Zarz¹dzenie nr 1029/BIO/04 - Urząd Miasta Kędzierzyn

Zarządzenie nr 1029/BIO/04
Prezydenta Miasta Kędzierzyn-Koźle
z dnia15 grudnia 2004r.
w sprawie powołania komisji do oceny dokumentacji niejawnej
zgromadzonej w kancelarii tajnej Urzędu Miasta Kędzierzyn-Koźle
Na podstawie art.5 ust.1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie
archiwalnym i archiwach ( tekst jednolity DZ.U. z 2002 r. Nr 171, poz.1396) oraz § 7, ust.2
rozporządzenia Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z
dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania
materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz.1375) zarządzam,
co następuje :
§1
Powołuję komisję do oceny dokumentacji w składzie:
1. Grzegorz Dysarz- pełnomocnik ds. ochrony informacji niejawnych
2. Agnieszka Wesołowska – kierownik tajnej kancelarii
3. Andrzej Leja – kierownik Wydziału Reagowania Kryzysowego
§2
Do zadań komisji należy:
1) ocena dokumentacji kancelarii tajnej pod względem jej wartości archiwalnej,
2) dokonanie oceny i wydzielenie przeznaczonej do zniszczenia i przekazania na makulaturę
dokumentacji niearchiwalnej zgromadzonej w kancelarii tajnej Urzędu Miasta
Kędzierzyn-Koźle,
3) stwierdzenie, że stanowi ona dokumentację niearchiwalną, nieprzydatną dla celów
praktycznych jednostkom organizacyjnym Urzędu Miasta Kędzierzyn-Koźle oraz że
upłynął termin jej przechowywania określony w jednolitych rzeczowych podziałach akt
kancelarii tajnej,
4) dokonanie wyboru materiałów archiwalnych,
5) ustalenie właściwych okresów przechowywania dla dokumentacji uznanej za
niearchiwalną.
§3
Zarządzenie wchodzi w życie z dniem podpisania i podlega dostarczeniu osobom
wymienionym w niniejszym zarządzeniu.
PREZYDENT MIASTA
KĘDZIERZYN-KOŹLE
W i e s ł a w F ą f a r a (-)
Odpowiedzialny za sporządzenie informacji:
Kierownik Biura Informatyki i Ochrony Informacji
Urzędu Miasta Kędzierzyn-Koźle
Grzegorz Dysarz (-)
Załącznik do Zarządzenia Nr 1030/BIO/04
Prezydenta Miasta Kędzierzyn-Koźle
z dnia 15.12.2004r.
POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO
Celem polityki bezpieczeństwa jest ochrona systemu informatycznego jako całości, jego
poszczególnych elementów, przetwarzanego przez system zbioru danych, obszaru, w którym
są dane oraz osób a przede wszystkim zapewnienie technicznych i organizacyjnych
uwarunkowań mających wpływ na zarządzanie systemami informatycznymi, w których
przetwarzane są dane osobowe.
1. Podstawa prawna
Art. 36 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych ( t.j. Dz.U. z 2002r.
