audytu i aktualizacji dokumentacji przetwarzania danych osobowych
Transkrypt
audytu i aktualizacji dokumentacji przetwarzania danych osobowych
AUDYTU I AKTUALIZACJI DOKUMENTACJI PRZETWARZANIA DANYCH OSOBOWYCH, BADAŃ SOCJOTECHNICZNYCH ORAZ SZKOLENIA PRACOWNIKÓW Z PRAKTYCZNYCH ZAGADNIEŃ OCHRONY DANYCH OSOBOWYCH Cel projektu: określenie stanu faktycznego zabezpieczeń danych w systemach informatycznych urzędu poprzez audyt sprawdzający spełnienie zaleceń normy PN/ISO 17799:2007, praktyki inżynierskiej oraz wymagań prawnych nałożonych na jednostkę. Na tej podstawie utworzenie dopasowanej do wymagań i specyfiki działalności jednostki Polityki Bezpieczeństwa wraz z Instrukcją Zarządzania Systemem Informatycznym. 1. Badanie podatności pracowników na ataki socjotechniczne. Cel: zweryfikowania poziomu świadomości pracowników pod kątem możliwości utraty informacji na skutek manipulacji. 2. Audyt polityki ochrony danych osobowych oraz aktualizacja dokumentacji Polityki i Instrukcji. Cel: Weryfikacja istniejącej dokumentacji (Polityka Bezpieczeństwa oraz Instrukcja) w oparciu o przepisy, ustawę o ochronie danych osobowych oraz wymagania GIODO. Aktualizacja ma na celu przygotowanie dokumentów dostosowanych do charakteru urzędu oraz wprowadzenie dokumentów ułatwiających nadzór nad systemem bezpieczeństwa informacji. Przegląd dokumentacji (PBI, Regulaminy, Procedury, Instrukcje) dotyczącej: Danych osobowych. Zasobów ludzkich. Zabezpieczeń systemów informacyjnych. Aktualizacja Polityki Bezpieczeństwa Informacji: Zapoznanie zespołu roboczego z wymaganiami PBI. Określenie celów i zakresu działania PBI. Określenie wymagań prawnych. Opracowanie nowej dokumentacji Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym wraz z wszystkimi niezbędnymi załącznikami. Opracowanie zarządzeń wprowadzających dokumentację. Polityka Bezpieczeństwa powinna być zgodna z następującymi dokumentami: -z wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa opublikowanymi przez Głównego Inspektora Danych Osobowych; - z rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych , jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) ; - Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych (tj. Dz.U. z 1997 Nr 133, poz. 883 z późn. zm.). Kontrola powdrożeniowa (wykonana po upływie min. 2 miesięcy). Weryfikacja wdrożonych procedur, kompletności i poprawności wypełnionych załączników; 3. Szkolenie z praktycznych aspektów ochrony danych osobowych Zleceniobiorca przeprowadzi dla wszystkich pracowników urzędu szkolenia z zakresu najważniejszych postanowień opracowanej Polityki Bezpieczeństwa Informacji, Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym.. Szkolenia odbędą się na terenie Urzędu w uzgodnionych przez obie strony terminach jednak nie później niż 1,5 miesiąca od momentu zakończenia prac związanych z projektem PBI. W szkoleniu powinni wziąć udział wszyscy pracownicy PUP-u. Czas trwania: ok. 4 godzin. Termin: do ustalenia, może być dzień wolny od pracy 4. Dostarczenie kursu e-learningowego z zakresu ochrony dedykowanego dla pracowników powiatowego urzędu pracy. danych osobowych Cel: dostarczenie kursu składającego się z części szkoleniowej oraz egzaminacyjnej. Kurs powinien spełniać następujące wymagania: preferowana technologia: flash lub html, wersja serwerowa, bezterminowe wykorzystanie kursu w urzędzie, brak limitów ilości przeszkolonych pracowników, aktualizacje do obowiązujących przepisów prawa – licencja na 1 rok, szkolenie powinno wykorzystywać lektora (tekst pisany oraz mówiony), fakt zdania egzaminu powinien być potwierdzony zaświadczeniem wydanym przez podmiot wpisany do ewidencji firm szkoleniowych. W wyniku prowadzonych prac powstaję następujące dokumenty: 1. Raport z badania podatności na działania socjotechniczne, 2. Polityka Bezpieczeństwa Zbiorów Danych Osobowych – zgodna z Rozporządzeniem wykonawczym MSWiA do Ustawy o Ochronie Danych Osobowych, oraz dobre praktyki i wytyczne GIODO, 3. Instrukcja Zarządzania Systemem Informatycznym - zgodna z Rozporządzeniem wykonawczym MSWiA do Ustawy o Ochronie Danych Osobowych, oraz dobre praktyki i wytyczne GIODO. Dokument Polityka Bezpieczeństwa (zwany dalej Polityką) będzie zawierać: 1) informacje o obszarach przetwarzania danych osobowych, 2) 3) 4) 5) Dokument zawierać: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja Zarządzania Systemem Informatycznym (zwana dalej Instrukcją) będzie 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt. 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością wrogiego oprogramowania takiego jak: wirusy komputerowe i oprogramowanie szpiegowskie, 7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt. 4 rozporządzenia (m.in. odnotowywanie daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane, źródła danych, informacje o odbiorcach danych, sprzeciwach) 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Przekazana dokumentacja będzie zawierała formularze i wzory upoważnień, oświadczeń i instrukcji niezbędnych do wdrożenia Polityki i Instrukcji.