Załącznik do zarządzenia Nr 52/2008

„ZATWIERDZAM”
…………………………………………………
INSTRUKCJA ZARZĄDZANIA SYSTEMEM
INFORMATYCZNYM SŁUŻĄCYM DO
PRZETWARZANIA DANYCH OSOBOWYCH
STAROSTWA POWIATOWEGO W BOCHNI
Numer wersji: 3.0
Strona 1
Spis treści
I. Postanowienia ogólne ...........................................................................................................................................3
II. Przeznaczenie, definicje .......................................................................................................................................4
III. Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym Urzędu 6
IV. Zasady prowadzenia ewidencji pracowników Urzędu zatrudnionych przy przetwarzaniu danych osobowych .7
V. Zasady rejestrowania i wyrejestrowania użytkowników systemu informatycznego, zakres odpowiedzialności
administratora systemu......................................................................................................................................8
VI. Zasady dopuszczania pracowników Urzędu do eksploatacji systemów informatycznych przetwarzających
zbiory danych osobowych ..................................................................................................................................9
VII. Zasady tworzenia i posługiwania się hasłami dostępu do systemów informatycznych...................................10
VIII. Procedury rozpoczęcia, kontynuowania i zakończenia pracy z systemem Informatycznym ..........................12
IX. Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i urządzeń
programowych służących do ich przetwarzania ...............................................................................................13
Zasady tworzenia kopii awaryjnych...................................................................................................................13
Zasady przechowywania nośników informacji ze zbiorami danych (w tym danych osobowych) oraz kopii
bezpieczeństwa ..................................................................................................................................................13
X. Zasady niszczenia i sposoby dokumentowania procesu niszczenia nośników informacji zawierających dane
osobowe ...........................................................................................................................................................15
XI. Określenie zasad zabezpieczania oraz wykonywania przeglądów i konserwacji systemów służących do
przetwarzania danych ......................................................................................................................................16
XII. Zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego ...........................................................................................................................17
XIII. Postępowanie w zakresie komunikacji sieciowej ............................................................................................18
XIV. Postanowienia końcowe .................................................................................................................................19
Strona 2
I. POSTANOWIENIA OGÓLNE
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101, poz. 926, ze zm.)
oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. z 2004 r. Nr 100, poz. 1024) nakłada na administratora danych osobowych następujące obowiązki:
-
zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem,
-
zabezpieczenie danych przed nieuprawnionym dostępem,
-
zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym (nieuprawnionym
pozyskaniem),
-
zabezpieczenie przed utratą danych,
-
zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną
modyfikacją.
Zapisy instrukcji są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dn.12 lipca
2002r. w sprawie przetwarzania danych osób oraz ochrony prywatności w sektorze komunikacji
elektronicznej oraz wewnętrznym regulaminem ochrony danych osobowych Starostwa Powiatowego
w Bochni.
Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy
operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania.
Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny
odpowiadać urządzenia i system informatyczny, odpowiednie do zagrożeń i kategorii danych objętych
ochroną.
Strona 3
II. PRZEZNACZENIE, DEFINICJE
Instrukcja zarządzania systemie informatycznym, służącym do przetwarzania danych osobowych w
Urzędzie, zwana dalej instrukcją - określa sposób zarządzania oraz zasady administrowania systemem
informatycznym służącym do przetwarzania danych osobowych.
Instrukcja przeznaczona jest dla administratorów i użytkowników zasobów informatycznych Urzędu.
