ooo a o nne a nnn nn aa aa aa n ass nnn s nn a ta na s aa n aa a nea nnn s n o teaanáta nn ta ane e na nn natannáanánna 4
4. Uživateli ICT ČP je zakázáno 00000 cc ooo oo rcena ooo nn oo ss ennan a nansá a nn ss enean n nna sas na ta na á aa n a sas n na sss aaa á aaáá á náátčné S
5. Záznamová média............ 000 ooo ccc va nzn a ná z a ev aa oánenee ss nn e nnn sat nn vn aa nn lá nn a nn ao aa ta neneneto nn e neren nn ta o cá e ta ta ke nnn nen nn 5
6. Bezpečnostní incident.......0 0 o ccc cc re k ne nnn seeenene nnn enavenennánsnotonansnaeena s vev oo nt aa e katka nn a aa aa o n a náno nn tn nn nero nnn ené 5
6.1. Základní seznam bezpečnostních incidentů: 0000 ooo e oo nz nnn nn e eeznontoaenánro nnn nnn nenneso t n e nn noka aa nn zn é p
6.2. Řešení bezpečnostního incidentu 00000 c ooo c eeen nn nas nnn nnn na rr nn ss nan ss n sas á kaaa aa aa nnaáánanan tt nanettaanaá á nnnáncé 6
7. Havarijní SttUuUace........0 00 ccc o ve nn e a ka t nenonenana n ns aa á aa aa nonenenensnnenentntneaatst n reone o sv nn r nená a s o n k e ta nn aa na nnn nn ane cc 6
7.1. Základnítypy havarijních situací: 000n ra rr rr re nn nn e nnn n vt nn ae z oo nzn seonnenenna nnn va nevá nnn nn án nnn 6
7.2. Postup uživatele při vzniku havarijních SIUaCcÍí......00 ooo ooo kr nn ve nn z ernononok o nnenaka n ákeke nnn nána nnn nzn nvenecé 6
T.2.1. PožŽáťo ooo e oo ooo ooo weveeneew e newexaweeaeeeeaeweawaene eeareann e nannnaennoreorernnenennenonaena>ene nas d k o /
7.2.2. Havárie ústředního topení, vodovodního řádu, kanalizačního řádu či jiná obdobná havárie................0 7
7.2.3. Havárie zařízení ICT ČP 000 cc ooo cnnnne nn nnno r nnan aa na aa aa nasá aa n á s aseaas nnn asa e eeeanno aa naa aa nn a sá aa sss a nnan s nnn áané 7
8. Sankce......000 000 ooo c e r anca nnn nzn nn aa te aa n aa n aa oean e eenáeatenennáneansa nnn v a sona a zn eeanáana aa nn aa n tt n a neeeona nnn nn rs nn tto ta e sena nnn nn ct ní 7
9. Související dokumenty ........nnenennnaenennonn nn éh ů PRR EH PERH PEF ERHH PEEE AA k HRE rr e 7
10. Závěrečné ustanovVení............ 00 ooo zr neanea nn anee n eaneeonaneenso nn nenetotone á nea aa nzn ant zee anonneanenetone n nenen ta aa neo nnn cansvnne nn ánánné 7
Evidence revizí a změn
Verze Účinnost od ŠDúvod a popis změny Autor Schválil
Verze 1.0 1.2.2015 ŽZákladní dokument Milan Konečný Petr Slavík
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 2/7
Tento dokument je považován za vlastnictví podníku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
Česká
Bezpečnostní příručka uživatele ICT ČP MP-2/2015
1. Úvodní ustanovení
(1) Bezpečnostní příručka uživatele ICT ČP (dále příručka) je vydána v souladu se směrnicí Bezpečnostní
politika ICT CP.
(2) — Příručka stanovuje povinnosti uživatele ICT ČP a základní bezpečnostní postupy při práci s ICT ČP.
(3) | Použití vlastních zařízení v ICT ČP je zakázáno. Výjimky schvaluje bezpečnostní manažer ICT (vedoucí
odboru bezpečnost ICT). Definice bezpečnostních požadavků pro použití vlastních zařízení zaměstnanců
ČP nebo externích subjektů v ICT ČP bude řešena v metodickém pokynu „Bezpečnostní politika BYOD
ČP“
(4) | Příručka je závazná pro všechny zaměstnance České pošty, s.p. (dále ČP), externí pracovníky ČP
a externí subjekty, kterým byl povolen přístup k ICT ČP.
