zał 3_INSTRUKCJA ZARZĄDZANIA SYSTEMAMI

Załącznik nr 3
do Zarządzenia nr 1/2013 Rektora Collegium
Mazovia Innowacyjnej Szkoły Wyższej
z dnia 31 stycznia 2013 r.
INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI
W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ
Podstawa prawna:
1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz.
926 j. t. z późn. zm.),
2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. 2004 Nr 100, poz. 1024).
Administrator Danych:
Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce.
1. Cel
Celem niniejszej instrukcji jest określenie procedur zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych, a w szczególności:
a) procedur nadawania uprawnień do przetwarzania danych,
b) stosowanych metod i środków uwierzytelnienia oraz procedur związanych z ich zarządzaniem
i użytkowaniem,
c) sposobu zabezpieczenia przed działaniem lub oprogramowaniem, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego,
d) instrukcji wykonywania kopii zapasowych zbiorów danych oraz programów służących do ich
przetwarzania,
e) procedur wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących
do przetwarzania danych.
2. Terminologia
1)
Administrator Danych - organ, jednostka organizacyjna, podmiot lub osoba decydującą
o celach i środkach przetwarzania danych osobowych.
2)
Administrator Bezpieczeństwa Informacji - osoba nadzorująca przestrzeganie zasad
bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych.
3)
Administrator Systemów Informatycznych - osoba odpowiedzialna za techniczne aspekty
funkcjonowania systemów informatycznych.
Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej
1
4)
Złośliwe oprogramowanie - oprogramowanie, którego celem jest uzyskanie nieuprawnionego
dostępu do danych, na przykład wirusy, oprogramowanie szpiegujące działania użytkownika,
itp.
5)
System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania
danych.
6)
Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
7)
Zbiór danych osobowych - posiadający strukturę zestaw danych o charakterze osobowym.
8)
Zapora sieciowa - urządzenie komputerowe zabezpieczające sieć komputerową przed
nieautoryzowanym dostępem z Internetu.
9)
Opiekun zbioru- powołany przez Administratora Bezpieczeństwa Informacji pracownik
odpowiedzialny za istniejący lub projektowany zbiór danych osobowych. Jeżeli nie zostanie to
określone inaczej, opiekunem jest kierownik komórki organizacyjnej, w którym funkcjonuje
zbiór, a w przypadku zbiorów przetwarzanych w więcej niż w jednej komórce oraz przez
pracowników samodzielnych – wobec braku innych regulacji - opiekunem zbioru jest Rektor.
10) CM - Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce.
11) Rektor - Rektor Collegium Mazovia Innowacyjnej Szkoły Wyższej.
3. Zakres stosowania
1. Instrukcja dotyczy przetwarzania danych osobowych w systemach informatycznych w Collegium
Mazovia Innowacyjnej Szkole Wyższej. Instrukcja obowiązuje wszystkich pracowników
przetwarzających dane osobowe w systemach informatycznych.
2. Instrukcję zarządzania systemami informatycznymi dla projektów unijnych i innych inicjatyw
podejmowanych przez CM regulują odrębne przepisy prawa.
4. Nadawanie uprawnień w systemach informatycznych
Procedura nadawania uprawnień do systemów informatycznych przetwarzających dane osobowe
przebiega następująco:
1) Opiekun zbioru występuje o nadanie pracownikowi uprawnień w systemie informatycznym do
Administratora Bezpieczeństwa Informacji. O uprawnienia dla osób zatrudnionych na
samodzielnych stanowiskach występują te osoby samodzielnie w porozumieniu ze specjalistą ds.
kadrowych.
Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej
2
2) Administrator Bezpieczeństwa Informacji akceptuje wniosek, oddaje go do poprawki lub odrzuca
w całości. O decyzji informuje osobę występującą o upoważnienie. Od decyzji Administratora
Bezpieczeństwa Informacji przysługuje prawo odwołania się do Administratora Danych. Decyzja
Administratora Danych jest decyzją ostateczną.
3) Administrator Bezpieczeństwa Informacji odnotowuje w ewidencji upoważnień zmianę
upoważnienia do przetwarzania danych osobowych, a następnie przekazuje do realizacji
Administratorowi Systemów Informatycznych
4) Administrator Systemów Informatycznych ustala nazwę użytkownika i hasło początkowe oraz
modyfikuje odpowiednio uprawnienia w systemach informatycznych Następnie informuje
osobiście pracownika dla którego zmieniono uprawnienia, o możliwości rozpoczęcia pracy.
5) Pracownicy mają obowiązek bezzwłocznie zmienić hasło początkowe przekazane im przez
Administratora Systemów Informatycznych.
6) W przypadku rozwiązania umowy o pracę, specjalista ds. kadrowych informuje Administratora
Systemów Informatycznych o konieczności odebrania uprawnień dostępu do systemów
informatycznych oraz Administratora Bezpieczeństwa Informacji o konieczności odebrania
upoważnienia do przetwarzania danych osobowych.
5. Metody i środki uwierzytelnienia
1) Użytkownicy w systemach informatycznych są uwierzytelniani przez wprowadzenie nazwy
użytkownika i hasła.
2) Politykę haseł określa "Instrukcja przetwarzania danych osobowych w Collegium Mazovia
Innowacyjnej Szkole Wyższej".
