Strona 1 z 11 ZAŁĄCZNIK NR 1 Metryka

ZAŁĄCZNIK NR 1
Metryka dokumentu
1. Tytuł dokumentu
INSTRUKCJA ZARZĄDZANIA SYSTEMEM
INFORMATYCZNYM
2. Właściciel dokumentu
3. Klasa poufności
4. Podstawa prawna
dokument wewnętrzny, ogólnodostępny
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2002 Nr 101, poz. 926 z późn. zm.)
1 luty 2015
1.00
5. Stan prawny na dzień
6. Wersja dokumentu
7. Uwagi
Osoby odpowiedzialne za dokument
LP
1.Autor dokumentu
2.Kontrola dokumentu pod
względem formalnym
3.Zatwierdził
Imię i nazwisko, stanowisko
Podpis
Komentarz do Instrukcji:
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych określa szczegółowy
zakres Instrukcji. Zgodnie z nim powinny być w niej wskazane:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym oraz wskazanie osoby
odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
Strona 1 z 11
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania złośliwego,
7) sposób realizacji wymogów w zakresie odnotowania osób, którym dane zostały
udostępnione,
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
Dodatkowo rozporządzenie to określa trzy poziomy ochrony danych osobowych oraz
minimalny standard tejże ochrony dla każdego z tychże poziomów. Są to poziomy:
1) podstawowy;
2) podwyższony;
3) wysoki.
Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art.
27 ustawy, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych
osobowych nie jest połączone z siecią publiczną.
Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w
art. 27 ustawy (dane wrażliwe), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych
osobowych nie jest połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z
siecią publiczną.
Rozporządzenie określa minimalne wymogi dla każdego z tych poziomów. Niniejsza
Instrukcja spełnia wymogi dla poziomu Wysokiego, co oznacza że zawiera ona takie
elementy, jak:
 sposoby ochrony przed zagrożeniami z zewnątrz,
 zasady szyfrowania uwierzytelnień osób upoważnionych do przetwarzania
danych (procedura nadawania loginów i haseł)
 sposoby zabezpieczenia urządzeń i nośników z danymi osobowymi
 sposoby zabezpieczenia pomieszczeń
 zasady monitorowania wdrożenia ochrony danych osobowych.
A. Środki bezpieczeństwa na poziomie podstawowym
I
1. Obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się przed
dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do
przetwarzania danych osobowych.
Strona 2 z 11
a)
b)
1)
2)
a)
b)
1)
2)
3)
2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1
rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności
osoby upoważnionej do przetwarzania danych osobowych.
II
1. W systemie informatycznym służącym do przetwarzania danych osobowych
stosuje się mechanizmy kontroli dostępu do tych danych.
2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają
co najmniej dwie osoby, wówczas zapewnia się, aby:
w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu
uwierzytelnienia.
III
System informatyczny służący do przetwarzania danych osobowych zabezpiecza
się, w szczególności przed:
działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego;
utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
IV
1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych,
nie może być przydzielony innej osobie.
2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego
zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez
wykonywanie kopii zapasowych zbiorów danych oraz programów służących do
przetwarzania danych.
4. Kopie zapasowe:
przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem,
modyfikacją, uszkodzeniem lub zniszczeniem;
usuwa się niezwłocznie po ustaniu ich użyteczności.
V
Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje
szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza
obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony
kryptograficznej wobec przetwarzanych danych osobowych.
VI
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane
osobowe, przeznaczone do:
likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to
możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się
wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich
odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez
administratora danych.
VII
Strona 3 z 11
Administrator
informatycznego.
danych
monitoruje
wdrożone
zabezpieczenia
systemu
B. Środki bezpieczeństwa na poziomie podwyższonym
VIII
W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się
ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki
specjalne.
IX
Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dane wrażliwe),
przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza
się w sposób zapewniający poufność i integralność tych danych.
X
Instrukcja zarządzania systemem informatycznym, o której mowa w § 5
rozporządzenia, rozszerza się o sposób stosowania środków, o których mowa w pkt IX
załącznika.
XI
Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa
określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej.
