HISTÓRIA: Ukladá navštívené dokumenty s možnosťou ich opätovného otvorenia alebo uloženia medzi záložky. Funkcia je dostupná iba pre predplatiteľov.
ZÁLOŽKY: Umožňuje ukladať vybrané alebo často používané odkazy na dokumenty a triediť ich podľa individuálnych potrieb. Funkcia je dostupná iba pre predplatiteľov.

Používanie pripojenia WiFi – vzor smernice

Máte v rámci svojej organizácie nastavené bezpečnostné princípy pre pripájanie k WiFi sieťam? Môžu sa pripájať zamestnanci a návštevy aj so súkromnými zariadeniami? Tieto otázky môžete zvážiť pri úprave internej smernice pre túto oblasť s použitím nášho vzoru, súčasťou ktorého sú aj príklady bezpečnostných hrozieb.

Autori: Ing. Stanislav Guláš, audítor ISMS
Dátum publikácie: 24. 10. 2022



Používanie pripojenia WiFi

(interný predpis)

Tento interný predpis je spracovaný na základe dobrej praxe a reflektuje pravidlá a postupy v oblasti riadenia prístupov do sietí a informačných systémov a v oblasti využívania mobilných zariadení a komunikácie v kontexte požiadaviek medzinárodnej normy STN ISO/IEC 27001:2014, v kontexte požiadaviek zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti v rámci požiadaviek vyhlášky NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, ako aj v kontexte požiadaviek pre bezpečnostné opatrenia v oblasti sieťovej a komunikačnej bezpečnosti definované vo vyhláške Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

 

1. Základné bezpečnostné princípy v oblasti pripájania sa do siete WiFi v organizácii

  1. Organizácia pre účely riadenia prístupov do sietí a informačných systémov vydala Politiku riadenia prístupov (uviesť link na politiku).
  2. Organizácia riadi a monitoruje všetky typy prístupov a používaní informačných systémov vrátane prístupov a zariadení pripojených do WiFi siete organizácie.
  3. Organizácia každému používateľovi siete a informačného systému prideľuje jednoznačný identifikátor na autentizáciu na vstup do siete a informačného systému, ako aj pre prístup do bezdrôtovej WiFi siete organizácie.
  4. Pripájať pracovné technické zariadenia do iných WiFi sietí, než je WiFi sieť organizácie, je generálne zakázané z dôvodu, že mobilné pripojenia do cudzích bezdrôtových WiFi sietí v rámci niektorých používaných bezpečnostných protokolov sú nedokonalé a obsahujú bezpečnostné zraniteľnosti. Výnimku schvaľuje vedúci organizačného útvaru IT.
  5. Pre zamestnancov, ktorých povaha pracovnej činnosti vedie k potrebe pripájania sa do internetovej siete mimo priestorov organizácie, sú vydané prenosné mobilné dátové zariadenia (mobilné modemy s predplatenými dátami) pre pripojenie na internet, ktoré sú riadené a sú v správe organizačného útvaru IT.
  6. Prístup do pracovnej WiFi siete organizácie je určený na pripojenie vybraných prenosných prostriedkov, ako sú pracovné notebooky, tablety, mobilné telefóny, a pod. (ďalej tiež „pridelené technické vybavenie“ alebo aj „prenosné zariadenie“) zamestnancov organizácie, ako aj zamestnancov tretích strán do počítačovej siete organizácie.
  7. Pre účely pripojenia návštev do WiFi siete organizácie je určená samostatná WiFi sieť pre návštevy.
  8. Oprávnenia na prístup do pracovnej WiFi siete organizácie sú prideľované na základe smernice Riadenie prístupových práv (uviesť link na smernicu).
  9. Žiadosť o pridelenie prístupu do pracovnej WiFi siete pre zamestnancov organizácie musí byť zaslaná nadriadeným zamestnancom na vedúceho organizačného útvaru IT (uviesť spôsob podania žiadosti a link na formulár) v súlade s postupom uvedeným v bode 4.1 tohto predpisu.
  10. Žiadosť o pridelenie prístupu do pracovnej WiFi siete pre zamestnancov tretích strán zasiela zamestnanec organizácie, ktorý zodpovedá za daného externého zamestnanca. Žiadosť musí byť schválená vedúcim organizačného útvaru IT (uviesť spôsob podania žiadosti a link na formulár) v súlade s postupom uvedeným v bode 4.1 tohto predpisu.
  11. Pre používanie WiFi prístupu do internetu platia nasledovné pravidlá:
    1. Pokiaľ je to pre poskytovanie služieb organizácie nevyhnutné, prístup k internetovým službám je umožnený aj zamestnancom tretích strán vykonávajúcim činnosti na základe zmluvy uzavretej s organizáciou.
    2. Zamestnanci tretích strán sú povinní pri prístupe do internetovej siete dodržiavať požiadavky uvedené v tomto internom predpise.
    3. Každý používateľ plne zodpovedá pri prístupe do internetovej siete za svoje činnosti, pričom nesmie vykonávať činnosti, ktoré môžu poškodiť dobré meno organizácie.
  12. Pridelené technické vybavenie musí mať nainštalovaný a pravidelne aktualizovaný antivírusový softvér s umožnenou automatickou aktualizáciou antivírusového softvéru a automatizovanou aktualizáciou operačného systému.
  13. Pri používaní bezdrôtovej WiFi siete organizácie musia byť použité aspoň tieto bezpečnostné opatrenia – za implementáciu zodpovedá vedúci organizačného útvaru IT:
    1. silné šifrovanie WPA2/3,
    2. silné heslo pre pripojenie (minimálne desať znakov),
    3. autentifikácia používateľov.