3) Pracownik korzystający z zasobów systemu informatycznego powinien być jednoznacznie
identyfikowany poprzez indywidualny identyfikator (nazwę) użytkownika systemu, o ile system
pozwala na taką identyfikację. Jeżeli system nie pozwala na rozróżnienie użytkowników,
dopuszczalne jest korzystanie z tego systemu tylko przez jednego użytkownika.
4) Niedopuszczalne jest korzystanie z tego samego identyfikatora/konta przez więcej niż jednego
pracownika.
5) Administrator Systemów Informatycznych prowadzi rejestr przyznanych identyfikatorów
użytkowników, aby zapewnić ich niepowtarzalność.
6. Procedury tworzenia kopii zapasowych
1) Administrator Systemów Informatycznych wykonuje kopie zapasowe zbiorów danych oraz
programów służących do ich przetwarzania. Kopie zapasowe danych osobowych tworzone są raz
na dobę, kopie programów służących do przetwarzania informacji raz na dwa tygodnie.
2) Kopie
przechowywane
są
w
specjalnym pomieszczeniu
zabezpieczającym
Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej
je
przed
3
nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
3) Kopie są opisane nazwą zbioru i datą wykonania.
4) Kopie są przechowywane przez okres 30 dni a następnie niszczone.
7. Postępowanie z nośnikami danych osobowych
1) Dyski twarde, dyskietki i inne nośniki informacji przeznaczone do likwidacji są pozbawiane trwale
zapisu danych za pomocą specjalistycznego oprogramowania.
2) W przypadku przekazania nośników informacji do użytkowania zewnętrznej instytucji, są one
formatowane i nadpisywane danymi.
3) Powyższe czynności wykonuje Administrator Systemu Informatycznego.
8. Zabezpieczenia systemu informatycznego
1) Administrator Systemów Informatycznych odpowiedzialny jest za zabezpieczenie systemów
informatycznych
przed
działaniem
oprogramowania,
którego
celem
jest
uzyskanie
nieuprawnionego dostępu do danych osobowych, takiego jak np. wirusy komputerowe poprzez
stosowanie oprogramowania wykrywającego i blokującego tego typu próby, zgonie
z rozporządzeniem w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych.
2) Zabezpieczeniu podlegają zarówno stacje robocze, jak i serwery plików.
3) Stacje robocze i serwery plików należy zabezpieczyć oprogramowaniem antywirusowym.
4) Aby zapewnić aktualność sygnatur - wzorców wirusów, oprogramowanie należy skonfigurować
do automatycznego codziennego pobierania najnowszych sygnatur z sieci Internet.
5) Sieć komputerowa musi być zabezpieczona przez zapory sieciowe (firewall) Ruch na styku
z siecią publiczną należy na bieżąco monitorować w celu kontroli przepływu danych między
siecią publiczną, a siecią Collegium Mazovia Innowacyjnej Szkoły Wyższej oraz kontroli działań
w sieciach. Ruch monitoruje Administrator Systemów Informatycznych.
9. Przeglądy i konserwacje systemów informatycznych
1)
Bieżące przeglądy, konserwacje oraz naprawy sprzętu komputerowego i nośników danych są
dokonywane przez Administratora Systemów Informatycznych.
2)
Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do napraw, gdzie
wymagane jest zaangażowanie autoryzowanych firm zewnętrznych, pozbawia się przed naprawą
zapisu tych danych albo naprawia się je pod nadzorem Administratora Systemów
Informatycznych.
3)
Dwa razy w roku, co 6 miesięcy przeglądowi podlegają wszystkie systemy informatyczne
Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej
4
przetwarzające dane osobowe oraz zabezpieczenia fizyczne.
4)
Administrator Systemów Informatycznych przygotowuje plan przeglądu uwzględniając zakres
oraz potrzebne zasoby fizyczne, czasowe i osobowe, oraz przedstawia go Rektorowi Collegium
Mazovia Innowacyjnej Szkoły Wyższej. Przeglądowi podlega warstwa sprzętowa, systemy
operacyjne oraz aplikacje, a także realizacja zabezpieczeń przez pracowników CM.
5)
Po dokonanym przeglądzie Administrator Systemów Informatycznych przygotowuje
i przedstawia Rektorowi Collegium Mazovia Innowacyjnej Szkoły Wyższej raport, a na jego
podstawie informuje o konieczności podjęcia właściwych działań korygujących i doskonalących.
6)
Zakres przeglądu systemów informatycznych powinien obejmować co najmniej:
a) zgodność z wymaganiami prawnymi w zakresie przetwarzania danych osobowych,
b) sprawność warstwy sprzętowej do realizacji wszystkich funkcji niezbędnych z punktu
widzenia wykonywanych działań,
c) poprawność funkcjonowania systemu operacyjnego (m.in. analiza dzienników zdarzeń) oraz
poprawność konfiguracji pod względem wydajnościowym jak i zapewnienia bezpieczeństwa,
d) poprawność funkcjonowania aplikacji przetwarzających dane osobowe,
e) zgodność liczby użytkowników i ich uprawnień ze stanem oczekiwanym,
f) zabezpieczenia systemu informatycznego ze względu na mogące się pojawić zagrożenia (np.
brak zasilania, atak wirusowy, poziom ochrony fizycznej, itp.).
Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej
5