audytu i aktualizacji dokumentacji przetwarzania danych osobowych

AUDYTU I AKTUALIZACJI DOKUMENTACJI PRZETWARZANIA DANYCH OSOBOWYCH, BADAŃ
SOCJOTECHNICZNYCH ORAZ SZKOLENIA PRACOWNIKÓW Z PRAKTYCZNYCH ZAGADNIEŃ
OCHRONY DANYCH OSOBOWYCH
Cel projektu: określenie stanu faktycznego zabezpieczeń danych w systemach informatycznych
urzędu poprzez audyt sprawdzający spełnienie zaleceń normy PN/ISO 17799:2007, praktyki
inżynierskiej oraz wymagań prawnych nałożonych na jednostkę. Na tej podstawie utworzenie
dopasowanej do wymagań i specyfiki działalności jednostki Polityki Bezpieczeństwa wraz z Instrukcją
Zarządzania Systemem Informatycznym.
1.
Badanie podatności pracowników na ataki socjotechniczne.
Cel: zweryfikowania poziomu świadomości pracowników pod kątem możliwości utraty informacji na
skutek manipulacji.
2.
Audyt polityki ochrony danych osobowych oraz aktualizacja dokumentacji Polityki
i Instrukcji.
Cel: Weryfikacja istniejącej dokumentacji (Polityka Bezpieczeństwa oraz Instrukcja) w oparciu o
przepisy, ustawę o ochronie danych osobowych oraz wymagania GIODO. Aktualizacja ma na celu
przygotowanie dokumentów dostosowanych do charakteru urzędu oraz wprowadzenie dokumentów
ułatwiających nadzór nad systemem bezpieczeństwa informacji.
Przegląd dokumentacji (PBI, Regulaminy, Procedury, Instrukcje) dotyczącej:
Danych osobowych.
Zasobów ludzkich.
Zabezpieczeń systemów informacyjnych.
Aktualizacja Polityki Bezpieczeństwa Informacji:
Zapoznanie zespołu roboczego z wymaganiami PBI.
Określenie celów i zakresu działania PBI.
Określenie wymagań prawnych.
Opracowanie nowej dokumentacji Polityki Bezpieczeństwa oraz Instrukcji Zarządzania
Systemem Informatycznym wraz z wszystkimi niezbędnymi załącznikami.
Opracowanie zarządzeń wprowadzających dokumentację.
Polityka Bezpieczeństwa powinna być zgodna z następującymi dokumentami:
-z wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez
Głównego Inspektora Danych Osobowych;
- z rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych , jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) ;
- Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych (tj. Dz.U. z 1997 Nr 133, poz.
883 z późn. zm.).
Kontrola powdrożeniowa (wykonana po upływie min. 2 miesięcy).
Weryfikacja wdrożonych procedur, kompletności i poprawności wypełnionych załączników;
3.
Szkolenie z praktycznych aspektów ochrony danych osobowych
Zleceniobiorca przeprowadzi dla wszystkich pracowników urzędu szkolenia z zakresu najważniejszych
postanowień opracowanej Polityki Bezpieczeństwa Informacji, Polityki Bezpieczeństwa i Instrukcji
Zarządzania Systemem Informatycznym..
Szkolenia odbędą się na terenie Urzędu w uzgodnionych przez obie strony terminach jednak nie
później niż 1,5 miesiąca od momentu zakończenia prac związanych z projektem PBI. W szkoleniu
powinni wziąć udział wszyscy pracownicy PUP-u.
Czas trwania: ok. 4 godzin.
Termin: do ustalenia, może być dzień wolny od pracy
4.
Dostarczenie kursu e-learningowego z zakresu ochrony
dedykowanego dla pracowników powiatowego urzędu pracy.
danych
osobowych
Cel: dostarczenie kursu składającego się z części szkoleniowej oraz egzaminacyjnej.
Kurs powinien spełniać następujące wymagania:
preferowana technologia: flash lub html,
wersja serwerowa,
bezterminowe wykorzystanie kursu w urzędzie,
brak limitów ilości przeszkolonych pracowników,
aktualizacje do obowiązujących przepisów prawa – licencja na 1 rok,
szkolenie powinno wykorzystywać lektora (tekst pisany oraz mówiony),
fakt zdania egzaminu powinien być potwierdzony zaświadczeniem wydanym przez podmiot
wpisany do ewidencji firm szkoleniowych.
W wyniku prowadzonych prac powstaję następujące dokumenty:
1. Raport z badania podatności na działania socjotechniczne,
2. Polityka Bezpieczeństwa Zbiorów Danych Osobowych – zgodna z Rozporządzeniem
wykonawczym MSWiA do Ustawy o Ochronie Danych Osobowych, oraz dobre praktyki i
wytyczne GIODO,
3. Instrukcja Zarządzania Systemem Informatycznym - zgodna z Rozporządzeniem
wykonawczym MSWiA do Ustawy o Ochronie Danych Osobowych, oraz dobre praktyki i
wytyczne GIODO.
Dokument Polityka Bezpieczeństwa (zwany dalej Polityką) będzie zawierać:
1) informacje o obszarach przetwarzania danych osobowych,
2)
3)
4)
5)
Dokument
zawierać:
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych,
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych
i powiązania między nimi,
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja Zarządzania Systemem Informatycznym (zwana dalej Instrukcją) będzie
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i
użytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników
systemu,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt. 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością wrogiego
oprogramowania takiego jak: wirusy komputerowe i oprogramowanie szpiegowskie,
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt. 4 rozporządzenia (m.in.
odnotowywanie daty pierwszego wprowadzenia danych do systemu, identyfikatora
użytkownika wprowadzającego dane, źródła danych, informacje o odbiorcach danych,
sprzeciwach)
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
Przekazana dokumentacja będzie zawierała formularze i wzory upoważnień, oświadczeń i instrukcji
niezbędnych do wdrożenia Polityki i Instrukcji.