Polityka bezpieczeństwa informacji - Biuletyn Informacji Publicznej
Transkrypt
Polityka bezpieczeństwa informacji - Biuletyn Informacji Publicznej
Załącznik nr 1 do zarządzenia Prezydenta Miasta Jastrzębie-Zdrój nr Or.IV.0050.612.2015 z dnia 18 listopada 2015 roku Urząd Miasta Jastrzębie-Zdrój Polityka bezpieczeństwa informacji w tym danych osobowych Polityka bezpieczeństwa informacji w tym danych osobowych 1 13 listopad 2015 Historia dokumentu Lp Data Wersja Osoba Opis wykonanych prac 1 26 maja 2008 2.0 Mirosław Klimala Opracowanie nowej wersji dokumentu 2 24 czerwca 2008 2.1 Mirosław Klimala Aktualizacja dokumentu 3 28 listopada 2014 2.2 Grzegorz Dulemba Aktualizacja dokumentu 4 13 listopad 2015 Grzegorz Dulemba Aktualizacja dokumentu 2.3 Urząd Miasta Jastrzębie-Zdrój strona 2/14 Polityka bezpieczeństwa informacji w tym danych osobowych 2 13 listopad 2015 Spis treści 1 HISTORIA DOKUMENTU .......................................................................................................................... 2 2 SPIS TREŚCI ............................................................................................................................................. 3 3 PODSTAWA PRAWNA ............................................................................................................................. 5 4 DEFINICJE ................................................................................................................................................ 5 5 ZAANGAŻOWANIE KIEROWNICTWA URZĘDU ........................................................................................ 6 6 CELE POLITYKI BEZPIECZEŃSTWA INFORMACJI ...................................................................................... 6 7 ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI.................................................................................. 6 8 ODPOWIEDZIALNOŚĆ ............................................................................................................................. 7 8.1 ODPOWIEDZIALNOŚĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI....................................................... 7 8.2 ODPOWIEDZIALNOŚĆ ADMINISTRATORA SYSTEMU INFORMATYCZNEGO ....................................................... 7 8.3 ODPOWIEDZIALNOŚĆ PRACOWNIKÓW ................................................................................................... 8 9 WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR PRZETWARZANIA INFORMACJI ............................................................................................................... 8 10 WYKAZ ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA ................................................................ 8 11 OPIS STRUKTURY ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH ............................................ 8 12 EWIDENCJA SPRZĘTU KOMPUTEROWEGO STOSOWANEGO DO PRZETWARZANIA INFORMACJI .......... 9 13 OPIS PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI................................................ 9 14 OKREŚLENIE FIZYCZNYCH, TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW OCHRONY INFORMACJI ............................................................................................................................................ 9 14.1 ŚRODKI OCHRONY FIZYCZNEJ................................................................................................................ 9 14.2 ŚRODKI ORGANIZACYJNE ..................................................................................................................... 9 14.2.1 Dostęp do pomieszczeń ....................................................................................................... 9 14.2.2 Gospodarka kluczami do pomieszczeń .............................................................................. 10 14.2.3 Organizacja stanowisk pracy............................................................................................. 10 14.2.4 Upoważnienia do przetwarzania informacji w tym danych osobowych ........................... 10 14.2.5 Gospodarka dokumentami papierowymi .......................................................................... 