Zarz¹dzenie nr 1029/BIO/04 - Urząd Miasta Kędzierzyn
Transkrypt
Zarz¹dzenie nr 1029/BIO/04 - Urząd Miasta Kędzierzyn
Zarządzenie nr 1029/BIO/04 Prezydenta Miasta Kędzierzyn-Koźle z dnia15 grudnia 2004r. w sprawie powołania komisji do oceny dokumentacji niejawnej zgromadzonej w kancelarii tajnej Urzędu Miasta Kędzierzyn-Koźle Na podstawie art.5 ust.1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach ( tekst jednolity DZ.U. z 2002 r. Nr 171, poz.1396) oraz § 7, ust.2 rozporządzenia Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz.1375) zarządzam, co następuje : §1 Powołuję komisję do oceny dokumentacji w składzie: 1. Grzegorz Dysarz- pełnomocnik ds. ochrony informacji niejawnych 2. Agnieszka Wesołowska – kierownik tajnej kancelarii 3. Andrzej Leja – kierownik Wydziału Reagowania Kryzysowego §2 Do zadań komisji należy: 1) ocena dokumentacji kancelarii tajnej pod względem jej wartości archiwalnej, 2) dokonanie oceny i wydzielenie przeznaczonej do zniszczenia i przekazania na makulaturę dokumentacji niearchiwalnej zgromadzonej w kancelarii tajnej Urzędu Miasta Kędzierzyn-Koźle, 3) stwierdzenie, że stanowi ona dokumentację niearchiwalną, nieprzydatną dla celów praktycznych jednostkom organizacyjnym Urzędu Miasta Kędzierzyn-Koźle oraz że upłynął termin jej przechowywania określony w jednolitych rzeczowych podziałach akt kancelarii tajnej, 4) dokonanie wyboru materiałów archiwalnych, 5) ustalenie właściwych okresów przechowywania dla dokumentacji uznanej za niearchiwalną. §3 Zarządzenie wchodzi w życie z dniem podpisania i podlega dostarczeniu osobom wymienionym w niniejszym zarządzeniu. PREZYDENT MIASTA KĘDZIERZYN-KOŹLE W i e s ł a w F ą f a r a (-) Odpowiedzialny za sporządzenie informacji: Kierownik Biura Informatyki i Ochrony Informacji Urzędu Miasta Kędzierzyn-Koźle Grzegorz Dysarz (-) Załącznik do Zarządzenia Nr 1030/BIO/04 Prezydenta Miasta Kędzierzyn-Koźle z dnia 15.12.2004r. POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO Celem polityki bezpieczeństwa jest ochrona systemu informatycznego jako całości, jego poszczególnych elementów, przetwarzanego przez system zbioru danych, obszaru, w którym są dane oraz osób a przede wszystkim zapewnienie technicznych i organizacyjnych uwarunkowań mających wpływ na zarządzanie systemami informatycznymi, w których przetwarzane są dane osobowe. 1. Podstawa prawna Art. 36 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych ( t.j. Dz.U. z 2002r. Nr 101 poz 926 z późn. zmianami) 2. Wykaz zbiorów danych osobowych : „Wykaz dzierżawców i użytkowników wieczystych, Świadczenia osobiste, Ochotnicze drużyny ratownicze, Formacje obrony cywilnej, Działalność gospodarcza, Zezwolenia na trzymanie psów ras uznanych za agresywne, Dane Wydziału Ochrony Środowiska i Infrastruktury, Zezwolenia na zajęcie pasa drogowego, Wnioski o ukaranie przez kolegium ds. wykroczeń oraz postępowanie mandatowe w sprawach o wykroczenia, Ewidencja ludności i dowody osobiste, Urząd Stanu Cywilnego, Spis danych radnych rady miasta, Spis danych przewodniczących organów wykonawczych jednostek pomocniczych, Rejestr płatników opłaty za wieczyste użytkowanie i czynszu za dzierżawy gruntu, Zbiór podatników i płatników oraz uczestników postępowania w zakresie podatków i opłat lokalnych, Decyzje dotyczące imprez masowych Rejestracja imprez, Wykaz nauczycieli i pracowników obsługi: przedszkoli, szkół podstawowych i gimnazjów, Przetargi na dokumentację i roboty budowlane i remontowe,, Ustalenie własności gruntu na podstawie informacji terenowo-prawnej, wypisu z rejestru gruntów, odpisu z księgi wieczystej,, Dodatki mieszkaniowe, Uzależnienia od alkoholu, Rejestr decyzji o warunkach zabudowy i zagospodarowania terenu, Wykaz decyzji w indywidualnych sprawach dotyczących zagospodarowania terenu,” 3. Wykaz budynków i pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe 2 Urząd Miasta Kędzierzyn-Koźle, budynki przy ul. Piramowicza 32, oficyna, Piastowska 15, Piastowska 17. 