zobacz
Transkrypt
zobacz
Zarządzenie Nr 0050.SOA.117. 2013 Burmistrza Miasta Ustka z dnia 22 lipca 2013 r. w sprawie: wprowadzenia Polityki Bezpieczeństwa Informacji i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Na podstawie: art.31 i art.33 ust.3 ustawy z dnia 8 marca 1990 roku o samorządzie gminnym ( tekst jednolity; Dz. U. z 2013 r., poz.594 ), art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz.926 z późn. zm.) oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024) zarządzam, co następuje: § 1. Wprowadza się do stosowania w Urzędzie Miasta Ustka: 1) Politykę Bezpieczeństwa Informacji, która stanowi załącznik nr 1 do niniejszego zarządzenia, 2) Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych, która stanowi załącznik nr 2 do niniejszego zarządzenia. § 2. Wykonanie zarządzenia powierza się Sekretarzowi Miasta Ustka. § 3. Zarządzenie wchodzi w życie z dniem podpisania. Burmistrz Miasta Ustka /-/ Jan Olech Załącznik Nr 1 do Zarządzenia Nr 0050.SOA 117.2013 z dnia 22 lipca 2013r. „ZATWIERDZAM” Burmistrz Miasta Ustka /-/ Jan Olech ………………………… POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU MIASTA USTKA Administrator Bezpieczeństwa Informacji /-/ Danuta Groszek …………………………………..… USTKA, dnia 22.07. 2013 r. SPIS TREŚCI Spis treści...................................................................................................................................................................2 I.Definicje I CELE POLITYKI BEZPIECZEŃSTWA ..........................................................................................................4 II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA............................................................................................5 III.WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE..............................................................................................7 IV.WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW INFORMATYCZNYCH ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH......................................................................................................................7 V. SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE .....................................................................................................8 VI.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH..................................................................8 VII.BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA.......................................................................................10 VIII.ZALECENIA ORGANIZACYJNE.............................................................................................................................10 IX. LISTA ZAŁĄCZNIKÓW..........................................................................................................................................11 SPIS TREŚCI..............................................................................................................................................................13 I.POSTANOWIENIA OGÓLNE I DEFINICJE................................................................................................................ 14 II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE W SYSTEMIE INFORMATYCZNYM........................................................................................................................15 III.STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ...............................................................................................................16 IV.Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu ...................................................17 V.Tworzenie kopii zapasowych zbiorów danych oraz programów.........................................................................18 VI.Usuwanie danych osobowych, niszczenie nośników..........................................................................................18 VII.Polityka antywirusowa.......................................................................................................................................19 VIII.Kontrola legalności oprogramowania komputerowego...................................................................................19 IX. METODY OCHRONY DANYCH OSOBOWYCH......................................................................................................19 X.Wykonywanie przeglądów i konserwacji systemu informatycznego oraz nośników danych służących do przetwarzania danych.....................................................................................................................................20 I. DEFINICJE I CELE POLITYKI BEZPIECZEŃSTWA Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Opracowany dokument jest zgodny z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osób oraz ochrony prywatności w sektorze komunikacji elektronicznej. Definicje Jednostka - Urząd Miasta Ustka; Administrator Danych Osobowych - Burmistrz Miasta Ustka; ABI - Administrator Bezpieczeństwa Informacji w Urzędzie Miasta Ustka; ASI - Administrator Systemu Informatycznego w Urzędzie Miasta Ustka; użytkownik - osoba zatrudniona w Urzędzie Miasta Ustka; dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; informatyk – pracownik Wydziału Obsługi Informatycznej; komórka organizacyjna – Wydział, samodzielne stanowisko pracy w Urzędzie Miasta Ustka przetwarzanie danych - wszystkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; osoba trzecia - każda osoba nieupoważnioną i przez to nieuprawniona do dostępu do danych osobowych lub zbiorów tych danych; system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; sieć informatyczna (LAN) - lokalna sieć komputerową budynku Urzędu wraz ze stacjami klienckimi przyłączonymi do niej; sieć publiczna - sieć telekomunikacyjną, nie będącą siecią wewnętrzną, służąca do świadczenia usług telekomunikacyjnych; procedura – ustalony sposób przeprowadzania procesu. Cele 1. