polityka bezpieczeństwa danych

POLITYKA BEZPIECZEŃSTWA
DANYCH
XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi
im. Miguela de Cervantesa w Warszawie
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie
str. 1 / 5
CZĘŚĆ PODSTAWOWA
Niniejszy dokument, zwany dalej Polityką jest zestawem praw, reguł
i praktycznych wskazówek regulujących sposób zarządzania, ochrony i dystrybucji
zasobów danych w XXXIV Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im.
Miguela de Cervantesa w Warszawie, ul. Zakrzewska 24, zwanym dalej Szkołą. Celem
dokumentu jest przyjęcie, wdrożenie i realizacja takich działań przy wykorzystaniu
środków technicznych i organizacyjnych, które zapewni maksymalny poziom
bezpieczeństwa
danych,
w tym
danych
osobowych,
chroniąc
je
przed:
nieautoryzowanym dostępem, utratą poufności, nieuprawnioną modyfikacją, utratą
integralności i rozliczalności.
W celu zapewnienia bezpieczeństwa przetwarzanych danych wymaga się, aby
wszyscy jego użytkownicy byli świadomi konieczności ochrony wykorzystywanych
zasobów, m.in. poprzez zapoznanie się z Polityką. Konsekwencją nie stosowania przez
pracownika środków bezpieczeństwa określonych w instrukcjach wewnętrznych może
być zniszczenie części lub całości systemów informatycznych, utrata poufności,
autentyczności, straty finansowe jak również utrata wizerunku.
Nadrzędną rolą w działaniach Dyrektora Szkoły wynikających z jego funkcji jest
ochrona powierzonych danych osobowych. Odpowiedzialność za powierzone dane
osobowe ponoszą wszyscy pracownicy mający do nich dostęp w ramach wykonywania
obowiązków służbowych.
Pracownicy są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp.
W szczególności w systemach informatycznych odpowiadają oni za poprawne
wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie
sprzętu oraz znajdujących się na nim danych i oprogramowania.
Zarządzanie bezpieczeństwem zasobów danych stanowi proces ciągły, na który
składają się takie elementy, jak: identyfikacja oraz analiza zagrożeń i ryzyka,
stosowanie odpowiednich zabezpieczeń, monitorowanie wdrażania i eksploatacji
zabezpieczeń, wykrywanie i reagowanie na incydenty.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie
str. 2 / 5
CZĘŚĆ SZCZEGÓŁOWA
§ I. Środki techniczne niezbędne dla zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych
1. Budynek Szkoły objęty jest systemem kontroli dostępu, monitoringu oraz pracą
dozorców lub ochrony. Elektroniczne systemy monitoringu pozwalają na kontrolę
ruchu osób.
2. Wszystkie zasoby sieciowe oraz katalogi użytkowników, zawierające pliki z danymi,
w szczególności danymi osobowymi, zabezpieczone są przed dostępem (odczyt
i zapis) przez osoby niepowołane - przy pomocy nazwy użytkownika oraz hasła, lub
cyfrowego certyfikatu. Uprawnienia do zapisu w każdym ze zbiorów danych
osobowych przydzielane mogą być wyłącznie jednej osobie, za wyjątkiem sytuacji
gdy program umożliwia śledzenie dokonanych zmian i jednoznaczne określenie osoby
wprowadzającej każdą modyfikację do zbioru.
3. Każdy komputer używany do gromadzenia i przetwarzaniu danych, w szczególności
danych osobowych musi mieć zainstalowane następujące oprogramowanie:
a) system operacyjny umożliwiający kontrolę dostępu do plików danych, logowanie
przy pomocy nazwy użytkownika i hasła oraz czasowe zablokowanie komputera;
b) chroniące przed oprogramowaniem, którego celem jest wywołanie szkody
w systemie informatycznym lub jego danych, w szczególności typu wirus
komputerowy, koń trojański, spyware, crimeware, rootkit;
c) filtr pakietów sieciowych (firewall), skonfigurowany tak, aby dopuszczać pakiety
pochodzące wyłącznie z bezpiecznych źródeł.
