instrukcja zarządzania systemem informatycznym urzędu miejskiego

Załącznik Nr 2
do Zarządzenia Nr 3/2011
Burmistrza Barcina
z dnia 4 lutego 2011 r.
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
URZĘDU MIEJSKIEGO W BARCINIE
Podstawa prawna:
· Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101, poz.
926 z poźn. zm.),
· Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024).
I. Definicje.
Ilekroć w niniejszym dokumencie jest mowa o:
a) Urzędzie – należy przez to rozumieć Urząd Miejski w Barcinie,
b) Administratorze Danych Osobowych – należy przez to rozumieć Burmistrza
Barcina,
c) Administratorze Bezpieczeństwa Informacji – należy przez to rozumieć
pracownika urzędu – osobę wyznaczoną do nadzorowania oraz przestrzegania
zasad ochrony danych osobowych, zgodnie z Zarządzeniem Nr 34/2009
Burmistrza Barcina z dnia 30 grudnia 2009 r. w sprawie powołania Administratora
Bezpieczeństwa Informacji, odpowiedzialnego za bezpieczeństwo danych
osobowych w Urzędzie Miejskim w Barcinie.
d) Administratorze Systemu Informatycznego – należy przez to rozumieć
osobę odpowiedzialną za funkcjonowanie systemu informatycznego urzędu,
e) Identyfikator użytkownika – nazwa identyfikująca pracownika w systemie
informatycznym,
f) system informatyczny – zbiór programów, których funkcją jest przetwarzanie
powiązanych ze sobą informacji,
g) użytkowniku systemu – należy przez to rozumieć osobę upoważnioną do
przetwarzania danych osobowych w systemie informatycznym urzędu.
Użytkownikiem może być pracownik urzędu, osoba wykonująca pracę na
podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca
staż, praktykę w urzędzie lub wolontariusz,
h) sieci lokalnej – należy przez to rozumieć połączenie systemów
teleinformatycznych urzędu, przystosowane do potrzeb własnych, przy
wykorzystaniu urządzeń i sieci telekomunikacyjnych,
1
i) sieci publicznej – należy przez to rozumieć sieć Internet w rozumieniu ustawy z
dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r.
Nr 171, poz. 1800, z poźn. zm.).
II. Procedury nadawania i zmiany uprawnień do przetwarzania danych.
1. Każdy użytkownik systemu, na stanowisku którego przetwarzane są dane
osobowe, przed przystąpieniem do przetwarzania danych osobowych, musi
zapoznać się z:
· Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z
2002 r. Nr 101, poz. 926 z poźn. zm.),
· Polityką Bezpieczeństwa Informacji Urzędu Miejskiego w Barcinie, służącą
do ochrony danych osobowych,
· niniejszym dokumentem.
2. Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym
podpisem na oświadczeniu, którego wzór stanowi Załącznik Nr 2.
3. Administrator Bezpieczeństwa Informacji na wniosek Sekretarza Gminy lub
Kierownika danego Referatu, przyznaje uprawnienia w zakresie dostępu do
systemu informatycznego, zgodnie z upoważnieniem podpisanym przez
Administratora Danych Osobowych, które określa zakres uprawnień pracownika
oraz stanowisko, na jakim został zatrudniony; wzór wniosku stanowi
Załącznik Nr 1 do niniejszego opracowania.
4. Jedynie prawidłowo wypełniony wniosek o nadanie uprawnień w systemie oraz
zmianę tych uprawnień jest podstawą rejestracji uprawnień w systemie.
5. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na
wprowadzeniu do systemu dla każdego użytkownika unikalnego identyfikatora,
hasła oraz zakresu dostępnych danych i operacji.
6. Użytkownik systemu ma prawo do wykonywania tylko tych czynności, do których
został upoważniony.
7. Użytkownik systemu ponosi odpowiedzialność za wszystkie operacje wykonane
przy użyciu jego identyfikatora i hasła dostępu.
8. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień
traktowane będą jako naruszenie podstawowych obowiązków pracowniczych.