2. Základní pojmy a názvosloví užívané v ICT
(1). Terminologie použitá v této příručce vychází z Bezpečnostní politiky ICT.
(2) | Autentizace- je prokázání identity uživatele, zdroje nebo zařízení.
(3) | Bezpečnost informací — znamená zachování důvěrnosti, integrity a dostupnosti informací a dalších
vlastností jako např. autentičnost, odpovědnost, nepopiratelnost a spolehlivost.
(4) | Bezpečnostní incident — je událost nebo události, které ohrožují bezpečnost informací, případně porušení
bezpečnostních politik nebo navazujících řídících dokumentů.
(5) BYOD (Bring Your Own Device) — je využívání vlastních zařízení pro pracovní účely a přístup k datům
a aplikacím ČP.
(6) | Dokument — je každá písemná, obrazová, zvuková nebo jiná zaznamenaná informace, ať již v podobě
analogové či elektronické (digitální), která byla vytvořena v rámci CP, nebo byla CP doručena.
(7) Dostupnost — znamená, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby.
(8) | Důvěrnost — znamená, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni.
(9) | Chráněná informace — je informace, která na základě rozhodnutí příslušné autority (vlastník
informačního aktiva) musí být chráněna, protože její zpřístupnění, modifikace, zničení nebo ztráta by
způsobilo někomu nebo něčemu znatelnou újmu a škodu. Viz také směrnice SM-5/2013 Ochrana
informací.
(10) ICT (informační a komunikační technologie) - je veškerá technika, která se zabývá zpracováním a
přenosem informací, a to je zejména výpočetní a komunikační technika a její programové vybavení.
(11) Integrita — znamená zajištění správnosti a úplnosti informací.
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 3/7
Tento dokument je považován za vlastnictví podniku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
Česká
Š.;a Bezpečnostní příručka uživatele ICT ČP MP-2/2015
(12)
(13)
(14)
(15)
(16)
Klasifikace informací — je definování kategorie informace z hlediska jejího významu a povahy. Podle
stanovené kategorie se určuje konkrétní způsob její ochrany.
Mobilní zařízení ICT ČP — je malý přenosný elektronický přístroj s různým programovým vybavením
jako např. mobilní telefon, notebook, netbook, smartbook, PDA, tablet, USB zařízení apod.
Monitorování — je sledování, dozor, kritické pozorování nebo určování stavu pro identifikování odchylek
od požadované nebo očekávané úrovně.
Oprávněná osoba - je fyzická nebo právnická osoba, která splňuje podmínky přístupu nebo je oprávněna
seznamovat se s příslušnou kategorií mformace.
Uživatel — každá fyzická osoba (zaměstnanec ČP nebo smluvně pověřený zaměstnanec externí fyzické
nebo právnické osoby), které byl přidělen přístup k ICT CP a příslušná přístupová oprávnění.
3. Povinnosti uživatele ICT CP
(1) Zabezpečit informace ČP, se kterými se dostane do kontaktu při výkonu své pracovní činnosti, před
případným zneužitím, poškozením, zničením nebo ztrátou.
(2) Chránit informace nelistinného charakteru v IKCT ČP v souladu s ustanoveními uvedenými ve směrnici
SM-5/2013 Ochrana informací.
(3) Používat pouze schválené nástroje (např. certifikáty vydané certifikační autoritou) k elektronické ochraně
informací.
(4) | Chránit zařízení ICT ČP před poškozením, zničením, ztrátou nebo zneužitím uzamykáním kanceláří nebo
pracovních prostorů a při odchodu z pracoviště uzamknout pracovní plochu počítače (stisknutím Win+L
nebo CtrlI+Alt+Delete) nebo se odhlásit ze systému.
