1) bezpieczeństwa informacji uwzględniającą normę ISO/IEC 27002, 2) systemu zarządzania bezpieczeństwem informacji uwzględniającego model PDCA

Transkrypt

1 Załącznik nr 6 do wzoru umowy ekst ujednolicony BEZPIECZEŃSWO INFORMACJI W ARIMR wprowadzone zarządzeniem Nr 40/2008 Prezesa Agencji Restrukturyzacji i Modernizacji Rolnictwa z dnia 12 czerwca 2008 r. w sprawie bezpieczeństwa informacji w ARiMR zmienione: - zarządzeniem Nr 45/2008 Prezesa Agencji Restrukturyzacji i Modernizacji Rolnictwa z dnia 2 lipca 2008 r. zmieniające zarządzenie w sprawie bezpieczeństwa informacji w ARiMR, - zarządzeniem Nr 110/2009 Prezesa Agencji Restrukturyzacji i Modernizacji Rolnictwa z dnia 22 września 2009 r. zmieniające zarządzenie w sprawie bezpieczeństwa informacji w ARiMR. Na podstawie art. 8 ust. 2 ustawy z dnia 9 maja 2008 r. o utworzeniu Agencji Restrukturyzacji i Modernizacji Rolnictwa (Dz. U. Nr 98, poz. 634 ze zm.) zarządza się, co następuje: 1. Zarządzenie określa politykę: 1. 1) bezpieczeństwa informacji uwzględniającą normę ISO/IEC 27002, 2) systemu zarządzania bezpieczeństwem informacji uwzględniającego model PDCA opisany w normie ISO/IEC Celem zarządzenia jest zapewnienie zaangażowania pracowników Agencji w bezpieczeństwo systemów informacyjnych oraz określenie kierunków rozwoju zarządzania bezpieczeństwem w Agencji, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowaniu sprawnego funkcjonowania Agencji. 3. Kierownictwo Agencji przykłada szczególną wagę do zapewnienia bezpieczeństwa osób i mienia oraz bezpieczeństwa informacji zawartej w systemach informacyjnych Agencji, z uwagi na jego fundamentalne znaczenie dla realizacji celów ustawowych bądź statutowych Agencji. Informacja stanowi zasób Agencji podlegający ochronie. 4. Zarządzenie dotyczy zasobów materialnych i niematerialnych Agencji i znajduje zastosowanie zarówno do pracowników Agencji, jak i podmiotów zewnętrznych z nią współpracujących. 5. Przestrzeganie zasad bezpieczeństwa informacji należy do obowiązków wszystkich pracowników jednostek i komórek organizacyjnych Agencji oraz podmiotów zewnętrznych współpracujących z Agencją.

2 6. Kierownictwo Agencji wspiera procesy zmierzające do zapewnienia bezpieczeństwa informacji w Agencji poprzez: wdrażanie, utrzymywanie i rozwój systemu zarządzania bezpieczeństwem informacji, obejmującego komórki organizacyjne Agencji, wszystkich jej pracowników i użytkowników informacji. Kierownictwo Agencji zabezpiecza środki umożliwiające wdrażanie, utrzymywanie i rozwój systemu zarządzania bezpieczeństwem informacji w Agencji. 7. Postanowienia zawarte w zarządzeniu i jego załącznikach stanowią wytyczne do procedur ochrony systemów informacyjnych, ze szczególnym uwzględnieniem systemów teleinformatycznych Agencji i przetwarzanych w nich informacji wrażliwych. 8. Procedury i regulacje wewnętrzne przygotowywane przez jednostki organizacyjne i komórki organizacyjne Agencji nie mogą naruszać postanowień określonych w niniejszym zarządzeniu. 9. W Agencji ochronie podlega w szczególności: 1) życie i zdrowie pracowników, 2) przetwarzane informacje, niezależnie od ich formy i nośnika, na którym zostały utrwalone, 3) sprzęt oraz programy komputerowe wykorzystywane do przetwarzania, przesyłania i przechowywania informacji, 4) pomieszczenia, w których usytuowano sprzęt teleinformatyczny, a także te, w których przetwarza się informacje wrażliwe, 5) wizerunek Agencji i relacje z podmiotami zewnętrznymi, współpracującymi z Agencją. 2. Użyte w zarządzeniu i jego załącznikach określenia i skróty oznaczają: 1) ARiMR lub Agencja Agencję Restrukturyzacji i Modernizacji Rolnictwa, 2) SZBI system zarządzania bezpieczeństwem informacji (ang. Information Security Management System), 3) Administrator Systemu komórkę organizacyjną albo osobę odpowiedzialną za utrzymanie systemu i sieci teleinformatycznej w jednostce organizacyjnej: a) w Centrali Agencji komórkę właściwą ds. informatyki, b) w oddziale regionalnym wydział, zespół lub osobę odpowiedzialną za utrzymanie systemu i sieci teleinformatycznej w oddziale regionalnym i podległych biurach powiatowych, 4) Administrator Zabezpieczeń Fizycznych komórkę organizacyjną albo osobę odpowiedzialną za bezpieczeństwo fizyczne w danej jednostce organizacyjnej: a) w Centrali Agencji komórkę właściwą ds. organizacyjno-gospodarczych, b) w oddziale regionalnym Biuro Oddziału Regionalnego, c) w biurze powiatowym kierownika biura powiatowego, 5) aplikacja program komputerowy zakupiony przez Agencję bądź utworzony na potrzeby Agencji, posiadający funkcje umożliwiające wykonanie konkretnych zadań merytorycznych przez użytkowników, 6) dane osobowe dane określone w przepisach o ochronie danych osobowych, 2

3 7) HelpDesk usługę wsparcia dla użytkowników w zakresie obsługi zdarzeń zachodzących w systemach teleinformatycznych Agencji zapewnianą przez właściwą komórkę organizacyjną Agencji oraz podmiot zewnętrzny, 8) identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę w systemie teleinformatycznym, 9) incydent związany z bezpieczeństwem informacji pojedyncze zdarzenie lub serię niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia realizacji zadań ustawowych bądź statutowych Agencji i zagrażają bezpieczeństwu informacji, 10) informacja wrażliwa - informację prawnie chronioną oraz każdą informację, której utrata, ujawnienie lub udostępnienie osobie/podmiotowi nieuprawnionemu mogłoby spowodować szkodę materialną lub niematerialną dla Agencji lub naruszyć prawnie chroniony interes innych osób/podmiotów, 11) Inspektor Bezpieczeństwa Informacji (IBI) pracownika Agencji realizującego zadania związane z kontrolą efektywności uzyskanego poziomu bezpieczeństwa do założonych celów. IBI są: a) w Centrali Agencji wyznaczony przez dyrektora komórki właściwej ds. bezpieczeństwa informacji pracownik tej komórki, b) w oddziale regionalnym pracownik zajmujący Samodzielne stanowisko pracy ds. bezpieczeństwa, 12) jednostka organizacyjna Centralę ARiMR, oddział regionalny, biuro powiatowe, 13) kierownictwo Prezesa Agencji oraz jego Zastępców, 14) Komitet Komitet Sterujący Bezpieczeństwa Informacyjnego, którego zadania i skład określa 4 zarządzenia, 15) Plan Zapewnienia Ciągłości Działania (PZCD) plan kontynuowania działalności komórki/jednostki organizacyjnej Agencji zawierający udokumentowany zbiór procedur i informacji, które są opracowywane, integrowane oraz utrzymywane w gotowości do użycia w sytuacji kryzysowej, 16) podmiot zewnętrzny współpracującą z Agencją bądź świadczącą na jej rzecz usługi osobę fizyczną, prawną lub jednostkę organizacyjną nie posiadającą osobowości prawnej, 17) przetwarzanie informacji/danych jakiekolwiek operacje na informacji/danych, takie jak zbieranie, wytwarzanie, opracowywanie, zmienianie, przechowywanie, udostępnianie, kopiowanie, przekazywanie, archiwizowanie, usuwanie, zarówno w formie papierowej, jak i w systemach teleinformatycznych, 18) strefa administracyjna obszar, gdzie kontrolowany jest ruch osobowy i materiałowy, do którego dostęp posiadają wszyscy pracownicy Agencji, 19) strefa bezpieczeństwa część strefy administracyjnej, objęta szczególną kontrolą wejść i wyjść oraz kontrolą przebywania w celu uniemożliwienia osobom nieupoważnionym dostępu do pomieszczeń w tej strefie, 20) system informacyjny system, w którym w trakcie zachodzących w nim procesów gromadzi się, przetwarza, przechowuje i udostępnia informacje, niezależnie od formy realizacji tych procesów, 3

4 21) system teleinformatyczny system informacyjny, w którym którykolwiek z jego procesów odbywa się w formie elektronicznej, 22) sytuacja kryzysowa - sytuację będącą następstwem zagrożenia lub incydentów i prowadzącą w konsekwencji do znacznego naruszenia funkcjonowania Agencji, częściowej lub całkowitej utraty jej zasobów, oraz do częściowego lub całkowitego zniszczenia jej infrastruktury technicznej, a także możliwości utraty jej wizerunku, 23) środki przetwarzania informacji system informacyjny, infrastruktura stała oraz mobilna służąca przetwarzaniu informacji, w tym usługi świadczone w ramach umów zawartych przez Agencję z podmiotami zewnętrznymi w celu przetwarzania informacji, 24) użytkownik osobę korzystającą z systemu teleinformatycznego Agencji w celu realizacji powierzonych zadań, 25) Właściciel Zasobu dyrektora komórki organizacyjnej lub jednostki organizacyjnej Agencji odpowiedzialnego za nadzór nad eksploatacją, rozwojem, utrzymaniem, korzystaniem, bezpieczeństwem i dostępem do powierzonego mu zarządzeniem Prezesa ARiMR zasobu, 26) wymienny nośnik komputerowy nośnik danych nie zainstalowany w sposób trwały (np. dyskietka, płyta CD/DVD, pamięć typu flash-usb, przenośny twardy dysk, kamera cyfrowa) lub nośnik wymontowany z urządzenia służącego do przetwarzania danych, 27) zasób wszystko to, co ma wartość dla Agencji, w szczególności informacje przetwarzane w Agencji oraz mienie wykorzystywane przez Agencję, 28) zasób kluczowy zasób niezbędny do realizowania zadań ustawowych Agencji W działalności Agencji uwzględnia się aspekt zapewnienia bezpieczeństwa informacji obejmujący zachowanie: 1) poufności co oznacza zapewnienie, że informacja wrażliwa nie jest udostępniana osobom i podmiotom nieupoważnionym, 2) dostępności co oznacza możliwość korzystania z informacji przez upoważnioną osobę lub podmiot na każde żądanie i w ustalonym czasie, 3) integralności co oznacza zapewnienie, że informacja nie może zostać zmieniona bądź zniszczona w niekontrolowany i nieautoryzowany sposób. 2. Wszystkie informacje wrażliwe i środki służące do ich przetwarzania, będące własnością Agencji lub przez nią wykorzystywane, podlegają ochronie. 3. Informacje są chronione w stopniu proporcjonalnym do ich znaczenia dla Agencji, przy czym stopień ochrony nie może być niższy niż wynikający z wymogów obowiązującego prawa. 4. Za bezpieczeństwo informacji wrażliwych odpowiedzialne są osoby kierujące komórkami organizacyjnymi, w których przetwarzane są te informacje. 5. Nadzór nad bezpieczeństwem informacji wrażliwych w Centrali Agencji pełni dyrektor komórki właściwej ds. bezpieczeństwa informacji, natomiast w oddziałach regionalnych dyrektorzy oddziałów za pośrednictwem Inspektora Bezpieczeństwa Informacji. 4

5 6. Do informacji wrażliwych w Agencji zalicza się w szczególności: 1) dane osobowe, informacje stanowiące tajemnicę służbową, informacje zawierające tajemnicę skarbową, bankową, itp., 2) dokumentację techniczną systemów teleinformatycznych oraz systemów zabezpieczeń fizycznych i logicznych, w tym kody źródłowe aplikacji oraz procedury bezpieczeństwa na poziomie technologicznym, 3) wyniki typowania producentów rolnych do kontroli na miejscu, 4) wykaz obszarów przeznaczonych do kontroli metodą foto, 5) raporty z audytu i kontroli, 6) instrukcje do negocjacji w sprawie zawierania umów, których ujawnienie mogłoby mieć niekorzystny wpływ na dalszy tok negocjacji dla Agencji, 7) informacje przekazywane Agencji przez podmiot zewnętrzny w wyniku realizacji umowy, o ile podmiot zewnętrzny wskaże konieczność ochrony takich informacji w treści umowy lub w dokumentach stanowiących produkty realizacji umowy, 8) inne informacje, których udostępnienie osobie nieuprawnionej w ocenie Właściciela Zasobu mogłoby spowodować szkody dla Agencji lub naruszyć prawnie chroniony interes innych osób/podmiotów. 7. Dokumenty zawierające informacje wrażliwe należy przechowywać w pomieszczeniach strefy administracyjnej w zamykanych na klucz szafach i meblach biurowych lub szafach metalowych na akta, do których dostęp mają wyłącznie pracownicy upoważnieni do przetwarzania tych informacji. Pomieszczenia, w których znajdują się szafy służące do przechowywania informacji wrażliwych, muszą być wyposażone w system sygnalizacji pożaru. 8. Wadliwe wydruki i wersje robocze dokumentów zawierające informacje wrażliwe należy skutecznie niszczyć przy użyciu niszczarek. Uszkodzone dyski twarde, dyskietki i taśmy magnetyczne, płyty CD/DVD i inne komputerowe nośniki danych, zawierające informacje wrażliwe, należy komisyjnie niszczyć w sposób uniemożliwiający odczytanie zapisanych na nich informacji. 9. Szczegółowe zasady przetwarzania i ochrony danych osobowych w Agencji określa Regulamin ochrony danych osobowych stanowiący załącznik nr 14 do zarządzenia. 10. Postępowanie z dokumentami zawierającymi informację niejawną stanowiącą tajemnicę służbową oznaczoną klauzulą zastrzeżone reguluje odrębne zarządzenie Prezesa ARiMR w sprawie ochrony informacji niejawnych. Postępowanie z informacjami stanowiącymi tajemnicę służbową oznaczoną klauzulą poufne określają przepisy o ochronie informacji niejawnych W Agencji funkcjonuje Komitet Sterujący Bezpieczeństwa Informacyjnego będący zespołem opiniodawczym i doradczym Prezesa Agencji. 2. Do zadań Komitetu należy: 1) realizacja działań związanych z planowaniem, wdrażaniem, eksploatacją, kontrolowaniem i doskonaleniem systemu zarządzania bezpieczeństwem informacji, 5

6 2) rekomendowanie do wdrożenia projektów dokumentów związanych z zapewnieniem bezpieczeństwa informacji, w szczególności projektów zarządzeń Prezesa Agencji, 3) zatwierdzanie procesów związanych z bezpieczeństwem informacji, w tym metodyki szacowania ryzyka, 4) dokonywanie przeglądów polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji oraz zatwierdzanie i monitorowanie wykonania działań doskonalących, zgodnie z przyjętymi do stosowania normami bezpieczeństwa, 5) składanie Prezesowi Agencji corocznych raportów ze stanu bezpieczeństwa Agencji oraz bieżące raportowanie o sytuacjach kryzysowych w razie ich wystąpienia, 6) ustalenie hierarchii działań lub procesów realizowanych w Agencji na wypadek konieczności ograniczeń ich realizacji, wynikających z ograniczenia dostępnych zasobów. 3. W skład Komitetu wchodzą: 1) Przedstawiciel kierownictwa wyznaczony przez Prezesa Agencji jako Przewodniczący Komitetu, 2) Dyrektor komórki właściwej ds. bezpieczeństwa informacji, 3) Dyrektor komórki właściwej ds. informatyki, 4) Dyrektor komórki właściwej ds. organizacyjno-gospodarczych, 5) Dyrektor komórki właściwej ds. kadrowych, 6) Dyrektor komórki właściwej ds. audytu wewnętrznego, pełniący funkcję członka z głosem doradczym (nieuczestniczący w głosowaniach), 7) Wyznaczony pracownik komórki właściwej ds. bezpieczeństwa informacji jako Sekretarz Komitetu (nieuczestniczący w głosowaniach), 8) Inne osoby wskazane przez Prezesa Agencji. 4. Regulamin funkcjonowania Komitetu określa załącznik nr 1 do zarządzenia Dyrektor komórki właściwej ds. bezpieczeństwa informacji odpowiada za bieżący nadzór nad realizacją, określoną niniejszym zarządzeniem, polityki bezpieczeństwa informacji oraz systemu zarządzania bezpieczeństwem informacji. 2. Właściciel Zasobu może delegować swoje zadania do odpowiednich komórek organizacyjnych Agencji albo podmiotów zewnętrznych, sprawując nad nimi nadzór merytoryczny i ponosząc pełną odpowiedzialność za pracę tych komórek/podmiotów w zakresie powierzonych im zadań. Delegowaniu może podlegać m.in.: 1) nadawanie i cofanie upoważnień i uprawnień dostępu, 2) wnioskowanie o wykonanie raportów w obszarze działania danej komórki organizacyjnej oraz ich autoryzacji, 3) przegląd aktualności nadanych upoważnień i uprawnień dostępu, 4) podjęcie działań w celu rozwoju aplikacji. 3. Właściciele Zasobów mają obowiązek: 1) ściśle współpracować z innymi komórkami organizacyjnymi Agencji w zakresie zapewnienia bezpieczeństwa powierzonych zasobów, w ramach ich bieżącej eksploatacji, 2) uczestniczyć w określaniu kierunków rozwoju zasobów, w tym zarządzać zmianami w zasobach (tzn. inicjować, uczestniczyć we wdrażaniu i zatwierdzać zmiany), 6

7 3) uczestniczyć w tworzeniu, w uzgodnieniu z komórkami organizacyjnymi Agencji odpowiedzialnymi za eksploatację i rozwój systemów informatycznych oraz za zarządzanie bezpieczeństwem informacji, regulacji szczegółowych w zakresie ochrony zasobów, w tym procedur nadawania, zmiany i cofania praw dostępu do zasobów. 4. Dyrektorzy oddziałów regionalnych wykonują zadania wskazane w ust. 2 pkt 1-3 w podległych jednostkach organizacyjnych W celu zapewnienia bezpieczeństwa informacji w Agencji tworzy się i utrzymuje system zarządzania bezpieczeństwem informacji, którego ramy formalno-organizacyjne określone są w następujących, rekomendowanych do wdrożenia przez Komitet, regulacjach stanowiących załączniki do niniejszego zarządzenia: 1) regulaminie funkcjonowania Komitetu Sterującego Bezpieczeństwa Informacyjnego w brzmieniu określonym w załączniku nr 1, 2) zakresie systemu zarządzania bezpieczeństwem informacji w brzmieniu określonym w załączniku nr 2, 3) deklaracji stosowania, będącej dokumentem opisującym cele stosowania zabezpieczeń oraz zabezpieczenia odnoszące się i mające zastosowanie w systemie zarządzania bezpieczeństwem informacji Agencji, w brzmieniu określonym w załączniku nr 3, 4) regulaminie nadzoru w brzmieniu określonym w załączniku nr 4, 5) regulaminie użytkownika w brzmieniu określonym w załączniku nr 5, 6) regulaminie bezpieczeństwa fizycznego i środowiskowego w brzmieniu określonym w załączniku nr 6, 7) regulaminie pomiaru skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji w brzmieniu określonym w załączniku nr 7, 8) regulaminie zarządzania incydentami w brzmieniu określonym w załączniku nr 8, 9) regulaminie zarządzania ryzykiem w brzmieniu określonym w załączniku nr 9, 10) regulaminie bezpieczeństwa informacji w zarządzaniu zasobami ludzkimi w brzmieniu określonym w załączniku nr 10, 11) regulaminie rozwoju aplikacji w brzmieniu określonym w załączniku nr 11, 12) regulaminie eksploatacji systemów teleinformatycznych w brzmieniu określonym w załączniku nr 12, 13) regulaminie działania ARiMR w sytuacjach kryzysowych w brzmieniu określonym w załączniku nr 13, 14) regulaminie ochrony danych osobowych w brzmieniu określonym w załączniku nr 14, 15) instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w brzmieniu określonym w załączniku nr Zobowiązuje się dyrektorów komórek organizacyjnych i jednostek organizacyjnych Agencji do zapoznania podległych pracowników z niniejszym zarządzeniem, zaś z treścią załączników do niniejszego zarządzenia w zakresie wymaganym do wykonywania powierzonych obowiązków. 3. Zobowiązuje się dyrektorów komórek i jednostek organizacyjnych sporządzających projekty umów do zawierania w nich wymagań bezpieczeństwa informacji w stopniu właściwym do zakresu umowy. 7

8 7. Z dniem wejścia w życie niniejszego zarządzenia tracą moc: 1) zarządzenie nr 5/2007 Prezesa ARiMR z dnia 22 lutego 2007 r. w sprawie wyboru normy stanowiącej podstawę bezpieczeństwa systemów informacyjnych Agencji Restrukturyzacji i Modernizacji Rolnictwa, 2) zarządzenie nr 23/2007 Prezesa ARiMR z dnia 28 maja 2007 r. w sprawie wprowadzenia Polityki Bezpieczeństwa w Agencji Restrukturyzacji i Modernizacji Rolnictwa, zmienione zarządzeniem nr 22/2008 Prezesa ARiMR z dnia 31 marca 2008 r. w sprawie ustalenia regulaminu funkcjonowania dla Komitetu Sterującego Bezpieczeństwem Informacyjnym oraz zmiany załącznika do zarządzenia Prezesa ARiMR nr 23/2007 z 28 maja 2007 r. w sprawie wprowadzenia Polityki Bezpieczeństwa w ARiMR, 3) zarządzenie nr 22/2008 Prezesa ARiMR z dnia 31 marca 2008 r. w sprawie ustalenia regulaminu funkcjonowania dla Komitetu Sterującego Bezpieczeństwem Informacyjnym oraz zmiany załącznika do zarządzenia Prezesa ARiMR nr 23/2007 z 28 maja 2007 r. w sprawie wprowadzenia Polityki Bezpieczeństwa w ARiMR, 4) zarządzenie nr 25/2004 Prezesa ARiMR z dnia 27 kwietnia 2004 r. w sprawie wprowadzenia Zasad Zarządzania Bezpieczeństwem Informacyjnym w Agencji Restrukturyzacji i Modernizacji Rolnictwa, 5) zarządzenie nr 33/2005 Prezesa ARiMR z dnia 12 września 2005 r. w sprawie wprowadzenia Zasad Ochrony Danych Osobowych w Agencji Restrukturyzacji i Modernizacji Rolnictwa. 8. Zarządzenie wchodzi w życie w dniu następnym po dniu ogłoszenia. 8

9 Załącznik nr 1 do zarządzenia nr 40/2008 Regulamin funkcjonowania Komitetu Sterującego Bezpieczeństwa Informacyjnego Członkowie Komitetu mają obowiązek uczestniczyć w posiedzeniach Komitetu oraz uczestniczyć w realizacji jego zadań o charakterze ciągłym. 2. Bieżącą pracę Komitetu organizuje jego Sekretarz. 3. W przypadku niemożności uczestniczenia w obradach Komitetu przez danego dyrektora komórki organizacyjnej, w danym posiedzeniu udział bierze jego zastępca. 4. W razie konieczności zwołania obrad Komitetu pod nieobecność jego Przewodniczącego rolę tą pełni przedstawiciel kierownictwa wyznaczany zgodnie z aktualnie obowiązującym zarządzeniem Prezesa ARiMR w sprawie zastępowania Prezesa oraz ustalenia zakresu kompetencji Zastępców Prezesa. 5. W posiedzeniach mogą brać udział zaproszeni przez Przewodniczącego Komitetu pracownicy Agencji jako konsultanci, jeśli porządek obrad obejmuje punkty wymagające ich obecności. 6. Zaproszeni konsultanci nie uczestniczą w głosowaniu postanowień Komitetu Komitet obraduje na posiedzeniach zwyczajnych i nadzwyczajnych. 2. Posiedzenia zwoływane są przez Przewodniczącego Komitetu. 3. Posiedzenia zwyczajne zwoływane są cyklicznie, nie rzadziej niż raz na pół roku. 4. Posiedzenia nadzwyczajne zwoływane są w sytuacjach kryzysowych przez Przewodniczącego Komitetu lub na pisemny wniosek członka Komitetu. 5. W przypadkach, o których mowa w ust. 3, na pięć dni przed terminem posiedzenia Komitetu jego członkowie zapoznawani są z proponowanym porządkiem obrad oraz otrzymują materiały będące przedmiotem tych obrad. 6. Członkowie Komitetu mogą zgłaszać do Sekretarza Komitetu uzupełnienia porządku obrad do chwili ich rozpoczęcia. 7. Po rozpoczęciu posiedzenia Komitetu następuje zatwierdzenie porządku obrad Postanowienia Komitetu podejmowane są przez jego członków zwykłą większością głosów w głosowaniu jawnym, w obecności przynajmniej 4 członków Komitetu. W przypadku równej liczby głosów decyduje głos Przewodniczącego. 2. Każdy członek Komitetu ma prawo wnieść do protokołu umotywowane zastrzeżenia do postanowień Komitetu, w terminie do trzech dni od daty obrad Komitetu. 3. Postanowienia Komitetu podpisują: Przewodniczący Komitetu, Sekretarz Komitetu oraz wszyscy głosujący członkowie Komitetu Obrady Komitetu są protokołowane. 2. Protokół zawiera co najmniej: zatwierdzony porządek obrad, imiona i nazwiska członków obecnych na posiedzeniu, podjęte postanowienia wraz z pełnymi wynikami głosowania. 3. Protokół sporządza i podpisuje Sekretarz Komitetu. 9

10 4. Protokół zatwierdza Przewodniczący po uprzednim przyjęciu go przez Komitet. 5. Protokół może być podpisywany przez członków Komitetu w trybie obiegowym. 10

11 Załącznik nr 2 do zarządzenia nr 40/2008 ZAKRES SYSEMU ZARZĄDZANIA BEZPIECZEŃSWEM INFORMACJI 1. Zgodnie z wymogami określonymi w Rozporządzeniu Komisji (WE) nr 885/2006 system zarządzania bezpieczeństwem informacji obejmuje następujące działania związane z realizowanymi przez Agencję dopłatami: 1) Płatności bezpośrednie, 2) Program Rozwoju Obszarów Wiejskich na lata , 3) Program Operacyjny Zrównoważony rozwój sektora rybołówstwa i nadbrzeżnych obszarów rybackich na lata , 4) Wspólna Organizacja Rynku Owoców i Warzyw oraz Wspólna Organizacja Rynku Rybnego, 5) Pomoc krajowa W systemie zarządzania bezpieczeństwem informacji do obsługi działań, o których mowa w 1, stosuje się następujące systemy informatyczne: 1) System ZSZiK, 2) Platforma integracyjna PA2A, 3) System obsługi Funduszy Strukturalnych (OFSA), 4) System PROW , 5) System baz danych GIS System Identyfikacji Działek Rolnych (LPIS), 6) Systemy finansowo-księgowe: PFK-FS, FIX, 7) Hurtownia Danych ZSZiK, 8) System kontroli na miejscu KOM, 9) System SI*Agencja. 2. Infrastrukturę informatyczną dla systemów, o których mowa w ust. 1, zapewniają następujące ośrodki przetwarzania danych, działające w systemie dzielonego obciążenia: 1) Centralny Ośrodek Przetwarzania Danych (CPD), 2) Równoległy Ośrodek Przetwarzania Danych (ROPD). 3. Funkcjonująca w Agencji sieć połączeniowa (sieć WAN) zapewnia połączenia pomiędzy: 1) Biurami Powiatowymi a CPD-ROPD łączami MPLS, 2) Oddziałami Regionalnymi a CPD-ROPD łączami podstawowymi o średniej przepustowości będącymi łączami cyfrowymi o przepustowości 2Mbit/s, 3) Centralą a CPD i ROPD łączem podstawowym o dużej przepustowości GigaEthernet, 4) CPD a ROPD redundantnymi łączami światłowodowymi DWDM o wielkiej przepustowości

12 System zarządzania bezpieczeństwem informacji zapewnia bezpieczną wymianę informacji z następującymi podmiotami: 1) Urzędami Marszałkowskimi w ramach instrumentów SPO Restrukturyzacja i modernizacja sektora żywnościowego oraz rozwój obszarów wiejskich oraz PROW wdrażanych przez Urzędy Marszałkowskie, 2) Agencją Rynku Rolnego w ramach realizacji zadań pomocy krajowej oraz PROW. Ponadto w PROW ARiMR pełni funkcję Agencji Płatniczej wobec instrumentu Działania informacyjne i promocyjne wdrażanego przez Agencję Rynku Rolnego, 3) Fundacją Programów Pomocy dla Rolnictwa przy płatnościach w ramach instrumentów SPO Restrukturyzacja i modernizacja sektora żywnościowego oraz rozwój obszarów wiejskich wdrażanych przez FAPA, 4) Głównym Urzędem Geodezji i Kartografii przy modernizacji bazy referencyjnej systemu ZSZiK, 5) Inspekcją Weterynaryjną w zakresie udostępniania organom Inspekcji Weterynaryjnej danych zawartych w rejestrze zwierząt gospodarskich oznakowanych oraz kontroli poprawności danych w systemie IRZ ze strony Inspekcji Weterynaryjnej, 6) Inspektoratem Jakości Handlowej Artykułów Rolno-Spożywczych w zakresie kontroli na rynku przetworów pomidorów oraz przeprowadzaniu ocen na wniosek przedsiębiorców realizujących przedsięwzięcia związane w wprowadzeniem nowych technologii produkcji, 7) Starostwami powiatowymi w zakresie dostarczania danych źródłowych do kontroli na miejscu i do przygotowania wniosków personalizowanych pochodzących m.in. z bazy danych Systemu Identyfikacji Działek Rolnych, zasilanej przez część opisową ewidencji gruntów budynków, przygotowywaną przez starostwa powiatowe, 8) Urzędami gmin w zakresie wspierania biur powiatowych Agencji przy naborze wniosków o płatności bezpośrednie, 9) Służbą celną, ubojniami, firmami utylizacyjnymi. 4. W ramach umów outsourcingu świadczone są na rzecz Agencji następujące usługi informatyczne: 1) Usługi Utrzymania, w tym: usługi kolokacji, usługi utrzymania infrastruktury SIA, usługi utrzymania środowiska aplikacyjnego SIA, usługi zarządzania i modyfikacji SIA, 2) Usługi Równoległego Ośrodka Przetwarzania Danych, w tym usługi utrzymania i modyfikacji systemów Oracle. 12

13 Deklaracja stosowania Załącznik nr 3 do zarządzenia nr 40/2008 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.5 Polityka bezpieczeństwa A.5.1 Polityka bezpieczeństwa informacji Zapewnienie, że kierownictwo wspiera i kieruje bezpieczeństwem informacji zgodnie z wymaganiami biznesowymi i właściwymi przepisami prawa oraz regulacjami wewnętrznymi. A Dokument polityki bezpieczeństwa informacji A Przegląd polityki bezpieczeństwa informacji A.6. Organizacja bezpieczeństwa informacji A.6.1 Organizacja wewnętrzna Zarządzanie bezpieczeństwem informacji wewnątrz organizacji. A Zaangażowanie kierownictwa w bezpieczeństwo informacji A Koordynacja bezpieczeństwa informacji A Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji A Proces autoryzacji środków przetwarzania informacji

14 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Umowy o zachowaniu poufności A Kontakty z organami władzy A Kontakty z grupami zainteresowania bezpieczeństwem A Niezależny przegląd bezpieczeństwa informacji A.6.2 Strony zewnętrzne Utrzymanie bezpieczeństwa informacji należącej do organizacji oraz środków przetwarzania informacji, do których mają dostęp, za pomocą których przetwarzają, komunikują się lub którymi zarządzają strony zewnętrzne. A Określanie ryzyk związanych ze stronami zewnętrznymi Bezpieczeństwo w kontaktach z klientami A Bezpieczeństwo w umowach ze stroną trzecią A.7 Zarządzanie aktywami A.7.1 Odpowiedzialność za aktywa Osiągnięcie i utrzymanie odpowiedniego poziomu ochrony aktywów organizacji. A Inwentaryzacja aktywów Własność aktywów 14

15 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Akceptowalne użycie aktywów A.7.2 Klasyfikacja informacji Zapewnienie, że informacje uzyskują ochronę na odpowiednim poziomie. A Zalecenia do klasyfikacji A Oznaczanie i postępowanie z informacjami A.8 Bezpieczeństwo zasobów ludzkich A.8.1 Przed zatrudnieniem Zapewnienie, że pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią rozumieją swoje obowiązki są odpowiedni do wyznaczonych im ról, oraz zredukowanie ryzyka kradzieży, naruszenia i niewłaściwego korzystania z urządzeń. A Role i odpowiedzialności A Postępowanie sprawdzające A Zasady i warunki zatrudnienia A.8.2 Podczas zatrudnienia Zapewnienie, że pracownicy, wykonawcy oraz użytkownicy reprezentujący stronę trzecią są świadomi zagrożeń i innych aspektów bezpieczeństwa informacji, swoich obowiązków i odpowiedzialności prawnej oraz są wyposażeni w środki A Odpowiedzialność kierownictwa A Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji 15

