polityka bezpieczeństwa - centrum usług wspólnych w buczkowicach
Transkrypt
polityka bezpieczeństwa - centrum usług wspólnych w buczkowicach
POLITYKA BEZPIECZEŃSTWA dotycząca ochrony danych osobowych w Centrum Usług Wspólnych w Buczkowicach Spis treści I. POSTANOWIENIA OGÓLNE 1 II. OBSZARY, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE. BUDYNKI, POMIESZCZENIA LUB CZĘŚCI POMIESZCZEŃ. 3 III. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH. 3 IV. OPIS STRUKTURY ZBIORU DANYCH OSOBOWYCH. 3 V. 3 SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI (ZBIORAMI). VI. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH. 4 VII. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH ORAZ INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH. 5 POLITYKA BEZPIECZEŃSTWA I. Postanowienia ogólne §1 1) Podstawą prawną „Polityki bezpieczeństwa” jest §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), zwanego dalej „rozporządzeniem”. 2) Dokument przeznaczony jest dla osób zatrudnionych przy przetwarzaniu danych osobowych w Centrum Usług Wspólnych w Buczkowicach. §2 Ilekroć w niniejszym dokumencie jest mowa o: Administratorze Danych Osobowych (dalej ADO) – rozumie się przez to, organ, jednostkę organizacyjną, podmiot lub osobę, do których stosuje się ustawę o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych, Administratorze Systemu Informatycznego (dalej ASI) – należy przez to rozumieć osobę odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń, a także za przydzielanie uprawnień pracownikom Centrum Usług Wspólnych w systemie informatycznym, danych osobowych – uważa się za nie wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Instrukcji Zarządzania Systemem Informatycznym (dalej instrukcja) – rozumie się przez to załącznik nr 1 do Polityki Bezpieczeństwa, opisujący procedury dotyczące pracy w systemie informatycznym, który służy do przetwarzania danych osobowych, odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby, upoważnionej do przetwarzania danych, przedstawiciela, wyznaczonego przez administratora danych, którego siedziba albo miejsce zamieszkania znajduje się w państwie trzecim, podmiotu, któremu administrator danych w drodze umowy zawartej na piśmie powierzył przetwarzanie danych osobowych, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępnione w związku z prowadzonym postępowaniem, 1|Strona POLITYKA BEZPIECZEŃSTWA przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie, zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, CUW – Centrum Usług Wspólnych w Buczkowicach. §3 Niniejszy dokument określa: 1) Obszar, w którym przetwarzane są dane osobowe – budynki, pomieszczenia lub część pomieszczeń. 2) Wykaz zbiorów danych osobowych. 3) Opis struktury zbioru danych osobowych. 4) Sposób przepływu danych między poszczególnymi systemami (zbiorami). 5) Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. 6) Opis zdarzeń naruszających ochronę danych osobowych i instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych. §4 Uwzględniając fakt, że funkcjonujące w CUW urządzenia systemu informatycznego, które służą do przetwarzania danych są połączone z siecią publiczną, zastosowano wysoki poziom bezpieczeństwa przetwarzania tych danych, dla którego przyjęto następujące zasady postępowania: a) Pomieszczenia znajdujące się w obszarze, gdzie przetwarzane są dane osobowe, zamyka się na klucz w przypadku, gdy osoby upoważnione do przetwarzania danych są w nich nieobecne, b) w obszarze, gdzie przetwarzane są dane osobowe, osoby nieuprawnione mogą przebywać tylko przy obecności osoby uprawnionej lub za zgodą Kierownika CUW, 2|Strona POLITYKA BEZPIECZEŃSTWA c) zapewnia się mechanizmy kontroli dostępu do danych (opis znajduje się w „instrukcji”), d) system informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed działaniem oprogramowania, które umożliwi nieuprawniony dostęp do systemu lub utratę danych (opis znajduje się w „instrukcji”). II. Obszary, w których przetwarzane są dane osobowe. Budynki, pomieszczenia lub części pomieszczeń. §5 BUDYNEK, w którym przetwarzane są dane osobowe: 1) Centrum Usług Wspólnych w Buczkowicach, ul. Szkolna 815, 43-374 Buczkowice. 