Ilekroć w instrukcji jest mowa o:
1. Urzędzie - rozumie się przez to Starostwo Powiatowe w Bochni;
2. kierownictwie - rozumie się przez to Dyrektorów i Kierowników komórek organizacyjnych
Urzędu;
3. danych osobowych - rozumie się przez to każdą informację dotyczącą osoby fizycznej,
pozwalającą na określenie tożsamości tej osoby;
4. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony czy podzielony funkcjonalnie;
5. przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
6. usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację,
która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
7. administratorze bezpieczeństwa informacji (ABI) - rozumie się przez to osobę odpowiedzialną w
danej jednostce organizacyjnej za bezpieczeństwo danych osobowych w systemie
informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do
systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań
w wypadku naruszeń w systemie zabezpieczeń;
8. administratorze sieci/systemu operacyjnego - rozumie się przez to osobę nadzorującą
i odpowiadającą za poprawną pracę powierzonego mu sprzętu sieciowego oraz systemu
operacyjnego w danej jednostce organizacyjnej, w tym w szczególności:
-
mającą prawo do zmiany uprawnień wszystkich użytkowników,
-
za pomocą platformy zarządzania dysponującą bezpośrednio wszystkimi zasobami
podległej mu sieci,
-
pełniącą kontrolę nad dostępem użytkowników do systemów,
-
podejmującą samodzielnie lub na polecenie administratora bezpieczeństwa informacji
odpowiednie działania w wypadku naruszeń w systemie zabezpieczeń
9. administratorze aplikacji - rozumie się przez to osobę odpowiedzialną w danej jednostce
organizacyjnej za bezpieczeństwo przetwarzania danych w ramach aplikacji, w tym administrującą
prawami dostępu w ramach eksploatowanych aplikacji;
10. użytkownikach systemu - rozumie się osoby upoważnione do przetwarzania danych osobowych
w systemie informatycznym;
Strona 4
11. obszarze kontrolowanym - należy przez to rozumieć obszar znajdujący się pod ochroną,
o ograniczonym dostępie osób nieautoryzowanych, w którym odbywa się przetwarzanie danych,
w tym danych osobowych.
Niniejsza Instrukcja zarządzania systemem informatycznym określa:
a) Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie
informatycznym;
b) Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym;
c) Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem
i użytkowaniem;
d) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne
za te czynności;
e) Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
f)
Metoda i częstotliwość tworzenia kopii awaryjnych.
g) Metoda i częstotliwość sprawdzania obecności wirusów komputerowych oraz metoda ich
usuwania;
h) Sposób, miejsce i okres przechowywania :
-
elektronicznych nośników informacji zawierających dane osobowe;
-
kopii zapasowych;
i)
Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych;
j)
Sposób postępowania w zakresie komunikacji w sieci komputerowej;
k) Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji
służących do przetwarzania danych.
Strona 5
III. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W
SYSTEMIE INFORMATYCZNYM URZĘDU
1. Z analizy zagrożeń wynika, że w Urzędzie miejscami najbardziej zagrożonymi są pomieszczenia
budynku, w których znajdują się zbiory danych osobowych gromadzone w kartotekach
oraz urządzeniach służących do przetwarzania tych danych, do których mogą mieć
nieuprawniony dostęp petenci jak również nieupoważnieni pracownicy Urzędu.
2. Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych należy
zaliczyć:
- niebezpieczeństwo włamania i kradzieży zasobów stanowiących nośniki danych
osobowych;
- udostępnienie danych osobom nieupoważnionym;
- zanik lub przerwa w zasilaniu energią elektryczną;
- uszkodzenie lub zniszczenie nośników danych;
- przetwarzanie danych oraz ich zmianę z naruszeniem przepisów ustawy;
- instalację i działanie oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego;
- obecność wirusów komputerowych.
3. Urządzenia systemu informatycznego służące wyłącznie do przetwarzania danych osobowych
w Urzędzie nie posiadają bezpośredniego połączenia z siecią publiczną (wydzielona sieć
wewnętrzna).
4. Urządzenia systemu informatycznego na których przetwarza się dane osobowe zwykłe i muszą
mieć dostęp do wybranych usług publicznej sieci Internet powinny odpowiadać wymaganiom dla
wysokiego poziomu bezpieczeństwa.
5. W systemie informatycznym Urzędu przetwarzane są dane osobowe zwykłe oraz dane
sensytywne.
