Zasady ochrony danych, programów i sprzętu informatycznego

Zasady ochrony danych, programów i sprzętu informatycznego
Przedstawione poniżej wskazówki mają służyć zwiększeniu bezpieczeństwa programów i sprzętu komputerowego oraz danych przechowywanych na nośnikach czytelnych
dla
urządzeń
elektronicznego
przetwarzania
danych,
zgodnie
z artykułem 71 ustawy o rachunkowości z 29 września 1994 r.
Ilekroć w niniejszym tekście jest mowa o:
a) danych – należy przez to rozumieć informacje przechowywane na nośnikach
czytelnych dla urządzeń elektronicznego przetwarzania danych, związane
z wykorzystaniem programów i aplikacji komputerowych;
b) programach (oprogramowaniu, aplikacjach) – należy przez to rozumieć
programy i aplikacje służące bezpośrednio lub pośrednio wspomaganiu pracy
ludzi i firm;
c) sprzęcie komputerowym – należy przez to rozumieć urządzenia do
elektronicznego przetwarzania danych, na których są eksploatowane lub
przechowywane programy, bądź też w inny sposób niezbędne do ich
użytkowania (np. terminale, drukarki, hub'y).
Wprowadzenie i stosowanie wymienionych w niniejszym dokumencie zasad ochrony
systemów informatycznych ma na celu:
a)
zabezpieczenie się przed utratą danych lub ich uszkodzeniem w stopniu
uniemożliwiającym dalszą pracę, które mogą nastąpić w wyniku awarii
sprzętu, oprogramowania lub nieumyślnych błędów ludzkich;
b)
zabezpieczenie się oraz zminimalizowanie strat związanych z utratą bądź
zniszczeniem sprzętu komputerowego wraz z przechowywanymi danymi
w wyniku zdarzeń losowych (kradzież, pożar, powódź);
c)
uniemożliwienie nieautoryzowanego dostępu do programów, danych
i sprzętu komputerowego, zarówno w sposób bezpośredni, pośredni ( w tym
drogą sieci komputerowych), jak i za pomocą specjalnych programów
('wirusów', 'robaków komputerowych', 'koni trojańskich' itp.), w wyniku
którego może nastąpić uszkodzenie bądź utrata danych i programów,
ujawnienie lub pozyskanie danych oraz ich nieupoważnione rozpowszechnianie.
Polityka ochrony danych księgowych
W każdej firmie należy powołać odpowiednie służby informatyczne zajmujące się
administrowaniem sprzętem komputerowym i szeroko rozumianą obsługą
sprzętu i programów komputerowych.
Osoby odpowiedzialne za bezpieczeństwo danych księgowych powinny w pierwszym
rzędzie zapewnić zabezpieczenie systemów operacyjnych, zgodne ze
standardami przyjętymi w tej dziedzinie, a przede wszystkim:
♦ wybrać bezpieczny system operacyjny, zapewniający ochronę zasobów,
możliwość przypisywania praw dostępu i własności użytkownikom i ich
grupom itp.
♦ przeszkolić osoby odpowiedzialne za prawidłowe działanie systemu finansowoksięgowego (administratora). W ramach obowiązków takich osób (osoby)
powinno znaleźć się między innymi:
Zasady ochrony danych, programów i sprzętu informatycznego
2/5
- śledzenie informacji pojawiających się w serwisach poświęconych
bezpieczeństwu na temat odkrywanych luk w zabezpieczeniach i szybkie
instalowanie poprawionych wersji programów
- oraz przydzielanie użytkownikom tylko praw niezbędnych do
wykonywanych funkcji. Niedopuszczalne jest, by użytkownik pracował na
stacji roboczej z prawami administratora, jeśli można ograniczyć te prawa).
♦ przeszkolić pracowników w dziedzinie obsługi używanych systemów
operacyjnych, tak by odpowiednio wykorzystywali dostarczane zabezpieczenia;
np. każdy z pracowników powinien posiadać własne konto oraz hasło dostępu
nieznane innym. Pracownik powinien być poinstruowany, by hasła nie ujawniał
nikomu, pod żadnym pozorem (również administratorom, w szczególności
pocztą elektroniczną czy przez telefon).