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do informacji zgromadzonych i przetwarzanych w systemie tradycyjnym w formie papierowej oraz w systemie informatycznym w formie elektronicznej. Niniejsze opracowanie określa tryb i zasady ochrony danych osobowych przetwarzanych w Urzędzie Miasta Ustka oraz zasady ochrony infrastruktury, zasobów informatycznych i ludzkich. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Dyrektor jednostki i pracownicy komórek organizacyjnych. 2. Zapisy Polityki Bezpieczeństwa są zgodne z Systemem Zarządzania Jakością wg normy PN-EN ISO 9001:2009 obowiązującym w Urzędzie Miasta Ustka. 3. Każdy pracownik zatrudniony przy przetwarzaniu danych osobowych powinien być zaznajomiony z przepisami o ochronie danych osobowych. Niniejszy dokument dotyczy także innych osób niż pracownicy Urzędu a posiadających dostęp do informacji chronionych - np. pracowników firm zewnętrznych realizujących prace na rzecz Urzędu. 4. Informacje niejawne, które są wytwarzane, przechowywane, przetwarzane lub przesyłane przy pomocy systemów i sieci informatycznej podlegają zasadom bezpieczeństwa dostosowanym do klauzuli bezpieczeństwa. Koordynację całości spraw w tym zakresie sprawuje pełnomocnik ds. Informacji Niejawnych w Urzędzie Miasta Ustka. 5. Dla danych osobowych przetwarzanych w Urzędzie Miasta Ustka ustala się zabezpieczenia na poziomie wysokim. II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA 1. Administrator Danych Osobowych (ADO), którym w Jednostce jest Burmistrz Miasta Ustka jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w systemach informatycznych Urzędu, a w szczególności: a/ zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym; b/ zapobiegać przed zabraniem danych przez osobę trzecią, nieuprawnioną; c/ zapobiegać przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych. 2. Administrator Danych Osobowych pełni nadzór ogólny nad realizacją przepisów wynikających z ustawy oraz rozporządzenia. Za nieprzestrzeganie przepisów ponosi pełną odpowiedzialność. 3. Administrator Danych Osobowych (ADO) wyznacza Administratora Bezpieczeństwa Informacji (ABI) i Administratora Systemu Informatycznego (ASI). 4. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie ochrony danych, a w szczególności: a/ ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów informatycznych; b/ podejmowania stosownych działań zgodnie z niniejszym dokumentem w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w Jednostce; c/ niezwłocznego informowania Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych; d/ nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych; e/ przeciwdziałanie dostępowi osób trzecich do danych osobowych lub zbiorów tych danych. 5. W przypadku nieobecności Administratora Bezpieczeństwa Informacji zadania realizuje Administrator Systemu Informatycznego a w przypadku nieobecności ABI i ASI ich zadania realizuje osoba upoważniona przez Administratora Danych Osobowych. 6. Administrator Systemu Informatycznego (ASI) realizuje zadania w zakresie ochrony danych, a w szczególności: a/ ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów informatycznych; b/ podejmowania stosownych działań zgodnie z niniejszym dokumentem w przypadku 7. 8. 9. 10. 11. 12. 13. 14. wykrycia nieuprawnionego dostępu do bazy danych informatycznych lub naruszenia zabezpieczenia danych znajdujących się w Jednostce; c/ niezwłocznego informowania ABI o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych; d/ nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych; e/ przeciwdziałanie dostępowi osób trzecich do informatycznych danych osobowych lub zbiorów tych danych; f/ doraźny przegląd Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych oraz obligatoryjnie cykliczny przegląd Instrukcji raz na rok g/ inicjowanie przedsięwzięć w zakresie bezpieczeństwa systemów teleinformatycznych. Każdy pracownik, który przetwarza dane osobowe musi posiadać imienne upoważnienie nadane przez Administratora Danych Osobowych do przetwarzania danych osobowych – wzór upoważnienia stanowi Zał. 1. Administrator Bezpieczeństwa Informacji prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych według wzoru z Zał. 2, który zawiera: - imię i nazwisko osoby upoważnionej; - datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych. Przełożeni komórek organizacyjnych (Naczelnicy, Kierownicy) odpowiedzialni są za codzienną kontrolę przestrzegania zasad ochrony danych przez podległych im pracowników oraz zobowiązani do kontroli procesu przetwarzania danych osobowych realizowanego przez podwładnych. Administrator lub osoby przez niego upoważnione obowiązane są do udzielania informacji, o których mowa w art. 32 - 33 oraz realizacji obowiązków wynikających z art. 24 – 25 Ustawy. Dane osobowe w Jednostce udostępniane są przez osoby do tego upoważnione, zgodnie z zasadami określonymi w art. 29 Ustawy chyba, że przepisy innych ustaw stanowią inaczej. W Jednostce funkcjonuje Wniosek o udzielenie informacji publicznej – wzór stanowi Zał. 6. Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy na swoim stanowisku. Jest odpowiedzialny przed Administratorem Bezpieczeństwa Informacji za nadzór, implementację i utrzymanie niezbędnych warunków bezpieczeństwa oraz przestrzegania procedur dostępu do systemu i ochrony danych osobowych. Każdy pracownik, który przetwarza dane osobowe w systemie informatycznym musi posiadać imienne upoważnienie do przetwarzania danych w systemach informatycznych. Wzór tego upoważnienia, opis informacji na upoważnieniu, sposób nadania i wycofania uprawnień zawarty jest w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Administrator Systemu Informatycznego prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych według wzoru zawartego w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. Każdy pracownik Urzędu Miasta Ustka podpisuje oświadczenie o zapoznaniu się z Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem służącym do przetwarzania danych osobowych. Wzór oświadczenia zawiera Zał.5. III. WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE 1. Dane osobowe są przetwarzane są w pomieszczeniach budynków: Urzędu Miasta Ustka i Straży Miejskiej zlokalizowanych w Ustce przy ul. Ks. Kardynała Stefana Wyszyńskiego 3. 