16 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia wspomagające politykę bezpieczeństwa organizacji podczas swej normalnej pracy oraz minimalizujące ryzyko błędów ludzkich. A Postępowanie dyscyplinarne A.8.3 Zakończenie lub zmiana zatrudnienia Zapewnienie, że pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią odchodzą z organizacji lub zmieniają stanowisko w sposób zorganizowany. A Odpowiedzialności związane z zakończeniem zatrudnienia A Zwrot aktywów A Odebranie praw dostępu A.9 Bezpieczeństwo fizyczne i środowiskowe A.9.1 Obszary bezpieczne Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji oraz w odniesieniu do informacji. A Fizyczna granica obszaru bezpiecznego A Fizyczne zabezpieczenie wejścia A Zabezpieczanie biur, pomieszczeń i urządzeń A Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi 16

17 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Praca w obszarach bezpiecznych A Obszary publicznie dostępne, dostaw i załadunku A.9.2 Bezpieczeństwo sprzętu Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji. A Lokalizacja i ochrona sprzętu A Systemy wspomagające A Bezpieczeństwo okablowania A Konserwacja sprzętu A Bezpieczeństwo sprzętu poza siedzibą A Bezpieczne zbywanie lub przekazywanie do ponownego użycia A Wynoszenie mienia 17

18 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.10 Zarządzanie systemami i sieciami A.10.1 Procedury eksploatacyjne i zakresy odpowiedzialności Zapewnienie prawidłowej i bezpiecznej eksploatacji środków przetwarzania informacji. A Dokumentowanie procedur eksploatacyjnych A Zarządzanie zmianami A.A Rozdzielanie obowiązków A Oddzielanie urządzeń rozwojowych, testowych i eksploatacyjnych A.10.2 Zarządzanie usługami dostarczanymi przez strony trzecie Wdrożenie i utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i dostaw usług zgodnie z umowami serwisowymi zawartymi ze stronami trzecimi. A Dostarczanie usług A Monitorowanie i przegląd usług strony trzeciej A Zarządzanie zmianami usług strony trzeciej A.10.3 Planowanie i odbiór systemów Minimalizowanie ryzyka awarii systemów. A Zarządzanie pojemnością systemów A Odbiór systemu 18

19 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.10.4 Ochrona przed kodem złośliwym i kodem mobilnym Ochrona integralności informacji i oprogramowania. A Zabezpieczenia przed kodem złośliwym A Zabezpieczenie przed kodem mobilnym A.10.5 Kopie zapasowe Zapewnienie integralności i dostępności informacji oraz środków przetwarzania informacji. A Zapasowe kopie informacji A.10.6 Zarządzanie bezpieczeństwem sieci A.10.7 Obsługa nośników Zapewnienie ochrony informacji w sieciach oraz ochrony infrastruktury wspomagającej. Zapobieganie nieautoryzowanemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu aktywów oraz przerwom w działalności biznesowej. A Zabezpieczenia sieci A Bezpieczeństwo usług sieciowych A Zarządzanie nośnikami wymiennymi A Niszczenie nośników A Procedury postępowania z informacjami A Bezpieczeństwo dokumentacji systemowej 19

20 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.10.8 Wymiana informacji Utrzymanie bezpieczeństwa informacji i oprogramowania wymienianego wewnątrz organizacji oraz z każdym podmiotem zewnętrznym. A Polityki i procedury wymiany informacji A Umowy wymiany informacji A ransportowanie nośników fizycznych A Wiadomości elektroniczne A Biznesowe systemy informacyjne A.10.9 Usługi handlu elektronicznego Zapewnienie bezpieczeństwa usług handlu elektronicznego oraz ich bezpiecznego używania. A Handel elektroniczny A ransakcje on-line A Informacje publicznie dostępne N N N Zakres SZBI nie obejmuje usług handlu elektronicznego ani transakcji on-line A Monitorowanie Wykrywanie nieautoryzowanych działań związanych z przetwarzaniem informacji. A Dziennik audytu A Monitorowanie użycia systemu A Ochrona informacji zawartej w dziennikach 20

21 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Dzienniki administratora i operatora A Rejestrowanie błędów A Synchronizacja zegarów A.11 Kontrola dostępu A.11.1 Wymagania biznesowe wobec kontroli dostępu Kontrolowanie dostępu do informacji. A Polityka kontroli dostępu A.11.2 Zarządzanie dostępem użytkowników Zapewnienie dostępu autoryzowanym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów informacyjnych. A Rejestracja użytkowników A Zarządzanie przywilejami A.11.3 Odpowiedzialność użytkowników Zapobieganie nieautoryzowanemu dostępowi użytkowników oraz naruszeniu bezpieczeństwa lub kradzieży informacji i środków przetwarzania A Zarządzanie hasłami użytkowników A Przegląd praw dostępu użytkowników A Używanie haseł A Pozostawianie sprzętu użytkownika bez opieki 21

22 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia informacji. A Polityka czystego biurka i czystego ekranu A.11.4 Kontrola dostępu do sieci Ochrona usług sieciowych przed nieautoryzowanym dostępem. A Polityka dotycząca korzystania z usług sieciowych A Uwierzytelnianie użytkowników przy połączeniach zewnętrznych A Identyfikacja urządzeń w sieciach A Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A Rozdzielanie sieci A Kontrola połączeń sieciowych A Kontrola rutingu w sieciach 22

23 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.11.5 Kontrola dostępu do systemów operacyjnych Ochrona przed nieuprawnionym dostępem do systemów operacyjnych. A Procedury bezpiecznego logowania się A Identyfikacja i uwierzytelnianie użytkowników A System zarządzania hasłami A Użycie systemowych programów narzędziowych A Zamykanie sesji po określonym czasie A Ograniczanie czasu trwania połączenia A.11.6 Kontrola dostępu do aplikacji informacji Ochrona przed nieautoryzowanym dostępem do informacji przechowywanych w aplikacjach. A Ograniczanie dostępu do informacji A Izolowanie systemów wrażliwych A.11.7 Przetwarzanie mobilne i praca na odległość Zapewnienie bezpieczeństwa informacji przy przetwarzaniu mobilnym i pracy na A Przetwarzanie i komunikacja mobilna 23

24 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia odległość. A Praca na odległość A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12.1 Wymagania bezpieczeństwa systemów informacyjnych Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych. A Analiza i opis wymagań bezpieczeństwa A.12.2 Poprawne przetwarzanie w aplikacjach Ochrona przed błędami, utratą, nieuprawnioną modyfikacją lub nadużyciem informacji w aplikacjach. A Potwierdzanie poprawności danych wejściowych A Kontrola przetwarzania wewnętrznego A Integralność wiadomości A Potwierdzanie poprawności danych wyjściowych A.12.3 Zabezpieczenia kryptograficzne Ochrona poufności, autentyczności i integralności informacji poprzez mechanizmy kryptograficzne. A Polityka korzystania z zabezpieczeń kryptograficznych A Zarządzanie kluczami 24

25 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.12.4 Bezpieczeństwo plików systemowych Zapewnianie bezpieczeństwa plików systemowych. A Zabezpieczenie eksploatowanego oprogramowania A Ochrona systemowych danych testowych A Kontrola dostępu do kodów źródłowych programów A.12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej Utrzymywanie bezpieczeństwa informacji oraz oprogramowania aplikacyjnego. A Procedury kontroli zmian A echniczny przegląd aplikacji po zmianach w systemie operacyjnym A Ograniczenia dotyczące zmian w pakietach oprogramowania A Wyciek informacji N Agencja samodzielnie nie dokonuje zmian w zakupionym oprogramowaniu 25

26 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Prace rozwojowe nad oprogramowaniem powierzane firmie zewnętrznej A.12.6 Zarządzanie podatnościami technicznymi Redukcja ryzyk wynikających z wykorzystania opublikowanych podatności technicznych. A Nadzór nad podatnościami technicznymi A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości Zapewnienie, że zdarzenia związane z bezpieczeństwem informacji oraz słabości związane z systemami informacyjnymi, są zgłaszane w sposób umożliwiający szybkie podjęcie działań korygujących. A Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji A Zgłaszanie słabości systemu bezpieczeństwa A.13.2 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami Zapewnienie, że stosowane jest spójne i efektywne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji A Odpowiedzialność i procedury A Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji A Gromadzenie materiału dowodowego 26

27 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A.14 Zarządzanie ciągłością działania A.14.1 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami systemów informacyjnych lub katastrofami oraz zapewnienie wznowienia działalności w wymaganym czasie. A Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania A Ciągłość działania i szacowanie ryzyka A Opracowanie i wdrożenie planów ciągłości uwzględniających bezpieczeństwo informacji A Struktura planowania ciągłości działania A estowanie, utrzymywanie i ponowna ocena planów ciągłości działania A.15 Zgodność A.15.1 Zgodność z przepisami prawnymi Unikanie naruszania jakichkolwiek przepisów prawa, zobowiązań wynikających z ustaw, regulacji wewnętrznych lub umów oraz jakichkolwiek wymagań bezpieczeństwa. A Określenie odpowiednich przepisów prawnych A Prawo do własności intelektualnej 27

28 Numer i nazwa zgodnie z Załącznikiem A do ISO Główna kategoria bezpieczeństwa Cel stosowania zabezpieczeń Zabezpieczenie Zastosowanie (/N) Zabezpieczenia wdrożone (pkt j).2) oraz planowane do wdrożenia (pkt j).1) ISO 27001) Uzasadnienie wyboru zabezpieczenia (pkt j) 1) ISO 27001) Wyniki i wnioski z szacowania i postępowania z ryzykiem Wymagania prawne Informacja o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w Załączniku A wraz z uzasadnieniem wykluczenia A Ochrona zapisów organizacji A Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych A Zapobieganie nadużyciu środków przetwarzania informacji A Regulacje dotyczące zabezpieczeń kryptograficznych A.15.2 Zgodność z politykami bezpieczeństwa i normami oraz zgodność techniczna Zapewnianie zgodności systemów ze standardami i politykami bezpieczeństwa organizacji. A Zgodność z politykami bezpieczeństwa i normami A Sprawdzanie zgodności technicznej A.15.3 Rozważania dotyczące audytu systemów informatycznych Maksymalizowanie efektywności procesu audytu systemu informacyjnego i minimalizowanie zakłóceń z niego wynikających lub na niego wpływających. A Zabezpieczenia audytu systemów informacyjnych A Ochrona narzędzi audytu systemów informacyjnych 28

29 Załącznik nr 4 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN NADZORU

30 Spis treści: 1. Definicje Struktura nadzoru nad bezpieczeństwem informacji w Agencji Przegląd praw dostępu użytkowników Przegląd przywilejów oraz kontrola użytkowania programów narzędziowych Przegląd dzienników wykonywanych czynności przez administratora / operatora33 6. Przegląd wymagań bezpieczeństwa na poszczególnych stanowiskach pracy Przegląd dokumentów polityki bezpieczeństwa informacji Przegląd systemu zarządzania bezpieczeństwem informacji realizowany przez kierownictwo Przegląd ewidencji osób upoważnionych do przetwarzania danych osobowych Przegląd wymagań bezpieczeństwa przy zawieraniu umów z podmiotami zewnętrznymi

31 1. Definicje Użyte w regulaminie określenia oznaczają: 1) konto część systemu teleinformatycznego (dane, oprogramowanie, zasoby sieciowe, a także uprawnienia) przypisaną do identyfikatora użytkownika, 2) przywilej - specjalne uprawnienie, umożliwiające obejście zabezpieczeń normalnych praw dostępu w systemie lub aplikacji. 2. Struktura nadzoru nad bezpieczeństwem informacji w Agencji 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji realizuje nadzór i kontrolę nad bezpieczeństwem informacji za pośrednictwem struktur organizacyjnych istniejących w Centrali oraz w oddziałach regionalnych. 2. Czynności kontrolne w ramach nadzoru nad bezpieczeństwem informacji w oddziałach regionalnych i biurach powiatowych realizują Inspektorzy Bezpieczeństwa Informacji zatrudnieni na Samodzielnych stanowiskach pracy ds. bezpieczeństwa w oddziałach regionalnych, w Centrali natomiast Inspektorzy Bezpieczeństwa Informacji zatrudnieni w komórce właściwej ds. bezpieczeństwa informacji. 3. Czynności kontrolne w oddziałach regionalnych i biurach powiatowych w zakresie przestrzegania obowiązujących zasad bezpieczeństwa mogą realizować Inspektorzy Bezpieczeństwa Informacji z Centrali, którzy posiadają upoważnienie dyrektora komórki właściwej ds. bezpieczeństwa informacji. 4. Właściciele Zasobów oraz, w razie potrzeb, inni kierownicy komórek i jednostek organizacyjnych Agencji, a także Inspektorzy Bezpieczeństwa Informacji zatrudnieni w oddziałach regionalnych, przedkładają raporty dyrektorowi komórki właściwej ds. bezpieczeństwa informacji z przeprowadzonych działań w zakresie bezpieczeństwa informacji, z zachowaniem drogi służbowej obowiązującej w Agencji. 5. Inspektorzy Bezpieczeństwa Informacji zatrudnieni w Centrali Agencji przedkładają raporty z przeprowadzonych działań bezpośrednio dyrektorowi komórki właściwej ds. bezpieczeństwa informacji. 3. Przegląd praw dostępu użytkowników 1. Właściciel Zasobów, jest zobowiązany do regularnego (nie rzadziej niż raz w roku) przeglądu uprawnień dostępu do powierzonych sobie zasobów (tzw. przegląd pełny). W oddziałach regionalnych analogiczne działania przeprowadza, jeśli zachodzi taka potrzeba, upoważniony przez Właściciela Zasobów kierownik jednostki organizacyjnej. Po każdym takim przeglądzie sporządza się raport i przedkłada go dyrektorowi komórki właściwej ds. bezpieczeństwa informacji. 2. Dodatkowy przegląd (tzw. przegląd skrócony) może być przeprowadzony w przypadku:

32 1) zmiany stanowiska i/lub zakresu obowiązków pracownika bądź rozwiązania umowy o pracę, 2) podpisania umowy lub zmiany umowy z podmiotem zewnętrznym - dotyczy sytuacji, gdy pracownicy podmiotu zewnętrznego uzyskują dostęp do informacji wrażliwych i/lub systemów teleinformatycznych Agencji. 3. Zakres przeglądu pełnego obejmuje sprawdzenie czy: 1) stosowane są unikalne identyfikatory zgodne z przyjętym schematem (jeżeli dotyczy), 2) zablokowano wszystkie zbędne identyfikatory (jeżeli dotyczy), 3) przyznane uprawnienia są zgodne z wnioskiem o nadanie/zmianę/cofnięcie uprawnień, 4) przyznane uprawnienia są zgodne z profilem dostępu (zakresem odpowiedzialności i uprawnień) na danym stanowisku pracy, 5) uprawnienia zawarte we wniosku o nadanie/zmianę/cofnięcie uprawnień są zgodne z zakresem upoważnienia do przetwarzania danych osobowych/informacji wrażliwych (jeżeli dotyczy), 6) terminy obowiązywania uprawnień są aktualne, 7) użytkownicy zostali poinformowani o zakresie swoich uprawnień i potwierdzili zapoznanie się z nimi. 4. Zakres przeglądu skróconego obejmuje wymagania ust. 3 i jest przeprowadzany w celu sprawdzenia uprawnień dostępu konkretnych użytkowników. 5. Właściciel Zasobów dokonuje przeglądu w oparciu o: 1) wykaz użytkowników i ich uprawnień uzyskany z systemu teleinformatycznego od Administratora Systemu /Administratora Zabezpieczeń Fizycznych (dotyczy systemów zabezpieczeń technicznych), 2) kopie posiadanych wniosków nadania /zmiany/cofnięcia uprawnień, 3) wymagania bezpieczeństwa przypisane do danego stanowiska pracy zgodnie z zakresem obowiązków pracownika. 6. W uzasadnionych względami bezpieczeństwa przypadkach dyrektor komórki właściwej ds. bezpieczeństwa informacji może dokonać kontroli praw dostępu w wybranym systemie informacyjnym lub w odniesieniu do zasobów nadzorowanych przez Właściciela Zasobów. 7. Dyrektor komórki właściwej ds. bezpieczeństwa informacji przedstawia Komitetowi okresową informację z przeprowadzonego w Agencji przeglądu praw dostępu. 4. Przegląd przywilejów oraz kontrola użytkowania programów narzędziowych 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji jest zobowiązany do regularnego (nie rzadziej niż raz na rok) przeglądu przywilejów oraz kontroli użytkowania programów narzędziowych. 32

33 2. Zakres przeglądu obejmuje sprawdzenie, czy: 1) przywileje nadane zostały osobie, której zajmowane stanowisko dopuszcza korzystanie z przywilejów, 2) zakres przywilejów jest zgodny z profilem dostępu (zakresem odpowiedzialności i uprawnień) na danym stanowisku pracy, 3) przywileje nadawane są na oddzielne konta (jeżeli dotyczy), 4) terminy obowiązywania przywilejów są aktualne, 5) przyznane przywileje są zgodne z wnioskiem o nadanie/zmianę/cofnięcie przywilejów, 6) użytkownicy zostali poinformowani o zakresie swoich przywilejów i czy potwierdzili zapoznanie się z nimi. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji dokonuje przeglądu w oparciu o: 1) wykaz użytkowników i ich uprawnień (kont uprzywilejowanych) uzyskany z systemu teleinformatycznego od Administratora Systemu bądź Administratora Zabezpieczeń Fizycznych (dotyczy systemów zabezpieczeń technicznych), 2) wnioski nadania /zmiany/cofnięcia uprawnień (kont uprzywilejowanych) uzyskane od Właściciela Zasobów, 3) wymagania bezpieczeństwa przypisane do danego stanowiska pracy zgodnie z zakresem obowiązków pracownika. 4. Dyrektor komórki właściwej ds. bezpieczeństwa informacji przedstawia Komitetowi raport z przeprowadzonego przeglądu. 5. Przegląd dzienników wykonywanych czynności przez administratora / operatora 1. Dzienniki wykonywanych czynności prowadzone przez Administratora Zabezpieczeń Fizycznych, Administratora Systemu i operatorów podlegają kontroli. 2. Kontrolę dzienników przeprowadza Inspektor Bezpieczeństwa Informacji, nie rzadziej niż raz na pół roku. 3. Kontrola dzienników, jeśli ma zastosowanie, jest przeprowadzana w biurach powiatowych w ramach regularnej kontroli przeprowadzanej przez Inspektora Bezpieczeństwa Informacji oddziału regionalnego. 4. Podmioty zewnętrzne, na podstawie stosownych zapisów umowy, realizują kontrolę dzienników we własnym zakresie. 5. Kontrola polega na weryfikacji poprawności zapisów w dziennikach. 6. Kontrola dzienników może obejmować porównanie czynności wykonanych przez podmioty zewnętrzne odnotowane w dzienniku z zestawieniem wykonanych prac. 7. Z każdej kontroli Inspektor Bezpieczeństwa Informacji jest obowiązany przedstawić raport dyrektorowi komórki właściwej ds. bezpieczeństwa informacji. 33

34 8. W ramach nadzoru dyrektor komórki właściwej ds. bezpieczeństwa informacji może przeprowadzić wyrywkową kontrolę dzienników. 9. Jeżeli istnieją możliwości techniczne, to dyrektor komórki właściwej ds. bezpieczeństwa informacji weryfikuje kompletność zapisów w dziennikach poprzez inspekcję logów z systemów/aplikacji. 10. Fakt przeprowadzenia kontroli Administrator Systemu/ Inspektor Bezpieczeństwa Informacji/ dyrektor komórki właściwej ds. bezpieczeństwa informacji odnotowuje w danym dzienniku (jeżeli jest to technicznie możliwe). 11. Dyrektor komórki właściwej ds. bezpieczeństwa informacji sporządza dla Komitetu raport z przeprowadzonych kontroli dzienników. 6. Przegląd wymagań bezpieczeństwa na poszczególnych stanowiskach pracy 1. Celem przeglądu wymagań bezpieczeństwa jest ocena, czy dostęp do informacji na poszczególnych stanowiskach pracy wynika z realizacji zadań ustawowych bądź statutowych Agencji, wymagań polityki bezpieczeństwa informacji i jest zgodny z zakresem obowiązków opisanym w Regulaminie Organizacyjnym. 2. Przegląd wymagań jest realizowany przez Inspektora Bezpieczeństwa Informacji w Centrali oraz w oddziałach regionalnych i biurach powiatowych (jeśli wynika to ze specyfiki stanowiska pracy). 3. Przegląd wymagań bezpieczeństwa na poszczególnych stanowiskach jest przeprowadzany raz w roku lub każdorazowo w przypadku: 1)zmian w Regulaminie Organizacyjnym Agencji, 2)zmian w dokumentach dotyczących bezpieczeństwa informacji odnoszących się do zakresów obowiązków, 3)zmian stanowiska i/lub zakresu obowiązków pracownika, 4)podpisania umowy lub zmiany umowy z podmiotem zewnętrznym - dotyczy sytuacji, kiedy pracownicy podmiotu zewnętrznego uzyskują dostęp do informacji wrażliwych i/lub systemów informacyjnych Agencji. 4. Przegląd polega na porównaniu wymagań bezpieczeństwa określonych w: 1) profilach dostępu do sieci i systemów operacyjnych przekazywanych przez Administratora Systemu z informacją o aktualnej obsadzie stanowisk pracy z komórki właściwej ds. kadrowych, 2) profilach dostępu do aplikacji przekazywanych przez Administratora Systemu z informacją o aktualnym stanie uprawnień do aplikacji pochodzącą od Właścicieli Zasobów. 5. Po każdym przeglądzie Inspektor Bezpieczeństwa Informacji sporządza raport i przedkłada go dyrektorowi komórki właściwej ds. bezpieczeństwa informacji. 6. Dyrektor komórki właściwej ds. bezpieczeństwa informacji sporządza dla Komitetu raport z przeprowadzonego przeglądu. 34

35 7. Przegląd dokumentów polityki bezpieczeństwa informacji 1. Dokumenty dotyczące bezpieczeństwa informacji oraz systemu zarządzania bezpieczeństwem informacji podlegają przeglądowi realizowanemu przez właściciela danego dokumentu (tj. osobę odpowiedzialną za aktualność i zgodność danego dokumentu z polityką bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji) w przypadku: 1) ogłoszenia nowych lub modyfikacji istniejących przepisów prawa, 2) wystąpienia poważnych incydentów związanych z bezpieczeństwem informacji, 3) zmian technicznych i organizacyjnych w zakresie objętym systemem zarządzania bezpieczeństwem informacji, 4) identyfikacji nowych zagrożeń, podatności, i ryzyk, które nie były wcześniej brane pod uwagę, 5) wniosków z przeprowadzonych audytów i przeglądów systemu zarządzania bezpieczeństwem informacji, 6) informacji zwrotnych od zainteresowanych stron Informacje o rekomendowanych zmianach w dokumentach z obszaru bezpieczeństwa informacji przekazywane są przez dyrektorów komórek organizacyjnych i jednostek organizacyjnych, Inspektorów Bezpieczeństwa Informacji w OR, Administratora Systemu i Administratora Zabezpieczeń Fizycznych dyrektorowi komórki właściwej ds. bezpieczeństwa informacji, który koordynuje wprowadzanie zmian, korzystając z procedury nadzoru nad dokumentami systemu zarządzania bezpieczeństwem informacji opisanej w Książce Procedur KP ARiMR. 3. Przegląd dokumentów dotyczących polityki bezpieczeństwa informacji oraz systemu zarządzania bezpieczeństwem informacji dokonywany jest okresowo, nie rzadziej niż raz w roku. 8. Przegląd systemu zarządzania bezpieczeństwem informacji realizowany przez kierownictwo 1. Komitet przeprowadza przeglądy systemu zarządzania bezpieczeństwem informacji w zaplanowanych odstępach czasu, nie rzadziej jednak niż raz w roku, wykorzystując procedurę przeglądu systemu zarządzania bezpieczeństwem informacji zawartą w Książce Procedur KP ARiMR. 2. Przegląd realizowany jest w oparciu o zatwierdzony przez Komitet plan i harmonogram przeglądów zawierający: 1 Zainteresowana strona osoba lub grupa mająca interes wynikający z działalności lub sukcesu organizacji. Przykłady: klienci (beneficjenci), właściciele, pracownicy organizacji, dostawcy, banki, związki zawodowe, partnerzy biznesowi lub społeczeństwo [ISO Guide 73:2002] 35

36 1)zakres przeglądu, 2)osoby odpowiedzialne za dostarczenie danych wejściowych do przeglądu, 3)osoby odpowiedzialne za realizację przeglądu w poszczególnych obszarach, 4)terminy realizacji. 3. Wyniki przeglądów są dokumentowane w postaci raportu dla Prezesa Agencji. 4. Danymi wejściowymi do przeglądu są: 1) wyniki poprzednich audytów bezpieczeństwa i przeglądów systemu zarządzania bezpieczeństwem informacji, 2) informacje zwrotne od zainteresowanych stron, 3) raporty sporządzane przez dyrektora komórki właściwej ds. bezpieczeństwa informacji, 4) raport z szacowania ryzyka zawierający analizę podatności lub zagrożeń, do których nie było odpowiedniego odniesienia w poprzednim szacowaniu ryzyka, 5) status działań korygujących i zapobiegawczych podjętych w wyniku poprzednich przeglądów, 6) wyniki pomiarów skuteczności systemu zarządzania bezpieczeństwem informacji, 7) wnioski płynące z incydentów związanych z bezpieczeństwem informacji, 8) jakiekolwiek zmiany, które mogłyby dotyczyć systemu zarządzania bezpieczeństwem informacji dotyczące np. uwarunkowań organizacyjnych, technicznych, prawnych i kontraktowych Agencji, 9) zalecenia dotyczące doskonalenia systemu zarządzania bezpieczeństwem informacji. 5. Wynikiem przeglądu są decyzje Komitetu o podjęciu działań związanych z ciągłym doskonaleniem skuteczności przyjętego w Agencji systemu zarządzania bezpieczeństwem informacji, a w szczególności z: 1) uaktualnieniem planu szacowania ryzyka i postępowania z ryzykiem, 2) modyfikacją dokumentów dotyczących polityki bezpieczeństwa informacji oraz systemu zarządzania bezpieczeństwem informacji, jeśli to konieczne, w celu reakcji na wewnętrzne lub zewnętrzne zdarzenia, które mogą mieć konsekwencje dla systemu zarządzania bezpieczeństwem informacji, w tym zmiany: a) wymagań ustawowych lub statutowych, b) wymagań bezpieczeństwa wynikających np. z zaistniałych incydentów związanych z bezpieczeństwem informacji, c) techniczne i organizacyjne w Agencji, d) przepisów wewnętrznych i wymagań nadzoru, e) zobowiązań wynikających z umów, f) poziomów ryzyka i/lub kryteriów akceptacji ryzyka, 3) dostosowaniem wymagań bezpieczeństwa w odniesieniu do zasobów wchodzących w zakres systemu zarządzania bezpieczeństwem informacji do zmieniających się potrzeb Agencji, 4) udoskonaleniem metod pomiaru skuteczności zabezpieczeń. 36

37 9. Przegląd ewidencji osób upoważnionych do przetwarzania danych osobowych 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji dokonuje przeglądu ewidencji osób upoważnionych do przetwarzania danych osobowych w ramach ogólnego przeglądu realizowanego przez kierownictwo. 2. Przegląd polega na sprawdzeniu poprawności prowadzenia oraz kompletności ewidencji. 3. Przegląd dokonywany jest w oparciu o: ewidencje osób upoważnionych do przetwarzania danych osobowych przekazane przez Właścicieli Zasobów lub kierowników jednostek organizacyjnych, wykaz użytkowników przetwarzających dane osobowe, wymagania bezpieczeństwa przypisane do danego stanowiska pracy. 4. Wykaz wskazany w ust. 3 pkt 2) jest sporządzany na wniosek dyrektora komórki właściwej ds. bezpieczeństwa informacji lub Komitetu przez: 1) Administratora Systemu - w przypadku, gdy dane osobowe przetwarzane są w systemie teleinformatycznym, 2) Właściciela Zasobu - w przypadku, gdy dane osobowe przetwarzane są w formie papierowej. 10. Przegląd wymagań bezpieczeństwa przy zawieraniu umów z podmiotami zewnętrznymi 1. Na etapie opracowywania projektów umów, projektów SIWZ, negocjacji umowy z podmiotem zewnętrznym, Właściciel Zasobów lub, w razie potrzeb, inny kierownik komórki organizacyjnej dokonuje identyfikacji wymagań bezpieczeństwa w odniesieniu do systemów informacyjnych Agencji i przedstawia je do akceptacji dyrektora komórki właściwej ds. bezpieczeństwa informacji. 2. Wymagania bezpieczeństwa odnoszą się do następujących obszarów: 1) ochrony zasobów, włączając w to: a) ograniczenia kopiowania i ujawniania informacji oraz korzystania z umów o zachowaniu poufności, b) wszelkie wymagane zabezpieczenia i mechanizmy ochrony fizycznej, c) zabezpieczenia chroniące przed złośliwym oprogramowaniem, d) zabezpieczenia zapewniające zwrot lub niszczenie zasobów w chwili zakończenia umowy lub w innym uzgodnionym w umowie czasie, e) poufność, integralność, dostępność oraz wszystkie inne odpowiednie właściwości zasobów, f) aktualną dokumentację listy zasobów, 2) opisu dostarczanego produktu lub usługi, 3) polityki kontroli dostępu, w tym: a) dozwolonych metod dostępu oraz kontroli i używania unikalnych identyfikatorów, 37

38 b) procesu autoryzacji praw dostępu i przywilejów dla użytkownika, c) wymaganie prowadzenia listy osób uprawnionych do korzystania z udostępnianych usług wraz z ich prawami i przywilejami w odniesieniu do każdej z nich, d) stwierdzenie, że jeśli jakikolwiek dostęp nie został jawnie przyznany, to jest zabroniony, e) procesu zmiany i odbierania praw dostępu lub przerywania połączeń między systemami, 4) ustaleń dotyczących raportowania, zawiadamiania i śledzenia incydentów związanych z bezpieczeństwem informacji, 5) docelowego poziomu usług i nie akceptowalnego poziomu usług, 6) prawa do monitorowania i blokowania wszelkich działań związanych z zasobami Agencji, 7) odpowiedzialności wynikającej z przepisów prawa oraz sposobów zapewniania, że wymagania prawne są spełniane, 8) odpowiedzialności finansowej, 9) prawa do własności intelektualnej i praw autorskich, 10) szkolenia dla pracowników podmiotu zewnętrznego, 11) określonej struktury raportowania oraz uzgodnionych formularzy raportów, 12) określonego procesu zarządzania zmianami, instalowania oraz utrzymywania oprogramowania i sprzętu, 13) zdefiniowania weryfikowalnych kryteriów wydajności, ich monitorowania i raportowania, 14) prawa do przeprowadzenia audytów odpowiedzialności określonych w umowie, zlecania tych czynności stronie trzeciej, określenia zakresu audytów, 15) ustanowienia procesu eskalacji w celu rozwiązywania problemów, 16) wymagań dla ciągłości usług, w tym pomiaru ich dostępności i niezawodności, 17) zabezpieczeń, jakie podmioty zewnętrzne mają wdrożyć we własnych organizacjach, 18) warunków renegocjacji lub zakończenia umowy, w tym: a) planu ciągłości działania na wypadek, gdy któraś ze stron będzie chciała zakończyć umowę, b) renegocjacji umowy ze względu na zmianę wymagań bezpieczeństwa w Agencji. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji dokonuje identyfikacji i szacowania ryzyk związanych z dostępem logicznym i fizycznym do zasobów Agencji i przedstawia rekomendacje dotyczące zawarcia odpowiednich zapisów w umowie, określających zakres ochrony zasobów Agencji. 4. W zależności od charakteru dostępu do zasobów Agencji podmiotu zewnętrznego podczas szacowania ryzyka rozważane są kwestie obejmujące: 38

39 1) środki przetwarzania informacji, do których ma być zrealizowany dostęp, sposób dostępu (logiczny, fizyczny, wewnątrz Agencji, poza Agencją) oraz rodzaj zabezpieczeń niezbędnych do ochrony środków przetwarzania informacji, 2) wrażliwość udostępnianych informacji oraz stopień i rodzaj zabezpieczeń niezbędnych do ochrony informacji wdrażanych zarówno po stronie Agencji jak podmiotu zewnętrznego, 3) wymagania wobec pracowników podmiotu zewnętrznego zaangażowanych w realizację umowy z Agencją, 4) utrzymanie ciągłości działania, 5) zapewnienie poprawnego przetwarzania oraz kontroli zmian, 6) zasady i procedury obsługi incydentów związanych z bezpieczeństwem informacji, 7) współpracę kilku podmiotów zewnętrznych w celu realizacji złożonych procesów, 8) charakter podmiotu zewnętrznego (strona druga lub trzecia). 5. W zależności od wyników szacowania ryzyka dyrektor komórki właściwej ds. bezpieczeństwa informacji akceptuje lub wskazuje zakres uzupełnienia wymagań bezpieczeństwa w umowie z podmiotem zewnętrznym. 39