Nr 101 poz 926 z późn. zmianami)
2. Wykaz zbiorów danych osobowych :
„Wykaz dzierżawców i użytkowników wieczystych, Świadczenia osobiste, Ochotnicze drużyny
ratownicze, Formacje obrony cywilnej, Działalność gospodarcza, Zezwolenia na trzymanie
psów ras uznanych za agresywne, Dane Wydziału Ochrony Środowiska i Infrastruktury,
Zezwolenia na zajęcie pasa drogowego, Wnioski o ukaranie przez kolegium ds. wykroczeń
oraz postępowanie mandatowe w sprawach o wykroczenia, Ewidencja ludności i dowody
osobiste, Urząd Stanu Cywilnego, Spis danych radnych rady miasta, Spis danych
przewodniczących organów wykonawczych jednostek pomocniczych, Rejestr płatników opłaty
za wieczyste użytkowanie i czynszu za dzierżawy gruntu, Zbiór podatników i płatników oraz
uczestników postępowania w zakresie podatków i opłat lokalnych, Decyzje dotyczące imprez
masowych Rejestracja imprez, Wykaz nauczycieli i pracowników obsługi: przedszkoli, szkół
podstawowych i gimnazjów, Przetargi na dokumentację i roboty budowlane i remontowe,,
Ustalenie własności gruntu na podstawie informacji terenowo-prawnej, wypisu z rejestru
gruntów, odpisu z księgi wieczystej,, Dodatki mieszkaniowe, Uzależnienia od alkoholu,
Rejestr decyzji o warunkach zabudowy i zagospodarowania terenu, Wykaz decyzji
w indywidualnych sprawach dotyczących zagospodarowania terenu,”
3. Wykaz budynków i pomieszczeń tworzących obszar w którym przetwarzane są dane
osobowe
2
Urząd Miasta Kędzierzyn-Koźle, budynki przy ul. Piramowicza 32, oficyna, Piastowska 15,
Piastowska 17.
4. System Informatyczny i jego aktywa
System informatyczny stanowi całokształt środków przetwarzania informacji wraz ze
związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi czyli urządzenia
komputerowe i nie komputerowe do przetwarzania danych osobowych, środki
zabezpieczenia, przechowywania i ochrony - wymagane i uzasadnione w kontekście
związanych nakładów finansowych potrzebnych i możliwych.
4.1 Aktywa - całość zasobów materialnych i niematerialnych mająca jakąkolwiek wartość
dla instytucji i podlegająca zabezpieczeniu, w tym wszelkie zbiory danych. Poprzez
aktywa należy rozumieć wszystko co podlega ochronie:
- sprzęt komputerowy - serwery , komputery osobiste, drukarki i inne urządzenia
zewnętrzne
-okablowanie teleinformatyczne oraz urządzenia sieci telekomunikacyjnej.
-oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne,
narzędzia wspomagające i programy komunikacyjne.
- prawa autorskie,
- dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie.
- hasła użytkowników,
- pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa
-dokumentacja - zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane
informacje.
- wydruki.
-wszelkie urządzenia nie komputerowe do przetwarzania, przechowywania itp.. Danych
osobowych w każdej formie.
4.2 Podatność to słabość aktywów (fizyczna, organizacyjna, proceduralna, osobowa,
zarządzania, administracji, sprzętu komputerowego, oprogramowania, informacji), która może
być zagrożeniem i doprowadzić do szkody dla systemu informatycznego lub urzędu w
ogóle. Podatność jako taka nie powoduje szkody; podatność jest jedynie warunkiem lub
zbiorem warunków, które mogą zagrożeniu umożliwić wpływ na aktywa urzędu.
3
4.3 Ryzyko to prawdopodobieństwo, że określone zagrożenie wykorzysta podatność
aktywów, aby spowodować straty lub ich zniszczenie. Ryzyko można opisać jako
prawdopodobieństwo wystąpienia niepożądanego incydentu oraz związanych z nim następstw.
Zmiana dokonana w zasobach, zagrożeniach, i zabezpieczeniach może znacząco wpłynąć na
poziom ryzyka. Świadomość i wczesne wybywanie zmian w systemie informacyjnym
powinno powodować zmniejszenie ryzyka na skutek podjęcia właściwych działań.
Realizacja polityki bezpieczeństwa systemu informatycznego powinna być w praktyce na
tyle
wszechstronna,
aby pomagała w rozwiązywaniu
różnorodnych
problemów
związanych z ochroną aktywów.
5. Zagrożenia dla systemu informatycznego
ZAGROŻENIE to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może
być szkoda dla systemu informatycznego lub urzędu. Każda sytuacja, która powoduje
niedostępność danych (czasowe lub trwałe uniemożliwienie przetwarzania zbiorów danych),
ich niekontrolowany wypływ, ujawnienie czy utratę lub przekłamanie - jest zagrożeniem
systemu, niezależnie od tego czy jest to celowy sabotaż, czy przypadkowe zdarzenie.
