Informační a kybernetická bezpečnost tvoří nedílnou součást fungování společností tvořících Skupinu GasNet (dále jen „GasNeť“). Ochranu informačních aktiv zajišťujeme systematicky jak v rámci interních procesů, tak při spolupráci s externími partnery a dodavateli.

Každá osoba, která má přístup k informačním aktivům GasNet, je vázána smluvními povinnostmi v oblasti informační a kybernetické bezpečnosti. Rozsah těchto povinností je vždy přiměřený předmětu spolupráce, aplikovatelným legislativním požadavkům a interním pravidlům GasNet. Dodavatel v souladu se svými smluvními závazky zajišťuje, že je každý jeho pracovník, kterému je umožněn přístup k informačním aktivům GasNet, proškolen a seznámen s konkrétními bezpečnostními požadavky vztahujícími se k jeho činnosti.

Níže uvádíme základní přehled pravidel a povinností, které jsou relevantní pro všechny externí pracovníky, přičemž konkrétní a rozšířené požadavky jsou vždy závazně stanoveny smluvním ujednáním.

Mlčenlivost

Osoby, kterým je v rámci výkonu jejich pracovních nebo smluvních povinností umožněn přístup k informacím a souvisejícím informačním aktivům GasNet (dále jen „Pracovníci“), jsou povinny zachovávat o těchto informacích mlčenlivost. Pracovníci nesmějí informace bez předchozího písemného souhlasu GasNet sdělovat ani k nim jinak umožnit přístup třetím osobám, pokud takové zpřístupnění nevyplývá přímo z právního předpisu nebo smluvního závazku.

Pracovníci jsou povinni nakládat s informacemi způsobem, který neohrozí jejich důvěrnost, integritu ani dostupnost, a užívat pouze taková informační aktiva, prostředky a zdroje GasNet, které jsou nezbytné pro řádný výkon jejich pracovních či smluvních povinností a ke kterým jim byl společností GasNet udělen přístup.

Pracovníci, kteří získají přístup k informacím nebo informačním aktivům GasNet, nesou odpovědnost za jejich ochranu a jsou povinni postupovat v souladu s těmito pravidly, smluvními požadavky a vnitřními předpisy GasNet.

Bezpečnostní politiky

Dodavatel a jeho Pracovníci nesmí:

• obcházet bezpečnostní mechanismy IT prostředků GasNet a bránit spouštění
1. bezpečnostních nástrojů na IT prostředcích GasNet,
2. nástrojů sloužících pro automatizované kontroly nainstalovaného a spouštěného software;
• vyvíjet, kompilovat a šířit v IT prostředí GasNet programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity a neautorizované či nelegální získaní dat a informací.

Pracovníci s přístupem k informačním systémům GasNet nesmí zasahovat do infrastruktury nebo provozu počítačové sítě GasNet ani ji jakkoli negativně ovlivňovat či monitorovat. Zejména je zakázáno:

1. vystavovat sítě GasNet nadměrné zátěži,
2. provádět útoky na informační aktiva a zařízení GasNetu,
3. připojovat neschválená zařízení,
4. instalovat neautorizovaný software.

Výjimku tvoří pouze činnosti, které jsou výslovně uvedeny ve smluvním plnění mezi GasNet a dodavatelem.

Pracovníci nesmí na IT prostředcích GasNet instalovat a používat tyto typy nástrojů:

1. keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací,
2. sniffer – software nebo hardware umožňující odposlouchávání síťového provozu,
3. scanner zranitelností – softwarový nebo hardwarový nástroj umožňující vyhledávání zranitelností IT systémů, detekování dostupných síťových služeb a portů, běžících procesů, běžících aplikací a jejich verzí apod.,
4. backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do IT prostředků GasNetu,
5. malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí GasNetu.

Pracovníci na IT prostředcích GasNet nesmí:

• ukládat nebo sdílet data a informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno GasNet;
• navštěvovat internetové stránky s eticky nevhodným obsahem;
• připojovat neschválená výměnná média (např. CD/DVD, flash disk, paměťová karta) k IT prostředkům GasNet
• nepovoleně používat, kopírovat a šířit software, jako např.:
  
  1. instalovat nebo spouštět na IT prostředcích GasNetu soukromě pořízený software;
  2. instalovat nebo spouštět na IT prostředcích GasNet z internetu stažený software (včetně komerčního software, software typu shareware, freeware, public domain nebo licencovaného modelem GPL – General Public Licence). To neplatí v případech, kdy předmět Smlouvy obsahuje tuto činnost.

