Polityka Bezpieczeństwa Informacji w Uniwersytecie Śląskim w

Załącznik do zarządzenia nr 76 Rektora UŚ z dnia 27 lipca 2016 r.
POLITYKA BEZPIECZEŃSTWA INFORMACJI
W UNIWERSYTECIE ŚLĄSKIM W KATOWICACH
Spis treści
Spis treści .............................................................................................................................................2
Postanowienia ogólne ...................................................................................................................3
2.
2.2. Deklaracja władz w sprawie istotności bezpieczeństwa informacji dla funkcjonowania
Uniwersytetu Śląskiego w Katowicach............................................................................................4
2.3.
Cel polityki bezpieczeństwa informacji ................................................................................5
2.4.
Zakres Polityki Bezpieczeństwa Informacji ..........................................................................5
Sposób wdrażania bezpieczeństwa informacji .............................................................................5
3.
3.1.
Sposób wdrażania bezpieczeństwa informacji, kompetencje i odpowiedzialność................6
4.
Klasyfikacja informacji .........................................................................................................7
4.1. Dla każdej klasy aktywów informacyjnych Zespół Zarządzania Bezpieczeństwem
Informacji określa poziom istotności informacji dla Uniwersytetu z punktu widzenia trzech
kategorii: ..........................................................................................................................................7
4.2.
Wprowadza się następujące skale klasyfikacji kategorii istotności informacji: ...................7
4.3. Kierując się poziomem istotności aktywów informacyjnych oraz analizą ryzyka ZZBI
określa dla każdego z aktywów informacyjnych wymagania dotyczące sposobu ich
zabezpieczenia. ................................................................................................................................8
5.
Postępowanie z incydentami bezpieczeństwa .......................................................................8
6.
Ogólne zasady bezpieczeństwa informacji............................................................................9
7.
Postępowanie z ryzykiem bezpieczeństwa informacji ........................................................10
Strona 2 z 14
1. Wstęp
1. Niniejsza polityka bezpieczeństwa informacji ma za zadanie wprowadzić w Uniwersytecie
Śląskim w Katowicach system gwarantujący odpowiednią ochronę informacji na wszystkich
płaszczyznach jej przetwarzania i gromadzenia, tak aby osiągnięty mógł zostać nadrzędny
cel polegający na zapewnieniu ciągłości funkcjonowania Uniwersytetu Śląskiego w
Katowicach i minimalizowaniu ryzyka związanego z jego funkcjonowaniem.
2. Postanowień niniejszej polityki bezpieczeństwa informacji nie stosuje się do informacji
niejawnych, o których mowa w ustawie o ochronie informacji niejawnych (Dz.U. z 2010 r.,
Nr 182, poz. 1228 z późn. zm.),
2. Postanowienia ogólne
2.1.
Definicje
2.1.1. Uniwersytet – Uniwersytet Śląski w Katowicach,
2.1.2. aktywa informacyjne – wszelkiego rodzaju dane, spójne merytorycznie oraz
logicznie, które mogą być wykorzystane przez Uniwersytet w trakcie jego
funkcjonowania. Mówiąc o aktywach informacyjnych w niniejszym dokumencie
mamy zwykle na myśli klasę danych – np. dane finansowe, dane kadrowe etc.,
2.1.3. analiza ryzyka – etap w zarządzaniu ryzykiem polegający na identyfikacji ryzyk,
określeniu ich wielkości oraz obszaru ich oddziaływania,
2.1.4. administrator systemu – pracownik obsługujący systemy informatyczne i
odpowiedzialny za ich eksploatację,
2.1.5. bezpieczeństwo informacji –ochrona aktywów informacyjnych przed szeroko
rozumianymi zagrożeniami w celu zapewnienia ciągłości funkcjonowania
Uniwersytetu i minimalizowania ryzyka związanego z jego funkcjonowaniem.
Bezpieczeństwo informacji jest realizowane poprzez wdrażanie odpowiedniego
Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) na który składają się
wdrożone i ciągle udoskonalane polityki, procesy, procedury, struktury
organizacyjne, oprogramowanie i sprzęt. Bezpieczeństwo informacji oznacza
zapewnienie następujących właściwości:
 poufności – właściwości zapewniającej, że informacja nie jest udostępniana
nieautoryzowanym osobom lub podmiotom,
 integralności – właściwości zapewniającej, że informacja nie została
zmieniona lub zniszczona w sposób nieautoryzowany oraz, że informacja jest
dokładna i kompletna,
 integralności systemu – właściwości polegającej na tym, że system realizuje
swoją zamierzoną funkcję w sposób nienaruszony, wolny od
nieautoryzowanej manipulacji, celowej bądź przypadkowej,
 dostępności – właściwości bycia dostępnym i możliwym do wykorzystania
na żądanie w zamierzonym czasie przez autoryzowaną osobę lub podmiot,
 rozliczalności – właściwości zapewniającej, że działania osoby lub podmiotu
mogą być jednoznacznie przypisane tej osobie lub podmiotowi,
2.1.6. dane sensytywne (wrażliwe) – dane osobowe podlegające szczególnej ochronie.
