Załącznik do zarządzenia Nr 52/2008
Transkrypt
Załącznik do zarządzenia Nr 52/2008
„ZATWIERDZAM” ………………………………………………… INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH STAROSTWA POWIATOWEGO W BOCHNI Numer wersji: 3.0 Strona 1 Spis treści I. Postanowienia ogólne ...........................................................................................................................................3 II. Przeznaczenie, definicje .......................................................................................................................................4 III. Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym Urzędu 6 IV. Zasady prowadzenia ewidencji pracowników Urzędu zatrudnionych przy przetwarzaniu danych osobowych .7 V. Zasady rejestrowania i wyrejestrowania użytkowników systemu informatycznego, zakres odpowiedzialności administratora systemu......................................................................................................................................8 VI. Zasady dopuszczania pracowników Urzędu do eksploatacji systemów informatycznych przetwarzających zbiory danych osobowych ..................................................................................................................................9 VII. Zasady tworzenia i posługiwania się hasłami dostępu do systemów informatycznych...................................10 VIII. Procedury rozpoczęcia, kontynuowania i zakończenia pracy z systemem Informatycznym ..........................12 IX. Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i urządzeń programowych służących do ich przetwarzania ...............................................................................................13 Zasady tworzenia kopii awaryjnych...................................................................................................................13 Zasady przechowywania nośników informacji ze zbiorami danych (w tym danych osobowych) oraz kopii bezpieczeństwa ..................................................................................................................................................13 X. Zasady niszczenia i sposoby dokumentowania procesu niszczenia nośników informacji zawierających dane osobowe ...........................................................................................................................................................15 XI. Określenie zasad zabezpieczania oraz wykonywania przeglądów i konserwacji systemów służących do przetwarzania danych ......................................................................................................................................16 XII. Zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego ...........................................................................................................................17 XIII. Postępowanie w zakresie komunikacji sieciowej ............................................................................................18 XIV. Postanowienia końcowe .................................................................................................................................19 Strona 2 I. POSTANOWIENIA OGÓLNE Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101, poz. 926, ze zm.) oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) nakłada na administratora danych osobowych następujące obowiązki: - zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem, - zabezpieczenie danych przed nieuprawnionym dostępem, - zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym (nieuprawnionym pozyskaniem), - zabezpieczenie przed utratą danych, - zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną modyfikacją. Zapisy instrukcji są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dn.12 lipca 2002r. w sprawie przetwarzania danych osób oraz ochrony prywatności w sektorze komunikacji elektronicznej oraz wewnętrznym regulaminem ochrony danych osobowych Starostwa Powiatowego w Bochni. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania. Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i system informatyczny, odpowiednie do zagrożeń i kategorii danych objętych ochroną. Strona 3 II. PRZEZNACZENIE, DEFINICJE Instrukcja zarządzania systemie informatycznym, służącym do przetwarzania danych osobowych w Urzędzie, zwana dalej instrukcją - określa sposób zarządzania oraz zasady administrowania systemem informatycznym służącym do przetwarzania danych osobowych. Instrukcja przeznaczona jest dla administratorów i użytkowników zasobów informatycznych Urzędu. Ilekroć w instrukcji jest mowa o: 1. Urzędzie - rozumie się przez to Starostwo Powiatowe w Bochni; 2. kierownictwie - rozumie się przez to Dyrektorów i Kierowników komórek organizacyjnych Urzędu; 3. danych osobowych - rozumie się przez to każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby; 4. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie; 5. przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; 6. usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; 7. administratorze bezpieczeństwa informacji (ABI) - rozumie się przez to osobę odpowiedzialną w danej jednostce organizacyjnej za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w wypadku naruszeń w systemie zabezpieczeń; 8. administratorze sieci/systemu operacyjnego - rozumie się przez to osobę nadzorującą i odpowiadającą za poprawną pracę powierzonego mu sprzętu sieciowego oraz systemu operacyjnego w danej jednostce organizacyjnej, w tym w szczególności: - mającą prawo do zmiany uprawnień wszystkich użytkowników, - za pomocą platformy zarządzania dysponującą bezpośrednio wszystkimi zasobami podległej mu sieci, - pełniącą kontrolę nad dostępem użytkowników do systemów, - podejmującą samodzielnie lub na polecenie administratora bezpieczeństwa informacji odpowiednie działania w wypadku naruszeń w systemie zabezpieczeń 9. administratorze aplikacji - rozumie się przez to osobę odpowiedzialną w danej jednostce organizacyjnej za bezpieczeństwo przetwarzania danych w ramach aplikacji, w tym administrującą prawami dostępu w ramach eksploatowanych aplikacji; 10. użytkownikach systemu - rozumie się osoby upoważnione do przetwarzania danych osobowych w systemie informatycznym; Strona 4 11. obszarze kontrolowanym - należy przez to rozumieć obszar znajdujący się pod ochroną, o ograniczonym dostępie osób nieautoryzowanych, w którym odbywa się przetwarzanie danych, w tym danych osobowych. Niniejsza Instrukcja zarządzania systemem informatycznym określa: a) Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym; b) Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym; c) Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem; d) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne za te czynności; e) Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; f) Metoda i częstotliwość tworzenia kopii awaryjnych. g) Metoda i częstotliwość sprawdzania obecności wirusów komputerowych oraz metoda ich usuwania; h) Sposób, miejsce i okres przechowywania : - elektronicznych nośników informacji zawierających dane osobowe; - kopii zapasowych; i) Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych; j) Sposób postępowania w zakresie komunikacji w sieci komputerowej; k) Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych. Strona 5 III. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM URZĘDU 1. Z analizy zagrożeń wynika, że w Urzędzie miejscami najbardziej zagrożonymi są pomieszczenia budynku, w których znajdują się zbiory danych osobowych gromadzone w kartotekach oraz urządzeniach służących do przetwarzania tych danych, do których mogą mieć nieuprawniony dostęp petenci jak również nieupoważnieni pracownicy Urzędu. 2. Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych należy zaliczyć: - niebezpieczeństwo włamania i kradzieży zasobów stanowiących nośniki danych osobowych; - udostępnienie danych osobom nieupoważnionym; - zanik lub przerwa w zasilaniu energią elektryczną; - uszkodzenie lub zniszczenie nośników danych; - przetwarzanie danych oraz ich zmianę z naruszeniem przepisów ustawy; - instalację i działanie oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; - obecność wirusów komputerowych. 