POLITYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIASTA
Transkrypt
POLITYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIASTA
Załącznik do Zarządzenia Nr 236/2016 Prezydenta Miasta Legionowo z dnia 30 listopada 2016 r. POLITYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIASTA LEGIONOWO Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Legionowo Spis treści: 1. Deklaracja stosowania..................................................................................................................................4 2. Definicje i wyrażenia....................................................................................................................................5 3. Analiza ryzyka..............................................................................................................................................5 3.1. Metoda szacowania ryzyka...................................................................................................................5 3.1.1. Klasyfikacja Aktywów Informacyjnych,.......................................................................................6 3.2. Metoda oceny ryzyka............................................................................................................................6 3.3. Kryteria akceptacji ryzyka....................................................................................................................7 3.4. Lista aktywów informacyjnych.............................................................................................................7 3.5. Obszar przetwarzania informacji .........................................................................................................7 3.6. Ryzyka .................................................................................................................................................7 4. Zbiory danych osobowych i systemy informatyczne używane do ich przetwarzania ...................................8 5. Organizacja bezpieczeństwa informacji......................................................................................................10 5.1. Organizacja wewnętrzna.....................................................................................................................10 5.1.1. Zaangażowanie kierownictwa w bezpieczeństwo informacji......................................................10 5.1.2. Koordynacja bezpieczeństwa informacji....................................................................................10 5.1.3. Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji......................................11 5.1.4. Proces autoryzacji środków przetwarzania informacji................................................................11 5.1.5. Umowy o zachowaniu poufności................................................................................................11 5.1.6. Kontakty z organami władzy......................................................................................................11 5.1.7. Kontakty z grupami zaangażowanymi w zapewnienie bezpieczeństwa......................................11 5.1.8. Niezależny przegląd bezpieczeństwa informacji ........................................................................11 5.2. Strony zewnętrzne..............................................................................................................................12 6. Zarządzanie aktywami................................................................................................................................14 6.1. Inwentaryzacja aktywów....................................................................................................................14 6.2. Własność aktywów.............................................................................................................................14 6.3. Akceptowalne użycie aktywów...........................................................................................................14 6.4. Dostęp do aktywów............................................................................................................................14 7. Bezpieczeństwo zasobów ludzkich.............................................................................................................16 7.1. Przed zatrudnieniem...........................................................................................................................16 7.1.1. Role i zakresy odpowiedzialności...............................................................................................16 7.1.2. Postępowanie sprawdzające........................................................................................................16 7.1.3. Zasady i warunki zatrudnienia....................................................................................................17 7.2. Podczas zatrudnienia..........................................................................................................................18 7.2.1. Odpowiedzialność kierownictwa................................................................................................18 7.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji...........................19 7.2.3. Postępowanie dyscyplinarne.......................................................................................................19 7.3. Zakończenie lub zmiana zatrudnienia.................................................................................................19 7.3.1 Odpowiedzialność związana z zakończeniem zatrudnienia.........................................................19 7.3.2. Zwrot aktywów...........................................................................................................................20 7.3.3. Odebranie praw dostępu.............................................................................................................21 8. Bezpieczeństwo fizyczne i środowiskowe..................................................................................................23 8.1. Obszary bezpieczne............................................................................................................................23 8.1.1. Fizyczne granice obszaru bezpiecznego.....................................................................................23 8.1.2. Fizyczne i proceduralne zabezpieczenie obszaru przetwarzania informacji................................23 8.1.3. Zabezpieczanie pomieszczeń......................................................................................................23 8.1.4. Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi.................................................24 8.1.5. Praca w obszarach bezpiecznych................................................................................................24 8.1.6. Obszary publicznie dostępne......................................................................................................25 8.2. Bezpieczeństwo sprzętu......................................................................................................................25 8.2.1. Lokalizacja i ochrona sprzętu.....................................................................................................25 8.2.2. Systemy wspomagające..............................................................................................................26 8.2.3. Bezpieczeństwo okablowania.....................................................................................................26 8.2.4. Konserwacja sprzętu...................................................................................................................27 8.2.5. Bezpieczeństwo sprzętu poza siedzibą........................................................................................28 8.2.6. Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia...................................28 8.2.7. Wynoszenie mienia.....................................................................................................................28 9. Zarządzanie systemami i sieciami...............................................................................................................29 10. Kontrola dostępu.......................................................................................................................................30 10.1. Wymagania wobec kontroli dostępu.................................................................................................30 10.1.1. Polityka kontroli dostępu..........................................................................................................30 10.2. Zarządzanie dostępem użytkowników..............................................................................................30 10.2.1. Dostęp do systemów informatycznych.....................................................................................30 10.2.2. Dostęp do budynku...................................................................................................................31 10.2.3. Dostęp do kluczy......................................................................................................................31 10.3. Odpowiedzialność użytkowników....................................................................................................31 10.3.1. Polityka czystego biurka i czystego ekranu..............................................................................31 10.4. Kontrola dostępu do sieci............................................................................................................32 11. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych................................................................33 12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.....................................................34 12.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości........................................34 12.1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji...............................................34 12.1.2. Zgłaszanie słabości systemu bezpieczeństwa............................................................................35 12.2. Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami.........35 12.2.1. Odpowiedzialność i procedury..................................................................................................35 12.2.2. Postępowanie wyjaśniające.......................................................................................................36 12.2.3.Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji.....................37 12.2.4. Gromadzenie materiału dowodowego.......................................................................................37 13. Zarządzanie ciągłością działania...............................................................................................................38 14. Zgodność..................................................................................................................................................39 14.1. Zgodność z przepisami prawnymi....................................................................................................39 14.1.1. Prawo własności intelektualnej.................................................................................................39 14.1.2.Ochrona danych osobowych......................................................................................................39 14.1.3. Zapobieganie nadużywaniu środków przetwarzania informacji................................................39 14.2. Zgodność z politykami bezpieczeństwa i standardami......................................................................39 15. Bezpieczeństwo danych osobowych.........................................................................................................41 16. Przeglądy Polityki i audyty systemu bezpieczeństwa...............................................................................42 Załączniki: Załącznik nr 1 - Lista aktywów informacyjnych Załącznik nr 2 - Lista miejsc przetwarzania Załącznik nr 3 - Polityka Bezpieczeństwa Danych Osobowych w Urzędzie Miasta Legionowo Załącznik nr 4 - Opis Struktur Danych Załącznik nr 5 - Karty kontrolne przeglądów Polityki Bezpieczeństwa Informacji Załącznik nr 6 - Raporty z Przeglądu Polityki Bezpieczeństwa Informacji Załącznik nr 7 - Instrukcja Zarządzania Systemami Informatycznymi Wzory dokumentów