4. System Informatyczny i jego aktywa System informatyczny stanowi całokształt środków przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi czyli urządzenia komputerowe i nie komputerowe do przetwarzania danych osobowych, środki zabezpieczenia, przechowywania i ochrony - wymagane i uzasadnione w kontekście związanych nakładów finansowych potrzebnych i możliwych. 4.1 Aktywa - całość zasobów materialnych i niematerialnych mająca jakąkolwiek wartość dla instytucji i podlegająca zabezpieczeniu, w tym wszelkie zbiory danych. Poprzez aktywa należy rozumieć wszystko co podlega ochronie: - sprzęt komputerowy - serwery , komputery osobiste, drukarki i inne urządzenia zewnętrzne -okablowanie teleinformatyczne oraz urządzenia sieci telekomunikacyjnej. -oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne. - prawa autorskie, - dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie. - hasła użytkowników, - pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa -dokumentacja - zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje. - wydruki. -wszelkie urządzenia nie komputerowe do przetwarzania, przechowywania itp.. Danych osobowych w każdej formie. 4.2 Podatność to słabość aktywów (fizyczna, organizacyjna, proceduralna, osobowa, zarządzania, administracji, sprzętu komputerowego, oprogramowania, informacji), która może być zagrożeniem i doprowadzić do szkody dla systemu informatycznego lub urzędu w ogóle. Podatność jako taka nie powoduje szkody; podatność jest jedynie warunkiem lub zbiorem warunków, które mogą zagrożeniu umożliwić wpływ na aktywa urzędu. 3 4.3 Ryzyko to prawdopodobieństwo, że określone zagrożenie wykorzysta podatność aktywów, aby spowodować straty lub ich zniszczenie. Ryzyko można opisać jako prawdopodobieństwo wystąpienia niepożądanego incydentu oraz związanych z nim następstw. Zmiana dokonana w zasobach, zagrożeniach, i zabezpieczeniach może znacząco wpłynąć na poziom ryzyka. Świadomość i wczesne wybywanie zmian w systemie informacyjnym powinno powodować zmniejszenie ryzyka na skutek podjęcia właściwych działań. Realizacja polityki bezpieczeństwa systemu informatycznego powinna być w praktyce na tyle wszechstronna, aby pomagała w rozwiązywaniu różnorodnych problemów związanych z ochroną aktywów. 5. Zagrożenia dla systemu informatycznego ZAGROŻENIE to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu informatycznego lub urzędu. Każda sytuacja, która powoduje niedostępność danych (czasowe lub trwałe uniemożliwienie przetwarzania zbiorów danych), ich niekontrolowany wypływ, ujawnienie czy utratę lub przekłamanie - jest zagrożeniem systemu, niezależnie od tego czy jest to celowy sabotaż, czy przypadkowe zdarzenie. W Urzędzie Miasta Kędzierzyn-Koźle realne zagrożenia można podzielić na kilka podstawowych kategorii: 5.1 Zagrożenia losowe zewnętrzne: -uderzenie pioruna -powódź -pożar ich wystąpienie może prowadzić do utraty integralności danych, ich zniszczenia, a nawet do zniszczenia całej infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, ale nie dochodzi zazwyczaj do naruszenia niejawności danych; 5.2 Zagrożenie losowe wewnętrzne: -niezamierzone pomyłki i pominięcia operatorów -niezamierzone pomyłki i pominięcia administratora -awarie sprzętowe -błędy w oprogramowaniu 4 ich wystąpienie również może prowadzić do utraty integralności danych, ich zniszczenia; może zostać zakłócona ciągłość pracy systemu, a w sytuacjach wyjątkowych może nastąpić naruszenie niejawności danych: 5.3 Zagrożenia zamierzone- czyli świadome i celowe - jest to najpoważniejszy rodzaj zagrożenia. -nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), -nieuprawniony dostęp do systemu z jego wnętrza (użytkownicy). -nieuprawniony przekaz danych, -pogorszenie jakości sprzętu i oprogramowania, -bezpośrednie zagrożenie materialnych składników systemu. -kradzież -podsłuch 6. Środki zabezpieczające system informatyczny ZABEZPIECZENIA to praktyki, procedury i mechanizmy zmniejszające ryzyko, chroniące przed zagrożeniami, zmniejszające podatność aktywów, ograniczające następstwa, wykrywające