2. Przebywanie osób trzecich w pomieszczeniach, w których przetwarzane są dane osobowe jest dopuszczalne w obecności osób upoważnionych do przetwarzania danych osobowych lub za zgodą Administratora Bezpieczeństwa Informacji. IV. WYKAZ ZBIORÓW INFORMATYCZNYCH DANYCH 2. 3. 4. 5. DANYCH OSOBOWYCH ORAZ PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH 1. W Urzędzie Miasta Ustka ze względu na rodzaj i charakter danych osobowych zawartych w zbiorach wyróżnia się dwie kategorie danych: - dane osobowe zwykłe - wszelkie dane (informacje) dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, zgromadzone w zbiorach danych osobowych - dane osobowe sensytywne – zgodnie z katalogiem zawartym w treści Ustawy o Ochronie Danych Osobowych art. 27 ust 1. wszelkie dane (informacje) ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność partyjną lub związkową, jak również informacje o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Zgodnie z postanowieniami art. 40 ustawy o ochronie danych osobowych, z uwagi na gromadzone kategorie zbiorów danych osobowych Urząd Miasta Ustka nie jest zwolniony z obowiązku zgłoszenia i rejestracji tych zbiorów u Generalnego Inspektora Ochrony Danych Osobowych. Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach, skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych komórek organizacyjnych Jednostki w postaci dokumentów papierowych oraz w postaci elektronicznej w systemie informatycznym. Zestawienie zbiorów danych osobowych przetwarzanych w Urzędzie Miasta Ustka oraz systemów informatycznych przetwarzających te dane zawiera wykaz według wzoru z Zał. 3. W wykazie znajdują się również informacje o zbiorach zgłoszonych do GIODO. Opisy działania systemów oraz opisy techniczne zbiorów danych znajdują się w dokumentacjach oprogramowania otrzymanych od autorów systemów, które przechowywane są w Wydziale Obsługi Informatycznej. V.SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE 1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Jednostki powinien odbywać w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (informacji). 2. W Jednostce stosowany jest mieszany papierowo-elektroniczny obieg dokumentów. 3. Wymiana informacji oraz danych w systemie informatycznym Jednostki odbywa się w relacji: Jednostka - Jednostka, jednostki podległe, interesanci, kontrahenci, Zakład Ubezpieczeń Społecznych, Urząd Skarbowy, banki, Starostwo Powiatowe, Pomorski Urząd Wojewódzki, Regionalna Izba Skarbowa, firmy autorskie używanego w Jednostce oprogramowania. 4. Przepływ danych odbywa się między programami: Kadrowo-płacowym, SOZU, Płatnikiem, Bestią, Home Banking na zasadzie importu i eksportu danych. VI. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH 1. Ochronie podlegają dane osobowe gromadzone i przetwarzane w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w urządzeniach i systemie informatycznym Jednostki. 2. W Jednostce stosowane są środki techniczne i organizacyjne zapewniające przetwarzanie danych zgodnie z Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Środki techniczne 3. Do zastosowanych środków technicznych należą m.in. zabezpieczenia wejść do budynku i pomieszczeń, zamykane szafy, alarmy, czujki ppoż., monitoring całodobowy, niszczarki, loginy i hasła do systemów, program antywirusowy, firewall, monitoring informatyczny, tworzenie kopii zapasowych. 4. Pomieszczenia, w których przetwarza się dane osobowe są fizycznie zabezpieczone przed dostępem osób nieuprawnionych, to znaczy posiadają odpowiednie zamki do drzwi, zabezpieczenia w oknach typu rolety (w szczególności na parterze), zamki szyfrowe. Większość pomieszczeń wyposażona jest w czujki ppoż. Na korytarzach i niektórych pomieszczeniach znajdują się gaśnice ppoż. Wszystkie pokoje, w których przetwarzane są dane osobowe wyposażone są w niszczarki dokumentów. 5. Szczególną ochroną przed dostępem osób trzecich obejmuje się pomieszczenia serwerowni i archiwum. 6. Nadzór nad budynkiem w czasie godzin pracy sprawuje Burmistrz oraz pracownicy Urzędu a po godzinach pracy aktywowany jest system alarmowy monitorowany zdalnie przez licencjonowaną firmę ochroniarska. 7. Dokumenty i nośniki informacji, zawierające dane osobowe są zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie używane są przechowywane w zamkniętych szafach. 8. Przetwarzanie danych osobowych oraz wykonywanie wydruków z systemów informatycznych baz danych może wynikać tylko z potrzeb realizacji zadań służbowych oraz może być realizowane tylko w ramach kompetencji i zakresu upoważnień zainteresowanych przełożonych i użytkowników. 9. Archiwizowanie dokumentów zawierających dane osobowe odbywa się zgodnie z przepisami prawa. 10. Pomieszczenia, w których znajdują się stanowiska komputerowe są zamknięte, jeśli nikt w nich nie przebywa. 11. Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają jedynie upoważnieni pracownicy Jednostki zgodnie z Instrukcją Zarządzania Systemem służącym do przetwarzania danych osobowych. 12. Serwery i stanowiska komputerowe strategiczne (płace, kadry, dowody osobiste, USC, księgowość) zabezpieczone są urządzeniami podtrzymującymi zasilanie (UPS), umożliwiającymi poprawne zakończenie pracy na stanowisku komputerowym po zaniku zasilania. 13. Stacje robocze powinny być zabezpieczone przed nieautoryzowanym dostępem osób trzecich poprzez wymagane podanie hasła przed uzyskaniem dostępu do komputera, stosowanie wygaszaczy oraz dostęp do aplikacji na podstawie indywidualnego identyfikatora i hasła. Opis zabezpieczeń stosowanych na stacjach roboczych w Jednostce, wymagania dotyczące haseł zawiera Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych . 14. Na wszystkich stanowiskach komputerowych zainstalowany jest program antywirusowy. W Jednostce wykorzystywany jest także firewall programowy. Opis polityki antywirusowej stosowanej w Jednostce zawiera Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. 