Bezpečnost mobilních zařízení – mobilní telefony

---

NÚKIB umožňuje zaměstnancům využívat pro výkon pracovní činnost a zpracování klasifikovaných informací NÚKIB dva typy kategorií mobilních telefonů – pracovní mobilní telefony nebo soukromé mobilní telefony.

Bezpečnostní opatření pro mobilní telefony:

a.   zařízení musí být zařazeno do společné centrální správy mobilních zařízení (např. MDM) NÚKIB,

b.   uživatel je povinen nainstalovat na zařízení bez neopodstatněných odkladů bezpečnostní aktualizace operačního systému a aplikací, které jsou po něm vyžadovány jak ze strany výrobce zařízení a SW, tak ze strany NÚKIB,

c.  uživatel je povinen mít mobilní telefon zabezpečen heslem, pinem nebo biometrickou ochranou,

d.  uživatel nesmí obcházet bezpečnostní nastavení aplikovaná v rámci centrální správy ani používat mobilní telefony, u nichž byla porušena bezpečnostní opatření výrobce zařízení nebo SW.

e.   uživatel věnuje pozornost instalovaným aplikacím a požadovaným oprávněním těchto aplikací (přístupy do tel. seznamu, ke zprávám atp.) a případně si ověřuje jejich reputaci z dostupných zdrojů.

Bezpečnost přenosných paměťových médií

---

Mezi přenosná paměťová média se řadí USB disky (flashdisky), přenosné harddisky, paměťové karty, DVD/CD, HW tokeny apod.

Opatření pro manipulaci s přenosnými paměťovými médii:

a.   uživatelé nesmí připojovat neznámá paměťová média (nalezená, zaslaná poštou atp.) k pracovním stanicím NÚKIB, tato média předají k prověření pracovníkům OIT,

b.   pro předávání informací NÚKIB třetím stranám a partnerům platí podmínky určené klasifikací aktiv.

c.  uživatel je povinen mít mobilní telefon zabezpečen heslem, pinem nebo biometrickou ochranou,

Základním postupem pro použití přenosných paměťových médií je stanovení typu prostředí, kde se média pohybují a typ médií z pohledu jejich vlastnictví:

a.   prostředí kontrolované NÚKIB – lze používat pouze pracovní média NÚKIB a média třetích stran,

b.   prostředí kontrolované důvěryhodnou třetí stranou – lze používat pracovní média NÚKIB,

c.   ostatní prostředí – nelze používat pracovní média NÚKIB.

Možnosti použití přenosných paměťových médií:

Hlášení kybernetických bezpečnostních událostí a incidentů

---

Všichni uživatelé jsou povinni bezodkladně hlásit všechna podezření na bezpečnostní události a incidenty elektronickou formou primárně na Service Desk OIT (Podpora IT, sekce Mimořádná událost). Další možnosti hlášení jsou telefonicky nebo e-mailem na Service Desk OIT nebo manažeru kybernetické bezpečnosti. O vzniklé situaci informuje zaměstnanec také přímého nadřízeného, aby případně pomohl zaměstnanci situaci objasnit a případně podniknout další preventivní kroky.

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací nebo služeb v IKS, zatímco incidentem se rozumí již konkrétní narušení této bezpečnosti. Hranice mezi kybernetickou bezpečnostní událostí a incidentem nemusí být na první pohled zřejmá, proto je o jejich výsledném zařazení možné rozhodnout až po jejich prošetření.

Příklady, které mohou potencionálně znamenat kybernetický bezpečnostní incident nebo událost:

a.   nesoulad s bezpečnostními politikami,

b.   lidské chyby,

c.  nestandardní chování informačních systémů (např. v oblasti přístupu k informacím nebo službám).

d.  porušení bezpečnostních politik,

e.   zneužití cizích přihlašovacích údajů,

f.   spuštění škodlivého kódu (malware, ransomware atp.),

g.   zneužití nebo odcizení osobních údajů,

h.   ztráta nebo neoprávněná modifikace dat,

i.   nedostupnost dat nebo služeb nad tolerovanou dobu výpadku,

j.   další obdobné situace.

Hlášení kybernetické bezpečnostní události nebo incidentu obsahuje minimálně tyto náležitosti:

a.  kontaktní osobu,

b.  lokalitu, místo a čas identifikace události nebo incidentu,

c.  identifikaci postiženého aktiva (např. informační systém, informace, HW),

d.  případná učiněná protiopatření.

	Rychlost nahlášení, přesnost uvedených informací k potencionální události nebo incidentu, či případná včasná reakce jsou pro zvládání těchto situací zásadní.

Řízení výjimek z bezpečnostních politik NÚKIB

---

V ojedinělých případech může být uživateli udělena výjimka z bezpečnostních politik NÚKIB. Jedná se o zvláštní odůvodněné případy, kdy je k výkonu práce uživatele potřeba zajistit takové prostředky nebo postupy, které jsou jinak v bezpečnostních politikách vyloučeny.

Pravidla pro řízení výjimek z bezpečnostních politik:

a.   Výjimky z bezpečnostních politik NÚKIB včetně schvalovacího workflow jsou evidovány v Service Desku.

b.   Výjimku z bezpečnostní politiky NÚKIB schvaluje ředitel odboru žadatele o výjimku, případně vlastník aktiva, pokud jím není ředitel odboru žadatele a manažer kybernetické bezpečnosti.

c.  K výjimce se rovněž v rámci schvalovacího workflow vyjadřují garanti technických aktiv, kteří posuzují nároky na finanční a lidské zdroje z pohledu realizace výjimky.

d.  Realizace výjimky nesmí významně ovlivnit bezpečnost aktiv NÚKIB a nesmí si vyžádat nepřiměřené finanční a lidské zdroje.

e.   Realizace výjimky včetně analýzy bezpečnostních a provozních dopadů může být v adekvátních případech předložena k rozhodnutí Výboru pro řízení kybernetické bezpečnosti NÚKIB.

Přehled bezpečnostních politik a dalších oblastí bezpečnosti

---

Bezpečnostní politiky NÚKIB jsou dostupné na stránkách intranetu NÚKIB (wiki NÚKIB) v rozcestníku odboru bezpečnosti. V oblasti kybernetické bezpečnosti se z uživatelského hlediska jedná zejména o směrnici:

S01/2022 Politika systému řízení bezpečnosti informací Národního úřadu pro kybernetickou a informační bezpečnost a její přílohy:

• S01/2022 Příloha č. 1 - Řízení aktiv
• S01/2022 Příloha č. 5 - Politika řízení přístupu
• S01/2022 Příloha č. 6 - Politika bezpečného chování uživatelů

V rozcestníku odboru bezpečnosti na intranetu naleznete rovněž interní normativa týkající se administrativní, fyzické, informační a personální bezpečnosti a krizového řízení.