Smernica o bezpečnom používaní IT systémov, USB tokenov a čipových kariet – vzor

Smernica o bezpečnom používaní IT systémov, USB tokenov a čipových kariet

Vzor smernice

Čl. I – Všeobecné ustanovenia

1. Táto smernica je záväzná pre všetkých zamestnancov a zabezpečuje súlad s právnymi predpismi upravujúcimi oblasť ochrany osobných údajov a kybernetickej bezpečnosti v oblasti informačných systémov prevádzkovateľa.
2. Táto smernica stanovuje základné zodpovednosti, pravidlá a zásady informačnej bezpečnosti a informačných systémov prevádzkovateľa, bezpečné používanie USB tokenov a čipových kariet.

Čl. II – Organizácia informačnej bezpečnosti

1. Riadenie informačnej bezpečnosti je centralizované a zastrešované funkciou IT oddelenia.
2. Na IT oddelenie sa môže s otázkami v oblasti IT bezpečnosti priamo obrátiť každý zamestnanec.
3. Úlohou IT oddelenia je okrem iného:
   1. inštalácia systémových programov (predovšetkým operačných systémov),
   2. zriaďovanie nových používateľských kont, prideľovanie prístupových práv, preverovanie oprávnenosti prístupových práv a používateľských kont, rušenie neplatných používateľských kont,
   3. manipulácia s externými médiami a tlačiarňami,
   4. inštalácia a prideľovanie USB tokenov,
   5. inštalácia a prideľovanie čipových kariet,
   6. riadenie systému informačnej bezpečnosti, vrátane politiky zálohovania,
   7. identifikácia a analýza informačných rizík, návrh opatrení na znižovanie rizík a ich monitoring,
   8. návrh a aktualizácia smerníc a opatrení pre oblasť informačnej bezpečnosti, ich vynucovanie v praxi a monitorovanie ich dodržiavania,
   9. riadenie, plánovanie a koordinovanie bezpečnostných aktivít.

Čl. III – Ochrana citlivých informácií

1. Citlivé informácie musia byť chránené nezávisle na forme (súbor, výtlačok, kópia...), a to po celú dobu svojej existencie. Pre účinnú ochranu informácií je nevyhnutná osobná zodpovednosť a zainteresovanosť zamestnancov.
2. Na zamestnancov sú kladené nasledujúce povinnosti:
   1. pri akejkoľvek elektronickej výmene citlivých informácií mimo siete prevádzkovateľa, t. j. posielanie emailom, cez internet, uloženie na prenosné USB/CD/DVD médiá, ktoré môžu opustiť priestory prevádzkovateľa a pod., je potrebné informácie pred výmenou zašifrovať;
   2. pri práci so zariadením/informáciami preveriť pracovné prostredie tak, aby nebolo možné neoprávnenými osobami sledovať informácie zobrazované na displeji zariadenia, respektíve aby nebolo možné odpozorovať zadávané údaje;
   3. nenechávať vytlačené dokumenty, dátové médiá a iné informačné aktíva voľne ...