Kopie bezpieczeństwa (backup) danych księgowych
a) Kopie bezpieczeństwa powinny być wykonywane przy użyciu odpowiednich
programów na bezpiecznych nośnikach danych nie podłączonych na stałe do
sprzętu komputerowego, na którym przechowywane są oryginalne (kopiowane)
dane (np. nagrywalne dyski CD, taśmy magnetyczne itp.).
b) Kopie bezpieczeństwa powinno się sporządzać regularnie co zadany okres czasu,
np. co kilka dni lub na zakończenie dnia pracy. Można sporządzać tzw. kopie
przyrostowe, tzn. zawierające wyłącznie zmiany w stosunku do ostatnio
sporządzonej pełnej kopii bezpieczeństwa. Pełną kopię bezpieczeństwa należy
sporządzać w miarę możliwości jak najczęściej, nie rzadziej jednak niż np. raz
na miesiąc.
c) Obowiązek tworzenia kopii bezpieczeństwa (lub zlecania automatycznego ich
tworzenia) oraz kontrolowania jakości tych kopii bezpieczeństwa powinien
spoczywać
na
administratorach
systemu
bądź
zaawansowanych
użytkownikach.
d) W celu zabezpieczenia przed innymi zdarzeniami losowymi kopie bezpieczeństwa
powinny być przechowywane w innych pomieszczeniach niż sprzęt, na którym
przechowywane są oryginalne dane księgowe. Przy przenoszeniu lub przesyłaniu
kopii bezpieczeństwa należy przestrzegać przepisów dotyczących ochrony przed
nieautoryzowanym dostępem do danych. Za dostarczenie kopii bezpieczeństwa do
miejsc ich przechowywania odpowiedzialne są osoby sporządzające kopie.
Kopie bezpieczeństwa wersji instalacyjnych programów komputerowych
Można odstąpić od wykonywania kopii bezpieczeństwa wersji instalacyjnych, jeśli
producent oprogramowania, zgodnie z podpisaną umową, zobligowany jest do
przechowywania i udostępniania wersji instalacyjnych.
a)
Kopie bezpieczeństwa wersji instalacyjnych powinien wykonywać
administrator bądź użytkownik przed zainstalowaniem z nich nowego
lub zaktualizowanego oprogramowania.
b)
Kopie bezpieczeństwa wersji instalacyjnych powinny być wykonywane
w liczbie określonej w umowie zawartej z producentem oprogramowania
lub w umowie licencyjnej.
c)
Kopie bezpieczeństwa wersji instalacyjnych, podobnie jak kopie danych,
powinny być wykonywane przy użyciu odpowiednich programów na
Zasady ochrony danych, programów i sprzętu informatycznego
d)
3/5
bezpiecznych nośnikach danych nie podłączonych na stałe do sprzętu
komputerowego (np. nagrywalne dyski CD, taśmy magnetyczne itp.).
W celu zabezpieczenia przed innymi zdarzeniami losowymi kopie
bezpieczeństwa wersji instalacyjnych powinny być przechowywane w
innych pomieszczeniach niż większość sprzętu. Przy przenoszeniu lub
przesyłaniu kopii bezpieczeństwa należy przestrzegać przepisów dotyczących ochrony przed nieautoryzowanym dostępem do danych.
Pliki pochodzące z zewnątrz. Programy szkodliwe
Powinno się wprowadzić obowiązek kontrolowania wszelkich stosowanych nośników
danych oraz wszelkich plików pochodzących z zewnątrz (np. załączniki do listów,
pliki pobrane protokołami ftp, http) w celu ustalenia ewentualnej obecności na nich
niepożądanych programów mogących stanowić zagrożenie, np. wirusów lub koni
trojańskich.
a)
Kontrola musi być przeprowadzona przy wykorzystaniu odpowiedniego
oprogramowania antywirusowego. Wprowadzanie uaktualnionych wersji
oprogramowania kontrolnego powinno następować w miarę możliwości
jak najczęściej, nie rzadziej jednak niż
raz na trzy miesiące;
odpowiedzialny za to powinien być administrator systemu lub
użytkownik oprogramowania.
b)
Kontrola musi być wykonywana każdorazowo, gdy zachodzi podejrzenie
działania w systemie takiego programu. Prewencyjnie zaleca się
kontrolowanie jak najczęściej, nie rzadziej jednak niż raz w miesiącu. W
przypadku stosowania przenośnych nośników danych (dyskietki, CDROM-y, ZIP-y itp.), należy je kontrolować każdorazowo po włożeniu do
stacji czytnika, zaś w przypadku plików pochodzących z zewnątrz –
bezpośrednio po ich zapisie na dysk, przed wykonaniem jakiejkolwiek
akcji (jak otwarcie bądź uruchomienie).
c)
Zaleca się też instalację na serwerze pocztowym firmy oprogramowania
antywirusowego testującego załączniki listów przechodzących przez ten
serwer.
Ochrona przed dostępem osób obcych
Wszyscy pracownicy zobowiązani być powinni do ochrony danych i sprzętu
komputerowego przed nieautoryzowanym dostępem. Polega ona na
zabezpieczeniu w sposób fizyczny i programowy.
a) Ochrona fizyczna komputerów wraz z zamieszczonymi na nich
danymi, polega na przechowywaniu ich w zamykanych pomieszczeniach.