6. Wykorzystywanie środków i metod powinno odbywać się w warunkach zapewniających
zachowanie wysokiego poziomu bezpieczeństwa przetwarzanych danych osobowych.
Strona 6
IV. ZASADY PROWADZENIA EWIDENCJI PRACOWNIKÓW URZĘDU ZATRUDNIONYCH PRZY
PRZETWARZANIU DANYCH OSOBOWYCH
1. Administrator bezpieczeństwa informacji prowadzi ewidencję wszystkich pracowników Urzędu
zatrudnionych przy przetwarzaniu danych osobowych.
2. Powyższa ewidencja uwzględnia:
-
dane personalne pracownika (imię i nazwisko),
-
oznaczenie komórki organizacyjnej,
-
rolę/role użytkownika w systemie użytkowym (aplikacji),
-
datę wprowadzenia do rejestru,
-
datę usunięcia z rejestru,
-
ważność upoważnienia.
3. Jakakolwiek zmiana informacji wyszczególnionej w ewidencji podlega
natychmiastowemu odnotowaniu.
Strona 7
V. ZASADY REJESTROWANIA I WYREJESTROWANIA UŻYTKOWNIKÓW SYSTEMU
INFORMATYCZNEGO, ZAKRES ODPOWIEDZIALNOŚCI ADMINISTRATORA SYSTEMU
1. Administrator systemu prowadzi rejestr użytkowników, który zawiera min:
-
Imię, nazwisko;
-
Poziom dostępu;
-
Datę zarejestrowania w systemie;
-
Datę wyrejestrowania z systemu;
2. Rejestracji i wyrejestrowania użytkownika systemu informatycznego dokonuje się na pisemny
wniosek kierownika komórki organizacyjnej Urzędu , której przypisane jest przetwarzanie danych
osobowych co może mieć miejsce w sytuacji:
-
Rozwiązania lub wygaśnięcia stosunku pracy;
-
Zmiany zakresu obowiązków;
3. Za zarejestrowanie i wyrejestrowanie użytkownika odpowiedzialny jest administrator systemu
informatycznego, realizujący zadania związane z zarządzaniem systemem informatycznym
Urzędu na podstawie danych zawartych w załącznikach nr 2 i 4 do Polityki Bezpieczeństwa.
4. Każdy użytkownik upoważniony do pracy w systemie informatycznym, w którym przetwarzane są
dane osobowe, winien posiadać własny odrębny identyfikator i hasło dostępu.
5. Identyfikatory i hasła dostępu (pierwsze) przydziela administrator systemu
informatycznego Urzędu. Użytkownik zmienia hasło po pierwszym zalogowaniu.
6. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie może być
przydzielony innej osobie.
7. W przypadku utraty przez użytkownika uprawnień dostępu do danych osobowych, kierownik
komórki organizacyjnej niezwłocznie informuje o tym na piśmie administratora
bezpieczeństwa informacji oraz administratora systemu informatycznego.
8. Rozwiązanie stosunku pracy, bądź zmiana zakresu obowiązków powoduje utratę dostępu do
przetwarzania danych i natychmiastowe wyrejestrowanie użytkownika z systemu oraz
wykreślenie z ewidencji na podstawie informacji otrzymanych na druku określonym w załączniku
nr 2 do Polityki Bezpieczeństwa.
Administratorzy systemu operacyjnego oraz administratorzy aplikacji są zobowiązani do bezzwłocznego
aktualizowania ewidencji uprawnionych, na podstawie polecenia wydanego przez administratora
bezpieczeństwa informacji lub Dyrektora komórki organizacyjnej Urzędu.
Strona 8
VI.
ZASADY
DOPUSZCZANIA
PRACOWNIKÓW
URZĘDU
DO
EKSPLOATACJI
SYSTEMÓWINFORMATYCZNYCH PRZETWARZAJĄCYCH ZBIORY DANYCH OSOBOWYCH
Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do zbierania lub
przetwarzania danych osobowych, mogą być dopuszczeni wyłącznie pracownicy posiadający aktualne,
ważne upoważnienia.
