zobacz

Zarządzenie Nr 0050.SOA.117. 2013
Burmistrza Miasta Ustka
z dnia 22 lipca 2013 r.
w sprawie:
wprowadzenia Polityki Bezpieczeństwa Informacji i Instrukcji
Zarządzania Systemem Informatycznym służącym do
przetwarzania danych osobowych.
Na podstawie: art.31 i art.33 ust.3 ustawy z dnia 8 marca 1990 roku o samorządzie gminnym
( tekst jednolity; Dz. U. z 2013 r., poz.594 ), art. 39a ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz.926 z późn. zm.)
oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz.
1024)
zarządzam, co następuje:
§ 1.
Wprowadza się do stosowania w Urzędzie Miasta Ustka:
1) Politykę Bezpieczeństwa Informacji, która stanowi załącznik nr 1 do niniejszego
zarządzenia,
2) Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania
danych osobowych, która stanowi załącznik nr 2 do niniejszego zarządzenia.
§ 2.
Wykonanie zarządzenia powierza się Sekretarzowi Miasta Ustka.
§ 3.
Zarządzenie wchodzi w życie z dniem podpisania.
Burmistrz Miasta Ustka
/-/ Jan Olech
Załącznik Nr 1 do
Zarządzenia Nr 0050.SOA 117.2013
z dnia 22 lipca 2013r.
„ZATWIERDZAM”
Burmistrz Miasta Ustka
/-/ Jan Olech
…………………………
POLITYKA BEZPIECZEŃSTWA
INFORMACJI
URZĘDU MIASTA USTKA
Administrator Bezpieczeństwa
Informacji
/-/ Danuta Groszek
…………………………………..…
USTKA, dnia 22.07. 2013 r.
SPIS TREŚCI
Spis treści...................................................................................................................................................................2
I.Definicje I CELE POLITYKI BEZPIECZEŃSTWA ..........................................................................................................4
II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA............................................................................................5
III.WYKAZ
BUDYNKÓW
I
POMIESZCZEŃ
TWORZĄCYCH
OBSZAR,
W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE..............................................................................................7
IV.WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW INFORMATYCZNYCH ZASTOSOWANYCH DO
PRZETWARZANIA TYCH DANYCH......................................................................................................................7
V. SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE .....................................................................................................8
VI.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI,
INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH..................................................................8
VII.BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA.......................................................................................10
VIII.ZALECENIA ORGANIZACYJNE.............................................................................................................................10
IX. LISTA ZAŁĄCZNIKÓW..........................................................................................................................................11
SPIS TREŚCI..............................................................................................................................................................13
I.POSTANOWIENIA OGÓLNE I DEFINICJE................................................................................................................ 14
II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE W
SYSTEMIE INFORMATYCZNYM........................................................................................................................15
III.STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH
ZARZĄDZANIEM I UŻYTKOWANIEM ...............................................................................................................16
IV.Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu ...................................................17
V.Tworzenie kopii zapasowych zbiorów danych oraz programów.........................................................................18
VI.Usuwanie danych osobowych, niszczenie nośników..........................................................................................18
VII.Polityka antywirusowa.......................................................................................................................................19
VIII.Kontrola legalności oprogramowania komputerowego...................................................................................19
IX. METODY OCHRONY DANYCH OSOBOWYCH......................................................................................................19
X.Wykonywanie przeglądów i konserwacji systemu informatycznego oraz nośników danych służących do
przetwarzania danych.....................................................................................................................................20
I. DEFINICJE I CELE POLITYKI BEZPIECZEŃSTWA
Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi
w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U.
2002 r. Nr 101 poz. 926, ze zm.) oraz rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.
z 2004 r. Nr 100, poz. 1024). Opracowany dokument jest zgodny z dyrektywą 2002/58/WE
Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osób
oraz ochrony prywatności w sektorze komunikacji elektronicznej.
Definicje
Jednostka - Urząd Miasta Ustka;
Administrator Danych Osobowych - Burmistrz Miasta Ustka;
ABI - Administrator Bezpieczeństwa Informacji w Urzędzie Miasta Ustka;
ASI - Administrator Systemu Informatycznego w Urzędzie Miasta Ustka;
użytkownik - osoba zatrudniona w Urzędzie Miasta Ustka;
dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej;
informatyk – pracownik Wydziału Obsługi Informatycznej;
komórka organizacyjna – Wydział, samodzielne stanowisko pracy w Urzędzie Miasta Ustka
przetwarzanie danych - wszystkie operacje wykonywane na danych osobowych, takie jak:
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie
i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
osoba trzecia - każda osoba nieupoważnioną i przez to nieuprawniona do dostępu do danych
osobowych lub zbiorów tych danych;
system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania
danych;
zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie;
sieć informatyczna (LAN) - lokalna sieć komputerową budynku Urzędu wraz ze stacjami
klienckimi przyłączonymi do niej;
sieć publiczna - sieć telekomunikacyjną, nie będącą siecią wewnętrzną, służąca do
świadczenia usług telekomunikacyjnych;
procedura – ustalony sposób przeprowadzania procesu.
Cele
1. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem
do informacji zgromadzonych i przetwarzanych w systemie tradycyjnym w formie
papierowej oraz w systemie informatycznym w formie elektronicznej. Niniejsze
opracowanie określa tryb i zasady ochrony danych osobowych przetwarzanych
w Urzędzie Miasta Ustka oraz zasady ochrony infrastruktury, zasobów informatycznych
i ludzkich. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje
Dyrektor jednostki i pracownicy komórek organizacyjnych.
2. Zapisy Polityki Bezpieczeństwa są zgodne z Systemem Zarządzania Jakością wg normy
PN-EN ISO 9001:2009 obowiązującym w Urzędzie Miasta Ustka.
3. Każdy pracownik zatrudniony przy przetwarzaniu danych osobowych powinien być
zaznajomiony z przepisami o ochronie danych osobowych. Niniejszy dokument dotyczy
także innych osób niż pracownicy Urzędu a posiadających dostęp do informacji
chronionych - np. pracowników firm zewnętrznych realizujących prace na rzecz Urzędu.
4. Informacje niejawne, które są wytwarzane, przechowywane, przetwarzane lub przesyłane
przy pomocy systemów i sieci informatycznej podlegają zasadom bezpieczeństwa
dostosowanym do klauzuli bezpieczeństwa. Koordynację całości spraw w tym zakresie
sprawuje pełnomocnik ds. Informacji Niejawnych w Urzędzie Miasta Ustka.
5. Dla danych osobowych przetwarzanych w Urzędzie Miasta Ustka ustala się
zabezpieczenia na poziomie wysokim.