C. Środki bezpieczeństwa na poziomie wysokim
XII
1. System informatyczny służący do przetwarzania danych osobowych chroni się
przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub
logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1,
obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora
danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego
administratora danych.
XIII
Administrator danych stosuje środki kryptograficznej ochrony wobec danych
wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
XIV
Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa,
określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią
inaczej.
Strona 4 z 11
I. Procedury nadawania i zmiany uprawnień do przetwarzania danych
1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych
osobowych musi zapoznać się z:
1) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z
2002 Nr 101, poz. 926 z późn. zm.),
2) polityką bezpieczeństwa przetwarzania danych osobowych obowiązującą
w firmie …,
3) niniejszym dokumentem.
2. ABI przyznaje uprawnienia w zakresie dostępu do systemu
informatycznego na podstawie pisemnego upoważnienia osoby
upoważnionej do reprezentacji Przetwarzającego określającego zakres
uprawnień pracownika, którego wzór stanowi Załącznik Nr 1 do
niniejszego opracowania.
3. Jedynie prawidłowo wypełniony wniosek o nadanie uprawnień w systemie
oraz zmianę tych uprawnień jest podstawą rejestracji uprawnień w
systemie.
4. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego
polega na wprowadzeniu do systemu dla każdego użytkownika unikalnej
nazwy użytkownika „login”, hasła oraz zakresu dostępnych danych i
operacji.
5. Hasło ustanowione podczas przyznawania uprawnień przez ABI należy
zmienić na indywidualne podczas pierwszego logowania się w systemie
informatycznym.
Ustanowione
hasło,
administrator
przekazuje
użytkownikowi ustnie.
6. Pracownik ma prawo do wykonywania tylko tych czynności, do których
został upoważniony.
7. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy
użyciu jego loginu i hasła dostępu.
8. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień
traktowane będą jako naruszenie podstawowych obowiązków
pracowniczych.
9. Pracownik zatrudniony przy przetwarzaniu danych osobowych
zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje
go również po ustaniu zatrudnienia.
10. W systemie informatycznym stosuje się uwierzytelnianie dwustopniowe:
na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji.
11. Login użytkownika w aplikacji (o ile działanie aplikacji na to pozwala),
powinien być tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej.
12. Odebranie uprawnień pracownikowi następuje na pisemny wniosek
kierownika, któremu pracownik podlega z podaniem daty oraz przyczyny
odebrania uprawnień.
13. Login osoby, która utraciła uprawnienia do dostępu do danych osobowych
należy niezwłocznie wyrejestrować z systemu informatycznego, w którym
są one przetwarzane oraz unieważnić jej hasło.
Strona 5 z 11
II. Zasady posługiwania się hasłami
1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie
informatycznym może mieć miejsce wyłącznie po podaniu loginu i
właściwego hasła.
2.
Hasło użytkownika powinno być zmieniane co najmniej raz w
miesiącu.
3. Login użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a
po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien
być przydzielany innej osobie.
4.
Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł.
5.
Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich
ważności.
6.
Hasło należy wprowadzać w sposób, który uniemożliwia innym
osobom jego poznanie.
7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób
nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany
hasła.
8.
Przy wyborze hasła obowiązują następujące zasady:
1) minimalna długość hasła - 8 znaków
2) zakazuje się stosować:
a. haseł, które użytkownik stosował uprzednio w okresie minionego
roku,
b. swojej nazwy użytkownika w jakiejkolwiek formie (pisanej dużymi
literami, w odwrotnym porządku, dublując każdą literę, itp.),
c. ogólnie dostępnych informacji o użytkowniku takich jak: numer
telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu
osobistego, nazwa ulicy na której mieszka lub pracuje, itp.
d. wyrazów słownikowych,
e. przewidywalnych sekwencji znaków z klawiatury np.: „QWERTY”,
„12345678”,itp.
