instrukcja zarządzania systemem informatycznym 20

INSTRUKCJA ZARZĄDZANIA SYSTEMEM
INFORMATYCZNYM 20
6. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
I.
CHARAKTERYSTYKA SYSTEMU
1. System ma charakter hybrydowy, złożony i rozległy.
2. System informatyczny bazuje na gwiaździstej strukturze sieci wykonanych w standardzie
Ethernet o przepustowości 100Mbps lub 1Gbps, w technologii skrętki nieekranowanej UTP
oraz radiowej (IEEE 802.11b/g/n). Poszczególne sieci lokalne połączone są za pośrednictwem
technologii światłowodowych i DSL.
3. W szczególności system informatyczny stanowią stacje klienckie rozmieszczone
w poszczególnych biurach, pracujące pod kontrolą licencjonowanych systemów
operacyjnych Microsoft Windows, serwery (Linux, Windows Server), serwery NAS, serwery
wydruku oraz urządzenia aktywne (routery, przełączniki, wzmacniaki, punkty dostępowe,
etc.).
4. Użytkownicy systemu informatycznego mają możliwość dostępu do sieci wewnętrznych,
umożliwiających pracę w systemie dziekanatowym oraz systemie finansowo-księgowym.
Użytkownicy, znajdujący się poza sieciami lokalnymi, mają możliwość pracy w trybie
terminalowym za pomocą usługi RDS. Użytkownicy mają dostęp do sieci Internet.
5. Użytkownicy otrzymują osobiste adresy poczty elektronicznej generowane według
schematu: imię[email protected] z pominięciem polskich znaków diakrytycznych.
Adres e-mail jest jednocześnie identyfikatorem do aplikacji web (wirtualny dziekanat, system
zarządzania informacją, cms strony Uniwersytetu).
6. System informatyczny zabezpieczony jest oprogramowaniem antywirusowym
zainstalowanym na stacjach klienckich oraz programowymi lub/i sprzętowymi zaporami
sieciowymi.
7. Kluczowe serwery oraz urządzenia sieciowe zabezpieczone są zasilaczami awaryjnymi
utrzymującymi właściwe parametry zasilania.
II.
OGÓLNE ZASADY PRACY W SYSTEMIE INFORMATYCZNYM
1. Użyte w dalszym ciągu Instrukcji określenia oznaczają, co następuje:
a) ABI- Administrator Bezpieczeństwa Informacji − osoba wyznaczona przez Administratora,
w rozumieniu art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
b) ASI- Administratorzy Systemów Informatycznych – pracownicy wyznaczeni przez ABI
odpowiedzialni za wdrożenie i stosowanie zasad bezpieczeństwa systemów
informatycznych, zobowiązani do stosowania technicznych i organizacyjnych środków
ochrony przewidzianych w systemach informatycznych.
c) Uczelniana Sieć Informatyczna - sieć lokalna/rozległa, umożliwiająca połączenie
systemów informatycznych Uniwersytetu Papieskiego Jana Pawła II w Krakowie przy
wykorzystaniu specjalistycznych dedykowanych urządzeń i sieci telekomunikacyjnych w
rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz.
1800, z późn. zm.).
2. ABI odpowiada za korygowanie niniejszej instrukcji w przypadku zmian w przepisach
prawnych dotyczących przetwarzania danych osobowych w systemach informatycznych, jak
również zmian organizacyjno-funkcjonalnych, o ile zmiany, o których mowa, mają wpływ na
uregulowania opisane w niniejszej instrukcji.
3. Przetwarzanie danych w systemie informatycznym może być realizowane wyłącznie poprzez
dopuszczone przez ASI do eksploatacji licencjonowane oprogramowanie.
4. ASI prowadzi ewidencję oprogramowania.
5. Do eksploatacji dopuszcza się systemy informatyczne wyposażone w:
a) mechanizmy kontroli dostępu umożliwiające autoryzację użytkownika, z pominięciem
narzędzi do edycji tekstu;
b) mechanizmy ochrony poufności, dostępności i integralności informacji, z uwzględnieniem
potrzeby ochrony kryptograficznej;
c) mechanizmy umożliwiające wykonanie kopii bezpieczeństwa oraz archiwizację danych,
niezbędne do przywrócenia prawidłowego działania systemu po awarii;
d) urządzenia niwelujące zakłócenia i podtrzymujące zasilanie;
e) mechanizmy monitorowania w celu identyfikacji i zapobiegania zagrożeniom, w szczególności
pozwalające na wykrycie prób nieautoryzowanego dostępu do informacji lub przekroczenia
przyznanych uprawnień w systemie;
f) mechanizmy zarządzania zmianami.
6. Użytkownikom zabrania się:
a) udostępniania stanowisk roboczych osobom nieuprawnionym;
b) wykorzystywania sprzętu oraz Uczelnianej Sieci Komputerowej w celach innych niż
wyznaczone przez kierownika jednostki;
c) korzystania z nielicencjonowanego oprogramowania oraz wykonywania jakichkolwiek działań
niezgodnych z ustawą o ochronie praw autorskich;
d) umożliwiania dostępu do zasobów wewnętrznej sieci informatycznej oraz sieci Internet
osobom nieuprawnionym;
e) używania komputera bez zainstalowanego aktualnego oprogramowania antywirusowego.