Danymi sensytywnymi są między innymi: pochodzenie rasowe, poglądy polityczne,
przekonania religijne, przynależność religijna lub polityczna, informacje o stanie
zdrowia, informacje o wyrokach, orzeczeniach itp.,
Strona 3 z 14
2.1.7. dokument w postaci tradycyjnej – dokument w formie papierowej,
2.1.8. dokument elektroniczny – dokument w postaci pliku tekstowego, graficznego,
muzycznego, filmowego lub mieszanego będącego wynikiem pracy z danym
programem komputerowym, dający się zapisać, a następnie odczytać za pomocą
urządzeń informatycznych,
2.1.9. incydent bezpieczeństwa - zdarzenie lub seria zdarzeń odnoszących się do
bezpieczeństwa informacji lub bezpieczeństwa teleinformatycznego, których
skutkiem może być zakłócenie działań Uniwersytetu lub narażenie Uniwersytetu na
szkody natury prawnej lub finansowej,
2.1.10. jednostka organizacyjna – wydział lub podstawowa jednostka organizacyjna nie
będąca wydziałem, a także ogólnouczelniane, międzywydziałowe i pozawydziałowe
jednostki organizacyjne prowadzące działalność naukową, naukowo-dydaktyczną,
dydaktyczną lub usługową,
2.1.11. podatność – jest to słabość, wada lub brak zabezpieczeń w strukturze fizycznej,
Uniwersytetu, procedurach, sposobie zarządzania, oprogramowania i w działaniach
pracowników, których wykorzystanie celowe bądź przypadkowe może spowodować
szkody dla Uniwersytetu,
2.1.12. ryzyko – niepewność związana z wystąpieniem okoliczności lub zdarzenia,
grożącego brakiem lub ograniczeniem możliwości realizacji celów Uniwersytetu,
2.1.13. system informatyczny – zbiór powiązanych ze sobą elementów, którego funkcją
jest przetwarzanie danych i informacji przy użyciu technik komputerowych,
2.1.14. system teleinformatyczny – zespół współpracujących z sobą urządzeń
informatycznych i oprogramowania zapewniający przetwarzanie i przechowywanie
oraz wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne,
2.1.15. właściciel aktywów informacyjnych – pracownik Uniwersytetu, który w ramach
swoich kompetencji podejmuje decyzję o sposobie wykorzystania aktywów
informacyjnych. Osoba ta jest odpowiedzialna za właściwą klasyfikację aktywów
informacyjnych,
2.1.16. właściciel infrastruktury – pracownik Uniwersytetu, który w ramach swoich
kompetencji zajmuje się utrzymaniem infrastruktury technicznej,
2.1.17. właściciel systemu informatycznego – pracownik Uniwersytetu, który w ramach
swoich kompetencji zajmuje się utrzymaniem systemu informatycznego,
2.1.18. zarządzanie ryzykiem – skoordynowane działania mające na celu zarządzanie
jednostką organizacyjną z uwzględnieniem ryzyka.
2.2.
Deklaracja władz w sprawie
funkcjonowania Uniwersytetu
istotności
bezpieczeństwa
informacji
dla
Mając na uwadze znaczenie jakie dla funkcjonowania Uniwersytetu ma właściwa ochrona
informacji władze Uniwersytetu deklarują:
 zamiar podejmowania wszystkich działań niezbędnych do adekwatnego
zabezpieczenia informacji gromadzonych i przetwarzanych w Uniwersytecie,
 zamiar stałego podnoszenia świadomości oraz kompetencji osób przetwarzających
informacje w Uniwersytecie,
Strona 4 z 14
 zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu informacji
jako należących do kategorii podstawowych obowiązków pracowniczych oraz
stanowczego egzekwowania ich właściwego wykonywania.
W celu realizacji zadeklarowanych działań wprowadza się w Uniwersytecie Politykę
Bezpieczeństwa Informacji i podejmuje działania mające na celu jej pełne wdrożenie.
2.3.
Cel polityki bezpieczeństwa informacji
Celem polityki bezpieczeństwa informacji jest zapewnienie ciągłości funkcjonowania
Uniwersytetu oraz minimalizowanie ryzyka związanego z jego funkcjonowaniem poprzez
zagwarantowanie, że wszelkie informacje posiadane i przetwarzane przez Uniwersytet będą
zabezpieczone w sposób adekwatny do stopnia ich istotności dla uczelni.
2.4.
Zakres Polityki Bezpieczeństwa Informacji
Niniejsza Polityka Bezpieczeństwa Informacji ma zastosowanie do wszystkich rodzajów
informacji przetwarzanych i utrwalanych w Uniwersytecie niezależnie od tego w jakiej formie
informacje te są przetwarzane i utrwalane (w formie tradycyjnej, elektronicznej czy też ustnej)
oraz do wszystkich osób, które te informacje przetwarzają.
