zał 3_INSTRUKCJA ZARZĄDZANIA SYSTEMAMI
Transkrypt
zał 3_INSTRUKCJA ZARZĄDZANIA SYSTEMAMI
Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Podstawa prawna: 1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 j. t. z późn. zm.), 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 Nr 100, poz. 1024). Administrator Danych: Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce. 1. Cel Celem niniejszej instrukcji jest określenie procedur zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: a) procedur nadawania uprawnień do przetwarzania danych, b) stosowanych metod i środków uwierzytelnienia oraz procedur związanych z ich zarządzaniem i użytkowaniem, c) sposobu zabezpieczenia przed działaniem lub oprogramowaniem, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, d) instrukcji wykonywania kopii zapasowych zbiorów danych oraz programów służących do ich przetwarzania, e) procedur wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 2. Terminologia 1) Administrator Danych - organ, jednostka organizacyjna, podmiot lub osoba decydującą o celach i środkach przetwarzania danych osobowych. 2) Administrator Bezpieczeństwa Informacji - osoba nadzorująca przestrzeganie zasad bezpieczeństwa danych osobowych, wyznaczona przez Administratora Danych. 3) Administrator Systemów Informatycznych - osoba odpowiedzialna za techniczne aspekty funkcjonowania systemów informatycznych. Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej 1 4) Złośliwe oprogramowanie - oprogramowanie, którego celem jest uzyskanie nieuprawnionego dostępu do danych, na przykład wirusy, oprogramowanie szpiegujące działania użytkownika, itp. 5) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 6) Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 7) Zbiór danych osobowych - posiadający strukturę zestaw danych o charakterze osobowym. 8) Zapora sieciowa - urządzenie komputerowe zabezpieczające sieć komputerową przed nieautoryzowanym dostępem z Internetu. 9) Opiekun zbioru- powołany przez Administratora Bezpieczeństwa Informacji pracownik odpowiedzialny za istniejący lub projektowany zbiór danych osobowych. Jeżeli nie zostanie to określone inaczej, opiekunem jest kierownik komórki organizacyjnej, w którym funkcjonuje zbiór, a w przypadku zbiorów przetwarzanych w więcej niż w jednej komórce oraz przez pracowników samodzielnych – wobec braku innych regulacji - opiekunem zbioru jest Rektor. 10) CM - Collegium Mazovia Innowacyjna Szkoła Wyższa, ul. Sokołowska 161, Siedlce. 11) Rektor - Rektor Collegium Mazovia Innowacyjnej Szkoły Wyższej. 3. Zakres stosowania 1. Instrukcja dotyczy przetwarzania danych osobowych w systemach informatycznych w Collegium Mazovia Innowacyjnej Szkole Wyższej. Instrukcja obowiązuje wszystkich pracowników przetwarzających dane osobowe w systemach informatycznych. 2. Instrukcję zarządzania systemami informatycznymi dla projektów unijnych i innych inicjatyw podejmowanych przez CM regulują odrębne przepisy prawa. 4. Nadawanie uprawnień w systemach informatycznych Procedura nadawania uprawnień do systemów informatycznych przetwarzających dane osobowe przebiega następująco: 1) Opiekun zbioru występuje o nadanie pracownikowi uprawnień w systemie informatycznym do Administratora Bezpieczeństwa Informacji. O uprawnienia dla osób zatrudnionych na samodzielnych stanowiskach występują te osoby samodzielnie w porozumieniu ze specjalistą ds. kadrowych. Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej 2 2) Administrator Bezpieczeństwa Informacji akceptuje wniosek, oddaje go do poprawki lub odrzuca w całości. O decyzji informuje osobę występującą o upoważnienie. Od decyzji Administratora Bezpieczeństwa Informacji przysługuje prawo odwołania się do Administratora Danych. Decyzja Administratora Danych jest decyzją ostateczną. 3) Administrator Bezpieczeństwa Informacji odnotowuje w ewidencji upoważnień zmianę upoważnienia do przetwarzania danych osobowych, a następnie przekazuje do realizacji Administratorowi Systemów Informatycznych 4) Administrator Systemów Informatycznych ustala nazwę użytkownika i hasło początkowe oraz modyfikuje odpowiednio uprawnienia w systemach informatycznych Następnie informuje osobiście pracownika dla którego zmieniono uprawnienia, o możliwości rozpoczęcia pracy. 5) Pracownicy mają obowiązek bezzwłocznie zmienić hasło początkowe przekazane im przez Administratora Systemów Informatycznych. 6) W przypadku rozwiązania umowy o pracę, specjalista ds. kadrowych informuje Administratora Systemów Informatycznych o konieczności odebrania uprawnień dostępu do systemów informatycznych oraz Administratora Bezpieczeństwa Informacji o konieczności odebrania upoważnienia do przetwarzania danych osobowych. 5. Metody i środki uwierzytelnienia 1) Użytkownicy w systemach informatycznych są uwierzytelniani przez wprowadzenie nazwy użytkownika i hasła. 