polityka zarządzania bezpieczeństwem informacji

POLITYKA ZARZĄDZANIA
BEZPIECZEŃSTWEM INFORMACJI
URZĘDU MIASTA RYBNIKA
WYCIĄG
Aktualna wersja niniejszego dokumentu dostępna jest w Biuletynie Informacji
Publicznej Urzędu Miasta Rybnika oraz u Administratora Bezpieczeństwa Informacji.
1 lipca 2015 r.
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
SPIS TREŚCI
Wstęp
Część I:
POLITYKA BEZPIECZEŃSTWA INFORMACJI
Informacje ogólne
Ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu
umożliwiającego współużytkowanie informacji
Podstawowe definicje
Podstawowe zasady bezpieczeństwa informacji
Procedura szkoleń osób zaangażowanych w proces tworzenia
informacji (w szczególności danych osobowych).
Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa
Zapobieganie i wykrywanie wirusów oraz innego złośliwego
oprogramowania
Definicje ogólnych i szczególnych obowiązków w odniesieniu do
zarządzania bezpieczeństwem informacji, w tym przypadków
zgłaszania naruszeń bezpieczeństwa.
Administrator danych
Administrator Bezpieczeństwa Informacji
Osoby trzecie
Zasady zgłaszania naruszeń bezpieczeństwa informacji oraz zagrożeń
prawidłowej realizacji założeń PZBI
Konsekwencje naruszenia PZBI
Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych
danych
Podstawowe zasady gwarantujące bezpieczną pracę przy
przetwarzaniu mobilnym, zdalnym dostępie do zasobów Urzędu
Informacje o okresowym audycie wewnętrznym w zakresie
bezpieczeństwa informacji
Część II:
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym oraz wskazanie osób
odpowiedzialnych za te czynności
Stosowane metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem
Procedury rozpoczęcia, zawieszenie i zakończenia pracy przeznaczone dla
użytkowników systemu
Sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do niego
Urząd Miasta Rybnika
3
3
4
5
7
7
7
7
8
8
8
9
9
10
10
10
10
11
12
12
str. 2
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
WSTĘP
Polityka Zarządzania Bezpieczeństwem Informacji Urzędu Miasta Rybnika została
opracowana na zlecenie Administratora danych w celu spełnienia wymagań określonych:
a) ustawą z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U.
z 2014 roku poz. 1182 ze zmianami), zwaną dalej Ustawą,
b) w § 3, 4 i 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia
2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100,
poz. 1024), wydanego na podstawie art. 39a ustawy z 29 sierpnia 1997 roku o ochronie
danych osobowych (tekst jednolity Dz. U. z 2014 roku poz. 1182),
c) w § 20 ust. 1 i 2 rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie
Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych
i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów
teleinformatycznych (Dz. U. z 2012 roku poz. 526), zwanego dalej KRI.
CZĘŚĆ I
POLITYKA BEZPIECZEŃSTWA INFORMACJI
INFORMACJE OGÓLNE.
Polityka Zarządzania Bezpieczeństwem Informacji, zwana dalej Polityką lub PZBI, powstała
w związku z wykorzystywaniem:
- danych osobowych w rozumieniu ustawy o ochronie danych osobowych,
- innych, niż dane osobowe, danych (informacji) podlegających ochronie,
- technologii informatycznych do realizacji zadań statutowych Urzędu Miasta.
Niniejszy dokument stanowi najwyższej rangi dokument polityki zarządzania
bezpieczeństwem informacji, w tym przede wszystkim danych osobowych, przetwarzanych
w systemach informatycznym i tradycyjnym wykorzystywanych w Urzędzie Miasta Rybnika
oraz jest on wiążący dla pracowników wszystkich komórek organizacji wewnętrznej Urzędu
Miasta, stażystów, praktykantów i radnych Rady Miasta Rybnika (zwanych dalej radnymi)
korzystających z tych systemów oraz innych podmiotów (stron trzecich) mających do nich
dostęp na podstawie odrębnych umów, określających zasady korzystania z tych systemów.
Informacje niejawne nie zostały objęte zapisami niniejszego dokumentu. Zasady ochrony
informacji niejawnych reguluje ustawa o ochronie informacji niejawnych oraz opracowane na
jej podstawie wewnętrzne regulacje Urzędu.
OGÓLNE CELE I ZAKRES ORAZ ZNACZENIE BEZPIECZEŃSTWA JAKO MECHANIZMU
UMOŻLIWIAJĄCEGO WSPÓŁUŻYTKOWANIE INFORMACJI.
Celem zapewnienia bezpieczeństwa informacji, poprzez zachowanie poufności, integralności,
dostępności, rozliczalności, autentyczności, niezaprzeczalności danych, jest w szczególności:
1. ochrona zasobów informacji,
2. zapewnienie ciągłości działania Urzędu i sprawnej obsługi jego klientów i partnerów,
3. zgodność procesu przetwarzania informacji z przepisami prawa,
4. ochrona wizerunku Urzędu i Miasta.