2) Dane osobowe przetwarzane są na parterze w biurach nr 1, 2, 3, tak jak to zostało przedstawione w załączniku nr 2. Ponadto w piwnicach budynku znajduje się archiwum z dokumentacją CUW. 3) Przebywanie wewnątrz obszaru osób nieuprawnionych do dostępu do danych osobowych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu tych danych i za zgodą administratora danych lub osoby przez niego upoważnionej. 4) Po zakończeniu pracy, pomieszczenia obszaru zamykane są w sposób uniemożliwiający dostęp do nich osób trzecich, klucze deponowane są w zamykanej szafie w pomieszczeniu CUW i włączany jest system alarmowy. III. Wykaz zbiorów danych osobowych wraz zastosowanych do przetwarzania tych danych. ze wskazaniem programów §6 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych prowadzony jest przez Administratora Danych Osobowych i sporządzony jest wg wzoru, który stanowi załącznik nr 3. IV. Opis struktury zbioru danych osobowych. §7 Opis struktury zbioru danych osobowych w systemie informatycznym znajduje się w pkt 3.2 i 3.3 dokumentacji firmy Rekord SI, która stanowi załącznik nr 4 do polityki bezpieczeństwa. V. Sposób przepływu danych pomiędzy poszczególnymi systemami (zbiorami). §8 Sposób przepływu danych pomiędzy poszczególnymi programami w CUW. a) b) c) d) PŁACE → PŁATNIK ZUS → ZUS PŁACE → PODATNIK → URZĄD SKARBOWY PRZELEWY → BANK FK → BUDŻET RB 3|Strona POLITYKA BEZPIECZEŃSTWA VI. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. §9 1) Do elementów zabezpieczenia danych osobowych w CUW zalicza się: a) stosowane sposoby ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), b) zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów papierowych i informatycznych), c) nadzór ADO nad realizacją wprowadzonych zasad i procedur zabezpieczenia danych (zabezpieczenie organizacyjne), d) kompleksowe traktowanie zabezpieczenia danych osobowych przez wszystkie podmioty i osoby biorące udział w przetwarzaniu danych. 2) W CUW rozróżnia się następujące środki zabezpieczeń danych osobowych: a) zabezpieczenia fizyczne: pomieszczenia zamykane na klucz, szafy z zamkami, sejf zamykany na klucz, system alarmowy, b) zabezpieczenia procesów przetwarzania danych w formie papierowej: przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach, przetwarzanie danych osobowych następuje przez wyznaczone do tego osoby, c) zabezpieczenie organizacyjna: osobą odpowiedzialną za bezpieczeństwo informacji w systemie informatycznym jest ASI, ASI na bieżąco kontroluje pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, nie rzadziej niż raz na tydzień są prowadzone przez ASI kontrole stanu bezpieczeństwa systemów informatycznych i przestrzegania zasad ochrony informacji i w przypadku wykrycia rażących zaniedbań ASI sporządza ich opis w formie protokołu oraz raportu i niezwłocznie przedkłada je Kierownikowi CUW. d) Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: ewidencja pracowników CUW uprawnionych do przetwarzania danych osobowych prowadzona jest przez ADO wg wzoru określonego w załączniku nr 5, w trakcie przetwarzania danych osobowych pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych, 4|Strona POLITYKA BEZPIECZEŃSTWA przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone oraz czy zabezpieczenia te nie były naruszane, w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby nieuprawnione, po zakończeniu przetwarzania danych pracownik powinien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych, 3) W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne, b) oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne, c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie, d) hasła użytkowników, e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa, f) wykazy użytkowników, którzy obsługują i użytkują system, g) dokumentacja zawierająca dane systemu, opisująca jego zastosowanie, przetwarzanie informacji itp. h) wydruki dotyczące systemu, i) związana z przetwarzaniem danych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują automatycznie. §10 1) ADO będzie okresowo analizował zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych osobowych w celu zapewnienia aktualności opisowi zawartemu w punktach II-V niniejszej polityki bezpieczeństwa. 