1. OKRUH

ISMS a Bezpečnostní politiky NÚKIB

Co je to ISMS? ISMS je anglická zkratka pro systém řízení bezpečnosti informacíInformation Security Management System. Jedná se o ucelený systém řízení, dokumentace, technických opatření a kontroly, který organizaci slouží k zajištění bezpečnosti informací. Jeho zavedení vychází pro NÚKIB jakožto povinnou osobu ze zákona o kybernetické bezpečnosti.

Působnost ISMS NÚKIB je určena jeho rozsahem a hranicemi. Z pohledu organizační struktury je do ISMS zahrnuta celá organizační struktura NÚKIB a požadavky ISMS jsou závazné pro všechny zaměstnance NÚKIB. Do rozsahu ISMS jsou zahrnuta všechna primární a podpůrná aktiva NÚKIB, zjednodušeně řečeno všechny činnosti, informace, aplikace, zaměstnanci a dodavatelé, které NÚKIB využívá. Z ISMS NÚKIB jsou vyloučena aktiva, která jsou řízena podle zákona č. 412/2005 Sb. o ochraně utajovaných informací a bezpečnostní způsobilosti.

důležité

V prostředí NÚKIB je v oblasti kybernetické bezpečnosti základním dokumentem Politika systému řízení bezpečnosti informací NÚKIB (aktuálně S01/2022) a její přílohy, kterými jsou dílčí bezpečnostní politiky věnující se konkrétním oblastem kybernetické bezpečnosti.

Vzdělávání zaměstnanců NÚKIB v oblasti bezpečnosti

Systém řízení bezpečnosti informací je postaven na pravidlech a bezpečnostních opatřeních. Znalost pravidel obsažených v bezpečnostních politikách NÚKIB je zásadní pro správné zajištění bezpečnosti všech aktiv NÚKIB.

Kontinuální zvyšování bezpečnostního povědomí je základem pro udržení a rozvoj bezpečnosti NÚKIB, přičemž zaměstnavatel za tímto účelem zaměstnance podporuje a motivuje v rozsahu podmínek pro interní a externí vzdělávání.

důležité

Bezpečnostní školení zaměstnanců NÚKIB jsou povinná ve stanoveném rozsahu pro všechny zaměstnance NÚKIB.

Klasifikace a manipulace s informacemi

Pod pojmem klasifikace informací se rozumí označení informace příslušným identifikátorem, který příjemcům informace specifikuje způsob nakládání s informací z pohledu její důvěrnosti. Z toho vyplývá, že pro bezpečné nakládání s informacemi, musí být informace označena správným klasifikačním stupněm.

V prostředí NÚKIB jsou stanoveny klasifikační stupně důvěrnosti informací včetně základního rozsahu jejich sdílení dle platného TLP (Traffic Light Protocol) vydávaného společností FIRST.Org, Inc. 

Tabulku s TLP (Traffic Light Protocol) si můžete pro své použití stáhnout zde .

Tyto klasifikační stupně platí pouze pro neutajované informace a nevztahují se na informace chráněné dle zákona č. 412/2005 Sb. o ochraně utajovaných informací a bezpečnostní způsobilosti. Výjimku z klasifikace informací tvoří dokumenty a informace, které ze své povahy nelze klasifikačním stupněm označit, například zásahem do dokumentů třetích stran, kde NÚKIB není jejich původcem nebo se jedná o specifické dokumenty (např. smlouvy atp.).

důležité

Klasifikační stupeň informace stanovuje příp. mění původce informace na základě povahy důvěrnosti informace a okruhu jejích příjemců.