II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA
1. Administrator Danych Osobowych (ADO), którym w Jednostce jest Burmistrz Miasta
Ustka jest obowiązany do zastosowania środków technicznych i organizacyjnych
zapewniających ochronę przetwarzanych danych w systemach informatycznych Urzędu,
a w szczególności:
a/ zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym;
b/ zapobiegać przed zabraniem danych przez osobę trzecią, nieuprawnioną;
c/ zapobiegać przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie,
uszkodzeniu lub zniszczeniu tych danych.
2. Administrator Danych Osobowych pełni nadzór ogólny nad realizacją przepisów
wynikających z ustawy oraz rozporządzenia. Za nieprzestrzeganie przepisów ponosi
pełną odpowiedzialność.
3. Administrator Danych Osobowych (ADO) wyznacza Administratora Bezpieczeństwa
Informacji (ABI) i Administratora Systemu Informatycznego (ASI).
4. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie ochrony danych,
a w szczególności:
a/ ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów
informatycznych;
b/ podejmowania stosownych działań zgodnie z niniejszym dokumentem w przypadku
wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia
danych znajdujących się w Jednostce;
c/ niezwłocznego informowania Administratora Danych Osobowych o przypadkach
naruszenia przepisów ustawy o ochronie danych osobowych;
d/ nadzoru i kontroli systemów informatycznych służących do przetwarzania danych
osobowych i osób przy nim zatrudnionych;
e/ przeciwdziałanie dostępowi osób trzecich do danych osobowych lub zbiorów tych
danych.
5. W przypadku nieobecności Administratora Bezpieczeństwa Informacji zadania realizuje
Administrator Systemu Informatycznego a w przypadku nieobecności ABI i ASI ich
zadania realizuje osoba upoważniona przez Administratora Danych Osobowych.
6. Administrator Systemu Informatycznego (ASI) realizuje zadania w zakresie ochrony
danych, a w szczególności:
a/ ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów
informatycznych;
b/ podejmowania stosownych działań zgodnie z niniejszym dokumentem w przypadku
7.
8.
9.
10.
11.
12.
13.
14.
wykrycia nieuprawnionego dostępu do bazy danych informatycznych lub naruszenia
zabezpieczenia danych znajdujących się w Jednostce;
c/ niezwłocznego informowania ABI o przypadkach naruszenia przepisów ustawy
o ochronie danych osobowych;
d/ nadzoru i kontroli systemów informatycznych służących do przetwarzania danych
osobowych i osób przy nim zatrudnionych;
e/ przeciwdziałanie dostępowi osób trzecich do informatycznych danych osobowych lub
zbiorów tych danych;
f/ doraźny przegląd Instrukcji Zarządzania Systemem Informatycznym służącym do
przetwarzania danych osobowych oraz obligatoryjnie cykliczny przegląd Instrukcji raz na rok
g/ inicjowanie przedsięwzięć w zakresie bezpieczeństwa systemów teleinformatycznych.
Każdy pracownik, który przetwarza dane osobowe musi posiadać imienne upoważnienie
nadane przez Administratora Danych Osobowych do przetwarzania danych osobowych –
wzór upoważnienia stanowi Zał. 1.
Administrator Bezpieczeństwa Informacji prowadzi rejestr osób upoważnionych do
przetwarzania danych osobowych według wzoru z Zał. 2, który zawiera:
- imię i nazwisko osoby upoważnionej;
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych.
Przełożeni komórek organizacyjnych (Naczelnicy, Kierownicy) odpowiedzialni są za
codzienną kontrolę przestrzegania zasad ochrony danych przez podległych im pracowników
oraz zobowiązani do kontroli procesu przetwarzania danych osobowych realizowanego przez
podwładnych.
Administrator lub osoby przez niego upoważnione obowiązane są do udzielania informacji,
o których mowa w art. 32 - 33 oraz realizacji obowiązków wynikających z art. 24 – 25
Ustawy. Dane osobowe w Jednostce udostępniane są przez osoby do tego upoważnione,
zgodnie z zasadami określonymi w art. 29 Ustawy chyba, że przepisy innych ustaw stanowią
inaczej. W Jednostce funkcjonuje Wniosek o udzielenie informacji publicznej – wzór stanowi
Zał. 6.
Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz
bezpiecznej pracy na swoim stanowisku. Jest odpowiedzialny przed Administratorem
Bezpieczeństwa Informacji za nadzór, implementację i utrzymanie niezbędnych
warunków bezpieczeństwa oraz przestrzegania procedur dostępu do systemu i ochrony
danych osobowych.
Każdy pracownik, który przetwarza dane osobowe w systemie informatycznym musi
posiadać imienne upoważnienie do przetwarzania danych w systemach informatycznych.
Wzór tego upoważnienia, opis informacji na upoważnieniu, sposób nadania i wycofania
uprawnień zawarty jest w Instrukcji Zarządzania Systemem Informatycznym służącym do
przetwarzania danych osobowych.
Administrator Systemu Informatycznego prowadzi rejestr osób upoważnionych do
przetwarzania danych osobowych według wzoru zawartego w Instrukcji Zarządzania
Systemem Informatycznym służącym do przetwarzania danych osobowych.
Każdy pracownik Urzędu Miasta Ustka podpisuje oświadczenie o zapoznaniu się
z Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem służącym do
przetwarzania danych osobowych. Wzór oświadczenia zawiera Zał.5.
III. WYKAZ BUDYNKÓW I POMIESZCZEŃ TWORZĄCYCH OBSZAR,
W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE
1. Dane osobowe są przetwarzane są w pomieszczeniach budynków: Urzędu Miasta Ustka
i Straży Miejskiej zlokalizowanych w Ustce przy ul. Ks. Kardynała Stefana Wyszyńskiego
3.
2. Przebywanie osób trzecich w pomieszczeniach, w których przetwarzane są dane osobowe
jest dopuszczalne w obecności osób upoważnionych do przetwarzania danych osobowych
lub za zgodą Administratora Bezpieczeństwa Informacji.
IV. WYKAZ ZBIORÓW
INFORMATYCZNYCH
DANYCH
2.
3.
4.
5.
DANYCH OSOBOWYCH ORAZ PROGRAMÓW
ZASTOSOWANYCH DO PRZETWARZANIA TYCH
1. W Urzędzie Miasta Ustka ze względu na rodzaj i charakter danych osobowych
zawartych w zbiorach wyróżnia się dwie kategorie danych:
- dane osobowe zwykłe - wszelkie dane (informacje) dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej, zgromadzone w zbiorach danych
osobowych
- dane osobowe sensytywne – zgodnie z katalogiem zawartym w treści Ustawy
o Ochronie Danych Osobowych art. 27 ust 1. wszelkie dane (informacje) ujawniające
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne,
przynależność partyjną lub związkową, jak również informacje o stanie zdrowia,
kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań,
orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych
w postępowaniu sądowym lub administracyjnym.