40 Załącznik nr 5 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN UŻYKOWNIKA 40

41 Spis treści: 1. Definicje Szkolenia dla użytkowników systemów teleinformatycznych Używanie autoryzowanych środków do przetwarzania informacji Wynoszenie mienia i korzystanie z urządzeń przenośnych Korzystanie z systemów teleinformatycznych Agencji oraz Internetu Korzystanie z poczty elektronicznej i innych elektronicznych systemów komunikacyjnych Ochrona haseł i kluczy kryptograficznych Zgodność oprogramowania z prawami autorskimi Korzystanie z urządzeń komunikacji głosowej, faksowej i wizyjnej Zasady czystego biurka i czystego ekranu Zgłaszanie zdarzeń o naruszeniu bezpieczeństwa, niewłaściwym funkcjonowaniu oprogramowania lub słabości systemu teleinformatycznego Postępowanie dyscyplinarne w przypadku naruszenia bezpieczeństwa

42 1. Definicje Użyte w regulaminie określenia oznaczają: 1) dane uwierzytelniające informacje wprowadzane do systemu, potwierdzające tożsamość użytkownika (np. hasła dostępu, kody zawarte w sprzętowych tokenach kryptograficznych); 2) hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie teleinformatycznym; 3) konto część systemu teleinformatycznego (dane, oprogramowanie, zasoby sieciowe), które są powiązane z identyfikatorem użytkownika; 4) spam niepożądaną przesyłkę poczty elektronicznej kierowaną do niezdefiniowanego adresata; 5) uwierzytelnianie - działanie, którego celem jest weryfikacja deklarowanej tożsamości osoby/podmiotu. 2. Szkolenia dla użytkowników systemów teleinformatycznych 1. Szkolenia użytkowników systemów teleinformatycznych mają na celu uzyskanie przez nich optymalnego poziomu wiedzy i umiejętności, które pozwolą właściwie użytkować i chronić systemy teleinformatyczne. 2. Warunkiem uzyskania podstawowego dostępu do systemu teleinformatycznego Agencji (konto domenowe i konto pocztowe) przez pracownika jest odbycie szkolenia wstępnego przeprowadzanego przez bezpośredniego przełożonego potwierdzone podpisem pracownika na wniosku o przyznanie dostępu, którego wzór zawarto w Książce Procedur KP ARiMR Obsługa kont użytkowników systemów informatycznych ARiMR. 3. Warunkiem uzyskania dostępu do zaawansowanych funkcjonalności systemów teleinformatycznych Agencji jest odbycie szkoleń i zdanie egzaminów zgodnych z wymaganiami stawianymi przez Właścicieli Zasobów teleinformatycznych. 4. Szkolenia i egzaminy sprawdzające powinny być okresowo powtarzane (częstotliwość takich szkoleń określają Właściciele Zasobów teleinformatycznych) ze szczególnym uwzględnieniem: 1) zmian dokonywanych w systemach teleinformatycznych, mających wpływ na sposób korzystania z tych systemów przez użytkowników, 2) zmian przepisów prawa oraz uregulowań wewnętrznych, 3) wystąpienia przypadków naruszenia bezpieczeństwa, słabości systemu lub zidentyfikowanych błędów systemów teleinformatycznych. 5. Okresowo (nie rzadziej niż raz na rok) przeprowadza się szkolenia doskonalące z zakresu bezpieczeństwa informacji. Szkolenia te obejmują zagadnienia ujęte w niniejszym Regulaminie, a w szczególności dotyczą: 42

43 1) zapoznania z obowiązującymi regulacjami prawnymi dotyczącymi ochrony informacji, w tym z obowiązującą w Agencji polityką bezpieczeństwa informacji oraz polityką systemu zarządzania bezpieczeństwem informacji, 2) przygotowania użytkowników do właściwego korzystania z powierzonych zasobów (instrukcje użytkowania sprzętu, systemów operacyjnych, aplikacji, itp.), 3) sposobu postępowania w przypadku zdarzenia związanego z naruszeniem bezpieczeństwa informacji, 4) sposobów postępowania w sytuacjach awaryjnych i kryzysowych. 6. Szkolenia doskonalące w zakresie obowiązujących w Agencji regulaminów związanych z bezpieczeństwem informacji mogą być przeprowadzane w zależności od zakresu obowiązków danego użytkownika przez: 1) Administratora Systemu, 2) Inspektora /Administratora Bezpieczeństwa Informacji, 3) Administratora Bezpieczeństwa Fizycznego, 4) Właściciela Zasobu, 5) bezpośredniego przełożonego. 7. Szkolenia doskonalące powinny kończyć się testem sprawdzającym zrozumienie przekazanych informacji adekwatnym do poziomu i zakresu prowadzonego szkolenia. 8. Uczestnictwo w szkoleniu każdy użytkownik potwierdza podpisem na liście obecności, z wyjątkiem szkoleń, które odbywają się w formie e-learning. 9. Szkolenia i egzaminy związane z użytkowaniem systemów teleinformatycznych są odnotowywane w Systemie e-szkoleń ARiMR. 3. Używanie autoryzowanych środków do przetwarzania informacji 1. Środki do przetwarzania informacji wykorzystywane w Agencji są przeznaczone wyłącznie do wykonywania zadań służbowych. 2. Każdy środek do przetwarzania informacji podlega inwentaryzacji i autoryzacji (dopuszczenie do pracy w systemie teleinformatycznym Agencji) zgodnie z zasadami określonymi w odrębnych dokumentach Agencji 3. Wykorzystywanie środków do przetwarzania informacji, będących własnością Agencji, w celach niezwiązanych z powierzonymi obowiązkami wymaga uzgodnienia z bezpośrednim przełożonym i, jeżeli zachodzi taka potrzeba wynikająca z zakresu ewentualnego wykorzystania urządzeń, z Administratorem Systemu. 4. Zabrania się podłączania do sieci teleinformatycznej jakichkolwiek urządzeń nie posiadających autoryzacji. 5. Użytkownicy mogą korzystać ze stacji roboczych wyłącznie na stanowiskach im przydzielonych. Korzystanie z innego stanowiska komputerowego dopuszczalne jest jedynie za zgodą i na polecenie bezpośredniego przełożonego lub w przypadkach opisanych w Planach Zachowania Ciągłości Działania Agencji. 6. Użytkownik ponosi odpowiedzialność za powierzony sprzęt i oprogramowanie oraz sposób jego eksploatacji. 43

44 7. W przypadku korzystania ze stacji roboczej przez kilku użytkowników, kierownik komórki bądź jednostki organizacyjnej wyznacza osobę odpowiedzialną za sprzęt, określając jednocześnie uprawnienia i obowiązki wszystkich współużytkowników tego sprzętu. 8. Użytkowników obowiązuje zakaz testowania lub podejmowania prób poznania metod zabezpieczenia systemów teleinformatycznych. 9. Użytkownicy nie mogą samodzielnie dokonywać jakiejkolwiek zmiany konfiguracji systemu teleinformatycznego. 10. Nośniki uszkodzone, wycofywane z eksploatacji lub przekazywane do ponownego użycia użytkownik przekazuje Administratorowi Systemu odpowiedzialnemu za przeprowadzenie zniszczenia lub trwałego skasowania danych, korzystając z następujących procedur: 1) programowego kasowania danych na dyskach twardych zamieszczonej w Książce Procedur KP ARiMR, 2) niszczenia zawartości komputerowych nośników magnetycznych zamieszczonej w Książce Procedur KP ARiMR, 3) niszczenia nośników optycznych zamieszczonej w Książce Procedur KP ARiMR. 11. Postanowienia ust. 10 nie ograniczają ani nie wykluczają stosowania obowiązujących w Agencji zasad dotyczących gospodarowania środkami trwałymi oraz wyposażeniem. 4. Wynoszenie mienia i korzystanie z urządzeń przenośnych 1. Komputery przenośne podlegają szczególnej ochronie polegającej na zabezpieczaniu dostępu do komputera hasłem (hasło na BIOS). Ich używanie poza strefą administracyjną musi mieć uzasadnienie w realizowanych przez użytkownika zadaniach. 2. Wynoszenie sprzętu komputerowego poza Agencję, w tym sposób programowego zabezpieczenia komputerów przenośnych, reguluje procedura wydawania zezwoleń na wynoszenie sprzętu komputerowego z ARiMR zawarta w Książce Procedur KP ARiMR. 3. Na użytkowniku urządzenia przenośnego spoczywa obowiązek jego ochrony, w szczególności zabrania się pozostawiania bez opieki tego typu urządzenia w samochodach, przedziałach wagonów oraz innych miejscach, gdzie użytkownik nie ma możliwości sprawowania nad nimi skutecznego nadzoru. 4. Wszelkie informacje wrażliwe nie mogą być przechowywane w urządzeniach przenośnych, które pracują poza Agencją, jeśli pozostają w postaci niezaszyfrowanej. 5. Każdy użytkownik, któremu powierzono urządzenie przenośne, przed rozpoczęciem użytkowania go poza strefą administracyjną Agencji, obowiązany jest do wystąpienia do Administratora Systemu z wnioskiem o zapewnienie środków techniczno-organizacyjnych gwarantujących poufność i integralność przetwarzanych informacji. Do środków tych zalicza się zabezpieczenia kryptograficzne oraz ochronę antywirusową. 6. W przypadku utraty powierzonego urządzenia przenośnego używanego poza Agencją użytkownik niezwłocznie powiadamia o tym fakcie HelpDesk oraz bezpośredniego 44

45 przełożonego, a w przypadku kradzieży niezwłocznie zgłasza ten fakt na policję. Ponadto o kradzieży informuje osobę wydającą zgodę na wyniesienie sprzętu. 5. Korzystanie z systemów teleinformatycznych Agencji oraz Internetu 1. Przydzielanie uprawnień do korzystania z systemów teleinformatycznych realizowane jest w oparciu o następujące zasady: 1) minimalnych przywilejów każdy pracownik posiada prawa dostępu do zasobów ograniczone wyłącznie do tych, które są niezbędne do wykonywania powierzonych mu obowiązków, 2) wiedzy koniecznej pracownicy posiadają wiedzę o zasobach ograniczoną wyłącznie do zagadnień, które są niezbędne do realizacji powierzonych im zadań, 3) domniemanej odmowy wszystkie działania, które nie są jawnie dozwolone są zabronione. 2. Każdy użytkownik otrzymuje prawa dostępu wyłącznie w zakresie niezbędnym do realizowania powierzonych zadań na danym stanowisku pracy. 3. Prawa dostępu są przydzielone po nadaniu użytkownikowi identyfikatora i hasła dostępu lub innych danych uwierzytelniających użytkownika. 4. Każdy użytkownik ma w systemie unikalny identyfikator. 5. Przed uzyskaniem dostępu do systemów teleinformatycznych Agencji użytkownik jest informowany przez bezpośredniego przełożonego o zakresie przyznawanych mu uprawnień. 6. Użytkownik ponosi odpowiedzialność za wszelkie czynności wykonane z użyciem jego identyfikatora i hasła. 7. Jeżeli w trakcie korzystania z zasobów systemu teleinformatycznego użytkownik stwierdzi, że posiadane uprawnienia wykraczają poza przyznane, zobowiązany jest niezwłocznie zgłosić ten fakt do HelpDesku. Nie dokonanie zgłoszenia tego faktu może zostać potraktowane jako celowe i świadome naruszenie praw dostępu. 8. Po stwierdzeniu posiadania większych uprawnień zabronione jest ich testowanie i wykorzystywanie. 9. W przypadku dłuższej nieobecności na stanowisku pracy użytkownik obowiązany jest zakończyć aktywne sesje i wylogować się lub uruchomić wygaszacz ekranu z opcją ponownego logowania do systemu (zablokować stację). 10. Na użytkowniku spoczywa obowiązek zabezpieczenia opracowywanych bądź tworzonych przez siebie danych przed utratą. Również wszelkie dane źródłowe, na których użytkownik wykonuje operacje, winny być zabezpieczone przed utratą i nieautoryzowanym użyciem bądź modyfikacją. 11. Użytkownik ma następujące możliwości zabezpieczenia danych (plików) przed utratą: 1) umieszczenie danych na serwerze plików (fileserver) jest to zalecana forma zabezpieczenia danych, 2) sporządzenie kopii zapasowej na wymiennym nośniku komputerowym, 3) sporządzenie wydruków z wyniku pracy nad przetwarzanymi danymi. 45

46 12. Niedopuszczalne jest umieszczanie na serwerze plików danych niezwiązanych z wykonywanymi obowiązkami służbowymi. 13. W przypadku potrzeby zabezpieczenia plików o dużych rozmiarach należy skorzystać z procedury nagrywania danych na nośnikach optycznych zawartej w Książce Procedur KP ARiMR - Postępowanie z optycznymi nośnikami danych. 14. Zabronione jest: 1) umożliwianie dostępu do systemów teleinformatycznych osobom nieupoważnionym, 2) rejestrowanie się w systemie teleinformatycznym na identyfikatorze innego użytkownika, 3) korzystanie z konta innego użytkownika, chyba że część lub całość zasobów związanych z tym kontem są udostępniane zgodnie z zasadami obowiązującymi w Agencji, 4) przenoszenie informacji uzyskanych w związku z wykonywanymi zadaniami służbowymi na prywatne nośniki informacji, w szczególności pamięci typu pendrive i inne pamięci zewnętrzne, 5) dokonywanie prób sprawdzania, testowania i omijania zabezpieczeń systemów teleinformatycznych wewnętrznych jak również zewnętrznych, nie należących do Agencji, 6) udzielanie informacji o zasadach ochrony systemów teleinformatycznych Agencji, w tym o identyfikatorach używanych w tych systemach, 7) samowolne modyfikowanie ustawień związanych z bezpieczeństwem w systemach teleinformatycznych, 8) świadome niszczenie danych mających znaczenie archiwalne gromadzonych w systemach teleinformatycznych, 9) świadome wprowadzanie błędnych danych do systemów teleinformatycznych, 10) udostępnianie danych osobom nieupoważnionym, 11) włączanie urządzeń elektrycznych do wydzielonej instalacji elektrycznej przeznaczonej dla systemów teleinformatycznych, 12) przeglądanie stron internetowych o treściach pornograficznych, erotycznych, rasistowskich, użytkowanych przez grupy przestępcze i terrorystyczne, 13) pobieranie z Internetu, kopiowanie, instalowanie, przechowywanie lub rozpowszechnianie nieautoryzowanego oprogramowania i danych, 14) korzystanie z list i forów dyskusyjnych, gier internetowych oraz innych usług, nie mających związku z wykonywaną pracą. 6. Korzystanie z poczty elektronicznej i innych elektronicznych systemów komunikacyjnych 1. Wszyscy pracownicy Agencji mają dostęp do wewnętrznej poczty elektronicznej. 2. Agencyjna poczta elektroniczna służy wyłącznie do celów służbowych. Korespondencja realizowana drogą elektroniczną z wykorzystaniem systemów teleinformatycznych Agencji podlega rejestrowaniu i może być monitorowana. Informacje przesyłane za pośrednictwem sieci Agencji (w tym do i z Internetu) nie stanowią własności prywatnej użytkownika. 3. Użytkownicy są świadomi, że wiadomości elektroniczne niezwiązane z działalnością Agencji, a zawierające słowa bądź temat uznane za niedozwolone, zgodnie z zasadami 46

47 filtrowania komunikacji niepożądanej obowiązującymi w Agencji, będą zatrzymywane i następnie usuwane z systemu pocztowego. 4. Jedynym sposobem korzystania z agencyjnej poczty elektronicznej poza siecią teleinformatyczną Agencji jest dostęp za pomocą przeglądarki internetowej poprzez adres: 5. Zalecanym formatem przesyłanych wiadomości jest zwykły tekst O ile nie jest to konieczne, nie należy tworzyć wiadomości w formacie HML. 6. Użytkownicy obowiązani są do okresowego porządkowania i usuwania wiadomości zbędnych z folderów programu pocztowego tak, aby nie dopuścić do jego zablokowania z powodu przekroczenia dopuszczalnej pojemności skrzynki. 7. Zabronione jest: 1) rozsyłanie z komputerów Agencji oraz przyznanych użytkownikom kont poczty wiadomości, których treść nie jest związana z wykonywaną pracą, 2) wysyłanie materiałów służbowych na konta prywatne (np. celem pracy nad dokumentami w domu), 3) wykorzystywanie systemu poczty elektronicznej do działań mogących zaszkodzić wizerunkowi Agencji, 4) odbieranie przesyłek z nieznanych źródeł, 5) otwieranie załączników z plikami samorozpakowującymi się bądź wykonalnymi typu exe, com, itp., 6) przesyłanie pocztą elektroniczną plików wykonywalnych typu: bat, com, exe, plików multimedialnych oraz plików graficznych, 7) ukrywanie lub dokonywanie zmian tożsamości nadawcy, 8) czytanie, usuwanie, kopiowanie lub zmiana zawartości skrzynek pocztowych innego użytkownika, 9) odpowiadanie na niezamówione wiadomości reklamowe lub wysyłane łańcuszki oraz na inne formy wymiany danych określanych spamem; w przypadku otrzymania takiej wiadomości należy przesłać ją Administratorowi systemu poczty elektronicznej na adres spam@arimr.gov.pl, 10) posługiwanie się adresem służbowym w celu rejestrowania się na stronach handlowych, informacyjnych, chat ach lub forach dyskusyjnych, które nie dotyczą zakresu wykonywanej pracy, 11) wykorzystywanie poczty elektronicznej do reklamy prywatnych towarów lub usług, działalności handlowo-usługowej innej niż wynikającej z potrzeb Agencji lub do poszukiwania dodatkowego zatrudnienia. 7. Ochrona haseł i kluczy kryptograficznych 1. Hasła użytkowników lub inne dane uwierzytelniające podlegają szczególnej ochronie. 2. Użytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego przechowywanie. 3. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu hasła, które jest związane z jego identyfikatorem. 4. Każdy użytkownik posiadający dostęp do systemów teleinformatycznych Agencji zobowiązany jest do: 47

48 1) zachowania w poufności wszystkich swoich haseł lub innych danych uwierzytelniających wykorzystanych do pracy w systemie teleinformatycznym Agencji, 2) niezwłocznej zmiany haseł w przypadkach zaistnienia podejrzenia lub rzeczywistego ujawnienia, 3) niezwłocznej zmiany hasła tymczasowego, przekazanego przez Administratora Systemu, 4) poinformowania Administratora Systemu oraz Inspektora Bezpieczeństwa Informacji o podejrzeniu lub rzeczywistym ujawnieniu hasła, 5) stosowania haseł o minimalnej długości 8 znaków, zawierających kombinację liter, cyfr i znaków specjalnych, 6) zmiany wykorzystywanych haseł w regularnych odstępach czasu. 5. Zabronione jest: 1) zapisywanie haseł w sposób jawny i umieszczania ich w miejscach dostępnych dla innych osób, 2) stosowanie haseł opartych na skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących danej osoby, np. imiona, numery telefonów, daty urodzenia itp., 3) używanie tych samych haseł w różnych systemach operacyjnych i aplikacjach, 4) udostępnianie haseł innym użytkownikom, 5) przeprowadzanie prób łamania haseł, 6) wpisywanie haseł na stałe (np. w skryptach logowania). 6. W zależności od funkcjonujących w Agencji systemów operacyjnych i aplikacji zasady określone w ust. 4 pkt 3, 5 i 6 oraz ust. 5 pkt 2 i 3 mogą być wymuszane ustawieniami systemu teleinformatycznego wprowadzanymi przez Administratora Systemu na podstawie zasad określonych w odrębnych dokumentach Agencji. 7. Każdy użytkownik korzystający z kluczy kryptograficznych jest zobowiązany do ich użytkowania i przechowywania w sposób uniemożliwiający utratę lub dostęp osób niepowołanych. 8. W przypadku podejrzenia lub rzeczywistego naruszenia bezpieczeństwa klucza fakt ten należy niezwłocznie zgłosić Administratorowi Systemu oraz Inspektorowi Bezpieczeństwa Informacji. 8. Zgodność oprogramowania z prawami autorskimi 1. Użytkownicy nie mogą instalować oraz uruchamiać żadnych aplikacji, które nie zostały wcześniej formalnie dopuszczone do użytkowania. 2. Użytkownikowi nie wolno: 1) uruchamiać jakiegokolwiek innego oprogramowania niż to, które zostało mu przydzielone na danej stacji roboczej, 2) pobierać z sieci, kopiować, przechowywać lub rozprowadzać oprogramowania, utworów muzycznych i wideo oraz innych plików, których używanie może powodować naruszenie praw do własności intelektualnej, 3) kopiować i rozprowadzać bez upoważnienia oprogramowania stworzonego w Agencji lub na potrzeby Agencji, 48

49 4) samodzielnie usuwać oprogramowania, którego używa. 3. Każdy plik znajdujący się: 1) na wymiennym nośniku komputerowym, 2) otrzymany za pomocą poczty elektronicznej lub pobrany z Internetu, podlega sprawdzeniu za pomocą oprogramowania antywirusowego zainstalowanego na komputerze przypisanym do użytkownika. 4. W przypadku wykrycia jakichkolwiek plików lub oprogramowania innego niż to, które znajduje się w spisie, Administrator Systemu ma prawo do natychmiastowego ich skasowania bez uzgodnienia z użytkownikiem. 5. O przypadkach używania nieautoryzowanego oprogramowania Administrator Systemu informuje Inspektora Bezpieczeństwa Informacji. 6. Użytkownik ponosi finansowe i prawne konsekwencje posiadania nielegalnego oprogramowania w przypisanym mu komputerze, jeśli nie dopełnił obowiązków wskazanych w niniejszym Regulaminie. 9. Korzystanie z urządzeń komunikacji głosowej, faksowej i wizyjnej 1. Każdy użytkownik zobowiązany jest do przestrzegania zakazu prowadzenia rozmów, podczas których może dochodzić do wymiany informacji wrażliwych, jeśli rozmowy te odbywają się w miejscach publicznych, otwartych pomieszczeniach biurowych lub takich, które nie gwarantują zachowania poufności rozmów. 2. Odczytanie wiadomości z faksów, automatycznych sekretarek lub systemów poczty głosowej powinno być możliwe wyłącznie po wprowadzeniu indywidualnego hasła. W przypadku braku takiej możliwości urządzenia należy zabezpieczyć przed dostępem osób nieuprawnionych. 3. Zabronione jest wykorzystywanie domyślnych ( fabrycznych ) haseł dla ww. urządzeń. 4. Przekazywanie za pomocą urządzeń faksowych dokumentów zawierających informacje wrażliwe jest zabronione. 5. Drukarki nie mogą być pozostawione bez kontroli, jeśli są wykorzystywane (lub wkrótce będą) do drukowania dokumentów zawierających informacje wrażliwe. 10. Zasady czystego biurka i czystego ekranu 1. Palenie, jedzenie oraz picie na stanowiskach komputerowych oraz w pomieszczeniach, w których znajdują się środki przetwarzania informacji (pomieszczenia serwerowni i węzłów teletechnicznych) jest zabronione. 2. W celu ograniczenia ryzyka nieuprawnionego dostępu, utraty lub uszkodzenia informacji w czasie godzin pracy i poza nimi użytkownik jest zobowiązany: 1) przechowywać dokumenty papierowe i wymienne nośniki komputerowe w odpowiednio zabezpieczonych meblach biurowych, 2) nie pozostawiać komputerów bez nadzoru w stanie aktywnej sesji dostępu do sieci, 3) po zakończeniu pracy wylogować się z systemu i wyłączyć komputer, niedopuszczalne jest zakończenie pracy bez wykonania pełnej i poprawnej procedury zamknięcia lub przez wyłączenie napięcia zasilającego, 49

50 4) po zakończeniu pracy uporządkować swoje stanowisko pracy, uniemożliwiając dostęp osób nieupoważnionych do dokumentów (w szczególności zawierających dane osobowe), 5) przestrzegać zasady niepozostawiania otwartych i niezabezpieczonych drzwi i/lub okien podczas nieobecności w pomieszczeniu, 6) używać wygaszaczy ekranu zabezpieczonych hasłem, 7) zabezpieczać nieużywany w danym momencie komputer przed nieupoważnionym dostępem, włączając blokadę systemową; ponowny dostęp do komputera następuje po podaniu hasła, 8) ustawiać monitory komputerów w taki sposób, żeby uniemożliwić osobom nieupoważnionym wgląd w zawartość ekranu, 9) odpowiednio zabezpieczyć miejsca przyjmowania/wysyłania korespondencji papierowej oraz odbioru/wysyłania faksów, 10) właczać blokadę urządzeń kopiujących, zabezpieczając je w ten sposób przed nieuprawnionym użyciem, 11) zwracać uwagę i powodować usuwanie pozostawionych oryginałów lub kopii w pobliżu urządzeń kserograficznych, 12) zwracać szczególną uwagą na pracujące drukarki pozostawione bez nadzoru, 13) nie pozostawiać wymiennych nośników komputerowych w napędach, bądź ogólnie dostępnych miejscach, 14) niszczyć niepotrzebne nośniki papierowe w niszczarkach (za wyjątkiem nośników zawierających informacje wrażliwe, których sposób niszczenia regulują odrębne przepisy). 11. Zgłaszanie zdarzeń o naruszeniu bezpieczeństwa, niewłaściwym funkcjonowaniu oprogramowania lub słabości systemu teleinformatycznego 1. Przed przystąpieniem do pracy użytkownik obowiązany jest sprawdzić stację roboczą (komputer) i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie lub próbę naruszenia bezpieczeństwa informacji. 2. Do przypadków mogących świadczyć lub świadczących o naruszeniu bezpieczeństwa, niewłaściwym funkcjonowaniu oprogramowania lub słabości systemu teleinformatycznego zalicza się: 1) nieautoryzowany dostęp do danych, 2) naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach (np. wyłamane lub zacinające się zamki, naruszone plomby, nie domykające się bądź wybite okna, itp.), 3) utratę usługi, urządzenia lub funkcjonalności, 4) nieautoryzowaną modyfikację lub zniszczenie danych, 5) udostępnienie informacji wrażliwych osobom nieupoważnionym, 6) pozyskiwanie oprogramowania z nielegalnych źródeł, 7) pojawianie się nietypowych komunikatów na ekranie, 8) niemożność zalogowania się do systemu teleinformatycznego, 9) spowolnienie pracy oprogramowania, 10) niestabilna praca systemu teleinformatycznego, 11) brak reakcji systemu na działania użytkownika, 12) ponowny start lub zawieszanie się komputera, 50

51 13) ograniczenie funkcjonalności oprogramowania. 3. Za naruszenie zasad ochrony informacji wrażliwych uważa się w szczególności: 1) nieupoważniony dostęp, modyfikację, kopiowanie, udostępnienie lub zniszczenie/usunięcie informacji wrażliwych, zarówno w systemie teleinformatycznym, jak i na nośnikach papierowych i elektronicznych, 2) udostępnianie informacji wrażliwych nieuprawnionym podmiotom, 3) nieautoryzowany dostęp do danych przez połączenie sieciowe, 4) niedopełnienie obowiązku ochrony informacji wrażliwych przez umożliwienie dostępu do danych (np. pozostawienie kopii danych, nie zablokowanie dostępu do systemu, brak nadzoru nad serwisantami i innymi osobami nieuprawnionymi przebywającymi w pomieszczeniach, gdzie przetwarza się informacje wrażliwe), 5) stworzenie niezabezpieczonego kanału dystrybucji informacji wrażliwych, 6) nielegalne bądź nieświadome ujawnienie informacji wrażliwych, 7) pozyskiwanie informacji wrażliwych z nielegalnych źródeł, 8) przetwarzanie informacji wrażliwych niezgodne z uprawnionym celem i zakresem, 9) niepodjęcie działań zmierzających do eliminacji wirusów komputerowych lub innych programów zagrażających integralności systemu teleinformatycznego, 10) ujawnienie indywidualnych haseł dostępu do informacji wrażliwych w systemie, 11) przesyłanie informacji wrażliwych przez Internet bez zabezpieczenia, 12) przesyłanie dokumentów papierowych i nośników elektronicznych z informacjami wrażliwymi bez zabezpieczenia, 13) wykonanie nieuprawnionych kopii informacji wrażliwych, 14) kradzież nośników zawierających informacje wrażliwe lub oprogramowanie, 15) kradzież sprzętu służącego do przetwarzania informacji wrażliwych, 16) spowodowanie utraty informacji wrażliwych w systemie teleinformatycznym, na kopiach bezpieczeństwa i na innych nośnikach, 17) dopuszczenie do braku aktualnych kopii bezpieczeństwa informacji wrażliwych lub brak odpowiednich nośników do sporządzania kopii, 18) niewłaściwe niszczenie nośników z informacjami wrażliwymi pozwalające na ich odczyt, 19) naruszenie zasad ochrony fizycznej pomieszczeń, w których przetwarza się informacje wrażliwe, 20) dopuszczenie do przetwarzania informacji wrażliwych pracowników bez odpowiednich upoważnień, 21) nie przeszkolenie pracowników w zakresie zasad bezpieczeństwa informacji wrażliwych, 22) inne sytuacje wskazujące lub potwierdzające naruszenie bezpieczeństwa informacji wrażliwych w Agencji. 4. Wszelkie działania użytkownika związane z samodzielnym naprawianiem, potwierdzaniem lub testowaniem potencjalnych słabości systemu są zabronione. 5. Dokonywanie zmian w miejscu naruszenia ochrony bez wiedzy i zgody Administratora Systemu lub Inspektora Bezpieczeństwa Informacji lub Administratora Zabezpieczeń Fizycznych (w zależności od rodzaju naruszenia), jest dopuszczalne jedynie w sytuacji, gdy zachodzi konieczność ratowania życia lub zdrowia osób oraz mienia w przypadku ich bezpośredniego zagrożenia. 51

52 6. W przypadku zauważenia zdarzenia mogącego świadczyć lub świadczącego o naruszeniu bezpieczeństwa, niewłaściwym funkcjonowaniu oprogramowania, błędów lub awarii systemu użytkownik: 1) zabezpiecza dostęp do miejsca lub urządzenia w sposób umożliwiający odtworzenie okoliczności naruszenia bezpieczeństwa lub niewłaściwego funkcjonowania oprogramowania, 2) wstrzymuje pracę na stacji roboczej i odseparowuje komputer od sieci, 3) niezwłocznie informuje HelpDesk (w przypadku wystąpienia zdarzenia związanego z systemem teleinformatycznym) lub Administratora Bezpieczeństwa Fizycznego (w zakresie systemów bezpieczeństwa fizycznego i środowiskowego), 4) niezależnie od zapisów pkt 3) niezwłocznie informuje Inspektora Bezpieczeństwa Informacji w przypadku naruszenia zasad ochrony danych osobowych, 5) składa notatkę służbową swojemu bezpośredniemu przełożonemu w sposób zwyczajowo przyjęty w Agencji. 12. Postępowanie dyscyplinarne w przypadku naruszenia bezpieczeństwa 1. Nieprzestrzeganie zasad określonych w dokumentach określających politykę bezpieczeństwa informacji stosowanych na danym stanowisku pracy przez użytkownika stanowi naruszenie podstawowych obowiązków pracowniczych i podlega odpowiedzialności dyscyplinarnej określonej w Regulaminie pracy. 2. Każdy przypadek wskazany w ust. 1 jest analizowany przez Inspektora Bezpieczeństwa Informacji, który w porozumieniu z Administratorem Systemu, Administratorem Zabezpieczeń Fizycznych oraz bezpośrednim przełożonym użytkownika, dokonuje kwalifikacji naruszenia. W szczególności umyślne działanie może zostać zakwalifikowane jako ciężkie naruszenie obowiązków pracowniczych. 3. Każdy przypadek naruszenia bezpieczeństwa informacji zgłaszany jest niezwłocznie dyrektorowi komórki właściwej ds. bezpieczeństwa informacji i opisywany zgodnie z Regulaminem zarządzania incydentami. 52

53 Załącznik nr 6 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa Regulamin bezpieczeństwa fizycznego i środowiskowego 53

54 Spis treści: 1. Organizacja bezpieczeństwa fizycznego i środowiskowego Podstawowe zasady bezpieczeństwa fizycznego i środowiskowego Zapewnianie bezpieczeństwa fizycznego i środowiskowego Zarządzanie kluczami Zarządzanie uprawnieniami w systemie kontroli dostępu Pomieszczenia i zasoby chronione Bezpieczeństwo środowiskowe Wymagania dla systemów wspomagających Eksploatacja technicznych systemów zabezpieczeń oraz systemów wspomagających Eksploatacja zabezpieczeń mechanicznych Eksploatacja zabezpieczeń techniczno-budowlanych Eksploatacja systemów okablowania zasilającego i teleinformatycznego w zakresie konstrukcyjno-mechanicznym Eksploatacja elektronicznych systemów zabezpieczeń Systemy wspomagające oświetlenie Systemy transmisji sygnałów alarmowych do centrów monitoringu Rejestrowanie i przechowywanie informacji w elektronicznych systemach zabezpieczeń Prowadzenie dokumentacji związanej z technicznymi systemami zabezpieczeń Zarządzanie zapisami pochodzącymi z elektronicznych systemów zabezpieczeń Postanowienia przejściowe Załącznik nr 1 do Regulaminu Wzór rejestru wejścia/wyjścia do strefy bezpieczeństwa Załącznik nr 2 do Regulaminu - Wzór książki wydawania kluczy