Administrator bezpieczeństwa informacji zapoznaje pracowników z przepisami o ochronie danych
osobowych oraz wykazem akt i wiadomości stanowiących tajemnicę służbową (w zakresie ochrony danych
osobowych).
Pracownicy podlegają przeszkoleniu w zakresie obsługi użytkowanych aplikacji przez upoważnionych
pracowników komórek organizacyjnych Urzędu.
Strona 9
VII. ZASADY TWORZENIA I POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMÓW
INFORMATYCZNYCH
1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym
użytkownik może mieć wyłącznie po podaniu nazwy użytkownika (loginu) oraz właściwego hasła.
2. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika
z systemu informatycznego nie powinien być przydzielany innej osobie.
3. Hasło (z wyjątkiem inicjującego pracę w systemie) ustala dla siebie użytkownik i zachowuje je
w tajemnicy.
4. Login, oraz hasło inicjujące ustala administrator sieci/systemu operacyjnego lub administrator
aplikacji, które następnie przekazuje osobie zainteresowanej.
5. Hasło inicjujące podlega obowiązkowej zmianie przez użytkownika przy pierwszym logowaniu.
6. W uzasadnionych wypadkach (zapomnienie hasła, poważne przypadki losowe) na polecenie
administratora bezpieczeństwa informacji hasło użytkownika może zostać zmienione przez
administratora sieci/systemu operacyjnego lub administratora aplikacji.
7. Obowiązuje ścisła zasada, by nawet przy chwilowej przerwie w pracy wylogować się i zakończyć
pracę z systemem; hasło należy zmieniać co min. 30 dni.
8. Hasła w systemie przechowywane są w postaci zaszyfrowanej.
9. Haseł nie wolno zapisywać.
10. Znajomość haseł użytkowników uprzywilejowanych (np. administratorów) powinna być
ograniczona do minimalnego grona osób.
11. Nie wolno wybierać haseł użytkownika systemu informatycznego treści jak niżej:
-
swojego nazwiska, imienia, rodziny, przyjaciół,
-
nazw używanych systemów operacyjnych;
-
nazwy swojego komputera;
-
numeru telefonu;
-
numeru rejestracyjnego i marki swojego samochodu;
-
jakiejkolwiek daty urodzenia lub w ogóle daty;
-
nazwy kontynentu, kraju, miejscowości;
-
ciągu złożonego z identycznych znaków, liter lub cyfr;
-
ciągu kolejnych znaków na klawiaturze;
-
przekleństw i wulgaryzmów.
12. Należy wybierać hasła, które:
-
zawierają duże i małe litery;
Strona 10
-
zawierają cyfry i znaki specjalne - znaki interpunkcyjne, nawiasy, symbole # @ % $ *
-
są łatwe do zapamiętania (aby nie było potrzeby ich zapisywania), lecz trudne do
odgadnięcia;
-
można łatwo i szybko wprowadzić z klawiatury;
-
mają minimum 8 znaków;
13. Każdy pracownik obsługujący aplikację przetwarzającą dane osobowe jest zobowiązany do
zachowania w tajemnicy swojego hasła dostępu i nie udostępniania go innym współpracownikom.
Zabrania się przechowywania go w postaci zapisanej, w szczególności niedozwolone jest
przechowywanie hasła zapisanego np. na obudowie komputera, monitora lub na odwrocie
klawiatury.
14. Każdy pracownik obsługujący aplikację przetwarzającą dane osobowe jest zobowiązany do
przestrzegania terminu zmiany hasła dostępu.
15. Użytkownicy nie mogą korzystać z innych loginów (nazw użytkownika) niż te, do których są
upoważnieni.
16. Zabronione jest podejmowanie wszelkich prób przywłaszczenia lub rozszyfrowania hasła innego
użytkownika.