11 14.2.6 Przetwarzanie informacji w tym danych osobowych w systemie informatycznym ........... 12 14.2.7 Naruszenie ochrony informacji .......................................................................................... 12 14.3 ŚRODKI TECHNICZNE ........................................................................................................................ 12 15 14.3.1 Zasilanie ............................................................................................................................ 12 14.3.2 Sieć publiczna Internet ...................................................................................................... 12 14.3.3 Autoryzacja w systemach informatycznych ...................................................................... 12 14.3.4 Oprogramowanie zabezpieczające.................................................................................... 13 14.3.5 Kopie.................................................................................................................................. 13 ZNAJOMOŚĆ POLITYKI BEZPIECZEŃSTWA ............................................................................................ 13 Urząd Miasta Jastrzębie-Zdrój strona 3/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 16 PRZEGLĄD BEZPIECZEŃSTWA, MONITORING ....................................................................................... 13 17 ZASADY WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI .................................................................... 13 17.1 PRZESZKOLENIE I UPOWAŻNIENIA ....................................................................................................... 13 17.2 UMOWY........................................................................................................................................ 14 17.3 BEZPIECZEŃSTWO INFORMACJI W ZARZĄDZANIU PROJEKTAMI ................................................................... 14 18 SPIS ZAŁĄCZNIKÓW .............................................................................................................................. 14 Urząd Miasta Jastrzębie-Zdrój strona 4/14 Polityka bezpieczeństwa informacji w tym danych osobowych 3 13 listopad 2015 Podstawa prawna Niniejszy dokument jest zgodny następującymi przepisami prawa: 4 • Ustawa o ochronie danych osobowych z dnia 1997-08-29 (Dz. U. 1997 Nr 133, poz. 883) tekst jednolity Dz. U. 2014r. poz. 1182 • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr 100, poz. 1024) • Przepisy odrębne, na podstawie których Prezydent Miasta jest Administratorem Danych Osobowych. Definicje Ilekroć w dokumencie jest mowa o: • Urzędzie – należy przez to rozumieć Urząd Miasta Jastrzębie-Zdrój • Administratorze Danych Osobowych (ADO) – należy przez to rozumieć Prezydenta Miasta Jastrzębie-Zdrój • Administratorze Bezpieczeństwa Informacji (ABI) – należy przez to rozumieć osobę wyznaczoną przez Administratora Danych Osobowych, odpowiedzialną za nadzorowanie przestrzegania zasad ochrony • Administratorze Systemu Informatycznego (ASI) – należy przez to rozumieć osobę wyznaczoną przez Administratora Danych Osobowych odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu Miasta • Właściciel Zbioru Danych (WZD) – należy przez to rozumieć Naczelnika Wydziału lub Biura odpowiedzialnego za bieżącą aktualizację zbioru informacji, danych osobowych. (w przypadku jego nieobecności osoba pełniąca za niego zastępstwo) • Użytkowniku – należy przez to rozumieć osobę upoważnioną przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji do przetwarzania informacji. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktyki • Poufności danych – należy rozumieć właściwość zapewniającą, że dane są przetwarzane tylko i wyłącznie przez uprawnione do tego podmioty lub procesy • Integralności danych – należy rozumieć właściwość danych polegającą zapewnieniu stanu niezmienności, poprawności i wewnętrznej spójności • Dostępności danych – należy rozumieć właściwość polegającą na zapewnieniu możliwości niezakłóconego przetwarzania danych w wybranym przez podmiot momencie czasu • Rozliczalności danych – należy przez to rozumieć właściwość danych zapewniającą możliwość jednoznacznego przypisania podmiotowi lub procesowi działań na danych Urząd Miasta Jastrzębie-Zdrój strona 5/14 Polityka