Urząd Miasta Rybnika
str. 3
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
PODSTAWOWE DEFINICJE.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
ADMINISTRATOR DANYCH (AD) - Prezydent Miasta Rybnika, właściciel i administrator
zbiorów danych osobowych i innych danych (w tym również tych, które zostały mu
powierzone w ramach innych dokumentów) przetwarzanych w Urzędzie Miasta Rybnika,
decydujący o celach i środkach przetwarzania danych.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) – pracownik wyznaczony przez
Administratora danych do nadzorowania i zapewnienia przestrzegania przepisów
o ochronie danych osobowych, a w szczególności: sprawdzania zgodności przetwarzania
danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym
zakresie sprawozdania dla AD, nadzorowanie opracowania i aktualizacji dokumentacji
opisującej sposób przetwarzania danych, zapewnienie zapoznania osób upoważnionych
do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
prowadzenie rejestru zbiorów danych przetwarzanych przez AD.
BEZPIECZEŃSTWO INFORMACJI – oznacza zachowanie poufności, integralności
i dostępności informacji i oznacza, że informacje podlegające ochronie zabezpiecza się
przed nieautoryzowanym dostępem, zmianą, utratą, uszkodzeniem, zniszczeniem lub
zatajeniem.
DOSTĘPNOŚĆ INFORMACJI – oznacza, że osoby upoważnione mają dostęp do informacji
i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba.
ESOD – elektroniczny system obiegu dokumentów funkcjonujący w Urzędzie Miasta
Rybnika.
GIODO – Generalny Inspektor Ochrony Danych Osobowych.
HASŁO – ciąg znaków znanych jedynie osobie posiadającej uprawnienia do pracy
w systemie informatycznym służący, w połączeniu z identyfikatorem użytkownika, do
uwierzytelnienia użytkownika w systemie informatycznym.
IDENTYFIKATOR UŻYTKOWNIKA – ciąg znaków jednoznacznie identyfikujący
użytkownika systemu.
INCYDENT BEZPIECZEŃSTWA INFORMACJI – naruszenie bezpieczeństwa informacji
przetwarzanej w Urzędzie Miasta ze względu na poufność, dostępność i integralność,
INFORMACJE (DANE) – to wszystko, co posiada logiczne znaczenie jako przekaz treści
i nadaje się do praktycznego wykorzystania w procesach, skutkując osiągnięciem celu.
Informacja może być przetwarzana na różnych typach nośników (m.in. papierowych,
magnetycznych, optycznych itp.), w szczególności w systemach informatycznych.
INTEGRALNOŚĆ INFORMACJI – oznacza, że informacje są kompletne i dokładne oraz że
są przetwarzane w kontrolowany sposób (uniknięcie nieautoryzowanych zmian
w danych).
IZSI - Instrukcja Zarządzania Systemem Informatycznym.
KIEROWNIK – naczelnik wydziału bądź kierownik samodzielnej jednostki organizacyjnej
Urzędu Miasta Rybnika.
KONTO UŻYTKOWNIKA SYSTEMU – przestrzeń w systemie informatycznym przypisana
konkretnemu użytkownikowi i opatrzona hasłem. Nazwę konta użytkownika stanowi
identyfikator użytkownika.
MIASTO – Miasto Rybnik.
OSOBA TRZECIA – każda osoba (podmiot) niebędąca pracownikiem Urzędu Miasta
Rybnika, radnym, praktykantem bądź stażystą, która podejmuje z Urzędem Miasta
współpracę na podstawie innej niż umowa o pracę (w tym m.in. umowa cywilnoprawna)
i / lub prowadzi działania w imieniu i na rzecz Urzędu Miasta Rybnika.
PBI – Polityka Bezpieczeństwa Informacji.
Urząd Miasta Rybnika
str. 4
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
18.
PODSTAWOWE
ZASADY BEZPIECZEŃSTWA INFORMACJI
– zbiór zasad opisanych
w ust. 5 § 3.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
– oznacza, że dostęp do informacji mają tylko osoby
upoważnione (uniemożliwienie dostępu do danych osobom postronnym).
PRACOWNIK – osoba zatrudniona przez Urząd Miasta Rybnika na podstawie umowy
o pracę.
PRAKTYKANT - osoba niebędąca pracownikiem urzędu, odbywająca praktykę w Urzędzie
Miasta Rybnika.
STAŻYSTA – osoba niebędąca pracownikiem urzędu, odbywająca staż w Urzędzie Miasta
Rybnika.
PZBI – Polityka Zarządzania Bezpieczeństwem Informacji, składająca się z Polityki
Bezpieczeństwa Informacji (PBI) i Instrukcji Zarządzania Systemem Informatycznym
(IZSI).
ROZLICZALNOŚĆ – proces monitorowania aktywności użytkownika pozwalający
określić: z jakich zasobów, kiedy i jak długo korzystał lub do których odmówiono mu
dostępu; pozwala na jednoznaczne przypisanie działań związanych z przetwarzaniem
danych osobie, która te działania wykonała w celu wsparcia zasad poufności,
integralności i dostępności.
