Link zostanie otwarty w nowym oknie
Transkrypt
Link zostanie otwarty w nowym oknie
Załącznik do Zarządzenia organizacyjnego nr 32/2016 Dyrektora Biura Związku Subregionu Centralnego Z dnia 17.02.2016 r. Polityka bezpieczeństwa Związek Gmin i Powiatów Subregionu Centralnego Województwa Śląskiego ul. Bojkowska 37, budynek nr 3, pok. 101 44-100 Gliwice Tel: 032 461 22 50 Fax: 32 461 22 51 [email protected] Gliwice, dn.: 17 luty 2016r. 1 Spis treści: I. Wstęp ............................................................................................................... 3 II. Postanowienia ogólne ........................................................................................ 4 1. Definicje ........................................................................................................ 4 2. Cel ................................................................................................................ 5 3. Zakres stosowania .......................................................................................... 5 III. Organizacja przetwarzania danych osobowych ..................................................... 6 1. Administrator danych osobowych ...................................................................... 6 2. Administrator systemu ..................................................................................... 6 3. Osoba upoważniona do przetwarzania danych osobowych .................................... 7 IV. Infrastruktura przetwarzania danych osobowych .................................................. 8 1. Obszar przetwarzania danych osobowych ........................................................... 8 2. Zbiory danych ................................................................................................ 8 3. System informatyczny ..................................................................................... 8 4. Ewidencje ...................................................................................................... 8 V. Struktura zbiorów danych, sposób przepływu danych w systemie i zakres przetwarzania danych ............................................................................................ 9 1. Zbiór danych „Kadry i wynagrodzenia” ............................................................... 9 VI. Sposób przepływu danych pomiędzy systemami. .................................................10 VII. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych ..................................11 1. Zachowanie poufności.....................................................................................11 2. Szkolenia w zakresie ochrony danych osobowych ...............................................11 3. Strefy bezpieczeństwa ....................................................................................11 4. Zabezpieczenie sprzętu ...................................................................................12 5. Świadomość użytkowników systemu. ................................................................12 5. Postępowanie z nośnikami i ich bezpieczeństwo .................................................13 6. Kontrola dostępu do systemu ..........................................................................14 7. Kontrola dostępu do sieci ................................................................................14 8. Komputery przenośne i praca na odległość ........................................................14 9. Monitorowanie dostępu do systemu i jego użycia ...............................................15 10. Przeglądy okresowe zapobiegające naruszeniom obowiązku szczególnej staranności administratora danych (art. 26 ust. 1 ustawy) .......................................................15 11. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych .......15 VII. Przeglądy polityki bezpieczeństwa i audyty systemu ...........................................16 VIII. Postanowienia końcowe .................................................................................16 Załączniki ............................................................................................................16 2 I. Wstęp Administrator danych, świadomy wagi zagrożeń w związku z przetwarzaniem danych osobowych deklaruje podejmowanie wszelkich możliwych działań zapobiegających lub minimalizujących zagrożenia, m. in. takie jak: 1. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie, działania terrorystyczne; 2. niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych; 3. awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenia ochrony danych, niewłaściwe działanie serwisantów, w tym pozostawienie serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu zawierającego dane poza siedzibą administratora danych; 4. celowe lub przypadkowe rozproszenie danych w Internecie z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego administratora danych; 5. ataki z Internetu; 6. naruszenia zasad i procedur określonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych, związane z nieprzestrzeganiem procedur ochrony danych: a. niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wyłączenie komputera, pozostawienie bez zabezpieczenia komputera podczas tymczasowego opuszczenia stanowiska pracy, pozostawienie po zakończeniu pracy niezabezpieczonych, nieschowanych do zamykanych na klucz szaf dokumentów zawierających dane osobowe, pozostawienie niezamkniętego na klucz pokoju po jego opuszczeniu, nieoddanie klucza na portiernię), b. naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie, c. ujawnienie osobom nieupoważnionym procedur ochrony danych stosowanych u administratora danych, d. ujawnienie osobom nieupoważnionym przetwarzanych danych, w tym również nieumyślne ujawnienie danych osobom postronnym, e. brak kopii zapasowych, f. przetwarzanie danych w celach prywatnych lub wykorzystanie urządzeń administratora danych do celów prywatnych, g. wprowadzanie zmian do systemu informatycznego administratora danych i instalowanie programów bez zgody administratora systemu. 3 II. Postanowienia ogólne 1. Definicje Ilekroć w polityce bezpieczeństwa jest mowa o: 1. administratorze danych – rozumie się przez to Dyrektora Biura Związku Gmin i Powiatów Subregionu Centralnego upoważnionego przez Zarząd do wykonywania wszelkich działań związanych z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. Integralną częścią dokumentu jest Uchwała nr 63/2016 w sprawie upoważnienia do wykonywania czynności związanych z przetwarzaniem danych osobowych przez Dyrektora Biura Związku – załącznik nr 1. 2. administratorze systemu – rozumie się przez to pracownika wyznaczonego przez administratora danych lub inną osobę wykonującą zadania w zakresie nadzoru nad systemem informatycznym, w przypadku gdy administrator nie jest wyznaczony wszystkie zadania przypisane tej funkcji wykonuje Dyrektor Biura Związku Gmin i Powiatów Subregionu Centralnego. 3. Biurze – rozumie się przez to Biuro Związku Gmin i Powiatów Subregionu Centralnego w Gliwicach przy ulicy Bojkowskiej 37. 4. dysku sieciowym – rozumie się przez to zasób wspólny dla wszystkich upoważnionych użytkowników systemu, 5. haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi systemu informatycznego, 6. identyfikatorze – rozumie się przez to ciąg znaków literowych i cyfrowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 7. integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 8. odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a. osoby, której dane dotyczą, b. osoby upoważnionej do przetwarzania danych, c. przedstawiciela, o którym mowa w art. 31a ustawy, d. podmiotu, o którym mowa w art. 31 ustawy, e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 9. osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która została pisemnie upoważniona do przetwarzania danych osobowych, 10. poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom, 11. przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy, 12. rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 13. rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U nr 100, poz. 1024), 4 14. systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane przetwarzane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, 15. teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 16. ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135) 17. uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości pracownika, 18. użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, której nadano identyfikator i przyznano hasło. 19. Związku – rozumie się przez to Związek Gmin i Powiatów Subregionu Centralnego. 