Pracovníci dále nesmí:

• zveřejňovat ani jinak sdílet informace GasNet na sociálních sítích či jiných veřejných platformách, pokud takové sdílení není výslovně součástí plnění dle smlouvy uzavřené mezi dodavatelem a GasNet;
• realizovat pokusy o neautorizovaných přístup ke zdrojům GasNet ani ke zdrojům jiných subjektů;
• sdělovat své přístupové údaje k systémům GasNet dalším osobám;používat stejná hesla v systémech GasNet a pro přístup do dalších systémů a aplikací mimo systémy GasNet (např. Facebook, LinkedIn);
• zaznamenávat autentizační údaje tak, aby mohly být snadno odhalitelné neoprávněnou osobou (např. do elektronických dokumentů, Notepad, uložením ve webovém prohlížeči);
• používat soukromou e-mailovou schránku pro činnosti souvisejícím s plněním, kromě výjimečné situace, která nesnese odkladu a při níž hrozí nebezpeční z prodlení v případě nedostupnosti nebo poruchy e-mailové služby GasNet;
• nastavovat automatické přeposílaní e-mailů z e-mailové adresy GasNet mimo systémové prostředí GasNetu;
• ukládat jiné než veřejné informace mimo úložiště pod správou GasNet nebo dodavatele, zejména do cloudových služeb (např. Google disk, uschovna.cz, apod.);

Dodavatel a jeho Pracovníci jsou povinni:

• průběžně kontrolovat a vyhodnocovat oprávněnost přístupu, jak fyzického, tak i logického, u všech osob na straně dodavatele, které přistupují do prostředí GasNet, a to minimálně jednou za šest (6) měsíců a o provedené kontrole a vyhodnocení musí existovat dokumentovaný záznam;
• zajistit, aby pracovní stoly a obrazovky pracovních zařízení neumožňovaly volný přístup k informacím neoprávněným osobám. Při opuštění pracovního místa musí být zařízení uzamčena a dokumenty řádně zabezpečeny;
• chránit přenosná IT zařízení (např. notebooky, mobilní telefony, externí úložiště) před ztrátou, krádeží a neoprávněným přístupem. Zařízení, která obsahují informace GasNet, nesmí být ponechávána bez dozoru či nezabezpečená;
• pro uložení a sdílení dat a informací GasNet využívat pouze k tomu schválené prostředky. Pokud je nezbytné ukládat informace GasNet do online úložišť, lze k tomu využívat výhradně úložiště a nástroje, které jsou schválené GasNet;
• využívat privilegovaná oprávnění jen v nezbytně nutném rozsahu a jen po dobu nezbytně nutnou pro vykonání činností v souladu s plněním předmětu Smlouvy;
• provádět likvidaci datových médií a fyzických dokumentů obsahujících informace GasNet jejich bezpečným přepsáním nebo fyzickou likvidací.

Klasifikace informací

Dodavatel a jeho Pracovníci jsou povinni při nakládání s informacemi dodavatele dodržovat stanovenou klasifikaci informací GasNet a dodržovat následující zásady nakládání s informacemi GasNet:

Veřejné informace – použití a sdílení není omezeno;

Interní informace – použití a sdílení je povoleno pouze oprávněným osobám, tj. zaměstnancům GasNetu a třetím stranám se sjednanou dohodou o mlčenlivosti či smlouvou o zpracování osobních údajů;

Citlivé informace – podmínky sdílení odpovídají režimu interních informací; v případě elektronického předávání třetím osobám musí být tyto informace šifrovány;

Strategické informace – pokud jsou takové informace dodavateli a jeho Pracovníkům zpřístupněny, sdílení těchto informací dalším třetím stranám je zakázáno, pokud GasNet výslovně a prokazatelně neurčí jinak.

Řízení přístupů, autentizace a bezpečnost koncových zařízení

Pracovníci, kteří přistupují k informačním systémům GasNet, jsou povinni:

• chránit své autentizační údaje a autentizační prostředky a uchovávat je v naprosté tajnosti;
• neuchovávat autentizační údaje v čitelné podobě a nezpřístupňovat je jiné osobě;
• dodržovat politiku hesel GasNet, zejména:
  1. používat heslo o minimální délce 12 znaků (běžné účty) nebo 17 znaků (privilegované a administrátorské účty)
  2. volit heslo obsahující znaky alespoň ze tří z následujících kategorií: malá písmena, velká písmena, číslice a speciální znaky,
• provést změnu hesla nejméně jedenkrát za 18 měsíců, bezodkladně na výzvu odboru Security a okamžitě při podezření na kompromitaci hesla.

Pracovní stanice přistupující k IT prostředí GasNet prostřednictvím VPN (Virtual Private Network) musí mít:

• nainstalovánu pokročilou funkční antivirovou ochranu;
• nastavené šifrování disků;
• aplikováno zamykání obrazovky v případě nečinnosti;
• funkční personal firewall;
• funkční nastavené automatické aktualizace systému;
• nainstalovánu verzi operačního systému, která není mimo servisní podporu výrobce;
• omezená uživatelská práva na úroveň „user“;
• průběžně aktualizované aplikace třetích stran při dodržení licenčních podmínek výrobců těchto aplikací.

Pokud Pracovník s přístupem k informačním systémům GasNet pracuje s informacemi GasNet mimo prostory dodavatele či GasNet, musí zajistit, aby informace GasNet nemohly být získány jakoukoli neoprávněnou osobou (např. odposlechem, zobrazením nebo nahlížením přes rameno).

Dodavatel a jeho Pracovníci berou na vědomí, že:

• přístup Pracovníků dodavatele k vybraným chráněným informacím a IT systémům GasNet je nepřetržitě zaznamenáván, monitorován a vyhodnocován;
• v případě neúspěšných pokusů o autentizaci uživatele (Pracovníka) může být příslušný účet zablokován, událost řešena jako kybernetický bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání kybernetického bezpečnostního incidentu.
• přidělení oprávnění Pracovníkům dodavatele v systémech GasNet je řízeno principem nezbytného minima (principy need-to-know, need-to-have) a není nárokové.