(5) Používat bezpečná hesla podle níže uvedených zásad (pokud to systém ICT ČP umožňuje):
a) heslo musí obsahovat nejméně velké písmeno (A-Z), čtyři malá písmena (a-z), číslicí (0-9)
a k zvýšení kvality hesla je doporučeno používat i speciální znaky (např. !, ?, *, +, apod.),
b) heslem nebo jeho součástí nesmí být jméno uživatele nebo jeho blízkých, číslo jeho průkazu,
organizační jednotky, pracoviště, pošty apod.,
c) délka hesla musí být minimálně 8 znaků (nedoporučuje se používat české znaky s diakritikou
a písmena Y a Z),
d) heslo nesmí uživatel sdílet s jiným uživatelem,
e) platnost hesla je u zařízení ICT ČP nastavena na 90 dnů,
f) změněné heslo nesmí být shodné s 12 předchozími hesly.
(6) Chránit autentizační a přístupové údaje (hesla, klíče apod.) před vyzrazením, ztrátou nebo zneužitím
a v žádném případě je nikomu nesdělovat.
(7) Věnovat pozornost systémovým oznámením a hlášením bezpečnostních programů jako je například
antivirová ochrana. Při zjištění nebo jen podezření na přítomnost počítačového viru vypnout zařízení ICT
CP a neprodleně to oznámit na ServiceDesk a dále se řídit jeho pokyny.
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 4/7
Tento dokument je považován za vlastnictví podníku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
VO
Česká pošta Bezpečnostní příručka uživatele ICT ČP MP-2/2015
(8)
Provést antivirovou kontrolu informací na všech záznamových médiích (celého záznamového média nebo
jen datového souboru) při obdržení od externích subjektů. Při předávání záznamových médií externímu
subjektu je uživatel povinen zabezpečit, aby na daném záznamovém médiu byly pouze informace určené
pro daný externí subjekt.
(9) — Nezasahovat do systémového nastavení jednotlivých zařízení ICT ČP ani provádět instalaci programů.
(10) Nekopírovat SW na jiný počítač nebo jej předávat jiné osobě v rámci nebo mimo ČP.
(11). Bez souhlasu nadřízeného nepřemisťovat zařízení mimo určené prostory a dodržovat provozní řád daného
pracoviště.
(12) Pracovat se zařízením ICT ČP tak, aby chráněné informace nemohly být odposlechnuty, odpozorovány
nebo vyčteny ze zpracovávaných dokumentů a obrazovek zařízení ICT ČP jinou nepovolanou osobou.
(13) Účastnit se organizovaných školení bezpečnosti ICT.
(14). Hlásit zjištěné bezpečnostní incidenty (viz kapitola 6. této příručky a kap. 11. směrnice Bezpečnostní
politika ICT).
4. Uživateli ICT CP je zakázáno
(1) | Přerušovat probíhající aktualizace systému, vypínat antivirovou ochranu nebo měnit konfiguraci
bezpečnostních prvků ochrany ICT ČP.
(2) Bez souhlasu vedení ČP používat ICT ČP pro svou osobní potřebu, instalovat jakýkoli SW, manipulovat
s ICT ČP jinak než povoleným způsobem, snažit se měnit HW komponenty či systémovou konfiguraci
nebo připojovat vlastní (soukromá) zařízení.
(3) — Pracovat s cizími autentizačními a přístupovými údaji.
(4) — Zneužívat internetových služeb a emailu k jiným než služebním účelům.
5. Záznamová média
(1). Záznamová média používaná v ČP jsou vyjímatelné HDD, USB zařízení, DVD, CD, magnetické pásky,
případně další. Jejich označování řeší směrnice SM-5/2013 Ochrana informací.
(2) Záznamová média musí být uživatelem před likvidací nebo opakovaným použitím kontrolována, zda
neobsahují chráněné informace nebo licencované programové vybavení.
(3) — Záznamová média obsahující chráněné informace musí být před opakovaným použitím jiným uživatelem
bezpečně smazána přepsáním speciálním softwarovým produktem znemožňující obnovu původních
informací. Speciální softwarové produkty stanovuje a schvaluje bezpečnostní manažer ICT. Seznam je
zveřejněn na Intranetu ČP v sekci Bezpečnost ICT.