 

2. Povinnosti správcu pri pripájaní zariadení do siete WiFi organizácie

  1. Správca sietí a informačných technológií organizácie (ďalej len „správca“) je povinný zabezpečiť poskytnutie prístupu zamestnancovi v pracovných priestoroch organizácie na internet prostredníctvom káblového pripojenia a prostredníctvom bezdrôtovej siete WiFi. Správcom je vedúci organizačného útvaru IT.
  2. Správca je povinný zabezpečiť zavedenie osobitných opatrení na zabezpečenie dôvernosti a integrity dát prenášaných verejnými sieťami alebo bezdrôtovými sieťami a na ochranu pripojených systémov a aplikácií.
  3. Správca je povinný zabezpečiť, aby akékoľvek mobilné zariadenie organizácie malo nainštalovaný, aktualizovaný a spustený antivírusový program a nastavený personálny firewall tak, aby bolo dostatočne ochránené pred napadnutím škodlivým kódom.
  4. Správca je povinný zabezpečiť, aby do infraštruktúry informačno-komunikačných technológií organizácie bolo možné akékoľvek mobilné zariadenie organizácie vzdialene pripojiť výhradne prostredníctvom zabezpečeného šifrovaného kanálu (VPN tunela). Zároveň musí byť zabezpečené, aby nebolo predmetné zariadenie v rovnakom čase pripojené do inej siete alebo internetu tak, aby sa tieto siete vzájomne prepojili.
  5. Správca je v prípade potreby povinný zabezpečiť, aby sa použitie súkromného prenosného IT zariadenia riadilo nastavenými pravidlami vrátane manažmentu takéhoto zariadenia, jeho auditovania a správy aplikácií, pričom platí, že použitie súkromného zariadenia je v rámci infraštruktúry informačno-komunikačných technológií organizácie generálne zakázané. Môže byť povolené len ako výnimka so súhlasom správcu, resp. vedúceho organizačného útvaru IT, resp. formou pripojenia do WiFi siete pre návštevy.
  6. Pri priamom spojení medzi počítačovými systémami organizácie a zákazníka prostredníctvom internetu alebo inej verejnej siete je správca povinný zabezpečiť používanie silnej autentifikácie a šifrovania prenosu v závislosti od klasifikácie spracúvaných a prenášaných informácií. Pri takomto pripojení je povinnosťou používať firewall na filtrovanie prenosu a blokovanie neoprávneného prístupu. Firewall musí byť nakonfigurovaný a spravovaný tak, aby spĺňal bezpečnostné požiadavky zavedené v organizácii. Správca je tiež povinný zabezpečiť, aby boli pri takomto pripojení povolené iba tie sieťové služby, ktoré sú potrebné z obchodného hľadiska.
  7. Správca je povinný zabezpečiť priebežnú kontrolu dôležitých konfiguračných nastavení zariadení, sietí a informačných systémov organizácie a zabezpečiť deaktiváciu WiFi modemu na tom technickom zariadení, na ktorom sa technológia WiFi nevyužíva.

 

Znenie smernice je skrátené, zostáva vám   na dočítanie. Celé znenie smernice, aj jej editovateľný formát, nájdete v produkte EPI Interné firemné predpisy:

Používanie pripojenia WiFi – vzor smernice

Autor: Ing. Stanislav Guláš

Súvisiace príklady z praxe

Súvisiace odborné články

Súvisiace vzory

Súvisiace právne predpisy ZZ SR

S-EPI, s.r.o. © 2010-2025, všetky práva vyhradené

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.