PRAVIDLA PRO MANIPULACI S INFORMACEMI:

a. Označení informací v podobě elektronických a tištěných dokumentů musí být provedeno v záhlaví a v zápatí dokumentu dle standardu společnosti FIRST.Org, Inc.

b. Pokud byl klasifikační stupeň původcem stanoven nebo vyhodnocen jako TLP:RED, musí být v předmětu e mailu na začátku uvedena klasifikace informace TLP:RED a e-mail musí být zašifrován (např. prostřednictvím certifikátu). Tam, kde je to vhodné, je doporučeno uvést klasifikační stupeň i na konec e-mailové zprávy.

c. Dokumenty vytištěné na sdílených síťových tiskárnách musí být po vytištění ihned odebrány původcem tisku, aby byla zachována příslušná úroveň důvěrnosti a zajištěno dodržení principu need-to-know.

d. Při opuštění pracoviště, např. po skončení pracovní doby nebo delší nepřítomnosti je ve sdílených kancelářích dodržováno pravidlo čistého stolu a uzamykání obrazovky. Dokumenty a výměnná média obsahující informace klasifikované stupněm TLP:RED musí být uchovávány uzamčené v příslušném vybavení kanceláře (nábytek, trezor atp.).

e. V privátním cloudovém úložišti, které je NÚKIB poskytováno společností Microsoft, je možné zpracovávat informace klasifikované jakýmkoli klasifikačním stupněm, tj. TLP:CLEAR – TLP:RED. Jedná se cloudové úložiště, které je vyhrazeno pouze pro NÚKIB (tzv. privátní tenant) a jsou v něm provozovány služby Microsoft O365 v rámci platných licencí. Jiná cloudová úložiště, vyjma zpracování informací s klasifikací TLP:CLEAR a úložišť služeb NÚKIB dedikovaných pro předávání velkých objemů dat (Filesender Cesnet), není možné využívat.

f. V případě použití přenosných záznamových médií opouštějících perimetr NÚKIB platí, že ukládané informace klasifikované stupněm TLP:RED, AMBER a AMBER+STRICT musí být šifrované (informace nebo celé médium).

g. Pokud jsou partnerským subjektům předávány jakékoli klasifikované informace na datových nosičích, je potřeba použít vždy nový nosič dat z výroby (typicky USB disk) nebo datový nosič naformátovaný způsobem znemožňujícím zpětné obnovení původních dat.

důležité

Pro informace klasifikované všemi stupni s výjimkou TLP:CLEAR platí, že nesmí být kopírovány na soukromá zařízení uživatelů nebo přeposílána na soukromé e-mailové schránky, případně kopírovány do veřejných či soukromých datových úložišť. 

Výjimku tvoří nakládání s informacemi, které je v souladu s pravidly TLP pro předávání partnerským subjektům v rámci odpovídajících činností NÚKIB prostřednictvím dedikovaných služeb a zpracování informací prostřednictvím soukromých mobilních telefonů s odděleným datovým prostorem řízeným MDM pod správou NÚKIB.

důležité

Při používání e-mailové komunikace ve vnitřním prostředí NÚKIB je použití klasifikace informací s výjimkou informací klasifikovaných TLP:RED pouze doporučené a původce informace se při rozesílání řídí principem need-to-know.

důležité

Před zasláním informace označené dle protokolu TLP mimo prostředí NÚKIB je vždy nutné se ujistit, že protistrana je se systémem seznámena a respektuje jej. K tomuto účelu je doporučeno na konci dokumentu uvádět vysvětlení jednotlivých klasifikačních stupňů TLP.

Princip need to know / use

Využití principu need to know / use (potřeba znát / užívat) je bezpečnostním opatřením, které zajišťuje, že uživatel má přístup pouze k těm aktivům, které vyžaduje plnění svěřených úkolů spojených s jeho pracovním zařazením v organizaci. Tento přístup je využíván při přístupu ke všem aktivům v rozsahu ISMS NÚKIB.

Každý zaměstnanec má při nástupu do NÚKIB nebo při změně pracovní pozice pouze základní přístupová práva, která jsou definována pro jeho pracovní pozici / roli.

důležité

Všechna ostatní rozšířená přístupová práva musí být schválena (od úrovně ředitele odboru včetně) přímým nadřízeným uživatele a garantem, případně vlastníkem aktiva, ke kterému uživatel pro výkon své pracovní činnosti požaduje přístup.