W Urzędzie Miasta Kędzierzyn-Koźle realne zagrożenia można podzielić na kilka
podstawowych kategorii:
5.1 Zagrożenia losowe zewnętrzne:
-uderzenie pioruna
-powódź
-pożar
ich wystąpienie może prowadzić do utraty integralności danych, ich zniszczenia, a nawet do
zniszczenia
całej infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona,
ale nie dochodzi zazwyczaj do naruszenia niejawności danych;
5.2 Zagrożenie losowe wewnętrzne:
-niezamierzone pomyłki i pominięcia operatorów
-niezamierzone pomyłki i pominięcia administratora
-awarie sprzętowe
-błędy w oprogramowaniu
4
ich wystąpienie również może prowadzić do utraty integralności danych, ich zniszczenia;
może zostać zakłócona ciągłość pracy systemu, a w sytuacjach wyjątkowych może nastąpić
naruszenie niejawności danych:
5.3 Zagrożenia zamierzone- czyli świadome i celowe - jest to najpoważniejszy rodzaj
zagrożenia.
-nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu),
-nieuprawniony dostęp do systemu z jego wnętrza (użytkownicy).
-nieuprawniony przekaz danych,
-pogorszenie jakości sprzętu i oprogramowania,
-bezpośrednie zagrożenie materialnych składników systemu.
-kradzież
-podsłuch
6. Środki zabezpieczające system informatyczny
ZABEZPIECZENIA to praktyki, procedury i mechanizmy zmniejszające ryzyko, chroniące
przed zagrożeniami, zmniejszające podatność aktywów, ograniczające następstwa, wykrywające
niepożądane incydenty i ułatwiające odtwarzanie prawidłowego stanu systemu. Efektywna
ochrona wymaga zwykle kombinacji różnych zabezpieczeń w celu utworzenia
właściwej ochrony dla zasobów systemu informatycznego. Zabezpieczenie systemu
oraz ochrona zawartych w nim danych zależy od jednoczesnego spełnienia wszystkich
warunków dotyczących organizacji pracy, kwestii kadrowych. zabezpieczenia fizycznego
obiektu i pomieszczeń, prawidłowej eksploatacji platformy sprzętowej i infrastruktury
teledacyjnej oraz stosowanego oprogramowania użytkowego
6.1 Środki ochrony fizycznej
-Dokumenty przechowywane są w meblach biurowych zamykanych na klucz do których
dostęp chroniony jest instalacją alarmową
6.2 Środki dostępne w ramach oprogramowania
-Użytkownik ma dostęp do bazy danych poprzez aplikacje
5
6.3 Środki ochrony w ramach narzędzi baz danych
-System bazy danych Oracle 8.1.7 oparty jest na systemie przywilejów. Narzędzia PL/SQL,
SQL plus, SQL Form Run Forms, SQL Raport Relese i aplikacje Unixowe dostępne są tylko
administratorowi
-Każdy użytkownik posiada identyfikator i hasło
-Identyfikatory i hasła użytkowników pracujących w sieci przydziela Administrator
Bezpieczeństwa Systemu na podstawie wykazu osób uprawnionych do korzystania z systemu
i na wniosek kierownika komórki organizacyjnej.
-Pierwsze hasło dla użytkownika jest zakładane przez administratora aplikacji podczas
wprowadzania identyfikatora użytkownika do systemu. Następnie użytkownik - w
obecności administratora aplikacji lub podczas pierwszego logowania powinien zmienić
hasło. Wyjątkiem są np. hasła dostępu do plików pakietu Office - gdzie hasło nadaje sam
użytkownik, i hasła użytkowników należą do nich samych. Są one objęte tajemnicą.
-Hasło musi być zmieniane przez użytkownika nie rzadziej niż raz w miesiącu.
Odpowiedzialność za okresowe zmiany hasła ciąży na użytkowniku, właścicielu hasła.
-Administrator Bezpieczeństwa Systemu nadaje użytkownikom uprawnienia do określonych
zasobów sieci stosownie do specyfiki pracy danej jednostki organizacyjnej.