bezpieczeństwa informacji w tym danych osobowych • 5 13 listopad 2015 Bezpieczeństwo danych – zapewnienie przetwarzanym danym takich cech jak: poufność, integralność, dostępność oraz rozliczalność Zaangażowanie Kierownictwa Urzędu Najwyższe Kierownictwo Urzędu deklaruje swoje zaangażowanie i odpowiedzialność za wdrożenie, sprawne działanie oraz doskonalenie systemu ochrony informacji przetwarzanych w Urzędzie. W tym celu: • • • • 6 ustanawia i poleca pracownikom do stosowania „Politykę bezpieczeństwa informacji w tym danych osobowych”, wyznacza Administratora Bezpieczeństwa Informacji (ABI) i Administratora Systemu Informatycznego (ASI), zapewnia dostępność zasobów koniecznych do realizacji zadań związanych z ochroną informacji, systematycznie przeprowadza przegląd bezpieczeństwa. Cele Polityki bezpieczeństwa informacji Informacje, a w tym dane osobowe przetwarzane są w Urzędzie Miasta w Jastrzębiu Zdroju z poszanowaniem przepisów prawa w celu: • • • realizacji zadań własnych miasta, realizacji zadań zleconych, zapewnienia prawidłowej, zgodnej z prawem polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia. Celem opracowania i stosowania Polityki bezpieczeństwa informacji jest zapewnienie bezpieczeństwa przetwarzanych w Urzędzie informacji. 7 Zakres Polityki bezpieczeństwa informacji Polityka bezpieczeństwa informacji opisuje zagadnienia związane z bezpieczeństwem informacji przetwarzanych w Urzędzie zarówno w zbiorach: • • tradycyjnych – w postaci papierowej, elektronicznych – przetwarzanych w systemach informatycznych. Do stosowania Polityki bezpieczeństwa informacji zobowiązani są wszyscy pracownicy mający jakikolwiek dostęp do informacji, w tym praktykanci, stażyści, osoby zatrudnione na podstawie umów cywilno-prawnych oraz pracownicy firm zewnętrznych wykonujących prace zlecone. Zasady ochrony danych opisane w niniejszym dokumencie mogą być stosowane przy przetwarzaniu informacji nie zawierających danych osobowych, ale istotnych dla prawidłowego funkcjonowania Urzędu. Urząd Miasta Jastrzębie-Zdrój strona 6/14 Polityka bezpieczeństwa informacji w tym danych osobowych 8 13 listopad 2015 Odpowiedzialność 8.1 Odpowiedzialność Administratora Bezpieczeństwa Informacji W imieniu Administratora Danych Osobowych nadzór nad przestrzeganiem zasad ochrony sprawuje Administrator Bezpieczeństwa Informacji. Odpowiada on za: • • • • • • • • • • • • • 8.2 zapewnienie, aby do informacji miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań, zarządzanie uprawnieniami do przetwarzania informacji w imieniu Administratora Danych Osobowych, prowadzenie rejestru wydanych upoważnień do przetwarzania informacji, w tym danych osobowych zlecanie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania informacji, nadzór fizycznych i technicznych zabezpieczeń pomieszczeń stanowiących obszar przetwarzania informacji oraz kontrolę przebywających w nich osób, prowadzenie rejestru wydanych upoważnień do odbioru kluczy i kart dostępowych, nadzór nad realizacją zasad ochrony danych określonych w dokumentacji bezpieczeństwa, nadzór na obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe, szkolenie osób dopuszczonych do przetwarzania informacji z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa informacji, nadzór nad zgłoszeniami zbiorów danych osobowych do Generalnego Inspektora Ochrony Informacji, aktualizacja dokumentacji bezpieczeństwa, w tym przygotowywanie instrukcji i procedur, w przypadku zgłoszenia naruszenia bezpieczeństwa informacji: doraźne zabezpieczenie danych, zabezpieczenie dowodów, analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych oraz przygotowanie dla Administratora Danych Osobowych stosownego raportu, okresowe przeprowadzanie przeglądu bezpieczeństwa. Odpowiedzialność Administratora Systemu Informatycznego Administrator Systemu Informatycznego odpowiada za poprawne funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych środków ochrony informacji. W szczególności odpowiada za: • • • • • nadzór nad wykonywaniem kopii zapasowych, sposobem ich przechowywana, weryfikacją, nadzór nad wykonywaniem przeglądów, konserwacji oraz uaktualnień systemów informatycznych służących do przetwarzania informacji oraz wszystkich innych czynności na bazach informacji, zapewnienie