SYSTEM – system przetwarzania (informacji) – zespół określonych komponentów
fizycznych i logicznych, współpracujących ze sobą według określonych reguł, służący do
przetwarzania informacji; system składa się z systemu informatycznego i systemu
tradycyjnego.
SYSTEM INFORMATYCZNY – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowanych zastosowanych w celu
przetwarzania danych.
SYSTEM OBCY – system informatyczny nie administrowany przez Wydział Informatyki.
SYSTEM TRADYCYJNY – system przetwarzania informacji w postaci papierowej
np. archiwum papierowe, kartoteka.
URZĄD – Urząd Miasta Rybnika.
USTAWA – ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst
jednolity Dz. U. z 2014 roku poz. 1182 ze zmianami).
UŻYTKOWNIK SYSTEMU – osoba upoważniona do przetwarzania danych w systemie
informatycznym, której utworzono konto użytkownika systemu.
POUFNOŚĆ INFORMACJI
PODSTAWOWE ZASADY BEZPIECZEŃSTWA INFORMACJI.
1. Każdy, kto przetwarza informacje Urzędu zobowiązany jest do stosowania niżej opisanych
zasad bezpieczeństwa.
2. Każdy przetwarzający dane osobowe posiada upoważnienie AD do przetwarzania danych
osobowych. Zabrania się przetwarzania danych osobowych bez ważnego upoważnienia.
3. Podstawowe zasady bezpieczeństwa informacji:
1) ZASADA WIEDZY KONIECZNEJ - w myśl której dostęp do informacji ograniczony jest
do tych, które są niezbędne do prawidłowego wykonywania obowiązków na danym
stanowisku. Za przestrzeganie tej zasady odpowiedzialni są kierownicy.
2) ZASADA ŚWIADOMOŚCI ZBIOROWEJ – wszyscy są świadomi konieczności ochrony
zasobów, zapewnienia ich dostępności, poufności, integralności i aktywnie w tym
procesie uczestniczą.
3) ZASADA ŚWIADOMEJ KONWERSACJI – polega na tym, że nie zawsze i wszędzie trzeba
mówić co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi.
4) ZASADA ODPOWIEDZIALNOŚCI ZA ZASOBY – każdy, kto przetwarza informacje jest
odpowiedzialny za zapewnienie ich dostępności, poufności i integralności poprzez
Urząd Miasta Rybnika
str. 5
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
przestrzeganie procedur ich bezpiecznego przetwarzania oraz ochronę przyznanych
zasobów, w tym za szkody wyrządzone w systemie informatycznym przez
nieautoryzowane oprogramowanie lub niewłaściwe korzystanie z urządzeń systemu
informatycznego.
5) ZASADA CHRONIONEGO POMIESZCZENIA – wyraża się tym, że pod nieobecność osoby
uprawnionej w pomieszczeniach (poza ogólnodostępnymi typu korytarze) nie mogą
przebywać osoby postronne, po opuszczeniu pomieszczenia osoba odpowiedzialna
zamyka je na klucz (bez pozostawiania kluczy w zamkach – wyjątek stanowi
ewakuacja), szczegółowe zasady ochrony pomieszczeń zostały zawarte w „Zasadach
ochrony Urzędu Miasta Rybnika” przyjętych Zarządzeniem Prezydenta Miasta.
6) ZASADA NADZOROWANIA KLUCZY – pobrane klucze do pomieszczeń powinny być
w każdym czasie pod kontrolą (zasady pobierania i zdawania kluczy określone są
w „Zasadach ochrony Urzędu Miasta Rybnika”). Pracownicy odpowiedzialni są za
należyte zabezpieczenie kluczy do ich biurek stanowiskowych oraz szaf biurowych,
w których przechowywane są dokumenty; ostatni pracownik opuszczający dane
pomieszczenie po zakończeniu pracy zamyka szafy i chowa klucze w bezpieczne,
ustalone z pozostałymi współpracownikami miejsce.
7) ZASADA CZYSTEGO BIURKA – wyraża się tym, że zarówno dokumentów papierowych,
jak i jakichkolwiek innych nośników informacji (płyt CD, DVD, pamięci flash, USB
itp.), nie pozostawia się bez nadzoru.
8) ZASADA CZYSTEGO EKRANU – każdorazowe opuszczenie pomieszczenia w godzinach
pracy powinno zostać poprzedzone zablokowaniem komputera; na wszystkich stacjach
aktywny jest wygaszasz ekranu zabezpieczony hasłem, który aktywizuje się
automatycznie po przekroczeniu max. 15 minut braku aktywności. Każdy użytkownik
systemu zobowiązany jest zadbać, aby po zakończeniu pracy sprzęt został poprawnie
wyłączony.
9) ZASADA CZYSTEGO KOMPUTERA – osoby korzystające z komputerów przenośnych
wypożyczonych z Wydziału Informatyki zobowiązane są po zakończeniu na nich
pracy usunąć wszystkie skopiowane bądź utworzone na nich informacje.