Zgodnie z postanowieniami art. 40 ustawy o ochronie danych osobowych, z uwagi na
gromadzone kategorie zbiorów danych osobowych Urząd Miasta Ustka nie jest zwolniony
z obowiązku zgłoszenia i rejestracji tych zbiorów u Generalnego Inspektora Ochrony
Danych Osobowych.
Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach,
skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych poszczególnych
komórek organizacyjnych Jednostki w postaci dokumentów papierowych oraz w postaci
elektronicznej w systemie informatycznym.
Zestawienie zbiorów danych osobowych przetwarzanych w Urzędzie Miasta Ustka oraz
systemów informatycznych przetwarzających te dane zawiera wykaz według wzoru z Zał.
3. W wykazie znajdują się również informacje o zbiorach zgłoszonych do GIODO.
Opisy działania systemów oraz opisy techniczne zbiorów danych znajdują się
w dokumentacjach oprogramowania otrzymanych od autorów systemów, które
przechowywane są w Wydziale Obsługi Informatycznej.
V.SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE
1. Obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi
Jednostki powinien odbywać w sposób zapewniający pełną ochronę przed ujawnieniem
zawartych w tych dokumentach danych (informacji).
2. W Jednostce stosowany jest mieszany papierowo-elektroniczny obieg dokumentów.
3. Wymiana informacji oraz danych w systemie informatycznym Jednostki odbywa się
w relacji:
Jednostka - Jednostka, jednostki podległe, interesanci, kontrahenci, Zakład
Ubezpieczeń Społecznych, Urząd Skarbowy, banki, Starostwo Powiatowe, Pomorski
Urząd Wojewódzki, Regionalna Izba Skarbowa, firmy autorskie używanego
w Jednostce oprogramowania.
4. Przepływ danych odbywa się między programami: Kadrowo-płacowym, SOZU,
Płatnikiem, Bestią, Home Banking na zasadzie importu i eksportu danych.
VI. OKREŚLENIE
ŚRODKÓW TECHNICZNYCH
I
ORGANIZACYJNYCH
NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI
I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
1. Ochronie podlegają dane osobowe gromadzone i przetwarzane w kartotekach,
skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz
w urządzeniach i systemie informatycznym Jednostki.
2. W Jednostce stosowane są środki techniczne i organizacyjne zapewniające przetwarzanie
danych zgodnie z Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych.
Środki techniczne
3. Do zastosowanych środków technicznych należą m.in. zabezpieczenia wejść do budynku
i pomieszczeń, zamykane szafy, alarmy, czujki ppoż., monitoring całodobowy, niszczarki,
loginy i hasła do systemów, program antywirusowy, firewall, monitoring informatyczny,
tworzenie kopii zapasowych.
4. Pomieszczenia, w których przetwarza się dane osobowe są fizycznie zabezpieczone przed
dostępem osób nieuprawnionych, to znaczy posiadają odpowiednie zamki do drzwi,
zabezpieczenia w oknach typu rolety (w szczególności na parterze), zamki szyfrowe.
Większość pomieszczeń wyposażona jest w czujki ppoż. Na korytarzach i niektórych
pomieszczeniach znajdują się gaśnice ppoż. Wszystkie pokoje, w których przetwarzane są
dane osobowe wyposażone są w niszczarki dokumentów.
5. Szczególną ochroną przed dostępem osób trzecich obejmuje się pomieszczenia
serwerowni i archiwum.
6. Nadzór nad budynkiem w czasie godzin pracy sprawuje Burmistrz oraz pracownicy
Urzędu a po godzinach pracy aktywowany jest system alarmowy monitorowany zdalnie
przez licencjonowaną firmę ochroniarska.
7. Dokumenty i nośniki informacji, zawierające dane osobowe są zabezpieczone przed
dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie używane
są przechowywane w zamkniętych szafach.
8. Przetwarzanie danych osobowych oraz wykonywanie wydruków z systemów
informatycznych baz danych może wynikać tylko z potrzeb realizacji zadań służbowych oraz
może być realizowane tylko w ramach kompetencji i zakresu upoważnień zainteresowanych
przełożonych i użytkowników.
9. Archiwizowanie dokumentów zawierających dane osobowe odbywa się zgodnie z przepisami
prawa.
10. Pomieszczenia, w których znajdują się stanowiska komputerowe są zamknięte, jeśli nikt
w nich nie przebywa.
11. Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają
jedynie upoważnieni pracownicy Jednostki zgodnie z Instrukcją Zarządzania Systemem
służącym do przetwarzania danych osobowych.
12. Serwery i stanowiska komputerowe strategiczne (płace, kadry, dowody osobiste, USC,
księgowość) zabezpieczone są urządzeniami podtrzymującymi zasilanie (UPS),
umożliwiającymi poprawne zakończenie pracy na stanowisku komputerowym po zaniku
zasilania.
13. Stacje robocze powinny być zabezpieczone przed nieautoryzowanym dostępem osób
trzecich poprzez wymagane podanie hasła przed uzyskaniem dostępu do komputera,
stosowanie wygaszaczy oraz dostęp do aplikacji na podstawie indywidualnego identyfikatora
i hasła. Opis zabezpieczeń stosowanych na stacjach roboczych w Jednostce, wymagania
dotyczące haseł zawiera Instrukcja Zarządzania Systemem Informatycznym służącym do
przetwarzania danych osobowych .
14. Na wszystkich stanowiskach komputerowych zainstalowany jest program antywirusowy.
W Jednostce wykorzystywany jest także firewall programowy. Opis polityki
antywirusowej stosowanej w Jednostce zawiera Instrukcja Zarządzania Systemem
Informatycznym służącym do przetwarzania danych osobowych.
15. W Jednostce wszystkie stacje robocze są monitorowane a użytkownicy o tym fakcie
informowani. Używany w Jednostce program do monitoringu bezpieczeństwa pozwala
m.in. na analizę oprogramowania zainstalowanego na stacjach roboczych, analizę
odwiedzanych stron www, analizę ruchu sieciowego, inwentaryzację sprzętu, dostęp
zdalny do stacji roboczej, analizę zmian w konfiguracji sprzętu, blokowanie portów.
16. W Jednostce stosowana jest blokada niektórych stron internetowych. Wzór ewidencji
zawiera Instrukcja Zarządzania Systemem służącym do przetwarzania danych osobowych.
17. W celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana
w systemie podlega codziennej pełnej archiwizacji (opcjonalnie). Kopie archiwalne danych są
wykonywane na serwerze backupowym, nośnikach magnetooptycznych (streamer) lub płytach
CD/DVD. Użycie kopii zapasowych następuje na polecenie Administratora Systemu
Informatycznego w przypadku odtwarzania systemu po awarii.