poprawnego działania systemów zabezpieczeń systemów informatycznych, sieci komputerowej, systemów zapasowego zasilania itp., nadzór nad prawidłowością funkcjonowania systemów autoryzacji użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do informacji, podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu Urząd Miasta Jastrzębie-Zdrój strona 7/14 Polityka bezpieczeństwa informacji w tym danych osobowych • 8.3 13 listopad 2015 informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa informacji. aktualizacja instrukcji zarządzania systemem informatycznym Odpowiedzialność pracowników Każdy pracownik przetwarzający informacje jest zobowiązany do: • • • 9 posiadania upoważnienia do przetwarzania informacji, w tym danych osobowych w związku z wykonywaniem swojego zakresu czynności, zapoznania się i stosowania obowiązujących przepisów dotyczących ochrony informacji (w tym dokumentacji bezpieczeństwa) niezwłocznego informowania przełożonych lub ABI o stwierdzeniu lub o powzięciu podejrzenia o naruszeniu bezpieczeństwa informacji. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar przetwarzania informacji Obszar przetwarzania informacji stanowią budynki Urzędu Miasta Jastrzębie-Zdrój: • • • • Siedziba główna Urzędu Miasta - al. Piłsudskiego 60 Siedziba Urzędu Stanu Cywilnego – ul. Zielona 20B Siedziba Wydziału Spraw Rodzinnych i Alimentacyjnych - ul. Zielona 20A Siedziba Jastrzębskiego Centrum Organizacji Pozarządowych – ul. Wrzosowa 12 A Szczegółowy wykaz pomieszczeń, w których przetwarza się informacje zawiera załącznik nr 1 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 10 Wykaz zbiorów informacji w tym danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania Wykaz zbiorów informacji w tym danych osobowych wraz ze wskazaniem programów do ich przetwarzania zawiera załącznik nr 2 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 11 Opis struktury zbiorów informacji w tym danych osobowych Opisu struktury zbiorów informacji w tym danych osobowych wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi zawiera załącznik nr 3 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. Urząd Miasta Jastrzębie-Zdrój strona 8/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 12 Ewidencja sprzętu komputerowego stosowanego do przetwarzania informacji W Urzędzie prowadzi się w postaci elektronicznej ewidencję sprzętu komputerowego oraz oprogramowania stosowanego w Urzędzie do przetwarzania informacji. Za prowadzenie powyższej ewidencji odpowiada Administrator Systemu Informatycznego. 13 Opis przepływu danych pomiędzy poszczególnymi systemami Opis przepływu danych pomiędzy w załączniku nr 4 do niniejszego dokumentu. poszczególnymi systemami znajduje się Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 14 Określenie fizycznych, technicznych i organizacyjnych środków ochrony informacji W Urzędzie stosuje się środki bezpieczeństwa adekwatne dla wysokiego poziomu bezpieczeństwa przetwarzania informacji w tym danych osobowych w systemie informatycznym określonego w załączniku nr 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr 100, poz. 1024) 14.1 Środki ochrony fizycznej Budynki Urzędu, w których znajdują się pomieszczenia stanowiące obszar przetwarzania informacji są pod całodobowym nadzorem Straży Miejskiej wyposażonej w system monitoringu wizyjnego. Wszystkie pomieszczenia oraz budynki są zamykane po zakończeniu pracy. Urządzenia służące do przetwarzania informacji znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. Pomieszczenie, w którym znajdują się jednostki centralne (serwery) wyposażone są dodatkowo w zamki elektroniczne oraz drzwi wzmacniane i systemy alarmowe. Rezerwowe kopie danych przechowywane są w pomieszczeniu zabezpieczonym dwoma zamkami patentowymi, w zamykanej szafie. zamkniętym, Dokumenty papierowe zawierające informacje w tym dane osobowe przechowywane są w meblach biurowych (szafach, szufladach biurek), a tam gdzie to możliwe, w szafach metalowych lub pancernych, które po zakończeniu pracy są zamykane, a klucze do nich odpowiednio zabezpieczone przed nieupoważnionym dostępem. 