10) ZASADA CZYSTEJ DRUKARKI –wszyscy pracownicy, praktykanci i stażyści
zobowiązani są do zabierania dokumentów z drukarek zaraz po ich wydrukowaniu
(dotyczy to zwłaszcza drukarek usytuowanych w miejscach ogólnie dostępnych).
11) ZASADA CZYSTEGO KOSZA – nieprzydatne dokumenty, brudnopisy, zbędne kopie
muszą zostać trwale zniszczone w sposób uniemożliwiający odtworzenie zawartych
w nich informacji. Zasada ta dotyczy również informacji zapisanych w innej niż
papierowa formie – na nośnikach elektronicznych. Do kosza na śmieci nie wyrzuca się
płyt CD/DVD oraz innych nośników, powinny one zostać zniszczone
w specjalistycznych niszczarkach. W przypadku, gdy będzie to niemożliwe nośniki te
należy przekazać do Wydziału Informatyki celem ich utylizacji.
12) ZASADA CZYSTEJ TABLICY – w przypadku korzystania z tablic w salach
ogólnodostępnych osoba organizująca spotkanie musi uprzątnąć wszystkie pozostałe
tam materiały i wyczyścić tablice; pracownicy korzystający z tablic w biurach
zobowiązani są do nie zamieszczania na tablicach informacji podlegających ochronie.
13) ZASADA LEGALNOŚCI OPROGRAMOWANIA – zabrania się samodzielnego instalowania
oprogramowania, a także przechowywania na komputerach treści naruszających
prawo.
14) ZASADA WERYFIKACJI PRZENOŚNYCH NOŚNIKÓW DANYCH (np. pendrive, CD, DVD)
– każdy komputer wymusza przeprowadzenie skanowania przez system antywirusowy
zewnętrznych nośników danych przed ich uruchomieniem.
Urząd Miasta Rybnika
str. 6
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
15) ZASADA ZGŁASZANIA ZDARZEŃ, INCYDENTÓW, NIEPRAWIDŁOWEJ PRACY SPRZĘTU –
każdy użytkownik systemu zobowiązany jest do zgłaszania wszelkich zauważonych
nietypowych zdarzeń, incydentów oraz nieprawidłowej pracy sprzętu.
16) ZASADA MONITORINGU – każde stanowisko komputerowe może zostać objęte
monitorowaniem działania użytkowników i oprogramowania.
17) ZASADA ASEKURACJI – polega na tym, że każdy mechanizm zabezpieczający system
jest ubezpieczony drugim; w szczególnych przypadkach może zostać zastosowana
większa liczba mechanizmów zabezpieczających; możliwe jest stosowanie
zabezpieczeń technicznych i organizacyjnych.
PROCEDURA SZKOLEŃ OSÓB ZAANGAŻOWANYCH W PROCES PRZETWARZANIA INFORMACJI
(W SZCZEGÓLNOŚCI DANYCH OSOBOWYCH).
WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA.
Za szkolenia w zakresie ochrony danych osobowych jest odpowiedzialny ABI lub wskazana
przez niego osoba. Typy szkoleń:
- szkolenia wprowadzające,
- szkolenia okresowe,
- szkolenie uzupełniające.
ZAPOBIEGANIE I WYKRYWANIE WIRUSÓW ORAZ INNEGO ZŁOŚLIWEGO OPROGRAMOWANIA.
W celu spełnienia wymogów PZBI w systemie informatycznym stosuje się ochronę przed
wirusami i złośliwym oprogramowaniem poprzez rozwiązania organizacyjne oraz specjalne
oprogramowanie. Poprawne działanie oprogramowania zależy zarówno od jego konfiguracji
jak i od prawidłowych zachowań pracowników. Aby zagwarantować wysoki poziom ochrony,
konieczne jest przestrzeganie następujących zaleceń:
1) Nośniki i dane pochodzące ze źródeł nie gwarantujących ochrony przed wirusami muszą
być sprawdzane przed ich wprowadzeniem do systemu Urzędu. Sprawdzenie to jest
wykonywane automatycznie, przez zainstalowane oprogramowanie.
2) Pracownikom nie wolno tworzyć, generować, kompilować, kopiować, rozpowszechniać,
uruchamiać ani wprowadzać do systemu żadnego oprogramowania, które może się
automatycznie powielać, niszczyć dane, zagrażać ich bezpieczeństwu lub w jakikolwiek
sposób zakłócać działanie systemu informatycznego.
DEFINICJE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA
BEZPIECZEŃSTWEM INFORMACJI, W TYM PRZYPADKÓW ZGŁASZANIA NARUSZEŃ
BEZPIECZEŃSTWA. KONSEKWENCJE NARUSZENIA BEZPIECZEŃSTWA.