17. Szczególnej ochronie podlegają hasła administratorów systemu.
Strona 11
VIII. PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY Z SYSTEMEM
INFORMATYCZNYM
1. Każdy użytkownik musi przestrzegać warunków podłączenia sprzętu do sieci łączności, gniazd
elektrycznych i logicznych itp. określonych przez administratora sieci/systemu operacyjnego.
Wszelkie zmiany w istniejących podłączeniach bez uprzedniego zezwolenia są niedozwolone.
2. Użytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które mają na celu
sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego
stanowiska pracy oraz stanu sprzętu komputerowego, a w szczególności:
-
Sprawdzenie czy na drzwiach i zamkach nie ma widocznych śladów prób niepowołanego
ich otwarcia;
-
Sprawdzenie stanu okien i krat oraz ocenienie czy w pomieszczeniach nie ma znaków
wskazujących na pobyt w nim osób nieuprawnionych;
-
Sprawdzenie stanu sprzętu informatycznego;
3. Użytkownicy systemu rozpoczynają pracę poprzez podanie swojego loginu i hasła, lub włożenie
karty kryptograficznej do czytnika i podanie kodu PIN.
4. Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają zamykania
aplikacji.
5. W pomieszczeniach, gdzie przebywają osoby postronne, monitory ekranowe (na których
wyświetlane są dane osobowe) winny być ustawione w taki sposób, aby uniemożliwić osobom
nieuprawnionym wgląd w dane.
6. Przed opuszczeniem stanowiska pracy, użytkownik obowiązany jest zamknąć aplikację
i wylogować się (logout) z pracy w sieci, w przypadku krótkotrwałego opuszczenia stanowiska
dopuszcza się użycia opcji „zablokuj komputer” w systemach Windows, pod warunkiem że
nieobecność na stanowisku nie przekroczy 10 minut.
7. Pomieszczenia, w których przetwarzane są dane osobowe po zakończeniu pracy zamyka się.
8. Osoby nieupoważnione mogą przebywać w tych pomieszczeniach tylko w obecności i pod
nadzorem osoby upoważnionej.
Strona 12
IX. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH OSOBOWYCH ORAZ
PROGRAMÓW I URZĄDZEŃ PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA
ZASADY TWORZENIA KOPII AWARYJNYCH
1. Dla zabezpieczenia przed utratą danych w przypadku awarii systemu, dane osobowe
przetwarzane w systemie informatycznym należy zabezpieczać przez wykonywanie kopii
zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
2. Kopie awaryjne z każdej aplikacji powinny być sporządzane na nośnikach zewnętrznych,
codziennie na zakończenie dnia.
3. Kopii danych utrzymywanych na serwerze i kopii archiwalnych nie wolno
przechowywać w pomieszczeniach, w których przechowywane są zbiory danych osobowych
eksploatowane na bieżąco, wyjątek stanowią urządzenia do wykonywania automatycznie kopii
zapasowych wyposażone w automatyczne zmieniarki nośników. W tym przypadku należy nie
rzadziej niż 1 raz w tygodniu wykonać kopię danych która będzie przechowywana w innym
pomieszczeniu.
4. Za wykonywanie kopii awaryjnych lokalnych dysków odpowiedzialni są kierownicy komórek
organizacyjnych Urzędu, według procedury uzgodnionej z administratorem systemu
informatycznego.
5. Za tworzenie kopii archiwalnych ( bezpieczeństwo danych znajdujących się na serwerze)
odpowiedzialny jest administrator systemu informatycznego Urzędu.
6. Okresowo, duplikaty kopii dysków lokalnych na wybranych nośnikach wykonują informatycy
starostwa lub osoby wyznaczone przez administratorów systemów.
ZASADY PRZECHOWYWANIA NOŚNIKÓW INFORMACJI ZE ZBIORAMI DANYCH (W TYM DANYCH
OSOBOWYCH) ORAZ KOPII BEZPIECZEŃSTWA
1. nośniki danych osobowych należy rozumieć wszystkie media, niezależnie od postaci w jakiej
występują, które służą do przechowywania danych osobowych.