14.2 Środki organizacyjne 14.2.1 Dostęp do pomieszczeń Pomieszczenia tworzące obszar przetwarzania informacji, na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych powinny być zamykane w sposób uniemożliwiający dostęp osób postronnych. Zakazuje się pozostawiania otwartych pomieszczeń podczas nieobecności pracowników. Urząd Miasta Jastrzębie-Zdrój strona 9/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania informacji dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych, Administratora Bezpieczeństwa Informacji lub osoby przez niego wyznaczonej. Do przebywania w pomieszczeniu serwerowni, w którym znajdują się jednostki centralne systemów informatycznych uprawnieni są: Administrator Danych Osobowych, Administrator Bezpieczeństwa Informacji, Administrator Systemu Informatycznego, pracownicy Wydziału Informatyki. Przebywanie osób nieuprawnionych (np. konserwator, sprzątaczka) w pomieszczeniu serwerowni dopuszczalne jest tylko w obecności osób uprawnionych, o których mowa powyżej lub w obecności osoby upoważnionej pisemnie przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Po zakończeniu wyznaczonych godzin pracy Urzędu zabrania się przebywania na jego terenie osób nie będących jego pracownikami, za wyjątkiem osób wykonujących prace zlecone umowami i posiadających pisemną zgodę Sekretarza Miasta, wydawaną na wniosek osoby zlecającej pracę. Zaakceptowany wniosek należy dostarczyć portierowi oraz dyżurnemu Miejskiego Ośrodka Dyżurnego. 14.2.2 Gospodarka kluczami do pomieszczeń Klucze oraz klucze zapasowe do pomieszczeń przechowywane są w portierni budynku Urzędu w przeznaczonych do tego celu zamykanych kasetach. Klucze muszą być jednoznacznie i trwale oznaczone numerem pomieszczenia. Po zakończeniu pracy Użytkownicy zdają klucze do portierni lub do specjalnej skrytki na klucze. Klucze wydawane są tylko pracownikom posiadającym stosowne upoważnienia wydane przez ABI na wniosek Naczelników Wydziałów i Biur. Rejestr upoważnień do odbioru kluczy prowadzi ABI. Aktualna kopia rejestru do wglądu portiera znajduje się na portierni. Klucze dla personelu sprzątającego wydawane są zgodnie z harmonogramem pracy ustalonym przez Naczelnika Wydziału Organizacyjnego. Zabrania się wykonywania nieautoryzowanych kopii kluczy umożliwiających dostęp do pomieszczeń Urzędu. Szczegółowe uregulowania dotyczące zarządzania kluczami zawiera Procedura nadzoru i gospodarki kluczami wydana odrębnym zarządzeniem Prezydenta Miasta. Wzory wniosków o nadanie i odwołanie upoważnienia do obioru kluczy do pomieszczeń zawiera załącznik nr 5 do niniejszej Polityki. 14.2.3 Organizacja stanowisk pracy Stanowiska pracy w powinny być zorganizowane w taki sposób, aby podczas przebywania w pomieszczeniach osób nieuprawnionych uniemożliwić im nieautoryzowany dostęp do informacji zawartych w dokumentach papierowych, wykonywanych wydrukach komputerowych czy prezentowanych na monitorach komputerowych. Obowiązuje zasada tzw. „czystego biurka”. Po zakończeniu pracy wszystkie dokumenty zawierające informacje w tym dane osobowe i informacje wrażliwe należy umieścić w przeznaczonych do tego zamykanych na klucz szafach, szufladach, kasetach. Klucze należy zabezpieczyć przed dostępem osób niepowołanych. 14.2.4 Upoważnienia do przetwarzania informacji w tym danych osobowych Informacje, w tym dane osobowe mogą być przetwarzane jedynie przez użytkowników posiadające stosowne upoważnienia. Urząd Miasta Jastrzębie-Zdrój strona 10/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 Upoważnienie do przetwarzania informacji w tym danych osobowych nadawane jest użytkownikom przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji na wniosek Naczelnika Wydziału. Wnioski o nadanie upoważnienia do przetwarzania danych osobowych w zbiorach winny zawierać zgodę Właścicieli tych zbiorów (wnioski o nadanie upoważnienia do przetwarzania informacji, w tym danych osobowych w aplikacjach winny zawierać zgodę Właścicieli tych aplikacji). Odwołanie upoważnienia dla użytkowników dokonywane jest na wniosek Naczelnika Wydziału przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Upoważnienia dla Zastępców Prezydenta, Sekretarza Miasta, Skarbnika oraz Doradców i Asystentów Prezydenta są nadawane i odwoływane przez Administratora Danych Osobowych na ich wniosek. Upoważnienia dla Naczelników wydziałów i biur są nadawane i odwoływane (na ich wniosek) przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Warunkiem