Instrukcja Zarządzania Systemem Informatycznym Służącym do
Transkrypt
Instrukcja Zarządzania Systemem Informatycznym Służącym do
Obowiązuje od 03.01.2013r Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych Zespół Szkolno-Przedszkolny w Mazańcowicach 1 Zawartość Wprowadzenie .............................................................................................................................................................. 3 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych oraz wskazanie osoby odpowiedzialnej za te czynności ....................................................................................................................................................................... 3 Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem .............................. 4 Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie .......................................................................... 4 Kopie bezpieczeństwa danych osobowych ................................................................................................................... 5 Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków ..................... 5 Ochrona przed złośliwym oprogramowaniem .............................................................................................................. 6 Połączenie do sieci Internet .......................................................................................................................................... 6 Rozdzielenie sieci administracyjnej i dydaktycznej ....................................................................................................... 7 Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych .......................................................................................................................... 8 2 Wprowadzenie Celem Instrukcji Zarządzania System Informatycznym jest zapewnienie bezpieczeństwa danych osobowych przetwarzanych w Zespole Szkolno-Przedszkolnym w Mazańcowicach, oraz minimalizowanie incydentów mogących zagrozić bezpieczeństwu systemu. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych oraz wskazanie osoby odpowiedzialnej za te czynności 1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych. 2. Upoważnienia do przetwarzania danych osobowych, o których mowa w punkcie 1. przechowywane są w teczkach akt osobowych pracowników oraz prowadzona jest ich ewidencja. 3. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po: a) podaniu identyfikatora użytkownika i właściwego hasła w przypadku obsługi SIO, HERMES, BIP. b) podaniu właściwego hasła dostępu do stanowiska komputerowego w przypadku obsługi pakietu OFFICE. 4. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, Administrator Bezpieczeństwa Informacji ustala niepowtarzalny identyfikator i hasło początkowe. 5. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie. 6. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych w systemie informatycznym. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych, należy niezwłocznie wyrejestrować z systemu informatycznego, unieważnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym odpowiedzialny jest Administrator Bezpieczeństwa Informacji. 3 Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Dane osobowe przetwarzane są z użyciem dedykowanych serwerów, komputerów stacjonarnych. 2. Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane co 30 dni. 3. Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków alfanumerycznych i specjalnych. 4. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej. 5. Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych. Użytkownik nie może udostępnić swojego identyfikatora oraz hasła jak również dostępu do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani żadnej osobie postronnej. 6. Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, należy utrzymywać w tajemnicy, również po upływie jego ważności. 7. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi. 8. Hasła są zdeponowane w kasie pancernej w sekretariacie szkoły. 9. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji. Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie 1. Przed rozpoczęciem pracy z komputerem należy zalogować się do systemu informatycznego przy użyciu własnego indywidualnego identyfikatora i hasła. 2. W sytuacji opuszczenia stanowiska pracy na odległość uniemożliwiającą jego obserwację należy wylogować się z systemu. 3. Przed wyłączeniem komputera należy zakończyć pracę wszystkich używanych programów i wykonać o ile to możliwe prawidłowe zamknięcie systemu. 4. Niedopuszczalne jest wyłączanie komputera bez prawidłowego zamknięcia wszystkich programów i wylogowania z sieci komputerowej. 5. Przypadki nieprawidłowej pracy systemu informatycznego należy niezwłocznie zgłaszać do Administratora systemu informatycznego. 4 Kopie bezpieczeństwa danych osobowych 1. Kopie bezpieczeństwa danych osobowych przygotowywane są przez Administratora systemu informatycznego. 2. Kopie wykonywane są raz na miesiąc na dedykowanym dysku zewnętrznym. 3. Dysk do archiwizacji archiwizacji przechowywane są w zamkniętej szafie w archiwum elektronicznym – sala 11. 4. Raz w roku następuje klasyfikacja zarchiwizowanych danych na dysku co do dalszej przydatności. 6. Niepotrzebne dane są kasowane z dysku. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków 1. Elektroniczne nośniki informacji a. Dane osobowe w postaci elektronicznej zapisane na dyskietkach, pendrivach, dyskach twardych nie można wynosić poza siedzibę szkoły. b. Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych (określony w Polityce Bezpieczeństwa Danych Osobowych Zespole Szkolno-Przedszkolnym w Mazańcowicach). c. Po zakończeniu pracy przez użytkowników systemu, elektroniczne nośniki informacji są przechowywane wyłącznie w zamykanych szafach biurowych. d. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. e. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych. W przypadku, gdy nie jest to możliwe uszkadza się je w sposób uniemożliwiający ich odczytanie. f. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej. 2. Wydruki: a. W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym dostęp osobom nieuprawnionym. b. Pomieszczenie, w którym przechowywane są wydruki musi być zamknięte na klucz po godzinach pracy szkoły. 5 c. Wydruki zawierające dane osobowe w momencie przekazania do usunięcia są niszczone w sposób uniemożliwiający ich odczytanie (w specjalnej niszczarce do papieru znajdującej się w sekretariacie). Ochrona przed złośliwym oprogramowaniem 1. Każdy komputer służący do przetwarzania danych osobowych jest wyposażony w działający cały czas program antywirusowy. Program antywirusowy aktualizowany jest automatycznie przynajmniej raz na dwie godziny. 2. Cały ruch sieciowy z siecią publiczną monitorowany jest na bieżąco przez bramę antywirusową w routerze sieciowym. 3. Zabrania się stosowania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Za skanowanie odpowiedzialny jest użytkownik komputera. 4. Poczta elektroniczna jest automatycznie sprawdzana przez skaner antywirusowy. 5. Wykrycie wirusa użytkownik komputera ma obowiązek zgłosić natychmiast administratorowi systemu informatycznego. Połączenie do sieci Internet 1. Połączenie z siecią Internet (siecią publiczną) zabezpieczone jest przez moduł firewall działający na routerze sieciowym. 2. Na każdym komputerze w systemie informatycznym szkoły działa osobny firewall. 3. Zabronione jest połączenie z siecią Internet z niedziałającym programem antywirusowym (lub jego brakiem) i firewallem. 6 Rozdzielenie sieci administracyjnej i dydaktycznej W celu zapewnienia większego bezpieczeństwa danych osobowych rozdzielono sieć na część administracyjną (dyrektor, wicedyrektor, sekretariat, kuchnia, świetlica, pokój nauczycielski) i pozostałą (dydaktyczną): 7 Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1) upoważnienia do przetwarzania danych osobowych – znajdują się w teczkach osobowych pracowników 2) rejestr osób upoważnionych do przetwarzania danych osobowych – załącznik nr 1 3) identyfikator użytkownika i hasło dostępu 4) użytkownik ma obowiązek zablokowania stacji roboczej lub wylogowania się z systemu informatycznego służącego do przetwarzania danych osobowych w przypadku czasowego opuszczenia stanowiska pracy 5) zakończenie pracy w systemie służącym do przetwarzania danych osobowych poprzedzone jest zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych, takich jak dyskietki, płyty CD i inne, zawierających dane osobowe 6) zakaz wynoszenia poza pomieszczenia stanowiące obszar przetwarzania danych osobowych elektronicznych nośników informacji zawierających dane osobowe oraz kopie zapasowe 7) w przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych 8) ekrany komputerów umieszczone są w sposób uniemożliwiający obserwację przetwarzania danych przez osoby postronne 8