Zapewnienie bezpieczeństwa informacji w Uniwersytecie wymaga kompleksowego
podejścia, które zagwarantuje, że wszystkie elementy mające wpływ na bezpieczeństwo
informacji zostaną w niej uwzględnione. Oznacza to zapewnienie bezpieczeństwa w
następujących obszarach:
 organizacja bezpieczeństwa informacji,
 zarządzanie aktywami,
 bezpieczeństwo zasobów ludzkich,
 bezpieczeństwo fizyczne i środowiskowe,
 zarządzanie systemami informatycznymi i sieciami komputerowymi,
 kontrola dostępu,
 pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
 zarządzanie incydentami związanymi z bezpieczeństwem informacji,
 zarządzanie ciągłością działania,
 zgodność z prawem, standardami i regulacjami wewnętrznymi,
 świadomość pracowników.
3. Sposób wdrażania bezpieczeństwa informacji
Poprzez System Zarządzania Bezpieczeństwem Informacji (SZBI) rozumiemy całokształt
działań technicznych, organizacyjnych i prawnych (wszystkie polityki, procesy, procedury,
struktury organizacyjne, oprogramowanie i sprzęt) opisujących sposób zarządzania
bezpieczeństwem informacji w Uniwersytecie. Funkcjonowanie SZBI musi być monitorowane, tak
aby system ten mógł być stopniowo doskonalony zarówno w odpowiedzi na zmiany środowiska
zewnętrznego jak i na stwierdzone mankamenty w jego funkcjonowaniu.
Strona 5 z 14
3.1.
Sposób wdrażania bezpieczeństwa informacji, kompetencje i odpowiedzialność
3.1.1. Za tworzenie, wdrożenie i utrzymanie polityki bezpieczeństwa informacji, oraz
wynikających z niej standardów, zaleceń i procedur odpowiedzialny jest Rektor.
3.1.2. Punktem wyjścia do wdrożenia polityki bezpieczeństwa informacji jest
inwentaryzacja informacji gromadzonych i przetwarzanych w Uniwersytecie, a
następnie pogrupowanie ich w spójne logicznie i merytorycznie klasy zwane
aktywami informacyjnymi.
3.1.3. Każdy rodzaj informacji (aktywa informacyjne) musi mieć właściciela. Są to:
3.1.3.1.
dla informacji finansowych – Prorektor ds. Finansów i Rozwoju,
3.1.3.2.
dla informacji dotyczących procesu kształcenia – Prorektor ds.
Kształcenia i Studentów,
3.1.3.3.
dla informacji dotyczących badań naukowych i współpracy z
gospodarką – Prorektor ds. Nauki i Współpracy z Gospodarką,
3.1.3.4.
dla innych informacji – Kanclerz.
3.1.4. Klasyfikacji informacji, oceny ich istotności dla Uniwersytetu oraz wskazania
mechanizmów ich ochrony dokonuje Zespół Zarządzania Bezpieczeństwem
Informacji (ZZBI) pod przewodnictwem Dyrektora ds. Informatyzacji złożony z
osób delegowanych przez właścicieli aktywów informacyjnych, Pełnomocnika
Rektora Uniwersytetu Śląskiego w Katowicach ds. Danych Osobowych oraz
delegowanych przez Dyrektora ds. Informatyzacji pracowników jego Pionu.
Okresowo na wniosek Dyrektora ds. Informatyzacji Zespół może być rozszerzany o
dodatkowe osoby. Decyzje podejmowane są w drodze głosowania. W przypadku
równowagi głosów decyzję podejmuje przewodniczący ZZBI. Opracowane przez
Zespół klasyfikacje, ocena istotności oraz mechanizmy ochrony podlegają
akceptacji przez właściwych dla danego zakresu informacji właścicieli aktywów
informacyjnych.
3.1.5. ZZBI odpowiedzialny jest za opracowanie szczegółowych instrukcji określających
sposoby zabezpieczające poszczególne aktywa informacyjne, adekwatnie do
występujących zagrożeń oraz nadzorowanie
realizacji zadań wynikających
z Polityki Bezpieczeństwa Informacji przez jednostki organizacyjne uczelni.
3.1.6. Za wdrażanie polityki bezpieczeństwa, w szczególności za wdrażanie opracowanych
przez ZZBI mechanizmów ochrony odpowiedzialni są kierownicy jednostek
organizacyjnych w podległych sobie jednostkach.
3.1.7. W sytuacji, gdy utrwalanie i przetwarzanie dotyczy informacji w formie
elektronicznej, to właściciel infrastruktury informatycznej i właściciel systemu
informatycznego wykorzystywanych w tym celu, odpowiedzialni są za
zastosowanie rozwiązań organizacyjnych i technicznych odpowiadających
mechanizmom ochrony opracowanym przez ZZBI.
3.1.8. Podczas ustalania poziomu bezpieczeństwa informacji dla poszczególnych
składników systemu stosujemy zasadę najsłabszego ogniwa. Oznacza to, że dany
składnik musi być zabezpieczony, tak aby spełnić wymagania najbardziej
wymagających aktywów informacyjnych, które są za jego pomocą przetwarzane lub
gromadzone.
Strona 6 z 14
3.1.9. Dla nowych kategorii informacji proces ich klasyfikacji, oceny istotności
i opracowania mechanizmów ochrony inicjuje właściciel aktywów informacyjnych
kierując sprawę do zbadania przez ZZBI.