2) Politykę haseł określa "Instrukcja przetwarzania danych osobowych w Collegium Mazovia Innowacyjnej Szkole Wyższej". 3) Pracownik korzystający z zasobów systemu informatycznego powinien być jednoznacznie identyfikowany poprzez indywidualny identyfikator (nazwę) użytkownika systemu, o ile system pozwala na taką identyfikację. Jeżeli system nie pozwala na rozróżnienie użytkowników, dopuszczalne jest korzystanie z tego systemu tylko przez jednego użytkownika. 4) Niedopuszczalne jest korzystanie z tego samego identyfikatora/konta przez więcej niż jednego pracownika. 5) Administrator Systemów Informatycznych prowadzi rejestr przyznanych identyfikatorów użytkowników, aby zapewnić ich niepowtarzalność. 6. Procedury tworzenia kopii zapasowych 1) Administrator Systemów Informatycznych wykonuje kopie zapasowe zbiorów danych oraz programów służących do ich przetwarzania. Kopie zapasowe danych osobowych tworzone są raz na dobę, kopie programów służących do przetwarzania informacji raz na dwa tygodnie. 2) Kopie przechowywane są w specjalnym pomieszczeniu zabezpieczającym Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej je przed 3 nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. 3) Kopie są opisane nazwą zbioru i datą wykonania. 4) Kopie są przechowywane przez okres 30 dni a następnie niszczone. 7. Postępowanie z nośnikami danych osobowych 1) Dyski twarde, dyskietki i inne nośniki informacji przeznaczone do likwidacji są pozbawiane trwale zapisu danych za pomocą specjalistycznego oprogramowania. 2) W przypadku przekazania nośników informacji do użytkowania zewnętrznej instytucji, są one formatowane i nadpisywane danymi. 3) Powyższe czynności wykonuje Administrator Systemu Informatycznego. 8. Zabezpieczenia systemu informatycznego 1) Administrator Systemów Informatycznych odpowiedzialny jest za zabezpieczenie systemów informatycznych przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych osobowych, takiego jak np. wirusy komputerowe poprzez stosowanie oprogramowania wykrywającego i blokującego tego typu próby, zgonie z rozporządzeniem w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 2) Zabezpieczeniu podlegają zarówno stacje robocze, jak i serwery plików. 3) Stacje robocze i serwery plików należy zabezpieczyć oprogramowaniem antywirusowym. 4) Aby zapewnić aktualność sygnatur - wzorców wirusów, oprogramowanie należy skonfigurować do automatycznego codziennego pobierania najnowszych sygnatur z sieci Internet. 5) Sieć komputerowa musi być zabezpieczona przez zapory sieciowe (firewall) Ruch na styku z siecią publiczną należy na bieżąco monitorować w celu kontroli przepływu danych między siecią publiczną, a siecią Collegium Mazovia Innowacyjnej Szkoły Wyższej oraz kontroli działań w sieciach. Ruch monitoruje Administrator Systemów Informatycznych. 9. Przeglądy i konserwacje systemów informatycznych 1) Bieżące przeglądy, konserwacje oraz naprawy sprzętu komputerowego i nośników danych są dokonywane przez Administratora Systemów Informatycznych. 2) Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do napraw, gdzie wymagane jest zaangażowanie autoryzowanych firm zewnętrznych, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem Administratora Systemów Informatycznych. 3) Dwa razy w roku, co 6 miesięcy przeglądowi podlegają wszystkie systemy informatyczne Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej 4 przetwarzające dane osobowe oraz zabezpieczenia fizyczne. 4) Administrator Systemów Informatycznych przygotowuje plan przeglądu uwzględniając zakres oraz potrzebne zasoby fizyczne, czasowe i osobowe, oraz przedstawia go Rektorowi Collegium Mazovia Innowacyjnej Szkoły Wyższej. Przeglądowi podlega warstwa sprzętowa, systemy operacyjne oraz aplikacje, a także realizacja zabezpieczeń przez pracowników CM. 5) Po dokonanym przeglądzie Administrator Systemów Informatycznych przygotowuje i przedstawia Rektorowi Collegium Mazovia Innowacyjnej Szkoły Wyższej raport, a na jego podstawie informuje o konieczności podjęcia właściwych działań korygujących i doskonalących. 6) Zakres przeglądu systemów informatycznych powinien obejmować co najmniej: a) zgodność z wymaganiami prawnymi w zakresie przetwarzania danych osobowych, b) sprawność warstwy sprzętowej do realizacji wszystkich funkcji niezbędnych z punktu widzenia wykonywanych działań, c) poprawność funkcjonowania systemu operacyjnego (m.in. analiza dzienników zdarzeń) oraz poprawność konfiguracji pod względem wydajnościowym jak i zapewnienia bezpieczeństwa, d) poprawność funkcjonowania aplikacji przetwarzających dane osobowe, e) zgodność liczby użytkowników i ich uprawnień ze stanem oczekiwanym, f) zabezpieczenia systemu informatycznego ze względu na mogące się pojawić zagrożenia (np. brak zasilania, atak wirusowy, poziom ochrony fizycznej, itp.). Instrukcja zarządzania systemami informatycznymi w Collegium Mazovia Innowacyjnej Szkole Wyższej 5