15. W Jednostce wszystkie stacje robocze są monitorowane a użytkownicy o tym fakcie informowani. Używany w Jednostce program do monitoringu bezpieczeństwa pozwala m.in. na analizę oprogramowania zainstalowanego na stacjach roboczych, analizę odwiedzanych stron www, analizę ruchu sieciowego, inwentaryzację sprzętu, dostęp zdalny do stacji roboczej, analizę zmian w konfiguracji sprzętu, blokowanie portów. 16. W Jednostce stosowana jest blokada niektórych stron internetowych. Wzór ewidencji zawiera Instrukcja Zarządzania Systemem służącym do przetwarzania danych osobowych. 17. W celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana w systemie podlega codziennej pełnej archiwizacji (opcjonalnie). Kopie archiwalne danych są wykonywane na serwerze backupowym, nośnikach magnetooptycznych (streamer) lub płytach CD/DVD. Użycie kopii zapasowych następuje na polecenie Administratora Systemu Informatycznego w przypadku odtwarzania systemu po awarii. Środki organizacyjne 18. Do zastosowanych w Jednostce środków organizacyjnych zapewniających ochronę przetwarzanych danych należą m.in. zapoznanie każdego pracownika z przepisami dotyczącymi ochrony danych osobowych, zapoznanie z Polityką Bezpieczeństwa i Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych, szkolenia osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochrona danych, kontrolowanie pomieszczeń pod kątem osób trzecich i „czystego biurka” otwieranie. 19. Obowiązkiem pracowników użytkujących sprzęt komputerowy jest zachowanie szczególnej ostrożności podczas ich użytkowania, transportu lub przechowywania. 20. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych danych w tajemnicy. 21. Pracownicy zobowiązani są do nie zostawiania dokumentów zawierających dane osobowe przy urządzeniach drukujących, kopiujących i skanujących, do których dostęp mogą mieć dostęp osoby nieuprawnione. 22. Pracownicy zobowiązani są do zachowania szczególnej ostrożności w trakcie prowadzenia rozmów telefonicznych w celu uniknięcia niekontrolowanego udostępnienia danych osobom do tego nieupoważnionym. VII. BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA 1. Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi. Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez wiedzy Administratora Systemu Informatycznego. 2. Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody Administratora Systemu Informatycznego. O instalacji dodatkowego oprogramowania decyduje Administrator Systemu Informatycznego. 3. Używanie oprogramowania prywatnego w sieci jest kategorycznie zabronione. 4. Na stacjach roboczych powinno być zainstalowane jedynie oprogramowanie licencyjne lub oprogramowanie z bezpłatną licencją. 5. Każde urządzenie użytkowane w systemie informatycznym, powinno podlegać rutynowym czynnościom konserwacyjnym oraz przeglądom wykonywanym przez uprawnione osoby. 6. Za konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu informatycznego odpowiedzialny jest Administrator Systemu Informatycznego. Konserwacja ww. oprogramowania obejmuje także jego aktualizację. 7. Naprawy sprzętu komputerowego nadzoruje Administrator Systemu Informatycznego zgodnie z procedurami zawartymi w Instrukcji Zarządzania Systemem służącym do przetwarzania danych osobowych. VIII. ZALECENIA ORGANIZACYJNE 1. Wszelkie podejrzenia naruszenia bezpieczeństwa danych w Jednostce należy zgłaszać Administratorowi Bezpieczeństwa Informacji, który wypełnia raport z naruszenia bezpieczeństwa – wzór zgodny z Zał. 4 i podejmuje stosowne kroki zaradcze. 2. Jednostka dba o edukację pracowników w zakresie bezpieczeństwa informacji. Cyklicznie prowadzone są szkolenia z tego zakresu. 3. Przynajmniej raz w roku wykonywany jest wewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji polityki bezpieczeństwa oraz aktualizację zapisów w Polityce Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. IX. LISTA ZAŁĄCZNIKÓW Zał. 1 Upoważnienie do przetwarzania danych osobowych Zał. 2 Rejestr osób upoważnionych do przetwarzania danych osobowych Zał. 3 Zestawienie zbioru danych osobowych przetwarzanych w Urzędzie Miasta Ustka Zał. 4 Raport z naruszenia bezpieczeństwa Zał. 5 Oświadczenie Zał. 6 Wniosek o udzielenie informacji publicznej Załącznik Nr 2 do Zarządzenia Nr 0050.SOA.117. 2013 z dnia 22 lipca 2013 r. „ZATWIERDZAM” Burmistrz Miasta Ustka /-/ Jan Olech …………………… INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE MIASTA USTKA Administrator Bezpieczeństwa Informacji /-/ Danuta Groszek …………………………………. Administrator Systemu Informatycznego /-/ Ewa Wieczorek ..................................................... USTKA, dnia 22 lipca 2013 roku SPIS TREŚCI Spis treści...................................................................................................................................................................2 I.Definicje I CELE POLITYKI BEZPIECZEŃSTWA ..........................................................................................................4 II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA............................................................................................5 III.WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE..............................................................................................7 IV.WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW INFORMATYCZNYCH ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH......................................................................................................................7 V. SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE .....................................................................................................8 VI.