2) W systemie informatycznym obowiązuje zabezpieczenie na poziomie wysokim. 3) Najważniejszymi zastosowanymi środkami zabezpieczenia danych osobowych w systemach informatycznych w CUW są: hasła dostępu do systemu, hasła dostępu do aplikacji, wygaszacze ekranu. 4) Dokumentem, który normuje procedury zarządzania systemem informatycznym służącym do przetwarzania danych jest „instrukcja”. VII. Opis zdarzeń naruszających ochronę danych osobowych oraz instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych. §11 1) Podział zagrożeń naruszających ochronę danych osobowych: a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w dostawie energii itp.), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia 5|Strona POLITYKA BEZPIECZEŃSTWA infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych, b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, ASI, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych, c) zagrożenia zamierzone, celowe i świadome – najpoważniejsze zagrożenie naruszenia poufności danych osobowych (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy). Zagrożenia te można podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 2) Każda osoba zatrudniona w CUW, która stwierdzi lub podejrzewa naruszenia zabezpieczenia ochrony danych osobowych w systemie informatycznym, powinna niezwłocznie poinformować ADO. 3) Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie informatycznym, zobowiązana jest niezwłocznie powiadomić ADO. 4) ADO powinien w pierwszej kolejności: a) Zapisać wszystkie informacje związane z danym zdarzeniem, a w szczególności dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu. b) Na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem. c) Przystąpić do zidentyfikowania zaistniałego zdarzenia, zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby niepowołanej. 5) W przypadku stwierdzenia naruszenia zabezpieczeń ochrony danych osobowych należy niezwłocznie powstrzymać lub ograniczyć dostęp do danych osoby niepowołanej, zminimalizować szkodę i zabezpieczyć przed usunięciem śladów jej ingerencji szczególne przez: a) Fizyczne odłączanie urządzeń i systemów sieci, które mogły umożliwić dostęp do bazy danych osobie nieupoważnionej, b) Wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych, c) Zmiana hasła administratora i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania. 6) Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić wstępną analizę systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych w systemie. 7) ASI powinien sprawdzić: a) b) c) d) Stan urządzeń wykorzystywanych do przetwarzania danych osobowych, Zawartość zbioru danych osobowych, Sposób działania programu, Wykluczyć możliwość obecności wirusów komputerowych. 6|Strona POLITYKA BEZPIECZEŃSTWA 8) Po dokonaniu powyższych czynności ASI powinien przeprowadzić szczegółową analizę systemu informatycznego obejmującego identyfikację: rodzaju zaistniałego zdarzenia, metody dostępu do danych osoby nieupoważnionej, skali zniszczeń. 9) Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych. 10) Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych w systemie informatycznym, należy przeprowadzić dodatkowe szkolenie wszystkich osób biorących udział przy przetwarzaniu danych. 11) Jeżeli przyczyną zdarzenia było uaktywnienie się wirusa, należy ustalić źródło jego pochodzenia oraz wykonać zabezpieczenia antywirusowe. 12) Jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby zatrudnionej przy przetwarzaniu danych osobowych, należy wyciągnąć konsekwencje regulowane ustawą. 13) Jeżeli przyczyną zdarzenia był zły stan urządzenia lub sposób działania programu, należy wówczas przeprowadzić kontrolę czynności serwisowo-programowe. 14) Jeżeli przyczyną zdarzenia było włamanie w celu pozyskania danych osobowych, należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia skutecznej ochrony bazy danych. 15) ASI przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia oraz przekazuje go ADO. 7|Strona