3. Urządzenia systemu informatycznego służące wyłącznie do przetwarzania danych osobowych w Urzędzie nie posiadają bezpośredniego połączenia z siecią publiczną (wydzielona sieć wewnętrzna). 4. Urządzenia systemu informatycznego na których przetwarza się dane osobowe zwykłe i muszą mieć dostęp do wybranych usług publicznej sieci Internet powinny odpowiadać wymaganiom dla wysokiego poziomu bezpieczeństwa. 5. W systemie informatycznym Urzędu przetwarzane są dane osobowe zwykłe oraz dane sensytywne. 6. Wykorzystywanie środków i metod powinno odbywać się w warunkach zapewniających zachowanie wysokiego poziomu bezpieczeństwa przetwarzanych danych osobowych. Strona 6 IV. ZASADY PROWADZENIA EWIDENCJI PRACOWNIKÓW URZĘDU ZATRUDNIONYCH PRZY PRZETWARZANIU DANYCH OSOBOWYCH 1. Administrator bezpieczeństwa informacji prowadzi ewidencję wszystkich pracowników Urzędu zatrudnionych przy przetwarzaniu danych osobowych. 2. Powyższa ewidencja uwzględnia: - dane personalne pracownika (imię i nazwisko), - oznaczenie komórki organizacyjnej, - rolę/role użytkownika w systemie użytkowym (aplikacji), - datę wprowadzenia do rejestru, - datę usunięcia z rejestru, - ważność upoważnienia. 3. Jakakolwiek zmiana informacji wyszczególnionej w ewidencji podlega natychmiastowemu odnotowaniu. Strona 7 V. ZASADY REJESTROWANIA I WYREJESTROWANIA UŻYTKOWNIKÓW SYSTEMU INFORMATYCZNEGO, ZAKRES ODPOWIEDZIALNOŚCI ADMINISTRATORA SYSTEMU 1. Administrator systemu prowadzi rejestr użytkowników, który zawiera min: - Imię, nazwisko; - Poziom dostępu; - Datę zarejestrowania w systemie; - Datę wyrejestrowania z systemu; 2. Rejestracji i wyrejestrowania użytkownika systemu informatycznego dokonuje się na pisemny wniosek kierownika komórki organizacyjnej Urzędu , której przypisane jest przetwarzanie danych osobowych co może mieć miejsce w sytuacji: - Rozwiązania lub wygaśnięcia stosunku pracy; - Zmiany zakresu obowiązków; 3. Za zarejestrowanie i wyrejestrowanie użytkownika odpowiedzialny jest administrator systemu informatycznego, realizujący zadania związane z zarządzaniem systemem informatycznym Urzędu na podstawie danych zawartych w załącznikach nr 2 i 4 do Polityki Bezpieczeństwa. 4. Każdy użytkownik upoważniony do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe, winien posiadać własny odrębny identyfikator i hasło dostępu. 5. Identyfikatory i hasła dostępu (pierwsze) przydziela administrator systemu informatycznego Urzędu. Użytkownik zmienia hasło po pierwszym zalogowaniu. 6. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie może być przydzielony innej osobie. 7. W przypadku utraty przez użytkownika uprawnień dostępu do danych osobowych, kierownik komórki organizacyjnej niezwłocznie informuje o tym na piśmie administratora bezpieczeństwa informacji oraz administratora systemu informatycznego. 8. Rozwiązanie stosunku pracy, bądź zmiana zakresu obowiązków powoduje utratę dostępu do przetwarzania danych i natychmiastowe wyrejestrowanie użytkownika z systemu oraz wykreślenie z ewidencji na podstawie informacji otrzymanych na druku określonym w załączniku nr 2 do Polityki Bezpieczeństwa. Administratorzy systemu operacyjnego oraz administratorzy aplikacji są zobowiązani do bezzwłocznego aktualizowania ewidencji uprawnionych, na podstawie polecenia wydanego przez administratora bezpieczeństwa informacji lub Dyrektora komórki organizacyjnej Urzędu. Strona 8 VI. ZASADY DOPUSZCZANIA PRACOWNIKÓW URZĘDU DO EKSPLOATACJI SYSTEMÓWINFORMATYCZNYCH PRZETWARZAJĄCYCH ZBIORY DANYCH OSOBOWYCH Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do zbierania lub przetwarzania danych osobowych, mogą być dopuszczeni wyłącznie pracownicy posiadający aktualne, ważne upoważnienia. Administrator bezpieczeństwa informacji zapoznaje pracowników z przepisami o ochronie danych osobowych oraz wykazem akt i wiadomości stanowiących tajemnicę służbową (w zakresie ochrony danych osobowych). Pracownicy podlegają przeszkoleniu w zakresie obsługi użytkowanych aplikacji przez upoważnionych pracowników komórek organizacyjnych Urzędu. Strona 9 VII. ZASADY TWORZENIA I POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMÓW INFORMATYCZNYCH 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym użytkownik może mieć wyłącznie po podaniu nazwy użytkownika (loginu) oraz właściwego hasła. 2. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 3. Hasło (z wyjątkiem inicjującego pracę w systemie) ustala dla siebie użytkownik i zachowuje je w tajemnicy. 4. Login, oraz hasło inicjujące ustala administrator sieci/systemu operacyjnego lub administrator aplikacji, które następnie przekazuje osobie zainteresowanej. 5. Hasło inicjujące podlega obowiązkowej zmianie przez użytkownika przy pierwszym logowaniu. 6. W uzasadnionych wypadkach (zapomnienie hasła, poważne przypadki losowe) na polecenie administratora bezpieczeństwa informacji hasło użytkownika może zostać zmienione przez administratora sieci/systemu operacyjnego lub administratora aplikacji. 7. Obowiązuje ścisła zasada, by nawet przy chwilowej przerwie w pracy wylogować się i zakończyć pracę z systemem; hasło należy zmieniać co min. 30 dni. 8. Hasła w systemie przechowywane są w postaci zaszyfrowanej. 9. Haseł nie wolno zapisywać. 10. Znajomość haseł użytkowników uprzywilejowanych (np. administratorów) powinna być ograniczona do minimalnego grona osób. 11. Nie wolno wybierać haseł użytkownika systemu informatycznego treści jak niżej: - swojego nazwiska, imienia, rodziny, przyjaciół, - nazw używanych systemów operacyjnych; - nazwy swojego komputera; - numeru telefonu; - numeru rejestracyjnego i marki swojego samochodu; - jakiejkolwiek daty urodzenia lub w ogóle daty; - nazwy kontynentu, kraju, miejscowości; - ciągu złożonego z identycznych znaków, liter lub cyfr; - ciągu kolejnych znaków na klawiaturze; - przekleństw i wulgaryzmów. 12. Należy wybierać hasła, które: - zawierają duże i małe litery; Strona 10 - zawierają cyfry i znaki specjalne - znaki interpunkcyjne, nawiasy, symbole # @ % $ * - są łatwe do zapamiętania (aby nie było potrzeby ich zapisywania), lecz trudne do odgadnięcia; - można łatwo i szybko wprowadzić z klawiatury; - mają minimum 8 znaków; 13. Każdy pracownik obsługujący aplikację przetwarzającą dane osobowe jest zobowiązany do zachowania w tajemnicy swojego hasła dostępu i nie udostępniania go innym współpracownikom. Zabrania się przechowywania go w postaci zapisanej, w szczególności niedozwolone jest przechowywanie hasła zapisanego np. na obudowie komputera, monitora lub na odwrocie klawiatury. 14. Każdy pracownik obsługujący aplikację przetwarzającą dane osobowe jest zobowiązany do przestrzegania terminu zmiany hasła dostępu. 15. Użytkownicy nie mogą korzystać z innych loginów (nazw użytkownika) niż te, do których są upoważnieni. 16. Zabronione jest podejmowanie wszelkich prób przywłaszczenia lub rozszyfrowania hasła innego użytkownika. 17. Szczególnej ochronie podlegają hasła administratorów systemu. Strona 11 VIII. PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY Z SYSTEMEM INFORMATYCZNYM 1. Każdy użytkownik musi przestrzegać warunków podłączenia sprzętu do sieci łączności, gniazd elektrycznych i logicznych itp. określonych przez administratora sieci/systemu operacyjnego. Wszelkie zmiany w istniejących podłączeniach bez uprzedniego zezwolenia są niedozwolone. 2. Użytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które mają na celu sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego, a w szczególności: - Sprawdzenie czy na drzwiach i zamkach nie ma widocznych śladów prób niepowołanego ich otwarcia; - Sprawdzenie stanu okien i krat oraz ocenienie czy w pomieszczeniach nie ma znaków wskazujących na pobyt w nim osób nieuprawnionych; - Sprawdzenie stanu sprzętu informatycznego; 3. Użytkownicy systemu rozpoczynają pracę poprzez podanie swojego loginu i hasła, lub włożenie karty kryptograficznej do czytnika i podanie kodu PIN. 4. Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają zamykania aplikacji. 