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH..................................................................8 VII.BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA.......................................................................................10 VIII.ZALECENIA ORGANIZACYJNE.............................................................................................................................10 IX. LISTA ZAŁĄCZNIKÓW..........................................................................................................................................11 SPIS TREŚCI..............................................................................................................................................................13 I.POSTANOWIENIA OGÓLNE I DEFINICJE................................................................................................................ 14 II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE W SYSTEMIE INFORMATYCZNYM........................................................................................................................15 III.STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ...............................................................................................................16 IV.Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu ...................................................17 V.Tworzenie kopii zapasowych zbiorów danych oraz programów.........................................................................18 VI.Usuwanie danych osobowych, niszczenie nośników..........................................................................................18 VII.Polityka antywirusowa.......................................................................................................................................19 VIII.Kontrola legalności oprogramowania komputerowego...................................................................................19 IX. METODY OCHRONY DANYCH OSOBOWYCH......................................................................................................19 X.Wykonywanie przeglądów i konserwacji systemu informatycznego oraz nośników danych służących do przetwarzania danych.....................................................................................................................................20 I. POSTANOWIENIA OGÓLNE I DEFINICJE Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101, poz. 926, z późn. zm.) oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) nakłada na Administratora Systemu Informatycznego obowiązek opracowania instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i system informatyczny. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się przetwarzanie. Definicje Jednostka - Urząd Miasta Ustka; Administrator Danych Osobowych - Burmistrz Miasta Ustka; ABI - Administrator Bezpieczeństwa Informacji w Urzędzie Miasta Ustka; ASI - Administrator Systemu Informatycznego w Urzędzie Miasta Ustka; użytkownik - osoba zatrudniona w Urzędzie Miasta Ustka; dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; informatyk – pracownik Wydziału Obsługi Informatycznej; komórka organizacyjna – Wydział, samodzielne stanowisko pracy w Urzędzie Miasta Ustka przetwarzanie danych - wszystkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; osoba trzecia - każda osoba nieupoważnioną i przez to nieuprawniona do dostępu do danych osobowych lub zbiorów tych danych; system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; sieć informatyczna (LAN) - lokalna sieć komputerową budynku Urzędu wraz ze stacjami klienckimi przyłączonymi do niej; sieć publiczna - sieć telekomunikacyjną, nie będącą siecią wewnętrzną, służąca do świadczenia usług telekomunikacyjnych; procedura – ustalony sposób przeprowadzania procesu; W Urzędzie Miasta Ustka uwzględniając kategorie danych, możliwość wystąpienia zagrożeń i połączenie stacji roboczych z siecią publiczną stosuje się wysoki poziom bezpieczeństwa systemów. II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE W SYSTEMIE INFORMATYCZNYM 1. Przetwarzać dane osobowe w systemach informatycznych mogą wyłącznie osoby posiadające pisemne upoważnienie przetwarzania danych osobowych w systemach informatycznych (wzór wg Zał. 1 zgodny z załącznikiem ISO nr 1/PP-5) lub osoby, którym udzielono upoważnień do przetwarzania danych osobowych na podstawie umów powierzenia danych osobowych. 2. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych, każdy użytkownik musi zostać zapoznany z przepisami dotyczącymi ochrony danych osobowych oraz obowiązującymi w Urzędzie Miasta Ustka wewnętrznymi regulacjami w tym zakresie. Po zapoznaniu użytkownik podpisuje oświadczenie dotyczące ochrony danych osobowych – wzór oświadczenia zawiera Polityka Bezpieczeństwa. 3. Upoważnienie do przetwarzania danych osobowych w systemach informatycznych wydaje Administrator Systemów Informatycznych. Upoważnienie to zawiera; - imię i nazwisko pracownika, któremu upoważnienie zostanie nadane, – nazwę systemu informatycznego, do którego użytkownik będzie miał dostęp; - zakres upoważnienia do przetwarzania danych, - okres ważności upoważnienia, - podpis administratora systemów informatycznych - identyfikator użytkownika systemu informatycznego nadany przez informatyka. 4. Oryginał upoważnienia zostaje przekazany użytkownikowi za potwierdzeniem odbioru, jedna kopia zostaje dołączona do akt osobowych pracownika a druga kopia znajduje się u Administratora Systemu Informatycznego. 5. Użytkownikowi, który posiada pisemne upoważnienie do przetwarzania danych osobowych w systemach informatycznych przydzielany jest identyfikator i hasło do systemu informatycznego. 6. Za przydzielenie i wygenerowanie identyfikatora i hasła użytkownikowi, który pierwszy raz będzie korzystał z systemu informatycznego odpowiada informatyk. 7. Hasło przy pierwszym korzystaniu z systemu musi zostać zmienione przez użytkownika. 8. W przypadku zmiany zakresu przetwarzania danych osobowych wydaje się kolejne, uzupełniające upoważnienie do przetwarzania danych osobowych w systemach informatycznych. 9. W Jednostce stosuje się zasadę minimalnych uprawnień i ograniczonego dostępu czyli przydzielania tylko niezbędnych uprawnień do wykonywania czynności wynikających z zakresu obowiązków. 10.Przełożeni użytkowników zobowiązani są pisemnie lub mailowo informować administratora systemów informatycznych o każdej zmianie dotyczącej użytkowników mającej wpływ na zakres posiadanych uprawnień do przetwarzania danych osobowych w systemach informatycznych. 