niepożądane incydenty i ułatwiające odtwarzanie prawidłowego stanu systemu. Efektywna ochrona wymaga zwykle kombinacji różnych zabezpieczeń w celu utworzenia właściwej ochrony dla zasobów systemu informatycznego. Zabezpieczenie systemu oraz ochrona zawartych w nim danych zależy od jednoczesnego spełnienia wszystkich warunków dotyczących organizacji pracy, kwestii kadrowych. zabezpieczenia fizycznego obiektu i pomieszczeń, prawidłowej eksploatacji platformy sprzętowej i infrastruktury teledacyjnej oraz stosowanego oprogramowania użytkowego 6.1 Środki ochrony fizycznej -Dokumenty przechowywane są w meblach biurowych zamykanych na klucz do których dostęp chroniony jest instalacją alarmową 6.2 Środki dostępne w ramach oprogramowania -Użytkownik ma dostęp do bazy danych poprzez aplikacje 5 6.3 Środki ochrony w ramach narzędzi baz danych -System bazy danych Oracle 8.1.7 oparty jest na systemie przywilejów. Narzędzia PL/SQL, SQL plus, SQL Form Run Forms, SQL Raport Relese i aplikacje Unixowe dostępne są tylko administratorowi -Każdy użytkownik posiada identyfikator i hasło -Identyfikatory i hasła użytkowników pracujących w sieci przydziela Administrator Bezpieczeństwa Systemu na podstawie wykazu osób uprawnionych do korzystania z systemu i na wniosek kierownika komórki organizacyjnej. -Pierwsze hasło dla użytkownika jest zakładane przez administratora aplikacji podczas wprowadzania identyfikatora użytkownika do systemu. Następnie użytkownik - w obecności administratora aplikacji lub podczas pierwszego logowania powinien zmienić hasło. Wyjątkiem są np. hasła dostępu do plików pakietu Office - gdzie hasło nadaje sam użytkownik, i hasła użytkowników należą do nich samych. Są one objęte tajemnicą. -Hasło musi być zmieniane przez użytkownika nie rzadziej niż raz w miesiącu. Odpowiedzialność za okresowe zmiany hasła ciąży na użytkowniku, właścicielu hasła. -Administrator Bezpieczeństwa Systemu nadaje użytkownikom uprawnienia do określonych zasobów sieci stosownie do specyfiki pracy danej jednostki organizacyjnej. 6.4 Inne środki ochrony -Spisy identyfikatorów i haseł administratorów przechowywane są w miejscach ogólnie niedostępnych w Biurze Informatyki i Ochrony Informacji. -Użytkownik systemu sieciowego rejestruje się w systemie poprzez podanie swojego hasła i identyfikatora sieciowego a następnie poprzez podanie swojego hasła systemowego -Zabrania się pozostawiania komputera z zarejestrowanym hasłem bez dozoru -Fakt niemożności zarejestrowania się do systemu użytkownik zgłasza niezwłocznie Administratorowi systemu -Stacje robocze sprawdzane są na bieżąco programem antywirusowym -Serwery podlegają okresowej- raz w roku konserwacji -Urządzenia komputerowe, dyski lub inne nośniki informacji zawierające dane osobowe przeznaczone do likwidacji pozbawia się wcześniej zapisu danych, a przypadku gdy nie jest to możliwe uszkadza się w sposób uniemożliwiający ich odczytanie. -Monitory na stanowiskach pracy odwrócone są tyłem a przy braku takiej możliwości bokiem do drzwi wejściowych 6 6.5 Środki ochrony komputerów PC -Na komputerach PC wprowadzone są hasła do systemu. -Użytkownik systemu jednostanowiskowego pracującego pod systemem Windows rejestruje się poprzez podanie hasła którym zabezpieczony jest komputer. -W systemie Windows zainstalowane są wygaszacze ekranu zabezpieczone hasłem i uaktywniające się najpóźniej po 3 minutach od chwili nieaktywnego stanu systemu. -Dyski komputerów jednostanowiskowych sprawdzane są na bieżąca programem antywirusowym. -Komputery jednostanowiskowe podlegają konserwacji w przypadku stwierdzenia przez użytkownika jakichkolwiek nieprawidłowości. 6.6 Środki ochrony w ramach działań administracyjnych Polegające na wprowadzeniu działań powodujących zwiększenie świadomości użytkowników, a także zniechęcających działań niepożądanych; są to w głównej mierze działania organizacyjne. -Wprowadzenie systemu proceduralnego. -Monitorowanie pracy użytkowników systemu, kontrola stosowania identyfikatorów użytkowników w systemie. 