Směrnice uživatele

Směrnice uživatele (bezpečnostní směrnice)

1.    Úvod

Bezpečnostní směrnice popisuje práci uživatele IKP s ohledem na bezpečnostní politiku IKP. Jednotlivá ustanovení jdou do úrovně znalostí běžného uživatele a případné bližší vysvětlení problematiky podá Místní bezpečnostní pracovník IKP. Bezpečnostní směrnice se zaměřuje pouze na pravidla nutná pro práci konečného uživatele IKP. Zásady pro další bezpečnostní role IKP jsou popsány v odpovídajících směrnicích.


2.    Obecné zásady práce s IS

•    Uživatel je oprávněn přistupovat k systému pouze z klientských počítačů, na kterých je instalován standardní operační systém, je pravidelně prováděna antivirová kontrola některým z běžných antivirových programů a u kterých lze vyloučit úpravy HW, případně SW a instalaci škodlivých programů,
•    Uživatel je povinen při nutnosti opustit počítač za běhu provést odhlášení od systému IKP a zamknutí počítače (počítače s Windows použitím odpovídající volby v nabídce Start, nebo zvolením příslušné volby po stisknutí tlačítek CTRL-ALT-DEL)
•    Při práci se systémem IKP se uživatelům nedoporučuje mít současně otevřena další okna nebo záložky (taby) prohlížeče, ve kterém probíhá práce s IKP.


3.    Zahájení práce s IKP – Registrace, Přihlášení k systému IKP

•    Přístup k systému IKP v roli registrovaného uživatele lze získat buď po vyplnění údajů na registrační stránce IKP, případně manuálním zřízením přístupu redakcí IKP.
•    Úspěšná registrace a vytvoření účtu je uživateli oznámeno emailem s jednorázovým odkazem, po jehož zvolení je uživateli zobrazena stránka s možností změnit přístupové heslo. Jednorázový odkaz je třeba využít do 24 hodin, poté přestává fungovat a je třeba požádat redakci IKP o zaslání nového odkazu.
•    Tvorba hesla podléhá pravidlům určeným pomocí modulu Password policies. Lze zde definovat pravidla pro tvary hesla (kolik minimálně písmen, kolik čísel, kolik jiných znaků apod.), minimální časový interval pro změnu hesla, expiraci hesel (po kolika dnech heslo vyprší a je třeba jej změnit) či historii (heslo nesmí být stejné jako předchozích X hesel).
•    Uživatel je povinen chránit své heslo před jeho zkompromitováním. Nesmí jej nikomu vyzradit a nesmí ani vytvořit podmínky, aby k jeho vyzrazení mohlo dojít. Uživatel je rovněž povinen znemožnit prozrazení přístupových údajů odezíráním z monitoru klientského počítače a rovněž jakýmkoliv zaznamenáváním přístupových údajů.
•    Po registraci je přihlášení do systému IKP realizováno vyplněním přístupového jména a hesla do příslušných polí domovské stránky systému IKP.
•    V případě, že uživatel heslo nebo přístupové jméno zapomněl, lze zvolit odkaz „Zapomněli jste heslo?“ a systém vygeneruje email s jednorázovým odkazem.


4.    Vkládání a zpracování dat

Systém IKP v není určen pro zpracování utajovaných informací ve smyslu ustanovení zákona č.412/2005Sb. a uživatelům je zakázáno jakékoli utajované informace do systému vkládat, či je jakkoliv zpracovávat.

5.    Ukončení práce s IKP

Ukončení práce se systémem IKP se provádí stisknutím odkazu Odhlášení na hlavní stránce IKP a zavřením okna/všech oken prohlížeče.


6.    Monitoring a audit

Přístupy uživatele do systému jsou evidovány a jsou bezpečnostními správci analyzovány. Základem pro vystopování aktivity je uživatelské jméno, ke kterému jsou přiřazovány provedené operace. Uživatel by proto měl vykonávat pouze ty operace, ke kterým má oprávnění a nepokoušet se o operace, ke kterým oprávnění nemá. Tyto operace mohou byt analyzovány jako bezpečnostní incidenty a pro uživatele z tohoto chování mohu vyplynout postihy a sankce.


7.    Řešení krizových situací a bezpečnostních incidentů

Uživatel, který zjistí podezřelé chování systému, únik dat, poruchu v chodu systému nebo projevy virové nákazy je povinen tuto událost ihned nahlásit Bezpečnostnímu pracovníkovi IKP nebo jeho zástupci, prostřednictvím určeného kontaktního místa a formuláře „Hlášení bezpečnostního incidentu“. Uživatel je také povinen spolupracovat při vyšetřování bezpečnostního incidentu.
Obecně je bezpečnostním incidentem událost, která ohrozí nebo poruší důvěrnost, dostupnost a integritu systému. Vzniká ve chvíli, kdy se:
•    uplatní hrozba (dojde k překonání stávajících bezpečnostních opatření)
•    zvýší úroveň zranitelnosti systému.
•    zvýší úroveň hrozby.

Bezpečnostním incidentem se rozumí například:
•    Zjištění uniku dat (prozrazení neautorizovanému uživateli)
•    Prozrazení přístupových údajů
•    Neautorizovaná modifikace bezpečnostních atributů
Bezpečnostní incident je dle charakteru utajovaná skutečnost a takto je třeba s touto informací zacházet. Informace je třeba šířit dle pravidla „nutně potřebuje znát“. Uživatel nesmí sdělovat podrobnosti incidentu jiným osobám kromě bezpečnostního správce s výjimkou snahy zabránit kompromitaci dalších informací.


Formulář hlášení bezpečnostního incidentu :

( v případě bezpečnostního incidentu vyplnit a odeslat uživatelem na adresu: ikp@army.cz)

Datum a čas:
ID hlášení o bezpečnostním incidentu (přidělí Bezpečnostní pracovník IKP):
Popis bezpečnostního incidentu:

 


Popis stavu systému při bezpečnostním incidentu:

 



Datum a čas přijetí hlášení : ______________ ,_________:_________ do rukou Bezpečnostního pracovníka IKP (resp. jeho zástupce)


Jméno a podpis oznamovatele:


Jméno a podpis Bezpečnostního pracovníka IKP (resp. jeho zástupce):