4. Pracownicy zatrudnieni na stanowisku innym niż administrator sieci komputerowej
otrzymują minimalne uprawnienia dostępu do zasobów sieciowych, ustawień systemu
operacyjnego i innych ustawień globalnych dla sieci oraz stacji roboczej, na poziomie
umożliwiającym wypełnianie obowiązków. Zmiana ww. uprawnień jest możliwa
wyłącznie z konta administratora systemu. Dotyczy to w szczególności ustawień
programów wymienionych w pkt. 3.
5. Administrator sieci zabezpiecza hasłem dostęp do konfiguracji BIOS komputera.
6. Pracownik ustawia monitor ekranowy w taki sposób, aby osoby niepowołane
przebywające w pomieszczeniu nie miały możliwości podejrzeć danych.
7. Sieć bezprzewodowa, umożliwiająca dostęp do serwerów i innych komputerów
zawierających dane, zabezpieczona jest przed niepowołanym dostępem przy pomocy
mechanizmu WPA-PSK (WiFi Protected Access - Pre-shared key) lub silniejszego,
a także mechanizmu filtracji w oparciu o adres fizyczny (MAC) klienta sieci.
8. Wszystkie dane istotne dla pracy Szkoły, w szczególności dane osobowe, podlegają
okresowej procedurze wykonywania kopii zapasowej. Kopia zapasowa może być
wykonana na jednorazowym nośniku optycznym takim jak płyta CD-R, DVD+/-R, Blue
Ray, HD-DVD, i in., lub nośniku magnetycznym przeznaczonym specjalnie do
wykonywania kopii zapasowych. Osobą odopwiedzialną za wykonanie kopii
zapasowych jest administrator sieci komputerowej. Kopie zapasowe sprawdza się
okresowo pod kątem przydatności. Kopie uszkodzone są natychmiast niszczone.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie
str. 3 / 5
§ II. Bezpieczeństwo eksploatacji systemów komputerowych
1. Kategorycznie zabronione są modyfikacje sprzętu i oprogramowania (w tym
aktualizacja) komputerów służbowych, inne niż autoryzowane przed administratora
sieci komputerowej.
2. Osoby które nie są zawarte w załączniku 3 jako osoby upoważnione do gromadzenia i
przetwarzania danych osobowych w Szkole mają kategorycznie zabronione
podłączanie urządzeń teleinformatycznych do systemów komputerowych Szkoły, oraz
korzystanie z nośników informacji innych niż autoryzowane przez administratora
systemu, w szczególności typu pendrive, przenośny dysk twardy, dyskietka, płyta CDR, DVD+/-R, Blue Ray, HD-DVD.
3. Kategorycznie zabronione jest kopiowanie zbiorów danych, w szczególności danych
osobowych, na dyski twarde oraz inne nośniki komputerów przenośnych (laptop,
palmtop, smatphone, etc.). W przypadku konieczności dostępu do danych osobowych
z komputera przenośnego należy wykorzystać połączenie sieci komputerowej
zabezpieczone przy pomocy metod kryptograficznych.
4. Hasła użytkowników zmianiane są nie rzadziej niż co 30 dni i muszą mieć nie mniej
niż 6 znaków. Wykluczone są hasła zawierające łatwe do ustalenia informacje
o pracowniku, jego rodzinie, a także hasła składające się wyłącznie z wyrazu
używanego jako imię lub z kolejnych znaków alfabetu lub klawiatury.
5. Hasło użytkownika jest zmieniane niezwłocznie w przypadku
podejrzenia, że zostało ujawnione osobie niepowołanej.
uzasadnionego
6. Użytkownicy są odpowiedzialni za wszelkie działania w systemach informatycznych,
prowadzone z użyciem ich identyfikatora oraz hasła.