6.4 Inne środki ochrony
-Spisy identyfikatorów i haseł administratorów przechowywane są w miejscach ogólnie
niedostępnych w Biurze Informatyki i Ochrony Informacji.
-Użytkownik systemu sieciowego rejestruje się w systemie poprzez podanie swojego hasła i
identyfikatora sieciowego a następnie poprzez podanie swojego hasła systemowego
-Zabrania się pozostawiania komputera z zarejestrowanym hasłem bez dozoru
-Fakt niemożności zarejestrowania się do systemu użytkownik zgłasza niezwłocznie
Administratorowi systemu
-Stacje robocze sprawdzane są na bieżąco programem antywirusowym
-Serwery podlegają okresowej- raz w roku konserwacji
-Urządzenia komputerowe, dyski lub inne nośniki informacji zawierające dane osobowe
przeznaczone do likwidacji pozbawia się wcześniej zapisu danych, a przypadku gdy nie jest
to możliwe uszkadza się w sposób uniemożliwiający ich odczytanie.
-Monitory na stanowiskach pracy odwrócone są tyłem a przy braku takiej możliwości bokiem
do drzwi wejściowych
6
6.5 Środki ochrony komputerów PC
-Na komputerach PC wprowadzone są hasła do systemu.
-Użytkownik systemu jednostanowiskowego pracującego pod systemem Windows rejestruje
się poprzez podanie hasła którym zabezpieczony jest komputer.
-W systemie Windows zainstalowane są wygaszacze ekranu zabezpieczone hasłem i
uaktywniające się najpóźniej po 3 minutach od chwili nieaktywnego stanu systemu.
-Dyski
komputerów
jednostanowiskowych
sprawdzane
są na bieżąca programem
antywirusowym.
-Komputery jednostanowiskowe podlegają konserwacji w przypadku stwierdzenia przez
użytkownika jakichkolwiek nieprawidłowości.
6.6 Środki ochrony w ramach działań administracyjnych
Polegające na wprowadzeniu działań
powodujących
zwiększenie
świadomości
użytkowników, a także zniechęcających działań niepożądanych; są to w głównej mierze
działania organizacyjne.
-Wprowadzenie systemu proceduralnego.
-Monitorowanie
pracy
użytkowników
systemu,
kontrola
stosowania
identyfikatorów użytkowników w systemie.
7. Administrator systemu teleinformatycznego.
System ma wyznaczonych administratorów odpowiedzialnych za poszczególne odcinki
systemu w zakresie prawidłowości ich funkcjonowania, organizacji pracy i stosowanych
środków ochrony danych osobowych.
Obowiązki
administratorów
systemu
teleinformatycznego
na
poszczególnych
odcinkach jego funkcjonowania pełnią:
-Pracownicy Biura Informatyki i Ochrony Informacji
w zakresie funkcjonowania i
ochrony danych osobowych w systemach przetwarzanych komputerowo).
- Kierownicy poszczególnych komórek organizacyjnych w
zakresie całokształtu
funkcjonowania i bezpieczeństwa przetwarzania danych osobowych.
7.1 Zadania i obowiązki administratorów systemów (odcinków systemu):
- Kontrola zabezpieczeń.
7
- Monitorowanie zmian środowiska w tym pojawienie się nowych zagrożeń.
- Zarządzanie konfiguracją systemu i urządzeń.
- Reagowanie na incydenty w zakresie bezpieczeństwa.
- Konfiguracja mechanizmów kontroli dostępu w systemie.
- Nadzór nad instalowaniem nowego oprogramowania na serwerach
7.2 Zadania i obowiązki Administratora bezpieczeństwa informacji
-Tworzenie, modyfikację i wdrażanie procedur związanych z realizacją polityki
bezpieczeństwa danych i systemu informatycznego,
-Kontrola poprawności stosowania przez użytkowników obowiązujących zasad i procedur.
- Nadzór nad prowadzoną przez administratorów systemów kontrolą użytkowników danej
aplikacji użytkowej,
- Nadzór nad wykonywaniem zadań przez administratorów odcinków systemu.