W ramach PZBI definiuje się następujące role i odpowiedzialności:
1. ADMINISTRATOR DANYCH, a w szczególności danych osobowych.
Do obowiązków Administratora danych należy:
a) pełnienie roli Administratora danych w rozumieniu art. 7 pkt 4) Ustawy,
b) powołanie ABI,
c) delegowanie praw i obowiązków Zarządzającemu Zbiorami Danych stosownie do
istniejącego w Urzędzie schematu organizacyjnego,
d) wprowadzenie w życie PZBI oraz zatwierdzanie jej aktualizacji przedstawianych przez
ABI.
Urząd Miasta Rybnika
str. 7
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
2. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI:
Do uprawnień ABI, w tym wynikających z art. 36a pkt 2 Ustawy, należą:
− wyznaczanie, rekomendowanie i egzekwowanie wykonania zadań związanych
z ochroną danych osobowych w Urzędzie Miasta Rybnika,
− wstęp do pomieszczeń w których zlokalizowane są zbiory danych i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności
przetwarzania danych z ustawą,
− żądanie złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia
stanu faktycznego,
− żądanie okazania dokumentów i wszelkich danych mających bezpośredni związek
z problematyką kontroli,
− żądanie udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych.
3. OSOBY TRZECIE
Osoby trzecie są zobowiązane do stosowania zasad PZBI obowiązujących w Urzędzie
w ramach realizowanych przez nich zadań i w tym zakresie podlegają kontroli ABI, w tym
także:
a) zgłaszanie wszelkich zauważonych problemów związanych z zabezpieczeniem
fizycznym i informatycznym Urzędu, ograniczających możliwość stosowania zasad
bezpieczeństwa informacji (np. wadliwe działanie sprzętu informatycznego, braki
w zabezpieczeniu pomieszczeń, budynku itp.),
b) zgłaszanie incydentów bezpieczeństwa informacji oraz słabych punktów PZBI do ABI
zgodnie z pkt. 4.
4. ZASADY
ZGŁASZANIA NARUSZEŃ BEZPIECZEŃSTWA INFORMACJI ORAZ ZAGROŻEŃ
PRAWIDŁOWEJ REALIZACJI ZAŁOŻEŃ PZBI:
a) Incydent naruszenia bezpieczeństwa informacji polega na udostępnieniu lub
umożliwieniu dostępu osobie nieupoważnionej, nieuprawnionym ujawnieniu
informacji, utracie, uszkodzeniu, zniszczeniu jej nośnika lub jakiegokolwiek elementu
jej zabezpieczenia. W szczególności incydentem naruszenia bezpieczeństwa
informacji jest:
− nieautoryzowany dostęp do danych,
− nieautoryzowany dostęp do sytemu informatycznego,
− nieautoryzowana modyfikacja lub zniszczenie danych,
− nieautoryzowane udostępnienie danych,
− nielegalne ujawnienie danych,
− pozyskiwanie danych z nielegalnych źródeł,
− ujawnienie wirusów komputerowych lub innych programów godzących
w integralność systemu informatycznego,
− kradzież nośników zawierających dane,
− rażące nieprzestrzeganie PZBI lub aktów prawnych regulujących zagadnienia
bezpieczeństwa informacji oraz ochrony danych osobowych,
− wydarzenie losowe obniżające stan bezpieczeństwa systemu (brak zasilania, pożar
itp.),
b) Każda osoba, która stwierdziła wystąpienie incydentu bezpieczeństwa informacji
zobowiązana jest do niezwłocznego pisemnego powiadomienia o tym fakcie ABI.
c) Zgłoszenie powinno zawierać:
− opis naruszenia,
− określenie sytuacji i czasu, w jakim je stwierdzono,
Urząd Miasta Rybnika
str. 8
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
d)
e)
f)
g)
h)
− określenie wszelkich istotnych informacji mogących wskazywać na przyczynę
naruszenia.
Potwierdzone przez ABI informacje o naruszeniach i zagrożeniach bezpieczeństwa
powinny być niezwłocznie przez niego przekazane Zarządzającemu Zbiorami Danych
oraz Naczelnikowi Wydziału Informatyki w zakresie dotyczącym systemu
informatycznego.
Przekazywanie informacji o zagrożeniach lub naruszeniach poza Urząd jest
zabronione do czasu uzyskania zgody ABI w porozumieniu z AD i Naczelnikiem
Wydziału Informatyki w zakresie dotyczącym systemu informatycznego. Zakaz ten
nie dotyczy sytuacji, w których obowiązek przekazania takiej informacji wynika
z przepisów polskiego prawa.
Jakiekolwiek próby powstrzymania pracownika przed zgłoszeniem podejrzenia
zagrożenia lub naruszenia bezpieczeństwa są zabronione i powodować powinny
konsekwencje dyscyplinarne. Podobnym konsekwencjom podlegać muszą próby
karania pracowników za zgłoszenie podejrzenia. Urząd chroni wszystkich
pracowników zgłaszających w dobrej wierze podejrzenia zagrożenia lub naruszenia
bezpieczeństwa informacji, niezależnie od zasadności tych podejrzeń.