upoważnienia użytkownika do przetwarzania informacji w tym danych osobowych jest odbycie przez niego przeszkolenia z zakresu ochrony danych, zapoznanie się z dokumentacją bezpieczeństwa oraz podpisanie oświadczenia o poufności. Upoważnienie do przetwarzania informacji w tym danych osobowych ma formę pisemną i w szczególności zawiera: podstawę prawną, nazwisko i imię użytkownika, określenie zbiorów danych osobowych, aplikacji, poziom uprawnień (administracja, edycja, wgląd), datę nadania, termin ważności, podpis upoważniającego. Upoważnienie może zawierać również zobowiązanie użytkownika do przetwarzania danych osobowych w sposób zapewniający bezpieczeństwo informacji. Użytkownik potwierdza przyjęcie upoważnienia. Upoważnienie traci ważność po upływie terminu na jaki zostało nadane, w momencie ustania zatrudnienia, zmiany stanowiska pracy, wygaśnięcia (lub skrócenia okresu trwania) umowy cywilnoprawnej. W przypadku porzucenia pracy Naczelnik Wydziału ma obowiązek niezwłocznego poinformowania o tym fakcie Wydział Informatyki i Biuro ds. Zarządzania Jakością w celu odwołania nadanych użytkownikowi upoważnień. Administrator Bezpieczeństwa Informacji prowadzi elektroniczny „Rejestr osób upoważnionych do przetwarzania informacji w tym danych osobowych”, w którym odnotowuje każdorazowo fakty nadania i odwołania upoważnień użytkownikom. Fakt nadania odnotowuje się w ww. rejestrze po nadaniu upoważnienia, natomiast odwołanie upoważnienia odnotowuje się po jego faktycznym odwołaniu, lub w przypadku wygaśnięcia upoważnienia w związku z ustaniem zatrudnienia, zmianą stanowiska pracy lub wygaśnięciem (lub skróceniem okresu trwania) umowy cywilnoprawnej użytkownika na podstawie karty obiegowej. Wzory wniosku o nadanie i odwołanie upoważnienia zawiera załącznik nr 5 do niniejszego dokumentu. 14.2.5 Gospodarka dokumentami papierowymi Zbędne, przeznaczone do wyrzucenia dokumenty papierowe, wydruki i ich kopie należy niezwłocznie niszczyć w odpowiednich niszczarkach lub zlecać zniszczenie wyspecjalizowanej Urząd Miasta Jastrzębie-Zdrój strona 11/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 firmie. W szczególności zabrania się usuwania takich dokumentów przez wyrzucenie ich do kosza na odpadki. 14.2.6 Przetwarzanie informacji w tym danych osobowych w systemie informatycznym Stosowane środki ochrony przy przetwarzaniu informacji w tym danych osobowych w systemie informatycznych opisuje „Instrukcja zarządzania systemem informatycznym” wprowadzona odrębnym zarządzeniem Prezydenta Miasta. 14.2.7 Naruszenie ochrony informacji W przypadku stwierdzenia naruszenia zasad ochrony informacji stosuje się „Procedurę postępowania w przypadku naruszenia zasad bezpieczeństwa informacji” wprowadzona odrębnym zarządzeniem Prezydenta Miasta. 14.3 Środki techniczne 14.3.1 Zasilanie Urządzenia techniczne wchodzące w skład lokalnej sieci komputerowej podłączone są do gniazd wydzielonej sieci zasilania. Zabrania się podłączania nieautoryzowanych urządzeń (np. czajników bezprzewodowych, radioodbiorników itp.) do gniazd zasilających urządzenia komputerowe. Jednostki centralne (serwery), urządzenia aktywne lokalnej sieci komputerowej obowiązkowo zabezpieczone są na wypadek zaniku napięcia zasilającego za pomocą wysokiej klasy zasilaczy awaryjnych UPS. Stacje robocze zabezpiecza się za pomocą zasilaczy awaryjnych w tych systemach, gdzie zanik napięcia zasilającego mógłby potencjalnie spowodować powstanie zagrożenia dla przetwarzanych informacji. 14.3.2 Sieć publiczna Internet Pracownicy Urzędu mają zapewniony dostęp do sieci publicznej Internet w celu realizacji obowiązków służbowych. Dostęp do usług sieci publicznej Internet podlega reglamentacji i kontroli za pomocą specjalistycznych urządzeń technicznych. Szczegółowe zasady przydziału uprawnień oraz zasad realizacji połączeń z siecią publiczną Internet zawiera „Instrukcja Zarządzania Systemem Informatycznym.” 