5. W pomieszczeniach, gdzie przebywają osoby postronne, monitory ekranowe (na których wyświetlane są dane osobowe) winny być ustawione w taki sposób, aby uniemożliwić osobom nieuprawnionym wgląd w dane. 6. Przed opuszczeniem stanowiska pracy, użytkownik obowiązany jest zamknąć aplikację i wylogować się (logout) z pracy w sieci, w przypadku krótkotrwałego opuszczenia stanowiska dopuszcza się użycia opcji „zablokuj komputer” w systemach Windows, pod warunkiem że nieobecność na stanowisku nie przekroczy 10 minut. 7. Pomieszczenia, w których przetwarzane są dane osobowe po zakończeniu pracy zamyka się. 8. Osoby nieupoważnione mogą przebywać w tych pomieszczeniach tylko w obecności i pod nadzorem osoby upoważnionej. Strona 12 IX. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW I URZĄDZEŃ PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA ZASADY TWORZENIA KOPII AWARYJNYCH 1. Dla zabezpieczenia przed utratą danych w przypadku awarii systemu, dane osobowe przetwarzane w systemie informatycznym należy zabezpieczać przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 2. Kopie awaryjne z każdej aplikacji powinny być sporządzane na nośnikach zewnętrznych, codziennie na zakończenie dnia. 3. Kopii danych utrzymywanych na serwerze i kopii archiwalnych nie wolno przechowywać w pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco, wyjątek stanowią urządzenia do wykonywania automatycznie kopii zapasowych wyposażone w automatyczne zmieniarki nośników. W tym przypadku należy nie rzadziej niż 1 raz w tygodniu wykonać kopię danych która będzie przechowywana w innym pomieszczeniu. 4. Za wykonywanie kopii awaryjnych lokalnych dysków odpowiedzialni są kierownicy komórek organizacyjnych Urzędu, według procedury uzgodnionej z administratorem systemu informatycznego. 5. Za tworzenie kopii archiwalnych ( bezpieczeństwo danych znajdujących się na serwerze) odpowiedzialny jest administrator systemu informatycznego Urzędu. 6. Okresowo, duplikaty kopii dysków lokalnych na wybranych nośnikach wykonują informatycy starostwa lub osoby wyznaczone przez administratorów systemów. ZASADY PRZECHOWYWANIA NOŚNIKÓW INFORMACJI ZE ZBIORAMI DANYCH (W TYM DANYCH OSOBOWYCH) ORAZ KOPII BEZPIECZEŃSTWA 1. nośniki danych osobowych należy rozumieć wszystkie media, niezależnie od postaci w jakiej występują, które służą do przechowywania danych osobowych. 2. W szczególności nośnikami danych są to: wszelkiego rodzaju dyskietki, taśmy magnetyczne, dyski optyczne (CD-ROM), dyski wymienne, dyski twarde wymontowane z komputerów, wydruki, oraz inne media nie wymienione powyżej, które umożliwiają przechowywanie danych osobowych. 3. Przechowywanie nośników zawierających dane osobowe powinno odbywać się w warunkach zapewniających zachowanie wymaganego poziomu bezpieczeństwa danych osobowych znajdujących się na tych nośnikach. 4. Nośniki informacji z danymi osobowymi przechowuje się w warunkach uniemożliwiających dostęp do nich osób nieupoważnionych. 5. Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny się charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu przechowywania na nich danych. Strona 13 6. Czas przechowywania kopii zapasowych zbiorów danych osobowych z serwerów ustala się na: - kopia codzienna kopia tygodniowa (piątkowa) kopia miesięczna kopia roczna (ostatni dzień grudnia) - 1 tydzień - 1 miesiąc - 1 rok - 5 lat 7. Nośniki informacji zawierające dane osobowe wykorzystywane na bieżąco podczas przetwarzania przechowuje się w pomieszczeniu o podwyższonym stopniu bezpieczeństwa a kopie zapasowe w sejfie lub innym pojemniku zapewniającym ich bezpieczeństwo. 8. Po zakończeniu pracy szafy zamyka się, a klucze do nich przechowuje się tak, aby osoby nieupoważnione nie miały do nich dostępu. 9. Miejsca przechowywania kopii bezpieczeństwa muszą podlegać szczególnej ochronie. 10. Administrator systemu okresowo sprawdza kopie bezpieczeństwa pod kątem ich dalszej przydatności do odtworzenia danych w wypadku awarii systemu. Strona 14 X. ZASADY NISZCZENIA I SPOSOBY DOKUMENTOWANIA PROCESU NISZCZENIA NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE 1. Dane osobowe usuwa się z tych nośników w sposób uniemożliwiający ich odtworzenie np. przez nadpisanie ciągu zer i jedynek. 