2. Cel Wdrożenie polityki bezpieczeństwa u administratora danych ma na celu zabezpieczenie danych osobowych przetwarzanych w systemie informatycznym i poza nim, poprzez spełnienie wymagań ustawy i rozporządzenia. System informatyczny administratora danych posiada szerokopasmowe połączenie z Internetem, niniejsza polityka bezpieczeństwa służy zapewnieniu wysokiego poziomu bezpieczeństwa danych w rozumieniu § 6 rozporządzenia. Niniejszy dokument opisuje niezbędny do uzyskania bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia. 3. Zakres stosowania Niniejsza polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w Biurze w sposób tradycyjny w księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych, jak i innych, np.: wolontariuszy lub praktykantów. 5 III. Organizacja przetwarzania danych osobowych 1. Administrator danych osobowych Administrator danych osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1. podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem zmian w obowiązującym prawie, organizacji Biura oraz technik zabezpieczenia danych osobowych; 2. upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym indywidualnie zakresie, odpowiadającym zakresowi ich zadań lub obowiązków; 3. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych; 4. zapewnia użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych; 5. podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych. 6. sprawuje nadzór nad wdrożeniem stosownych środków fizycznych, a także organizacyjnych i technicznych – w celu zapewnienia bezpieczeństwa danych, 7. sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń fizycznych; 8. koordynuje wewnętrzne audyty przestrzegania przepisów o ochronie danych osobowych; 9. nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom; 10. przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych; 11. opracowuje i aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, 12. nadzoruje i organizuje szkolenia osób upoważnianych do przetwarzania danych osobowych, 13. prowadzi dokumentację naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, 14. wyznacza osobę odpowiedzialną za realizację działań związanych z bezpieczeństwem przetwarzania danych osobowych na czas swojej nieobecności (urlop, choroba). 2. Administrator systemu Administrator systemu realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych, w tym zwłaszcza: 1. zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, 2. przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe, 3. jest odpowiedzialny za przygotowanie stacji roboczych dla pracowników Biura na polecenie administratora danych, 4. jest odpowiedzialny za utworzenie kont użytkowników oraz utworzenie hasła użytkownika oraz za wykonywanie ewentualnych modyfikacji uprawnień, 5. jest odpowiedzialny za zablokowanie dostępu użytkownika do zasobów sieciowych Biura w przypadku podejrzenia o naruszenie poufności integralności lub dostępności danych, 6 6. nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych, 7. nadzoruje prawidłowość i częstotliwość zmiany haseł dostępu użytkownikom systemu, 8. w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje administratora danych o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia, 9. sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 10. podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji. 3. Osoba upoważniona do przetwarzania danych osobowych Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana do przestrzegania następujących zasad: 1. przetwarza dane osobowe wyłącznie w zakresie ustalonym w upoważnieniu wydanym indywidualnie przez administratora danych i tylko w celu wykonywania nałożonych na nią obowiązków. Rozwiązanie stosunku pracy lub odwołanie z pełnionej funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych; 2. zachowuje tajemnicę danych osobowych oraz przestrzega procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji; 3. zna i stosuje się przepisy prawa w zakresie ochrony danych osobowych oraz postanowienia niniejszej polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych; 4. korzysta z systemu informatycznego w sposób zgodny z zapisami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników; 5. zabezpiecza dane przed ich udostępnianiem osobom nieupoważnionym. 7 IV. Infrastruktura przetwarzania danych osobowych 1. Obszar przetwarzania danych osobowych Tabela 1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe: Wykaz budynków i pomieszczeń wchodzących w skład obszaru przetwarzania danych osobowych Siedziba Dyrekcji Biura Związku Gmin i Powiatów Pomieszczenia: Subregionu Centralnego – Gliwice ul. Bojkowska 37 – piętro I, numery pokojów: 101, 102,103 2. Zbiory danych Tabela 2. Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych: Wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, Lp. 1. Zbiór danych „Kadry i wynagrodzenia” Programy zastosowane do Lokalizacja zbioru/zasobu przetwarzania / Nazwa zasobu* Brak Biuro rachunkowe (zgodnie z umową outsourcingu usług kadrowych), pokój 101 Biura Miejsce danych przetwarzania Siedziba biura rachunkowego (zgodnie z umową outsourcingu usług kadrowych), pokój 101 Biura 3. System informatyczny System informatyczny złożony jest z niezależnych stacji roboczych. Obsługę informatyczną zlecono firmie zewnętrznej na podstawie umowy zwanej dalej umową Zakres usług objętych umową dotyczy outsourcingu usług informatycznych. udostępnienia przestrzeni dyskowej, utworzenia dysku sieciowego dla pracowników Biura oraz obsługi serwisowej. Dostęp do Internetu zapewniony jest poprzez administratora budynku w którym wynajmowane są pomieszczenia Biura na podstawie odrębnej umowy. Poszczególne stacje robocze są zlokalizowane na I piętrze – w pokojach: 101 , 102 i 103. 4. Ewidencje Administrator danych prowadzi następujące ewidencje będące integralną częścią dokumentacji bezpieczeństwa przetwarzania danych: 1. ewidencja osób upoważnionych do przetwarzania danych osobowych, 2. ewidencja komputerów przenośnych, 3. ewidencja incydentów bezpieczeństwa informacji. 8 V. Struktura zbiorów danych, sposób w systemie i zakres przetwarzania danych przepływu danych 1. Zbiór danych „Kadry i wynagrodzenia” Przetwarzanie danych pracowników Biura zostało zlecone firmie zewnętrznej na podstawie umowy, zwanej dalej umową outsourcingu usług kadrowych. Zbiór obejmuje dane byłych i obecnych pracowników oraz osób świadczących usługi na rzecz administratora danych na innej podstawie niż stosunek pracy. Za przekazywanie dokumentacji do biura odpowiada wyznaczony przez administratora danych pracownik. Zakres danych przetwarzanych w zbiorze: imię i nazwisko pracownika, numer telefonu, wysokość wynagrodzenia, dane dotyczące stażu pracy, wykształcenia, urlopów i zwolnień, numer dowodu osobistego, numer konta bankowego, numer NIP i PESEL, imiona rodziców, data i miejsce urodzenia. Dane do biura rachunkowego przekazywane są w postaci tradycyjnej i tam są również przechowywane zgodnie z zapisami umowy. Po zamknięciu roku rozrachunkowego dokumentacja jest przekazywana do Biura i przechowywana w zamkniętej drewnianej szafie w gabinecie Dyrektora 9 VI. Sposób przepływu danych pomiędzy systemami. W Biurze, w systemie informatycznym przetwarza się dane powierzone przez Zarząd Województwa Śląskiego – Instytucję Zarządzającą Regionalnym Programem Operacyjnym Województwa Śląskiego na podstawie aneksu do porozumienia nr 12/RR/2015 z dnia 17 marca 2015 roku. Dostęp do powierzonych danych jest realizowany przez udostępniony przez Instytucję Zarządzającą Lokalny System Informatyczny (LSI). Zabronione jest przetwarzanie danych osobowych powierzonych przez Instytucję Zarządzającą poza systemem LSI. Ze względu na fakt, że system informatyczny administratora danych połączony jest z siecią publiczną, zgodnie z § 6 ust. 4 rozporządzenia należy zapewnić wysoki poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Wynikające z tego konsekwencje uwzględniono w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wymagania powierzającego w zakresie bezpieczeństwa przetwarzania danych osobowych zostały szczegółowo opisane się w ww. porozumieniu. 10 VII. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Zachowanie poufności 1. Administrator danych przeprowadza nabór na wolne stanowiska w drodze konkursu. Kandydaci na pracowników są dobierani z uwzględnieniem ich kompetencji merytorycznych, a także kwalifikacji moralnych. Zwraca się uwagę na takie cechy kandydata, jak uczciwość, odpowiedzialność, przewidywalność zachowań. 2. Ryzyko utraty bezpieczeństwa danych przetwarzanych przez administratora danych pojawiające się ze strony osób trzecich, które mają dostęp do danych osobowych (np. pracownicy firm realizujących usługi dla biura), jest minimalizowane przez podpisanie stosownych umów oraz zawarcie w nich wymogów bezpieczeństwa. 3. Ryzyko ze strony osób, które potencjalnie mogą uzyskać dostęp do danych osobowych (np. osoby sprzątające pomieszczenia administratora danych), jest minimalizowane przez zobowiązywanie tych osób do zachowania tajemnicy przez złożenie odrębnych, pisemnych oświadczeń. 