Instrukcja Zarządzania Systemem Informatycznym Służącym do

Obowiązuje od 03.01.2013r
Instrukcja Zarządzania
Systemem
Informatycznym Służącym
do Przetwarzania Danych
Osobowych
Zespół Szkolno-Przedszkolny
w Mazańcowicach
1
Zawartość
Wprowadzenie .............................................................................................................................................................. 3
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie
informatycznym służącym do przetwarzania danych osobowych oraz wskazanie osoby odpowiedzialnej za te
czynności ....................................................................................................................................................................... 3
Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem .............................. 4
Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie .......................................................................... 4
Kopie bezpieczeństwa danych osobowych ................................................................................................................... 5
Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków ..................... 5
Ochrona przed złośliwym oprogramowaniem .............................................................................................................. 6
Połączenie do sieci Internet .......................................................................................................................................... 6
Rozdzielenie sieci administracyjnej i dydaktycznej ....................................................................................................... 7
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i
rozliczalności przetwarzanych danych .......................................................................................................................... 8
2
Wprowadzenie
Celem Instrukcji Zarządzania System Informatycznym jest zapewnienie bezpieczeństwa danych
osobowych przetwarzanych w Zespole Szkolno-Przedszkolnym w Mazańcowicach, oraz minimalizowanie
incydentów mogących zagrozić bezpieczeństwu systemu.
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych
oraz wskazanie osoby odpowiedzialnej za te czynności
1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych,
może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych
osobowych.
2. Upoważnienia do przetwarzania danych osobowych, o których mowa w punkcie 1.
przechowywane są w teczkach akt osobowych pracowników oraz prowadzona jest ich
ewidencja.
3. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć
miejsce wyłącznie po:
a) podaniu identyfikatora użytkownika i właściwego hasła w przypadku obsługi SIO,
HERMES, BIP.
b) podaniu właściwego hasła dostępu do stanowiska komputerowego w przypadku obsługi
pakietu OFFICE.
4. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe,
Administrator Bezpieczeństwa Informacji ustala niepowtarzalny identyfikator i hasło
początkowe.
5. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu
użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie.
6. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych w
systemie informatycznym. Identyfikator osoby, która utraciła uprawnienia do dostępu do
danych osobowych, należy niezwłocznie wyrejestrować z systemu informatycznego,
unieważnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu
dostępowi tej osoby do danych. Za realizację procedury rejestrowania i
wyrejestrowywanie użytkowników w systemie informatycznym odpowiedzialny jest
Administrator Bezpieczeństwa Informacji.
3
Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem
1. Dane osobowe przetwarzane są z użyciem dedykowanych serwerów, komputerów stacjonarnych.
2. Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane co 30 dni.
3. Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków alfanumerycznych
i specjalnych.
4. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej.
5. Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych.
Użytkownik nie może udostępnić swojego identyfikatora oraz hasła jak również dostępu do stanowiska
roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani żadnej osobie postronnej.
6. Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, należy utrzymywać w tajemnicy,
również po upływie jego ważności.
7. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi.
8. Hasła są zdeponowane w kasie pancernej w sekretariacie szkoły.
9. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona,
użytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów
powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji.
Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie
1. Przed rozpoczęciem pracy z komputerem należy zalogować się do systemu
informatycznego przy użyciu własnego indywidualnego identyfikatora i hasła.
2. W sytuacji opuszczenia stanowiska pracy na odległość uniemożliwiającą jego
obserwację należy wylogować się z systemu.
3. Przed wyłączeniem komputera należy zakończyć pracę wszystkich używanych
programów i wykonać o ile to możliwe prawidłowe zamknięcie systemu.
4. Niedopuszczalne jest wyłączanie komputera bez prawidłowego zamknięcia wszystkich
programów i wylogowania z sieci komputerowej.
5. Przypadki nieprawidłowej pracy systemu informatycznego należy niezwłocznie zgłaszać do
Administratora systemu informatycznego.
4
Kopie bezpieczeństwa danych osobowych
1. Kopie bezpieczeństwa danych osobowych przygotowywane są przez Administratora systemu
informatycznego.
2. Kopie wykonywane są raz na miesiąc na dedykowanym dysku zewnętrznym.
3. Dysk do archiwizacji archiwizacji przechowywane są w zamkniętej szafie w archiwum
elektronicznym – sala 11.