55 1. Organizacja bezpieczeństwa fizycznego i środowiskowego 1. Działaniami w zakresie zapewniania bezpieczeństwa fizycznego i środowiskowego w Agencji bezpośrednio kierują: Administrator Zabezpieczeń Fizycznych w zakresie ochrony osób i mienia oraz administrator obiektu, w zakresie bezpieczeństwa środowiskowego, a w szczególności prawa budowlanego i ochrony przeciwpożarowej. 2. Administrator Zabezpieczeń Fizycznych sprawuje nadzór funkcjonalny nad działaniami realizowanymi przez agencje ochrony zabezpieczające obiekty Agencji. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji lub Administrator Zabezpieczeń Fizycznych przynajmniej raz w roku organizuje szkolenie pracowników w zakresie ochrony osób i mienia Agencji. 2. Podstawowe zasady bezpieczeństwa fizycznego i środowiskowego 1. Środki bezpieczeństwa fizycznego dotyczą: 1) rozmieszczenia i granic stref bezpieczeństwa, 2) konstrukcji budowlanych wyznaczających granice stref bezpieczeństwa, 3) sposobu zabezpieczenia wejścia do obiektu oraz do stref bezpieczeństwa, 4) stosowania bezpośredniej ochrony fizycznej, 5) stosowania systemu sygnalizacji napadu i włamania, 6) stosowania systemu monitoringu wizyjnego, 7) stosowania mechanicznych zabezpieczeń technicznych, 8) dostępu do obszarów bezpiecznych oraz wykonywanie prac w obszarach bezpiecznych. 2. Bezpieczeństwo środowiskowe obejmuje: 1) stosowanie urządzeń ochrony przeciwpożarowej, 2) zabezpieczenie przed zalaniem wodą, 3) zapewnienie właściwych warunków pracy w zakresie temperatury i wilgotności powietrza, 4) stosowanie środków ochrony odgromowej na liniach telekomunikacyjnych, 5) stosowanie zabezpieczeń przeciwprzepięciowych. 3. Zakres stosowania środków bezpieczeństwa fizycznego i środowiskowego wynika z przeprowadzonego i udokumentowanego szacowania ryzyka. 4. Szacowanie ryzyka i określanie wymagań bezpieczeństwa przeprowadza się w oparciu o: 1) charakterystykę obiektu i pełnione przez niego funkcje, 2) określenie kategorii potencjalnych zagrożeń obiektu, 3) opis topografii, konstrukcji obiektu i architektury, najbliższego otoczenia (zabezpieczenia budowlane i mechaniczne, ogrodzenie, bramy, furty, oświetlenie, miejsca do parkowania, drogi komunikacyjne i ewakuacyjne, inne budowle i elementy towarzyszące), 55

56 4) odnotowane w przeszłości czyny przestępcze (rodzaj i typ czynu przestępczego, działania zewnętrzne, wewnętrzne, data, rozmiary, wartość szkody, wynik śledztwa), 5) aktualny stan bezpieczeństwa obiektu, 6) opis i ocenę funkcjonalności i poprawności zainstalowanych technicznych systemów zabezpieczenia, ich poprawności eksploatacji i aktualny stan techniczny (poziom technologiczny, sprawność, dokumentacja, serwisowanie), 7) aktualny stan ochrony fizycznej obiektu, 8) opis stosowanych procedur i rozwiązań organizacyjnych, 9) wnioski co do odpowiedniości (w stosunku do rodzaju i stopnia zagrożeń) kompletności i poprawności zastosowanych zabezpieczeń (mechanicznych, technicznych i proceduralno organizacyjnych), 10) propozycje doskonalenia systemów oraz procedur ochrony obiektu. 3. Zapewnianie bezpieczeństwa fizycznego i środowiskowego 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji, dyrektorzy oddziałów regionalnych, kierownicy biur powiatowych ustalają podział powierzchni biurowych zajmowanych przez komórki i jednostki organizacyjne Agencji na: 1) strefy administracyjne, do których dostęp posiadają wszyscy pracownicy Agencji, 2) strefy bezpieczeństwa, do których dostęp jest ograniczony do osób posiadających specjalne prawa dostępu. 2. Ochrona stref administracyjnych i stref bezpieczeństwa sprawowana jest na zasadach określonych w: 1) przepisach o ochronie osób i mienia, 2) planie ochrony obiektu, 3) niniejszym Regulaminie. 3. Na granicy strefy administracyjnej odbywa się kontrola ruchu osobowego i materiałowego. 4. Strefa bezpieczeństwa może być ustalona wyłącznie na obszarze wydzielonym solidnymi konstrukcjami budowlanymi i posiadającym wejście ze strefy administracyjnej. Za solidne konstrukcje budowlane uznaje się takie, których ściany zewnętrzne i stropy budynków, w których zlokalizowane są strefy bezpieczeństwa, posiadają klasę odporności włamaniowej równoważnej murowi wykonanemu z pełnej cegły (25 cm). Natomiast pomieszczenia stref bezpieczeństwa powinny mieć ściany o odporności włamaniowej równoważnej murowi wykonanemu na pół cegły (12,5 cm). Zasady organizacji strefy bezpieczeństwa kancelarii tajnej określają odrębne przepisy. 5. Wszystkie osoby przebywające w strefie administracyjnej muszą posiadać identyfikatory noszone w widocznym miejscu. Pracownicy Agencji posiadają identyfikatory zawierające: zdjęcie, imię i nazwisko, symbol jednostki organizacyjnej. Goście posiadają identyfikatory z napisem Gość i numerem identyfikatora. 6. W jednostkach organizacyjnych, w których odbywa się masowa obsługa interesantów dopuszcza się wydzielenie z części strefy administracyjnej strefy obsługi klienta, w której goście interesanci mogą przebywać bez identyfikatorów. Strefa obsługi klienta musi 56

57 być oddzielona od pozostałych części strefy administracyjnej kontrolowanymi przejściami. 7. W przypadku stosowania systemu kontroli dostępu musi być to system z klasą dostępu B. Dla stref administracyjnych i bezpieczeństwa wymagana jest klasa rozpoznania 2 na wejściu i klasa rozpoznania 0 na wyjściu. 8. Klasa dostępu B oznacza, że w systemie możliwe jest przyznawanie dostępu w określonych godzinach oraz, że transakcje uzyskania dostępu są rejestrowane. Klasa rozpoznania 0 oznacza, że dostęp uzyskiwany jest bez sprawdzania tożsamości (np. wyjście po naciśnięciu przycisku). Klasa rozpoznania 2 oznacza, że dostęp uzyskiwany jest po sprawdzeniu tożsamości na podstawie danych zawartych na identyfikatorze lub na podstawie danych biometrycznych. (Według Polskiej Normy PN- EN Systemy alarmowe. Systemy kontroli dostępu. Wymagania systemowe ). 9. Wszystkie drzwi z kontrolą dostępu muszą być zaopatrzone w urządzenia samozamykające. 10. Kontrolę ruchu osobowego i materiałowego na granicy strefy administracyjnej może sprawować pracownik ze strefy obsługi klienta lub stanowiska recepcyjnego, który wydaje identyfikatory gościom oraz jest zobowiązany do dopilnowania ich zwrotu. 11. Pomieszczenia biurowe w strefie administracyjnej, w których znajdują się terminale systemu teleinformatycznego powinny posiadać zamki klasy A. Pozostałe pomieszczenia strefy administracyjnej mogą posiadać zamki klasy 0. Pomieszczenia w strefach bezpieczeństwa powinny posiadać zamki klasy C (Według Polskiej Normy PN-EN 12209:2005 Okucia budowlane. Zamki. Zamki mechaniczne wraz z zaczepami. Wymagania i metody badań. ). 12. Wejście oraz wyjście ze stref bezpieczeństwa jest rejestrowane. Rejestruje się tożsamość osób, cel pobytu oraz czas ich wejścia i wyjścia. Wzór rejestru stanowi załącznik nr 1 do niniejszego regulaminu. 4. Zarządzanie kluczami 1. Klucze od pomieszczeń przechowywane są u ochrony obiektu, z tym, że klucze do pomieszczeń w strefach bezpieczeństwa muszą być zdawane na przechowanie w zaplombowanych pojemnikach. 2. Jeżeli obiekt nie posiada stałej ochrony po godzinach pracy, to klucze muszą być zdawane przez wyznaczonych pracowników Agencji w zaplombowanej kasecie pracownikowi firmy realizującej ochronę obiektu na zasadzie monitoringu, a następnego dnia roboczego pobierane z tej firmy. Przyjęcie kluczy przez pracownika firmy sprawującej monitoring jest równoznaczne z przyjęciem obiektu pod ochronę. Szczegółowe zasady takiej procedury określa umowa pomiędzy Agencją a firmą sprawującą ochronę. W przypadku braku możliwości obecności pracownika firmy monitorującej zabezpieczenia, klucze muszą być zdawane wyznaczonemu pracownikowi Agencji w celu zabezpieczenia ich w zaplombowanej kasetce, a następnego dnia roboczego pracownik ten zobowiązany jest wydać klucze upoważnionym pracownikom. Dopuszcza się, w mniejszych jednostkach organizacyjnych Agencji, trwałe wydanie kluczy zewnętrznych do obiektu osobom funkcyjnym posiadającym indywidualny kod dostępu do SSWiN, w takim przypadku jeden z kluczy musi być zdeponowany w jednostce monitorującej obiekt, klucze wewnętrzne 57

58 mogą być przechowywane w skrytce wewnątrz obiektu, osoba otwierająca obiekt odpowiedzialna jest za wydanie kluczy, osoba zamykająca obiekt odpowiedzialna jest za przyjęcie do skrytki wszystkich kluczy wewnętrznych. 3. Klucze wydaje się na podstawie rejestru osób upoważnionych do pobierania kluczy, po sprawdzeniu tożsamości osoby pobierającej klucz. Fakt wydania kluczy i przyjęcia ich na przechowanie musi być odnotowany w książce wydawania kluczy, której wzór określa załącznik nr 2 do niniejszego regulaminu. 4. Za przyznanie i odebranie prawa do pobierania kluczy do konkretnego pomieszczenia odpowiedzialny jest w Centrali dyrektor komórki organizacyjnej, któremu podlega dane pomieszczenie, a w jednostkach terenowych kierownicy biur w stosunku do pomieszczeń zajmowanych przez pracowników biura lub kierownik biura oddziału regionalnego w stosunku do pozostałych pomieszczeń. 5. Za organizację wydawania kluczy odpowiada administrator obiektu lub Administrator Zabezpieczeń Fizycznych. Organizacja wydawania kluczy musi być uzgodniona z: 1) w Centrali Agencji - dyrektorem komórki właściwej ds. bezpieczeństwa informacji, 2) w oddziale regionalnym - Samodzielnym stanowiskiem pracy ds. bezpieczeństwa. 5. Zarządzanie uprawnieniami w systemie kontroli dostępu 1. W przypadku zastosowania systemu kontroli dostępu uprawnienia są jednoznacznie powiązane z urządzeniami aktywującymi przejście, które pełnią także role identyfikatorów. 2. Wstęp do poszczególnych stref, o których mowa w 3 ust.1 jest ograniczony tylko do tych osób, które uzyskały stosowne uprawnienia. 3. Uprawnienia przyznawane są zgodne z profilem dostępu (zakresem odpowiedzialności i uprawnień) na danym stanowisku pracy. Uprawnienia dostępu są nadawane wyłącznie w zakresie wynikającym z zajmowanego stanowiska i potrzebą wykonywania obowiązków służbowych na danym stanowisku pracy. Bezzasadne nadawanie uprawnień do pomieszczeń będzie kwalifikowane jako incydent związany z naruszeniem bezpieczeństwem informacji. 4. Za przyznawanie, zmianę oraz cofanie uprawnień dostępu do stref bezpieczeństwa odpowiedzialny jest: 1) w Centrali Agencji - dyrektor komórki organizacyjnej, któremu podlega dane pomieszczenie, 2) w jednostkach terenowych - kierownik biura powiatowego w stosunku do pomieszczeń tego biura lub kierownik biura oddziału regionalnego w stosunku do pomieszczeń oddziału regionalnego. 5. Przyznawanie, zmiana oraz cofanie uprawnień jest realizowane w systemie kontroli dostępu przez Administratora Zabezpieczeń Fizycznych. 6. Administrator Zabezpieczeń Fizycznych jest obowiązany bezzwłocznie zablokować uprawnienia dostępu w przypadku: 1) zgłoszenia przez pracownika Agencji utraty lub podejrzenia utraty urządzenia aktywującego przejście, 58

59 2) zgłoszenia telefonicznego, za pośrednictwem faksu lub poczty elektronicznej, potwierdzonego bezzwłocznie pisemnym wnioskiem bezpośredniego przełożonego pracownika. 7. Ponowne nadanie uprawnień dostępu w przypadku zaistnienia okoliczności opisanych w ust. 6 pkt 1) odbywa się zgodnie z zasadami określonymi w ust. 4 i Uprawnienia dostępu są regularnie przeglądane zgodnie z zasadami opisanymi w Regulaminie Nadzoru. 6. Pomieszczenia i zasoby chronione 1. Wnoszenie i wynoszenie do i ze stref bezpieczeństwa komputerowych nośników danych może mieć miejsce tylko w przypadkach wynikających z procedur eksploatacji zainstalowanego tam sprzętu teleinformatycznego i podlega rejestracji. 2. Strefy bezpieczeństwa powinny być chronione systemem sygnalizacji włamania i napadu oraz wyposażane w urządzenia pozwalające na alarmowe powiadomienie obsługi/ochrony w wypadku zagrożenia zdrowia i życia osób w nich przebywających. 3. W uzasadnionych przypadkach, zarówno strefy administracyjne jak i strefy bezpieczeństwa, powinny być poddane monitoringowi wizyjnemu. 4. Strefy bezpieczeństwa nie posiadają oznakowania wewnątrz lub na zewnątrz, które wskazywałyby na to, że znajdują się w nich szczególnie chronione zasoby. 5. W strefach bezpieczeństwa dopuszcza się przebywanie osób bez uprawnień dostępu do tych stref tylko w wyjątkowych przypadkach, za zezwoleniem: 1) dla pomieszczeń BP - kierownika biura powiatowego, 2) dla pomieszczeń OR - kierownika Biura OR, 3) dla pomieszczeń Centrali: a) dyrektora komórki właściwej ds. informatyki dla pomieszczeń serwerowni, węzłów teletechnicznych i biblioteki kodów źródłowych, b) dyrektora komórki właściwej ds. organizacyjno-gospodarczych dla pomieszczeń archiwum zakładowego, c) Pełnomocnika ds. Ochrony Informacji Niejawnych w przypadku strefy bezpieczeństwa, w której przetwarzane są informacje niejawne. 6. Pobyt osoby, która nie posiada uprawnień do przebywania w strefie bezpieczeństwa jest rejestrowany. Za prowadzenie rejestru odpowiedzialne są osoby wskazane w ust. 5, a wpisy dokonywane są pod nadzorem osoby uprawnionej do przebywania w danej strefie. 7. Serwery, aktywne i pasywne urządzenia sieci teleinformatycznej, centrale telefoniczne, urządzenia zapewniające zasilanie bezprzerwowe oraz rozdzielnie energetyczne zasilające uprzednio wymieniony sprzęt, kancelarie tajne, archiwa oraz zbiory informacji wrażliwych muszą być umieszczone w strefach bezpieczeństwa. 8. Zasoby, którym nadano status zasobu kluczowego podlegają szczególnej ochronie i są dodatkowo zabezpieczane przed pożarem i zalaniem. 9. Rozmieszczenie sprzętu służącego do przetwarzania informacji, zarówno w obszarach bezpiecznych, jak i w pozostałych pomieszczeniach, poprzedzone jest udokumentowanym szacowaniem ryzyk związanych z systemami zabezpieczeń 59

60 technicznych oraz systemami wspomagającymi (wentylacyjno-klimatyzacyjnymi, zasilającymi, wodno-kanalizacyjnymi, grzewczymi). 7. Bezpieczeństwo środowiskowe 1. Przy planowaniu zabezpieczeń technicznych i organizacyjnych, ich rodzaju i siły, bierze się pod uwagę ryzyka związane z występującymi lokalnie zagrożeniami, takimi jak pożar, zalanie, trzęsienie ziemi, wybuch, wyładowania atmosferyczne, niepokoje społeczne i inne formy naturalnych lub spowodowanych przez działania umyślne bądź błędy człowieka katastrof. Ponadto, analizie jest poddawany wpływ sąsiedztwa innych obiektów lub lokalnych instalacji (np. pożar w sąsiednim budynku, wodę przeciekającą przez dach, powódź, bliską katastrofę komunikacyjną lub eksplozję, rozruchy uliczne). 2. Pomieszczenia, w których zlokalizowane są zasoby kluczowe, wyposaża się w: 1) system sygnalizujący wystąpienie pożaru, 2) system klimatyzacji w serwerowniach. 3. Nie prowadzi się instalacji wodnych przez pomieszczenia, w których zlokalizowane są zasoby kluczowe do przetwarzania informacji (serwery, centra danych). 4. Urządzenia zapewniające bezpieczeństwo środowiskowe poddawane są regularnej kontroli zgodnie z obowiązującymi przepisami prawa, normami oraz zaleceniami producentów. 5. Na wypadek zagrożenia pożarem dla każdej z jednostek organizacyjnych Agencji opracowuje się instrukcje przeciwpożarowe. Ciągi komunikacyjne obiektów muszą być zaopatrzone w tabliczki informujące o kierunku ewakuacji i w miarę potrzeby wyposażone w oświetlenie awaryjne. 6. W przypadku, jeśli któreś z wymagań w zakresie bezpieczeństwa środowiskowego nie może być z przyczyn obiektywnych spełnione, Administrator Zabezpieczeń Fizycznych sporządza protokół opisujący: rodzaj odstępstwa, ryzyko wynikające z odstępstwa, zastosowane środki ochrony doraźnej lub zamiennej, plan dojścia do rozwiązania docelowego. 7. Parametry środowiska, w którym pracuje sprzęt systemu teleinformatycznego zaliczany do zasobów kluczowych, tj. temperatura, jest monitorowana w celu natychmiastowego wykrycia odchyleń, które mogłyby mieć negatywne skutki dla tego sprzętu. 8. Budynek, w którym znajdują się systemy teleinformatyczne wskazane w ust. 7 wyposażony jest, zgodnie z przepisami ppoż., w samoczynnie załączające się oświetlenie awaryjne (bezpieczeństwa i ewakuacyjne). 9. Oświetlenie bezpieczeństwa stosowane jest w pomieszczeniach, w których nawet krótkotrwałe wyłączenie oświetlenia podstawowego może spowodować zagrożenie zdrowia i życia podczas ewakuacji. 10. W przypadku, gdy oświetlenie bezpieczeństwa działa, co najmniej przez 2 godziny, nie ma potrzeby stosowania oświetlenia ewakuacyjnego. 8. Wymagania dla systemów wspomagających 1. Jeżeli jest to możliwe, należy projektować nadmiarową, modułową klimatyzację tak, aby w przypadku awarii lub przeglądu serwisowego jednego modułu pozostałe były w stanie 60

61 zapewnić wymagane parametry środowiskowe, w szczególności środowiska eksploatacyjnego w serwerowniach. 2. Rozmieszczenie w obiekcie kanałów oraz czerpni należy zaprojektować uwzględniając ryzyko takich zdarzeń, jak przedostanie się przez nie do pomieszczeń chronionych wody, środków niebezpiecznych czy też zwierząt. 3. W przypadku prowadzenia instalacji wodno-kanalizacyjnych i grzewczych w sąsiedztwie (również nad lub bezpośrednio pod pomieszczeniem) serwerowni i pomieszczeń, w których usytuowano infrastrukturę techniczną służącą do przetwarzania w krytycznych systemach Agencji, należy wdrożyć systemy zapewniające wykrycie i alarmowanie w przypadku zalania pomieszczenia oraz zainstalować środki umożliwiające szybkie usunięcie wody (cieczy). 4. Przy ocenie sprawności instalacji wodno kanalizacyjnej i grzewczej należy uwzględnić jej współdziałanie z innymi systemami wspomagającymi, takimi jak system klimatyzacyjno - wentylacyjny oraz w szczególności system przeciwpożarowy. 9. Eksploatacja technicznych systemów zabezpieczeń oraz systemów wspomagających 1. Systemy zabezpieczenia technicznego Agencji muszą spełniać następujące funkcje: 1) zabezpieczenia budowlane i zabezpieczenia mechaniczne muszą zagwarantować uniemożliwienie dostępu osobom niepowołanym do chronionych pomieszczeń i urządzeń oraz zabezpieczyć osoby i mienie przed potencjalnymi zagrożeniami, 2) system sygnalizacji napadu i włamania musi zapewnić skuteczne przekazanie sygnału o realnym zagrożeniu do wskazanych osób, miejsc i urządzeń, 3) system monitorowania w przypadku wystąpienia alarmu musi zapewnić podjęcie odpowiednich działań stosownych do zaistniałego zdarzenia, 4) system monitoringu musi zapewnić, poprzez rozmieszczone kamery, rozpoznanie rodzaju zagrożenia i śledzenie rozwoju sytuacji, prowadzenie obserwacji obrazu z kilku kamer oraz automatyczną jednoczesną rejestrację tych obrazów, 5) system kontroli dostępu musi zabezpieczyć chronione pomieszczenie (grupę pomieszczeń) lub wydzieloną strefę przed dostępem do nich osób nieuprawnionych. 2. Wszystkie systemy zabezpieczeń podlegają regularnym przeglądom technicznym dokonywanym przez Administratora Zabezpieczeń Fizycznych lub pod jego nadzorem przez osoby posiadające odpowiednie uprawnienia. 3. Przeglądy systemów zabezpieczeń przeprowadzane są każdorazowo w przypadku wystąpienia incydentów zagrażających lub mogących powodować zagrożenie dla bezpieczeństwa osób i mienia (np. katastrofa budowlana w sąsiedztwie obiektu, tąpnięcie, kolizja drogowa powodująca szczególne zagrożenie w pobliżu budynku, pożar, roboty budowlane w sąsiednich budynkach, ewakuacja osób i mienia z budynku, interwencja służb ratunkowych mająca wpływ na stan techniczny obiektu, wystąpienie anomalii pogodowych, itp.). 4. Administrator Zabezpieczeń Fizycznych odnotowuje przeprowadzenie przeglądu w dzienniku przeglądów prowadzonym dla każdego z funkcjonujących w Agencji 61

62 systemów wskazanych w dalszych punktach niniejszego rozdziału. Dziennik przeglądu zawiera następujące informacje: 1) datę i czas przeglądu, 2) dane personalne wykonującego przegląd i czytelny podpis, 3) wynik przeglądu, 4) dane personalne i czytelny podpis osoby nadzorującej/kontrolującej, 5) uwagi z przeglądu. 5. Administrator Zabezpieczeń Fizycznych nadzoruje i dokumentuje bieżące prace konserwacyjne, w tym wymianę lub prostą naprawę elementów każdego z systemów zabezpieczeń, które nie wymagają posiadania stosownych uprawnień specjalistycznych. 6. Dla każdego systemu alarmowego oraz dla każdego odrębnego systemu zabezpieczeń funkcjonującego w Agencji jest założony dziennik/system rejestrowania zawierający: 1) rejestr wyposażenia, 2) rejestr zdarzeń, 3) zapis konserwacji, 4) rejestr obsługi awaryjnej. 7. Administrator Zabezpieczeń Fizycznych nadzoruje i dokumentuje prace serwisowe przeprowadzane przez uprawnionych pracowników podmiotów zewnętrznych. 8. Wymiany lub naprawy o wysokim poziomie technologicznym dokonuje podmiot zewnętrzny posiadający stosowne uprawnienia producenta, dystrybutora wyrobu lub specjalistyczne urządzenia do naprawy lub wymiany. 10. Eksploatacja zabezpieczeń mechanicznych 1. Do zabezpieczeń mechanicznych zalicza się: kraty, żaluzje, okiennice, zamki w drzwiach (w szczególności te, do których bezpośredni dostęp mają osoby postronne), inne zabezpieczenia otworów okiennych, włazów, kanałów wentylacyjnych, rygle, kłódki, zamki, zasuwy z blokadą mechaniczną. 2. Zabezpieczenia mechaniczne muszą być zamontowane przez uprawniony podmiot zgodnie z warunkami technicznymi wynikającymi z certyfikatu lub aprobaty technicznej. 3. Zabezpieczenia mechaniczne podlegają przeglądom przeprowadzanym przez Administratora Zabezpieczeń Fizycznych, zgodnie z harmonogramem - dotyczy tylko tych zabezpieczeń, które są dostępne dla osób postronnych i nie ma możliwości realizacji nadzoru przez inne systemy zabezpieczeń. 4. Przeglądy polegają na sprawdzeniu stanu technicznego elementów zabezpieczenia mechanicznego, przeprowadzanych w następujący sposób: 1) w przypadku krat, żaluzji, okiennic i innych zabezpieczeń otworów okiennych, włazów, kanałów wentylacyjnych: a) sprawdzenie mocowań do murów (np. poprzez poruszenie elementów zabezpieczenia w pionie i poziomie i obserwacji reakcji elementów mocujących), b) sprawdzenie istnienia odkształceń mechanicznych na poszczególnych elementach, przy zastosowaniu metody porównawczej z opisem w dokumentacji technicznej, 62

63 c) sprawdzenie występowania śladów po próbach penetracji lub usunięcia zabezpieczenia np. w postaci opiłków, śladów tynku, rysach na elementach zabezpieczeń, itp., d) sprawdzić stan powłok lakierniczych i zabezpieczeń antykorozyjnych elementów narażonych na bezpośrednie działanie czynników atmosferycznych lub innych szkodliwych czynników dla mechanizmów kłódek, zamków, rygli (szczególnie kurz, pył), 2) w przypadku kłódek i zamków - sprawdzenie działania kluczy zapasowych oraz mechanizmu ryglującego przez otwarcie i zamknięcie kłódek i zamków, przegród mechanicznych i budowlanych, 3) w przypadku rygli i zasuw z blokadą mechaniczną - porównanie położenia elementów ruchomych z opisem w dokumentacji technicznej. 5. Przynajmniej dwa razy do roku Administrator Zabezpieczeń Fizycznych dokonuje oceny stanu powłoki lakierniczej, śladów korozji elementów narażonych na bezpośrednie działanie czynników atmosferycznych lub innych szkodliwych czynników dla mechanizmów. 6. Wycofane z użycia elementy zabezpieczeń mechanicznych zawierające informacje o kodzie zamków (klucze, wkładki, karty elektroniczne) niszczone są mechanicznie. 7. Zakup zamków (mechanizmów zamkowych) i wkładek dokonywany jest w sposób określany jako zakup z półki. 8. Dla stref bezpieczeństwa każda faza procesu wymiany mechanizmów zamkowych, w tym zakup i transport, montaż zamków (mechanizmów zamkowych) i wkładek wykonywany jest co najmniej przez dwie osoby (w tym przez Administratora Zabezpieczeń Fizycznych sprawującego bezpośredni nadzór). 9. Wycofanie elementu zabezpieczenia mechanicznego przeprowadza się po uzyskaniu informacji od dystrybutora/producenta wyrobu o konieczności jego wymiany lub po uzyskaniu informacji o pojawieniu się metod/narzędzi powodujących przełamanie zabezpieczenia lub obniżenie jego właściwości. 10. Z zastrzeżeniem ust. 8, koniec okresu ważności certyfikatu lub świadectwa kwalifikacyjnego nie stanowi przyczyny demontażu elementu zabezpieczenia. 11. Eksploatacja zabezpieczeń techniczno-budowlanych 1. Do zabezpieczeń techniczno-budowlanych zalicza się drzwi, śluzy, ściany, stropy, ogrodzenia (wykonane z różnych materiałów), furtki, bramy, zapory, szlabany, kołowroty (w szczególności te, do których bezpośrednio dostęp mają osoby postronne). 2. Zabezpieczenia techniczno-budowlane podlegają przeglądowi przeprowadzanym przez Administratora Zabezpieczeń Fizycznych, zgodnie z harmonogramem - dotyczy tylko tych zabezpieczeń, które są dostępne dla osób postronnych i nie ma możliwości realizacji nadzoru przez inne systemy zabezpieczeń. 3. Przeglądy polegają na sprawdzeniu stanu technicznego elementów zabezpieczeń techniczno-budowlanych, przeprowadzanych w następujący sposób: 1) sprawdzenie mocowań elementów ruchomych i elementów umocowanych na stałe do podłoża (np. poprzez poruszenie elementów konstrukcji zabezpieczenia i obserwacji reakcji elementów mocujących), 63

64 2) sprawdzenie istnienia odkształceń mechanicznych na poszczególnych elementach, przy zastosowaniu metody porównawczej z opisem w dokumentacji technicznej, 3) sprawdzenie występowania śladów po próbach penetracji lub usunięcia zabezpieczenia np. w postaci opiłków, śladów tynku, rysach na elementach zabezpieczeń, rdzy, itp., 4) sprawdzenie mechanizmów ryglowych (zamków, rygli, itp.), 5) porównanie położenia elementów ruchomych z opisem w dokumentacji technicznej. 4. Przynajmniej dwa razy do roku Administrator Zabezpieczeń Fizycznych dokonuje oceny stanu powłoki lakierniczej, śladów korozji elementów zabezpieczeń technicznobudowlanych narażonych na bezpośrednie działanie czynników atmosferycznych lub innych czynników środowiskowych. 5. Wymiana/naprawa zabezpieczeń dokonywana jest pod nadzorem administratora obiektu w porozumieniu z Administratorem Zabezpieczeń Fizycznych. 12. Eksploatacja systemów okablowania zasilającego i teleinformatycznego w zakresie konstrukcyjno-mechanicznym 1. W skład systemów okablowania w zakresie konstrukcyjno-mechanicznym wchodzą: trakty kablowe (listwy PCV, szyny, rury, przepusty), osłony włazów i studzienek, szafy dystrybucyjne, tablice, krosownice. 2. Systemy okablowania znajdujące się w obszarze dostępnym publicznie podlegają przeglądom przeprowadzanym przez Administratora Zabezpieczeń Fizycznych oraz Administratora Systemu. 3. Przeglądy polegają na sprawdzeniu stanu technicznego (konstrukcyjno-mechanicznego) elementów systemu okablowania z dokumentacją techniczną, ze szczególnym uwzględnieniem elementów systemu okablowania znajdującego się w obszarach dostępnych publicznie. 4. Przeglądy zabezpieczeń elektronicznych systemów okablowania polegają na sprawdzeniu poprawności funkcjonowania np. systemów sygnalizacji włamania zastosowanych do zabezpieczenia szaf dystrybucyjnych, krosownic lub innych zabezpieczeń. 5. Przeglądy przeprowadzane lub nadzorowane przez Administratora Zabezpieczeń Fizycznych powinny obejmować sprawdzenie: 1) ciągłości struktury (mocowanie listew) traktów kablowych w miejscach ogólnie dostępnych np. narażonych na uszkodzenia mechaniczne spowodowane przez przenoszenie przedmiotów o dużych gabarytach (biurko, szafa), ruch osobowy, 2) stanu powłoki lakierniczej, śladów korozji elementów narażonych na bezpośrednie działanie czynników atmosferycznych lub innych szkodliwych czynników dla obudów, osłon lub innych zabezpieczeń systemów okablowania, 3) czy występują ślady po próbach penetracji lub usunięcia zabezpieczenia, np. w postaci opiłków, śladów tynku, rysach na elementach zabezpieczeń, itp. 6. Przeglądy prowadzone lub nadzorowane przez Administratora Systemu powinny obejmować sprawdzenie: 1) przestrzegania zasad ochrony okablowania oraz punktów połączeń okablowania (inspekcja pod kątem podłączonych nieautoryzowanych urządzeń przechwytujących, rejestrujących, transmitujących i zniekształcających sygnał transmisyjny), 2) zamknięcia szaf, tablic, osłon włazów i studzienek należących do Agencji, 64