2. Szkolenia w zakresie ochrony danych osobowych 1. Administrator danych uwzględnia następujący plan szkoleń: a. szkolenie osób, które mają zostać upoważnione do przetwarzania danych osobowych przed dopuszczeniem ich do przetwarzania danych, b. szkolenia wszystkich osób upoważnionych do przetwarzania danych osobowych w przypadku zmiany zasad lub procedur ochrony danych osobowych, c. dla osób innych niż upoważnione do przetwarzania danych przeprowadza się szkolenia, jeśli realizowane przez nie zadania wiążą się z dostępem danych osobowych. 2. Tematyka szkoleń obejmuje: a. przepisy i procedury dotyczące ochrony danych osobowych, sporządzania i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach, b. sposoby ochrony danych przed dostępem osób postronnych i procedury udostępniania danych osobom upoważnionym, c. obowiązki osób upoważnionych do przetwarzania danych osobowych, d. odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych, e. zasady określone w dokumentacji bezpieczeństwa. 3. Strefy bezpieczeństwa W siedzibie administratora danych wydzielono jedną strefę bezpieczeństwa, do której dostęp mają pracownicy biura oraz inne osoby upoważnione do przetwarzania danych osobowych, a osoby postronne mogą w niej przebywać tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych. Strefa ta obejmuje wszystkie pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie administratora danych. 11 4. Zabezpieczenie sprzętu 1. Zasób sieciowy jest zlokalizowany poza siedzibą Biura zgodnie z zawartą umową na outsourcing usług informatycznych, 2. Administrator systemu wskazuje użytkownikom, jak postępować, aby zapewnić prawidłową eksploatację systemu informatycznego 3. Wszystkie komputery służące do pracy w Biurze to maszyny typu laptop wyposażone w baterie pozwalające na podtrzymanie napięcia przynajmniej na czas zamknięcia systemu. Administrator danych okresowo zleca sprawdzenie komputerów pod kątem wytrzymałości baterii komputerów. Wszystkie składniki systemu informatycznego są zasilane za pośrednictwem listew z zabezpieczeniem przepięciowym. 4. Okablowanie sieciowe zostało zaprojektowane w ten sposób, że dostęp do linii teletransmisyjnych jest możliwy tylko z pomieszczeń zamykanych na klucz. Ponadto kable sieciowe nie krzyżują się z okablowaniem zasilającym, co zapobiega interferencjom. Komunikacja wewnątrz biura odbywa się równolegle przez łącza wifi i sieć tradycyjną. Za bezpieczeństwo sieci odpowiada administrator systemu. 5. Bieżąca konserwacja sprzętu do przetwarzania danych prowadzona jest przez administratora systemu lub osobę wyznaczoną przez administratora danych. 6. Poważniejsze naprawy wykonywane są przez personel zewnętrzny w ramach umowy outsourcingu usług informatycznych lub innych umów serwisowych. 7. Administrator systemu dopuszcza konserwowanie i naprawę sprzętu poza siedzibą administratora danych jedynie po trwałym usunięciu danych osobowych z nośników znajdujących się w oddawanych do serwisu urządzeniach. 8. Zużyty sprzęt służący do przetwarzania danych osobowych może być zbywany dopiero po trwałym usunięciu danych, a urządzenia uszkodzone mogą być przekazywane w celu utylizacji tylko na podstawie umowy dającej rękojmię bezpieczeństwa danych. 9. Wszystkie awarie, działania konserwacyjne i naprawy systemu informatycznego są nadzorowane i opisywane przez administratora systemu. 10. Wszystkie remonty, wiercenia, kucia lub inne prace w obrębie Biura musza być zgłaszane i konsultowane z administratorem systemu. 5. Świadomość użytkowników systemu. Niezwykle ważne dla bezpieczeństwa danych jest ciągłe podnoszenie świadomości osób upoważnionych do przetwarzania danych osobowych oraz wdrożenie pożądanych zachowań. Poprzez system szkoleń i nadzoru nad przetwarzaniem danych administrator danych oraz administrator systemu dążą do wdrożenia następujących wzorców postępowania: 1. ustawiania ekranów komputerowych tak, by osoby niepowołane nie miały wglądu w ich zawartość. Monitory nie powinny być ustawione zwłaszcza naprzeciwko wejścia do pomieszczenia; 2. wprowadzenie zasady czystego biurka jako zasady podstawowej i powszechnie obowiązującej pracowników Biura. Żaden dokument bez względu na jego postać (tradycyjną lub cyfrową) po zakończeniu pracy pracownika, nie powinien pozostać niezabezpieczony. Niepotrzebne lub błędnie wykonane dokumenty nie powinny być wrzucane do kosza. Wszystkie nośniki i dokumenty powinny zostać, po zakończeniu pracy, zabezpieczone w szafach a szafy zamknięte na klucz. 3. niepozostawiania bez nadzoru dokumentów, nośników danych i sprzętu w hotelach i innych miejscach publicznych oraz w samochodach; 4. dbania o prawidłową wentylację komputerów; 12 5. niepodłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu komputerowego innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. grzejniki, czajniki, wentylatory); 6. pilnego strzeżenia akt, pamięci przenośnych i komputerów przenośnych; 7. usuwaniu po wykorzystaniu danych na dyskach przenośnych; 8. nieużywania powtórnie dokumentów zadrukowanych jednostronnie; 9. niezapisywania hasła wymaganego do uwierzytelnienia w systemie; 10. powstrzymywania się przez osoby upoważnione do przetwarzania danych osobowych od samodzielnej ingerencji w oprogramowanie i konfigurację powierzonych urządzeń; 11. przestrzegania przez osoby upoważnione do przetwarzania danych osobowych swoich uprawnień w systemie, tj. właściwego korzystania ze zbiorów danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń administratora danych; 12. opuszczania stanowiska pracy dopiero po zaktywizowaniu wygaszacza ekranu lub wyłączeniu stacji roboczej; 13. udostępniania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej; 14. dbanie o wykonywanie kopii roboczych danych w celu zapobieżenia ich utracie; 15. kończenia pracy na stacji roboczej po prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu napięcia na listwie przeciwprzepięciowej; 16. niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich wydruków zawierających dane osobowe przed opuszczeniem miejsca pracy, po zakończeniu dnia pracy; 17. niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe; 18. zachowania tajemnicy danych, w tym także wobec najbliższych; 19. umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy; 20. dopilnowanie zamykania okien po zakończeniu pracy; 21. zamykania drzwi na klucz po zakończeniu pracy w danym dniu i złożenia klucza na portierni. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających dane osobowe w zamykanych szafach, należy powiadomić o tym administratora budynku, który zgłasza firmie sprzątającej jednorazową rezygnację z wykonania usługi sprzątania. W takim przypadku także należy zostawić klucz na portierni. 5. Postępowanie z nośnikami i ich bezpieczeństwo Wprowadza się następujące zasady posterowani z nośnikami danych: 1. dane z nośników przenośnych nie będących kopiami zapasowymi po wprowadzeniu do systemu informatycznego powinny być trwale usuwane z tych nośników przez fizyczne zniszczenie (CD/DVD) lub przechowywane w zamkniętych na klucz szafach i nie udostępniane osobom nieupoważnionym. Po ustaniu przydatności tych danych nośniki powinny być trwale kasowane lub niszczone; 2. uszkodzone płyty (CD/DVD) przed ich wyrzuceniem należy zniszczyć fizycznie w przystosowanej do tego niszczarce; 3. po wykorzystaniu wydruki zawierające dane osobowe należy codziennie przed zakończeniem pracy zniszczyć w niszczarce. O ile to możliwe, nie należy wydruków wynosić poza siedzibę administratora danych. 13 6. Kontrola dostępu do systemu Osobie upoważnionej do przetwarzania danych osobowych będącej pracownikiem Biura, Biuro zapewnia komputer przenośny przypisany tylko tej osobie, przydziela konto opatrzone niepowtarzalnym identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do przetwarzania. Administrator systemu przydziela pracownikowi upoważnionemu do przetwarzania danych konto w zasobie sieciowym na polecenie administratora danych, dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem. System wymusza zmianę hasła przy pierwszym logowaniu. W razie potrzeby, na polecenie administratora danych, administrator systemu może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych, która nie posiada statusu pracownika. Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania ze zbiorów danych, używania tylko własnego komputera, identyfikatora i hasła. 7. Kontrola dostępu do sieci 1. System informatyczny posiada szerokopasmowe połączenie z Internetem. Dostęp do zasobów internetowych jest ograniczony poprzez uprawnienia użytkownika systemu. 2. Sposób konfiguracji zabezpieczeń określa umowa outsourcingu usług informatycznych. 3. Korzystanie z zasobów sieci wewnętrznej jest możliwe tylko w zakresie uprawnień przypisanych do danego konta osoby upoważnionej do przetwarzania danych osobowych. 4. Operacje za pośrednictwem rachunku bankowego administratora danych może wykonywać wyłącznie pracownik, upoważniony przez administratora danych, po uwierzytelnieniu się zgodnie z procedurami określonymi przez bank obsługujący rachunek. 