3.1.10. W przypadku informacji niejawnych oraz informacji zawierających dane osobowe
stosuje się dodatkowo rozwiązania prawne i organizacyjne wymagane przepisami
prawa oraz opisane w regulacjach wewnętrznych Uniwersytetu. W szczególności
dotyczy to powołania oraz określenia zakresów obowiązków dla Pełnomocnika
Rektora Uniwersytetu Śląskiego w Katowicach ds. Danych Osobowych,
Pełnomocnika do spraw Ochrony Informacji Niejawnych, Koordynatora
Bezpieczeństwa Informacji, Lokalnych Administratorów Danych Osobowych,
Pełnomocników Lokalnych Administratorów Danych Osobowych oraz Lokalnych
Koordynatorów Bezpieczeństwa Informacji.
3.1.11. Odpowiedzialność za ochronę informacji oraz za stosowanie postanowień Polityki
Bezpieczeństwa Informacji i wynikających z niej regulacji niższej rangi
odpowiedzialność ponoszą wszyscy pracownicy oraz każda inna osoba legalnie
dopuszczona do zasobów informacyjnych Uniwersytetu.
3.1.12. Do audytów w zakresie Polityki Bezpieczeństwa Informacji upoważnieni są
audytorzy wewnętrzni lub inni pracownicy wskazani przez Rektora, także firmy
zewnętrzne działające na podstawie odpowiednich umów.
4. Klasyfikacja informacji
4.1. Dla każdej klasy aktywów informacyjnych Zespół Zarządzania Bezpieczeństwem
Informacji określa poziom istotności informacji dla Uniwersytetu z punktu widzenia
trzech kategorii:
 poufności (C),
 integralności (I)
 dostępności (A).
4.2.
Wprowadza się następujące skale klasyfikacji kategorii istotności informacji:
4.2.1. Poufność (C)
Ze względu na potencjalny rozmiar szkód, które mogłoby spowodować ujawnienie
informacji nieuprawnionym osobom lub instytucjom wprowadza się trzystopniową
klasyfikację poufności informacji:
 C1 (poziom niski) – dotyczy informacji, które mogą być publicznie znane lub,
których ujawnienie nie powoduje lub powoduje niewielkie konsekwencje natury
prawnej lub finansowej.
 C2 (poziom średni) – dotyczy informacji, których ujawnienie może wiązać się
z poważnymi konsekwencjami natury finansowej lub prawnej. Do tej grupy
zaliczymy również dane osobowe.
 C3 (poziom wysoki) – informacje krytyczne których ujawnienie mogłoby
zagrozić funkcjonowaniu Uniwersytetu lub spowodować bardzo poważne
szkody natury prawnej lub finansowej. Do tej grupy zaliczamy również dane
sensytywne.
4.2.2. Integralność (I)
Ze względu na potencjalny rozmiar szkód, które mogłaby spowodować nieautoryzowana
zmiana informacji wprowadza się trzystopniową klasyfikację integralności informacji:
Strona 7 z 14
 I1 (poziom niski) – informacje, których nieautoryzowana zmiana nie powoduje
lub powoduje niewielkie konsekwencje natury prawnej lub finansowej.
 I2 (poziom średni) – informacje, których nieautoryzowana zmiana może wiązać
się z poważnymi konsekwencjami natury finansowej lub prawnej. Do tej grupy
zaliczamy dane osobowe.
 I3 (poziom wysoki) – informacje, których nieautoryzowana zmiana mogłaby
zagrozić funkcjonowaniu Uniwersytetu lub spowodować bardzo poważne
szkody natury prawnej lub finansowej.
4.2.3. Dostępność (A)
Ze względu na maksymalny akceptowalny okres niedostępności do informacji lub
konsekwencje ich utraty wprowadza się trzystopniową klasyfikację dostępności informacji:
 A1 (poziom niski) – długotrwały brak dostępu do tych informacji nie odbija się
(negatywnie) w istotny sposób na funkcjonowaniu uczelni oraz nie pociąga za
sobą konsekwencji prawnych lub finansowych,
 A2 (poziom średni) – informacje dla których brak dostępu krótszy niż jeden
dzień nie odbija się (negatywnie) w istotny sposób na funkcjonowaniu uczelni
oraz nie pociąga za sobą konsekwencji prawnych lub finansowych,
 A3 (poziom wysoki) – informacje dla których brak dostępu dłuższy niż cztery
godziny w istotny sposób odbije się na funkcjonowaniu uczelni lub może
pociągać za sobą poważne konsekwencje natury prawnej lub finansowej.
4.3. Kierując się poziomem istotności aktywów informacyjnych oraz analizą ryzyka ZZBI
określa dla każdego z aktywów informacyjnych wymagania dotyczące sposobu ich
zabezpieczenia.
5. Postępowanie z incydentami bezpieczeństwa
5.1.1. Zdarzenia związane z bezpieczeństwem informacji oraz wykryte słabości systemów
informatycznych należy zgłaszać niezwłocznie po ich zaobserwowaniu dowolnemu
z członków ZZBI lub za pomocą środków komunikacji elektronicznej na adres
ogłoszony publicznie przez ZZBI. Zgłoszenie powinno zawierać następujące
informacje:
 dane osoby zgłaszającej: imię, nazwisko, zajmowane stanowisko i miejsce
pracy (komórka organizacyjna), telefon,
 data i czas incydentu,
 opis incydentu,
5.1.2. Zgłoszenia podlegają rejestracji w rejestrze incydentów bezpieczeństwa
informacji.