III.
ROZPOCZĘCIE, ZAWIESZENIE I ZAKOŃCZENIE PRACY
PRZEZ UŻYTKOWNIKÓW SYSTEMÓW
1. Procedura rozpoczęcia pracy:
a) uruchomić komputer wchodzący w skład systemu informatycznego, podłączony fizycznie do
sieci lokalnej i zalogować się podając własny identyfikator i hasło dostępu;
b) uruchomić wybrany system/aplikację (w szczególności aplikację bazodanową m.in.
przetwarzającą dane);
c) zalogować się do systemu/aplikacji w sposób analogiczny do przedstawionego powyżej.
2. Procedura zawieszenia pracy w systemie/aplikacji. Przy każdorazowym opuszczeniu
stanowiska komputerowego, należy dopilnować, aby na ekranie nie były wyświetlane
informacje lub dane, poprzez zablokowanie komputera. Każdy użytkownik ma obowiązek
stosowania wygaszacza ekranu zabezpieczonego hasłem lub wylogowania się z systemu.
3. Procedura zakończenia pracy w systemie:
a) zamknąć system/aplikację;
b) zamknąć system operacyjny komputera i zaczekać na jego wyłączenie;
c) wyłączyć monitor;
d) sprawdzić, czy elektroniczne nośniki informacji zawierające dane osobowe nie zostały
pozostawione bez nadzoru.
4. Użytkownik w pełnym zakresie odpowiada za powierzony mu sprzęt komputerowy
i wykonywane czynności aż do momentu rozliczenia ze sprzętu komputerowego.
IV.
PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA
DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE
INFORMATYCZNYM ORAZ WSKAZANIE OSOBY
ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI
1. Użytkowników systemu informatycznego tworzy oraz usuwa ASI na wniosek kierownika
odpowiedniej jednostki. Do przetwarzania danych osobowych zgromadzonych w systemie
informatycznym jak również w rejestrach tradycyjnych wymagane jest pisemne
upoważnienie.
2. Wprowadza się rejestr osób upoważnionych do przetwarzania danych osobowych, który
stanowi załącznik nr 1 do niniejszej dokumentacji.
3. Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez
zablokowanie konta w przypadku zawieszenia w pełnieniu obowiązków służbowych.
4. Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania
stosunku pracy.
5. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować
w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia nawet w przypadku ustania
stosunku pracy.
V.
STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ
PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM
I UŻYTKOWANIEM
1. System informatyczny przetwarzający dane osobowe wykorzystuje mechanizm identyfikatora
i hasła jako narzędzi umożliwiających bezpieczne uwierzytelnienie.
2. Każdy użytkownik systemu informatycznego powinien posiadać odrębny identyfikator.
3. Hasło składa się z co najmniej ośmiu znaków, zawiera co najmniej jedną wielką literę , jedną
cyfrę i jeden znak specjalny.
4. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł
wykorzystywać: dat, imion, nazwisk bądź innych bezpośrednio kojarzących się
z użytkownikiem.
5. Zmiany hasła należy dokonywać nie rzadziej niż co 30 dni. System wymusza zmianę hasła.
6. Hasła tymczasowe generuje ASI. Hasło i identyfikator użytkownika wraz z dodatkowymi
informacjami są przekazywane w formie papierowej lub osobiście.
7. Hasło nie może być zapisywane i przechowywane.
8. Użytkownik nie może udostępniać identyfikatora oraz haseł osobom nieupoważnionym.
VI.
PROCEDURY TWORZENIA KOPII ZAPASOWYCH
1.
W celu zapewnienia optymalnego poziomu ochrony danych gromadzonych w systemach
informatycznych Uniwersytetu, przyjęto zasadę przetwarzania informacji zawartych w bazach
danych w oparciu o architekturę klient – serwer. Wynika stąd praktyka przetwarzania danych
w bazach danych na dedykowanych dla systemu/aplikacji serwerach.
2.
Kopie zapasowe baz danych na serwerach powinny być sporządzane na nośnikach
znajdujących się fizycznie poza serwerownią, której dotyczy procedura. Optymalnie w innym
budynku. Za sporządzanie kopii bezpieczeństwa danych na serwerach odpowiedzialny jest
ASI.
3.
Kopie zapasowe plików pozostających na stanowiskach komputerowych winne być
sporządzane na wyznaczonych do tego celu dyskowych serwerach sieciowych (NAS) lub
nośnikach przenośnych (dyski przenośne, nośniki flash, płyty CD\DVD). Za sporządzanie kopii
bezpieczeństwa danych na stanowiskach komputerowych odpowiedzialni są ich użytkownicy.
4.
Kopie baz danych serwerów wykonywane są w cyklu dobowym w godzinach nocnych. Kopie
zapasowe pozostałych danych w cyklu tygodniowym.
VII.
POSTANOWIENIA KOŃCOWE
W sprawach nieuregulowanych niniejszą Instrukcją zastosowanie znajdują:
1.
Norma PN-I-13335-1 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych”.
2.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r.
Nr 101, poz. 926 z późn. zm.).
3.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024).