8. Komputery przenośne i praca na odległość 1. Urządzenia przenośne oraz nośniki danych wynoszone z siedziby administratora danych nie powinny być pozostawiane bez nadzoru w miejscach publicznych. Komputery przenośne należy przewozić w służbowych torbach. 2. Nie należy pozostawiać bez kontroli dokumentów, nośników danych i sprzętu w hotelach i innych miejscach publicznych ani też w samochodach. 3. Dane osobowe przechowywane na urządzeniach przenośnych lub komputerowych nośnikach danych wynoszonych poza siedzibę Biura należy zabezpieczyć na przykład przez zaszyfrowanie. 4. Wykorzystywanie komputerów przenośnych administratora danych w miejscach publicznych jest dozwolone, o ile otoczenie stwarza warunki minimalizujące ryzyko zapoznania się z danymi przez osoby nieupoważnione. 5. Niedozwolone jest udostępnianie domownikom komputera przenośnego należącego do administratora danych. Użytkownik powinien zachować w tajemnicy wobec domowników identyfikator i hasło, których podanie jest konieczne do rozpoczęcia pracy na komputerze przenośnym. 6. Użytkownik powierzonego komputera odpowiada za zabezpieczenie danych przetwarzanych za jego pomocą poprzez wykonywanie kopii bezpieczeństwa oraz kontroli aktualizacji oprogramowania antywirusowego. 14 7. Administrator danych określa zasady zwrotu sprzętu w razie rozwiązania lub wygaśnięcia stosunku pracy. 8. W zakresie nieuregulowanym w polityce bezpieczeństwa do pracy z wykorzystaniem komputerów stosuje się postanowienia instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz polecenia administratora danych. 9. Monitorowanie dostępu do systemu i jego użycia 1. Administrator danych deklaruje że w przypadku utworzenia w Biurze zbioru danych osobowych dla każdej osoby, której dane osobowe mogą być przetwarzane w systemie informatycznym, system zapewni sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie następujące informacje : a. data pierwszego wprowadzenia danych do systemu, b. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, c. źródła danych - w przypadku zbierania danych nie od osoby, której one dotyczą, d. informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, o dacie i zakresie tego udostępnienia, e. sprzeciwu wobec przetwarzania danych osobowych, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Spełnienie punktu 1 w odniesieniu do powierzonego zbioru danych osobowych zapewnia system Instytucji Zarządzającej. 3. Administrator systemu przeprowadza synchronizację zegarów stacji roboczych z serwerem, ograniczając dopuszczalność zmian w ustawieniach zegarów. 10. Przeglądy okresowe zapobiegające naruszeniom obowiązku szczególnej staranności administratora danych (art. 26 ust. 1 ustawy) 1. Administrator danych przeprowadza raz w roku przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania. Osoby upoważnione do przetwarzania danych osobowych są obowiązane wskazywać mu dane osobowe, które powinny zostać usunięte ze względu na zrealizowanie celu przetwarzania danych osobowych lub brak ich adekwatności do realizowanego celu. 2. Administrator danych może zarządzić przeprowadzenie dodatkowego przeglądu w wyżej określonym zakresie w razie zmian w obowiązującym prawie, ograniczających dopuszczalny zakres przetwarzanych danych osobowych. Dodatkowy przegląd jest możliwy także w sytuacji zmian organizacyjnych administratora danych. 11. Odpowiedzialność osób upoważnionych do przetwarzania danych osobowych Niezastosowanie się do ogłoszonej i wdrożonej przez administratora danych polityki bezpieczeństwa przetwarzania danych osobowych, której założenia określa niniejszy dokument lub naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy. Niezależnie od rozwiązania stosunku pracy osoby popełniające przestępstwo będą pociągane do odpowiedzialności karnej zwłaszcza na podstawie art. 51-52 ustawy oraz art. 266 Kodeksu karnego. 15 VII. Przeglądy polityki bezpieczeństwa i audyty systemu Polityka bezpieczeństwa jest poddawana przeglądowi raz w roku. Administrator danych, lub osoba przez niego wyznaczona, analizuje, czy polityka bezpieczeństwa i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do zachodzących zmian: 1. w systemie informatycznym, 2. organizacyjnych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych, 3. w obowiązującym prawie. VIII. Postanowienia końcowe Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do zapoznania się przed dopuszczeniem do przetwarzania danych z niniejszym dokumentem oraz złożyć stosowne oświadczenie, potwierdzające znajomość dokumentacji bezpieczeństwa treści. Polityka bezpieczeństwa wchodzi w życie z dniem 17 lutego 2016r. Załączniki 1. Uchwała nr 63/2016 upoważniająca Dyrektora Biura Związku Subregionu Centralnego do prowadzenia działań w zakresie zabezpieczenia przetwarzania danych w imieniu Zarządu. 2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 3. Analiza ryzyka 4. Wzór oświadczenia o zachowaniu poufności 5. Ewidencja osób upoważnionych do przetwarzania danych osobowych 6. Ewidencja komputerów przenośnych 7. Procedura zarządzania incydentami 16 załącznik nr 2 do Polityki bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Związek Gmin i Powiatów Subregionu Centralnego Województwa Śląskiego ul. Bojkowska 37, budynek nr 3, pok. 101 44-100 Gliwice Tel: 032 461 22 50 Fax: 32 461 22 51 [email protected] Gliwice, dn.: 17 lutego 2016r. Spis treści 1. Cel instrukcji ............................................................................................... 3 2. Definicje ..................................................................................................... 3 3. Poziom bezpieczeństwa ................................................................................ 3 4. Procedury nadawania i odbierania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. .......................................................................... 3 1. Nadawanie i rejestrowanie uprawnień. ........................................................... 3 2. Odebranie uprawnień................................................................................... 3 5. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem ................................................................................................... 4 1. Identyfikator .............................................................................................. 4 2. Hasło użytkownika ...................................................................................... 4 6. Procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu ....................................................................................... 5 7. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania....................................................... 6 Częstotliwość wykonywania kopii ...................................................................... 6 Testowanie kopii ............................................................................................. 6 8. Przechowywanie kopii .................................................................................. 6 9. Likwidacja nośników zawierających kopie ....................................................... 7 10. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe ........................................................................................................... 7 11. Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania. ............................................................................. 7 12. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych ............................................................................................. 8 13. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych ....................................................... 8 14. Naprawy urządzeń komputerowych z chronionymi danymi osobowymi ............ 8 15. Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego ................................................................................................ 9 16. Postanowienia końcowe ...........................................................................10 2 1. Cel instrukcji Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, przez administratora danych – w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Definicje W dokumencie bezpieczeństwa. posłużono się terminologią określoną w dokumencie Polityka 3. Poziom bezpieczeństwa Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się „poziom wysoki” bezpieczeństwa w rozumieniu § 6 rozporządzenia. 4. Procedury nadawania i odbierania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. 1. Nadawanie i rejestrowanie uprawnień. a. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie przez administratora systemu na polecenie administratora danych. b. Administrator systemu jest obowiązany upoważnić co najmniej jednego pracownika do rejestracji użytkowników w systemie informatycznym w czasie swojej nieobecności dłuższej niż 14 dni. c. Rejestracja, o której mowa w pkt b, polega na nadaniu identyfikatora i przydzieleniu hasła oraz wprowadzeniu tych danych do ewidencji osób upoważnionych do przetwarzania danych prowadzonej wg załącznika nr 5 do Polityki bezpieczeństwa. 