5.1.3. ZZBI podejmuje natychmiastowe działania mające na celu minimalizację skutków
zaobserwowanego zdarzenia. W szczególności informuje o zdarzeniu właścicieli
systemów informatycznych i infrastruktury informatycznej w celu podjęcia działań
mających na celu minimalizację skutków incydentu.
5.1.4. Obowiązkiem właścicieli systemów informatycznych, infrastruktury informatycznej
oraz kierowników jednostek, których dotyczył incydent bezpieczeństwa informacji
jest współpraca z ZZBI oraz zabezpieczenie danych, które mogą być pomocne w
analizie incydentów bezpieczeństwa informacji.
Strona 8 z 14
5.1.5. ZZBI inicjuje działania mających na celu analizę ryzyka związanego z
zaobserwowanym zdarzeniem.
5.1.6. W sytuacji gdy analiza ryzyka wskaże taką konieczność, opracowanie
mechanizmów mitygujących ryzyko pojawienia się zaobserwowanego zdarzenia lub
ograniczających negatywne skutki jego wystąpienia w przyszłości.
6. Ogólne zasady bezpieczeństwa informacji
Wszystkie aktywa informacyjne oraz środki służące ich przetwarzaniu zostały
zinwentaryzowane i wyznaczeni zostali ich właściciele, to jest osoby ponoszące
odpowiedzialność za ich poprawne funkcjonowanie.
6.2. Udostępniane powinny być tylko takie usługi jakie są konieczne do realizacji zadań
statutowych Uniwersytetu.
6.3. Za bezpieczeństwo poszczególnych elementów SZBI odpowiadają konkretne osoby.
6.4. Ochrona informacji przetwarzanych w Uniwersytecie obowiązuje wszystkie osoby, które
mają do nich dostęp, bez względu na zajmowane stanowisko oraz miejsce wykonywania,
jak również charakter stosunku prawnego wiążącego daną osobę z Uniwersytetem.
6.5. Każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych,
które są konieczne do wykonywania powierzonych mu zadań. O ile powierzone
obowiązki prowadzą do nadania nadmiernych uprawnień lub naruszają zasadę segregacji
zadań należy takie przypadki zarejestrować i postępować z nimi w ramach procesu
analizy ryzyka,
6.6. Osoby mające dostęp do informacji gromadzonych i przetwarzanych w systemie
teleinformatycznym są zobowiązane do stosowania wymaganych zabezpieczeń
chroniących przed ujawnieniem tych informacji osobom bądź podmiotom
nieuprawnionym.
6.7. Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku prawnego, jak i po
jego ustaniu.
6.8. Informacje są chronione z należytą starannością i w sposób adekwatny do ich istotności.
Do ochrony informacji są wykorzystywane, w zależności od potrzeb i możliwości,
zabezpieczenia techniczne, organizacyjno – proceduralne i fizyczne.
6.9. Aktywa informacyjne oraz środki ich przetwarzania mogą być wykorzystywane
wyłącznie do celów służbowych.
6.10. Wymagania bezpieczeństwa dla nowo pozyskiwanych składników systemu
teleinformatycznego (oprogramowanie, sprzęt, itp.) powinny być zidentyfikowane na
etapie opracowania wymagań projektowych oraz powinny być uzasadnione, uzgodnione
i udokumentowane jako część ogólnego modelu systemu informatycznego i jego
architektury bezpieczeństwa.
6.11. W ramach eksploatacji systemów informatycznych w Uniwersytecie używane jest tylko
legalne oprogramowanie. Nie dopuszcza się stosowania oprogramowania z naruszeniem
warunków ich licencji i prawa autorskiego. Szczegółowe zasady wykorzystania
oprogramowania komputerowego w Uniwersytecie reguluje Zarządzenie Rektora numer
62 z dnia 29 czerwca 2012 roku w sprawie zasad korzystania z oprogramowania
komputerowego wykorzystywanego w Uniwersytecie Śląskim w Katowicach.
6.12. Każdy pracownik ma obowiązek odbyć szkolenie z zasad ochrony informacji. Szkolenia
takie przeprowadza się dla nowo zatrudnionych pracowników oraz dla wszystkich
6.1.
Strona 9 z 14
6.13.
6.14.
6.15.
6.16.
pracowników nie rzadziej niż co dwa lata. Za przeprowadzenie szkoleń odpowiedzialny
jest ZZBI. Dopuszcza się przeprowadzenie szkolenia w formie e-learningu. Fakt
uczestnictwa pracowników w szkoleniu może być dokumentowany w formie tradycyjnej
(papierowej) lub elektronicznie w zależności od formy szkolenia. Za gromadzenie
dokumentacji odpowiedzialny jest ZZBI,
Każda osoba związana z użytkowaniem, eksploatacją i rozwojem systemu
informatycznego jest zapoznawana z zasadami oraz z aktualnymi procedurami ochrony
informacji.