Środki organizacyjne
18. Do zastosowanych w Jednostce środków organizacyjnych zapewniających ochronę
przetwarzanych danych należą m.in. zapoznanie każdego pracownika z przepisami
dotyczącymi ochrony danych osobowych, zapoznanie z Polityką Bezpieczeństwa
i Instrukcją Zarządzania Systemem Informatycznym służącym do przetwarzania danych
osobowych, szkolenia osób w zakresie bezpiecznej obsługi urządzeń i programów
związanych z przetwarzaniem i ochrona danych, kontrolowanie pomieszczeń pod kątem
osób trzecich i „czystego biurka” otwieranie.
19. Obowiązkiem pracowników użytkujących sprzęt komputerowy jest zachowanie
szczególnej ostrożności podczas ich użytkowania, transportu lub przechowywania.
20. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych
danych w tajemnicy.
21. Pracownicy zobowiązani są do nie zostawiania dokumentów zawierających dane osobowe
przy urządzeniach drukujących, kopiujących i skanujących, do których dostęp mogą mieć
dostęp osoby nieuprawnione.
22. Pracownicy zobowiązani są do zachowania szczególnej ostrożności w trakcie prowadzenia
rozmów telefonicznych w celu uniknięcia niekontrolowanego udostępnienia danych osobom
do tego nieupoważnionym.
VII. BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA
1.
Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów
teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi.
Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez
wiedzy Administratora Systemu Informatycznego.
2. Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody
Administratora Systemu Informatycznego. O instalacji dodatkowego oprogramowania
decyduje Administrator Systemu Informatycznego.
3. Używanie oprogramowania prywatnego w sieci jest kategorycznie zabronione.
4. Na stacjach roboczych powinno być zainstalowane jedynie oprogramowanie licencyjne
lub oprogramowanie z bezpłatną licencją.
5.
Każde urządzenie użytkowane w systemie informatycznym, powinno podlegać
rutynowym czynnościom konserwacyjnym oraz przeglądom wykonywanym przez
uprawnione osoby.
6. Za konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu
informatycznego odpowiedzialny jest Administrator Systemu Informatycznego.
Konserwacja ww. oprogramowania obejmuje także jego aktualizację.
7. Naprawy sprzętu komputerowego nadzoruje Administrator Systemu Informatycznego
zgodnie z procedurami zawartymi w Instrukcji Zarządzania Systemem służącym do
przetwarzania danych osobowych.
VIII. ZALECENIA ORGANIZACYJNE
1. Wszelkie podejrzenia naruszenia bezpieczeństwa danych w Jednostce należy zgłaszać
Administratorowi Bezpieczeństwa Informacji, który wypełnia raport z naruszenia
bezpieczeństwa – wzór zgodny z Zał. 4 i podejmuje stosowne kroki zaradcze.
2. Jednostka dba o edukację pracowników w zakresie bezpieczeństwa informacji.
Cyklicznie prowadzone są szkolenia z tego zakresu.
3. Przynajmniej raz w roku wykonywany jest wewnętrzny audyt bezpieczeństwa mający na
celu wykrycie ewentualnych uchybień w realizacji polityki bezpieczeństwa oraz
aktualizację zapisów w Polityce Bezpieczeństwa i Instrukcji Zarządzania Systemem
Informatycznym służącym do przetwarzania danych osobowych.
IX. LISTA ZAŁĄCZNIKÓW
Zał. 1 Upoważnienie do przetwarzania danych osobowych
Zał. 2 Rejestr osób upoważnionych do przetwarzania danych osobowych
Zał. 3 Zestawienie zbioru danych osobowych przetwarzanych w Urzędzie Miasta Ustka
Zał. 4 Raport z naruszenia bezpieczeństwa
Zał. 5 Oświadczenie
Zał. 6 Wniosek o udzielenie informacji publicznej
Załącznik Nr 2 do
Zarządzenia Nr 0050.SOA.117. 2013
z dnia 22 lipca 2013 r.
„ZATWIERDZAM”
Burmistrz Miasta Ustka
/-/ Jan Olech
……………………
INSTRUKCJA ZARZĄDZANIA
SYSTEMEM INFORMATYCZNYM
SŁUŻĄCYM DO PRZETWARZANIA
DANYCH OSOBOWYCH
W URZĘDZIE MIASTA USTKA
Administrator Bezpieczeństwa Informacji
/-/ Danuta Groszek
………………………………….
Administrator Systemu Informatycznego
/-/ Ewa Wieczorek
.....................................................
USTKA, dnia 22 lipca 2013 roku
SPIS TREŚCI
Spis treści...................................................................................................................................................................2
I.Definicje I CELE POLITYKI BEZPIECZEŃSTWA ..........................................................................................................4
II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA............................................................................................5
III.WYKAZ
BUDYNKÓW
I
POMIESZCZEŃ
TWORZĄCYCH
OBSZAR,
W KTÓRYM PRZETWARZA SIĘ DANE OSOBOWE..............................................................................................7
IV.WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW INFORMATYCZNYCH ZASTOSOWANYCH DO
PRZETWARZANIA TYCH DANYCH......................................................................................................................7
V. SPOSÓB PRZEPŁYWU DANYCH W JEDNOSTCE .....................................................................................................8
VI.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI,
INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH..................................................................8
VII.BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA.......................................................................................10
VIII.ZALECENIA ORGANIZACYJNE.............................................................................................................................10
IX. LISTA ZAŁĄCZNIKÓW..........................................................................................................................................11
SPIS TREŚCI..............................................................................................................................................................13
I.POSTANOWIENIA OGÓLNE I DEFINICJE................................................................................................................ 14
II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH ORAZ ICH REJESTROWANIE W
SYSTEMIE INFORMATYCZNYM........................................................................................................................15
III.STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH
ZARZĄDZANIEM I UŻYTKOWANIEM ...............................................................................................................16
IV.Rozpoczęcie, zawieszenie i zakończenie pracy przez użytkowników systemu ...................................................17
V.Tworzenie kopii zapasowych zbiorów danych oraz programów.........................................................................18
VI.Usuwanie danych osobowych, niszczenie nośników..........................................................................................18
VII.Polityka antywirusowa.......................................................................................................................................19
VIII.Kontrola legalności oprogramowania komputerowego...................................................................................19
IX. METODY OCHRONY DANYCH OSOBOWYCH......................................................................................................19
X.Wykonywanie przeglądów i konserwacji systemu informatycznego oraz nośników danych służących do
przetwarzania danych.....................................................................................................................................20
I. POSTANOWIENIA OGÓLNE I DEFINICJE
Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 2002r. Nr 101,
poz. 926, z późn. zm.) oraz Rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.
z 2004r. Nr 100, poz. 1024) nakłada na Administratora Systemu Informatycznego
obowiązek opracowania instrukcji określającej sposób zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych oraz podstawowe
warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i system
informatyczny. Ochronie podlegają dane osobowe niezależnie od formy przechowywania,
sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których
odbywa się przetwarzanie.