65 3) zgodności stanu faktycznego z dokumentacją techniczną okablowania, 4) stanu technicznego instalacji poprzez wykonanie pomiarów okablowania. 13. Eksploatacja elektronicznych systemów zabezpieczeń 1. Do elektronicznych systemów zabezpieczeń zalicza się systemy sygnalizacji włamania i napadu (SSWiN), systemy kontroli dostępu (SKD), systemy telewizji dozorowej (CCV) oraz inne systemy współdziałające z elektronicznymi systemami zabezpieczeniowymi, np. system oświetlenia podczerwienią dla systemu CCV. 2. Elektroniczne systemy zabezpieczeniowe i systemy współdziałające podlegają przeglądom przeprowadzanym przez Administratora Zabezpieczeń Fizycznych zgodnie z harmonogramem i zakresem konserwacji systemu przeprowadzanej przez pracownika podmiotu zewnętrznego, posiadającego licencję pracownika zabezpieczenia technicznego. 3. Przeglądy SSWiN są przeprowadzane przez Administratora Zabezpieczeń Fizycznych i obejmują, w zależności od zastosowanego rozwiązania technicznego, sprawdzenie: 1) trybu pracy urządzeń wg wskazań paneli sterujących poprzez porównanie z dokumentacją techniczno-eksploatacyjną systemu, 2) działania przycisków sygnalizacji napadu/przycisków wezwania pomocy, 3) działania poszczególnych klawiatur strefowych poprzez załączanie i rozłączanie systemu wprowadzając odpowiedni kod, 4) ilości i rozmieszczenia klawiatur strefowych zgodnie z danymi w dzienniku systemu. 4. Czynności konserwacyjne dokonywane przez pracownika podmiotu zewnętrznego są przeprowadzane nie rzadziej niż raz na 12 miesięcy i obejmują: 1) sprawdzenie prawidłowości funkcjonowania systemu SSWiN w zakresie określonym w dokumentacji technicznej, 2) sprawdzenie ciągłości działania zasilania podstawowego i sprawności zasilania awaryjnego; (wymiana akumulatorów zgodnie z harmonogramem załączonym do dokumentacji technicznej systemu), 3) sprawdzenie poprawności działania akustycznych lub optycznych sygnalizatorów alarmowych, 4) sprawdzenie czujników systemu, 5) sprawdzenie mocowania czujek do podłoża (uchwytów, ścian); szczególnie dotyczy to stref ogólnego i ograniczonego dostępu oraz znajdujących się poza pomieszczeniami Agencji (płaszczyzna ścian, ogrodzenia). 5. Przeglądy SKD są przeprowadzane przez Administratora Zabezpieczeń Fizycznych i obejmują, w zależności od zastosowanego rozwiązania technicznego, sprawdzenie: 1) trybu pracy urządzenia wg wskazań paneli sterujących poprzez porównanie z dokumentacją systemu, 2) działania przycisków ewakuacyjnych w przypadku, gdy SKD nie współpracuje z systemem ppoż., 3) działania czytników systemu z odpowiednią kartą dostępu, 4) mocowań zamków elektromagnetycznych drzwi i przejść, 5) ilości i rozmieszczenia czytników zgodnie z danymi w dzienniku systemu, 6) uprawnień użytkowników SKD. 65

66 6. Przeglądy dokonywane przez Administratora Zabezpieczeń Fizycznych co 6 miesięcy obejmują sprawdzenie stanu technicznego nośników elektronicznych SKD (identyfikatorów) przeznaczonych dla gości, jeśli mają zastosowanie. 7. Czynności konserwacyjne dokonywane przez pracownika Podmiotu zewnętrznego są przeprowadzane nie rzadziej niż raz na 12 miesięcy i obejmują: 1) sprawdzenie prawidłowości funkcjonowania systemu SKD w zakresie określonym w dokumentacji technicznej, 2) sprawdzenie ciągłości działania zasilania podstawowego i sprawności zasilania awaryjnego; (wymiana akumulatorów zgodnie z harmonogramem załączonego do dokumentacji technicznej systemu), 3) sprawdzenie mocowania czytników do podłoża, śladów prób penetracji (rysy, wgniecenia, próby podważania), 4) sprawdzenie działania części elektromechanicznych (elektrozaczepów, trzymaczy elektromagnetycznych, śluz, tripodów itp.), 5) sprawdzenie działania przycisków otwierających wyjścia z czytnikami działającymi jednostronnie, 8. Przeglądy CCV są przeprowadzane przez Administratora Zabezpieczeń Fizycznych i obejmują sprawdzenie: 1) trybu pracy urządzeń rejestrujących poprzez porównanie z dokumentacją techniczno eksploatacyjną na podstawie wskazań paneli sterujących informujących o trybie pracy urządzeń, 2) jakości obrazu i pola obserwacji na monitorach poprzez porównanie z opisem oraz zdjęciem obrazu wykonanym w trybie dziennym i nocnym, 3) wymiany nośników w urządzeniu rejestrującym zgodnie z dokumentacją techniczną systemu, 4) poprawności pracy urządzeń rejestrujących poprzez nagranie i odtworzenie przebiegu zdarzeń w trybie czasu rzeczywistego oraz losowo wybranego zdarzenia w czasie przeszłym. 9. Czynności konserwacyjne dokonywane przez pracownika podmiotu zewnętrznego są przeprowadzane nie rzadziej niż raz na 12 miesięcy i obejmują: 1) sprawdzenie ciągłości działania zasilania podstawowego i sprawności zasilania awaryjnego, 2) wyłączenie monitora i sprawdzenie poświaty (efekt wypalania się kineskopu objawiający się pozostawaniem obrazu na ekranie po odłączeniu źródła sygnału), 3) sprawdzenie jakości zarejestrowanego obrazu z kamer rejestrujących punkty newralgiczne (szczególnie z kamer zewnętrznych, rejestracja wykonana w godzinach nocnych), 4) sprawdzenie zapisu z wewnętrznych pamięci kamer (jeśli kamery posiadają taką pamięć), 5) sprawdzenie mocowania kamer zewnętrznych, jeśli są narażone na działania czynników atmosferycznych i innych np. konary drzew, 6) sprawdzenie działania wycieraczek, obwodów, grzałek (elementy przeciwśnieżne, jeśli zostały zainstalowane), 7) sprawdzenie działania głowic obrotowych i funkcji zoom (optyczny i elektroniczny), 8) sprawdzenie mocowania reflektorów podczerwieni i oświetlenia sztucznego związanego z CCV (np. halogeny włączane automatycznie z czasowym wyłącznikiem). 66

67 14. Systemy wspomagające oświetlenie 1. Przeglądy systemu są przeprowadzane przez Administratora Zabezpieczeń Fizycznych zgodnie z harmonogramem i obejmują sprawdzenie systemów sterujących (włączających i wyłączających oświetlenie). 2. Czynności konserwacyjne dokonywane przez pracownika podmiotu zewnętrznego są przeprowadzane nie rzadziej niż raz na 12 miesięcy i obejmują: 1) sprawdzenie zasilania podstawowego i awaryjnego, 2) sprawdzenie innych elementów, zgodnie z dokumentacją systemu. 15. Systemy transmisji sygnałów alarmowych do centrów monitoringu 1. Przeglądy systemu transmisji sygnałów alarmowych do centrów monitoringu są przeprowadzane przez podmiot zewnętrzny zgodnie z harmonogramem i obejmują sprawdzenie trybu pracy urządzenia wg wskazań paneli sterujących poprzez porównanie z dokumentacją systemu. 2. Czynności konserwacyjne dokonywane przez pracownika podmiotu zewnętrznego są przeprowadzane nie rzadziej niż raz na 12 miesięcy i obejmują: 1) sprawdzenie ciągłości działania zasilania podstawowego i sprawności zasilania awaryjnego (wymiana akumulatorów zgodnie z harmonogramem załączonym do dokumentacji technicznej systemu), 2) sprawdzenie systemu anten, masztów, stanu uziemienia, 3) sprawdzenie/potwierdzenie prawidłowego działania systemu/systemów w centrum monitoringu. 16. Rejestrowanie i przechowywanie informacji w elektronicznych systemach zabezpieczeń 1. Zdarzenia rejestrowane w elektronicznych systemach zabezpieczeniowych podlegają regularnym przeglądom przeprowadzanym przez Administratora Zabezpieczeń Fizycznych. 2. Częstość przeglądu zapisów wyznacza się na podstawie pojemności pamięci zdarzeń danego systemu: 1) przed czynnością włączenia/wyłączenia dla systemów, których pamięć zdarzeń jest kasowana podczas włączania/wyłączania, lub 2) przed zapełnieniem pamięci systemu powodującej nadpisywanie danych (wg danych w dokumentacji techniczno-eksploatacyjnej systemu), nie rzadziej jednak niż raz 6 miesięcy. 3. Zapisy w systemach telewizji dozorowej (CCV), kontroli dostępu (SKD) sygnalizacji włamania i napadu (SSWiN) oraz w dziennikach/rejestrach wejścia/wyjścia podlegają wyrywkowej kontroli korelacji rejestrowanych zdarzeń dokonywanej przez Administratora Zabezpieczeń Fizycznych. 4. W przypadku wystąpienia incydentu naruszenia bezpieczeństwa lub podejrzenia wystąpienia, którego okoliczności mogą być wyjaśnione dzięki zapisom z rejestrów elektronicznych systemów zabezpieczeń, Administrator Zabezpieczeń Fizycznych 67

68 zapewnia utrwalenie zapisów z tych rejestrów elektronicznych systemów zabezpieczeń zgodnie z Regulaminem Zarządzania Incydentami. 17. Prowadzenie dokumentacji związanej z technicznymi systemami zabezpieczeń 1. Administrator Zabezpieczeń Fizycznych jest odpowiedzialny za prowadzenie wszelkich ewidencji, wykazów uprawnień, rejestrów, w tym rejestrów elektronicznych systemów zabezpieczeń. 2. Wszelka dokumentacja wskazana w ust. 1 jest klasyfikowana jako informacja wrażliwa. 3. Administrator Zabezpieczeń Fizycznych jest odpowiedzialny za aktualność i kompletność dokumentacji technicznych własnych systemów zabezpieczeń (tzn. dokumentacji powykonawczej, zmian w tej dokumentacji, aktualnych plików konfiguracyjnych systemów i urządzeń). 18. Zarządzanie zapisami pochodzącymi z elektronicznych systemów zabezpieczeń 1. Administrator Zabezpieczeń Fizycznych jest odpowiedzialny za utrzymanie rejestrów elektronicznych własnych systemów zabezpieczeń (SKD, SSWiN, CCV). Okres przechowywania zapisów pochodzących z elektronicznych systemów zabezpieczeń powinien wynosić co najmniej 14 dni. 2. W przypadku powierzenia utrzymania rejestrów systemów kontroli dostępu, sygnalizacji napadu i włamania lub telewizji dozorowej podmiotowi zewnętrznemu, umowa z usługodawcą musi zapewniać Agencji skuteczną kontrolę nad zapisami przez umieszczenie w niej: 1) warunków i czasu przechowywania rejestrów (min. 14 dni), 2) wymagań bezpieczeństwa w odniesieniu do rejestrów, 3) zasad dostępu Agencji do przechowywanych zapisów, w tym uzyskania kopii stanowiących materiał dowodowy, jeśli zachodzi taka potrzeba, 4) sposobów komunikowania się Agencji z usługodawcą, w tym potwierdzania dostarczenia kopii rejestrów w trybie awaryjnym, 5) zakres odpowiedzialności usługodawcy za utratę lub uszkodzenie rejestrów. 3. W przypadku stwierdzenia incydentu naruszenia bezpieczeństwa informacji Administrator Zabezpieczeń Fizycznych wykonuje kopie rejestrów elektronicznych systemów zabezpieczeń dla celów dowodowych. 19. Postanowienia przejściowe 1. Administratorzy Zabezpieczeń Fizycznych wraz z pracownikami zatrudnionymi na Samodzielnych stanowiskach pracy ds. bezpieczeństwa w oddziałach regionalnych przeprowadzą analizę zgodności technicznych systemów bezpieczeństwa oraz systemów wspomagających funkcjonujących w Agencji z wymaganiami niniejszego Regulaminu. 2. W terminie 24 miesięcy po wejściu niniejszego Regulaminu w życie, Administrator Zabezpieczeń Fizycznych dokona analizy stopnia spełniania wymagań Regulaminu 68

69 w odniesieniu do aktualnie eksploatowanych w Agencji systemów zabezpieczeń technicznych oraz przedstawi Komitetowi rekomendacje działań. 69

70 Załącznik nr 1 do Regulaminu bezpieczeństwa fizycznego i środowiskowego Wzór rejestru wejścia/wyjścia do strefy bezpieczeństwa Rejestr osób przebywających w strefie bezpieczeństwa serwerowni BP./OR. Data i Data i Imię i nazwisko Imię i nazwisko Lp. godzina godzina Cel wejścia osoby otwierającej osoby wchodzącej wejścia wyjścia

71 Załącznik nr 2 do Regulaminu bezpieczeństwa fizycznego i środowiskowego - Wzór książki wydawania i zdawania kluczy Lp. Data: dzień, miesiąc Godzina minuta Nr klucza/ woreczka Zdano do przechowania Nazwisko zdającego Nazwisko przyjmującego Podpis przyjmującego Data: dzień, miesiąc Godzina minuta Wydano do użytku Nazwisko pobierającego Podpis pobierającego

72 Załącznik nr 7 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN POMIARU SKUECZNOŚCI ZABEZPIECZEŃ I SYSEMU ZARZĄDZANIA BEZPIECZEŃSWEM INFORMACJI Spis treści: 1. Definicje... 74

73 2. Organizacja procesu pomiaru skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji Zakres pomiarów skuteczności Funkcjonowanie systemu pomiarów skuteczności Pomiary skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji Załącznik nr 1 do Regulaminu - Lista zabezpieczeń oraz elementów systemu zarządzania bezpieczeństwem informacji objęta programem pomiarów skuteczności Załącznik nr 2 do Regulaminu Szablon miernika skuteczności oraz baza danych mierników skuteczności zabezpieczeń i SZBI Załącznik nr 3 do Regulaminu Szablon raportu z pomiarów skuteczności

74 1. Definicje Użyte w regulaminie określenia oznaczają: 1) atrybut właściwość lub charakterystykę przedmiotu pomiaru, które mogą być wyodrębnione w sposób ilościowy lub jakościowy, 2) funkcja pomiaru algorytm lub obliczenie wykonane w celu połączenia dwóch lub więcej mierników podstawowych, 3) miernik pochodny miernik zdefiniowany jako funkcja dwóch lub więcej wartości mierników podstawowych, 4) miernik podstawowy miernik odnoszący się do atrybutu i metody jego obliczenia, 5) miernik skuteczności miernik wskazujący, w jakim zakresie pojedyncze zabezpieczenie, grupa zabezpieczeń lub wszystkie zabezpieczenia zapewniają utrzymanie poziomu bezpieczeństwa zgodnie z postawionymi wymaganiami, 6) model analityczny algorytm lub obliczenie łączące jeden lub więcej mierników, 7) program pomiarów skuteczności zaplanowane działania w odniesieniu do wskazanego procesu realizowanego w Agencji lub części struktury organizacyjnej Agencji podejmowane w celu uszczegółowienia wyników pomiarów skuteczności, 8) wskaźnik bezpieczeństwa informacji wynik zastosowania modelu analitycznego do jednego lub więcej mierników w odniesieniu do kryteriów decyzyjnych lub potrzeb informacyjnych. 2. Organizacja procesu pomiaru skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji 1. Nadzór nad procesem pomiaru skuteczności zabezpieczeń oraz systemu zarządzania bezpieczeństwem informacji sprawuje Komitet. 2. Komitet podejmuje decyzje dotyczące poziomów wskaźników bezpieczeństwa informacji. 3. Do szczegółowych zadań Komitetu należy: 1) inicjowanie opracowywania metodyki pomiarów skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji, 2) zatwierdzanie metodyk i programów pomiarów skuteczności, 3) monitorowanie osiągania celów programów pomiarów skuteczności, 4) zatwierdzanie zmian doskonalących system pomiarów skuteczności. 4. Dyrektor komórki właściwej ds. bezpieczeństwa informacji realizuje i koordynuje działania w systemie pomiaru skuteczności. 5. Do szczegółowych zadań dyrektora komórki właściwej ds. bezpieczeństwa informacji należy: 1) opracowywanie metodyki pomiarów skuteczności oraz rekomendacji przedstawianych Komitetowi dotyczących zmian w metodyce, 74

75 2) rekomendowanie Komitetowi nowych lub modyfikacji istniejących wskaźników bezpieczeństwa informacji, 3) rozwój metodyki i narzędzi wspierających system pomiarów skuteczności, 4) opracowywanie programów pomiarów skuteczności, 5) koordynowanie działań związanych z pomiarami skuteczności, wymagających uczestnictwa komórek organizacyjnych, jednostek organizacyjnych Agencji lub podmiotów zewnętrznych, 6) przygotowywanie okresowych raportów dotyczących wyników pomiarów skuteczności oraz stopnia realizacji wskaźników bezpieczeństwa informacji, 7) szkolenie Właścicieli Zasobów oraz kierowników komórek i jednostek organizacyjnych w Agencji w zakresie zbierania informacji dla systemu pomiarów skuteczności, 8) formułowanie rekomendacji dotyczących doskonalenia systemu pomiarów skuteczności. 6. Właściciele Zasobów oraz inni kierownicy komórek i jednostek organizacyjnych udzielają niezbędnych informacji dyrektorowi komórki właściwej ds. bezpieczeństwa informacji w zakresie zbierania danych do realizacji pomiarów skuteczności. W tym celu spośród podległych sobie pracowników wyznaczają osoby do roboczych kontaktów z komórką właściwą ds. bezpieczeństwa informacji. W oddziałach regionalnych taką rolę spełniają pracownicy zatrudnieni na Samodzielnych stanowiskach pracy ds. bezpieczeństwa. 3. Zakres pomiarów skuteczności 1. Programy pomiarów skuteczności obejmują wybrane zabezpieczenia, które zostały wskazane jako środki ograniczania ryzyka w planie postępowania z ryzykiem. 2. W miarę potrzeby, programy pomiarów skuteczności mogą obejmować większy zbiór zabezpieczeń, wskazanych przez Komitet jako szczególnie istotne z punktu widzenia bezpieczeństwa informacji. 3. Program pomiarów skuteczności systemu zarządzania bezpieczeństwem informacji obejmuje ocenę: 1) skuteczności wdrożonych mechanizmów zarządzania, 2) realizacji działań w systemie zarządzania, w tym realizacji procedur systemu zarządzania. 4. Programy szacowania ryzyka mogą różnić się zasięgiem terytorialnym, oraz poziomem szczegółowości analizowanych zabezpieczeń i obejmują: 1) procesy zdefiniowane w Agencji, realizowane na poziomie Centrali, oddziałów regionalnych lub biur powiatowych, 2) systemy teleinformatyczne i aplikacje użytkowe pracujące w Agencji. 5. Spis zabezpieczeń oraz elementy systemu zarządzania bezpieczeństwem informacji, dla których są realizowane pomiary skuteczności zostały zawarte w załączniku nr 1 do niniejszego regulaminu. 75

76 4. Funkcjonowanie systemu pomiarów skuteczności 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji stosuje zasady i szablony pomiarów skuteczności oraz określania wskaźników bezpieczeństwa informacji zatwierdzone przez Komitet. 2. Właściciele Zasobów oraz kierownicy komórek i jednostek organizacyjnych Agencji są odpowiedzialni za zbieranie danych służących do pomiaru skuteczności, w tym pozyskanie odpowiednich danych dotyczących systemów informacyjnych Agencji od podmiotów zewnętrznych. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji wykonuje okresowe, nie rzadziej niż raz na rok, analizy pomiarów skuteczności na podstawie uzyskanych danych, zgodnie z szablonem, którego wzór określa załącznik nr 2 do niniejszego regulaminu. 4. Dyrektor komórki właściwej ds. bezpieczeństwa informacji prezentuje zbiorczą informację o wynikach pomiarów skuteczności, zawierający zdefiniowane wskaźniki bezpieczeństwa informacji na posiedzeniach Komitetu oraz przygotowuje raport o funkcjonowaniu systemu pomiarów skuteczności na potrzeby przeglądu systemu zarządzania bezpieczeństwem informacji. 5. Pomiary skuteczności zabezpieczeń i systemu zarządzania bezpieczeństwem informacji 1. Właściciele Zasobów/ Administrator Systemu/ Administrator Zabezpieczeń Fizycznych gromadzą dane zgodnie z szablonem miernika określonym w załączniku nr 2 i przekazują dyrektorowi komórki właściwej ds. bezpieczeństwa informacji, który wykonuje pomiar skuteczności. 2. Dyrektor komórki właściwej ds. bezpieczeństwa informacji wykonuje analizę wyników pomiaru i określa wskaźnik bezpieczeństwa, wykorzystując wyniki pomiarów z poprzednich okresów pomiarowych, postępując zgodnie z procedurą nadzoru nad zapisami. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji po zgromadzeniu danych do wykonania pomiaru skuteczności systemu zarządzania bezpieczeństwem informacji dokonuje pomiaru, po którym wykonuje analizę wyników pomiaru i określa wskaźnik skuteczności systemu, wykorzystując wyniki pomiarów z poprzednich okresów pomiarowych i korzystając z procedury nadzoru nad zapisami zawartej w Książce Procedur KP ARiMR. 4. Po podsumowaniu wyników pomiarów skuteczności dyrektor komórki właściwej ds. bezpieczeństwa informacji przedstawia Komitetowi raport z pomiarów skuteczności, którego wzór określa załącznik nr 3 do niniejszego regulaminu. 5. W raporcie, o którym mowa w ust. 4, dyrektor komórki właściwej ds. bezpieczeństwa informacji przedstawia Komitetowi wnioski i rekomendacje w zakresie: 1) decyzji zarządczych zgodnie z kryteriami zdefiniowanymi dla odpowiednich mierników skuteczności, 76

77 2) zmian w zabezpieczeniach oraz systemie zarządzania bezpieczeństwem informacji wynikających z wyników pomiarów np. zmiany sposobów wdrożenia i alokacji zasobów, 3) zmiany w systemie pomiarów skuteczności np. rozszerzenie listy mierników, zmiany kryteriów decyzji. 77

78 Załącznik nr 1 do Regulaminu - Lista zabezpieczeń oraz elementów systemu zarządzania bezpieczeństwem informacji objęta programem pomiarów skuteczności 1. Zabezpieczenia i/lub cele stosowania zabezpieczeń wskazane w planie postępowania z ryzykiem * (numeracja zgodna z ISO/IEC 27002): Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Oznaczanie i postępowanie z informacjami Odpowiedzialność kierownictwa 8.2.2* Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji Systemy wspomagające Bezpieczeństwo okablowania Zabezpieczenie przed kodem mobilnym Zabezpieczenia sieci Bezpieczeństwo usług sieciowych Procedury postępowania z informacjami Bezpieczeństwo dokumentacji systemowej Monitorowanie użycia systemu * Dzienniki administratora i operatora Przegląd praw dostępu użytkowników 11.4 Kontrola dostępu do sieci 11.5 Kontrola dostępu do systemów operacyjnych 11.6 Kontrola dostępu do aplikacji i informacji Analiza i opis wymagań bezpieczeństwa Zabezpieczenie eksploatowanego oprogramowania Procedury kontroli zmian echniczny przegląd aplikacji po zmianach w systemie operacyjnym Nadzór nad podatnościami technicznymi estowanie, utrzymanie i ponowna ocena planów ciągłości działania Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych 2. Elementy systemu zarządzania bezpieczeństwem informacji (numeracja zgodna z ISO/IEC 27001): 8.2 Działania korygujące * Zaznaczone zabezpieczenia, dla których opracowano mierniki skuteczności wdrożenia 78

79 4.2.2 h) Incydenty systemu zarządzania bezpieczeństwem informacji (przekroczenie określonej wartości strat materialnych) Załącznik nr 2 do Regulaminu Szablon miernika skuteczności oraz baza danych mierników skuteczności zabezpieczeń i SZBI Nazwa miernika Skrót/Kod numeryczny Unikalny identyfikator miernika. Zabezpieczenie lub cel reść zabezpieczenia lub celu stosowania zabezpieczeń lub stosowania zabezpieczeń/ elementu systemu zarządzania bezpieczeństwem informacji, element SZBI zgodnie, odpowiednio, z ISO/IEC i ISO/IEC Przedmiot pomiaru i atrybuty Przedmiot pomiaru Przedmiot, którego dotyczy pomiar. Przedmiotem pomiaru może być proces, system lub element systemu. Atrybuty Właściwość lub charakterystyka przedmiotu pomiaru, które mogą być wyodrębnione w sposób ilościowy lub jakościowy przez człowieka lub za pomocą automatu. Określenie mierników podstawowych (dla każdego miernika podstawowego [2 n]) Mierniki podstawowe Miernik odnoszący się do atrybutu i metody jego policzenia; wielkość przypisywana w procesie zbierania danych. Metoda pomiaru Logiczna, opisana ogólnie, sekwencja działań użyta w celu skwantyfikowania atrybutu w odniesieniu do wyznaczonego zakresu pomiaru. Dla mierników podstawowych, metoda zbierania danych, określająca dokładność zakresu pomiaru i jednostki pomiaru. Zakres pomiaru Uporządkowany zbiór wartości, ciągłych lub dyskretnych, lub zbiór kategorii, na które atrybut jest odwzorowywany. Określenie mierników pochodnych Miernik pochodny Wielkość zdefiniowana jako funkcja dwóch lub więcej wartości mierników podstawowych. Funkcja pomiaru Algorytm lub obliczenie wykonane w celu połączenia dwóch lub więcej mierników podstawowych. Zakres pomiaru Uporządkowany zbiór wartości, ciągłych lub dyskretnych, lub zbiór kategorii, na które atrybut jest odwzorowywany. Określenie wskaźnika Opis wskaźnika i przykład Model analityczny Kryteria decyzji Interpretacja wskaźnika Efekt/Skutek Przyczyna odchylenia rend pozytywny Opis jednego lub więcej mierników (podstawowych lub pochodnych) w celu zaprezentowania informacji niezbędnej do przeprowadzenia analizy i podjęcia decyzji. Wskaźnik może przybrać formę wykresu graficznego. Algorytm lub obliczenie łączące jeden lub więcej mierników. Zdefiniowany zbiór działań podejmowanych w odpowiedzi na kwantyfikowane wartości modelu. Opis sposobu odczytu wartości wskaźnika. Zdefiniowanie efektów bądź skutków będących następstwem wyników pomiaru. Określenie możliwych przyczyn odchylenia wyników pomiaru od wartości oczekiwanych. Deklaracja sposobu interpretacji wyników w porównaniu z wynikami osiągniętymi w przeszłości (zwiększenie bądź zmniejszenie wartości jako wskaźnik postępu). 79

80 Format raportu Formuła zaprezentowania mierników oraz opisu wskaźników. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Określenie, jak często dane są zbierane. Dysponent Danych Wskazanie jednostki, komórki organizacyjnej Agencji lub podmiotu zewnętrznego, który dysponuje danymi o przedmiocie pomiaru i jego atrybutach oraz jest odpowiedzialny za pomiar mierników podstawowych. Zbierający Dane Wskazanie jednostki, komórki organizacyjnej Agencji lub Podmiotu Zewnętrznego, odpowiedzialnych za gromadzenie, rejestrowanie i przechowywanie danych. Narzędzia użyte do Lista użytych narzędzi (np. analizator haseł). zbierania informacji Repozytorium dla Lista narzędzi, w których są przechowywane zebrane dane (np. zbieranych danych baza danych). Data zbierania danych ermin, w którym dane są dostępne. Procedura zapisu danych Określa procedurę rejestrowania danych (ew. link do procedury). Pomiar ważny do Data, kiedy dane tracą aktualność (lub są zastępowane przez nowe). Okres analizy Określenie okresu pomiaru. Procedura analizy danych Okres raportowania Okres, w którym dane są raportowane (może być dłuższy niż danych okres analizy). Raportujący Komórka organizacyjna Agencji odpowiedzialna za analizę i raportowanie wyników pomiaru. Źródła danych do analizy Lista źródeł danych potrzebnych do analizy. Narzędzia użyte do analizy (np. statystyczne) Odbiorca informacji Komórka organizacyjna wymagająca wyników pomiaru jako wsparcia dla realizacji celów ustawowych/statutowych Agencji. Informacje dodatkowe Dodatkowe wytyczne do Dodatkowe informacje o ewentualnych odmianach wskaźnika. analizy Wytyczne do wdrożenia Lista procesów lub wdrożeń niezbędnych do realizacji pomiaru. Nazwa miernika Szkolenia dotyczące bezpieczeństwa informacji na poziomie Centrali Skrót/Kod numeryczny Zabezpieczenie lub cel stosowania zabezpieczeń/ element SZBI <tbd> ISO/IEC Wszyscy pracownicy organizacji oraz, tam gdzie jest to wskazane, wykonawcy i użytkownicy reprezentujący stronę trzecią powinni zostać odpowiednio przeszkoleni, oraz powinni być regularnie informowani o uaktualnieniach obowiązujących w organizacji polityk i procedur, które są związane z wykonywaną przez nich pracą. Przedmiot pomiaru i atrybuty Przedmiot pomiaru Baza danych pracowników. Atrybuty Dokumentacja szkoleń. Określenie mierników podstawowych (dla każdego miernika podstawowego [2]) Mierniki podstawowe LPC przeszkolona = Liczba pracowników Centrali, która przeszła coroczne szkolenia z bezpieczeństwa informacji. 80

81 LPC ogół = Liczba pracowników Centrali, którzy powinni przejść coroczne szkolenia z bezpieczeństwa informacji. Metoda pomiaru Zliczanie uczestników szkoleń z bezpieczeństwa informacji. Zakres pomiaru Nominalny Określenie mierników pochodnych Miernik pochodny SZ% = Procent personelu, który przeszedł coroczne szkolenia z bezpieczeństwa informacji. Funkcja pomiaru Zakres pomiaru [0-100]% Określenie wskaźnika Opis wskaźnika i przykład Wykres słupkowy określający zgodność z wyznaczonymi wartościami progowymi (czerwony, żółty, zielony) w kolejnych okresach pomiarowych. Model analityczny Wartości SZ%: [0-x] czerwona (nieakceptowalna) [x-y] żółta (tolerowana) [y-100] zielona (prawidłowa) Kryteria decyzji Wartość SZ% poniżej wartości progowej czerwonej oznacza konieczność podjęcia działań. Wartość SZ% z przedziału między wartościami progowymi czerwona i żółta oznacza konieczność obserwacji wskaźnika w najbliższych okresach pomiarowych. Interpretacja wskaźnika Porównanie z wartościami progowymi daje podstawę do podejmowania decyzji. Efekt/Skutek Wartości SZ% - żółta i czerwona oznacza niespełnienie kryteriów wdrożenia zabezpieczenia. Przyczyna odchylenia Potencjalne przyczyny odchylenia od wartości oczekiwanej: a) nieskuteczny plan szkoleń, b) brak wsparcia ze strony kierownictwa, c) brak personelu, d) problemy logistyczne. rend pozytywny Wzrost wartości SZ% Format raportu Wykres słupkowy z wartościami progowymi oznaczonymi kolorami; Krótki opis słowny pokazujący znaczenie uzyskanych wyników i ułatwiający decyzję podjęcia stosownych działań. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Kwartalnie Dysponent Danych Komórka właściwa ds. kadrowych. Zbierający Dane Dyrektor komórki właściwej ds. bezpieczeństwa informacji Narzędzia użyte do Zapytania do bazy danych. zbierania informacji Repozytorium dla Arkusz kalkulacyjny zbieranych danych Data zbierania danych Pierwsza dekada kwartału. Procedura zapisu danych Zgodnie z regulacjami wewnętrznymi Agencji. Pomiar ważny do Przegląd roczny, zgodnie z regulacjami wewnętrznymi Agencji dot. przechowywanych akt osobowych. Okres analizy Kwartalny Procedura analizy danych 81

82 Okres raportowania Roczny danych Raportujący Dyrektor komórki właściwej ds. bezpieczeństwa informacji Źródła danych do analizy Informacja kadrowa Narzędzia użyte do analizy Odbiorca informacji Komitet Informacje dodatkowe Dodatkowe wytyczne do Należy uwzględnić zmieniającą się liczbę pracowników i analizy uwzględnić przy porównywaniu wyników z kolejnych kwartałów. Wytyczne do wdrożenia ---- Nazwa miernika Przegląd dzienników systemowych Skrót/Kod numeryczny Zabezpieczenie lub cel stosowania zabezpieczeń/ element SZBI <tbd> ISO/IEC Należy wdrożyć procedury monitorowania użycia środków przetwarzania informacji, a wyniki działań monitorujących należy regularnie przeglądać. Przedmiot pomiaru i atrybuty Przedmiot pomiaru System informacyjny Atrybuty Pliki dzienników systemowych. Określenie mierników podstawowych (dla każdego miernika podstawowego [1-3]) Mierniki podstawowe S i - Całkowita liczba systemów w zakresie SZBI (i=1 n) L_S i - liczba dzienników w systemie S x będąca w zakresie SZBI. L_S i przegląd - liczba dzienników systemowych poddanych przeglądowi w okresie pomiaru. Metoda pomiaru Zidentyfikowanie liczby dzienników systemowych; zliczanie dzienników poddanych przeglądowi. Zakres pomiaru Nominalny Określenie mierników pochodnych Miernik pochodny S i % = Procent ogólnej liczby dzienników systemowych poddanych przeglądowi w okresie pomiaru. Funkcja pomiaru Zakres pomiaru [0-100]% Określenie wskaźnika Opis wskaźnika i przykład Wykres słupkowy dla wszystkich Systemów Si określający zgodność z wyznaczonymi wartościami progowymi (czerwony, żółty, zielony) w kolejnych okresach pomiarowych. Model analityczny Wartości S i %: [0-x] czerwona (nieakceptowalna) [x-y] żółta (tolerowana) [y-100] zielona (prawidłowa) Kryteria decyzji Interpretacja wskaźnika Wartość S i % poniżej wartości progowej czerwonej oznacza konieczność podjęcia działań. Wartość S i % z przedziału między wartościami progowymi czerwona i żółta oznacza konieczność obserwacji wskaźnika w najbliższych okresach pomiarowych. Porównanie z wartościami progowymi daje podstawę do podejmowania decyzji. 82