2. Odebranie uprawnień. a. Odebranie uprawnień użytkownika systemu informatycznego wykonuje administrator systemu na polecenie administratora danych. b. Odebranie uprawnień, o którym mowa w pkt. a, może mieć charakter czasowy lub trwały. W przypadku trwałego odebrania uprawnień administrator danych odnotowuje ten fakt w ewidencji osób upoważnionych do przetwarzania danych osobowych wg załącznika nr 5 do Polityki bezpieczeństwa. c. Odebranie uprawnień następuje i zablokowanie konta użytkownika, poprzez odebranie komputera 3 d. Czasowe odebranie uprawnień użytkownika z systemu informatycznego następuje w razie: i. nieobecności użytkownika kalendarzowych, w pracy trwającej dłużej niż 21 dni ii. zawieszenia w pełnieniu obowiązków służbowych. e. Przyczyną czasowego odebrania informatycznego może być: uprawnień użytkownika systemu i. wypowiedzenie umowy o pracę, ii. wszczęcie postępowania dyscyplinarnego. f. Przyczyną trwałego odebrania uprawnień użytkownika systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zatrudniony był użytkownik. 5. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Identyfikator a. Administrator systemu ma pełną dowolność w doborze nazw użytkowników systemu operacyjnego komputera przydzielonego pracownikowi. Nie stosuje się żadnych schematów w tym zakresie, ogólną zasadą jest, że w systemie nie mogą istnieć dwa konta użytkownika o tej samej nazwie. b. Konta użytkowników pozwalające na korzystanie z dysku sieciowego są tworzone na wniosek administratora danych przez wykonawcę usług outsourcingu usług informatycznych. c. W przypadku kont tworzonych w systemach powierzonych za tworzenie kont użytkowników odpowiada administrator systemu jednostki powierzającej dane w sposób określony w umowie powierzenia. 2. Hasło użytkownika a. Hasło powinno składać się z unikalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. b. Każdy użytkownik jest zobowiązany do zmiany haseł do wszystkich udostępnionych mu kont przynajmniej raz na 30 dni. c. W systemach dających taką możliwość system informatyczny wymusza automatycznie zmianę hasła co 30 dni; administrator danych i administrator systemu może, w uzasadnionych sytuacjach, polecić dokonanie zmiany hasła przez użytkownika. d. Zabrania się użytkownikom systemu udostępniania swojego identyfikatora i hasła innym osobom oraz korzystania przez osoby upoważnione do przetwarzania danych osobowych z identyfikatora lub hasła innego użytkownika. e. Zabrania się pracownikom zapisywania haseł dostępu lub przechowywania ich w formie, która nie zapewnia poufności hasła. f. W przypadku podejrzenia kompromitacji zobowiązany do natychmiastowej jego zmiany. hasła użytkownik jest g. Dopuszcza się inne zasady tworzenia haseł użytkowników, które mogą wynikać z umów powierzenia jednak tylko wtedy gdy dają one dalej idącą ochronę. 4 3. Hasło administratora Hasło administratora systemu przechowywane jest w zaklejonej kopercie w szafie zamykanej na klucz do które dostęp mają jedynie administrator danych i administrator systemu. 6. Procedury rozpoczęcia, zawieszenia przeznaczone dla użytkowników systemu i zakończenia pracy, 1. Rozpoczęcie pracy na stacji roboczej następuje po włączeniu napięcia w listwie podtrzymującej napięcie i komputera, a następnie wprowadzeniu indywidualnego identyfikatora i znanego tylko użytkownikowi hasła. 2. W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko za zgodą i w obecności użytkownika albo osoby upoważnionej do przetwarzania danych. 3. Ustawienie monitorów powinno uniemożliwiać osobom nieupoważnionym pogląd wyświetlanych treści. 4. Monitory komputerów wyposażone są we włączające się po 5 minutach od przerwania pracy wygaszacze ekranu. Wznowienie wyświetlenia następuje dopiero po wprowadzeniu poprawnego hasła użytkownika. 5. W przypadku opuszczenia stanowiska pracy użytkownik obowiązany jest aktywizować wygaszacz ekranu lub w inny sposób zablokować stację roboczą. 6. Jednostkowe dane chronione (np. osobowe) mogą być kopiowane na nośniki po ich zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane. 7. Przesyłanie danych osobowych pocztą elektroniczną może odbywać się tylko w postaci zaszyfrowanej. 8. Przetwarzając dane należy odpowiednio często wykonywać kopie robocze danych, tak by zapobiec ich utracie i umieszczać je w odpowiednich zasobach dysku sieciowego. 9. Zakończenie pracy na stacji roboczej następuje po wprowadzeniu przetwarzanych informacji w odpowiednie obszary dysku sieciowego, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu napięcia w listwie przeciwprzepięciowej. 10. Przed opuszczeniem pokoju należy: a. zniszczyć w niszczarce lub schować do zamykanych na klucz szaf wszelkie wykonane wydruki zawierające dane osobowe, b. schować do zamykanych na klucz szaf wszelkie akta zawierające dane osobowe, c. umieścić klucze do szaf w ustalonym, przeznaczonym do tego miejscu, d. zamknąć okna. e. zamknąć za sobą drzwi na klucz. Klucz od pokoju oddać na portierni. 11. Komputery powierzone pracownikom wynoszone poza Biuro, powinny być chronione przed uszkodzeniem, kradzieżą i dostępem osób postronnych, szczególną ostrożność należy zachować podczas ich transportu. 12. Obowiązuje zakaz używania komputerów przenośnych przez osoby inne niż użytkownicy, którym zostały one powierzone. 5 13. Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach. Wszelkie zmiany mogą być dokonywane tylko pod nadzorem administratora systemu, stosownie do wymagań niniejszej instrukcji. W razie wystąpienia usterek w pracy komputerów przenośnych lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zwrócić się do administratora systemu. 14. Komputery wyposażone są w odpowiednie programy ochrony antywirusowej, których aktualizację system wymusza automatycznie. 7. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 1. Kopie zapasowe wykonywane są zgodnie z zapisami umowy outsourcingu usług informatycznych. 2. Każdy użytkownik jest zobowiązany do codziennego wykonywania kopii zapasowej przetwarzanych danych po zakończeniu pracy i skopiowaniu ich na dysk sieciowy udostępniony przez usługodawcę usług informatycznych. 3. Dostęp do kopii bezpieczeństwa mają tylko: administrator danych, administrator systemu i pracownik usługodawcy usług informatycznych odpowiedzialny za wykonywanie kopii zapasowych zasobów dysku sieciowego. 4. Formę kopii i tryb ich wykonywania określa umowa outsourcingu usług informatycznych. 5. Nośniki zawierające kopie zapasowe należy oznaczać jako „Kopia zapasowa dzienna/tygodniowa/miesięczna” wraz z podaniem daty sporządzenia. Czas przechowywania, miejsce oraz postępowanie z kopiami po wygaśnięciu umowy regulują zapisy w umowie outsourcingu usług informatycznych. Częstotliwość wykonywania kopii Tworzy się następujące kopie zapasowe: 1. dzienne – na koniec dnia. Zakres wykonywania kopii dziennych określa umowa outsourcingu usług informatycznych, 2. miesięczne – na koniec miesiąca. Zakres wykonywania kopii miesięcznych określa umowa outsourcingu usług informatycznych. Testowanie kopii W celu zapewnienia poprawności wykonywanych kopii bezpieczeństwa należy je okresowo testować. Zasady testowania kopii określa umowa outsourcingu usług informatycznych Test kopii polega na odtworzeniu danych w warunkach testowych i sprawdzeniu, czy jest możliwość odczytania danych. W przypadku nieudanej próby odtworzenia danych usługodawca usług informatycznych powinien poinformować administratora danych oraz wykonać jak najszybciej test ostatniej kopii zapasowej a w przypadku nieudanej próby odczytu danych wykonać nową kopie bezpieczeństwa. 8. Przechowywanie kopii 1. Zasady przechowywania informatycznych. kopii regulują zapisy umowy outsourcingu usług 2. Zabrania się przechowywania kopii zapasowych w pomieszczeniach przeznaczonych do przechowywania zbiorów danych pozostających w bieżącym 6 użytkowaniu. Jednocześnie kopie zapasowe muszą być odpowiednio zabezpieczone fizycznie (sejf ognioodporny w zabezpieczonym pomieszczeniu). 3. Kopie zapasowe mogą być przechowywane tylko w tych pomieszczeniach, w których jest zainstalowany system wykrywania pożaru. 9. Likwidacja nośników zawierających kopie 1. Nośniki zawierające nieaktualne kopie danych, będące poza wykazem cyklicznych kopii, likwiduje się komisyjnie. Z czynności likwidacji nośników powinien powstać protokół dla administratora systemu. 2. Nośniki wielorazowego użytku, takie jak dyski twarde, dyskietki, płyty CD-RW, DVD-RW, można wykorzystać ponownie do celów przechowywania kopii bezpieczeństwa po uprzednim usunięciu ich zawartości. 3. Nośniki wielorazowego użytku, które nie nadają się do ponownego użycia należy zniszczyć fizycznie. 