- Kontrolę zgodności poziomu zabezpieczeń z określoną polityką bezpieczeństwa.
- Weryfikację oraz akceptację procedur udzielania dostępu do danych i systemu
informatycznego.
- Udział w tworzeniu i testowaniu planu postępowania w przypadku awarii lub
naruszenia zasad ochrony.
- Podejmowanie działań bezpieczeństwa.
- Weryfikację okresowych przeglądów zabezpieczeń systemu i istniejących procedur
zapewniających bezpieczeństwo danych.
Uprawnienia i obowiązki w zakresie bezpieczeństwa przetwarzania danych osobowych w
urządzeniach komputerowych są realizowane za pośrednictwem kierowników i pracowników
komórek organizacyjnych oraz specjalistów Biura Informatyki i Ochrony Informacji
7.3 Zadania i obowiązki użytkowników
Problemy bezpieczeństwa powinny być uwzględniane już na etapie rekrutacji załogi,
włączone w umowy i zakresy obowiązków z nich wynikające. W stosunku do każdego
zatrudnionego ustalane są następujące wymagania:
- Pracownik zatrudniony przy przetwarzaniu danych powinien mieć indywidualny zakres
czynności określający jego odpowiedzialność za ochronę danych osobowych użytkownicy systemu powinni być informowani o występujących zagrożeniach i
przeszkoleni w zakresie procedur bezpieczeństwa.
8
- W przypadku naruszenia zasad bezpieczeństwa przez pracowników należy przeprowadzić
postępowanie dyscyplinarne.
- Wszyscy pracownicy zobowiązani są do ochrony tajemnic prawnie chronionych, co
potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy.
-Wszyscy pracownicy muszą przestrzegać zasad ochrony fizycznej dokumentów i
materiałów zawierających tajemnice prawnie chronione.
- Każdy pracownik, będący użytkownikiem systemu bądź należący do personelu technicznego
(obsługi). stosownie do swoich obowiązków i stanowiska, jest odpowiedzialny za realizację
niniejszej polityki bezpieczeństwa systemu informatycznego.
8. Archiwum i przechowywanie danych
Pełna kopia bazy danych powinna być sporządzana raz na tydzień, natomiast kopia
przyrostowa raz na dzień. O ile aplikacja użytkowa nie zezwala na tworzenie kopii
przyrostowych, należy wykonywać pełną kopię bazy danych dwa razy w tygodniu.
Powinno istnieć nie mniej niż 5 zestawów kopii zapisywanych jeden po drugim, jednak
zestaw może zostać użyły ponownie po okresie nie krótszym niż 4 tygodnie. Kopia
systemu operacyjnego powinna być wykonywana po każdej modyfikacji, zmianie
konfiguracji i instalacji nowej wersji oprogramowania na serwerze. Powinny istnieć
przynajmniej dwa zestawy takiej kopii zapisywane naprzemiennie. Osoby zatrudnione przy
przetwarzaniu danych osobowych mają dostęp do nisze/arki dokumentów w celu
niszczenia błędnie
wytworzonych
lub
niepotrzebnych
dokumentów
i
wydruków
komputerowych z danymi osobowymi.
9. Profilaktyka antywirusowa
-Wszystkie
wersji
komputery
osobiste
muszą
być
sprawdzane
za
pomocą aktualnej
programu antywirusowego. Sprawdzenie takie winno być dokonywane przez
administratora aplikacji co najmniej dwa razy w miesiącu.
-Na wszystkich
komputerach urzędu dopuszcza
się instalację tylko legalnego,
licencjonowanego oprogramowania, wykonywaną przez uprawnionych pracowników
Biura Informatyki i Ochrony Informacji. Jest prowadzony wykaz takiego oprogramowania.
-Wprowadza
się
kategoryczny
zakaz
kopiowania
pochodzących z własnych źródeł
(np. z przyniesionych z zewnątrz dyskietek lub CD).
