Směrnice o bezpečnosti ICT

2.1.8.5.11

Směrnice o bezpečnosti ICT

PaedDr. František Havelka, PhD.

1.1 Za ustanovení jednotlivých rolí zaměstnanců, v nich budou odpovědní za zajištění bezpečnosti a ochrany osobních údajů, odpovídá ředitel Název školy dle zřizovací listiny.

Jedná se především o ustanovení role:

• - pověřence pro ochranu osobních údajů,
• - správce ICT,
• - administrátorů a
• - jednotlivých garantů aplikací.

1.2 Ředitel školy schvaluje také přidělení administrátorských účtů vybraným zaměstnancům.

 NahoruČlánek II
Bezpečnostní pravidla uživatelů

2.1 Zaměstnanci jsou povinni dodržovat při zpracovávání osobních údajů tato pravidla:

1. Výpočetní techniku využívají pouze pro plnění pracovních povinností.
2. Dodržují zásady pro tvorbu přístupového hesla k operačním systémům a aplikacím.
   1. zachovávají jedinečnost, bezpečnost a důvěrnost přístupového hesla, nikomu heslo nesdělují a nikde a nijak si jej nezaznamenávají.
   2. při přihlašování k operačním systémům a aplikacím dbají na to, aby nebylo možné heslo odpozorovat další osobou.
   3. v případě jakéhokoliv podezření na kompromitaci hesla nebo dokonce jeho zneužití heslo okamžitě změní, požádají příslušnou osobu o provedení změny a informují vedení školy. O změně hesla bude proveden písemný záznam.
3. Před opuštěním pracoviště zabezpečují výpočetní techniku uzamčením pracovní plochy nebo odhlášením.
4. Dodržují pravidlo "prázdného stolu" - všechny dokumenty obsahující osobní údaje, které v danou chvíli nezpracovávají, jsou uloženy v uzamykatelných skříních.
5. Při používání přenosné výpočetní techniky a datových nosičů (notebooků, flash disků, externích HDD, DVD apod.) mimo prostory organizace:
   1. nepředávají tuto techniku a nosiče třetím osobám,
   2. učiní všechna dostupná opatření, která mohou zabránit ztrátě či odcizení výpočetní techniky,
   3. nepoužívají výpočetní techniku pro práci s daty organizace na veřejných místech,
   4. ztrátu či odcizení okamžitě nahlásí svému nadřízenému.
6. Na výpočetní techniku školy neinstalují žádný software.
7. Nepoužívají soukromé datové nosiče (např. CD, flash disky, externí HDD).
8. Nenavštěvují rizikové internetové stránky.
9. Důsledně ověřují doručenou elektronickou poštu a v případě podezření, že se jedná o závadný e-mail (spam, podvodný e-mail apod.), takovou zprávu neotvírají, nereagují na ní a tuto skutečnost neprodleně ohlásí správci ICT.
10. Nezasahují do výpočetní techniky a její konfigurace.
11. Nekopírují, neukládají, nepřenáší osobní údaje a data z aplikací organizace na pevných discích počítačů, jiných datových nosičích či cloudu.
12. Soubory, obsahující osobní údaje, adresované mimo doménu Název školy dle zřizovací listiny, budou zasílány výhradně vedením školy pouze chráněné
    1. prostřednictvím datových schránek,
    2. prostřednictvím elektronické pošty v archivním souboru (např. ve formátu "zip", "rar" atd.) opatřeného heslem - heslo zaslat adresátovi jiným komunikačním kanálem, např. prostřednictvím SMS).
13. Soubory, obsahující zvláštní kategorie osobních údajů, zasílat pouze prostřednictvím datové schránky.
14. Netisknou data z aplikací organizace pro jiné než pracovní účely.
15. Pokud dojde k úniku, kompromitaci nebo ztrátě dat obsahujících osobní údaje je každý zaměstnanec povinen neprodleně hlásit tento incident písemně neprodleně pověřenci pro ochranu osobních údajů.

 NahoruČlánek III
Bezpečnost pravidla správce ICT

3.1 Správce ICT je odpovědný za dodržování bezpečnostních pravidel při zpracovávání a ochraně osobních údajů v rámci počítačové sítě a na výpočetní technice organizace. Je povinen dodržovat následující bezpečnostní pravidla při plnění pracovních úkolů správce ICT:

1. Spolupracuje s organizací na tvorbě a aktualizaci analýzy rizik.
2. Spravuje antivirový systém na všech výpočetních prostředcích organizace:
   1. provádí jeho instalaci,
   2. kontroluje funkčnost aktualizací,
   3. kontroluje výstupy programu.
3. Pro zaměstnance organizace připravuje a instaluje výpočetní techniku, kterou nastaví dle definovaných bezpečnostních požadavků např.
   1. způsoby přihlášení,
   2. oprávnění uživatelského účtu,
   3. uzamykání počítače při neaktivitě apod.)

a následně ji předává určeným zaměstnancům k použití.