83 Efekt/Skutek Wartości S i % - żółta i czerwona oznacza niespełnienie kryteriów wdrożenia zabezpieczenia. Przyczyna odchylenia Potencjalne przyczyny odchylenia od wartości oczekiwanej: a) brak personelu, b) brak personelu o wymaganych kwalifikacjach, c) problemy logistyczne. rend pozytywny Wzrost wartości S i % Format raportu Wykres słupkowy z wartościami progowymi oznaczonymi kolorami; Krótki opis słowny pokazujący znaczenie uzyskanych wyników i ułatwiający decyzję podjęcia stosownych działań. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Miesięcznie Dysponent Danych komórka właściwa ds. informatyki Zbierający Dane Administrator Systemu/ Dyrektor komórki właściwej ds. bezpieczeństwa informacji / podmiot zewnętrzny Narzędzia użyte do Narzędzia dedykowane do przeglądów logów systemowych zbierania informacji (lub przegląd manualny). Repozytorium dla Dedykowana przestrzeń zapisu danych eksploatacyjnych. zbieranych danych Data zbierania danych Pierwsza dekada miesiąca. Procedura zapisu danych Zgodnie z regulacjami wewnętrznymi Agencji. Pomiar ważny do Przegląd kwartalny, logi systemowe archiwizowane zgodnie z wewnętrznymi regulacjami Agencji. Okres analizy Miesięczny Procedura analizy danych Okres raportowania danych Kwartalny Raportujący Dyrektor komórki właściwej ds. bezpieczeństwa informacji Źródła danych do analizy Informacja własna/administratora Systemu/Podmiotu Zewnętrznego Narzędzia użyte do analizy Arkusz kalkulacyjny Odbiorca informacji Komitet Informacje dodatkowe Dodatkowe wytyczne do W zależności od priorytetów Systemów (np. z punktu widzenia analizy działalności ustawowej bądź statutowej Agencji) wartości progowe wskaźników będące podstawą do decyzji zarządczych mogą być różne. Wytyczne do wdrożenia ---- Nazwa miernika Skrót/Kod numeryczny Zabezpieczenie lub cel stosowania zabezpieczeń/ element SZBI Czas rozwiązania incydentu bezpieczeństwa w odniesieniu do przyjętych w SLA czasu rozwiązania wszystkich incydentów [dla systemów administrowanych przez Podmiot Zewnętrzny] <tbd> ISO/IEC Zapewnienie, że stosowane jest spójne i efektywne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji. Przedmiot pomiaru i atrybuty Przedmiot pomiaru Baza danych zgłoszeń z podziałem na [priority codes] Atrybuty Zgłoszenia z atrybutem [Security Incident] Określenie mierników podstawowych (dla każdego miernika podstawowego [2]) 83

84 Mierniki podstawowe Metoda pomiaru Zakres pomiaru Określenie mierników pochodnych Miernik pochodny SecIncEx [priority code] zliczanie incydentów bezpieczeństwa danej kategorii [priority code], których czas rozwiązania przekroczył ustaloną wartość. IncAll [priority code] ) suma wszystkich incydentów w danej kategorii. [priority code] krytyczny, wysoki, średni, niski. W każdej z kategorii [priority codes] analizuje się incydenty z atrybutem Security Incident i porównuje czas zakończenia tego incydentu z wymaganym czasem zgodnie z [priority code]; zlicza się wszystkie incydenty bezpieczeństwa w danej kategorii, których czas rozwiązania jest dłuższy niż wyznaczony warunkami [SLA]. Nominalny SecIncPerf [priority code] - współczynnik incydentów, których czas rozwiązania przekracza limit wskazany w SLA. Funkcja pomiaru SecIncPerf [priority code] = ( SecIncEx [priority code] / IncAll [priority code] )* 100 Zakres pomiaru [0-100]% Określenie wskaźnika Opis wskaźnika i przykład Wykres słupkowy w poszczególnych okresach pomiaru z wartością progową w postaci linii poziomej na poziomie x%. Model analityczny SecIncPerf [priority code] < x-1 zadawalający SecIncPerf [priority code] > x - niezadawalający Kryteria decyzji Działanie podejmowane przy przekroczeniu wartości progowej w danym miesiącu dla [priority code] = krytyczny, wysoki. Interpretacja wskaźnika Porównanie z wartością progową daje podstawę do podejmowania decyzji. Efekt/Skutek Przyczyna odchylenia Brak skuteczności wdrożenia. Potencjalne przyczyny odchylenia od wartości oczekiwanej: a) nieskuteczne mechanizmy monitorowania umowy z podmiotem zewnętrznym, b) nieskuteczna procedura obsługi i/lub eskalowania. rend pozytywny Zmniejszanie się wartości SecIncPerf [priority code] dla [priority code] = krytyczny, wysoki. Format raportu Wykres słupkowy dla kolejnych miesięcy okresu raportowania. Krótki opis słowny pokazujący znaczenie uzyskanych wyników i ułatwiający decyzję podjęcia stosownych działań. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Miesięcznie Dysponent Danych Podmiot zewnętrzny Zbierający Dane Podmiot zewnętrzny Narzędzia użyte do Narzędzia własne podmiotu zewnętrznego. zbierania informacji Repozytorium dla Baza własna podmiotu zewnętrznego. zbieranych danych Data zbierania danych Do 5 dnia każdego miesiąca. Procedura zapisu danych Zgodnie z procedurami wewnętrznymi podmiotu zewnętrznego. 84

85 Pomiar ważny do Do 4-go dnia następnego miesiąca. Okres analizy Miesięczny Procedura analizy danych Okres raportowania Roczny danych Raportujący Dyrektor komórki właściwej ds. bezpieczeństwa informacji Źródła danych do analizy Dane z monitorowania usług, na podstawie miesięcznych raportów o Poziomie Usług, przekazywanych przez podmiot zewnętrzny. Narzędzia użyte do analizy Odbiorca informacji Komitet Informacje dodatkowe Dodatkowe wytyczne do Raport o Poziomie Usług jest dostępny u Koordynatora Umowy analizy Utrzymaniowej z podmiotem zewnętrznym. Wytyczne do wdrożenia ---- Nazwa miernika Skuteczność zarządzania incydentami związanymi z bezpieczeństwem informacji Skrót/Kod numeryczny Zabezpieczenie lub cel stosowania zabezpieczeń/ element SZBI <tbd> ISO/IEC a5) Organizacja powinna (..) a) Wykonywać procedury monitorowania i przeglądu i inne zabezpieczenia w celu (..), b) określenia, czy działania podjęte w celu usunięcia naruszeń bezpieczeństwa były skuteczne. Przedmiot pomiaru i atrybuty Przedmiot pomiaru System zarządzania bezpieczeństwem informacji Atrybuty Incydenty, które zdarzyły się w okresie pomiaru i ich koszt. Określenie mierników podstawowych (dla każdego miernika podstawowego [1] Mierniki podstawowe Koszt incydentu KI [typ incydentu] Metoda pomiaru Sumowanie kosztów z podziałem na poszczególne typy incydentów Zakres pomiaru Nominalny Określenie mierników pochodnych Miernik pochodny Porównanie wyznaczonej wartości limitu WPROG_KI [typ incydentu] kosztów, jakie może ponieść Agencja w odniesieniu do określonego rodzaju typu incydentu. Funkcja pomiaru R_KI [typ incydentu ]% = (OAL_KI [typ incydentu] / WPRG_KI [typ incydentu] )* 100 Skala [0-100]% Określenie wskaźnika Opis wskaźnika i przykład Model analityczny Wykres słupkowy współczynnika kosztów incydentu określonego typu. Wskaźnik aktualny powinien być porównany ze wskaźnikami z poprzednich okresów pomiarów, tak aby wyznaczyć linię trendu. W przypadku przekroczenia wartości progowej kosztów należy = 85

86 Kryteria decyzji Interpretacja wskaźnika Efekt/Skutek Przyczyna odchylenia niezwłocznie podjąć działania zarządcze. Ponadto, należy poddać obserwować zmianę wskaźnika w czasie, aby zidentyfikować pogorszenie stanu bezpieczeństwa i przeciwdziałać zanim wskaźnik osiągnie wartość progową. Gdy wskaźnik R_KI [typ incydentu] % osiągnie 90% - należy podjąć działanie zarządcze. Gdy wzrost wartości wskaźnika w trzech kolejnych okresach pomiarowych zwiększy się w sumie o 30% - należy podjąć działanie zarządcze. <zależna od Agencji> Niedostateczna skuteczność systemu zarządzania incydentami. Potencjalne przyczyny odchylenia od wartości oczekiwanej: 1) braki w uświadamianiu użytkowników, 2) niewystarczające zasoby, 3) brak personelu o odpowiednich kwalifikacjach. rend pozytywny Zmniejszanie się wartości R_KI [typ incydentu] % Format raportu Wykres słupkowy. Krótki opis słowny pokazujący znaczenie uzyskanych wyników z rekomendacją działań zarządczych. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Dysponent Danych Zbierający Dane Narzędzia użyte do zbierania informacji Repozytorium dla zbieranych danych Data zbierania danych Procedura zapisu danych Pomiar ważny do Okres analizy Procedura analizy danych Okres raportowania danych Kwartalnie Komitet Dyrektor komórki właściwej ds. bezpieczeństwa informacji Raporty z przebiegu incydentu związanego z bezpieczeństwem informacji. Baza danych zapisów SZBI. Ustalona zgodnie z potrzebami Agencji. Procedura nadzoru nad zapisami. Przegląd roczny Kwartalny Roczny Raportujący Dyrektor komórki właściwej ds. bezpieczeństwa informacji Źródła danych do analizy Raporty z przebiegu incydentu związanego z bezpieczeństwem informacji. Narzędzia użyte do analizy Arkusz kalkulacyjny Odbiorca informacji Komitet Informacje dodatkowe Dodatkowe wytyczne do analizy Wytyczne do wdrożenia Nazwa miernika Skrót/Kod numeryczny Zabezpieczenie lub cel stosowania zabezpieczeń/ element SZBI Przedmiot pomiaru i atrybuty Zależy od wdrożenia Regulaminu Zarządzania Incydentami Wdrożenie działań korygujących <tbd> ISO/IEC Aby przeciwdziałać wystąpieniom niezgodności związanych z wymaganiami SZBI organizacja powinna podjąć działania w celu wyeliminowania ich przyczyn. 86

87 Przedmiot pomiaru System zarządzania bezpieczeństwem informacji Atrybuty Działania korygujące Określenie mierników podstawowych (dla każdego miernika podstawowego [2]) Mierniki podstawowe LDK wdrożone - Liczba działań korygujących zrealizowanych w ostatnim okresie raportowania. LDK planowane - Liczba działań korygujących zaplanowanych do realizacji za ostatni okres raportowania. Metoda pomiaru Zliczanie działań korygujących. Zakres pomiaru Nominalny Określenie mierników pochodnych Miernik pochodny Procent działań zaplanowanych i zrealizowanych w stosunku do działań zaplanowanych. Funkcja pomiaru DK% = (LDK wdrożone / LDK planowane )* 100 Zakres pomiaru [0-100]% Określenie wskaźnika Opis wskaźnika i przykład Model analityczny Kryteria decyzji Interpretacja wskaźnika Efekt/Skutek Przyczyna odchylenia rend pozytywny Format raportu Wykres słupkowy skumulowany dla całkowitej liczby działań korygujących z podziałem na wdrożone, niewdrożone bez podania uzasadnienia, niewdrożone z podaniem uzasadnienia. Wskaźnik aktualny powinien być porównany ze wskaźnikami z poprzednich okresów pomiarów, tak aby wyznaczyć linię trendu. Niewdrożone w terminie działania korygujące powinny być poddane analizie w celu określenia przyczyn takiego stanu. W zależności od współczynnika niewdrożenia oraz zidentyfikowanych przyczyn mogą być wymagane działania zarządcze. Ponadto, należy poddać analizie trend wdrażania działań korygujących, aby zidentyfikować znaczące pogorszenie lub znaczącą poprawę wykonania. <przykładowe> Zatwierdzone działania korygujące musza być realizowane zgodnie ze wskazanymi priorytetami. Zmiana tych priorytetów może skutkować koniecznością wdrożenia innych działań korygujących lub alokacją zasobów. Działania zarządcze są konieczne, jeśli: 1) ponad 20% działań korygujących nie zostało wdrożonych z uzasadnionych powodów, 2) ponad 40% działań korygujących nie zostało wdrożonych, niezależnie od powodów, 3) procent wdrożeń dla 2 ostatnich okresów sprawozdawczych wykazuje trend spadkowy. <zależy od Agencji> Brak gwarancji ciągłego doskonalenia SZBI. Potencjalne przyczyny odchylenia od wartości oczekiwanej: 1) braki w planowaniu, 2) niewystarczające zasoby, 3) brak personelu o odpowiednich kwalifikacjach, 4) brak zaangażowania kierownictwa. Zmniejszanie się wartości DK% Wykres słupkowy skumulowany. Krótki opis słowny pokazujący znaczenie uzyskanych wyników z rekomendacją 87

88 działań zarządczych. Procedura zbierania danych [Sekcja wypełniana dla każdego miernika podstawowego] Częstość zbierania danych Kwartalnie Dysponent Danych Komitet Zbierający Dane Dyrektor komórki właściwej ds. bezpieczeństwa informacji Narzędzia użyte do Droga służbowa raportowania w Agencji. zbierania informacji Repozytorium dla Arkusz kalkulacyjny zbieranych danych Data zbierania danych Ustalona zgodnie z potrzebami Agencji. Procedura zapisu danych Zgodnie z regulacjami wewnętrznymi Agencji. Pomiar ważny do Przegląd roczny Okres analizy Kwartalny Procedura analizy danych Okres raportowania Roczny danych Raportujący Dyrektor komórki właściwej ds. bezpieczeństwa informacji Źródła danych do analizy Lista działań korygujących zapis generowany w Procedurze działań korygujących. Narzędzia użyte do analizy Arkusz kalkulacyjny Odbiorca informacji Komitet Informacje dodatkowe Dodatkowe wytyczne do ---- analizy Wytyczne do wdrożenia

89 Załącznik nr 3 do Regulaminu Szablon raportu z pomiarów skuteczności 1. Przeznaczenie <raporty z pomiaru skuteczności zabezpieczeń oraz systemu zarządzania są przygotowywane przez dyrektora komórki właściwej ds. bezpieczeństwa informacji, zgodnie z ISO/IEC 27001, rozdział a)-d) oraz rozdział f) i 7.3 a) i e) (w tym drugim przypadku jako dane wejściowe do przeglądu systemu zarządzania bezpieczeństwem informacji)> 2. Lista odnośników <raporty z oceny skuteczności przygotowane na potrzeby poprzednich przeglądów> 3. Opis struktury i zawartości dokumentu <opis dokumentu, w tym organizacja zawartości i treści> 4. Opis mierników <krótka charakterystyka stosowanych mierników skuteczności> 5. Ocena skuteczności wdrożenia zabezpieczeń Mierniki skuteczności zabezpieczeń [poniższa część jest wypełniana dla każdego miernika oddzielnie] Miernik x Wyniki pomiarów <zaprezentowane są wyniki aktualnego pomiaru> Prezentacja wyników <wykresy graficzne uwzględniające wyników pomiarów w poprzednich okresach pomiarów> Wskaźnik bezpieczeństwa informacji <prezentacja sposobu wypracowania wskaźników bezpieczeństwa informacji na podstawie przyjętego modelu analitycznego i kryteriów decyzji> Rekomendacje dla działań zarządczych <na postawie wskaźników bezpieczeństwa informacji uwzględniających kryteria decyzji dyrektora komórki właściwej ds. bezpieczeństwa informacji rekomenduje działania> Mierniki skuteczności systemu zarządzania [poniższa część jest wypełniana dla każdego miernika oddzielnie] Miernik y Wyniki pomiarów <zaprezentowane są wyniki aktualnego pomiaru> Prezentacja wyników <wykresy graficzne uwzględniające wyników pomiarów w poprzednich okresach pomiarów> Wskaźnik skuteczności systemu zarządzania <prezentacja sposobu wypracowania wskaźnika skuteczności systemu zarządzania na podstawie przyjętego modelu analitycznego i kryteriów decyzji> Rekomendacje dla działań zarządczych <na postawie wskaźników skuteczności systemu zarządzania uwzględniających kryteria decyzji dyrektora komórki właściwej ds. bezpieczeństwa informacji rekomenduje działania> 89

90 6. Podsumowanie wyników pomiarów skuteczności <wnioski i rekomendacje dyrektora komórki właściwej ds. bezpieczeństwa informacji> 90

91 Załącznik nr 8 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN ZARZĄDZANIA INCYDENAMI 91

92 SPIS REŚCI: 1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Postępowanie z incydentami Ograniczanie skutków incydentu Odtwarzanie systemu informacyjnego Działania po Zakończeniu incydentu Rejestrowanie informacji o incydentach Gromadzenie materiału dowodowego Załącznik nr 1 do Regulaminu zarządzania incydentami - Instrukcja zabezpieczania komputerów Załącznik nr 2 do Regulaminu zarządzania incydentami - Wzór protokołu zabezpieczenia materiału dowodowego Załącznik nr 3 do Regulaminu zarządzania incydentami - Wzór raportu z incydentu

93 1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji 6. Wszyscy pracownicy Agencji oraz pracownicy reprezentujący podmiot zewnętrzny, którzy mają dostęp do systemów teleinformatycznych Agencji i zobowiązali się do przestrzegania jej regulacji wewnętrznych związanych z bezpieczeństwem informacji, mają obowiązek zgłaszania wszelkich zdarzeń, które naruszają lub mogą naruszyć przepisy prawa oraz polityki, regulaminy i procedury Agencji dotyczące bezpieczeństwa informacji. 7. Zasady zgłaszania zdarzeń związanych z bezpieczeństwem informacji opisane zostały w Regulaminie Użytkownika. 8. Osoba dokonująca zgłoszenia jest informowana przez Inspektora Bezpieczeństwa Informacji /Administratora Zabezpieczeń Fizycznych /HelpDesk o wyniku obsługi zgłoszenia. 9. Administrator Systemu/ Administrator Zabezpieczeń Fizycznych ma obowiązek zareagować na alarm wygenerowany przez moduł automatycznego powiadamiania w systemach wykrywania włamań (systemów teleinformatycznych oraz elektronicznych systemów zabezpieczeń). 10. W przypadku powierzenia obowiązków zarządzania systemami informacyjnymi podmiotom zewnętrznym, powiadamianie Administratora Systemu/ Administratora Zabezpieczeń Fizycznych/ Inspektora Bezpieczeństwa Informacji o zdarzeniu odbywa się na zasadach określonych w umowie o świadczeniu usług. 2. Postępowanie z incydentami 6. Administrator Systemu/ Administrator Zabezpieczeń Fizycznych lub podmiot zewnętrzny działający na podstawie umowy o świadczeniu usługi HelpDesk dokonuje wstępnej identyfikacji zdarzenia i na podstawie dostępnych informacji oraz analizy okoliczności zdarzenia kwalifikuje zdarzenie (lub serię zdarzeń) jako: f) zdarzenie nie mające cech naruszenia bezpieczeństwa informacji, g) incydent związany z naruszeniem bezpieczeństwa informacji. 7. O możliwości zaistnienia przypadku naruszenia bezpieczeństwa informacji mogą świadczyć: 5. nadmierne, w stosunku do wykonywanych zadań (zakres upoważnienia), uprawnienia użytkownika do zasobów systemu, 6. niestabilna praca systemu teleinformatycznego, 7. korzystanie z zasobów systemu poza godzinami pracy (bez zgody przełożonego), 8. nowe podejrzane (nieznane) konta użytkowników, 9. wysoka aktywność kont, które długo pozostawały niewykorzystane, 10. zanotowanie w krótkim czasie dużej liczby nieudanych prób logowania,

94 11. anomalie w pracy systemu lub programu (świadczące np. o obecności wirusa komputerowego), 12. naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach, w których następuje przetwarzanie informacji w Agencji (uszkodzone zamki, okna, drzwi, naruszone plomby, itp.). 8. O incydencie Administrator Systemu/ Administrator Zabezpieczeń Fizycznych/ HelpDesk powiadamia niezwłocznie Inspektora Bezpieczeństwa Informacji. 9. Inspektor Bezpieczeństwa Informacji, we współpracy z Administratorem Systemu oraz, jeśli zachodzi taka potrzeba, z Administratorem Zabezpieczeń Fizycznych, przeprowadza analizę incydentu. 10. Analiza incydentu uwzględnia następujące kryteria: 12. charakter incydentu i jego znaczenie związane z naruszeniem bezpieczeństwa fizycznego lub teleinformatycznego, 13. miejsce wystąpienia incydentu - identyfikacja punktu, w którym nastąpiło zdarzenie (lokalizacja, serwer, stacja robocza itp.), 14. liczba jednostek/ komórek organizacyjnych Agencji, zakres zasobów dotkniętych incydentem, 15. identyfikację zasobów potrzebnych przy dalszych działaniach w ramach postępowania z incydentem związanym z bezpieczeństwem informacji, 16. możliwości rozszerzania się incydentu i sposoby jego ograniczania, 17. szacowany poziom szkód finansowych, 18. rodzaj ujawnionej informacji (jeśli ma zastosowanie np. dane osobowe), 19. szacunkowy czas, po którym skutki incydentu zostaną zlikwidowane, jeżeli nie ma możliwości natychmiastowego usunięcia stanu naruszenia bezpieczeństwa informacji, 20. skutki organizacyjne i prawne (wstępny szacunek). 11. W przypadku, gdy incydent ma skutki przekładające się na możliwość zakłócenia działalności ustawowej bądź statutowej Agencji, dyrektor komórki właściwej ds. bezpieczeństwa informacji informuje niezwłocznie Prezesa Agencji. 12. W przypadku, gdy zasięg i szacunkowy czas trwania powoduje zakwalifikowanie incydentu jako sytuację kryzysową określaną jako zniszczenie lub poważną awarię kluczowych zasobów teleinformatycznych, dyrektor komórki właściwej ds. bezpieczeństwa informacji powiadamia niezwłocznie Prezesa Agencji. Decyzję o konieczności działania, zgodnie z Regulaminem działania ARiMR w sytuacjach kryzysowych, podejmuje Prezes Agencji na każdym etapie postępowania z incydentem, w oparciu o bieżącą analizę rozwoju sytuacji. 13. W przypadku, gdy zasięg incydentu wykracza poza system teleinformatyczny Agencji, Administrator Systemu, w porozumieniu z dyrektorem komórki właściwej ds. bezpieczeństwa informacji i z zastrzeżeniem posiadania stosownej umowy o poufności z właściwymi podmiotami zewnętrznymi, może przekazać do podmiotu zewnętrznego informacje o incydencie zawierające: 14. typ zdarzenia, 15. informacje o odległym systemie, który może być źródłem naruszenia, w tym nazwy serwerów, adresy IP, identyfikatory użytkowników, 16. wszystkie zapisy z rejestrów zdarzeń w określonym przedziale czasowym, 94

95 17. inne informacje określone w umowie z podmiotem zewnętrznym. 18. W przypadku, gdy rodzaj i zasięg incydentu, zidentyfikowany na którymkolwiek z etapów postępowania, uzasadnia potrzebę powiadomienia organów ścigania, to decyzję o sposobie i terminie powiadomienia podejmuje Prezes Agencji. 3. Ograniczanie skutków incydentu 10)HelpDesk/ Administrator Systemu/ Administrator Zabezpieczeń Fizycznych prowadzi bieżącą dokumentację incydentu. Dokumentacja ta w szczególności obejmuje: 5. wszystkie zdarzenia zachodzące w systemie informacyjnym (zapisy systemowych dzienników audytu zdarzeń i dzienników audytu, lub zapisy z elektronicznych systemów zabezpieczeń), 6. wszystkie podejmowane działania (opatrzone datą i czasem), 7. wszystkie przeprowadzone rozmowy (osoba rozmówcy, data i czas zdarzenia, treść rozmowy). 11)Dokumentacja incydentu podlega rygorom ochrony przez tworzenie autoryzowanych kopii tych elementów systemu, które mają zastosowanie przy postępowaniu z incydentem tzn. rejestry urządzeń, systemów operacyjnych i aplikacji, kopie zapasowe, pliki konfiguracyjne i systemowe (zgodnie z rygorami tworzenia materiału dowodowego), bezpieczne przechowywanie tych kopii, przyjęcia dokumentacji oraz jej wszystkich części. 12) Administrator Systemu/ Administrator Zabezpieczeń Fizycznych przeprowadza działania zmierzające do ograniczenia skutków incydentu i zidentyfikowania źródła naruszenia bezpieczeństwa. W tym celu może spowodować zablokowanie części systemu lub dostępnych usług. 13)W przypadku, gdy działania opisane w ust. 3 obejmują wyłączenie lub ograniczenie funkcjonowania zasobów niezbędnych do realizowania celów ustawowych bądź statutowych Agencji, Administrator Systemu/ Administrator Zabezpieczeń Fizycznych przedstawia decyzję do akceptacji Prezesa Agencji, wraz z rekomendacją dyrektora komórki właściwej ds. bezpieczeństwa informacji. 14)Rekomendacja dyrektora komórki właściwej ds. bezpieczeństwa informacji uwzględnia: 5)uzależnienie Agencji od systemu teleinformatycznego (jak długo Agencja może funkcjonować przy całkowitym lub częściowym wyłączeniu systemu), 6)stopień narażenia informacji przetwarzanych w systemach teleinformatycznych Agencji na ujawnienie w przypadku utrzymywania się stanu naruszenia zabezpieczenia, 7)stopień uświadomienia użytkowników (jaka może być reakcja użytkowników na anormalne zachowanie się systemu np. niemożność zarejestrowania się, wyłączenie niektórych funkcji, itp.), 8)konieczność schwytania i ewentualnego ukarania sprawcy (przy założeniu, że istnieją okoliczności umożliwiające takie działanie), 9)konieczność angażowania zasobów systemu informatycznego (jaka część i jak długo), 10) aspekt finansowy, organizacyjny i ludzki podejmowanych działań (jak długo działanie ma trwać, w jakim stopniu zakłóca normalne funkcjonowanie Agencji, jakie są tego koszty). 95

96 15)Przy ograniczaniu skutków incydentu Administrator Systemu/ Administrator Zabezpieczeń Fizycznych, w uzgodnieniu z dyrektorem komórki właściwej ds. bezpieczeństwa informacji, może korzystać z konsultantów zewnętrznych, jeśli Agencja wcześniej zawarła w umowach z tymi podmiotami stosowne zapisy o przekazywaniu i ochronie informacji Agencji. 4. Odtwarzanie systemu informacyjnego 1. Z zastrzeżeniem ust. 4, Administrator Systemu przystępuje do odtworzenia systemu po zidentyfikowaniu i usunięciu lub zablokowaniu źródła incydentu. 2. W przypadku zaistnienia sytuacji, kiedy nastąpiło uruchomienie Planu Zapewnienia Ciągłości Działania ARiMR, odtwarzanie systemu jest realizowane w oparciu o procedury opisane w tym planie. 3. Odtwarzanie systemu odnosi się do punktu odtworzenia, co do którego Administrator Systemu ma uzasadnioną pewność, że nie zawiera źródła incydentu. 4. Zasoby w postaci oprogramowania oraz danych są odtwarzane z oryginalnych źródeł dystrybucji oprogramowania oraz kopii zapasowych. 5. Prezes Agencji, po zasięgnięciu opinii dyrektora komórki właściwej ds. bezpieczeństwa informacji i Administratora Systemu, może podjąć decyzję o podjęciu przetwarzania mimo braku pewności usunięcia źródła incydentu, jeśli szacowane negatywne skutki braku przetwarzania przewyższają potencjalne ryzyko podjęcia działania. 5. Działania po zakończeniu incydentu 3) Dyrektor komórki właściwej ds. bezpieczeństwa informacji, przy wsparciu Administratora Systemu, Właścicieli Zasobów, Administratora Zabezpieczeń Fizycznych, sporządza raport z incydentu, zgodnie ze wzorem zamieszczonym w załączniku nr 3 do niniejszego regulaminu, oraz przedstawia go Komitetowi. 4) Jeśli zachodzi taka potrzeba, to Administrator Systemu/ Administrator Zabezpieczeń Fizycznych sporządza dodatkowy raport techniczny, stanowiący załącznik do raportu wskazanego w ust. 1 i zawierający co najmniej: c) rejestr incydentu, zawierający szczegółowe zapisy chronologiczne dotyczące kolejnych zdarzeń i podejmowanych działań, d) opis incydentu w aspekcie technicznym (zakres incydentu, części systemów dotknięte skutkami incydentu, rozmiar bezpośrednich szkód), e) kopie dzienników (logów zdarzeń, logów audytu) urządzeń, systemów operacyjnych i aplikacji w części systemów, która była dotknięta skutkami incydentu, f) kopię dziennika pracy systemu z okresu trwania incydentu, g) informacje o oryginalnych źródłach dystrybucji oprogramowania oraz kopiach zapasowych wykorzystanych do odtworzenia systemu, h) zakres informacji technicznych przekazanych Podmiotom zewnętrznym uczestniczącym w działaniach związanych z ograniczaniem skutków incydentu. 5) Dyrektor komórki właściwej ds. bezpieczeństwa informacji przedkłada Prezesowi Agencji rekomendacje w zakresie działań zmierzających do zmniejszenia ryzyka powtórzenia incydentu w przyszłości. 96

97 6. Rejestrowanie informacji o incydentach 4) Dyrektor komórki właściwej ds. bezpieczeństwa informacji prowadzi rejestr incydentów zawierający następujące informacje: 8. opis incydentu, 9. datę i godzinę zgłoszenia incydentu, 10. dane identyfikujące osobę zgłaszającą, 11. dane osoby przekazującej informację o incydencie, 12. datę zarejestrowania incydentu, 13. dane identyfikujące osobę rejestrującą incydent, 14. informację o zgromadzonych materiałach dowodowych, 15. informacje dotyczące sposobu postępowania z incydentem. 5) Dyrektor komórki właściwej ds. bezpieczeństwa informacji prowadzi analizy i statystyki incydentów. 6) Dyrektor komórki właściwej ds. bezpieczeństwa informacji zapewnia właściwe wykorzystanie informacji o incydentach związanych z bezpieczeństwem informacji dla celów szkoleniowych i doskonalenia systemu zarządzania bezpieczeństwem informacji. 7. Gromadzenie materiału dowodowego 7)Na każdym etapie postępowania z incydentem, dyrektor komórki właściwej ds. bezpieczeństwa informacji nadzoruje prawidłowość gromadzenia materiału dowodowego. 8)Każdy element materiału dowodowego dokument papierowy, dokument elektroniczny, kopia zapasowa bazy danych lub plików systemowych i konfiguracyjnych, obraz dysku, dzienników (logów) zdarzeń, dzienników audytu jest gromadzony i przechowywany w sposób gwarantujący jego poufność, integralność i kompletność. 9)Każdy element materiału dowodowego jest utrwalany z zachowaniem integralności całego procesu przetwarzania, od utworzenia do ewentualnego przedstawienia jako dowodu w postępowaniu sądowym: 5)dla dokumentów papierowych - oryginał jest bezpiecznie przechowywany wraz z informacją o źródle, czasie i okolicznościach utrwalenia dokumentu, 6)dla zapisów utrwalanych na nośnikach komputerowych sporządzenie kopii zapasowej lub obrazu dysku wraz z udokumentowaniem procesu kopiowania oraz bezpieczne ich przechowanie (np. poza siedzibą Agencji). 10)Zabezpieczenie środków przetwarzania informacji jest przeprowadzane zgodnie z instrukcją zamieszczoną w załączniku nr 1 do niniejszego regulaminu. 11)Protokół ze sporządzenia elementu materiału dowodowego lub zabezpieczenia środków przetwarzania informacji jest sporządzany zgodnie ze wzorem zamieszczonym w załączniku nr 2 do niniejszego regulaminu. 12)Wszelkie działania w systemie teleinformatycznym, związane z postępowaniem z incydentem, mogą być prowadzone wyłącznie z wykorzystaniem kopii zapasowych, obrazów dysków, kopii plików konfiguracyjnych i systemowych, rejestrów 97