6. Bezpečnostní incident
6.1. Základní seznam bezpečnostních incidentů:
a) | projev počítačového viru nebo jiného zlomyslného SW,
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 5/7
Tento dokument je považován za vlastnictví podniku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
Česká poš Bezpečnostní příručka uživatele ICT čP MP-2/2015
6.2.
a)
b) nestandardní chování zařízení ICT ČP,
c) kompromitace autentizačních a přístupových údajů (např. hesla) nebo podezření na ni,
d) ztráta zařízení ICT ČP, mobilního zařízení ICT ČP nebo záznamového média,
e) proniknutí nepovolané osoby na pracoviště uživatele, k zařízení ICT ČP nebo i pokus o něj,
f) výstražné hlášení operačního systému nebo aplikačního SW,
g) neoprávněná změna HW, SW nebo konfigurace,
h) neúmyslné nebo úmyslné vyzrazení chráněných informací.
Řešení bezpečnostního incidentu
Každý bezpečnostní incident musí uživatel neprodleně oznámit na ServiceDesk CP, případně svému
nadřízenému.
(2) Uživatel je povinen poskytnout odboru bezpečnost ICT nezbytnou součinnost. Odbor bezpečnost ICT
provede potřebná opatření podle vyhodnocení bezpečnostního incidentu prouvedení ICT CP
do bezpečného stavu.
7. Havarijní situace
7.1. Základní typy havarijních situací:
(1) Oblast fyzické bezpečnosti
a) oheň, kouř nebo výbuch,
b) záplavy nebo prosakování kapalin,
c) narušení konstrukce budovy,
d) přírodní katastrofa.
(2): Oblast bezpečnosti ICT
a) porucha HW,
b) chyby SW,
c) výpadek elektrického proudu.
7.2. Postup uživatele při vzniku havarijních situací
(1) Uživatelé jsou povinni postupovat podle směrnice SM-30/2008 Zajištění bezpečnosti a ochrany zdraví při
práci a směrnice SM-12/2013 Zajištění požární ochrany.
(2): Uživatel je pak povinen vpřípadě, že je schopen situaci zvládnout, provést nezbytná opatření
k minimalizaci dopadů pro ICT CP a chráněné informace v něm zpracovávané.
(3) Po provedení nezbytných opatření je uživatel povinen oznámit nadřízenému vznik mimořádné situace
a opatření, která provedl.
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 6/7
Tento dokument je považován za vlastnictví podniku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.
Českta Bezpečnostní příručka uživatele ICT ČP MP-2/2015
7.2.1. Požár
(1) Vyhlásit požární poplach a řídit se příslušnou požární poplachovou směrnicí pracoviště.
(2): Vrámci možností a stavu situace zabezpečit záznamová média s chráněnými informacemi proti zničení
nebo ztrátě.
7.2.2. Havárie ústředního topení, vodovodního řádu, kanalizačního řádu či jiná
obdobná havárie
Informovat o havárii nadřízeného a zodpovědnou osobu správy objektu.
7.2.3. | Havárie zařízení ICT ČP
(1) Neodstraňovat závady zařízení ICT ČP vlastními prostředky.
(2) | Informovat nadřízeného a závadu nahlásit na ServiceDesk ČP.
$. Sankce
Porušení ustanovení bezpečnostních politik a navazujících metodických pokynů a příruček na základě
posouzení závažnosti, míry zavinění, případně míry dopadu, a následků tohoto porušení (bezpečnostního
incidentu) může být považováno za porušení povinností vyplývajících z interních dokumentů ČP se
všemi pracovněprávními důsledky v podobě upozornění na porušení povinností vyplývajících z právních
předpisů vztahujících se kzaměstnancem vykonávané práci, ústního napomenutí nebo skončení
pracovního poměru.
9. Související dokumenty
a) SM-1/2015 Bezpečnostní politika ICT
b) SM-5/2013 Ochrana informací
c) SM-30/2008 Zajištění bezpečnosti a ochrany zdraví při práci
d) SM-12/2013 Zajištění požární ochrany
10. Závěrečné ustanovení
Výklad a aktualizaci této příručky zajišťuje bezpečnostní manažer ICT ČP.
Česká pošta, s.p., se sídlem Politických vězňů 909/4, 225 99 Praha 1, IČO: 471 14 983, zapsaný v Obchodním rejstříku u Městského soudu v Praze, spisová značka A7565 Strana 7/7
Tento dokument je považován za vlastnictví podniku Česká pošta, s.p., a může být užíván výhradně způsobem stanoveným v tomto dokumentu.