Definicje
Jednostka - Urząd Miasta Ustka;
Administrator Danych Osobowych - Burmistrz Miasta Ustka;
ABI - Administrator Bezpieczeństwa Informacji w Urzędzie Miasta Ustka;
ASI - Administrator Systemu Informatycznego w Urzędzie Miasta Ustka;
użytkownik - osoba zatrudniona w Urzędzie Miasta Ustka;
dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej;
informatyk – pracownik Wydziału Obsługi Informatycznej;
komórka organizacyjna – Wydział, samodzielne stanowisko pracy w Urzędzie Miasta Ustka
przetwarzanie danych - wszystkie operacje wykonywane na danych osobowych, takie jak:
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie
i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
osoba trzecia - każda osoba nieupoważnioną i przez to nieuprawniona do dostępu do danych
osobowych lub zbiorów tych danych;
system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania
danych;
zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie;
sieć informatyczna (LAN) - lokalna sieć komputerową budynku Urzędu wraz ze stacjami
klienckimi przyłączonymi do niej;
sieć publiczna - sieć telekomunikacyjną, nie będącą siecią wewnętrzną, służąca do
świadczenia usług telekomunikacyjnych;
procedura – ustalony sposób przeprowadzania procesu;
W Urzędzie Miasta Ustka uwzględniając kategorie danych, możliwość wystąpienia zagrożeń
i połączenie stacji roboczych z siecią publiczną stosuje się wysoki poziom bezpieczeństwa
systemów.
II.NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH
OSOBOWYCH ORAZ ICH REJESTROWANIE W SYSTEMIE
INFORMATYCZNYM
1. Przetwarzać dane osobowe w systemach informatycznych mogą wyłącznie osoby
posiadające pisemne upoważnienie przetwarzania danych osobowych w systemach
informatycznych (wzór wg Zał. 1 zgodny z załącznikiem ISO nr 1/PP-5) lub osoby,
którym udzielono upoważnień do przetwarzania danych osobowych na podstawie
umów powierzenia danych osobowych.
2. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych, każdy
użytkownik musi zostać zapoznany z przepisami dotyczącymi ochrony danych
osobowych oraz obowiązującymi w Urzędzie Miasta Ustka wewnętrznymi
regulacjami w tym zakresie. Po zapoznaniu użytkownik podpisuje oświadczenie
dotyczące ochrony danych osobowych – wzór oświadczenia zawiera Polityka
Bezpieczeństwa.
3. Upoważnienie do przetwarzania danych osobowych w systemach informatycznych
wydaje Administrator Systemów Informatycznych. Upoważnienie to zawiera;
- imię i nazwisko pracownika, któremu upoważnienie zostanie nadane,
– nazwę systemu informatycznego, do którego użytkownik będzie miał dostęp;
- zakres upoważnienia do przetwarzania danych,
- okres ważności upoważnienia,
- podpis administratora systemów informatycznych
- identyfikator użytkownika systemu informatycznego nadany przez informatyka.
4. Oryginał upoważnienia zostaje przekazany użytkownikowi za potwierdzeniem odbioru,
jedna kopia zostaje dołączona do akt osobowych pracownika a druga kopia znajduje się
u Administratora Systemu Informatycznego.
5. Użytkownikowi, który posiada pisemne upoważnienie do przetwarzania danych osobowych
w systemach informatycznych przydzielany jest identyfikator i hasło do systemu
informatycznego.
6. Za przydzielenie i wygenerowanie identyfikatora i hasła użytkownikowi, który pierwszy
raz będzie korzystał z systemu informatycznego odpowiada informatyk.
7. Hasło przy pierwszym korzystaniu z systemu musi zostać zmienione przez użytkownika.
8. W przypadku zmiany zakresu przetwarzania danych osobowych wydaje się kolejne,
uzupełniające upoważnienie do przetwarzania danych osobowych w systemach
informatycznych.
9. W Jednostce stosuje się zasadę minimalnych uprawnień i ograniczonego dostępu czyli
przydzielania tylko niezbędnych uprawnień do wykonywania czynności wynikających z
zakresu obowiązków.
10.Przełożeni użytkowników zobowiązani są pisemnie lub mailowo informować
administratora systemów informatycznych o każdej zmianie dotyczącej użytkowników
mającej wpływ na zakres posiadanych uprawnień do przetwarzania danych osobowych
w systemach informatycznych.
11.Wyrejestrowanie użytkownika z systemów informatycznych realizuje informatyk na
pisemny wniosek (zaakceptowany przez Administratora Systemu Informatycznego)
przełożonego użytkownika, na rzecz którego były wykonywane czynności związane
z przetwarzaniem danych osobowych. Wniosek o wyrejestrowanie użytkownika stanowi
wzór wg Zał. 2 zgodny z załącznikiem ISO nr 2/PP-5. Wniosek ten zawiera:
- imię i nazwisko pracownika, któremu upoważnienie zostanie odebrane,
- nazwę systemu informatycznego, do którego użytkownik miał dostęp,
- datę, z jaką upoważnienie ma być odebrane,
- podpis przełożonego pracownika,
- akceptację Administratora Systemu Informatycznego,
- podpis informatyka dokonującego wyrejestrowanie.
12.Wniosek po wyrejestrowaniu użytkownika z systemów informatycznych, dołącza się do
akt osobowych pracownika a kopia przechowywana jest u Administratora Systemu
Informatycznego.
III. STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA
UŻYTKOWNIKA ORAZ PROCEDURY ZWIĄZANE Z ICH
ZARZĄDZANIEM I UŻYTKOWANIEM
1. Użytkownik uzyskuje dostęp do danych osobowych przetwarzanych w systemie
informatycznym wyłącznie po podaniu identyfikatora i hasła.
2. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi. Użytkownik
odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora,
którym się posługuje lub posługiwał. W Urzędzie Miasta Ustka przyjęto zasadę, że
identyfikator składa się z pierwszej litery imienia i nazwiska, o ile system nie
wymusza innej nazwy. Identyfikator nadawany jest (przez Informatyka) do
właściwych systemów, do których użytkownik uzyskał dostęp. Informatyk na
upoważnieniu do przetwarzania danych osobowych w systemach informatycznych
wpisuje identyfikator pracownika. Identyfikator użytkownika nie jest zmieniany, a po
wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany
innej osobie.