11.Wyrejestrowanie użytkownika z systemów informatycznych realizuje informatyk na pisemny wniosek (zaakceptowany przez Administratora Systemu Informatycznego) przełożonego użytkownika, na rzecz którego były wykonywane czynności związane z przetwarzaniem danych osobowych. Wniosek o wyrejestrowanie użytkownika stanowi wzór wg Zał. 2 zgodny z załącznikiem ISO nr 2/PP-5. Wniosek ten zawiera: - imię i nazwisko pracownika, któremu upoważnienie zostanie odebrane, - nazwę systemu informatycznego, do którego użytkownik miał dostęp, - datę, z jaką upoważnienie ma być odebrane, - podpis przełożonego pracownika, - akceptację Administratora Systemu Informatycznego, - podpis informatyka dokonującego wyrejestrowanie. 12.Wniosek po wyrejestrowaniu użytkownika z systemów informatycznych, dołącza się do akt osobowych pracownika a kopia przechowywana jest u Administratora Systemu Informatycznego. III. STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM 1. Użytkownik uzyskuje dostęp do danych osobowych przetwarzanych w systemie informatycznym wyłącznie po podaniu identyfikatora i hasła. 2. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał. W Urzędzie Miasta Ustka przyjęto zasadę, że identyfikator składa się z pierwszej litery imienia i nazwiska, o ile system nie wymusza innej nazwy. Identyfikator nadawany jest (przez Informatyka) do właściwych systemów, do których użytkownik uzyskał dostęp. Informatyk na upoważnieniu do przetwarzania danych osobowych w systemach informatycznych wpisuje identyfikator pracownika. Identyfikator użytkownika nie jest zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany innej osobie. 3. Hasło przydzielone użytkownikowi powinno być zmienione przez użytkownika po pierwszym udanym zalogowaniu się do systemu informatycznego przetwarzającego dane. Po zmianie hasło znane jest tylko użytkownikowi. Hasło powinno składać się z co najmniej 8 znaków, zawierać małe, duże litery, cyfry oraz znaki specjalne. Z reguły systemy informatyczne wyposażone są w mechanizmy wymuszające zmianę hasła po upływie 30 dni od dnia ostatniej jego zmiany. Częstotliwość zmiany haseł dla poszczególnych systemów informatycznych wykorzystywanych w Urzędzie Miasta Ustka jest różna i podana w zestawieniu wg wzoru Zał. 6 zgodnym z załącznikiem ISO nr 6/PP-5. Użytkownik chroni swoje hasło poprzez nieudostępnianie go osobom trzecim oraz niezapisywanie go w miejscu widocznym. W przypadku podejrzenia, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest niezwłocznie je zmienić lub w przypadku problemów ze zmianą hasła powiadomić Administratora Systemu Informatycznego. 4. W przypadku konieczności awaryjnej zmiany haseł użytkowników systemów informatycznych konieczny jest wpis ilustrujący zaistniałą sytuację w Dzienniku zmiany haseł użytkowników (zestawienie wg wzoru Zał. 4 zgodnym z załącznikiem ISO nr 4/PP-5). Do awaryjnej zmiany hasła użytkownika upoważniony jest Informatyk na wniosek pisemny, mailowy lub telefoniczny użytkownika albo pisemny przełożonego. W przypadku zgłoszenia telefonicznego nie jest wymagany osobisty podpis użytkownika w „Dzienniku zmiany haseł użytkowników” – wystarczy podpis Informatyka dokonującego zmiany. 5. Nazwy i hasła administratorów systemów informatycznych przechowywane są w zabezpieczonych kopertach w sejfie w serwerowni, do której dostęp jest w pełni kontrolowany, przy czym dostęp mają wyłącznie uprawnione osoby. W przypadku konieczności awaryjnego użycia nazwy i hasła administratora systemu informatycznego konieczny jest wpis ilustrujący zaistniałą sytuację w „Dzienniku udostępniania/pobierania haseł administratora” (wg wzoru Zał. 3 zgodnego z załącznikiem ISO nr 3/PP-5) znajdującym się w sejfie w serwerowni. Wpis powinien zawierać następujące informacje: − imię i nazwisko oraz stanowisko osoby upoważnionej udostępniającej wgląd do koperty z hasłami do danego systemu informatycznego, − imię i nazwisko oraz stanowisko osoby, która pobiera hasło do danego systemu. 6. O konieczności i okolicznościach awaryjnego użycia nazw i haseł administratorów systemów informatycznych musi niezwłocznie zostać powiadomiony Administrator Systemu Informatycznego. Wpis powinien zawierać następujące informacje: - data zmiany hasła, - imię i nazwisko, identyfikator użytkownika, któremu Informatyk zmienia hasło, - powód zmiany hasła, - imię i nazwisko osoby wnioskującej zmianę hasła. IV. Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu 1. Użytkownik, rozpoczynając pracę na komputerze loguje się do swojego, zabezpieczonego hasłem profilu w systemie operacyjnym. W Urzędzie Miasta Ustka stacje robocze pracują w systemach Windows XP, Windows Vista, Windows 7 lub Windows 8. Każdy użytkownik loguje się na swoim profilu za pomocą identyfikatora do systemu informatycznego i hasła. 2. Dostęp do danych osobowych możliwy jest jedynie po dokonaniu uwierzytelnienia użytkownika. W większości systemy wyposażone są w mechanizmy blokowania hasła po 3 nieudanych próbach. Odblokowania dostępu do zbioru danych może dokonać informatyk, odnotowując ten fakt w Dzienniku zmiany haseł użytkowników (wzór wg Zał. 4 zgodnego z załącznikiem ISO nr 4/PP-5). W ewidencji tej odnotowywane są również zmiany hasła w przypadku jego zapomnienia przez użytkownika. 3. W przypadku braku aktywności użytkownika na komputerze przez czas dłuższy niż 15 minut następuje automatyczne włączenie wygaszacza ekranu. 4. Monitory stanowisk komputerowych, w których przetwarzane są dane osobowe, znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upoważnień do przetwarzania danych osobowych, w miarę możliwości powinny być ustawiane w taki sposób, by uniemożliwić tym osobom wgląd w dane. 5. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe, dopuszczalne jest tylko w obecności osoby upoważnionej do ich przetwarzania. 6. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać na czas nieobecności osób upoważnionych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym. 7. Przed opuszczeniem stanowiska pracy użytkownik jest obowiązany wylogować się z systemu informatycznego lub ustawić wygaszacz ekranu. 