Zasady bezpieczeństwa przedstawione w niniejszym dokumencie mają zastosowanie
także wobec firm trzecich, współpracujących z Uniwersytetem, Znajduje to swoje
odzwierciedlenie w umowach zawieranych pomiędzy Uniwersytetem a tymi
podmiotami.
Podstawę egzekwowania od osób związanych z Uniwersytetem zasad przestrzegania
Polityki Bezpieczeństwa Informacji, w tym ochrony tajemnicy, stanowią odpowiednio
kodeks pracy, regulamin pracy, porozumienia kontraktowe oraz statut i właściwe
uregulowania wewnętrzne.
Postanowienia niniejszej polityki bezpieczeństwa informacji nie naruszają regulacji
odrębnych, w szczególności przepisów zawartych w Polityce Bezpieczeństwa w Zakresie
Ochrony Danych Osobowych w Uniwersytecie Śląskim w Katowicach oraz w Instrukcji
Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych
w Uniwersytecie Śląskim w Katowicach.
7. Postępowanie z ryzykiem bezpieczeństwa informacji
7.1.
7.2.
7.3.
7.4.
W ramach Systemu Zarządzania Bezpieczeństwem Informacji prowadzony jest proces
zarządzania ryzykiem obejmujący również bezpieczeństwo teleinformatyczne. Jego
wyniki są podstawą do dalszego postępowania ze zidentyfikowanymi zagrożeniami. Na
proces zarządzania ryzykiem składają się następujące etapy:

identyfikację ryzyka, które może oddziaływać na bezpieczeństwo informacji;

ocenę istniejących mechanizmów kontrolnych wykorzystywanych do utrzymania
ryzyka na akceptowalnym poziomie;

analizę i hierarchizację ryzyka wg oddziaływania i prawdopodobieństwa
wystąpienia ryzyka;

określenie sposobu postępowania z ryzykiem nieakceptowalnym, w tym
określenie środków zaradczych;

wskazanie osób odpowiedzialnych za podjęcie działań zaradczych oraz ustalenie
dat, w których działania powinny być podjęte i zakończone; monitorowanie i
składanie raportów dotyczących postępów w tej dziedzinie.
Zarządzanie ryzykiem opisane w niniejszym dokumencie obejmuje również
bezpieczeństwo teleinformatyczne związane z wykorzystaniem infrastruktury
informatycznej Uniwersytetu do przesyłania i
przetwarzania danych, których
Uniwersytet nie jest właścicielem.
Do zadań Zespołu Zarządzania Bezpieczeństwem Informacji należy również ocena
funkcjonowania mechanizmów zaradczych oraz ocenę nowo zidentyfikowanych ryzyk.
Klasyfikację ryzyka opracowaną przez zespół zatwierdza Dyrektor ds.
Informatyzacji po zasięgnięciu opinii ZZBI.
Strona 10 z 14
7.5.
7.6.
Za identyfikację czynników ryzyka ocenę ich istotności, projektowanie i wdrażanie
mechanizmów zaradczych odpowiedzialny jest ZZBI.
Wszyscy pracownicy upoważnieni są do zgłaszania niezidentyfikowanych czynników
ryzyka. Czynniki ryzyka można zgłaszać ZZBI lub za pomocą środków komunikacji
elektronicznej na adres ogłoszony publicznie przez ZZBI.
8. Metodyka stosowana w obszarze Zarządzania Ryzykiem
8.1. Każde zidentyfikowane ryzyko podlega analizie w zakresie jego wpływu na
bezpieczeństwo informacji oraz prawdopodobieństwa wystąpienia tego ryzyka.
8.2. Ustala się trzystopniową skalę oceny wpływu ryzyka na bezpieczeństwo informacji oraz
trzystopniową miarę prawdopodobieństwa wystąpienia ryzyka. Miara istotności ryzyka
bierze pod uwagę obydwa te czynniki, to jest miarę wpływu ryzyka oraz miarę
prawdopodobieństwa wystąpienia ryzyka. Ustala się ją jako iloczyn tych dwu miar.
8.3. Podczas oceny wpływu ryzyka i prawdopodobieństwa jego wystąpienia należy wziąć pod
uwagę klasyfikację informacji na które wpływ może mieć zidentyfikowane ryzyko.
Poniżej zdefiniowano miarę wpływu ryzyka, miarę prawdopodobieństwa jego
wystąpienia oraz miarę istotności ryzyka:
8.4. Miara wpływu ryzyka na bezpieczeństwo informacji:
 W1 (niski, 2 punkty) – zdarzenie objęte ryzykiem powoduje niewielką stratę
finansową, zakłócenie lub opóźnienie w wykonywaniu zadań; nie wpływa na
reputację; skutki zdarzenia można łatwo usunąć.
 W2 (średni, 4 punkty) – zdarzenie objęte ryzykiem powoduje znaczną stratę
posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość
wykonywanych zadań, reputację; z wystąpieniem zdarzenia może wiązać się
trudny proces przywracania stanu poprzedniego.