3. Hasło przydzielone użytkownikowi powinno być zmienione przez użytkownika po
pierwszym udanym zalogowaniu się do systemu informatycznego przetwarzającego
dane. Po zmianie hasło znane jest tylko użytkownikowi. Hasło powinno składać się z
co najmniej 8 znaków, zawierać małe, duże litery, cyfry oraz znaki specjalne. Z reguły
systemy informatyczne wyposażone są w mechanizmy wymuszające zmianę hasła po
upływie 30 dni od dnia ostatniej jego zmiany. Częstotliwość zmiany haseł dla
poszczególnych systemów informatycznych wykorzystywanych w Urzędzie Miasta
Ustka jest różna i podana w zestawieniu wg wzoru Zał. 6 zgodnym z załącznikiem
ISO nr 6/PP-5. Użytkownik chroni swoje hasło poprzez nieudostępnianie go osobom
trzecim oraz niezapisywanie go w miejscu widocznym. W przypadku podejrzenia, że
hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest niezwłocznie
je zmienić lub w przypadku problemów ze zmianą hasła powiadomić Administratora
Systemu Informatycznego.
4. W przypadku konieczności awaryjnej zmiany haseł użytkowników systemów
informatycznych konieczny jest wpis ilustrujący zaistniałą sytuację w Dzienniku
zmiany haseł użytkowników (zestawienie wg wzoru Zał. 4 zgodnym z załącznikiem
ISO nr 4/PP-5). Do awaryjnej zmiany hasła użytkownika upoważniony jest
Informatyk na wniosek pisemny, mailowy lub telefoniczny użytkownika albo pisemny
przełożonego. W przypadku zgłoszenia telefonicznego nie jest wymagany osobisty
podpis użytkownika w „Dzienniku zmiany haseł użytkowników” – wystarczy podpis
Informatyka dokonującego zmiany.
5. Nazwy i hasła administratorów systemów informatycznych przechowywane są
w zabezpieczonych kopertach w sejfie w serwerowni, do której dostęp jest w pełni
kontrolowany, przy czym dostęp mają wyłącznie uprawnione osoby. W przypadku
konieczności awaryjnego użycia nazwy i hasła administratora systemu
informatycznego konieczny jest wpis ilustrujący zaistniałą sytuację w „Dzienniku
udostępniania/pobierania haseł administratora” (wg wzoru Zał. 3 zgodnego z
załącznikiem ISO nr 3/PP-5) znajdującym się w sejfie w serwerowni. Wpis powinien
zawierać następujące informacje:
− imię i nazwisko oraz stanowisko osoby upoważnionej udostępniającej wgląd do
koperty z hasłami do danego systemu informatycznego,
− imię i nazwisko oraz stanowisko osoby, która pobiera hasło do danego systemu.
6. O konieczności i okolicznościach awaryjnego użycia nazw i haseł administratorów
systemów informatycznych musi niezwłocznie zostać powiadomiony Administrator
Systemu Informatycznego. Wpis powinien zawierać następujące informacje:
- data zmiany hasła,
- imię i nazwisko, identyfikator użytkownika, któremu Informatyk zmienia hasło,
- powód zmiany hasła,
- imię i nazwisko osoby wnioskującej zmianę hasła.
IV.
Rozpoczęcie, zawieszenie i zakończenie pracy przez
użytkowników systemu
1. Użytkownik, rozpoczynając pracę na komputerze loguje się do swojego, zabezpieczonego
hasłem profilu w systemie operacyjnym. W Urzędzie Miasta Ustka stacje robocze pracują
w systemach Windows XP, Windows Vista, Windows 7 lub Windows 8. Każdy
użytkownik loguje się na swoim profilu za pomocą identyfikatora do systemu
informatycznego i hasła.
2. Dostęp do danych osobowych możliwy jest jedynie po dokonaniu uwierzytelnienia
użytkownika. W większości systemy wyposażone są w mechanizmy blokowania hasła po
3 nieudanych próbach. Odblokowania dostępu do zbioru danych może dokonać
informatyk, odnotowując ten fakt w Dzienniku zmiany haseł użytkowników (wzór wg
Zał. 4 zgodnego z załącznikiem ISO nr 4/PP-5). W ewidencji tej odnotowywane są
również zmiany hasła w przypadku jego zapomnienia przez użytkownika.
3. W przypadku braku aktywności użytkownika na komputerze przez czas dłuższy niż 15
minut następuje automatyczne włączenie wygaszacza ekranu.
4. Monitory stanowisk komputerowych, w których przetwarzane są dane osobowe,
znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają
upoważnień do przetwarzania danych osobowych, w miarę możliwości powinny być
ustawiane w taki sposób, by uniemożliwić tym osobom wgląd w dane.
5. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w
którym są przetwarzane dane osobowe, dopuszczalne jest tylko w obecności osoby
upoważnionej do ich przetwarzania.
6. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać na czas
nieobecności osób upoważnionych, w sposób uniemożliwiający dostęp do nich osobom
nieupoważnionym.
7. Przed opuszczeniem stanowiska pracy użytkownik jest obowiązany wylogować się
z systemu informatycznego lub ustawić wygaszacz ekranu.
8. Kończąc pracę użytkownik systemu informatycznego obowiązany jest zakończyć pracę
we wszystkich systemach informatycznych i wyłączyć sprzęt komputerowy oraz
urządzenia peryferyjne np. drukarkę.
V.
1.
2.
3.
4.
5.
6.
Tworzenie kopii zapasowych zbiorów danych oraz
programów
Dane zgromadzone na przestrzeni dyskowej w serwerowni podlegają zabezpieczeniu
poprzez tworzenie kopii zapasowych. Za tworzenie kopii zapasowych odpowiedzialny
jest Informatyk. Kopie tworzone są automatycznie w czasie niekorzystania z danych.
Kopie wykonywane są na kasetach streamera, dyskach twardych serwera backupowego,
płytach CD/DVD.
Kopie pełne serwerów wykonywane są na serwerze backupowym codziennie od
poniedziałku do piątku w godzinach nocnych w cyklu miesięcznym, kopia serwera
z systemem SOZU Tensoft dodatkowo wykonywana jest codziennie od poniedziałku do
piątku na kasetach streamera w trybie tygodniowym. Okresowe kopie zapasowe
wykonuje się na nośnikach CD/DVD i przechowuje w sejfie w innym pomieszczeniu niż
serwerownia. Kopie zapasowe przechowuje się w sposób uniemożliwiający osobom
nieuprawnionym przejęcie, uszkodzenie lub zniszczenie kopii.
Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie,
modyfikacje, uszkodzenie lub zniszczenie.