Reakcja na incydent może być realizowana w dwóch niezależnych trybach:
• reakcja wewnętrzna – np.: rekonfiguracja systemu informatycznego, zmiana PZBI,
wyciągnięcie konsekwencji personalnych, implementacja wniosków na przyszłość,
• reakcja zewnętrzna – np.: powiadomienie policji, prokuratury.
ABI prowadzi rejestr incydentów bezpieczeństwa informacji. Informacje w rejestrze
są przechowywane przez okres 3 lat. Po tym okresie są przekazywane do archiwum
i przechowywane zgodnie z kategorią archiwalną. ABI przeprowadza analizę
zebranych danych w rejestrze raz w roku, wyniki analizy wraz z wnioskami
przedstawia AD celem akceptacji.
5. KONSEKWENCJE NARUSZENIA PZBI
Niestosowanie się do postanowień PZBI może pociągać za sobą konsekwencje
dyscyplinarne z rozwiązaniem umowy o pracę / staż / praktykę włącznie i/lub
konsekwencje prawne. Konsekwencje powinny być uzależnione od stopnia złej woli
użytkownika, od powtarzania się naruszenia i od rodzaju zagrożenia dla bezpieczeństwa
danych.
Naruszenie zasad PZBI przez użytkownika może być na wniosek ABI powiązane
z natychmiastowym odebraniem dostępu do informacji.
Aby podkreślić wagę naruszeń bezpieczeństwa przez pracowników, każde takie
naruszenie powinno powodować rozważenie roszczeń odszkodowawczych lub
poinformowanie organów ścigania. Decyzję w tym zakresie podejmuje AD.
OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA
ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH.
Opracowano i wdrożono „Zasady ochrony Urzędu Miasta Rybnika”; dokument ten określa:
− zasady organizacji ochrony w budynkach Urzędu,
− zadania funkcjonariuszy Straży Miejskiej oraz pracowników Urzędu w zakresie ochrony
budynków Urzędu,
− zasady dostępu do pomieszczeń budynków Urzędu pracowników i osób trzecich (w tym
pomieszczeń chronionych) – na portierni znajdują się listy osób upoważnionych do
pobierania kluczy do poszczególnych pomieszczeń / budynków,
− zasady pobierania i zdawania kluczy / kluczy rezerwowych do pomieszczeń (polityka
kluczy),
Urząd Miasta Rybnika
str. 9
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
− zasady organizacji pracy poza godzinami pracy Urzędu.
PODSTAWOWE ZASADY GWARANTUJĄCE BEZPIECZNĄ PRACĘ PRZY PRZETWARZANIU
MOBILNYM, ZDALNYM DOSTĘPIE DO ZASOBÓW URZĘDU.
1. W Urzędzie dopuszczalny jest zdalny dostęp do zasobów sieci wewnętrznej systemu
informatycznego tylko i wyłącznie w celach:
a) administracyjnych – dotyczy to pracowników Wydziału Informatyki, którzy realizują
swoje zadania,
b) diagnostyczno - serwisowych – dotyczy to pracowników upoważnionych firm
zewnętrznych.
2. Zgodę na zdalny dostęp wyraża Naczelnik Wydziału Informatyki po uzyskaniu akceptacji
ABI. Warunki korzystania ze zdalnego dostępu określa procedura „Zdalny dostęp”.
INFORMACJE O OKRESOWYM AUDYCIE WEWNĘTRZNYM W ZAKRESIE BEZPIECZEŃSTWA
INFORMACJI.
1. Zgodnie z przepisami Krajowych Ram Interoperacyjności zapewnia się przeprowadzenie
corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji.
2. Audyt ten będzie przeprowadzany na przemian co dwa lata przez Wydział Audytu
i Kontroli Wewnętrznej oraz przez wyspecjalizowaną firmę zewnętrzną, która zostanie
wybrana przy zastosowaniu ustawy prawo zamówień publicznych oraz obowiązującego
w Urzędzie regulaminu w zakresie udzielania zamówień publicznych.
CZĘŚĆ II
INSTRUKCJA ZARZĄDZANIA SYSTEM INFORMATYCZNYM
PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH
UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSÓB ODPOWIEDZIALNYCH
ZA TE CZYNNOŚCI.
1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez ABI. Upoważnienia nadawane są indywidualnie przed
rozpoczęciem przez dana osobę przetwarzania danych osobowych w danym zbiorze.
2. Upoważnienie do przetwarzania danych osobowych wydaje się dla osób pracujących
w systemie informatycznym.
3. Po odbyciu szkolenia wprowadzającego wydawane jest w czterech egzemplarzach
upoważnienie. Każdy z egzemplarzy musi być podpisany przez osobę, której dotyczy:
jeden egzemplarz upoważnienia jest przechowywany jako część dokumentacji kadrowej
lub innej dokumentacji dopuszczającej daną osobę do pracy w systemie Urzędu, drugi jest
wydawany pracownikowi, któremu nadano upoważnienie, trzeci jest przechowywany
w Wydziale Organizacyjnym, natomiast czwarty egzemplarz stanowi część dokumentacji
ABI.