2. W szczególności nośnikami danych są to: wszelkiego rodzaju dyskietki, taśmy magnetyczne, dyski
optyczne (CD-ROM), dyski wymienne, dyski twarde wymontowane z komputerów, wydruki, oraz
inne media nie wymienione powyżej, które umożliwiają przechowywanie danych osobowych.
3. Przechowywanie nośników zawierających dane osobowe powinno odbywać się w warunkach
zapewniających zachowanie wymaganego poziomu bezpieczeństwa danych osobowych
znajdujących się na tych nośnikach.
4. Nośniki informacji z danymi osobowymi przechowuje się w warunkach uniemożliwiających dostęp
do nich osób nieupoważnionych.
5. Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny się
charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu
przechowywania na nich danych.
Strona 13
6. Czas przechowywania kopii zapasowych zbiorów danych osobowych z serwerów ustala się
na:
-
kopia codzienna
kopia tygodniowa (piątkowa)
kopia miesięczna
kopia roczna (ostatni dzień grudnia)
- 1 tydzień
- 1 miesiąc
- 1 rok
- 5 lat
7. Nośniki informacji zawierające dane osobowe wykorzystywane na bieżąco podczas przetwarzania
przechowuje się w pomieszczeniu o podwyższonym stopniu bezpieczeństwa a kopie zapasowe
w sejfie lub innym pojemniku zapewniającym ich bezpieczeństwo.
8. Po zakończeniu pracy szafy zamyka się, a klucze do nich przechowuje się tak, aby osoby
nieupoważnione nie miały do nich dostępu.
9. Miejsca przechowywania kopii bezpieczeństwa muszą podlegać szczególnej ochronie.
10. Administrator systemu okresowo sprawdza kopie bezpieczeństwa pod kątem ich dalszej
przydatności do odtworzenia danych w wypadku awarii systemu.
Strona 14
X. ZASADY NISZCZENIA I SPOSOBY DOKUMENTOWANIA PROCESU NISZCZENIA NOŚNIKÓW
INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
1. Dane osobowe usuwa się z tych nośników w sposób uniemożliwiający ich odtworzenie np. przez
nadpisanie ciągu zer i jedynek.
2. Jeżeli usunięcie danych osobowych z nośników magnetycznych nie jest możliwe wówczas nośniki
zostają uszkodzone w sposób uniemożliwiający ich odczytanie.
3. Nośniki przeznaczone do zniszczenia przechowuje się w chronionym pomieszczeniu.
4. Dane znajdujące się na tych nośnikach podlegają ochronie w takim samym stopniu jak dane tego
samego rodzaju nie przeznaczone do usunięcia.
5. Nośniki przeznaczone do naprawy są pozbawiane zapisów zawierających dane osobowe.
6. Jeżeli usunięcie danych osobowych z nośników jest niemożliwe, naprawa nośników musi nastąpić
w obecności administratora bezpieczeństwa informacji lub osoby przez niego upoważnionej.
Strona 15
XI. OKREŚLENIE ZASAD ZABEZPIECZANIA ORAZ WYKONYWANIA
KONSERWACJI SYSTEMÓW SŁUŻĄCYCH DO PRZETWARZANIA DANYCH
PRZEGLĄDÓW
I
1. Prawo do wykorzystywania urządzeń informatycznych, w których przetwarzane są dane osobowe
posiadają pracownicy, którzy zostali zgłoszeni na piśmie Administratora Systemów
Informatycznych przez Dyrektorów właściwych komórek organizacyjnych Urzędu i zostali
zarejestrowani jako użytkownicy systemu.
2. We wszystkich komputerach zainstalowanych w Urzędzie może być instalowane wyłącznie
legalne oprogramowanie posiadające licencję, certyfikat legalności lub inne wymagane prawem
dokumenty potwierdzające legalność oprogramowania.