10. Przechowywanie elektronicznych zawierających dane osobowe nośników informacji 1. Zbiory danych przechowywane są dysku sieciowym. Wszelkie dane przetwarzane na poszczególnych stacjach roboczych są niezwłocznie, a najpóźniej przed zakończeniem pracy w systemie, umieszczane na dysku sieciowym w miejscach przydzielonych każdemu użytkownikowi przez administratora systemu. 2. Zakazuje się przetwarzania danych osobowych na jakichkolwiek zewnętrznych nośnikach bez zgody administratora danych oraz ich przesyłania pocztą elektroniczną bez uprzedniego zaszyfrowania. 3. W przypadku posługiwania się nośnikami danych pochodzącymi od podmiotu zewnętrznego użytkownik jest zobowiązany do sprawdzenia nośnika programem antywirusowym. 4. Nośniki magnetyczne z zaszyfrowanymi jednostkowymi danymi osobowymi są na czas ich użyteczności przechowywane w zamkniętych na klucz szafach, a po wykorzystaniu dane na nich zawarte są trwale usuwane lub nośniki te są niszczone. 5. Nośniki informatyczne przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do przetwarzania danych osobowych. 11. Sposób zabezpieczenia systemu informatycznego działalnością szkodliwego oprogramowania. przed 1. Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na stacjach roboczych. 2. Oprogramowanie, o którym mowa w pkt 1, sprawuje ciągły nadzór (ciągła praca w tle) nad pracą systemu operacyjnego stacji roboczej. 3. Aktualizacja oprogramowania antywirusowego wykonuje się automatycznie. Do obowiązków administratora systemu należy nadzór nad poprawnością aktualizacji oprogramowania antywirusowego, określenie częstotliwości automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie oraz nadzór nad realizacją i aktualnością umowy licencyjnej. 7 4. Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem. 5. Dostęp do Internetu możliwy jest na wszystkich stacjach roboczych, specjalnie chronionych urządzeniem sprzętowym z wbudowanym programem Firewall. 12. Kontrola nad wprowadzaniem, i udostępnianiem danych osobowych dalszym przetwarzaniem System informatyczny administratora danych umożliwia automatyczne: 1. przypisanie wprowadzanych danych użytkownikowi użytkownika), który te dane wprowadza do systemu, (identyfikatorowi 2. sygnalizację wygaśnięcia czasu obowiązywania hasła dostępu do stacji roboczej lub systemu, 3. sporządzenie i wydrukowanie dla każdej osoby, której dane są przetwarzane w systemie, raportu zawierającego: a. datę pierwszego wprowadzenia danych do systemu administratora danych, b. identyfikator użytkownika wprowadzającego te dane, c. źródła danych – w przypadku zbierania danych nie od osoby, której one dotyczą, d. informacje o odbiorcach danych, którym dane osobowe zostały udostępnione, e. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. Odnotowanie informacji, o których mowa w pkt 3), następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. Możliwość taką zapewnia zastosowane oprogramowanie powierzającego dane. 13. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 1. Przeglądu i konserwacji systemu dokonuje administrator systemu doraźnie. 2. Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale administratora systemu nie rzadziej niż raz na miesiąc. 3. Kontrole i testy przeprowadzane przez administratora systemu powinny obejmować zarówno dostęp do zasobów systemu, jak i profile oraz uprawnienia poszczególnych użytkowników. 14. Naprawy osobowymi urządzeń komputerowych z chronionymi danymi 1. Wszelkie naprawy urządzeń komputerowych oraz zmiany w systemie informatycznym administratora danych przeprowadzane są zgodnie z zapisami umowy outsourcingu usług informatycznych oraz umów gwarancyjnych i serwisowych. 2. Naprawy i zmiany w systemie informatycznym administratora danych prowadzone są pod nadzorem administratora systemu w siedzibie administratora danych. 8 3. Przekazanie sprzętu do naprawy poza siedzibą administratora danych jest możliwe po uprzednim, nieodwracalnym usunięciu danych w nich przetwarzanych, a jeśli wiązałoby się to z nadmiernymi utrudnieniami, to po podpisaniu umów powierzenia przetwarzania danych osobowych. 4. Jeśli nośnik danych (np.: dysk) zostanie uszkodzony i nie można odczytać jego zawartości ani usunąć danych, należy zniszczyć mechanicznie. 15. Postępowanie w przypadku stwierdzenia bezpieczeństwa systemu informatycznego naruszenia 1. Użytkownik zobowiązany jest zawiadomić administratora danych lub uprzednio wskazanego przez niego pracownika o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa systemu, a w szczególności o: a. naruszeniu hasła dostępu i identyfikatora (system nie reaguje na hasło lub je ignoruje bądź można przetwarzać dane bez wprowadzenia hasła), b. częściowym lub całkowitym braku danych albo dostępie do danych w zakresie szerszym niż wynikający z przyznanych uprawnień, c. braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do zasobów serwera, d. wykryciu wirusa komputerowego, e. zauważeniu elektronicznych informatycznego, f. śladów próby włamania do systemu znacznym spowolnieniu działania systemu informatycznego, g. podejrzeniu kradzieży sprzętu komputerowego, nośników lub dokumentów zawierających dane osobowe, h. zmianie położenia sprzętu komputerowego, i. zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych szaf. 2. Do czasu przybycia na miejsce administratora danych lub wskazanego przez niego pracownika należy: a. o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, z uwzględnieniem możliwości ustalenia przyczyn lub sprawców, b. rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, c. zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę, d. zastosować się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się one do zaistniałego przypadku, e. przygotować opis incydentu, f. nie opuszczać bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia administratora danych lub osoby przez niego wskazanej. 3. Administrator danych po otrzymaniu zawiadomienia, o którym mowa w pkt 1, powinien niezwłocznie: 9 a. przeprowadzić postępowanie wyjaśniające naruszenia ochrony danych osobowych, w celu ustalenia okoliczności b. podjąć działania chroniące system przed ponownym wystąpieniem naruszenia, 5. Administrator systemu może zarządzić, w razie umotywowanej potrzeby, odłączenie części systemu informatycznego dotkniętej incydentem od pozostałej jego części. 6. W razie odtwarzania danych z kopii zapasowych administrator systemu obowiązany jest upewnić się, czy odtwarzane dane zostały zapisane przed wystąpieniem incydentu (dotyczy to zwłaszcza przypadków infekcji wirusowej). 7. W przypadku gdy incydent nosi znamiona czynu zabronionego administrator danych natychmiast informuje odpowiednie organy i postępuje wg ich wskazówek 8. Wszyscy pracownicy zobowiązani są do informowania administratora danych o awariach systemu informatycznego, zauważonych przypadkach naruszenia niniejszej instrukcji przez innych użytkowników, a zwłaszcza o przypadkach posługiwania się przez użytkowników nieautoryzowanymi programami, nieprzestrzegania zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystania sprzętu komputerowego lub przetwarzania danych w sposób niezgodny z procedurami ochrony danych osobowych. 9. Administrator danych uwzględnia dokumentację z zaistniałych incydentów podczas wykonywania corocznej analizy ryzyka. 16. Postanowienia końcowe 1. W sprawach nieokreślonych niniejszą instrukcją należy stosować instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów. 2. Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszą instrukcją oraz złożyć stosowne oświadczenie, potwierdzające znajomość jej treści. 3. Niezastosowanie się do procedur określonych w niniejszej instrukcji przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 kodeksu pracy. 10 załącznik nr 3 do Polityki bezpieczeństwa ANALIZA RYZYKA. Związek Gmin i Powiatów Subregionu Centralnego Województwa Śląskiego ul. Bojkowska 37, budynek nr 3, pok. 101 44-100 Gliwice Tel: 032 461 22 50 Fax: 32 461 22 51 [email protected] Gliwice, dn.: 17 lutego 2016r. 1 Spis treści 1. 2. 3. 4. 5. 6. 7. Granice i zakres analizy ryzyka ............................................................................ 3 Metoda analizy ryzyka ........................................................................................ 3 Identyfikacja zasobów. ....................................................................................... 3 Podsumowanie procesu identyfikacji zasobów ........................................................ 3 Potencjalne zagrożenia (podatności) .................................................................... 4 Macierz szacowania ryzyka.................................................................................. 5 Wnioski ............................................................................................................ 9 2 Celem analizy jest zidentyfikowanie ryzyk, czyli prawdopodobieństwa wystąpienia zagrożeń dla przetwarzanych danych osobowych, wykorzystujących podatność systemu, określenie ich wielkości i wpływu na bezpieczeństwo systemu informatycznego oraz przetwarzanych danych. 