4. W przypadku powierzenia przetwarzania danych osobowych strona, której powierzono
dane do przetwarzania, zobowiązana jest do realizacji czynności z tym związanych
zgodnie z obowiązującym prawem.
5. W przypadkach wystąpienia incydentu bezpieczeństwa informacji ABI ma prawo
w każdym czasie odebrać uprawnienia użytkownikowi systemu informatycznego.
Urząd Miasta Rybnika
str. 10
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
6.
Po wygaśnięciu zobowiązania stosunku pracy / zakończenia stażu / praktyki Naczelnik
Wydziału Informatyki zobowiązany jest do realizacji czynności związanych
z wygaśnięciem nadanych uprawnień.
STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH
ZARZĄDZANIEM I UŻYTKOWANIEM.
1. Użytkownicy systemu informatycznego przetwarzającego dane wykorzystują
w procesie uwierzytelniania identyfikatory i hasła. Identyfikatory są przekazywane wraz
z hasłem przez pracownika Wydziału Informatyki. Przekazane hasła należy zmienić przy
pierwszym logowaniu.
2. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega
zmianie, poza koniecznością wynikającą ze zmiany nazwiska, wymogów technicznych
oprogramowania. Zmieniony identyfikator nie może zostać przydzielony innemu
użytkownikowi. Dotyczy to również identyfikatorów osób z którymi wygasł / rozwiązano
stosunek pracy. Stary identyfikator jest archiwizowany w systemie informatycznym.
3. Dopuszcza się stosowanie innych rozwiązań autoryzacji np. kart stykowych zastępujących
identyfikator konta użytkownika systemu.
4. Hasło dostępu do systemu informatycznego przetwarzającego dane osobowe musi spełniać
poniższe warunki:
a) nie jest krótsze niż 8 znaków;
b) zawiera małe i duże litery, oraz cyfry i znaki specjalne;
c) hasło jest zmieniane przez użytkownika nie rzadziej niż co 30 dni oraz powinno różnić
się od dwudziestu ostatnio używanych haseł.
5. Liczba nieudanych prób logowania do systemu informatycznego jest kontrolowana przez
system lub sieć; trzykrotne wprowadzenie błędnego hasła blokuje konto użytkownika
systemu.
6. Zablokowanie konta użytkownika systemu może nastąpić w wyniku utraty ważności hasła
po przekroczeniu 30 dni od dokonania ostatniej jego zmiany.
7. Informacja o zablokowaniu konta użytkownika systemu jest zarejestrowana przez system.
8. Pracownik, u którego wystąpiło zablokowanie konta użytkownika systemu, niezwłocznie
informuje o tym pracownika Wydziału Informatyki.
9. Po zweryfikowaniu przez pracownika Wydziału Informatyki przyczyny zablokowania
konta użytkownika systemu, konto może zostać odblokowane.
10. Użytkownik zobowiązany jest do:
a) nieujawniania hasła innym osobom,
b) zachowania hasła w tajemnicy, również po jego wygaśnięciu,
c) niezapisywania hasła,
d) przestrzegania zasad dotyczących jakości i częstości zmian hasła,
e) wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez
innych użytkowników systemu.
11. W przypadku, gdy użytkownik nie pamięta hasła powinien zwrócić się do pracownika
Wydziału Informatyki o wygenerowanie nowego hasła.
12. Konto użytkownika systemu zostaje również zablokowane przez pracownika Wydziału
Informatyki w przypadku:
- naruszenia przez użytkownika zasad PZBI (na wniosek ABI),
- złożenia wniosku o odebranie uprawnień,
- rozwiązania umowy o pracę / staż / praktykę,
- wygaśnięcie umowy o pracę,
- wygaśnięcia / rozwiązania / odstąpienia od umowy z osobą trzecią,
Urząd Miasta Rybnika
str. 11
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
- wygaśnięcia terminu ważności upoważnienia do przetwarzania danych osobowych,
- przekazania w systemie ESOD informacji przez kierownika nadzorującego
użytkownika systemu informatycznego, że nie będzie on korzystał z systemu dłużej
niż 1 miesiąc.
13. W sytuacjach jakiejkolwiek nieobecności użytkownika, w celu zapewnienia sprawnego
funkcjonowania Urzędu, dostęp do konta użytkownika systemu może zostać
udostępniony, za zgodą ABI, przez pracownika Wydziału Informatyki, osobie
wnioskującej. Udostępnieniu podlegają jedynie dane zgromadzone na koncie
użytkownika systemu, a nie samo konto.
PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY, PRZEZNACZONE
DLA UŻYTKOWNIKÓW SYSTEMU.