7. Administrator systemu teleinformatycznego. System ma wyznaczonych administratorów odpowiedzialnych za poszczególne odcinki systemu w zakresie prawidłowości ich funkcjonowania, organizacji pracy i stosowanych środków ochrony danych osobowych. Obowiązki administratorów systemu teleinformatycznego na poszczególnych odcinkach jego funkcjonowania pełnią: -Pracownicy Biura Informatyki i Ochrony Informacji w zakresie funkcjonowania i ochrony danych osobowych w systemach przetwarzanych komputerowo). - Kierownicy poszczególnych komórek organizacyjnych w zakresie całokształtu funkcjonowania i bezpieczeństwa przetwarzania danych osobowych. 7.1 Zadania i obowiązki administratorów systemów (odcinków systemu): - Kontrola zabezpieczeń. 7 - Monitorowanie zmian środowiska w tym pojawienie się nowych zagrożeń. - Zarządzanie konfiguracją systemu i urządzeń. - Reagowanie na incydenty w zakresie bezpieczeństwa. - Konfiguracja mechanizmów kontroli dostępu w systemie. - Nadzór nad instalowaniem nowego oprogramowania na serwerach 7.2 Zadania i obowiązki Administratora bezpieczeństwa informacji -Tworzenie, modyfikację i wdrażanie procedur związanych z realizacją polityki bezpieczeństwa danych i systemu informatycznego, -Kontrola poprawności stosowania przez użytkowników obowiązujących zasad i procedur. - Nadzór nad prowadzoną przez administratorów systemów kontrolą użytkowników danej aplikacji użytkowej, - Nadzór nad wykonywaniem zadań przez administratorów odcinków systemu. - Kontrolę zgodności poziomu zabezpieczeń z określoną polityką bezpieczeństwa. - Weryfikację oraz akceptację procedur udzielania dostępu do danych i systemu informatycznego. - Udział w tworzeniu i testowaniu planu postępowania w przypadku awarii lub naruszenia zasad ochrony. - Podejmowanie działań bezpieczeństwa. - Weryfikację okresowych przeglądów zabezpieczeń systemu i istniejących procedur zapewniających bezpieczeństwo danych. Uprawnienia i obowiązki w zakresie bezpieczeństwa przetwarzania danych osobowych w urządzeniach komputerowych są realizowane za pośrednictwem kierowników i pracowników komórek organizacyjnych oraz specjalistów Biura Informatyki i Ochrony Informacji 7.3 Zadania i obowiązki użytkowników Problemy bezpieczeństwa powinny być uwzględniane już na etapie rekrutacji załogi, włączone w umowy i zakresy obowiązków z nich wynikające. W stosunku do każdego zatrudnionego ustalane są następujące wymagania: - Pracownik zatrudniony przy przetwarzaniu danych powinien mieć indywidualny zakres czynności określający jego odpowiedzialność za ochronę danych osobowych użytkownicy systemu powinni być informowani o występujących zagrożeniach i przeszkoleni w zakresie procedur bezpieczeństwa. 8 - W przypadku naruszenia zasad bezpieczeństwa przez pracowników należy przeprowadzić postępowanie dyscyplinarne. - Wszyscy pracownicy zobowiązani są do ochrony tajemnic prawnie chronionych, co potwierdzają własnoręcznym podpisem złożonym w chwili przyjęcia do pracy. -Wszyscy pracownicy muszą przestrzegać zasad ochrony fizycznej dokumentów i materiałów zawierających tajemnice prawnie chronione. - Każdy pracownik, będący użytkownikiem systemu bądź należący do personelu technicznego (obsługi). stosownie do swoich obowiązków i stanowiska, jest odpowiedzialny za realizację niniejszej polityki bezpieczeństwa systemu informatycznego. 8. Archiwum i przechowywanie danych Pełna kopia bazy danych powinna być sporządzana raz na tydzień, natomiast kopia przyrostowa raz na dzień. O ile aplikacja użytkowa nie zezwala na tworzenie kopii przyrostowych, należy wykonywać pełną kopię bazy danych dwa razy w tygodniu. Powinno istnieć nie mniej niż 5 zestawów kopii zapisywanych jeden po drugim, jednak zestaw może zostać użyły ponownie po okresie nie krótszym niż 4 tygodnie. Kopia systemu operacyjnego powinna być wykonywana po każdej modyfikacji, zmianie konfiguracji i instalacji nowej wersji oprogramowania na serwerze. Powinny istnieć przynajmniej dwa zestawy takiej kopii zapisywane naprzemiennie. Osoby zatrudnione przy przetwarzaniu danych osobowych mają dostęp do nisze/arki dokumentów w celu niszczenia błędnie wytworzonych lub niepotrzebnych dokumentów i wydruków komputerowych z danymi osobowymi. 