1. Granice i zakres analizy ryzyka Analizą objęto całe Biuro ze szczególnym uwzględnieniem systemu informatycznego. Ze względu na fakt, że obecnie w systemie nie są przetwarzane informacje podlegające ochronie, analiza została wykonana w odniesieniu do informacji, które będą przetwarzane w najbliższej przyszłości w z związku z powierzeniem przetwarzania zbiorów w systemie LSI 2014. 2. Metoda analizy ryzyka W celu właściwego oszacowania ryzyka wybrano tabelę macierzy. Metoda umożliwia rzetelną analizę. W podejściu tym ryzyko szacowane jest jakościowo w oparciu o wybrany poziom wymagań bezpieczeństwa. W celu scharakteryzowania wybranego poziomu posłużono się skalą 10-cio stopniową. W rzędach macierzy ujęto zasoby podlegające ochronie, a w kolumnach zidentyfikowane podatności na zagrożenia dostępności, podatności i integralności. W poszczególne komórki macierzy wpisano rezultaty skutków utraty atrybutów bezpieczeństwa informacji, podatności zasobów na zidentyfikowane zagrożenia oraz wyniki ryzyka obliczonego dla każdego zasobu. Klasyfikację punktową oraz interpretacje poszczególnych wyników przedstawiono w dalszej części analizy. 3. Identyfikacja zasobów. W trakcie procesu identyfikacji zdecydowano, że zasoby podlegające analizie zostaną pogrupowane w sposób ujęty w tabeli nr 1. Tabela 1. Grupy zasobów LP Grupa zasobów 1 Dokumenty tradycyjne papierowe 2 Dokumentacja elektroniczna 3 Sprzęt służący do przetwarzania danych 4 Pomieszczenia – ochrona fizyczna i wyposażenie pomieszczeń 5 Hasła 6 Dostęp do Internetu 7 Zaopatrzenie w energie elektryczną 8. Zasoby ludzkie 9. Oprogramowanie Skrót nazwy P E K B H I Z L S 4. Podsumowanie procesu identyfikacji zasobów Grupy zasobów wymienione w tabeli nr 1 obejmują całość informacji, która może być przetwarzana w Biurze oraz zasoby niezbędne do jej przetwarzania. Wydzielenie grup 3 na takim poziomie ogólności wydaje się być wystarczające do przeprowadzenia analizy ryzyka w odniesieniu do informacji przetwarzanych w Biurze. W następnym etapie analizy zidentyfikowano podatności i zagrożenia dla poszczególnych grup zasobów. Zidentyfikowane podatności i zagrożenia również potencjalne, odniesiono do poszczególnych atrybutów bezpieczeństwa: 1. Poufność – do danych mają dostęp tylko osoby upoważnione. Dokumenty i sprzęt po zakończeniu pracy są zabezpieczone i niedostępne dla osób spoza Biura. 2. Integralność – dane przetwarzane w Biurze są zawsze kompletne i aktualne. 3. Dostępność – informacje i urządzenia niezbędne do pracy są zawsze dostepne. 5. Potencjalne zagrożenia (podatności) W procesie analizy potencjalnych zagrożeń dla informacji przetwarzanej w Biurze odniesiono zidentyfikowane zagrożenia w dla zachowania atrybutów: poufności, dostępności i integralności. Zagrożenie, źródło zagrożenia, cel i/lub motywacja, które mogą być powodem wystąpienia zagrożenia, oraz oznaczenie zagrożenia przedstawiono w tabelach 2,3,4. Tabela 2. Lista podatności systemu dla poufności (ZP): Zagrożenie Źródło/cel/motywacja 1 Nieuprawniony dostęp pomieszczeń Biura Pracownicy, osoby postronne / kradzież / chęć zysku 2 Niewłaściwe niszczenie wydruków 3 Nielegalne wydruki dokumentów 4 Nieuprawnione korzystanie z systemu informatycznego 5 Błędy pracowników 6 Niewłaściwe zabezpieczenie miejsca pracy podczas przerw lub po zakończeniu pracy. Podsłuch LP 7 8 9 10. 11. Brak(nieobecność) administratora systemu informatycznego Wykorzystanie oprogramowania, sprzętu i nośników do celów niezwiązanych z pracą Przekazanie sprzętu zawierającego dane do serwisu. Szkodliwe oprogramowanie Oznaczenie zagrożenia ZP1 Użytkownicy systemu / niedbalstwo / pośpiech ZP2 Użytkownicy systemu / chęć ułatwienia pracy / chęć ułatwienia pracy, pośpiech Pracownicy, osoby postronne / pozyskanie informacji z systemu/chęć zysku, zniszczenie wizerunku Pracownicy /-/ Pośpiech, brak kompetencji ZP3 Pracownicy / - / Pośpiech, niedbalstwo, nieodpowiedzialność Osoby postronne / Kradzież danych / chęć zysku, zniszczenie wizerunku, destabilizacja pracy Administrator, Administrator danych / Oszczędność / chęć oszczędności, brak wiedzy Użytkownicy / - / Zabawa, chęć zysku, brak kompetencji ZP6 Pracownicy, Administrator danych, Administrator systemu/Naprawa sprzętu/pośpiech, brak kompetencji, brak osoby odpowiedzialnej za nadzór nad sprzętem i oprogramowaniem. Internet, Pracownicy/przejęcie kontroli nad systemem, kradzież danych/chęć zysku, destabilizacja pracy. ZP10 ZP4 ZP5 ZP7 ZP8 ZP9 ZP11 4 Tabela 3. Zagrożenia dla dostępności (ZD): LP Zagrożenie Źródło/cel/motywacja 1 Utrata plików lub uszkodzenie systemu 2 Niewłaściwa konfiguracja stanowiska 3 Błędy mechanizmu uwierzytelnienia 4 5 Błąd oprogramowania, defekty, wirusy Brak kopii zapasowych oraz dokumentacji systemowej. 6 7 8 9 Awarie sprzętu Katastrofy budowlane, zalanie, pożar Błędy i pomyłki administratora systemu Włamanie do pomieszczeń Użytkownicy / pośpiech / chęć ułatwienia pracy, brak kompetencji, niedbalstwo Administrator systemu/ - / brak kompetencji Administrator systemu / - / brak kompetencji Oprogramowanie / - / Pracownicy, Administrator systemu/ - / niewiedza, brak świadomości Zużycie urządzeń / - / -/-/Administrator / - / niewiedza Osoby postronne / Kradzież sprzętu, kradzież danych / niewiedza Tabela 4. Zagrożenia dla integralności (ZI): LP Zagrożenie Źródło/cel/motywacja 1 2 3 Błąd oprogramowania Klęska żywiołowa Włamanie do systemu operacyjnego 4. Brak kopii zapasowych/ niezapisanie plików roboczych -/-/-/-/Osoby postronne / kradzież danych / niewiedza Pracownicy, Administrator systemu/-/brak kompetencji, niedbalstwo Oznaczenie zagrożenia ZD1 ZD2 ZD3 ZD4 ZD5 ZD6 ZD7 ZD8 ZD9 Oznaczenie zagrożenia ZI1 ZI2 ZI3 ZI4 6. Macierz szacowania ryzyka Przyjęto następującą klasyfikację skutków zagrożeń i odpowiadające im zakresy liczby punktów: 1. brak zagrożenia – 0 brak dostępności informacji w dłuższym przedziale czasu – nie ma większego wpływu na zadania Biura lub zagrożenie nie występuje; 2. niski poziom – 1-4 niedostępność informacji może mieć znaczący wpływ na działalność biura a odzyskanie dostępności musi nastąpić w ciągu najwyżej kilku dni; 3. średni poziom – 5-7 niedostępność informacji może spowodować duże szkody dla działalności Biura; 4. wysoki poziom – 8-9 brak dostępu do informacji może spowodować paraliż działania Biura; 5. ekstremalny poziom – 10 nie dopuszcza się możliwości utraty dostępu do informacji. Dla podatności przyjęto następujące kryteria oceny punktowej: 1. 2. 3. 4. 5. niemożliwy mało prawdopodobny prawdopodobny bardzo prawdopodobny pewny - 0 1-4; 5-7; 8-9; 10 5 Przyjęto następujące poziomy ryzyk i określono zastosowaną terminologię dopasowaną do punktacji. Wyliczone ryzyko stanowi iloczyn wartości potencjalnego skutku wystąpienia zagrożenia oraz podatności. Tabela 5. Poziomy ryzyka Liczba punktów 1-10 11-20 21-60 61-80 81-100 Nazwa poziomu ryzyka Znikomy Niski Średni Wysoki Maksymalny Podczas wykonywania ocen skutków i podatności przyjęto następujące założenia: 1. Administrator danych nie wyznaczył ani nie zatrudniła osoby, która pełniłaby obowiązki administratora systemu informatycznego. 2. skutki nie przekraczają poziomu 4 ponieważ pracownicy korzystają z danych systemu za pośrednictwem Internetu i tylko w niewielkim stopniu pliki robocze są przetwarzane na poszczególnych komputerach. Po zakończeniu pracy pracownicy mają obowiązek zabezpieczenia swoich plików roboczych na dysku sieciowym. 3. Sprzęt komputerowy jest nowy – dlatego przyjęto, że prawdopodobieństwo awarii sprzętu jest stosunkowo niskie. W odniesieniu do sprzętu komputerowego podatności przyjmowano na poziomie 1. 4. Budynek jest chroniony przez profesjonalną firmę ochroniarską. 5. Biuro jest zlokalizowane na terenie na którym nie występują klęski żywiołowe lub ich prawdopodobieństwo jest bardzo niskie. 6. Budynek jest po gruntownym remoncie założono, że instalacje są wykonane na nowo, z nowych materiałów dlatego prawdopodobieństwo ich awarii jest niewielkie. 