9
jakichkolwiek
plików
-Każdy użytkownik komputera w urzędzie zobowiązany jest do używania w
pracy
dyskietek
i
CD zakupionych
przez
Urząd
(nie
prywatnych)
i
przechowywania na nich tylko i wyłącznie danych związanych z charakterem
pracy.
Dyskietki lub CD przekazywane z zewnątrz mogą być odczytywane na komputerach
urzędu
TYLKO
PROGRAMEM
I
WYŁĄCZNIE
PO
ANTYWIRUSOWYM.
WCZEŚNIEJSZYM
Wobec
osób
SPRAWDZENIU
przenoszących
pliki
z
nieautoryzowanej dyskietki lub CD do komputera urzędu będą stosowane sankcje
dyscyplinarne.
10. Plan postępowania w przypadkach awaryjnych
W
przypadkach
domniemania
naruszenia
ochrony
danych
osobowych
należy
postępować zgodnie z "Instrukcją postępowania w sytuacji naruszenia ochrony danych
osobowych, przeznaczona dla osób zatrudnionych przy przetwarzaniu tych danych", a w
szczególności powiadomić o zaistniałym fakcie administratora bezpieczeństwa informacji.
11. Monitoring zabezpieczeń
W drożenie mechanizmów ochrony danych i systemu informatycznego zwijane jest z
koniecznością ich monitorowania. Monitorowanie jest weryfikacją praktyki prowadzenia
przetwarzania informacji w porównaniu z normami przepisów ogólnych oraz
wewnętrznych, przyjętych w urzędzie procedur ochrony danych i systemu. Monitorowanie
zabezpieczeń pozwala na ocenę ich rzeczywistego zachowania. Działania monitorujące
system bezpieczeństwa należy realizować nie tylko w sposób systematyczny, ale również
incydentalny. Właściwy stopień realizacji metod zabezpieczających powinien być
regularnie sprawdzany przez służby kontrolne. Użytkownicy powinni być powiadomieni,
że monitorowane są ich działania w systemie.
12. Podsumowanie
Zasady bezpieczeństwa traktować należy w sposób kompleksowy. Przy realizacji polityki
bezpieczeństwa ważne jest zaangażowanie wszystkich pracowników, a szczególnie ważną
rolę odgrywa:
- znajomość problematyki bezpieczeństwa systemu,
- świadomość jej znaczenia wśród całej kadry urzędu.
10
Rozwój informatyki rodzi nowe zagrożenia w dziedzinie ochrony informacji. Postęp w
zakresie zabezpieczania systemów informatycznych zmusza jego użytkowników do
stałego rozwoju.
Bezpieczeństwo
systemów
informatycznych
to
dziedzina
wymagająca
stałej
współpracy różnych specjalistów: prawników, informatyków oraz specjalistów w
dziedzinie telekomunikacji itp.
Dla skuteczności niniejszej polityki bezpieczeństwa systemu informatycznego wymagana
jest powszechna znajomość przez pracowników założeń bezpieczeństwa danych
osobowych, a także znajomość i rzetelna realizacja szczegółowych instrukcji i wytycznych
na poszczególnych stanowiskach pracy.
Założenia
szczegółowe
zawarte
w
innych
dokumentach
i
opracowań i ach
proceduralnych należy udostępniać pracownikom na poszczególnych stanowiskach tylko
w niezbędnym zakresie. Indywidualne zakresy czynności osób zatrudnionych przy
przetwarzaniu danych osobowych powinny określać
zakres
odpowiedzialności
za
ochronę tych danych przed niepowołanym dostępem.
nieuzasadnioną
modyfikacją
lub
zniszczeniem,
nielegalnym
ujawnieniem
lub
pozyskaniem - w stopniu odpowiednim do zadań, jakie wykonują poszczególne osoby
przy przetwarzaniu danych osobowych.
Sporządził:
Zatwierdził:
Grzegorz Dysarz
Wiesław Fąfara
Kierownik Biura Informatyki i Ochrony Informacji
Prezydent
11
Miasta
Kędzierzyn-Koźle