8. Kończąc pracę użytkownik systemu informatycznego obowiązany jest zakończyć pracę we wszystkich systemach informatycznych i wyłączyć sprzęt komputerowy oraz urządzenia peryferyjne np. drukarkę. V. 1. 2. 3. 4. 5. 6. Tworzenie kopii zapasowych zbiorów danych oraz programów Dane zgromadzone na przestrzeni dyskowej w serwerowni podlegają zabezpieczeniu poprzez tworzenie kopii zapasowych. Za tworzenie kopii zapasowych odpowiedzialny jest Informatyk. Kopie tworzone są automatycznie w czasie niekorzystania z danych. Kopie wykonywane są na kasetach streamera, dyskach twardych serwera backupowego, płytach CD/DVD. Kopie pełne serwerów wykonywane są na serwerze backupowym codziennie od poniedziałku do piątku w godzinach nocnych w cyklu miesięcznym, kopia serwera z systemem SOZU Tensoft dodatkowo wykonywana jest codziennie od poniedziałku do piątku na kasetach streamera w trybie tygodniowym. Okresowe kopie zapasowe wykonuje się na nośnikach CD/DVD i przechowuje w sejfie w innym pomieszczeniu niż serwerownia. Kopie zapasowe przechowuje się w sposób uniemożliwiający osobom nieuprawnionym przejęcie, uszkodzenie lub zniszczenie kopii. Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie. Kasety streamera, płyty CD/DVD przechowywane są w szafach metalowych poza serwerownią. Dyski dedykowane zainstalowane są w komputerach znajdujących się poza serwerownią. Serwer backupowy znajduje się w pomieszczeniu serwerowni. Okresowo sprawdzana jest przydatność kopii zapasowych do odtworzenia zasobów systemu informatycznego. Dostęp do nośników z kopiami zapasowymi danych osobowych mają wyłącznie informatycy. Kopie zapasowe i nośniki informacji, które zostały uszkodzone, wycofane lub utraciły przydatność, niszczy się pod nadzorem Administratora Systemu Informatycznego w sposób uniemożliwiający ich ponowne użycie. VI. Usuwanie danych osobowych, niszczenie nośników 1. Dane osobowe w postaci elektronicznej należy usuwać z nośnika danych w sposób uniemożliwiający ich ponowne odtworzenie. 2. Nośniki danych podlegają komisyjnemu fizycznemu zniszczeniu w przypadku wycofania ich z eksploatacji. Z przeprowadzonych czynności komisja sporządza protokół niszczenia. 3. Przez zniszczenie nośników danych należy rozumieć ich trwałe i nieodwracalne zniszczenie fizyczne lub chemiczne do stanu uniemożliwiającego ich rekonstrukcję i odzyskanie danych. VII. Polityka antywirusowa 1. 2. 3. 4. 5. 6. 7. Za ochronę antywirusową systemu odpowiada Administrator Systemu Informatycznego. ASI odpowiedzialny jest za aktywowanie i poprawną konfigurację systemu antywirusowego. System antywirusowy zainstalowany na dysku twardym każdego komputera w Urzędzie Miasta Ustka. Aktualizacja baz odbywa się automatycznie w trybie online. Programy antywirusowe są uaktywnione przez cały czas pracy każdego komputera. Wszystkie pliki otrzymywane z zewnątrz, jak również wysyłane na zewnątrz, podlegają automatycznemu sprawdzeniu przez system antywirusowy pod kątem występowania wirusów, z zastosowanie najnowszej dostępnej wersji programu antywirusowego. W przypadku pojawienia się wirusa, użytkownik obowiązany jest powiadomić o tym fakcie informatyka. O ile program sam nie usunie lub zneutralizuje wirusa informatyk powinien podjąć działania zmierzające do usunięcia zagrożenia. Niedozwolone jest otwieranie wiadomości poczty elektronicznej i załączników o podejrzanej treści a za taką uważa się m.in. treści reklamowe, treści wulgarne, treści pornograficzne, treści obraźliwych, treści obcojęzyczne, wiadomości zawierające w tytule słowo SPAM. Niedozwolone jest wyłączanie, blokowanie i odinstalowywanie systemu antywirusowego. VIII. Kontrola legalności oprogramowania komputerowego 1. 2. 3. 4. 5. 6. IX. Wszystkie komputery oraz laptopy będące na stanie Urzędu Miasta Ustka wyposażone są w oprogramowanie monitorujące agenta Axence Nvision, umożliwiające zdalny dostęp oraz inwentaryzację zasobów sprzętowych i programowych. W Urzędzie Miasta Ustka obowiązuje bezwzględny zakaz instalowania/używania nielegalnego lub zewnętrznego (nie zakupionego przez Urząd Miasta Ustka) oprogramowania komputerowego na komputerach (także laptopach) i serwerach będących własnością urzędu. Instalacji lub reinstalacji oprogramowania systemowego i użytkowego na stanowiskach komputerowych dokonuje informatyk. Obowiązuje bezwzględny zakaz udostępniania programów będących własnością Urzędu Miasta Ustka osobom trzecim, oraz instalowania programów jednostanowiskowych na innych stanowiskach. Licencje oprogramowania są przechowywane w Wydziale Obsługi Informatycznej (z wyjątkiem części licencji Straży Miejskiej w Ustce). Informatyk raz w roku przeprowadza inwentaryzację zasobów na stacjach roboczych za pomocą programu monitorującego Axence Nvision. METODY OCHRONY DANYCH OSOBOWYCH 1. Wszystkie dokumenty oraz wydruki zawierające dane osobowe, ruchome nośniki danych (płyty CD/DVD, dyski przenośne, pamięci zewnętrzne itp.) nie mogą być pozostawiane na biurku po zakończeniu pracy. W momencie, gdy przestają być używane chowane są do szafek i biurek. Na biurku znajdują się jedynie dokumenty aktualnie wykorzystywane przez pracownika. 2. W przypadku opuszczenia stanowiska pracy (wyjście z pomieszczenia) wszystkie dokumenty i ruchome nośniki danych oraz pieczęcie znajdują się w szafkach i szufladach. Naczelnicy Wydziałów przeprowadzają po godzinach pracy swoich podwładnych okresowe przeglądy z zakresu stosowania postanowień czystego biurka oraz wylogowywania się z sieci w przypadku opuszczenia stanowiska. 3. Naczelnicy i Kierownicy komórek organizacyjnych po godzinach pracy przeprowadzają okresowe przeglądy z zakresu stosowania postanowień czystego biurka. 4. Administrator Systemu Informatycznego dopuszcza możliwość stosowania zdalnego dostępu do systemów informatycznych przy zastosowaniu zabezpieczeń technicznych zapewniających integralność, poufność i rozliczalność przetwarzanych danych. Podczas transmisji realizowanej w sieci publicznej należy zapewnić ochronę kryptograficzną wobec danych wykorzystywanych do uwierzytelnienia. 