9. Użytkownik systemu zatrudniony przy przetwarzaniu danych osobowych
zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go
również po ustaniu zatrudnienia.
10.W systemie informatycznym stosuje się uwierzytelnianie dwustopniowe: na
poziomie dostępu do systemu komputera podłączonego do kontrolera domeny
oraz dostępu do aplikacji. Komputery nie podłączone do kontrolera domeny,
posiadają zabezpieczenie w postaci hasła dostępu do profilu lokalnego na
poziomie systemu operacyjnego.
11.Odebranie uprawnień pracownikowi następuje na pisemny wniosek Sekretarza
Gminy lub Kierownika danego Referatu, któremu pracownik podlega, z podaniem
daty oraz przyczyny odebrania uprawnień.
12.Sekretarz Gminy lub Kierownicy Referatów zobowiązani są informować
Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych
2
pracowników, mającej wpływ na zakres posiadanych uprawnień w systemie
informatycznym.
13.Identyfikator użytkownika systemu, który utracił uprawnienia do dostępu do
danych
osobowych,
należy
niezwłocznie
wyrejestrować
z
systemu
informatycznego, w którym są one przetwarzane oraz unieważnić jego hasło.
14.Administrator Bezpieczeństwa Informacji zobowiązany jest do prowadzenia i
ochrony rejestru użytkowników i ich uprawnień w systemie informatycznym.
15.Rejestr, którego wzór stanowi Załącznik Nr 3, powinien zawierać:
· imię i nazwisko użytkownika systemu informatycznego,
· unikalny identyfikator użytkownika systemu informatycznego,
· zakres upoważnienia (wykaz aplikacji, do których użytkownik posiada
dostęp),
· datę nadania uprawnienia,
· datę i przyczynę odebrania uprawnienia.
III. Zasady posługiwania się hasłami w aplikacjach, w których przetwarzane
są dane osobowe.
1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie
informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i hasła.
2. Hasło do profilu użytkownika, na stanowisku którego przetwarzane są dane
osobowe wymuszane jest przez kontroler domeny i zmieniane co 30 dni.
3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a
po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być
przydzielany innej osobie.
4. Użytkownicy są odpowiedzialni za zachowanie poufności swoich haseł.
5. Hasła użytkowników utrzymuje się w tajemnicy, również po upływie ich ważności.
6. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego
poznanie.
7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób
nieuprawniony, użytkownik zobowiązany jest do natychmiastowej zmiany hasła.
8. Przy wyborze hasła obowiązują następujące zasady:
a) minimalna długość hasła - 8 znaków,
b) zakazuje się stosować:
· haseł, które były wykorzystywane przez użytkownika uprzednio, w
okresie minionego roku,
· nazwy użytkownika w jakiejkolwiek formie (np. pisanej dużymi
literami, w odwrotnym porządku, dublując każdą literę, itp.,
· imienia, drugiego imienia, nazwiska, przezwiska lub pseudonimu
użytkownika,
· imion (w szczególności imion osób z najbliższej rodziny),
· ogólnie dostępnych informacji o użytkowniku takich jak: numer
telefonu, numer rejestracyjny samochodu, jego marka, numer
dowodu osobistego, nazwa ulicy, na której mieszka lub pracuje, itp.,
· wyrazów słownikowych,
· przewidywalnych sekwencji znaków z klawiatury np.: „QWERTY”,
„12345678”, itp.
3
c) należy stosować:
· hasła zawierające kombinacje liter i cyfr,
· hasła zawierające znaki specjalne: znaki interpunkcyjne, nawiasy,
symbole @, #, &, itp., o ile system informatyczny na to pozwala,
9. Zmiany hasła nie wolno zlecać innym osobom.
10.W systemach, które umożliwiają opcję zapamiętania nazw użytkownika lub jego
hasła nie należy korzystać z tego ułatwienia.
IV. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie.