6 Tabela nr 6. Macierz analizy ryzyka Zasób P E K B H I Z L S Poufność (ZP) Szacowanie 1 2 3 4 5 6 7 Dostępność(ZD) Integralność(ZI) 8 9 10 11 1 2 3 4 5 6 7 8 9 1 2 3 4 Skutek 4 3 1 0 4 4 0 0 0 0 0 0 0 0 0 0 0 4 0 4 0 5 0 0 Podatność 5 3 1 4 3 1 0 10 0 0 0 0 0 0 0 0 0 1 10 1 0 1 0 0 Ryzyko 20 9 1 0 15 4 0 0 0 0 0 0 0 0 0 0 0 4 0 4 0 5 0 0 Skutek 3 0 1 4 3 4 4 4 1 1 4 3 3 2 4 4 4 4 3 0 4 0 4 4 Podatność 3 0 1 1 1 0 1 10 9 5 3 3 3 1 3 5 1 1 0 0 1 0 1 2 Ryzyko 9 0 1 4 3 0 4 40 9 5 12 9 9 3 12 20 4 4 0 0 4 0 4 8 Skutek 4 0 0 4 3 4 0 4 1 0 4 1 1 1 1 1 1 1 1 1 1 4 4 4 Podatność 1 0 2 2 5 1 1 10 5 5 1 1 0 1 1 1 5 3 0 2 1 1 1 2 Ryzyko 4 0 0 8 15 4 0 40 5 0 4 1 0 1 1 1 5 3 0 2 1 4 1 8 Skutek 4 0 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 4 0 4 0 4 0 0 Podatność 1 0 2 0 0 1 0 10 0 0 0 0 0 0 0 0 0 1 0 1 0 1 0 0 Ryzyko 4 0 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 4 0 4 0 4 0 0 Skutek 0 0 0 4 0 4 4 4 0 4 4 3 0 2 0 0 0 0 0 0 0 0 4 0 Podatność 0 0 0 1 0 1 1 10 0 1 1 1 0 5 0 0 0 0 0 0 0 0 2 0 Ryzyko 0 0 0 4 0 4 4 40 0 4 4 3 0 10 0 0 0 0 0 0 0 0 8 0 Skutek 0 0 0 5 0 0 0 1 0 0 5 1 4 4 4 1 4 4 4 0 4 4 4 0 Podatność 0 0 4 1 1 0 9 10 5 5 1 1 1 1 1 1 1 1 0 0 1 0 1 0 Ryzyko 0 0 0 5 0 0 0 10 0 0 5 4 4 4 4 1 4 4 0 0 4 0 4 0 Skutek 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 4 0 0 Podatność 0 10 0 0 0 0 0 10 0 0 0 0 0 0 0 0 1 1 0 0 0 1 0 0 Ryzyko 0 10 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 4 0 0 Skutek 0 0 0 0 0 0 0 0 0 0 0 3 4 2 3 1 4 1 4 2 0 4 0 4 Podatność 0 0 0 0 0 0 0 10 0 0 0 1 1 1 1 1 1 1 1 0 0 1 0 1 Ryzyko 0 0 0 0 0 0 0 0 0 0 0 3 4 2 3 1 4 1 4 2 0 4 0 4 Skutek 0 0 0 4 4 4 0 4 0 0 4 0 0 0 0 0 1 1 0 0 4 0 4 4 Podatność 0 0 0 1 2 2 2 10 8 8 1 0 0 0 0 0 1 1 0 0 1 0 1 1 Ryzyko 0 0 0 4 8 8 0 40 0 0 4 0 0 0 0 0 1 1 0 0 4 0 4 4 7 7. Wnioski 1. Poziom ryzyka osiągnął wartość z przedziału określanego jako „średni”. Ryzyko osiąga wartość, która plasuje jego wynik na poziomie średnim, w aspekcie nadzoru nad systemem informatycznym. Znaczne obniżenie tego poziomu ryzyka można osiągnąć zatrudniając, wyznaczając lub powierzając firmie zewnętrznej obowiązki administratora systemu informatycznego. W chwili obecnej nie ma żadnego nadzoru nad tworzeniem kont, sprzętem informatycznym lub oprogramowaniem. Pracownicy taki nadzór prowadzą samodzielnie, jednak nie ma możliwości koordynacji ich działań. 2. W Biurze przyjęto model systemu, który stanowi twór pośredni pomiędzy modelem typowej sieci biurowej a modelem BYOD (Bring Your Own Device), ponieważ komputery stanowią jakby zupełnie oddzielne maszyny przypisane do konkretnych pracowników, z których każdy ma uprawnienia administracyjne. Komputery mają różne systemy operacyjne, a pracownicy, daleko idącą swobodę we wprowadzaniu zmian w konfiguracji. Taki model systemu stanowi duże wyzwanie dla administratora systemu a w obecnej chwili, administratora danych, który powinien zadbać nie tylko o poprawne działanie urządzeń w sieci ale również o zabezpieczenie danych i nadzór nad wykorzystywaniem kont użytkowników. Z wykonanej analizy jasno wynika, że brak osoby odpowiadającej za całość systemu stanowi jego istotną słabość. 3. W dwóch obszarach zanotowano przekroczenie poziomu ryzyka do poziomu „niski”. Stanowią one obszar do poprawy. a. Zagrożenie dla dokumentów tradycyjnych w przypadku nieuprawnionego dostępu do pomieszczeń – wysoka podatność bierze się z braku uregulowań co do zarządzania kluczami do szaf. Po przeszkoleniu pracowników z zakresu zasad bezpieczeństwa informacji, podatność na zagrożenie może zostać oceniona niżej. b. Zagrożenie dla dostępności dokumentów elektronicznych pojawia się ze względu na duże zagrożenie związane z wykonywaniem kopii zapasowych. Biuro zleciło outsourcing usług informatycznych firmie zewnętrznej, która udostępnia dysk sieciowy i gwarantuje wykonywanie kopii zapasowych. Niemniej jednak to na pracownikach spoczywa obowiązek zapisywania danych na dysku sieciowym. Występuje duża podatność ponieważ istnieje prawdopodobieństwo, że pracownik zapomni zapisać danych na dysku sieciowym. c. Brakuje dokumentacji systemu informatycznego, która zawierałaby opis jego budowy, rozwoju i stosowanych zabezpieczeń. 4. Poza obszarami wymienionymi powyżej ryzyko zidentyfikowane jest na poziomie znikomym co pozwala uznać system Biura w tych obszarach za bezpieczny i gwarantujący ochronę przetwarzanym informacjom. 9 załącznik nr 4 do Polityki bezpieczeństwa OŚWIADCZENIE PRACOWNIKA Oświadczam, że zapoznałam/zapoznałem się z dokumentami Polityki Bezpieczeństwa oraz z Instrukcją Zarządzania Systemem Informatycznym wprowadzonymi w Dyrekcji Biura Związku Gmin i Powiatów Subregionu Centralnego i zakresem swojego upoważnienia. Zobowiązuje się do zachowania w tajemnicy przetwarzanych i sposobów ich zabezpieczeń, zgodnie z art. 39 ust 2 ustawy osobowych z dnia 29 sierpnia 1997 (Dz.U.2015.2135 -j.t.), również pracy, oraz do przestrzegania instrukcji i procedur związanych osobowych. danych osobowych o ochronie danych po ustaniu stosunku z ochroną danych ___________________________________________ Data i czytelny podpis pracownika ___________________________________________ Data i podpis Administratora Danych Osobowych Gliwice, dn ………………………………………. Upoważnienie pracownika do przetwarzania danych osobowych Upoważniam Pana/Panią …………………………………………………. z dniem ……………………….. do przetwarzania danych osobowych w następujących zbiorach danych osobowych: …………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………… Jednocześnie zobowiązuję Pana/Panią do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczeń, zgodnie z art. 39 ust 2 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U.2015.2135 -j.t.), również po ustaniu stosunku pracy, oraz do przestrzegania instrukcji i procedur związanych z ochroną danych osobowych. ___________________________________________ Data i czytelny podpis administratora danych załącznik nr 5 do Polityki bezpieczeństwa Ewidencja osób upoważnionych do przetwarzania danych (art. 39 ustawy). Lp. Imię Nazwisko Data nadania upoważnienia Data ustania upoważnienia Zakres upoważnienia Identyfikator użytkownika LOGIN załącznik nr 6 do Polityki bezpieczeństwa Ewidencja komputerów przenośnych Lp. typ urządzenia Numer inwentarzowy Data wydania Data zwrotu Imię i nazwisko pobierającego Uwagi załącznik nr 7 do Polityki bezpieczeństwa Procedura zarządzania incydentami wyciąg z instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Związek Gmin i Powiatów Subregionu Centralnego Województwa Śląskiego ul. Bojkowska 37, budynek nr 3, pok. 101 44-100 Gliwice Tel: 032 461 22 50 Fax: 32 461 22 51 [email protected] Gliwice, dn.: 17 lutego 2016r. W przypadku zauważenia naruszenia lub podejrzenia o naruszeniu bezpieczeństwa informacji pracownik powinien poinformować ustnie lub telefonicznie pod numerem 32 461 22 50 administratora danych – Dyrektora Biura Związku Gmin i Powiatów Subregionu centralnego lub osobę przez niego wyznaczoną odpowiedzialną za zarządzanie incydentami 1. Użytkownik zobowiązany jest zawiadomić administratora danych lub uprzednio wskazanego przez niego pracownika o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa systemu, a w szczególności o: a. naruszeniu hasła dostępu i identyfikatora (system nie reaguje na hasło lub je ignoruje bądź można przetwarzać dane bez wprowadzenia hasła), b. częściowym lub całkowitym braku danych albo dostępie do danych w zakresie szerszym niż wynikający z przyznanych uprawnień, c. braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do zasobów serwera, d. wykryciu wirusa komputerowego, e. zauważeniu elektronicznych informatycznego, f. śladów próby włamania do systemu znacznym spowolnieniu działania systemu informatycznego, g. podejrzeniu kradzieży sprzętu komputerowego, nośników lub dokumentów zawierających dane osobowe, h. zmianie położenia sprzętu komputerowego, i. zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych szaf. 2. Do czasu przybycia na miejsce administratora danych lub wskazanego przez niego pracownika należy: a. o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, z uwzględnieniem możliwości ustalenia przyczyn lub sprawców, b. rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, c. zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę, d. zastosować się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się one do zaistniałego przypadku, e. przygotować opis incydentu, f. nie opuszczać bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia administratora danych lub osoby przez niego wskazanej. 3. Administrator danych po otrzymaniu zawiadomienia, o którym mowa w pkt 1, powinien niezwłocznie: a. przeprowadzić postępowanie wyjaśniające naruszenia ochrony danych osobowych, w celu ustalenia okoliczności b. podjąć działania chroniące system przed ponownym wystąpieniem naruszenia, 2 5. Administrator systemu może zarządzić, w razie umotywowanej potrzeby, odłączenie części systemu informatycznego dotkniętej incydentem od pozostałej jego części. 6. W razie odtwarzania danych z kopii zapasowych administrator systemu obowiązany jest upewnić się, czy odtwarzane dane zostały zapisane przed wystąpieniem incydentu (dotyczy to zwłaszcza przypadków infekcji wirusowej). 7. W przypadku gdy incydent nosi znamiona czynu zabronionego administrator danych natychmiast informuje odpowiednie organy i postępuje wg ich wskazówek 8. Wszyscy pracownicy zobowiązani są do informowania administratora danych o awariach systemu informatycznego, zauważonych przypadkach naruszenia niniejszej instrukcji przez innych użytkowników, a zwłaszcza o przypadkach posługiwania się przez użytkowników nieautoryzowanymi programami, nieprzestrzegania zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystania sprzętu komputerowego lub przetwarzania danych w sposób niezgodny z procedurami ochrony danych osobowych. 3