3. Instalacji nowego oprogramowania dokonuje wyłącznie informatyk starostwa lub dostawca
specjalistycznego oprogramowania, w porozumieniu z informatykiem.
4. Za legalność użytkowanego oprogramowania specjalistycznego odpowiada użytkownik systemu.
5. Użytkownikom systemu informatycznego zabrania się instalacji jakiegokolwiek oprogramowania
komputerowego bez zgody administratora systemu informatycznego.
6. W celu zabezpieczenia systemu przed utrata danych, spowodowaną awarią zasilania lub
zakłóceniami w sieci zasilającej, urządzenia komputerowe winny posiadać zainstalowane
urządzenia UPS dla podtrzymania napięcia zasilającego do czasu uruchomienia się agregatu
prądotwórczego.
7. Do usuwania wirusów należy używać programów antywirusowych, pozostających w dyspozycji
informatyków.
8. Administrator systemu zobowiązany jest do weryfikowania poprawności pracy serwerów,
sprawdzania zajętości systemów plików, zajętości plików bazy danych, sprawdzania obciążenia
serwerów, oraz logów systemowych związanych z bezpieczeństwem systemu informatycznego.
O wszelkich próbach włamań do systemu lub innych zdarzeniach mających wpływ na
bezpieczeństwo natychmiast powiadamia administratora bezpieczeństwa informacji i na jego
polecenie zabezpiecza dowody oraz dokonuje analizy zdarzenia.
9. Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego
dane osobowe muszą uwzględniać zachowanie wymaganego poziomu zabezpieczenia tych
danych przed dostępem do nich osób nieupoważnionych. Prace serwisowe mogą być
wykonywane wyłącznie w siedzibie jednostki organizacyjnej. W przypadku uszkodzenia zestawu
komputerowego nośnik informacji danych na których są przechowywane dane osobowe zostaje
zabezpieczony przez ABI przed dostępem osób nieuprawnionych.
10. W przypadku konieczności przeprowadzenia prac serwisowych poza siedzibą Urzędu dane
z naprawianego urządzenia muszą zostać w sposób trwały usunięte. Od poniższego wymagania
możliwe jest odstępstwo, jeżeli urządzenie, podczas przechowywania poza siedzibą jednostki
organizacyjnej, będzie pod stałym nadzorem osoby upoważnionej do dostępu do danych na nim
przetwarzanych, wskazanej przez administratora bezpieczeństwa informacji.
Strona 16
XII. ZABEZPIECZENIE PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST
UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO
Zabezpieczenie antywirusowe obejmuje:
W zakresie ochrony antywirusowej
-
Ochrona poczty. Program skanuje ruch pocztowy w poszukiwaniu szkodliwego oprogramowania
zgodnie z protokołem wykorzystywanym do jego dystrybucji (POP3, IMAP i NNTP dla wiadomości
przychodzących oraz SMTP dla wiadomości wychodzących) niezależnie od wykorzystywanego
programu pocztowego. Aplikacja wyposażona jest we wtyczki dla programów Microsoft Outlook,
Microsoft Outlook Express oraz The Bat!, a także w możliwość leczenia baz pocztowych Microsoft
Outlook oraz Microsoft Outlook Express.
-
Skanowanie ruchu internetowego. Rozwiązanie skanuje w czasie rzeczywistym cały ruch HTTP
w poszukiwaniu szkodliwego oprogramowania. Dzięki temu zainfekowane obiekty nie zostaną
zapisane na dysku twardym komputera.
-
Ochrona systemów plików. Wszystkie pliki, foldery i dyski mogą być skanowane w poszukiwaniu
szkodliwego oprogramowania. Użytkownicy mogą ograniczyć skanowanie do krytycznych
obszarów systemu operacyjnego oraz obiektów uruchamianych automatycznie podczas włączania
komputera. Dzięki temu monitorowane są najczęściej infekowane obszary sytemu.
W zakresie ochrony pro aktywnej oprogramowanie antywirusowe powinno zapewnić:
-
Kontrolę zmian w systemie plików.