3) należy stosować:
a. hasła zawierające kombinacje liter i cyfr,
b. hasła zawierające znaki specjalne: znaki interpunkcyjne, nawiasy,
symbole @, #, &, itp. o ile system informatyczny na to pozwala,
c. hasła, które można zapamiętać bez zapisywania,
d. hasła łatwe i szybkie do wprowadzenia, po to by trudniej było
podejrzeć je osobom trzecim,
10. Zmiany hasła nie wolno zlecać innym osobom.
11. W systemach, które umożliwiają opcję zapamiętania nazw użytkownika
lub jego hasła nie należy korzystać z tego ułatwienia.
III. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie
1. Przed rozpoczęciem pracy w systemie komputerowym należy zalogować
się do systemu przy użyciu loginu oraz hasła.
Strona 6 z 11
2. Przy opuszczeniu stanowiska pracy należy wykonać operację wylogowania
z systemu operacyjnego lub jego zablokowania.
3. Osoba udostępniająca stanowisko komputerowe innemu upoważnionemu
pracownikowi zobowiązana jest wykonać operację wylogowania z systemu
operacyjnego.
4. Przed wyłączeniem zasilania komputera należy bezwzględnie zakończyć
pracę uruchomionych programów i wykonać zamknięcie systemu
operacyjnego.
IV. Procedury tworzenia zabezpieczeń
1. Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada ABI, a
w przypadku jego nieobecności ASI. W przypadku braku wyznaczenia ABI
i ASI obowiązki te sprawuje Administrator Danych Osobowych.
2. Kopie zapasowe wykonywane są co najmniej raz na miesiąc po
zakończeniu pracy wszystkich użytkowników w sieci komputerowej.
3. Zabezpieczenie wszystkich programów i danych wykonywane jest w
pierwszym tygodniu po 15 dniu każdego miesiąca.
V. Sposób, miejsce i okres przechowywania elektronicznych nośników
informacji zawierających dane osobowe oraz wydruków
1. Elektroniczne nośniki informacji:
1) Dane osobowe w postaci elektronicznej - za wyjątkiem kopii
bezpieczeństwa – zapisane na dyskach magnetooptycznych czy dyskach
twardych nie są wynoszone poza siedzibę firmy.
2) Wymienne elektroniczne nośniki informacji są przechowywane w
pokojach stanowiących obszar przetwarzania danych osobowych,
określony w Polityce bezpieczeństwa przetwarzania danych osobowych.
3) Po zakończeniu pracy przez użytkowników systemu, wymienne
elektroniczne nośniki informacji są przechowywane w zamykanych
szafach biurowych lub kasetkach.
4) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane
osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu
tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w
sposób uniemożliwiający ich odczytanie.
5) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane
osobowe, przeznaczone do przekazania innemu podmiotowi,
nieuprawnionemu do otrzymywania danych osobowych pozbawia się
wcześniej zapisu tych danych.
6) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane
osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu
tych danych albo naprawia się je pod nadzorem osoby upoważnionej.
2. Kopie zapasowe:
1) Kopie zapasowe zbioru danych osobowych oraz oprogramowania i
narzędzi programowych zastosowanych do przetwarzania danych
Strona 7 z 11
przechowywane są w pomieszczeniu zamykanym na klucz. Dostęp do
ww. pomieszczenia mają tylko upoważnieni pracownicy.
3. Wydruki:
1) W przypadku konieczności przechowywania wydruków zawierających
dane osobowe, należy je przechowywać w miejscu uniemożliwiającym
bezpośredni dostęp osobom niepowołanym
2) Pomieszczenie, w którym przechowywane są wydruki robocze musi być
należycie zabezpieczone po godzinach pracy.
3) Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia,
należy zniszczyć w stopniu uniemożliwiającym ich odczytanie.
VI. Środki ochrony systemu przed złośliwym oprogramowaniem, w tym
wirusami komputerowymi
1. Na każdym stanowisku komputerowym oraz serwerze musi być
zainstalowane oprogramowanie antywirusowe pracujące w trybie
monitora.
2. Każdy e-mail musi być sprawdzony pod kątem występowania wirusów
przez program antywirusowy.
3. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w
miesiącu.
4. Zabrania się używania nośników niewiadomego pochodzenia bez
wcześniejszego sprawdzenia ich programem antywirusowym.
Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć.
5. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia.
Każdy plik pobrany z Internetu musi być sprawdzony programem
antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik.