 W3 (duży, 6 punktów) – zdarzenie objęte ryzykiem powoduje uszczerbek
mający krytyczny lub bardzo duży wpływ na realizację kluczowych zadań albo
osiągania założonych celów – poważny uszczerbek w zakresie jakości
wykonywanych zadań, poważna strata finansowa lub na reputacji,
Miara wpływu ryzyka związanego z aktywami informacyjnymi wyznaczana
jest na podstawie klasyfikacji danych aktywów informacyjnych.
Przyjmujemy, że dla aktywów informacyjnych, których klasyfikacje są na
poziomie niskim (C1, I1, A1) miara wpływu ryzyka wynosi W1. Dla
ryzyka związanego z aktywami informacyjnymi dla których, dowolna z
klasyfikacji jest na poziomie średnim (C2, I2, A2) miara wpływu ryzyka
wynosi W2. Dla ryzyka związanego z aktywami informacyjnymi dla
których, dowolna z klasyfikacji jest na poziomie wysokim (C3, I3, A3)
miara wpływu ryzyka wynosi W3.
8.5. Miara prawdopodobieństwa wystąpienia ryzyka:
 P1 (niskie, 2 punkty) – istnieją uzasadnione powody by sądzić, że zdarzenie
objęte ryzykiem zdarzy się raz w ciąg roku lub nie zdarzy się wcale (w ciągu
roku)
 P2 (średnie, 4 punkty) – istnieją uzasadnione powody by sądzić, że zdarzenie
objęte ryzykiem zdarzy się kilkakrotnie w ciągu roku
Strona 11 z 14
 P3 (duże, 6 punktów) – istnieją uzasadnione powody by sądzić, że zdarzenie
objęte ryzykiem zdarzy się wielokrotnie w ciągu roku
8.6.
8.7.
Miara istotności ryzyka:
 IR1 (niska) – iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje się
w przedziale od 4 do 8 punktów.
 IR2 (średnia) – iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje
się w przedziale od 12 do 16 punktów,
 IR3 (duża) – iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje się
w przedziale od 24 do 36 punktów,
Istotność ryzyka obliczamy w następujący sposób:
Prawdopodobi
eństwo
6
Prawdopodobieńs
two
6
Prawdopodobieńst
wo
6
Wpływ
2
Wpływ
4
Wpływ
6
Istotność
12
Istotność
24
Istotność
36
ŚREDNIA
DUŻA
DUŻA
Prawdopodobi
eństwo
4
Prawdopodobieńs
two
4
Prawdopodobieńst
wo
4
Wpływ
2
Wpływ
4
Wpływ
6
Istotność
8
Istotność
16
Istotność
24
ŚREDNIA
NISKA
DUŻA
Prawdopodobi
eństwo
2
Prawdopodobieńs
two
2
Prawdopodobieńst
wo
2
Wpływ
2
Wpływ
4
Wpływ
6
Istotność
4
Istotność
8
Istotność
12
NISKA
NISKA
ŚREDNIA
W zależności od zidentyfikowanego poziomu ryzyka określa się zasady postępowania z
ryzykiem:
8.8.1. ryzyko o niskiej istotności należy traktować jako akceptowalne. Zaakceptowanie
ryzyka nie wyklucza możliwości jego monitorowania oraz podejmowania działań
zaradczych
8.8.2. ryzyko oznaczone jako średnie wymaga rozważenia potrzeby wdrożenia działań
zaradczych. W sytuacji, gdy zostanie podjęta decyzja o tolerowaniu ryzyka
oznaczonego jako średnie, dokonać powtórnej oceny istotności ryzyka nie później
niż po 6 miesiącach od daty decyzji o tolerowaniu ryzyka. W sytuacji gdy poziom
istotności dla takiego ryzyka nie ulegnie zmianie, postępujemy tak, jak w przypadku
ryzyka o wysokim poziomie istotności.
8.8.3. ryzyko oznaczone jako duże wymaga wprowadzenia działań zaradczych (reakcji na
ryzyko), w tym modyfikacji lub uzupełnienia mechanizmów kontroli, które
ograniczają możliwości wystąpienia ryzyka,
8.9. decyzję o akceptacji dużego ryzyka może podjąć Rektor.
8.10. Przyjmuje się następujące sposoby ograniczania ryzyka:
8.8.
Strona 12 z 14
8.10.1. przeniesienie ryzyka (np. ubezpieczenie),
8.10.2. akceptację ryzyka (trudności w przeciwdziałaniu lub gdy koszty podjętych działań
mogą przekroczyć przewidywane korzyści),
8.10.3. przeciwdziałanie (np. wzmocnienie mechanizmów kontrolnych, podjęcie działań
zmniejszających prawdopodobieństwo wystąpienia niepożądanych sytuacji),
8.10.4. przesunięcie w czasie (np. wycofanie się z realizacji zadania, gdy jego realizacja
wiąże się z pojawieniem się dużego ryzyka).
8.11. Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji musi zostać
udokumentowany w postaci dokumentu w postaci tradycyjnej lub elektronicznej, który
zawiera:
 obszar ryzyka,
 jednoznaczne określenie ryzyka,
 zidentyfikowane podatności,
 działania ograniczające ryzyko z określeniem terminów realizacji tych działań i
osób odpowiedzialnych.