Nie wolno pozostawiać nie zamkniętego pomieszczenia, jeśli nie
przebywa w nim żaden z użytkowników. Inne osoby mogą przebywać w
pomieszczeniu tylko w obecności użytkowników i za ich zgodą.
b) Ochrona programowa komputerów wraz z zamieszczonymi na nich
danymi polega na stosowaniu zabezpieczeń dostarczanych przez
mechanizmy systemów operacyjnych, czy programy używane przy pracy
(jeśli mają taką funkcjonalność), zabezpieczania pracujących stacji
roboczych w czasie nieobecności przez 'zablokowanie ekranu' oraz na
zabezpieczaniu
specjalnych
programów
szyfrujących,
plików
przechowywanych na nośnikach lokalnych i przenośnych, a
zawierających informacje poufne.
Zasady ochrony danych, programów i sprzętu informatycznego
d)
4/5
c) Nie wolno wynosić lub przesyłać żadnych danych księgowych poza
jednostkę bez zgody jej kierownika. Przenoszenie lub przesyłanie danych
dozwolone jest jedynie po ich zabezpieczeniu przed niepowołanym
odczytem w sposób programowy (przez zastosowanie szyfrowania
uniemożliwiającego ich obejrzenie przez osobę niepowołaną). Jeśli to
możliwe, należy przekazywane dane dodatkowo zabezpieczyć w sposób
fizyczny (np. zamknąć je w kasetce).
d) Urządzenia, dyski lub inne informatyczne nośniki zawierające dane
przeznaczone do likwidacji, przekazania innemu podmiotowi lub do
naprawy, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy
nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich
odczytanie. Również wydruki zawierające dane i przeznaczone do usunięcia należy zniszczyć w stopniu uniemożliwiającym ich odczytanie.
Należy zabezpieczyć sieć komputerową firmy przed niepowołanym
dostępem z zewnątrz. W tym celu jeśli ma być ona połączona z innymi
sieciami (np. siecią publiczną, Inernetem) należy użyć urządzeń
separujących typu firewall, udostępniających tylko niezbędne protokoły
transmisji. Dotyczy to również wszelkich urządzeń pozwalających na
transmisję danych, np. przez sieć telefoniczną (jak modemy).
Zdarzenia losowe
Należy wprowadzić obowiązek zabezpieczenia danych, oprogramowania i sprzętu
komputerowego przed zdarzeniami losowymi.
a)
W celu zabezpieczenia przed pożarem należy przestrzegać instrukcji i
zaleceń przeciwpożarowych.
b)
Komputery powinny być zasilane za pomocą urządzeń zabezpieczających
przed wyłączeniem prądu, zakłóceniami i przepięciami. Szczególnie
dotyczy to tych maszyn, które przechowują dane używane przez większą
ilość osób.
c)
W celu zabezpieczenia przed innymi zdarzeniami losowymi, kopie bezpieczeństwa muszą być przechowywane w innych pomieszczeniach niż sprzęt,
na którym przechowywane są oryginalne dane. Przy przenoszeniu lub
przesyłaniu kopii bezpieczeństwa należy przestrzegać przepisów dotyczących ochrony przed nieautoryzowanym dostępem do danych. Za dostarczenie
kopii bezpieczeństwa do miejsc ich przechowywania odpowiedzialne są
osoby sporządzające kopie.
Obsługa i przeszkolenie
a) Każdy użytkownik sprzętu komputerowego powinien być zobowiązany do zapoznania się z zasadami zawartymi w instrukcjach obsługi sprzętu komputerowego
i podręcznikach użytkownika oraz przestrzegania tych zasad.
b) Sprzęt komputerowy i programy użytkowe powinny być obsługiwane wyłącznie
przez osoby, które zostały przeszkolone w tym zakresie.
c) Nie powinno się instalować oprogramowania nie przeznaczonego do celów
służbowych ani oprogramowania nielicencjonowanego.
d) Wszelkie instalacje i deinstalacje programów użytkowych i narzędziowych,
przeinstalowywanie systemów operacyjnych bądź ich fragmentów (np. sterowników), konfiguracje itp. powinny być dokonywane przez producenta
Zasady ochrony danych, programów i sprzętu informatycznego
5/5
oprogramowania, serwis techniczny, administratora systemu bądź osoby przez
niego upoważnione. Jakiekolwiek instalacje dokonywane samodzielnie przez
nieupoważnionego do tego użytkownika powinny być kategorycznie zabronione;
należy się liczyć z możliwością wyciągnięcia konsekwencji służbowych bądź
koniecznością pokrycia ewentualnych strat.
e) Zaleca się wprowadzenie zakazu samodzielnego instalowania, naprawiania oraz
rozbudowywania sprzętu komputerowego.
f) Zaleca się wprowadzenie zakazu dokonywania jakichkolwiek zmian w
zainstalowanych programach bez zgody producenta oprogramowania (nie
dotyczy to zmian, których konieczność lub potrzeba wynika z normalnej
eksploatacji systemu i nie wymaga ingerencji w strukturę informatyczną
oprogramowania).