5. Nadzór nad serwerami, bezpieczeństwem sieci informatycznej, konfiguracja firewalla prowadzi firma zewnętrzna na podstawie umów. 6. Wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się dane osobowe, przechowuje się w szafach zamykanych na klucz. 7. Część stron internetowych jest przez Wydział Obsługi Informatycznej zablokowana a ich wykaz zawiera Lista stron blokowanych (wg wzoru w Zał. 5 zgodnym z załącznikiem ISO nr 5/PP-5). 8. Dostęp do sieci komputerowej jest możliwy tylko przez wyznaczone urządzenia na podstawie zarejestrowanych MAC adresów czyli w taki sposób, aby goście nie mogli uzyskać dostępu do sieci LAN. 9. Stacje robocze znajdujące się w sieci komputerowej Jednostki mają dostęp do Internetu. 10. W Jednostce funkcjonują dwa rodzaje sieci WIFI: dla pracowników Urzędu i pozostałych użytkowników sieci WIFI. Dostęp do Internetu następuje po podaniu hasła uzyskanego od informatyka. X. 1. 2. XI. Wykonywanie przeglądów i konserwacji systemu informatycznego oraz nośników danych służących do przetwarzania danych Wszelkie prace związane naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe mogą być wykonywane przez pracowników Wydziału Obsługi Informatycznej lub przez firmy zewnętrzne na podstawie zawartych umów pod nadzorem pracowników Biura Obsługi Informatycznej. Aktualizacja oprogramowania powinna być przeprowadzana zgodnie z zaleceniami producentów lub autorów oprogramowania. PRZEPROWADZANIE NAPRAW URZĄDZEŃ KOMPUTEROWYCH 1. Zgłoszenie nieprawidłowości w działaniu urządzenia komputerowego. Użytkownik zgłasza telefonicznie problemy w funkcjonowaniu urządzenia. Informatyk stara się we własnym zakresie usunąć nieprawidłowość. W przypadku braku możliwości szybkiej naprawy urządzenia, informatyk wypełnia Zgłoszenie awarii urządzenia – (wzór stanowi Zał. 7 zgodny z załącznikiem ISO nr 1/PP-4) oraz dalej wykonuje i nadzoruje pozostałe czynności. 1.1 Informatyk dokładnie sprawdza urządzenie komputerowe i stara się ustalić usterkę. W przypadku stwierdzenia poprawnego działania lub zakończenia prac mających na celu usunięcie uszkodzenia urządzenia, użytkownik potwierdza wykonanie prac w Zgłoszeniu awarii urządzenia. 2. Sprawdzenie aktualności gwarancji. W przypadku wykrycia uszkodzenia, informatyk wyszukuje dokumentację urządzenia komputerowego i sprawdza aktualność gwarancji. W przypadku aktualnej gwarancji przewiduje czas naprawy. Jeżeli przewidywany czas naprawy będzie dłuższy niż jeden dzień roboczy, postępuje zgodnie z pkt 3.2. Instalacja urządzenia zastępczego, a następnie przechodzi do pkt 4. Naprawa urządzenia przez serwis zewnętrzny. Jeżeli czas naprawy nie przekroczy jednego dnia roboczego, postępuje zgodnie z pkt 4. Naprawa urządzenia przez serwis zewnętrzny. W przypadku nieaktualnej gwarancji postępuje zgodnie z pkt 3. Sprawdzenie konieczności wymiany podzespołów. 3. Sprawdzenie konieczności wymiany podzespołów. Informatyk ocenia czy do naprawy wystarczy wymiana podzespołów urządzenia komputerowego i w przypadku takiej potrzeby postępuje zgodnie z pkt 3.1.Sprawdzenie dostępnych podzespołów będących w dyspozycji urzędu. Jeśli informatyk nie podejmuje się naprawy urządzenia, postępuje zgodnie z procedurą 4.Naprawa urządzenia przez serwis zewnętrzny. 3.1 Sprawdzenie dostępnych podzespołów będących w dyspozycji urzędu. Informatyk sprawdza dostępność części potrzebnych do naprawy urządzenia komputerowego. W przypadku posiadania niezbędnych podzespołów, szacuje przewidywany czas naprawy. Jeżeli przewidywany czas naprawy będzie dłuższy niż jeden dzień roboczy, instaluje urządzenie zastępcze według pkt 3.2. Instalacja urządzenia zastępczego, a następnie przystępuje do naprawy zgodnie z pkt 3.3. Naprawa urządzenia we własnym zakresie. Jeżeli czas naprawy nie będzie przekraczał jednego dnia, informatyk postępuje zgodnie z pkt 3.3. Naprawa urządzenia we własnym zakresie. 3.1.1.Dokonanie zakupu zgodnie z procedurami W przypadku niedostępności podzespołów lub konieczności naprawy przez serwis zewnętrzny, Informatyk postępuje zgodnie z obowiązującym zarządzeniem Burmistrza dot. instrukcji postępowania w sprawie zamówień publicznych. 3.2.Instalacja urządzenia zastępczego. W przypadku, gdy przewidywany czas naprawy urządzenia będzie trwał dłużej niż jeden dzień roboczy, Informatyk w miarę posiadania sprzętu udostępnia użytkownikowi urządzenie zastępcze. Powinno to być urządzenie, które zapewni ciągłość pracy w standardzie nie odbiegającym od poprzedniego urządzenia. 3.3.Naprawa urządzenia we własnym zakresie. Informatyk naprawia urządzenie poprzez wymianę części lub konserwację urządzenia. Po wykonaniu tego procesu postępowanie powraca do pkt 1.1. Sprawdzenie działania urządzenia celem weryfikacji działania urządzenia. 4. Naprawa urządzenia przez serwis zewnętrzny. Firma zewnętrzna naprawia urządzenie komputerowe w siedzibie urzędu bądź we własnej siedzibie. W zależności od rodzaju usługi zwracana jest wypełniona karta 5. 6. 7. gwarancyjna urządzenia lub faktura za wykonaną usługę. Po wykonaniu tego procesu sprzęt jest odbierany i postępowanie powraca do pkt 1.1. Sprawdzenie działania urządzenia celem weryfikacji rzetelności naprawy. Potwierdzenie realizacji prac jest zarejestrowane w Zgłoszeniu awarii urządzenia. Użytkownik potwierdza wykonanie naprawy podpisem. Informatyk do końca 10 października każdego roku przeprowadza analizę ewentualnych zakupów sprzętowych i programowych. Informatyk do końca grudnia każdego roku przeprowadza analizę zgłoszeń w celu podjęcia decyzji o likwidacji urządzeń komputerowych. XII. SPIS ZAŁĄCZNIKÓW Zał. 1 (1/PP-5) Upoważnienie do przetwarzania danych osobowych w systemach informatycznych Zał. 2 (2/PP-5) Wniosek o wyrejestrowanie użytkownika z systemów informatycznych Zał. 3 (3/PP-5) Dziennik udostępniania/pobierania haseł administratorów Zał. 4 (4/PP-5) Dziennik zmiany haseł użytkowników Zał. 5 (5/PP-5) Lista stron blokowanych Zał. 6 (6/PP-5) Wykaz systemów informatycznych zainstalowanych w Urzędzie Miasta Ustka oraz częstotliwość zmiany haseł do systemów Zał. 7 (1/PP-4) Zgłoszenie awarii urządzenia