1. Rozpoczynając pracę w systemie informatycznym użytkownik:
1) wprowadza niezbędne do pracy identyfikatory i hasła do uruchamianych programów;
2) wprowadza hasła w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie;
3) kontaktuje się z pracownikiem Wydziału Informatyki w przypadku problemów
z rozpoczęciem pracy, spowodowanych odrzuceniem przez system wprowadzonego
hasła i identyfikatora;
4) kontaktuje się z pracownikiem Wydziału Informatyki w przypadku niestandardowego
zachowania aplikacji przetwarzającej dane, który weryfikuje przyczynę
niestandardowego zachowania aplikacji i powiadamia ABI w przypadku wystąpienia
incydentu bezpieczeństwa informacji.
2. Zawieszając pracę w systemie informatycznym (w tym odchodząc od stanowiska pracy)
użytkownik blokuje dostęp do swojego konta, korzystając z kombinacji klawiszy
ctrl+alt+del. Kontynuacja pracy może nastąpić po odblokowaniu konta użytkownika
systemu przez ponowne wciśnięcie kombinacji klawiszy ctrl+alt+del oraz wprowadzenie
hasła, w sposób gwarantujący jego ochronę przed podejrzeniem przez osoby trzecie.
Blokowanie konta użytkownika systemu ma być świadomym działaniem użytkownika,
a nie może wynikać jedynie z działania wygaszacza ekranu i automatycznego blokowania
konta przez system.
3. Przed zakończeniem pracy należy zapisać bieżące prace, oraz – o ile jest to możliwe –
przenieść pliki tymczasowo przechowywane na dysku lokalnym na zasób sieciowy w celu
ich archiwizacji. Kończąc pracę w systemie informatycznym pracownik wylogowuje się ze
wszystkich aplikacji, z których korzystał oraz zamyka system operacyjny i wyłącza
komputer.
SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ
OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO
NIEGO.
1. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego
oprogramowania za pomocą następujących środków (programowe i sprzętowe):
1) systemu antywirusowego, aktualizowanego na bieżąco zgodnie z przyjętym cyklem
producenta oprogramowania;
2) sprzętowej zapory ogniowej w punkcie styku z siecią publiczną wspomaganej
oprogramowaniem typu firewall/proxy działającym na serwerze pośredniczącym
w ruchu między siecią Urzędu a sprzętową zaporą ogniową;
3) szyfrowania danych na poziomie łączenia się z platformami internetowymi
zawierającymi dane osobowe przy wykorzystaniu protokołu HTTPS;
Urząd Miasta Rybnika
str. 12
WYCIĄG Z POLITYKI ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
4) systemu operacyjnego uniemożliwiającego samodzielną instalację oprogramowania
nieprzewidzianego do pracy na stanowisku;
5) sprawdzania pod kątem obecności szkodliwego oprogramowania wymiennych
nośników przed ich użyciem.
2. Ponadto, w celu zabezpieczenia systemu informatycznego przed niepożądanym działaniem
niebezpiecznego oprogramowania zabrania się:
1) udostępniania konta użytkownika systemu innym osobom,
2) korzystania z identyfikatora innego niż przydzielony użytkownikowi,
3) podejmowania prób przełamania lub ominięcia stosowanych w Urzędzie zabezpieczeń,
4) instalowania i uruchamiania bez zgody Wydziału Informatyki jakiegokolwiek
oprogramowania, które nie zostało zatwierdzone do użytku w Urzędzie,
5) podłączania bez zgody Wydziału Informatyki urządzeń (np. przenośnych nośników
pamięci, komputerów, urządzeń bezprzewodowych itd.) do systemu informatycznego,
6) otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi
obowiązkami służbowymi. W przypadkach wątpliwych należy koniecznie skonsultować
się z Wydziałem Informatyki,
7) połączenia z siecią publiczną z pominięciem systemu zabezpieczeń uruchomionego
w Urzędzie,
8) dostępu do stron internetowych niezwiązanych z pełnionymi obowiązkami służbowymi,
a w szczególności dostępu do stron nie należących do wiarygodnych organizacji lub
podmiotów, do których dostęp może prowadzić do pobrania złośliwego
oprogramowania którego celem jest nieuprawniony dostęp do systemu
informatycznego,
9) samodzielnego przeprowadzania jakichkolwiek zmian oprogramowania i jego
konfiguracji, które miałyby wpływ na bezpieczeństwo systemu informatycznego.
3. W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego
oprogramowania należy powiadomić Wydział Informatyki. Niepokojące objawy to:
1) istotne spowolnienie działania całego systemu informatycznego,
2) nietypowe działanie aplikacji,
3) nietypowe komunikaty, błędy,
4) nagła utrata danych lub nietypowe zmiany w danych,
5) wystąpienie w krótkim czasie dużej liczby nieudanych prób logowania,
6) wystąpienie anomalii w pracy działania systemu,
7) pojawienie się nowych nieautoryzowanych kont użytkowników.
Dodatkowych informacji dotyczących Polityki Zarządzania Bezpieczeństwem Informacji udziela
Administrator Bezpieczeństwa Informacji Urzędu Miasta w Rybniku.
Urząd Miasta Rybnika
str. 13