4. Raz w roku następuje klasyfikacja zarchiwizowanych danych na dysku co do dalszej przydatności.
6. Niepotrzebne dane są kasowane z dysku.
Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz
wydruków
1. Elektroniczne nośniki informacji
a. Dane osobowe w postaci elektronicznej zapisane na dyskietkach, pendrivach, dyskach
twardych nie można wynosić poza siedzibę szkoły.
b. Wymienne elektroniczne nośniki informacji są przechowywane w pokojach
stanowiących obszar przetwarzania danych osobowych (określony w Polityce
Bezpieczeństwa Danych Osobowych Zespole Szkolno-Przedszkolnym w Mazańcowicach).
c. Po zakończeniu pracy przez użytkowników systemu, elektroniczne nośniki
informacji są przechowywane wyłącznie w zamykanych szafach biurowych.
d. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe,
przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do
otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych.
e. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe,
przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych. W
przypadku, gdy nie jest to możliwe uszkadza się je w sposób uniemożliwiający
ich odczytanie.
f. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe,
przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo
naprawia się je pod nadzorem osoby upoważnionej.
2. Wydruki:
a. W przypadku konieczności przechowywania wydruków zawierających dane
osobowe należy je przechowywać w miejscu uniemożliwiającym dostęp osobom
nieuprawnionym.
b. Pomieszczenie, w którym przechowywane są wydruki musi być zamknięte na
klucz po godzinach pracy szkoły.
5
c. Wydruki zawierające dane osobowe w momencie przekazania do usunięcia są
niszczone w sposób uniemożliwiający ich odczytanie (w specjalnej niszczarce do
papieru znajdującej się w sekretariacie).
Ochrona przed złośliwym oprogramowaniem
1. Każdy komputer służący do przetwarzania danych osobowych jest wyposażony
w działający cały czas program antywirusowy. Program antywirusowy aktualizowany
jest automatycznie przynajmniej raz na dwie godziny.
2. Cały ruch sieciowy z siecią publiczną monitorowany jest na bieżąco przez bramę
antywirusową w routerze sieciowym.
3. Zabrania się stosowania nośników niewiadomego pochodzenia bez wcześniejszego
sprawdzenia ich programem antywirusowym. Za skanowanie odpowiedzialny jest
użytkownik komputera.
4. Poczta elektroniczna jest automatycznie sprawdzana przez skaner antywirusowy.
5. Wykrycie wirusa użytkownik komputera ma obowiązek zgłosić natychmiast
administratorowi systemu informatycznego.
Połączenie do sieci Internet
1. Połączenie z siecią Internet (siecią publiczną) zabezpieczone jest przez moduł firewall
działający na routerze sieciowym.
2. Na każdym komputerze w systemie informatycznym szkoły działa osobny firewall.
3. Zabronione jest połączenie z siecią Internet z niedziałającym programem
antywirusowym (lub jego brakiem) i firewallem.
6
Rozdzielenie sieci administracyjnej i dydaktycznej
W celu zapewnienia większego bezpieczeństwa danych osobowych rozdzielono sieć na część
administracyjną (dyrektor, wicedyrektor, sekretariat, kuchnia, świetlica, pokój nauczycielski) i pozostałą
(dydaktyczną):
7
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
1) upoważnienia do przetwarzania danych osobowych – znajdują się w teczkach osobowych
pracowników
2) rejestr osób upoważnionych do przetwarzania danych osobowych – załącznik nr 1
3) identyfikator użytkownika i hasło dostępu
4) użytkownik ma obowiązek zablokowania stacji roboczej lub wylogowania się z systemu
informatycznego służącego do przetwarzania danych osobowych w przypadku czasowego
opuszczenia stanowiska pracy
5) zakończenie pracy w systemie służącym do przetwarzania danych osobowych poprzedzone
jest zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych, takich jak
dyskietki, płyty CD i inne, zawierających dane osobowe
6) zakaz wynoszenia poza pomieszczenia stanowiące obszar przetwarzania danych osobowych
elektronicznych nośników informacji zawierających dane osobowe oraz kopie zapasowe
7) w przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem
informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji
służących do przetwarzania danych osobowych, powinien on zostać
pozbawiony danych
osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub
naprawa powinna
zostać przeprowadzona w obecności administratora danych
8) ekrany komputerów umieszczone są w sposób uniemożliwiający obserwację przetwarzania
danych przez osoby postronne
8