98 systemowych i aplikacji, plików dokumentów, identycznych ze sporządzonymi uprzednio kopiami przechowywanymi jako materiał dowodowy. 98

99 Załącznik nr 1 do Regulaminu zarządzania incydentami - Instrukcja zabezpieczania komputerów 7. Odsuń w sposób zdecydowany, ale taktowny całą obsługę od komputerów (mogą później być przydatni). Na czas zabezpieczenia zabroń im korzystania z urządzeń komputerowych i łączności. 8. Jeśli urządzenie jest wyłączone, NIE WŁĄCZAJ GO. 9. Jeśli urządzenie jest włączone, NIE próbuj zamykać programów ani wyłączać komputera. Nie przerywaj drukowania, zabezpiecz, jeśli to możliwe, wykonane wydruki. Zanotuj dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie. Zanotuj wszystkie parametry połączeń komputera: 10. w przypadku połączenia modemowego, zanotuj numer telefoniczny, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS, 11. w przypadku połączenia po sieci kablowej, zanotuj typ połączenia, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS, 12. w przypadku połączenia po sieci bezprzewodowej, zanotuj ustawienia zabezpieczenia sieci adres IP komputera, adresy bramki wychodzącej oraz serwera DNS. 13. Przed zabezpieczeniem zanotuj, w jaki sposób poszczególne części stanowiska są ze sobą połączone. Zrób zdjęcia, wykonaj szkic (plan połączeń z opisem wyposażenia). Oznacz odpowiednio wszystkie przewody i połączenia. 14. Następnie ODŁĄCZ WSZYSIE KABLE ZEWNĘRZNE KOMPUERA. Zanotuj czas odłączenia kabli. 15. Zabezpiecz jednostkę centralną (komputer) oraz inne urządzenia z zainstalowaną na stałe pamięcią masową w wytrzymałych mechanicznie workach foliowych. ZAPLOMBUJ WOREK I WYPEŁNIJ MERYCZKĘ. Metryczka powinna zawierać typ, numer seryjny urządzenia i numer inwentarzowy nadany przez Agencję albo opis jego indywidualnych cech. Wpisz do PROOKOŁU wykonane czynności (Załącznik nr 2 do Regulaminu zarządzania incydentami). 16. Pakuj ostrożnie okablowanie i sprzęt (klawiatury, monitory, drukarki, plotery, skanery, czytniki kart i pamięci, napędy zewnętrzne itp.). 17. Zabezpiecz wszystkie wymienne nośniki komputerowe: pamięci flash, dyskietki, dyskietki ZIP, JAZZ, taśmy streamera, płyty CD, DVD, MO oraz niezamontowane dyski twarde (także uszkodzone). Grupy nośników pakuj zbiorczo (dyskietki, płyty CD itp.). PAKUJ, NUMERUJ poszczególne paczki, PLOMBUJ I OPISZ W PROOKOLE. Wpisz do PROOKOŁU wykonane czynności. 18. Zażądaj od użytkownika spisu oprogramowania zainstalowanego na komputerze, a następnie zgodnie ze spisem - okazania licencji i oryginalnych nośników oprogramowania lub wskazania miejsca przechowywania lub osoby upoważnionej, która zarządza licencjami i oryginalnymi nośnikami oprogramowania. Jeśli użytkownik nie ma spisu oprogramowania, to zażądaj okazania wszystkich posiadanych przez niego licencji i oryginalnych nośników oprogramowania. Oznaczenia licencji i nośników wpisz do protokółu, a następnie zabezpiecz jako materiał porównawczy. Wpisz do protokołu wykonane czynności. 19. Zażądaj od użytkownika przekazania instrukcji programów pisanych na zamówienie lub programów nietypowych (np. FK). Zabezpiecz jako materiał porównawczy i wpisz do protokołu wykonane czynności. 99

100 20. Zażądaj od użytkowników i administratora podania parametrów dostępu do BIOS-u, systemu operacyjnego i oprogramowania (kont, haseł, identyfikatorów, itp.), a następnie zabezpiecz je przed osobami postronnymi za pomocą bezpiecznej koperty. Wpisz czynność przejęcia parametrów dostępu do protokołu. 21. Przechowuj zabezpieczone materiały (nośniki i sprzęt) w miejscach suchych i chłodnych z daleka od urządzeń emitujących pole elektromagnetyczne, a bezpieczne koperty w sejfie. Uwagi końcowe: 22. Sprawdź przed odesłaniem zgodność numerów zabezpieczonych materiałów i dowodów z treścią protokołu (zwróć uwagę na puste pudełka i nośniki pozostawione w napędach komputerowych i innych urządzeniach), 23. Skontaktuj się z odpowiednią komórką organizacyjną Agencji w celu zorganizowania przewozu i badań zabezpieczonych materiałów. PAMIĘAJ: NIE PRÓBUJ SAMODZIELNIE BADAĆ KOMPUERA, ANI ZAWAROŚCI NOŚNIKÓW DANYCH. KAŻDE WOJE WŁĄCZENIE KOMPUERA PO ZAKOŃCZENIU ZABEZPIECZENIA WYWOŁUJE POWSANIE ŚLADÓW WSKAZUJĄCYCH NA NARUSZENIE INEGRALNOŚCI MAERIAŁU BADAWCZEGO. 100

101 Załącznik nr 2 do Regulaminu zarządzania incydentami - Wzór protokołu zabezpieczenia materiału dowodowego PROOKÓŁ ZABEZPIECZENIA MAERIAŁU DOWODOWEGO Wykonano w dniu... o godzinie... w obecności: Świadek 1: <imię i nazwisko, stanowisko, komórka organizacyjna Agencji> Świadek 2: <imię i nazwisko, stanowisko, komórka organizacyjna Agencji> Świadek 3: <imię i nazwisko, niezależny ekspert> Rodzaj materiału dowodowego (zaznaczyć właściwe kwadraty i wpisać odpowiednie nazwy i oznaczenia) Dokument papierowy Dokument elektroniczny Kopia zapasowa Rodzaj i Nazwa dokumentu:... Rodzaj i Nazwa dokumentu:... System operacyjny Nazwa i wersja systemu:... Baza danych Nazwa i wersja bazy:... Aplikacja Nazwa i wersja aplikacji:... Oznaczenie nośnika... Obraz dysku Lokalizacja dysku (adres IP/IPX):... yp i nr seryjny dysku:... Pliki konfiguracyjne i/lub systemowe System operacyjny Nazwa i wersja systemu:... Baza danych Nazwa i wersja bazy:... Aplikacja Nazwa i wersja aplikacji:... Nazwa(y) Pliku(ów) Kopie zawartości dzienników (logów) zdarzeń... System operacyjny Nazwa i wersja systemu:... Aplikacja Nazwa i wersja aplikacji:... Baza danych Nazwa i wersja bazy:... Nazwa(y) Pliku(ów) Kopia zawartości zewnętrzna wewnętrzna 101

102 skrzynki pocztowej Nazwa skrzynki pocztowej:... Za okres od:... Opis czynności (opisać kolejne czynności z zaznaczeniem Wykonawcy(ów)) Wytworzony materiał dowodowy Wykonano kopie materiału dowodowego w 2 egzemplarzach, którym nadano etykiety:..., Egzemplarz nr 1..., Egzemplarz nr 2 (wprowadzić krótkie oznaczenie zabezpieczonego materiału dowodowego, zgodnie z kategorią wskazaną w pkt. I, datą i godziną wykonania) Zabezpieczenie materiału dowodowego (opisać sposób zabezpieczenia jednego z egzemplarzy) Protokół sporządził:... Podpisano: Świadek Świadek Świadek

103 Załącznik nr 3 do Regulaminu zarządzania incydentami - Wzór raportu z incydentu Miejscowość, data RAPOR O INCYDENCIE BEZPIECZEŃSWA INFORMACJI A. ZGŁOSZENIE INCYDENU (wypełnia osoba zgłaszająca zdarzenie/incydent) DANE OSOBY ZGŁASZAJĄCEJ Imię i nazwisko Stanowisko służbowe. Adres.. Nr telefonu . OPIS INCYDENU: Komu zgłoszono:. Data i godzina zgłoszenia:. Podpis osoby zgłaszającej 103

104 B. DZIAŁANIA PO ZAISNIENIU INCYDENU (wypełnia osoba rozpatrująca zgłoszenie incydentu) DANE OSOBY, KÓRA PRZYJĘŁA ZGŁOSZENIE INCYDENU - HELPDESK/ ADMINISRAOR SYSEMU/ ADMINISRAOR ZABEZPIECZEŃ FIZYCZNYCH/ IBI Imię i nazwisko... Stanowisko Adres Nr telefonu INFORMACJE O INCYDENCIE Data i czas zajścia incydentu Data i czas wykrycia incydentu.. Data i czas zgłoszenia incydentu Czy incydent jest zakończony? AK NIE Jeśli tak, to jak długo trwał (dni/godziny/minuty)? Jeśli nie, należy określić jak długo już trwa? Kogo powiadomiono z KIEROWNICWA? OPIS WSĘPNY / PODJĘE DZIAŁANIA / ZABEZPIECZENIE MAERIAŁU DOWODOWEGO Załączniki (materiał dowodowy): OPIS ROZWIĄZANIA PROBLEMU / KOSZY ODWORZENIA Imię i Nazwisko. Data Podpis 104

105 C. POSĘPOWANIE WYJAŚNIAJĄCE/ ZAKOŃCZENIE INCYDENU (wypełnia osoba prowadząca postępowanie wyjaśniające IBI w Centrali/OR) Data rozpoczęcia postępowania ws. incydentu Data zakończenia incydentu (jeśli jest zakończony) Data zamknięcia skutków incydentu Data zakończenia postępowania ws. incydentu Data przedstawienia incydentu na KSBI USALENIA OPIS POSĘPOWANIA - SPRAWCY INCYDENU (w tym opis postępowania dyscyplinarnego, jeśli takie ma miejsce) WNIOSKI I REKOMENDACJE (w tym zalecenia dotyczące zmian w SZBI) WYKAZ DOŁĄCZONYCH DOKUMENÓW DANE OSÓB PROWADZĄCYCH POSĘPOWANIE WYJAŚNIAJĄCE Imię i Nazwisko. Nazwisko Imię i 105

106 Stanowisko.. Stanowisko Data.. Data.. Podpis Podpis 106

107 Załącznik nr 9 do zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN ZARZĄDZANIA RYZYKIEM Spis treści: 1 Definicje

108 2 Organizacja zarządzania ryzykiem Szacowanie ryzyka Plan postępowania z ryzykiem Akceptowanie ryzyka Informowanie o ryzyku Klasyfikacja zasobów informacyjnych dla potrzeb zarządzania ryzykiem Szacowanie następstw i kryteria skutków Kryteria szacowania ryzyka Szacowanie podatności Funkcja ryzyka Estymowanie ryzyka Ocena ryzyka Załącznik nr 1 do Regulaminu zarządzania ryzykiem Metodyka szacowania ryzyka Załącznik nr 2 do Regulaminu zarządzania ryzykiem - Procesowy opis metodyki szacowania ryzyka Załącznik nr 3 do Regulaminu zarządzania ryzykiem - Uaktualniona baza danych zagrożeń, podatności i ryzyk

109 1. Definicje Użyte w regulaminie określenia oznaczają: 1) analiza ryzyka - systematyczne wykorzystanie informacji do zidentyfikowania źródeł i estymowania ryzyka, 2) następstwo potencjalną stratę o charakterze materialnym lub niematerialnym wynikającą z incydentu związanego z bezpieczeństwem informacji, 3) ocena ryzyka działanie polegające na porównywaniu oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka, 4) podatność - słabość zasobu lub grupy zasobów, która może być wykorzystana, przez co najmniej jedno zagrożenie, 5) postępowanie z ryzykiem działanie polegające na wyborze i wdrażaniu środków modyfikujących ryzyko, 6) program szacowania ryzyka zaplanowane działania w odniesieniu do wskazanego procesu realizowanego w Agencji lub części struktury organizacyjnej Agencji podejmowane w celu uszczegółowienia wyników szacowania ryzyka, 7) ryzyko szczątkowe ryzyko pozostałe po postępowaniu z ryzykiem, 8) scenariusz incydentu opis sytuacji incydentu związanego z bezpieczeństwem informacji, w której zagrożenie wykorzystuje określoną podatność lub zbiór podatności, 9) szacowanie ryzyka - całościowe działanie polegające na analizie i ocenie ryzyka, 10) zagrożenie - potencjalną przyczynę niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji, 11) zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka, 12) źródło - czynnik lub działanie stanowiące potencjalną przyczynę incydentu, w odniesieniu do ryzyka związanego z bezpieczeństwem informacji są identyfikowane źródła ryzyka w postaci zagrożeń i podatności. 2. Organizacja zarządzania ryzykiem 7. Nadzór nad procesem zarządzania ryzykiem sprawuje Komitet. 8. Komitet podejmuje decyzje dotyczące: 1) kryteriów szacowania skutków, oceny ryzyka oraz akceptowania ryzyka, 2) akceptowania planu postępowania z ryzykiem. 9. Do szczegółowych zadań Komitetu w zakresie metodyki szacowania ryzyka należy: 1) inicjowanie zmian w metodyce, 2) zatwierdzanie programów szacowania ryzyka, 3) analizowanie znaczących zmian w obszarze ryzyka związanego z bezpieczeństwem informacji, 109

110 4) zatwierdzanie zmian w systemie zarządzania bezpieczeństwem informacji doskonalących proces zarządzania ryzykiem. 10. Dyrektor komórki właściwej ds. bezpieczeństwa informacji realizuje i koordynuje działania w procesie zarządzania ryzykiem. 11. Do szczegółowych zadań dyrektora komórki właściwej ds. bezpieczeństwa informacji w obszarze systemu zarządzania bezpieczeństwem informacji należy: 1) opracowywanie metodyki szacowania ryzyka oraz rekomendacji przedstawianych Komitetowi dotyczących zmian w metodyce, 2) opracowywanie kryteriów szacowania następstw, oceny ryzyka i akceptowania ryzyka oraz rekomendacji przedstawianych Komitetowi dotyczących zmian kryteriów, 3) rozwój metodyki i narzędzi wspierających szacowanie ryzyk, 4) opracowywanie programów szacowania ryzyka, 5) koordynowanie działań związanych z zarządzaniem ryzyka, wymagających uczestnictwa komórek organizacyjnych, jednostek organizacyjnych Agencji lub podmiotów zewnętrznych, 6) przygotowywanie, uzgadnianie z Właścicielami Zasobów i uaktualnianie planów postępowania z ryzykiem, 7) przygotowywanie okresowych raportów dotyczących uaktualnień programów szacowania ryzyka i planu postępowania z ryzykiem, 8) szkolenie Właścicieli Zasobów oraz kierowników komórek i jednostek organizacyjnych w Agencji w zakresie szacowania następstw, 9) monitorowanie zmian elementów ryzyka, w szczególności zagrożeń podatności, warunków (wewnętrznych i zewnętrznych) funkcjonowania systemów informacyjnych Agencji mających wpływ na proces zarządzania ryzykiem, 10) formułowanie rekomendacji dotyczących doskonalenia procesu zarządzania ryzykiem, 11) realizowanie działań z zakresu informacji zarządzania ryzykiem przypisanych dyrektorowi komórki właściwej ds. bezpieczeństwa informacji w dokumentach niższego poziomu. 12. Właściciele Zasobów oraz, w razie potrzeby, inni kierownicy komórek i jednostek organizacyjnych realizują programy szacowania ryzyka w zakresie: 1) identyfikacji i klasyfikacji zasobów na potrzeby szacowania ryzyka, 2) identyfikacji scenariuszy incydentów, 3) szacowania następstw dla zasobów. 13. Właściciele Zasobów oraz, w razie potrzeb, inni kierownicy komórek i jednostek organizacyjnych udzielają niezbędnych informacji dyrektorowi komórki właściwej ds. bezpieczeństwa informacji w zakresie identyfikowania podatności, zagrożeń oraz zmian warunków funkcjonowania zasobów mających wpływ na szacowanie ryzyka. W tym celu spośród podległych sobie pracowników wyznaczają osoby do roboczych kontaktów z komórką podległą dyrektorowi komórki właściwej ds. bezpieczeństwa 110

111 informacji. W oddziałach regionalnych taką rolę spełniają pracownicy zatrudnieni na Samodzielnym stanowisku pracy ds. bezpieczeństwa. 3. Szacowanie ryzyka 6. Programy szacowania ryzyka są opracowywane przez dyrektora komórki właściwej ds. bezpieczeństwa informacji w celu zaadresowania potrzeb Agencji dotyczące zakresu i szczegółowości szacowania ryzyka. 7. Programy szacowania ryzyka mogą być opracowywane na potrzeby: 1) systemu zarządzania bezpieczeństwem informacji, w tym działań korygujących, zapobiegawczych oraz przeglądu tego systemu, 2) planów zachowania ciągłości działania. 8. Programy szacowania ryzyka mogą różnić się zasięgiem terytorialnym, oraz poziomem szczegółowości analizowanych zasobów i obejmować: 1) procesy zdefiniowane w Agencji, realizowane na poziomie Centrali, oddziałów regionalnych lub biur powiatowych, 2) systemy teleinformatyczne pracujące w Agencji, 3) aplikacje biznesowe pracujące w Agencji, 4) infrastrukturę jednostek organizacyjnych Agencji. 9. Właściciele Zasobów, przy współpracy z dyrektorem komórki właściwej ds. bezpieczeństwa informacji, identyfikują źródła ryzyka w zakresie zarządzanych zasobów, uzyskując do tego celu dodatkowe informacje od kierowników komórek i jednostek organizacyjnych Agencji, podmiotów zewnętrznych, a także na podstawie informacji dostępnych publicznie oraz raportów komórek właściwych ds. kontroli wewnętrznej i audytu wewnętrznego. 10. Dyrektor komórki właściwej ds. bezpieczeństwa informacji określa odpowiednie scenariusze incydentów, dla których jest szacowane ryzyko, w uzgodnieniu z Właścicielami Zasobów lub kierownikami komórek lub jednostek organizacyjnych, właściwymi dla zakresu szacowania ryzyka. 11. Dyrektor komórki właściwej ds. bezpieczeństwa informacji może przeprowadzić konsultacje wyników szacowania ryzyka z Właścicielami Zasobów lub kierownikami komórek lub jednostek organizacyjnych. 12. Metodyka szacowania ryzyka jest opisana w załączniku nr 1 do niniejszego regulaminu. 4. Plan postępowania z ryzykiem 1. Dyrektor komórki właściwej ds. bezpieczeństwa informacji opracowuje wg propozycji Właścicieli Zasobów plan postępowania z ryzykiem na podstawie wyników szacowania ryzyka oraz zatwierdzonych kryteriów oceny ryzyka. 2. Plan postępowania z ryzykiem podlega akceptacji przez Komitet. 3. Przed przedłożeniem do Komitetu planu postępowania z ryzykiem dyrektor komórki właściwej ds. bezpieczeństwa informacji ma obowiązek skonsultowania 111

112 proponowanych wariantów z Właścicielami Zasobów lub, w razie potrzeb, z innymi kierownikami komórek lub jednostek organizacyjnych i uzyskania oceny wykonalności. 4. W przypadku negatywnej oceny wykonalności proponowanego wariantu postępowania z ryzykiem Właściciel Zasobu lub, w razie potrzeb, inny kierownik komórki lub jednostki organizacyjnej przedstawia pisemne uzasadnienie. 5. Akceptowanie ryzyka 1. Określone ryzyka szczątkowe zawarte w planie postępowania z ryzykiem akceptują Właściciele Zasobów lub, w razie potrzeb, inni kierownicy komórek lub jednostek organizacyjnych pod warunkiem, że Komitet zawarł takie uprawnienie podczas zatwierdzenia konkretnego programu szacowania ryzyka, a wartość oszacowanego ryzyka szczątkowego nie przekracza wartości progowej kryterium akceptowania ryzyka dla Komitetu. 2. W przypadku, gdy wartości ryzyk szczątkowych przekraczają kryterium akceptowania ryzyka dla Komitetu - Komitet przedkłada tę część planu postępowania z ryzykiem Prezesowi Agencji z rekomendacją dalszego postępowania. 6. Informowanie o ryzyku 1. Zagadnienia dotyczące natury i specyfiki ryzyka, charakterystycznych dla działań związanych z realizacją zadań ustawowych bądź statutowych Agencji, są obowiązkowym elementem szkoleń pracowników Agencji z zakresu bezpieczeństwa informacji. 2. Dyrektor komórki właściwej ds. bezpieczeństwa informacji oraz Właściciele Zasobów i, w razie potrzeb, inni kierownicy komórek oraz jednostek organizacyjnych mają obowiązek niezwłocznego informowania, z zachowaniem drogi służbowej obowiązującej w Agencji, o pojawiających się nowych zagrożeniach, podatnościach systemów informacyjnych Agencji lub zmieniających się uwarunkowaniach funkcjonowania tych systemów, które mogą mieć wpływ na poziom szacowanego ryzyka lub plan postępowania z ryzykiem. 3. Dyrektor komórki właściwej ds. bezpieczeństwa informacji przedstawia informację o aktualnym stanie realizacji zatwierdzonych programów szacowania ryzyka na każdym posiedzeniu Komitetu. 4. Identyfikowanie i szacowanie ryzyk związanych z bezpieczeństwem informacji jest obowiązkowym elementem opinii dyrektora komórki właściwej ds. bezpieczeństwa informacji załączanej do projektów umów zawieranych przez Agencję oraz wewnętrznych aktów normatywnych Agencji. 5. Prezes Agencji otrzymuje od Komitetu okresowy raport dotyczący ryzyka związanego z bezpieczeństwem informacji. 7. Klasyfikacja zasobów informacyjnych dla potrzeb zarządzania ryzykiem 1. Zasobami podstawowymi są procesy i informacje zasadnicze z punktu widzenia działalności ustawowej bądź statutowej Agencji. Do zasobów podstawowych zalicza się: 112

113 1) procesy: a) procesy główne, których utrata lub obniżenie poziomu funkcjonowania uniemożliwia realizację ustawowych bądź statutowych zadań, b) procesy pomocnicze, które obejmują przetwarzanie informacji wrażliwych, 2) informacje: a) informacje o charakterze strategicznym z punktu widzenia realizacji celów ustawowych bądź statutowych Agencji, b) dane osobowe i inne informacje prawnie chronione, c) informacje o dużym koszcie pozyskania, wymagające długotrwałego przechowywania. 2. Zasoby wspierające obejmują zasoby o charakterze technicznym i nietechnicznym i są to: 1) sprzęt urządzenia służące do przetwarzania danych: a) serwery, stacje robocze, laptopy, b) urządzenia peryferyjne (np. drukarki, faksy), c) stacjonarne urządzenia do przechowywania danych (np. biblioteki taśmowe), d) wymienne nośniki komputerowe, e) inne nośniki informacji (w tym wydruki papierowe), 2) sieć składającą się z: a) urządzeń telekomunikacyjnych używanych do połączenia odległych elementów systemu teleinformatycznego (pasywnych lub aktywnych routery, przełączniki, koncentratory), b) mediów transmisyjnych, protokołów i urządzeń teletransmisyjnych (np. publiczna sieć komutowana, GigaEthernet, ADSL), c) interfejsów telekomunikacyjnych i adapterów (np. GPRS, Ethernet), 3) oprogramowanie służące do przetwarzania danych: a) systemy operacyjne, b) oprogramowanie serwisowe, narzędziowe lub administracyjne, c) oprogramowanie standardowe (tzw. ofoliowane), d) aplikacje biznesowe (standardowe lub dedykowane), 4) personel składający się ze wszystkich grup osób zaangażowanych w realizowany proces lub działalność, w tym: a) osoby decyzyjne (np. Właściciele Zasobów, kierownik projektu), b) użytkownicy, c) operatorzy i administratorzy, d) projektanci systemów, 5) siedziba składająca się ze wszystkich fizycznych konstrukcji, instalacji oraz systemów wspomagających, umożliwiających działanie systemów informatycznych, w tym: 113

114 a) otoczenie zewnętrzne (usytuowanie geograficzne, sąsiedztwo innych organizacji, ogrodzenie terenu), b) strefy chronione (np. biuro, strefy o ograniczonym dostępie, strefy bezpieczeństwa), c) podstawowe usługi (łącza telekomunikacyjne, zasilanie, systemy wentylacyjnoklimatyzacyjne, wodno-kanalizacyjne, ogrzewanie), 6) organizacja obejmująca wszelkie aspekty związane ze strukturą organizacyjną, w tym: a) kierownictwo, b) struktura organizacji, c) organizacja zorientowana projektowo lub systemowo, d) podwykonawcy, dostawcy, wytwórcy. 8. Szacowanie następstw i kryteria skutków 1. Kryteria skutków wskazują skalę wartości dla szacowania następstw (konsekwencji). 2. Na potrzeby szacowania ryzyka przyjmuje się, iż następstwa mogą mieć charakter materialny (strata finansowa, koszty odtworzenia) lub niematerialny (następstwa prawne, utrata wizerunku). 3. Przy szacowaniu następstw materialnych bierze się pod uwagę: 1) koszt wymiany, zastąpienia zasobów lub ich części, 2) koszt pozyskania, instalacji i konfiguracji nowych zasobów lub odtworzonych z kopii zapasowych, 3) straty wynikłe z incydentu, w tym koszt braku działalności ustawowej nim spowodowany. 4. Przyjmuje się określenie wartości następstw materialnych w następujący sposób: 1) zasoby zwykłe (wartość niska ), które są łatwo odtwarzalne lub zastępowalne i od których nie zależy bezpośrednio funkcjonowanie Agencji - określenie niska dla Agencji oznacza wartość nie większą niż euro, 2) zasoby wartościowe (wartość średnia ), które są kosztowne lub trudno zastępowalne, ale od których nie zależy bezpośrednio funkcjonowanie Agencji - określenie średnia dla Agencji oznacza wartość nie większą niż euro, 3) zasoby kluczowe (wartość wysoka ) - niezbędne do realizowania zadań ustawowych Agencji - określenie wysoka dla Agencji oznacza wartość równą lub większą niż euro. 5. Dla potrzeb przyjętej jakościowej metodyki estymowania poziomów ryzyka przyjmuje się następujące wartości kosztów odtworzenia dla zasobów informacyjnych (z wyłączeniem zasobów ludzkich): 1 - niska wartość odtworzenia zasobów, 2 - średnia wartość odtworzenia zasobów, 3 wysoka wartość odtworzenia zasobów. 6. W przypadku zasobów ludzkich przyjmuje się następujące kryteria wartościowania następstw materialnych (kosztów odtworzenia): 1) Niski koszt odtworzenia zasobu - niski poziom wymaganych kwalifikacji (stąd możliwość zastępstwa), brak dostępu do informacji uznanych za wrażliwe, 114

115 2) Średni koszt odtworzenia zasobu wymagane wysokie kwalifikacje (brak prostych możliwości zastępstwa) lub dostęp do informacji uznanych za wrażliwe, 3) Wysoki koszt odtworzenia zasobu - wymagane wysokie kwalifikacje i dostęp do informacji uznanych za wrażliwe. 7. Dla potrzeb przyjętej jakościowej metodyki przyjmuje się następujące wartości następstw materialnych (kosztów odtworzenia) w przypadku zasobów ludzkich: 1 - wartość niska, 2 - wartość średnia, 3 - wartość wysoka. 8. Wartości następstw materialnych mogą być podwyższane, jeśli charakterystyka zasobów uwzględnia: 1) zależność między zasobami, czyli: a) jeżeli wartość zasobów zależnych (np. danych) jest niższa lub równa wartości rozpatrywanych zasobów (np. oprogramowania), to ich wartość pozostaje bez zmian, b) jeżeli wartość zasobów zależnych (np. danych) jest wyższa od wartości rozpatrywanych zasobów (np. oprogramowania), to ich wartość należy podwyższyć, biorąc pod uwagę stopień uzależnienia i wartość zależnych zasobów, 2) koszty ewentualnych przestojów, czyli należy podwyższyć wartość zasobu, jeśli ich zakłócenie pracy powoduje pojawienie się przestojów w innym obszarze działalności Agencji, 3) potencjalne straty wynikające z incydentu, czyli należy podwyższyć wartość konsekwencji dla danego zasobu, jeśli następstwa dla części zasobów mogą powodować straty w innych obszarach działalności Agencji (np. konieczność przesunięcia zasobów z innych rodzajów działalności do obszaru dotkniętego incydentem, wypłata odszkodowań, odsetki karne). 9. W przypadkach, o których mowa w ust. 8, wartość następstw dla danych zasobów może zostać podwyższona o 1 w przypisanej skali wartości. 10. Dla następstw niematerialnych (następstwa prawne i utrata wizerunku) przyjmuje się logiczną (0-1) wartość tych następstw: 0 - jeśli nie występują, 1 - w przeciwnym przypadku. 11. Wartość następstw może być dziedziczona. Jeżeli zostanie zidentyfikowane ryzyko dla zasobów podstawowych, to wszystkim zasobom wspierającym należy przypisać tę samą wartość następstwa. 9. Kryteria szacowania ryzyka 1. Prawdopodobieństwo zrealizowania się scenariusza incydentu obejmuje szacowanie dwóch składników: prawdopodobieństwa występowania zagrożenia oraz charakterystyki podatności zasobów informacyjnych. 2. Prawdopodobieństwo wystąpienia zagrożenia jest szacowane w oparciu o charakterystykę zagrożeń specyficzną dla danego systemu zarządzania bezpieczeństwem informacji. 3. Przy szacowaniu prawdopodobieństwa wystąpienia zagrożenia należy uwzględnić: 1) charakterystykę zagrożeń (jak często występują, zgodnie z doświadczeniem, dającymi się do zastosowania statystykami itp.), 115

116 2) motywację, czyli zmienne w czasie możliwości (przewidywane i potrzebne), postrzeganie atrakcyjności oraz podatności zasobów dla potencjalnego atakującego dla źródeł zagrożeń rozmyślnych, 3) czynniki geograficzne jak bliskość źródeł zagrożeń środowiskowych, możliwość wystąpienia ekstremalnych warunków pogodowych oraz czynniki wpływające na błędy ludzkie i awarie urządzeń dla źródeł zagrożeń przypadkowych. 4. Dla celów szacowania ryzyka przyjmuje się następujące wielkości prawdopodobieństwa zagrożeń: 1 - zagrożenie niskie, 2 - zagrożenie średnie, 4 zagrożenie wysokie. 10. Szacowanie podatności 1. Podatności zasobów informacyjnych są analizowane w kontekście istniejących zabezpieczeń i odzwierciedlają łatwość ich wykorzystania przez zagrożenie. 2. Przyjmuje się następujące parametry analizowanych zabezpieczeń: 1) zabezpieczenie zostało wdrożone i funkcjonuje, a jego skuteczność została potwierdzona podatność w danym punkcie należy określić jako niską, 2) zostały zidentyfikowane słabości zabezpieczenia, zabezpieczenie zostało uznane za częściowo wdrożone lub nieskuteczne dla tego zabezpieczenia podatność uznaje się za średnią, 3) nie ma zabezpieczenia lub istniejące jest nieskuteczne lub nie funkcjonuje należycie dla tego zabezpieczenia podatność uznaje się za dużą. 3. Dla celów szacowania ryzyka przyjmuje się następujące wielkości podatności zasobów informacyjnych: 1 - podatność niska, 2 - podatność średnia, 4 - podatność wysoka. 11. Funkcja ryzyka Dla każdego scenariusza incydentu (kategorii ryzyka) ryzyko jest kalkulowane dla każdego składnika zbioru zasobów informacyjnych w następujący sposób: A i pr ( j V k ) = R ijk gdzie: A i jest wielkością następstw szacowanych dla danego składnika a i zbioru zasobów, zgodnie z zasadami wskazanymi w 8, pr( j xv k ) prawdopodobieństwo, że dane zagrożenie j wykorzysta podatność V k składnika a i zbioru zasobów i w efekcie zmaterializuje się scenariusz. 12. Estymowanie ryzyka 1. Dla ryzyk materialnych elementy ryzyka przybierają wartości z następujących przedziałów liczb naturalnych: 1) następstwa dla zasobów informacyjnych {1,...,6}, 2) charakterystyka zagrożenia {1, 2, 4}, 3) charakterystyka podatności (z uwzględnieniem istniejących zabezpieczeń) {1, 2, 4}, 116

117 2. Dla ryzyk niematerialnych następstwa dla zasobów przybierają wartość z przedziału liczbowego {0,1}, wartości dla zagrożeń i podatności pozostają bez zmian. 13. Ocena ryzyka 1. Maksymalny poziom estymowanego ryzyka dla ryzyk materialnych wynosi 96. Z charakterystyki funkcji ryzyka wynika, że w przypadku Agencji należy podjąć działania w ramach postępowania z ryzykiem, jeśli wartość ryzyka będzie na poziomie 25% poziomu maksymalnego, czyli Maksymalny poziom estymowanego ryzyka dla ryzyk niematerialnych wynosi 16. W przypadku Agencji należy podjąć działania w ramach postępowania z ryzykiem, jeśli wartość ryzyka będzie na poziomie 50% poziomu maksymalnego, czyli Podane w ust. 1 i 2 wartości progowe podlegają weryfikacji w ramach procesu zarządzania bezpieczeństwem informacji oraz samego procesu zarządzania ryzykiem. Wartości progowe mogą być modyfikowane w miarę zidentyfikowanych potrzeb Agencji. 117