9. Profilaktyka antywirusowa -Wszystkie wersji komputery osobiste muszą być sprawdzane za pomocą aktualnej programu antywirusowego. Sprawdzenie takie winno być dokonywane przez administratora aplikacji co najmniej dwa razy w miesiącu. -Na wszystkich komputerach urzędu dopuszcza się instalację tylko legalnego, licencjonowanego oprogramowania, wykonywaną przez uprawnionych pracowników Biura Informatyki i Ochrony Informacji. Jest prowadzony wykaz takiego oprogramowania. -Wprowadza się kategoryczny zakaz kopiowania pochodzących z własnych źródeł (np. z przyniesionych z zewnątrz dyskietek lub CD). 9 jakichkolwiek plików -Każdy użytkownik komputera w urzędzie zobowiązany jest do używania w pracy dyskietek i CD zakupionych przez Urząd (nie prywatnych) i przechowywania na nich tylko i wyłącznie danych związanych z charakterem pracy. Dyskietki lub CD przekazywane z zewnątrz mogą być odczytywane na komputerach urzędu TYLKO PROGRAMEM I WYŁĄCZNIE PO ANTYWIRUSOWYM. WCZEŚNIEJSZYM Wobec osób SPRAWDZENIU przenoszących pliki z nieautoryzowanej dyskietki lub CD do komputera urzędu będą stosowane sankcje dyscyplinarne. 10. Plan postępowania w przypadkach awaryjnych W przypadkach domniemania naruszenia ochrony danych osobowych należy postępować zgodnie z "Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczona dla osób zatrudnionych przy przetwarzaniu tych danych", a w szczególności powiadomić o zaistniałym fakcie administratora bezpieczeństwa informacji. 11. Monitoring zabezpieczeń W drożenie mechanizmów ochrony danych i systemu informatycznego zwijane jest z koniecznością ich monitorowania. Monitorowanie jest weryfikacją praktyki prowadzenia przetwarzania informacji w porównaniu z normami przepisów ogólnych oraz wewnętrznych, przyjętych w urzędzie procedur ochrony danych i systemu. Monitorowanie zabezpieczeń pozwala na ocenę ich rzeczywistego zachowania. Działania monitorujące system bezpieczeństwa należy realizować nie tylko w sposób systematyczny, ale również incydentalny. Właściwy stopień realizacji metod zabezpieczających powinien być regularnie sprawdzany przez służby kontrolne. Użytkownicy powinni być powiadomieni, że monitorowane są ich działania w systemie. 12. Podsumowanie Zasady bezpieczeństwa traktować należy w sposób kompleksowy. Przy realizacji polityki bezpieczeństwa ważne jest zaangażowanie wszystkich pracowników, a szczególnie ważną rolę odgrywa: - znajomość problematyki bezpieczeństwa systemu, - świadomość jej znaczenia wśród całej kadry urzędu. 10 Rozwój informatyki rodzi nowe zagrożenia w dziedzinie ochrony informacji. Postęp w zakresie zabezpieczania systemów informatycznych zmusza jego użytkowników do stałego rozwoju. Bezpieczeństwo systemów informatycznych to dziedzina wymagająca stałej współpracy różnych specjalistów: prawników, informatyków oraz specjalistów w dziedzinie telekomunikacji itp. Dla skuteczności niniejszej polityki bezpieczeństwa systemu informatycznego wymagana jest powszechna znajomość przez pracowników założeń bezpieczeństwa danych osobowych, a także znajomość i rzetelna realizacja szczegółowych instrukcji i wytycznych na poszczególnych stanowiskach pracy. Założenia szczegółowe zawarte w innych dokumentach i opracowań i ach proceduralnych należy udostępniać pracownikom na poszczególnych stanowiskach tylko w niezbędnym zakresie. Indywidualne zakresy czynności osób zatrudnionych przy przetwarzaniu danych osobowych powinny określać zakres odpowiedzialności za ochronę tych danych przed niepowołanym dostępem. nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem - w stopniu odpowiednim do zadań, jakie wykonują poszczególne osoby przy przetwarzaniu danych osobowych. Sporządził: Zatwierdził: Grzegorz Dysarz Wiesław Fąfara Kierownik Biura Informatyki i Ochrony Informacji Prezydent 11 Miasta Kędzierzyn-Koźle