Polityka bezpieczeństwa informacji Urzędu Miasta Piekary Śląskie
Transkrypt
Polityka bezpieczeństwa informacji Urzędu Miasta Piekary Śląskie
Załącznik nr 3 do Zarządzenia Nr ORo.0151-179/08 Prezydenta Miasta Piekary Śląskie z dnia 21.05.08r. Polityka bezpieczeństwa informacji Urzędu Miasta Piekary Śląskie Polityka bezpieczeństwa informacji określa ogólne zasady bezpieczeństwa zasobów informacyjnych i stanowi podstawę wytyczającą strategię Urzędu w tym zakresie w szczególności w kontekście polityki zarządzania jakością. Definicja bezpieczeństwa informacji i określenia jego znaczenia dla prawidłowego funkcjonowania Urzędu Zapewnienie bezpiecznego przetwarzania danych w urzędzie jest sprawą znaczenia informacji, stanowiącej o możliwościach działania urzędu miasta i możliwości realizacji obowiązków jej pracowników. Ochrona informacji przetwarzanych metodami tradycyjnymi lub elektronicznymi jest wspólnym problemem kadry kierowniczej oraz osób odpowiedzialnych za prawidłowe, od strony technicznej, funkcjonowanie infrastruktury urzędu. Jest to przede wszystkim zagadnienie związane z odpowiednim zarządzaniem bezpieczeństwem danych, wdrożeniem i kontrolowaniem procesów zapewniających ich ochronę. Poprawne wdrożenie systemu bezpieczeństwa informacji przetwarzanych w urzędzie jest możliwe tylko w przypadku aktywnego udziału całej kadry kierowniczej urzędu. Ochrona informacji powinna uwzględniać trzy podstawowe elementy: • Poufność - zapewnienie, że tylko upoważnione osoby będą miały dostęp do informacji • Integralność - zapewnienie, że informacja będzie odzwierciedlać rzeczywisty stan rzeczy, innymi słowy, że będzie poprawna • Dostępność - zapewnienie, że w razie potrzeby informacja będzie dostępna osobom upoważnionym. Procesy związane z zarządzaniem bezpieczeństwem informacji muszą uwzględniać wszystkie podane wyżej elementy, ich znaczenie jest jednak uzależnione od specyfiki urzędu i jego komórek. Przyjmuje się, że definicją bezpieczeństwa informacyjnego urzędu miasta jest „bezpieczeństwo informacyjne stanowi zbiór procedur i zasad przetwarzania informacji w sposób minimalizujący straty finansowe urzędu i dotyczy procesów zależnych”. Wsparcie kierownictwa urzędu dla realizacji zadań związanych z ochroną informacji Prezydent Miasta lub inny, wskazany decyzją Prezydenta Miasta, członek ścisłego kierownictwa Urzędu Miasta jest odpowiedzialny za procesy zabezpieczenia informacji. Kadra kierownicza odpowiedzialna jest za właściwe funkcjonowanie podległych jej komórek organizacyjnych oraz prawidłowy przebieg procesów administracyjnych. Pracownicy piastujący stanowiska kierownicze pełnią rolę właścicieli informacji. Wskazanie podstaw normatywno-prawnych Politykę bezpieczeństwa konstytuują w szczególności: 1. Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym, Dz.U.01.142.1591. 2. Ustawa z dnia 17 maja 1990 r. o podziale zadań i kompetencji określonych w ustawach szczególnych pomiędzy organy gminy a organy administracji rządowej oraz o zmianie niektórych ustaw, Dz.U.90.34.198. 3. Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, Dz.U.00.98.1071. 4. Ustawa z dnia 29 września 1994 r. o rachunkowości, Dz.U.02.76.694. 5. Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej, Dz.U.97.9.43. 6. Ustawa z dnia 26 listopada 1998 r. o finansach publicznych, Dz.U.03.15.148. 7. Rozporządzenie prezesa rady ministrów z dnia 22 grudnia 1999 r. w sprawie instrukcji kancelaryjnej dla organów gmin i związków międzygminnych, Dz.U.99.112.1319. 8. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.02.101.926. 9. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U.99.11.95. 10. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, Dz.U.01.87.960. 11. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, Dz.U.01.128.1402. Strona 1 z 2 12. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) Zobowiązania pracowników Zobowiązuje się pracowników urzędu do przestrzeganie zasad bezpieczeństwa przetwarzania informacji w Urzędzie Miasta. Pracownicy aktywnie współpracują z administratorem danych w zakresie ochrony informacji. Pracownicy mogą brać udział w projektowaniu i wdrażaniu systemu zabezpieczeń, opiniując poszczególne rozwiązania. Określenia konsekwencji nieprzestrzegania zasad ochrony informacji Wdrożenie zasad reagowania na incydenty w zakresie ochrony informacji jest istotnym elementem utrzymania wymaganego poziomu ich bezpieczeństwa. Zobowiązuje się pracowników do zgłaszania wszelkich zauważonych nieprawidłowości w działaniu Urzędu - jest to podstawą do odpowiednio wczesnego wykrycia incydentu i podjęcia kroków zaradczych. Ustanawia się zasadę odpowiedzialności dyscyplinarnej wobec osób winnych zaniedbania, zaniechania lub świadomego naruszenia bezpieczeństwa informacji. Definicje obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji W celu zdefiniowania ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia zasad bezpieczeństwa informacji tworzy się Instrukcję zarządzania bezpieczeństwem systemu informatycznego UM Piekary Śląskie. Instrukcja precyzuje zasady bezpiecznego wytwarzania, przetwarzania i przekazywania informacji, w tym danych osobowych. Instrukcja ta dotyczy zakresu informacji przetwarzanych w systemie komputerowym, za pomocą środków informatycznych. Pielęgnacja polityki bezpieczeństwa Za dystrybucję i wprowadzanie zmian do polityki bezpieczeństwa odpowiedzialny jest kierownik komórki właściwej ds. organizacyjnych. Współpracuje on w tym zakresie z wszystkimi właścicielami informacji. Polityka bezpieczeństwa informacji podlega przekazaniu wszystkim użytkownikom systemu informatycznego. Politykę publikuje Prezydent Miasta. Delegacje szczegółowe: 1. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Opisy powyższe znajdują się w dokumentacji każdego z programów przeznaczonych do przetwarzania danych osobowych, w adekwatnym do realizowanych procesów zakresie. Niniejszym dokumentacje te włącza się, w przedmiotowym zakresie do polityki bezpieczeństwa. 2. Sposób przepływu danych pomiędzy systemami. Opisy powyższe znajdują się w dokumentacji każdego z programów przeznaczonych do przetwarzania danych osobowych, w adekwatnym do realizowanych procesów zakresie. Niniejszym dokumentacje te włącza się, w przedmiotowym zakresie do polityki bezpieczeństwa. 3. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Przedmiotowe środki techniczne i organizacyjne, w zakresie dotyczącym danych osobowych przetwarzanych w systemie informatycznym przyjmuje się za tożsame z opisanymi w Instrukcji zarządzania bezpieczeństwem systemu informatycznego UM Piekary Śląskie. Strona 2 z 2