8.12. Akceptacja Ryzyka wymaga sporządzenia Dokumentu Akceptacji Ryzyka zawierającego
co najmniej:
 opis ryzyka,
 klasyfikację istotności ryzyka,
 opis stanu dotychczasowego,
 zastosowane środki ograniczające ryzyko,
 końcową ocenę poziomu ryzyka (niskie, średnie lub wysokie),
 datę ważności akceptacji (dopuszcza się ważność bezterminową dla ryzyka
ocenionego jako niskie.
8.13. Dokument Akceptacji Ryzyka sporządza ZZBI. W przypadku ryzyk o istotności niskiej
i średniej akceptacji dokonuje Dyrektor. ds. Informatyzacji. W przypadku ryzyk
o istotności dużej akceptacji dokonuje Rektor
9. Dokumenty uzupełniające Politykę Bezpieczeństwa Informacji
9.1. Politykę Bezpieczeństwa Informacji stosuje się łącznie z:
9.1.1. Regulaminem Pracy w Uniwersytecie Śląskim,
9.1.2. Polityką Bezpieczeństwa w Zakresie Ochrony Danych Osobowych w Uniwersytecie
Śląskim w Katowicach,
9.1.3. Instrukcją Zarządzania Systemem Informatycznym Służącym Przetwarzaniu Danych
Osobowych w Uniwersytecie Śląskim w Katowicach,
9.1.4. Regulaminem Użytkowania Uczelnianej Sieci Komputerowej Uniwersytetu,
9.1.5. zarządzeniem numer 62 Rektora z dnia 29 czerwca 2012 roku w sprawie zasad
korzystania z oprogramowania komputerowego wykorzystywanego w
Uniwersytecie Śląskim w Katowicach.
9.2. Wymienione dokumenty udostępniane są wszystkim pracownikom Uniwersytetu.
Dokumenty te mogą być również udostępniane innym osobom korzystającym z zasobów
Uniwersytetu (studenci, współpracownicy, goście).
Strona 13 z 14
10. Audyty bezpieczeństwa
10.1. Audyt bezpieczeństwa informacji należy przeprowadzić przynajmniej raz do roku.
Dodatkowe audyty bezpieczeństwa mogą być przeprowadzone w przypadku wystąpienia
poważnych incydentów bezpieczeństwa lub po dokonaniu istotnych modyfikacji systemu
teleinformatycznego. Podstawą zakresu audytu powinna być analiza ryzyka.
10.2. Do cyklicznych audytów w zakresie Polityki Bezpieczeństwa Informacji upoważnieni są
audytorzy wewnętrzni, pracownicy wskazani imiennie przez Rektora lub podmiot z
którym Uniwersytet zawrze umowę na przeprowadzenie audytu.
11. Dokumentowanie bezpieczeństwa informacji
Dokumentacja SZBI obejmuje klasyfikację aktywów informacyjnych, ocenę ich istotności dla
Uniwersytetu, mechanizmy ochrony informacji, proces analizy ryzyka, rejestr incydentów.
Dokumentowanie SZBI może się odbywać w postaci tradycyjnej lub elektronicznej.
12. Zasady aktualizacji Polityki Bezpieczeństwa Informacji
12.1. Polityka bezpieczeństwa informacji powinna być cyklicznie przeglądana i weryfikowana:
12.1.1. na polecenie Rektora,
12.1.2. w przypadku wystąpienia poważnych incydentów naruszenia zasad bezpieczeństwa,
12.1.3. w przypadku zmian regulacji prawnych mających istotny wpływ na Politykę
Bezpieczeństwa Informacji,
12.1.4. w przypadku modyfikacji Systemu Zarządzania Bezpieczeństwem Informacji,
12.1.5. okresowo, ale nie rzadziej niż raz w roku
12.2. Osoba odpowiedzialną za przegląd i weryfikację Polityki Bezpieczeństwa Informacji jest
Dyrektor ds. Informatyzacji.
13. Postanowienia końcowe
13.1. W terminie miesiąca od wejścia niniejszej polityki w życie właściciele aktywów
informacyjnych oraz Dyrektor ds. Informatyzacji wskażą delegowanych przez siebie
członków ZZBI.
13.2. W terminie trzech miesięcy od momentu wejścia w życie niniejszej polityki zostaną
wykonane następujące działania:
13.2.1. określone zostaną kanały komunikacji z ZZBI,
13.2.2. określone zostaną formaty dokumentów i rejestrów określonych w niniejszej
polityce,
13.2.3. nastąpi inwentaryzacja aktywów informacyjnych.
13.3. W terminie roku od momentu wejścia w życie niniejszej polityki zostaną wykonane
następujące działania:
13.3.1. przeprowadzona zostanie klasyfikacja aktywów informacyjnych,
13.3.2. przeprowadzona zostanie analiza ryzyka związanego z infrastrukturą informatyczną
i bezpieczeństwem informacji,
13.3.3. nastąpi wskazanie mechanizmów ochrony aktywów informacyjnych.
Strona 14 z 14