2. Jeżeli usunięcie danych osobowych z nośników magnetycznych nie jest możliwe wówczas nośniki zostają uszkodzone w sposób uniemożliwiający ich odczytanie. 3. Nośniki przeznaczone do zniszczenia przechowuje się w chronionym pomieszczeniu. 4. Dane znajdujące się na tych nośnikach podlegają ochronie w takim samym stopniu jak dane tego samego rodzaju nie przeznaczone do usunięcia. 5. Nośniki przeznaczone do naprawy są pozbawiane zapisów zawierających dane osobowe. 6. Jeżeli usunięcie danych osobowych z nośników jest niemożliwe, naprawa nośników musi nastąpić w obecności administratora bezpieczeństwa informacji lub osoby przez niego upoważnionej. Strona 15 XI. OKREŚLENIE ZASAD ZABEZPIECZANIA ORAZ WYKONYWANIA KONSERWACJI SYSTEMÓW SŁUŻĄCYCH DO PRZETWARZANIA DANYCH PRZEGLĄDÓW I 1. Prawo do wykorzystywania urządzeń informatycznych, w których przetwarzane są dane osobowe posiadają pracownicy, którzy zostali zgłoszeni na piśmie Administratora Systemów Informatycznych przez Dyrektorów właściwych komórek organizacyjnych Urzędu i zostali zarejestrowani jako użytkownicy systemu. 2. We wszystkich komputerach zainstalowanych w Urzędzie może być instalowane wyłącznie legalne oprogramowanie posiadające licencję, certyfikat legalności lub inne wymagane prawem dokumenty potwierdzające legalność oprogramowania. 3. Instalacji nowego oprogramowania dokonuje wyłącznie informatyk starostwa lub dostawca specjalistycznego oprogramowania, w porozumieniu z informatykiem. 4. Za legalność użytkowanego oprogramowania specjalistycznego odpowiada użytkownik systemu. 5. Użytkownikom systemu informatycznego zabrania się instalacji jakiegokolwiek oprogramowania komputerowego bez zgody administratora systemu informatycznego. 6. W celu zabezpieczenia systemu przed utrata danych, spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej, urządzenia komputerowe winny posiadać zainstalowane urządzenia UPS dla podtrzymania napięcia zasilającego do czasu uruchomienia się agregatu prądotwórczego. 7. Do usuwania wirusów należy używać programów antywirusowych, pozostających w dyspozycji informatyków. 8. Administrator systemu zobowiązany jest do weryfikowania poprawności pracy serwerów, sprawdzania zajętości systemów plików, zajętości plików bazy danych, sprawdzania obciążenia serwerów, oraz logów systemowych związanych z bezpieczeństwem systemu informatycznego. O wszelkich próbach włamań do systemu lub innych zdarzeniach mających wpływ na bezpieczeństwo natychmiast powiadamia administratora bezpieczeństwa informacji i na jego polecenie zabezpiecza dowody oraz dokonuje analizy zdarzenia. 9. Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe muszą uwzględniać zachowanie wymaganego poziomu zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych. Prace serwisowe mogą być wykonywane wyłącznie w siedzibie jednostki organizacyjnej. W przypadku uszkodzenia zestawu komputerowego nośnik informacji danych na których są przechowywane dane osobowe zostaje zabezpieczony przez ABI przed dostępem osób nieuprawnionych. 10. W przypadku konieczności przeprowadzenia prac serwisowych poza siedzibą Urzędu dane z naprawianego urządzenia muszą zostać w sposób trwały usunięte. Od poniższego wymagania możliwe jest odstępstwo, jeżeli urządzenie, podczas przechowywania poza siedzibą jednostki organizacyjnej, będzie pod stałym nadzorem osoby upoważnionej do dostępu do danych na nim przetwarzanych, wskazanej przez administratora bezpieczeństwa informacji. Strona 16 XII. ZABEZPIECZENIE PRZED DZIAŁANIEM OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO Zabezpieczenie antywirusowe obejmuje: W zakresie ochrony antywirusowej - Ochrona poczty. Program skanuje ruch pocztowy w poszukiwaniu szkodliwego oprogramowania zgodnie z protokołem wykorzystywanym do jego dystrybucji (POP3, IMAP i NNTP dla wiadomości przychodzących oraz SMTP dla wiadomości wychodzących) niezależnie od wykorzystywanego programu pocztowego. Aplikacja wyposażona jest we wtyczki dla programów Microsoft Outlook, Microsoft Outlook