-
Monitorowanie procesów w pamięci. Aplikacja monitoruje aktywność programów i procesów
uruchomionych w pamięci komputera. Program ostrzega użytkownika o wykryciu niebezpiecznych,
podejrzanych lub ukrytych (rootkity) procesów oraz nieautoryzowanych zmian w procesach.
-
Monitorowanie zmian w rejestrze systemowym. Aplikacja kontroluje stan rejestru systemowego
i informuje użytkownika o wszelkich podejrzanych obiektach oraz próbach tworzenia ukrytych
kluczy.
-
Blokowanie niebezpiecznych makr. Ochrona proaktywna zapewnia kontrolę działania makr
bazujących na języku programowania Visual Basic for Applications w dokumentach pakietu
Microsoft Office. Wszelkie niebezpieczne makra są blokowane, zanim zdążą wykonać jakiekolwiek
szkodliwe operacje.
Strona 17
XIII. POSTĘPOWANIE W ZAKRESIE KOMUNIKACJI SIECIOWEJ
1. Dostęp do wydzielonej sieci jest chroniony poprzez router i firewall.
2. Konfiguracja sieci (w tym zapory firewall) jest wykonywana przez administratora sieci.
3. W wyjątkowych wypadkach użytkownicy mogą mieć zapewniony dostęp do systemu
informatycznego wyłącznie poprzez sieć Internet z wykorzystaniem protokołu HTTPS.
Udostępnienie zasobów może wystąpić za pisemny wniosek osoby zainteresowanej, po
pozytywnym zaopiniowaniu przez ABI i Administratora Systemu. Za konfigurację szyfrowanego
dostępu, zapewnienie odpowiedniego poziomu zabezpieczeń jest odpowiedzialny Administrator
Systemu.
4. Przeglądarka Internet Explorer powinna mieć ustawione opcje tak, by nie zapamiętywała nazwy
użytkownika oraz hasła.
5. Komunikacja w sieci komputerowej dozwolona jest tylko po odpowiednim zalogowaniu się
i podaniu indywidualnego hasła użytkownika
6. Wprowadzenie do systemu informacji z zewnątrz jest dopuszczalne tylko przy stwierdzeniu
legalności i wiarygodności źródeł informacji i przez użytkownika posiadającego uprawnienia
wynikające z zakresu jego obowiązków
7. Za routerem a przed pierwszym urządzeniem sieci urzędu powinien być zainstalowany
dodatkowo sprzętowy firewall oraz skaner antywirusowy (UTM) – za poprawną konfigurację
urządzeń i aktualizację baz antywirusowych odpowiada administrator systemu.
Strona 18
XIV. POSTANOWIENIA K OŃCOWE
1. Administrator danych osobowych powierza administratorowi bezpieczeństwa informacji
prowadzenie ewidencji pomieszczeń, w których przetwarzane są dane osobowe przy pomocy
urządzeń i systemu informatycznego oraz ewidencji osób zatrudnionych przy ich
przetwarzaniu .
2. Każda osoba wpisana do ewidencji zobowiązana jest do odbycia stosownego przeszkolenia
w zakresie ochrony danych osobowych oraz zapoznania się z :
-
treścią ustawy oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych;
-
polityką bezpieczeństwa;
-
instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych;
-
zarządzeniami wewnętrznymi obowiązującymi w tym zakresie.
3. Wykonanie powyższych zobowiązań pracownik potwierdza własnoręcznym podpisem.
4. Wszelkie zagadnienia dotyczące ochrony danych osobowych nie ujęte w niniejszej
„Instrukcji" należy rozpatrywać zgodnie z treścią aktów prawnych wymienionych w regulaminie
ochrony danych osobowych", z uwzględnieniem późniejszych zmian i uzupełnień.
5. Instrukcja niniejsza wchodzi w życie z dniem zatwierdzenia jej przez Starosty Bocheńskiego
(administratora danych osobowych).
Strona 19