14.3.3 Autoryzacja w systemach informatycznych Wszystkie serwery oraz stacje robocze wyposażone są w oprogramowanie systemowe posiadające mechanizmy identyfikacji i autoryzacji operatora oraz związane z nimi mechanizmy przydziału odpowiednich uprawnień do pracy w systemie informatycznym. W Urzędzie użytkownikami uprzywilejowanymi w zakresie dostępu do systemów i usług są pracownicy Wydziału Informatyki. Szczegółowe zasady autoryzacji w systemach informatycznych opisano w „Instrukcji Zarządzania Systemem Informatycznym”. Urząd Miasta Jastrzębie-Zdrój strona 12/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 14.3.4 Oprogramowanie zabezpieczające Serwery oraz stacje robocze chronione są przez zainstalowane na nich programy antywirusowe, które podlega regularnej aktualizacji. Serwer poczty elektronicznej wyposażony jest dodatkowo w filtry antyspamowe. Obowiązkowo serwery oraz stacje robocze posiadają włączone zapory sieciowe. 14.3.5 Kopie Regularnie wykonuje się kopie bezpieczeństwa systemów informatycznych, w których przetwarza się informacje w tym dane osobowe. Sposób wykonywania i przechowywania kopii bezpieczeństwa opisano w „Instrukcji Zarządzania Systemem Informatycznym”. 15 Znajomość polityki bezpieczeństwa Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani są wszyscy pracownicy Urzędu. Okresowo, jednak nie rzadziej niż raz na trzy lata, organizuje się dla pracowników szkolenia z zakresu bezpieczeństwa informacji w tym danych osobowych. Każdy nowo przyjęty pracownik przed przystąpieniem do pracy musi odbyć obowiązkowe szkolenie z zakresu ochrony informacji w tym danych osobowych. Za organizację szkoleń z zakresu ochrony informacji w tym danych osobowych odpowiada ABI. 16 Przegląd bezpieczeństwa, monitoring Co najmniej raz w roku wykonywany jest w Urzędzie przegląd bezpieczeństwa. Za wykonanie przeglądu odpowiedzialny jest Administrator Bezpieczeństwa Informacji. Podczas przeglądu wykonywana jest: • • • • analiza raportów z incydentów bezpieczeństwa, kontrola stosowania procedur bezpieczeństwa, analiza dokumentacji bezpieczeństwa pod kątem zachowania aktualności, ewentualna aktualizacja procedur bezpieczeństwa. Z przeprowadzonego przeglądu bezpieczeństwa Administrator Bezpieczeństwa Informacji opracowuje raport dla Administratora Danych Osobowych. 17 Zasady współpracy z podmiotami zewnętrznymi 17.1 Przeszkolenie i upoważnienia Dostęp pracowników podmiotów zewnętrznych do pomieszczeń stanowiących obszar przetwarzania informacji możliwy jest jedynie po przeszkoleniu z zakresu obowiązujących rozwiązań z zakresu bezpieczeństwa danych oraz po uzyskaniu odpowiedniego upoważnienia. Za zapewnienie przeszkolenia odpowiedzialny jest Administrator Bezpieczeństwa Informacji, który w tym celu udostępnia stronom dokumentację bezpieczeństwa lub jej odpowiednie fragmenty. Urząd Miasta Jastrzębie-Zdrój strona 13/14 Polityka bezpieczeństwa informacji w tym danych osobowych 13 listopad 2015 Po odbytym przeszkoleniu pracownicy firm zewnętrznych podpisują oświadczenia o zapoznaniu się z obowiązującymi w Urzędzie zasadami ochrony informacji oraz klauzule o zachowaniu poufności. 17.2 Umowy Umowy z podmiotami zewnętrznymi powinny zawierać zobowiązania do przestrzegania wymogów ochrony informacji w tym danych osobowych oraz klauzule o zachowaniu tajemnicy, o ile w trakcie realizacji tychże umów konieczny będzie dostęp pracowników podmiotów zewnętrznych do zbiorów danych, ich kopii, systemów informatycznych służących do przetwarzania informacji, systemów zabezpieczeń. 17.3 Bezpieczeństwo informacji w zarządzaniu projektami Projekty realizowane w Urzędzie dzielą się na projekty inwestycyjne i projekty Unijne. Zasady bezpieczeństwa informacji w projektach unijnych uregulowane są w instrukcjach, umowach i wytycznych do tych projektów. W przypadku projektów inwestycyjnych oraz braku uregulowań w projektach unijnych, zasady bezpieczeństwa informacji są identyczne jak w przypadku przetwarzania pozostałej dokumentacji urzędowej. 18 Spis załączników • • • • • Załącznik nr 1 – Obszar przetwarzania danych osobowych Załącznik nr 2 – Wykaz zbiorów danych osobowych Załącznik nr 3 – Opis struktury zbiorów danych Załącznik nr 4 – Opis przepływu danych pomiędzy systemami Załącznik nr 5 – Wzory wniosków , oświadczeń Załączniki do polityki zawierają informacje techniczne o charakterze organizacyjnym i porządkowym, nie mające bezpośredniego wpływu na realizacje zadań publicznych, podejmowanych rozstrzygnięć czy decyzji administracyjnych. Nie są „informacjami publicznymi”, w rozumieniu Ustawy o dostępie do informacji publicznej. Urząd Miasta Jastrzębie-Zdrój strona 14/14