6. Zabrania się odczytywania załączników poczty elektronicznej bez
wcześniejszego sprawdzenia ich programem antywirusowym.
Sprawdzenia dokonuje pracownik, który pocztę otrzymał.
7. ASI przeprowadza cykliczne kontrole antywirusowe na wszystkich
komputerach - minimum co trzy miesiące.
8. Kontrola antywirusowa przeprowadzana jest również na wybranym
komputerze
w
przypadku
zgłoszenia
nieprawidłowości
w
funkcjonowaniu sprzętu komputerowego lub oprogramowania.
9. W przypadku wykrycia wirusów komputerowych sprawdzane jest
stanowisko komputerowe, na którym wirusa wykryto oraz wszystkie
posiadane przez użytkownika nośniki danych.
VII.
Zasady i sposób odnotowywania w systemie informacji o udostępnieniu
danych osobowych
1. Dane osobowe z eksploatowanych systemów mogą być udostępniane
wyłącznie osobom upoważnionym.
2. Udostępnienie danych osobowych, w jakiejkolwiek postaci, jednostkom
nieuprawnionym wymaga pisemnego upoważnienia ABI.
Strona 8 z 11
3. Dla każdej osoby, której dane są przetwarzane, system informatyczny
służący do przetwarzania danych osobowych (z wyjątkiem systemów
służących do przetwarzania danych osobowych ograniczonych wyłącznie
do edycji tekstu w celu udostępnienia go na piśmie) zapewnia
odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu (automatycznie),
2) identyfikatora użytkownika wprowadzającego dane osobowe do
systemu (automatycznie),
3) źródła danych (w przypadku zbierania danych nie od osoby, której
dotyczą),
4) informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy o ochronie
danych osobowych
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie
danych osobowych.
4. Dla każdej osoby, której dane osobowe są przetwarzane system
informatyczny, zapewnia sporządzenie i wydrukowanie raportu
zawierającego w powszechnie zrozumiałej formie informacje, o których
mowa w ust. 3.
VIII. Sposób postępowania
osobowych
w
sytuacji
naruszenia
ochrony
danych
Sposób postępowania w sytuacji stwierdzenia naruszenia ochrony danych
osobowych określa punkt 8 Polityki Bezpieczeństwa Ochrony Danych Osobowych
do niniejszej instrukcji.
IX.
X.
Procedury wykonywania przeglądów i konserwacji systemu
1. Przeglądy i konserwacja urządzeń:
1) przeglądy i konserwacja urządzeń wchodzących w skład systemu
informatycznego powinny być wykonywane w terminach określonym
przez producenta sprzętu,
2) nieprawidłowości ujawnione w trakcie tych działań powinny być
niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie
ujawnienia nieprawidłowości należy zawiadomić ABI,
2. Przegląd programów i narzędzi programowych
1) konserwacja baz danych przeprowadzana jest zgodnie z zaleceniami
twórców poszczególnych programów,
2) administrator bezpieczeństwa informacji w miarę możliwości powinien
uaktywnić mechanizm zliczania nieudanych prób zameldowania się do
systemu oraz ustawić blokadę konta użytkownika po wykryciu trzech
nieudanych prób, we wszystkich systemach posiadających taką funkcję,
Połączenie do sieci Internet
Strona 9 z 11
Podłączenie lokalnej sieci komputerowej firmy … do sieci Internet jest
dopuszczalne wyłącznie po zainstalowaniu i uruchomieniu odpowiednich
mechanizmów obronnych oraz kompleksowego oprogramowania antywirusowego.
Strona 10 z 11
ZAŁĄCZNIK NR 1
DO INSTRUKCJI ZARZĄDZANIA
SYSTEMEM INFORMATYCZNYM
WNIOSEK O NADANIE UPRAWNIEŃ
W SYSTEMIE INFORMATYCZNYM
Nowy użytkownik
Modyfikacja uprawnień
Odebranie uprawnień
Imię i Nazwisko użytkownika:
Opis uprawnień użytkownika w systemie informatycznym i uzasadnienie:
Data wystawienia:
Podpis osoby upoważnionej do reprezentacji:
Strona 11 z 11