1. Vytváří a nastavuje zaměstnancům uživatelská oprávnění do počítačové sítě a aplikací v rozsahu schváleném ředitelem.
2. Na základě požadavku ředitele organizace zřizuje nebo ruší přístupy do operačních systémů organizace.
3. Na základě požadavku garanta aplikace zřizuje nebo ruší přístupy do aplikace organizace.
4. Zajišťuje fyzickou bezpečnost datových úložišť, nosičů a dat organizace.
5. Poskytuje zaměstnancům organizace technickou podporu při využívání výpočetní techniky.
6. Provádí kontrolní činnost k zajištění bezpečnosti osobních údajů zpracovávaných ve výpočetní technice organizace.
7. Vede provozní deník, ve kterém zaznamenává všechny klíčové činnosti související se správou počítačové sítě organizace.
8. Provádí bezpečnou likvidaci datových nosičů organizace, zejména pak pevných disků, flash disků, paměťových karet, CD a DVD disků apod.
9. V případě předání výpočetní techniky nebo jejich komponentů obsahujících osobní údaje mimo organizaci (oprava u servisní organizace, výpůjčka, pronájem, vyřazení, likvidace apod.), vyjme paměťová média nebo vymaže veškeré osobní údaje.
10. Provádí pravidelné zálohování zpracovávaných dat a klíčových síťových prostředků organizace tak, aby při selhání např. hlavního datového úložiště, bylo možné provést obnovu dat s minimální ztrátou uložených dat.

 NahoruČlánek IV
Řízení rizik

4.1 Organizace provádí v pravidelných intervalech (alespoň jedenkrát za rok) analýzu rizik v souladu s metodikou pro analýzu rizik na základě požadavků čl. 24 a 32 GDPR.

Analýza rizik GDPR má za cíl určit možné hrozby a zranitelnosti při zpracování osobních údajů, včetně identifikace a stanovení rizik, která mohou vzniknout působením těchto hrozeb na účely zpracování osobních údajů.

 NahoruČlánek V
Řízení aktiv

5.1 Škola eviduje veškerý hardware a software, který používá.

5.2 Používání soukromých přenosných paměťových zařízení (externí pevné disky a flash disky) pro ukládání nebo zpracování osobních údajů je zakázáno.

5.3 Paměťová zařízení, která ke své práci potřebují zaměstnanci, jsou evidována. Evidenci paměťových zařízení provádí správce ICT nebo jiná ředitelem pověřená osoba.

5.4 Veškerá výpočetní technika Název školy dle zřizovací listiny disponuje aktuálním operačním systémem a aplikacemi, jež mají nastavené automatické aktualizace.

5.5 Při přidělení výpočetní techniky jinému zaměstnanci správce ICT provádí kompletní reinstalaci. Ředitel nebo jím pověřená osoba určí, jakým způsobem naložit s daty, která jsou na výpočetní technice uložena.

 NahoruČlánek VI
Řízení přístupů

6.1 Každý zaměstnanec využívající výpočetní techniku školy, používá pro připojení k operačním systémům a aplikacím jedinečné uživatelské jméno a heslo.

6.2 Společné, projektové či jinak sdílené uživatelské účty k operačním systémům a aplikacím obsahující osobní údaje jsou zakázány.

6.3 Všem zaměstnancům organizace jsou standardně přidělovány standardní uživatelské účty.

6.4 Přístup ke sdíleným složkám je zaměstnancům povolen pouze na základě zadání jejich uživatelského jména a hesla. Správce ICT definuje způsoby přístupu k těmto složkám a na základě schválení ředitele nastaví příslušná přístupová oprávnění jednotlivým uživatelům.

6.5 Administrátorské účty jsou striktně řízeny. Správce ICT na základě souhlasu ředitele organizace disponuje těmito administrátorskými účty a je oprávněn je použít pouze v opodstatněných případech k výkonu činností, pro které je toto oprávnění nezbytné.

6.6 Při nástupu zaměstnance jsou správcem ICT, na základě pokynů ředitele organizace nastupujícímu zaměstnanci přiděleny uživatelské účty a přístupové údaje k operačním systémům a aplikacím…