Kasety streamera, płyty CD/DVD przechowywane są w szafach metalowych poza
serwerownią. Dyski dedykowane zainstalowane są w komputerach znajdujących się poza
serwerownią. Serwer backupowy znajduje się w pomieszczeniu serwerowni. Okresowo
sprawdzana jest przydatność kopii zapasowych do odtworzenia zasobów systemu
informatycznego.
Dostęp do nośników z kopiami zapasowymi danych osobowych mają wyłącznie
informatycy.
Kopie zapasowe i nośniki informacji, które zostały uszkodzone, wycofane lub utraciły
przydatność, niszczy się pod nadzorem Administratora Systemu Informatycznego w sposób
uniemożliwiający ich ponowne użycie.
VI.
Usuwanie danych osobowych, niszczenie nośników
1. Dane osobowe w postaci elektronicznej należy usuwać z nośnika danych w sposób
uniemożliwiający ich ponowne odtworzenie.
2. Nośniki danych podlegają komisyjnemu fizycznemu zniszczeniu w przypadku
wycofania ich z eksploatacji. Z przeprowadzonych czynności komisja sporządza
protokół niszczenia.
3. Przez zniszczenie nośników danych należy rozumieć ich trwałe i nieodwracalne
zniszczenie fizyczne lub chemiczne do stanu uniemożliwiającego ich rekonstrukcję
i odzyskanie danych.
VII. Polityka antywirusowa
1.
2.
3.
4.
5.
6.
7.
Za ochronę antywirusową systemu odpowiada Administrator Systemu Informatycznego.
ASI odpowiedzialny jest za aktywowanie i poprawną konfigurację systemu
antywirusowego.
System antywirusowy zainstalowany na dysku twardym każdego komputera w Urzędzie
Miasta Ustka. Aktualizacja baz odbywa się automatycznie w trybie online.
Programy antywirusowe są uaktywnione przez cały czas pracy każdego komputera.
Wszystkie pliki otrzymywane z zewnątrz, jak również wysyłane na zewnątrz, podlegają
automatycznemu sprawdzeniu przez system antywirusowy pod kątem występowania
wirusów, z zastosowanie najnowszej dostępnej wersji programu antywirusowego.
W przypadku pojawienia się wirusa, użytkownik obowiązany jest powiadomić o tym
fakcie informatyka. O ile program sam nie usunie lub zneutralizuje wirusa informatyk
powinien podjąć działania zmierzające do usunięcia zagrożenia.
Niedozwolone jest otwieranie wiadomości poczty elektronicznej i załączników
o podejrzanej treści a za taką uważa się m.in. treści reklamowe, treści wulgarne, treści
pornograficzne, treści obraźliwych, treści obcojęzyczne, wiadomości zawierające
w tytule słowo SPAM.
Niedozwolone jest wyłączanie, blokowanie i odinstalowywanie systemu
antywirusowego.
VIII. Kontrola legalności oprogramowania komputerowego
1.
2.
3.
4.
5.
6.
IX.
Wszystkie komputery oraz laptopy będące na stanie Urzędu Miasta Ustka wyposażone są
w oprogramowanie monitorujące agenta Axence Nvision, umożliwiające zdalny dostęp
oraz inwentaryzację zasobów sprzętowych i programowych.
W Urzędzie Miasta Ustka obowiązuje bezwzględny zakaz instalowania/używania
nielegalnego lub zewnętrznego (nie zakupionego przez Urząd Miasta Ustka)
oprogramowania komputerowego na komputerach (także laptopach) i serwerach będących
własnością urzędu.
Instalacji lub reinstalacji oprogramowania systemowego i użytkowego na stanowiskach
komputerowych dokonuje informatyk.
Obowiązuje bezwzględny zakaz udostępniania programów będących własnością Urzędu
Miasta Ustka osobom trzecim, oraz instalowania programów jednostanowiskowych na
innych stanowiskach.
Licencje
oprogramowania
są
przechowywane
w
Wydziale
Obsługi
Informatycznej (z wyjątkiem części licencji Straży Miejskiej w Ustce).
Informatyk raz w roku przeprowadza inwentaryzację zasobów na stacjach roboczych za
pomocą programu monitorującego Axence Nvision.
METODY OCHRONY DANYCH OSOBOWYCH
1.
Wszystkie dokumenty oraz wydruki zawierające dane osobowe, ruchome nośniki danych
(płyty CD/DVD, dyski przenośne, pamięci zewnętrzne itp.) nie mogą być pozostawiane
na biurku po zakończeniu pracy. W momencie, gdy przestają być używane chowane są
do szafek i biurek. Na biurku znajdują się jedynie dokumenty aktualnie wykorzystywane
przez pracownika.
2. W przypadku opuszczenia stanowiska pracy (wyjście z pomieszczenia) wszystkie
dokumenty i ruchome nośniki danych oraz pieczęcie znajdują się w szafkach
i szufladach. Naczelnicy Wydziałów przeprowadzają po godzinach pracy swoich
podwładnych okresowe przeglądy z zakresu stosowania postanowień czystego biurka
oraz wylogowywania się z sieci w przypadku opuszczenia stanowiska.
3. Naczelnicy i Kierownicy komórek organizacyjnych po godzinach pracy przeprowadzają
okresowe przeglądy z zakresu stosowania postanowień czystego biurka.
4. Administrator Systemu Informatycznego dopuszcza możliwość stosowania zdalnego dostępu
do systemów informatycznych przy zastosowaniu zabezpieczeń technicznych
zapewniających integralność, poufność i rozliczalność przetwarzanych danych. Podczas
transmisji realizowanej w sieci publicznej należy zapewnić ochronę kryptograficzną wobec
danych wykorzystywanych do uwierzytelnienia.
5. Nadzór nad serwerami, bezpieczeństwem sieci informatycznej, konfiguracja firewalla
prowadzi firma zewnętrzna na podstawie umów.
6. Wszelką dokumentację oraz nośniki magnetyczne i optyczne, na których znajdują się
dane osobowe, przechowuje się w szafach zamykanych na klucz.
7. Część stron internetowych jest przez Wydział Obsługi Informatycznej zablokowana a ich
wykaz zawiera Lista stron blokowanych (wg wzoru w Zał. 5 zgodnym z załącznikiem
ISO nr 5/PP-5).
8. Dostęp do sieci komputerowej jest możliwy tylko przez wyznaczone urządzenia na
podstawie zarejestrowanych MAC adresów czyli w taki sposób, aby goście nie mogli
uzyskać dostępu do sieci LAN.
9. Stacje robocze znajdujące się w sieci komputerowej Jednostki mają dostęp do Internetu.
10. W Jednostce funkcjonują dwa rodzaje sieci WIFI: dla pracowników Urzędu i pozostałych
użytkowników sieci WIFI. Dostęp do Internetu następuje po podaniu hasła uzyskanego
od informatyka.