1. Przed rozpoczęciem pracy w systemie komputerowym należy dokonać
uwierzytelnienia na poziomie systemu operacyjnego, poprzez podanie
identyfikatora i hasła. Następnie należy zalogować się do konkretnej aplikacji, w
której przetwarzane są dane osobowe, z wykorzystaniem innego identyfikatora
oraz hasła przydzielonego przez ASI.
2. Przy opuszczeniu stanowiska pracy na odległość uniemożliwiającą jego
obserwację, należy zastosować funkcję wylogowania z systemu (zablokowania
dostępu).
3. Uprawniony użytkownik systemu korzystający ze stanowiska komputerowego
innego użytkownika, zobowiązany jest zastosować przydzieloną mu nazwę
użytkownika i hasło do pracy w systemie.
4. Przed wyłączeniem komputera należy bezwzględnie zakończyć pracę
uruchomionych programów poprzez wylogowanie oraz wykonać zamknięcie
systemu.
5. Niedopuszczalne jest wyłączenie komputera przed wylogowaniem uruchomionych
aplikacji. Może to spowodować zablokowanie dostępu do programów na
określony czas.
V. Procedury tworzenia zabezpieczeń.
1. Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada Administrator
Systemu Informatycznego, a w przypadku jego nieobecności osoba, zastępująca
go w tym zakresie.
2. Kopie bezpieczeństwa wykonywane są codzienne po zakończeniu pracy
wszystkich użytkowników w sieci komputerowej, w sposób automatyczny na
dyskach twardych oraz nośnikach magnetycznych z wykorzystaniem streamera.
3. Dodatkowe zabezpieczenie wszystkich programów i danych na stanowiskach
lokalnych, wykonywane jest raz w miesiącu w postaci zapisu na płytach CD-R lub
DVD-R przez uprawnionego użytkownika.
VI. Sposób, miejsce i okres przechowywania elektronicznych nośników
informacji zawierających dane osobowe oraz wydruków.
A. Elektroniczne nośniki informacji.
1. Dane osobowe w postaci elektronicznej zapisane na nośnikach magnetycznych,
optycznych oraz pamięciach flash nie są wynoszone poza budynek urzędu.
4
2. Wymienne elektroniczne nośniki informacji są przechowywane w biurach
stanowiących obszar przetwarzania danych osobowych, określony w Polityce
Bezpieczeństwa Informacji.
3. Po zakończeniu pracy przez użytkowników systemu, wymienne elektroniczne
nośniki informacji są przechowywane w zamykanych szafach biurowych lub
kasetkach.
4. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe,
przeznaczone do likwidacji, wcześniej pozbawia się zapisanych danych, a w
przypadku gdy nie jest to możliwe, uszkadza się je w sposób mechaniczny,
uniemożliwiający ich odczytanie – o ile jest to możliwe, przy użyciu niszczarek.
5. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe,
przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do
otrzymywania danych osobowych, wcześniej pozbawia się zapisanych danych.
6. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe,
przeznaczone do naprawy, przed samą naprawą pozbawia się zapisanych danych
lub dokonuję się ich naprawy pod nadzorem osoby upoważnionej.
B. Kopie zapasowe.
1. Nośniki magnetyczne, na których wykonywane są kopie bezpieczeństwa,
przechowywane są w zamkniętej szafie na stanowisku Administratora Systemu
Informatycznego w biurze nr 23, a nośniki optyczne przechowuje się na
stanowisku bezpośrednio odpowiedzialnym za dany zbiór danych osobowych.
2. Dostęp do nośników opisanych w pkt 1, posiada Administrator Bezpieczeństwa
Informacji oraz upoważnieni do przetwarzania danych osobowych pracownicy
merytoryczni.
C. Wydruki.
1. W przypadku konieczności przechowywania wydruków zawierających dane
osobowe, należy je przechowywać w miejscu uniemożliwiającym bezpośredni
dostęp osobom niepowołanym.
2. Pomieszczenie, w którym przechowywane są wydruki robocze musi być należycie
zabezpieczone po godzinach pracy.
3. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy
zniszczyć w stopniu uniemożliwiającym ich odczytanie.
VII. Środki ochrony systemu przed złośliwym oprogramowaniem, w tym
wirusami komputerowymi.
1. Każde stanowisko komputerowe podłączone do sieci lokalnej oraz stanowisko, na
którym przetwarzane są dane osobowe, ma zainstalowane oprogramowanie
antywirusowe pracujące w trybie monitora.
2. Każdy e-mail wpływający do urzędu, musi być sprawdzony pod kątem
występowania wirusów przez oprogramowanie antywirusowe zainstalowane na
stanowisku komputerowym.
3. Definicje wzorców wirusów aktualizowane są codziennie, automatycznie.
4. Zabrania się używania nośników niewiadomego pochodzenia, bez wcześniejszego
sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik,
5
5.
6.
7.
8.
9.
który zamierza użyć nośnik lub zgłasza się z nim do Administratora Systemu
Informatycznego.
Zabrania się pobierania z sieci publicznej plików niewiadomego pochodzenia.
Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym.
Sprawdzenia dokonuje użytkownik, który pobrał plik.
Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego
sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik,
który otrzymał pocztę, o ile nie jest to wykonywane w sposób automatyczny
przez oprogramowanie antywirusowe.
Administrator Systemu Informatycznego przeprowadza cyklicznie zdalne kontrole
antywirusowe na wszystkich komputerach podłączonych do sieci lokalnej, nie
rzadziej jednak niż co trzy miesiące.
Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w
przypadku
zgłoszenia
nieprawidłowości
w
funkcjonowaniu
sprzętu
komputerowego lub oprogramowania.
W przypadku wykrycia wirusów komputerowych, sprawdzane jest stanowisko
komputerowe, na którym zagrożenie wykryto oraz wszystkie posiadane przez
użytkownika nośniki danych i współdzielone zasoby sieciowe.
VIII. Zasady i sposób odnotowywania w systemie, informacji o udostępnieniu
danych osobowych.
1. Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie
osobom upoważnionym.
2. Udostępnienie danych osobowych, w jakiejkolwiek postaci, jednostkom
nieuprawnionym wymaga pisemnego upoważnienia Administratora Danych
Osobowych.
3. Udostępnienie danych osobowych nie może być realizowane drogą telefoniczną.
4. Udostępnienie danych osobowych może nastąpić wyłącznie na wniosek, którego
wzór stanowi Załącznik Nr 4 do niniejszej instrukcji.
IX. Sposób postępowania w sytuacji naruszenia ochrony danych osobowych.
Sposób postępowania w sytuacji stwierdzenia naruszenia ochrony danych
osobowych określa Załącznik Nr 5 do niniejszej Instrukcji.
X. Procedury wykonywania przeglądów i konserwacji systemu.
A. Przeglądy i konserwacja urządzeń.
1. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego
powinny być wykonywane w terminach określonych przez producenta sprzętu.
2. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie
usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości
należy zawiadomić Administratora Bezpieczeństwa Informacji.
B. Przegląd programów i narzędzi programowych.
1. Konserwacja baz danych przeprowadzana jest zgodnie z zaleceniami twórców
poszczególnych programów.
6
2. Wszystkie nieudane próby logowania się do systemów zliczane oraz
przechowywane są na serwerze pełniącym rolę kontrolera domeny,
odpowiadającego za bezpieczeństwo na poziomie sieci lokalnej.
XI. Połączenie do sieci publicznej.
1. Połączenie lokalnej sieci komputerowej urzędu z Internetem jest zabezpieczone
mechanizmami ochrony, poprzez urządzenie pełniące rolę firewall’a oraz
oprogramowanie antywirusowe, zainstalowane na każdym stanowisku
komputerowym.
2. Opis zabezpieczenia stosowanego w urzędzie, na styku urząd – sieć publiczna,
jest opisany w Załączniku Nr 6 do niniejszej Instrukcji.
7