§ III. Komunikacja w sieci komputerowej
1. Podłączenie sprzętu komputerowego do sieci teleinformatycznej
administrator sieci komputerowej na polecenie Dyrektora Szkoły.
wykonuje
2. Gniazdka sieci energetycznej w kolorze czerwonym przeznaczone są wyłącznie dla
sprzętu komputerowego.
3. Serwery pracujące w sieci Szkoły powinien być zabezpieczony przed awarią zasilania,
poprzez instalację zasilacza awaryjnego, zdolnego podtrzymać działanie systemu
przez min. 15 minut, oraz umożliwiającego automatyczne bezpieczne zamknięcie
systemu.
4. Zasoby informatyczne mogą być wykorzystywane wyłącznie do wykonywania
obowiązków służbowych.
5. Zegar czasu rzeczywistego komputerów pracujących w sieci Szkoły powinien być
zsynchronizowany z dokładnością do maksimum 30 sekund.
6. Niedopuszczalne jest udostępnianie przez pracowników haseł logowania oraz innych
haseł związanych z bezpieczeństwem systemów informatycznych innym osobom,
w tym pozostałym pracownikom, jak również przechowywanie zapisanych haseł
w miejscu dostępnym dla innych osób.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie
str. 4 / 5
7. Komunikacja pocztą elektroniczną odbywa się przy pomocy bezpiecznych protokołów
wykorzystujących techniki kryptograficzne, z wykorzystaniem klucza szyfrującego 56
znakowego lub silniejszego.
§ IV. Administrator Bezpieczeństwa Informacji (ABI)
1. ABI odpowiada za zastosowanie środków technicznych i organizacyjnych
zapewniających ochronę przetwarzanych danych, w szczególności danych osobowych.
2. ABI wykonuje przegląd Polityki wraz z załącznikami, nie rzadziej niż raz do roku,
i przygotowuje projekt aktualizacji zgodnie z aktualnym stanem prawnym oraz
działalnością Szkoły.
3. ABI posiada w nadzorowanych systemach informatycznych uprawnienia umożliwiające
wykonywanie obowiązków. Nie oznacza to automatycznego prawa dostępu do
danych, w szczególności danych osobowych.
4. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia ABI wprowadza
poziomy bezpieczeństwa przetwarzanych danych w systemie informatycznym.
5. ABI uczestniczy w odbywających się na terenie Szkoły przeglądach oraz konserwacji
systemów komputerowych, w których znajdują się dane istotne dla Szkoły,
w szczególności dane osobowe. W przypadku konieczności ww. czynności poza
terenem Szkoły dane te powinny zostać usunięte.
6. Rolę ABI pełni pracownik Szkoły wyznaczony przez Dyrektora.
§ V. Wykaz zbiorów, pomieszczeń, osób oraz dodatkowych instrukcji
związanych z przetwarzaniem i ochroną danych osobowych
1. Wykaz zbiorów danych osobowych przetwarzanych w systemach informatycznych nie
podlegających zgłoszeniu do Generalnego Inspektora Ochrony Danych Osobowych
oraz informację o wykorzystanych programach komputerowych i powiązaniach
pomiędzy poszczególnymi zbiorami na poziomie wymiany danych opisane są
w Załączniku nr 1 do Polityki.
2. Wykaz zbiorów danych osobowych prowadzonych bez
komputerowych znajduje się w Załączniku nr 1 do Polityki.
użycia
systemów
3. Wykaz miejsc, w których przetwarzane są dane osobowe znajduje się w Załączniku
nr 2 do Polityki.
4. Wykaz osób uprawnionych do dostępu do zbiorów danych osobowych znajduje się
w Załączniku nr 3 do Polityki.
5. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych znajduje się w Załączniku nr 4 do Polityki.
6. Wzór upoważnienia do gromadzenia i przetwarzania danych osobowych w Szkole
znajduje się w Załączniku nr 5 do Polityki.
Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie
str. 5 / 5