X.
1.
2.
XI.
Wykonywanie przeglądów i konserwacji systemu
informatycznego oraz nośników danych służących do
przetwarzania danych
Wszelkie prace związane naprawami i konserwacją systemu informatycznego
przetwarzającego dane osobowe mogą być wykonywane przez pracowników Wydziału
Obsługi Informatycznej lub przez firmy zewnętrzne na podstawie zawartych umów pod
nadzorem pracowników Biura Obsługi Informatycznej.
Aktualizacja oprogramowania powinna być przeprowadzana zgodnie z zaleceniami
producentów lub autorów oprogramowania.
PRZEPROWADZANIE NAPRAW URZĄDZEŃ KOMPUTEROWYCH
1.
Zgłoszenie nieprawidłowości w działaniu urządzenia komputerowego.
Użytkownik zgłasza telefonicznie problemy w funkcjonowaniu urządzenia. Informatyk
stara się we własnym zakresie usunąć nieprawidłowość. W przypadku braku możliwości
szybkiej naprawy urządzenia, informatyk wypełnia Zgłoszenie awarii urządzenia – (wzór
stanowi Zał. 7 zgodny z załącznikiem ISO nr 1/PP-4) oraz dalej wykonuje i nadzoruje
pozostałe czynności.
1.1 Informatyk dokładnie sprawdza urządzenie komputerowe i stara się ustalić usterkę. W
przypadku stwierdzenia poprawnego działania lub zakończenia prac mających na celu
usunięcie uszkodzenia urządzenia, użytkownik potwierdza wykonanie prac w Zgłoszeniu
awarii urządzenia.
2. Sprawdzenie aktualności gwarancji.
W przypadku wykrycia uszkodzenia, informatyk wyszukuje dokumentację urządzenia
komputerowego i sprawdza aktualność gwarancji. W przypadku aktualnej gwarancji
przewiduje czas naprawy. Jeżeli przewidywany czas naprawy będzie dłuższy niż jeden
dzień roboczy, postępuje zgodnie z pkt 3.2. Instalacja urządzenia zastępczego, a
następnie przechodzi do pkt 4. Naprawa urządzenia przez serwis zewnętrzny. Jeżeli czas
naprawy nie przekroczy jednego dnia roboczego, postępuje zgodnie z pkt 4. Naprawa
urządzenia przez serwis zewnętrzny. W przypadku nieaktualnej gwarancji postępuje
zgodnie z pkt 3. Sprawdzenie konieczności wymiany podzespołów.
3. Sprawdzenie konieczności wymiany podzespołów.
Informatyk ocenia czy do naprawy wystarczy wymiana podzespołów urządzenia
komputerowego i w przypadku takiej potrzeby postępuje zgodnie z pkt 3.1.Sprawdzenie
dostępnych podzespołów będących w dyspozycji urzędu. Jeśli informatyk nie podejmuje
się naprawy urządzenia, postępuje zgodnie z procedurą 4.Naprawa urządzenia przez
serwis zewnętrzny.
3.1 Sprawdzenie dostępnych podzespołów będących w dyspozycji urzędu.
Informatyk sprawdza dostępność części potrzebnych do naprawy urządzenia
komputerowego. W przypadku posiadania niezbędnych podzespołów, szacuje
przewidywany czas naprawy. Jeżeli przewidywany czas naprawy będzie dłuższy niż
jeden dzień roboczy, instaluje urządzenie zastępcze według pkt 3.2. Instalacja urządzenia
zastępczego, a następnie przystępuje do naprawy zgodnie z pkt 3.3. Naprawa urządzenia
we własnym zakresie. Jeżeli czas naprawy nie będzie przekraczał jednego dnia,
informatyk postępuje zgodnie z pkt 3.3. Naprawa urządzenia we własnym zakresie.
3.1.1.Dokonanie zakupu zgodnie z procedurami
W przypadku niedostępności podzespołów lub konieczności naprawy przez serwis
zewnętrzny, Informatyk postępuje zgodnie z obowiązującym zarządzeniem Burmistrza
dot. instrukcji postępowania w sprawie zamówień publicznych.
3.2.Instalacja urządzenia zastępczego.
W przypadku, gdy przewidywany czas naprawy urządzenia będzie trwał dłużej niż jeden
dzień roboczy, Informatyk w miarę posiadania sprzętu udostępnia użytkownikowi
urządzenie zastępcze. Powinno to być urządzenie, które zapewni ciągłość pracy w
standardzie nie odbiegającym od poprzedniego urządzenia.
3.3.Naprawa urządzenia we własnym zakresie.
Informatyk naprawia urządzenie poprzez wymianę części lub konserwację urządzenia. Po
wykonaniu tego procesu postępowanie powraca do pkt 1.1. Sprawdzenie działania
urządzenia celem weryfikacji działania urządzenia.
4. Naprawa urządzenia przez serwis zewnętrzny.
Firma zewnętrzna naprawia urządzenie komputerowe w siedzibie urzędu bądź we
własnej siedzibie. W zależności od rodzaju usługi zwracana jest wypełniona karta
5.
6.
7.
gwarancyjna urządzenia lub faktura za wykonaną usługę. Po wykonaniu tego procesu
sprzęt jest odbierany i postępowanie powraca do pkt 1.1. Sprawdzenie działania
urządzenia celem weryfikacji rzetelności naprawy.
Potwierdzenie realizacji prac jest zarejestrowane w Zgłoszeniu awarii urządzenia.
Użytkownik potwierdza wykonanie naprawy podpisem.
Informatyk do końca 10 października każdego roku przeprowadza analizę
ewentualnych zakupów sprzętowych i programowych.
Informatyk do końca grudnia każdego roku przeprowadza analizę zgłoszeń
w celu podjęcia decyzji o likwidacji urządzeń komputerowych.
XII. SPIS ZAŁĄCZNIKÓW
Zał. 1 (1/PP-5) Upoważnienie do przetwarzania danych osobowych w systemach
informatycznych
Zał. 2 (2/PP-5) Wniosek o wyrejestrowanie użytkownika z systemów informatycznych
Zał. 3 (3/PP-5) Dziennik udostępniania/pobierania haseł administratorów
Zał. 4 (4/PP-5) Dziennik zmiany haseł użytkowników
Zał. 5 (5/PP-5) Lista stron blokowanych
Zał. 6 (6/PP-5) Wykaz systemów informatycznych zainstalowanych w Urzędzie Miasta Ustka
oraz częstotliwość zmiany haseł do systemów
Zał. 7 (1/PP-4) Zgłoszenie awarii urządzenia