Express oraz The Bat!, a także w możliwość leczenia baz pocztowych Microsoft Outlook oraz Microsoft Outlook Express. - Skanowanie ruchu internetowego. Rozwiązanie skanuje w czasie rzeczywistym cały ruch HTTP w poszukiwaniu szkodliwego oprogramowania. Dzięki temu zainfekowane obiekty nie zostaną zapisane na dysku twardym komputera. - Ochrona systemów plików. Wszystkie pliki, foldery i dyski mogą być skanowane w poszukiwaniu szkodliwego oprogramowania. Użytkownicy mogą ograniczyć skanowanie do krytycznych obszarów systemu operacyjnego oraz obiektów uruchamianych automatycznie podczas włączania komputera. Dzięki temu monitorowane są najczęściej infekowane obszary sytemu. W zakresie ochrony pro aktywnej oprogramowanie antywirusowe powinno zapewnić: - Kontrolę zmian w systemie plików. - Monitorowanie procesów w pamięci. Aplikacja monitoruje aktywność programów i procesów uruchomionych w pamięci komputera. Program ostrzega użytkownika o wykryciu niebezpiecznych, podejrzanych lub ukrytych (rootkity) procesów oraz nieautoryzowanych zmian w procesach. - Monitorowanie zmian w rejestrze systemowym. Aplikacja kontroluje stan rejestru systemowego i informuje użytkownika o wszelkich podejrzanych obiektach oraz próbach tworzenia ukrytych kluczy. - Blokowanie niebezpiecznych makr. Ochrona proaktywna zapewnia kontrolę działania makr bazujących na języku programowania Visual Basic for Applications w dokumentach pakietu Microsoft Office. Wszelkie niebezpieczne makra są blokowane, zanim zdążą wykonać jakiekolwiek szkodliwe operacje. Strona 17 XIII. POSTĘPOWANIE W ZAKRESIE KOMUNIKACJI SIECIOWEJ 1. Dostęp do wydzielonej sieci jest chroniony poprzez router i firewall. 2. Konfiguracja sieci (w tym zapory firewall) jest wykonywana przez administratora sieci. 3. W wyjątkowych wypadkach użytkownicy mogą mieć zapewniony dostęp do systemu informatycznego wyłącznie poprzez sieć Internet z wykorzystaniem protokołu HTTPS. Udostępnienie zasobów może wystąpić za pisemny wniosek osoby zainteresowanej, po pozytywnym zaopiniowaniu przez ABI i Administratora Systemu. Za konfigurację szyfrowanego dostępu, zapewnienie odpowiedniego poziomu zabezpieczeń jest odpowiedzialny Administrator Systemu. 4. Przeglądarka Internet Explorer powinna mieć ustawione opcje tak, by nie zapamiętywała nazwy użytkownika oraz hasła. 5. Komunikacja w sieci komputerowej dozwolona jest tylko po odpowiednim zalogowaniu się i podaniu indywidualnego hasła użytkownika 6. Wprowadzenie do systemu informacji z zewnątrz jest dopuszczalne tylko przy stwierdzeniu legalności i wiarygodności źródeł informacji i przez użytkownika posiadającego uprawnienia wynikające z zakresu jego obowiązków 7. Za routerem a przed pierwszym urządzeniem sieci urzędu powinien być zainstalowany dodatkowo sprzętowy firewall oraz skaner antywirusowy (UTM) – za poprawną konfigurację urządzeń i aktualizację baz antywirusowych odpowiada administrator systemu. Strona 18 XIV. POSTANOWIENIA K OŃCOWE 1. Administrator danych osobowych powierza administratorowi bezpieczeństwa informacji prowadzenie ewidencji pomieszczeń, w których przetwarzane są dane osobowe przy pomocy urządzeń i systemu informatycznego oraz ewidencji osób zatrudnionych przy ich przetwarzaniu . 2. Każda osoba wpisana do ewidencji zobowiązana jest do odbycia stosownego przeszkolenia w zakresie ochrony danych osobowych oraz zapoznania się z : - treścią ustawy oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; - polityką bezpieczeństwa; - instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych; - zarządzeniami wewnętrznymi obowiązującymi w tym zakresie. 3. Wykonanie powyższych zobowiązań pracownik potwierdza własnoręcznym podpisem. 4. Wszelkie zagadnienia dotyczące ochrony danych osobowych nie ujęte w niniejszej „Instrukcji" należy rozpatrywać zgodnie z treścią aktów prawnych wymienionych w regulaminie ochrony danych osobowych", z uwzględnieniem późniejszych zmian i uzupełnień. 5. Instrukcja niniejsza wchodzi w życie z dniem zatwierdzenia jej przez Starosty Bocheńskiego (administratora danych osobowych). Strona 19