118 Załącznik nr 1 do Regulaminu zarządzania ryzykiem Metodyka szacowania ryzyka Zastosowany model zarządzania ryzykiem 1.1 Proces zarządzania ryzykiem Proces zarządzania ryzykiem dla potrzeb Agencji został opracowany na podstawie normy ISO/IEC Główne komponenty procesu zarządzania ryzykiem zostały przedstawione na rysunku 1. Rysunek 1. Model zarządzania ryzykiem (na podstawie ISO/IEC 27005) 1.2 Komponenty procesu W modelu zarządzania ryzykiem wyróżnione zostały następujące komponenty procesu: 1) Wyznaczenie kontekstu Wyznaczenie kontekstu strategicznego, organizacyjnego i związanego z zarządzaniem ryzykiem. Przyjęcie struktury szacowania ryzyka. 118

119 Przyjęcie kryteriów, według których następuje szacowanie ryzyka w organizacji oraz zasady akceptowania ryzyka. 2) Szacowanie ryzyka składa się z analizy i oceny ryzyka (szczegółowa metodyka, zgodna z tym komponentem procesu, została zaprezentowana w pkt 2). 3) Analiza ryzyka składa się z identyfikacji i estymacji ryzyka. 4) Identyfikacja ryzyka Następuje identyfikacja przyczyn i sposobu objawiania się niepożądanych incydentów. Obejmuje identyfikowanie zasobów, zagrożeń, podatności i potencjalnych następstw zidentyfikowanych scenariuszy incydentów. 5) Estymacja ryzyka dokonanie analizy ryzyka przez szacowanie konsekwencji w kontekście istniejących zabezpieczeń oraz prawdopodobieństwa zmaterializowania się scenariuszy incydentów. Prawdopodobieństwo incydentu oraz jego konsekwencje są wartościami wejściowymi funkcji estymacji ryzyka. 6) Ocena ryzyka Porównanie wyznaczonych poziomów ryzyka z ustalonymi wstępnie kryteriami umożliwia ustalenie priorytetów zarządzania ryzykiem. Ryzyka uznane za niskie są akceptowane a te, dla których wartość przekracza ustalone poziomy podlegają dalszemu postępowaniu. 7) Postępowanie z ryzykiem Opracowanie i wdrożenie planu zarządzania ryzykiem z uwzględnieniem kryteriów oceny ryzyka. (zob. rysunek 2). 8) Akceptowanie ryzyka Ryzyka pozostałe po rozważeniu wariantów postępowania z ryzykiem i opracowaniu planu postępowania z ryzykiem, określane jako ryzyka szczątkowe, są akceptowane. 9) Informowanie o ryzyku - Informowanie i konsultowanie się z uczestnikami procesu zarządzania ryzykiem (wewnętrznymi i zewnętrznymi) na każdym etapie procesu zarządzania ryzykiem. 10) Monitorowanie i przegląd ryzyka monitorowanie i przegląd zarówno elementów ryzyka, jak i procesu zarządzania ryzykiem oraz doskonalenie tego procesu. 119

120 1.3 Akceptowanie ryzyka Rysunek 2. Warianty postępowania z ryzykiem 1. Niezależnie od przyjętego wariantu postępowania z ryzykiem, akceptowanie ryzyka polega na porównaniu z ustalonymi na etapie ustanawiania kontekstu kryteriami akceptowania ryzyka. Jeśli ryzyko przekracza te kryteria, to kierownictwo może podjąć decyzję o wszczęciu dodatkowych działań celem zmniejszenia ryzyka lub zaakceptować go w takiej wartości, w jakiej jest, z uwagi na inne czynniki uniemożliwiające podjęcie działań. 2. Wyniki procesu akceptowania ryzyka stanowią informacje wejściowe dla procesu monitorowania i przeglądu ryzyka, ponieważ z uwagi na zmiany w organizacji lub zmiany zagrożeń i podatności, ryzyka zaakceptowane mogą stać się nie akceptowalnymi. W takim przypadku powinien zostać uruchomiony proces postępowania z ryzykiem. 1.4 Informowanie o ryzyku 1. Agencja powinna ustanowić procedury informowania o ryzyku realizowane na styku kierownictwa i pozostałych uczestników tego procesu. 2. Plany informowania o ryzyku powinny uwzględniać zarówno normalny przebieg procesów ustawowych, statutowych, jak i działania w sytuacjach nadzwyczajnych. 120

121 3. Należy opracować procedury komunikacji między wewnętrznymi oraz zewnętrznymi uczestnikami procesu (np. organami nadzorującymi), ze szczególnym uwzględnieniem komórek odpowiedzialnych za wizerunek Agencji. 1.5 Monitorowanie i przegląd 1. Poziom ryzyka w organizacji powinien być ciągle monitorowany przez monitorowanie jego następujących elementów: 1) nowych lub zwiększonych zagrożeń pojawiających się zarówno na zewnątrz, jak i wewnątrz organizacji, 2) szacowaniu prawdopodobieństwa zdarzeń, 3) analizowaniu, czy nowe lub zwiększone podatności mogą umożliwić zagrożeniom ich wykorzystanie, 4) analizowaniu zwiększonych konsekwencji szacowanych zagrożeń, podatności i ryzyk, których agregacja może spowodować przekroczenie kryteriów akceptacji ryzyka. 2. Przebieg procesu monitorowania ryzyka sprawia, że należy zapewnić ciągłą dostępność zasobów organizacyjnych i technicznych, które mogą go realizować. 3. Proces monitorowania ryzyka obejmuje ponadto regularną weryfikację kryteriów i wartości progowych używanych do pomiaru ryzyka oraz jego elementów, zapewniając, że są one spójne z celami ustawowymi, statutowymi, strategiami i politykami a zmiany w tym zakresie są odpowiednio adresowane w procesie zarządzania ryzykiem. 4. Monitorowanie i przegląd procesu zarządzania ryzykiem dotyczy w szczególności: 1) kontekstu prawnego i umownego Agencji, 2) kryteriów szacowania ryzyka, 3) kategorii zasobów i ich wartościowania, 4) kryteriów akceptowania ryzyka, 5) kontrolowania kosztów zarządzania ryzykiem. Opis metodyki szacowania ryzyka 2.1 Podejście do szacowania ryzyka Ryzyka związane z bezpieczeństwem informacji są szacowane, a następnie porównywane z uprzednio określonymi kryteriami w celu stwierdzenia, czy można je zaakceptować, czy wymagają dalszego postępowania. 2.2 Szacowanie ryzyka ujęcie procesowe W załączniku nr 2 do Regulaminu przedstawiono procesowy opis metodyki szacowania ryzyka, zgodnie z ISO/IEC Podejście to stanowi dodatkowe doprecyzowanie dotychczasowego podejścia w następujących elementach: 1) scenariusz incydentu pojęcie używane zamiast kategorii ryzyka, scenariusze są wybierane w momencie identyfikowania następstw (konsekwencji) dla zasobów jako jednej z dwóch miar ryzyka zrealizowania się danego scenariusza incydentu. 2) szacowanie następstw (konsekwencji) dla zasobów- pojęcie używane zamiast wartościowania zasobów wprowadzone na skutek spojrzenia na ryzyko z 121

122 perspektywy biznesowej bezpieczeństwa informacji, a nie jako ryzyka związanego stricte z systemami teleinformatycznymi. 3) funkcja ryzyka zaproponowana w niniejszym opracowaniu funkcja ryzyka zastępuje funkcję dotychczasową jako lepiej opisująca znaczenie poszczególnych czynników ryzyka. 2.3 Identyfikowanie elementów ryzyka Na identyfikowanie elementów ryzyka składają się działania w następujących obszarach: 1) identyfikowanie i klasyfikowanie zasobów, 2) identyfikowanie i klasyfikowanie zagrożeń (dla potrzeb szacowania ryzyka należy usystematyzować i opisać zagrożenia; referencyjna baza zagrożeń została zawarta została w Załączniku nr 3 do Regulaminu zarządzania ryzykiem), 3) identyfikowanie istniejących zabezpieczeń (identyfikacja i opis stanu zabezpieczeń wdrożonych w ARiMR zostały przedstawione w Raporcie z uaktualnienia stanu przygotowania Agencji Restrukturyzacji i Modernizacji Rolnictwa do wdrożenia systemu zarządzania bezpieczeństwem informacji wg norm ISO/IEC /ISO/IEC (27002) opracowanego w ramach realizacji umowy 94/BB/2007/2617), 4) identyfikowanie i klasyfikowanie podatności (na podstawie danych zebranych w trakcie przeglądu zabezpieczeń wdrożonych i oceny ich skuteczności, zbudowano referencyjną bazę podatności - zob. załącznik nr 3 do Regulaminu zarządzania ryzykiem). 2.4 Identyfikowanie scenariuszy incydentów i ich konsekwencji Określone scenariusze incydentów umożliwiają oszacowanie ryzyk, zarówno materialnych, dla których konsekwencje utraty poufności, dostępności i integralności można rozważać w kategoriach strat i kosztów, jak i niematerialnych, dla których konsekwencje utraty poufności, integralności i dostępności nie dadzą w prosty sposób przełożyć się na wartości wymierne (np. skutki prawne oraz utrata wizerunku). Do celu szacowania ryzyk w Agencji przyjęto m.in. następujące scenariusze incydentów: 1) przerwa w działalności Agencji (dla danego procesu) trwająca 3 dni, 2) ujawnienie danych osobowych beneficjentów, 3) utrata integralności procesu (uzyskanie niespójnych rezultatów przetwarzania). Powyższe scenariusze będą rozważane dla kategorii ryzyk (tam, gdzie będą miały zastosowanie) materialnych i niematerialnych. 2.5 Estymowanie ryzyka Szacowanie następstw dla zasobów Szacowanie konsekwencji zmaterializowania się scenariuszy incydentów związanych z bezpieczeństwem informacji w postaci utraty poufności, integralności lub dostępności dla zasobów obejmuje ich wartościowanie z punktu widzenia możliwych następstw (krótko-, długo-okresowych) dla konkretnych zasobów i dla konkretnego scenariusza incydentu (kategorii ryzyka). Szacowanie prawdopodobieństwa zrealizowania scenariusza incydentu Prawdopodobieństwo zrealizowania się scenariusza incydentu obejmuje szacowanie dwóch składników: prawdopodobieństwa wykorzystania podatności zasobów przez zagrożenia. 122

123 Prawdopodobieństwo zagrożeń Prawdopodobieństwo wystąpienia zagrożenia jest szacowane w oparciu o charakterystykę zagrożeń specyficzną dla danego systemu zarządzania bezpieczeństwem informacji. Przy szacowaniu prawdopodobieństwa wystąpienia zagrożenia należy uwzględnić: 1) charakterystykę zagrożeń (jak często występują, zgodnie z doświadczeniem, dającymi się do zastosowania statystykami itp.), 2) motywacja, zmienne w czasie możliwości (przewidywane i potrzebne), postrzeganie atrakcyjności oraz podatności zasobów dla potencjalnego atakującego dla źródeł zagrożeń rozmyślnych, 3) czynniki geograficzne takie, jak bliskość źródeł zagrożeń środowiskowych, możliwość wystąpienia ekstremalnych warunków pogodowych oraz czynniki wpływające na błędy ludzkie i awarie urządzeń dla źródeł zagrożeń przypadkowych. Szacowanie podatności Podatności są analizowane w kontekście stosowanych zabezpieczeń, co odzwierciedla łatwość ich wykorzystania przez zagrożenie. W metodyce przyjęto następujące parametry analizowanych zabezpieczeń: 1) zabezpieczenie zostało wdrożone i funkcjonuje, a jego skuteczność została potwierdzona podatność w danym punkcie (dla konkretnych zasobów) należy określić jako niewielką, 2) zostały zidentyfikowane słabości zabezpieczenia, zabezpieczenie zostało uznane za częściowo wdrożone lub nieskuteczne dla tego zabezpieczenia, w odniesieniu do zasobów, podatność uznaje się za średnią, 3) nie ma zabezpieczenia lub istniejące jest nieskuteczne lub nie funkcjonuje należycie dla tego zabezpieczenia podatność uznaje się za dużą. 2.6 Wzór funkcji ryzyka Dla każdego scenariusza incydentu (kategorii ryzyka) ryzyko jest kalkulowane dla każdego składnika zbioru zasobów w następujący sposób: A i pr ( j V k ) = R ijk Gdzie: A i jest wielkością następstw konsekwencji szacowanych dla danego składnika (a i ) zbioru zasobów, pr( j V k ) prawdopodobieństwo, że dane zagrożenie j wykorzysta podatność V k składnika a i zbioru zasobów i w efekcie zmaterializuje się scenariusz. Należy szczególnie podkreślić, że ryzyko dla scenariusza incydentu stanowi zbiór ryzyk, z których każde realizuje ten scenariusz. Miarą tego ryzyka jest kombinacja prawdopodobieństwa wystąpienia scenariusza oraz jego konsekwencji w odniesieniu do konkretnego składnika ze zbioru zasobów. Na Rysunku 3 przedstawiono przykład szacowania ryzyka dla jednego ryzyka ze zbioru ryzyk, jakie powstają dla każdego scenariusza incydentu. Dla danego zasobu (a i ) są szacowane konsekwencje (A i ) zmaterializowania się z określonym prawdopodobieństwem - scenariusza, w którym zagrożenie j wykorzysta podatność V k, powodując wynikowe ryzyko R ijk. 123

124 Rysunek 3. Przykład powstania ryzyka dla danego scenariusza incydentu 2.7 Ocena ryzyka Porównanie z kryteriami akceptowania ryzyka daje podstawę do przystąpienia do tworzenia planu postępowania z ryzykiem. 2.8 Statystyczne podejście do wyników szacowania ryzyka Liczba i rozkład ryzyk uzasadnia statystyczne podejście do uzyskanych wyników i wyciąganie wniosków na podstawie analizy zależności o charakterze statystycznym. Podstawowymi parametrami analizy są: 1) rozkład ryzyk o poszczególnych poziomach wartości, 2) stosunek ryzyk nieakceptowalnych do akceptowalnych w danej kategorii (RN), 3) częstotliwość występowania zagrożeń powodujących ryzyka o nieakceptowalnym poziomie, 4) częstotliwość występowania podatności powodujących ryzyka o nieakceptowalnym poziomie, Analiza ryzyk nieakceptowalnych pozwala na wskazanie kierunków działań - przesunięcia ryzyk w obszary o niższych wartościach, analiza częstotliwości podatności wskazuje priorytety działań w poszczególnych kategoriach ryzyk. 2.9 Wnioski na podstawie wyników szacowania ryzyka Wnioski wypływające z szacowania ryzyka pozwalają stworzyć harmonogram działań umożliwiających ograniczenie lub wyeliminowanie podatności, które przyczyniają się do tworzenia ryzyka o nieakceptowanej wartości Kierunki działań Analiza parametru RN (gdzie: RN - stosunek ryzyk nieakceptowalnych do akceptowalnych w danej kategorii) w poszczególnych kategoriach ryzyka pozwala zidentyfikować te z nich, które wymagają największej liczby działań mających na celu wzmocnienie zabezpieczeń. Przykładowo, jeśli: 1) nieupoważniona modyfikacja danych lub oprogramowania, 2) przerwa w działalności statutowej Agencji, to scenariusze incydentów, w których zidentyfikowano relatywnie największą liczbę ryzyk nieakceptowalnych, to pierwsza z kategorii może wskazywać na konieczność wzmocnienia 124

125 prowadzonego nadzoru, regulowania dostępu, druga na podniesienie bezawaryjności systemów przetwarzających oraz wzmocnienie ochrony fizycznej Priorytety działań Jakkolwiek z samej nazwy ryzyka nieakceptowalne wymagają podjęcia działań, to ich kolejność można ustalić na podstawie rankingu zagrożeń lub podatności (w różnych znanych metodykach wykorzystuje się jeden albo drugi). W metodyce wykorzystuje się ranking podatności, których eliminowanie w określonej kolejności przekłada się na natychmiastowe efekty w postaci zarówno zmniejszenia poziomu, jak i samej liczby ryzyk nieakceptowalnych. 3. Kryteria akceptowania ryzyka Akceptowanie ryzyka przez Komitet następuje w przypadku, gdy w planie postępowania z ryzykiem wartości szacowane dla ryzyka szczątkowego będą mniejsze od wartości wskazanych w 12 Regulaminu. W przypadku, gdy oszacowane ryzyko szczątkowe będzie miało wartość wyższą niż wartość progowa, decyzję w sprawie zaakceptowania ryzyka jest przekazywana przez Komitet do Prezesa wraz z rekomendacjami. Rekomendacje zawierają dodatkową charakterystykę ryzyka: 1) rodzaj ryzyka (poziom ryzyka jest akceptowany, jeśli jest to ryzyko materialne, nie może być akceptowane, jeśli dotyczy następstw prawnych lub utraty wizerunku), 2) długość okresu, w którym ryzyko będzie utrzymywać się na wskazanym poziomie (czas, po którym realizacja wariantu postępowania z ryzykiem, będzie możliwa), 3) zasoby i nakłady, jakie trzeba przewidzieć w budżecie i strukturze organizacyjnej, aby wariant postępowania z ryzykiem stał się realizowalny. 125

126 punkt Załącznik nr 2 do Regulaminu zarządzania ryzykiem - Procesowy opis metodyki szacowania ryzyka Opis kolejnych kroków Elementy metodyki Wejście Wyjście Identyfikacja (źródeł) ryzyka Identyfikacja zasobów Lista zasobów, ich składniki, lokalizacja, właściciele Sklasyfikowane zasoby Identyfikacja zagrożeń Lista katalogowa zagrożeń Lista zagrożeń z podziałem na typy i źródła Identyfikacja istniejących zabezpieczeń Dokumentacja istniejących zabezpieczeń, plany postępowania z ryzykiem Lista istniejących zabezpieczeń, ich status i stan użytkowania Identyfikacja podatności Identyfikacja konsekwencji Estymacja ryzyka Oszacowanie konsekwencji Lista znanych zagrożeń, Lista zasobów i wdrożonych zabezpieczeń Lista zasobów i procesów biznesowych; Lista zagrożeń i podatności w relacji do zasobów (tam, gdzie ma zastosowanie) Lista scenariuszy incydentów, ze zidentyfikowanymi zagrożeniami, podatnościami, zasobami, których scenariusz dotyczy, następstwami w relacji do zasobów i procesów biznesowych Lista podatności w relacji do zasobów, zagrożeń i zabezpieczeń Lista scenariuszy incydentów w relacji do zasobów i procesów biznesowych. Lista oszacowanych konsekwencji scenariusza incydentu wyrażona w odniesieniu do zasobów i kryteriów skutków Oszacowanie prawdopodobieństwa scenariusza incydentu Lista zidentyfikowanych scenariuszy incydentów, ze zidentyfikowanymi zagrożeniami, podatnościami, zasobami, których scenariusz dotyczy, konsekwencjami w relacji do zasobów i procesów biznesowych. Listy istniejących i planowanych zabezpieczeń oraz ich skuteczność Prawdopodobieństwo scenariuszy incydentów Poziomy estymacji ryzyka 8.3. Ocena ryzyka Lista scenariuszy incydentów w relacji do zasobów i procesów biznesowych oraz ich prawdopodobieństwo 8.3 Ocena ryzyka Lista ryzyk z przypisanymi poziomami wartości oraz kryteria oceny ryzyka Lista ryzyk z przypisanymi poziomami wartości Lista ryzyk priorytetowych zgodnymi z kryteriami oceny ryzyka w odniesieniu do scenariuszy incydentów prowadzących do tych ryzyk

127 Załącznik nr 3 do Regulaminu zarządzania ryzykiem - Uaktualniona baza danych zagrożeń, podatności i ryzyk Baza zagrożeń Baza zagrożeń została opracowana na podstawie Załącznika C normy ISO/IEC Grupa zagrożeń Nazwa zagrożenia Awaria techniczna awaria oprogramowania, Awaria techniczna blokada na poziomie logicznym (zalew informacji), Fizyczne zniszczenie katastrofa budowlana, Fizyczne zniszczenie pożar, Fizyczne zniszczenie uszkodzenie jednostki centralnej lub serwera centralnego, Fizyczne zniszczenie zanieczyszczenie (brud, kurz), Fizyczne zniszczenie zniszczenie łącza BP/OR, Fizyczne zniszczenie zniszczenie budynku, Fizyczne zniszczenie zniszczenie pomieszczenia serwerowni, Fizyczne zniszczenie zużycie nośników, Naruszenie bezpieczeństwa kradzież, informacji Naruszenie bezpieczeństwa odzyskanie skasowanych danych, informacji Naruszenie bezpieczeństwa podglądanie, informacji Naruszenie bezpieczeństwa podsłuch, informacji Naruszenie bezpieczeństwa szpiegostwo, informacji Naruszenie funkcjonalności błąd administratora, Naruszenie funkcjonalności błąd programisty, Naruszenie funkcjonalności błąd projektanta lub instalatora systemu teleinformatycznego, Naruszenie funkcjonalności błąd użytkownika systemu, Naruszenie funkcjonalności brak rozliczalności działań administratora, Naruszenie funkcjonalności włamanie, Naruszenie funkcjonalności skasowanie zawartości logów, Naturalne zdarzenie huragan, Naturalne zdarzenie ładunki elektrostatyczne, Naturalne zdarzenie temperatura, Naturalne zdarzenie trzęsienie ziemi, Naturalne zdarzenie wilgotność, Naturalne zdarzenie woda (powódź, zalanie), Naturalne zdarzenie wyładowanie atmosferyczne, Nieuprawnione działanie "social engineering", Nieuprawnione działanie manipulacje danymi, Nieuprawnione działanie maskarada tożsamości, Nieuprawnione działanie naruszenie bezpieczeństwa, Nieuprawnione działanie nieautoryzowany dostęp fizyczny, Nieuprawnione działanie nieautoryzowany dostęp logiczny,

128 Grupa zagrożeń Nieuprawnione działanie Nieuprawnione działanie Nieuprawnione działanie Nieuprawnione działanie Utrata podstawowych usług Utrata podstawowych usług Utrata podstawowych usług Utrata podstawowych usług Utrata podstawowych usług Utrata podstawowych usług Zakłócenia spowodowane promieniowaniem Zakłócenia spowodowane promieniowaniem Nazwa zagrożenia nieuprawnione użycie nośników, atak terrorystyczny, zero-day exploit, złośliwe oprogramowanie, awaria klimatyzacji, awarie systemów zasilających, uszkodzenie sieci komputerowej, uszkodzenie sieci komputerowej BP/OR, uszkodzenie sieci komputerowej CPD/OR, utrata personelu, promieniowanie elektromagnetyczne, promieniowanie termiczne, Baza podatności Baza podatności została opracowana na podstawie Załącznika D normy ISO/IEC Grupa podatności Nazwa podatności dokumenty brak aktualizacji Planów Zapewnienia Ciągłości Działania, dokumenty brak dokumentacji systemów, dokumenty brak dokumentacji wymaganej prawem, dokumenty brak dokumentów polityki bezpieczeństwa informacji i ISMS, dokumenty brak dzienników operatorów, dokumenty brak kontroli zmian, dokumenty brak listy osób upoważnionych do dostępu do określonej informacji, dokumenty brak opracowanych planów zapewnienia ciągłości działania, dokumenty brak procedur dostępu do pomieszczeń, dokumenty brak procedur eksploatacji elektronicznych systemów zabezpieczeń, dokumenty brak procedur eksploatacyjnych, dokumenty brak procedur eksploatacyjnych ROPD, dokumenty brak procedur postępowania ze sklasyfikowaną informacją, dokumenty brak procedur testowania PZCD dla ROPD, dokumenty brak procedur wymiany danych i oprogramowania, dokumenty brak procedury monitorowania użycia urządzeń do przetwarzania informacji, dokumenty brak rejestrów zdarzeń dla celów audytu, dokumenty brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa, dokumenty brak wymagań bezpieczeństwa w procesach rozwojowych (umowach), dokumenty brak zabezpieczenia dokumentów przechowywanych, dokumenty niedostateczne procedury kontroli zmian, 128

129 Grupa podatności dokumenty łączność łączność łączność oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie oprogramowanie organizacja organizacja organizacja organizacja organizacja organizacja organizacja organizacja organizacja organizacja personel personel personel personel personel sieć Nazwa podatności niedostateczne procedury rekrutacji, brak zabezpieczenia linii telekomunikacyjnych, brak zabezpieczenia transmisji wrażliwych informacji, transmitowanie haseł w jawnej postaci, brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne), brak autoryzacji użytkowanych kodów mobilnych, brak kontroli pobieranego oprogramowania, brak lub niedostateczne mechanizmy 'patch management', brak lub niewystarczające procedury testowania oprogramowania, brak mechanizmów identyfikacji i uwierzytelniania, brak mechanizmów monitorowania, brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji, niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł), niekontrolowane kopiowanie, niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne, skomplikowany interfejs użytkownika, użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa, znane błędy (dziury) w oprogramowaniu, znane podatności baz danych (replikacja), brak regularnych audytów, brak testowania Planów Zachowania Ciągłości Działania, brak testowania urządzeń zasilających, brak wykonywania zadań wynikających z dokumentów określających politykę bezpieczeństwa informacji i ISMS, brak wykonywanych regularnie procedur nadzoru, brak wymagań bezpieczeństwa na stanowiskach pracy, brak wyznaczonych Właścicieli Zasobów, niewłaściwy przydział uprawnień dostępu, praca pracowników podmiotów zewnętrznych bez nadzoru, przechowywanie kopii w miejscu wytworzenia, absencja personelu, brak Inspektora Bezpieczeństwa Informacji, brak stosowania polityki czystego biurka i ekranu, brak wylogowania się przy opuszczaniu miejsca pracy, braki w szkoleniu w zakresie bezpieczeństwa, brak alternatywnych dróg połączenia, 129

130 Grupa podatności sprzęt sprzęt sprzęt sprzęt środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura środowisko i infrastruktura Nazwa podatności brak kopii zapasowych/archiwalnych, niewłaściwe wycofywanie nośników z użycia, niewłaściwe zabezpieczenie okablowania, pojedynczy punkt uszkodzenia (brak rezerwy), brak elektronicznej kontroli dostępu, brak fizycznej ochrony budynków, drzwi, okien, brak gwarantowanego zasilania, brak mechanicznych i budowlanych systemów zabezpieczeń, brak monitorowania przez wyspecjalizowane jednostki SP, brak planów wymiany infrastruktury, brak systemów sygnalizacji napadu i włamania, lokalizacja na terenie zagrożonym powodzią, stan techniczny budynku, stan techniczny instalacji grzewczych, stan techniczny instalacji odgromowych, stan techniczny instalacji zasilania, stan techniczny systemu ogrzewania, usytuowanie budynku, wrażliwość na promieniowanie elektromagnetyczne, wrażliwość na wilgotność, wrażliwość na zanieczyszczenie (kurz), wrażliwość na zmiany napięcia, wrażliwość na zmiany temperatury, Baza ryzyk Rodzaj ryzyka materialne niematerialne niematerialne materialne, prawne, utrata wizerunku, Scenariusze incydentów Rodzaj następstwa Przerwa w działalności Agencji (dla danego procesu) trwająca min. 3 dni. Ujawnienie danych osobowych beneficjentów. Utrata integralności procesu (uzyskanie niespójnych rezultatów przetwarzania). 130

131 Załącznik nr 10 do Zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II 70, Warszawa REGULAMIN BEZPIECZEŃSWA INFORMACJI W ZARZĄDZANIU ZASOBAMI LUDZKIMI 131

132 Spis treści: 1 Postępowanie rekrutacyjne Podjęcie pracy Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji Zakończenie zatrudnienia Przeniesienie pracownika w ramach Agencji Długotrwałe urlopy i zwolnienia lekarskie Załącznik nr Załącznik nr 2. 8 Załącznik nr

133 1. Postępowanie rekrutacyjne 1. Postępowanie rekrutacyjne odbywa się zgodnie z regulacjami art. 11 do art. 18 ustawy z dn. 9 maja 2008 r. o Agencji Restrukturyzacji i Modernizacji Rolnictwa (ze zm.) oraz zarządzeniem Prezesa Agencji w sprawie wprowadzenia regulaminu określającego zasady i tryb zatrudniania pracowników w ARiMR. 2. Agencja potwierdza za zgodność z oryginałem dokumenty aplikacyjne wszystkich osób zatrudnianych w ARiMR. 3. Kandydat do pracy w ARiMR składa oświadczenie o korzystaniu z pełni praw publicznych oraz o niekaralności za przestępstwo popełnione umyślnie. 2. Podjęcie pracy 1. Warunki przystąpienia do pracy, w zależności od zakresu obowiązków, uwzględniają następujące aspekty bezpieczeństwa: 1) przeszkolenie pracownika w zakresie tematycznym wynikającym z obowiązków i odpowiedzialności na zajmowanym stanowisku w Agencji, 2) oświadczenie pracownika o zapoznaniu się z odpowiednimi regulaminami, procedurami, zarządzeniami w sprawie bezpieczeństwa informacji w ARiMR przyjmuje pracownik komórki właściwej ds. kadrowych i przechowuje w teczce akt osobowych pracownika, 3) szkolenia pracowników Centrali ARiMR z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji przeprowadzane są przed uzyskaniem dostępu do zasobów informacyjnych Agencji; szkolenia prowadzą pracownicy komórki właściwej ds. bezpieczeństwa informacji; komórka ta zobowiązana jest do prowadzenia ewidencji osób przeszkolonych z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji - wzór ewidencji określa załącznik nr 3 do regulaminu, 4) szkolenia pracowników oddziałów regionalnych i biur powiatowych ARiMR z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji przeprowadzane są przed uzyskaniem dostępu do zasobów informacyjnych Agencji; 133

134 szkolenie prowadzi pracownik zatrudniony na Samodzielnym stanowisku pracy ds. bezpieczeństwa w oddziale regionalnym; pracownik ten zobowiązany jest do prowadzenia ewidencji osób przeszkolonych z zakresu ochrony danych osobowych, informacji wrażliwych i bezpieczeństwa informacji - wzór ewidencji określa załącznik nr 3 do regulaminu; w wyjątkowych przypadkach szkolenie dla stażystów, praktykantów i wolontariuszy może przeprowadzić kierownik biura powiatowego, do którego dane osoby zostały skierowane, 5) zobowiązanie pracownika do zachowania w poufności informacji prawnie chronionych, również poza siedzibą Agencji i godzinami pracy, a także po ustaniu zatrudnienia bądź zakończeniu wykonywania usług na rzecz Agencji, zgodnie z wymogami 15 ust. 5 i 6 Regulaminu ochrony danych osobowych, 6) upoważnienie pracownika do przetwarzania danych osobowych nadaje się zgodnie z trybem zawartym w rozdziale 6 Regulaminu ochrony danych osobowych, 7) zakres uprawnień do pracy w systemie teleinformatycznym ARiMR w Centrali (systemy operacyjne, usługi sieciowe, aplikacje) jest nadawany po odbyciu szkoleń, o których mowa w 2 pkt 3 na wniosek dyrektora komórki organizacyjnej, w której pracownik został zatrudniony, zgodnie z procedurą zawartą w KP ARiMR, 8) zakres uprawnień do pracy w systemie teleinformatycznym ARiMR w oddziałach regionalnych i biurach powiatowych (systemy operacyjne, usługi sieciowe, aplikacje) jest nadawany po odbyciu szkoleń, o których mowa w 2 pkt 4 na wniosek dyrektora oddziału regionalnego /kierownika biura powiatowego, w którym pracownik został zatrudniony, zgodnie z procedurą zawartą w KP ARiMR. 2. Warunki, o których mowa w ust. 1, dotyczą zarówno pracowników, jak i stażystów, praktykantów i wolontariuszy. 3. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji 1. Bezpośredni przełożony jest odpowiedzialny za prowadzenie bieżącej kontroli szkoleń i przestrzegania zasad bezpieczeństwa przez podległych pracowników. 2. Dyrektor komórki właściwej ds. bezpieczeństwa informacji jest obowiązany do rozpoznawania potrzeb, koordynowania i przygotowywania planów szkoleń z różnych obszarów bezpieczeństwa informacji dla różnych grup odbiorców. 134

135 3. Szkolenia pracowników mają na celu uzyskanie przez nich optymalnego poziomu wiedzy i umiejętności, które pozwolą właściwie korzystać z systemów przetwarzania informacji. 4. Okresowo szkolenia są powtarzane, ze szczególnym uwzględnieniem: 1) zmian przepisów prawa, 2) zmian wewnętrznych uregulowań, 3) podnoszenia świadomości z zakresu bezpieczeństwa informacji. 5. Uczestnictwo w szkoleniach z zakresu bezpieczeństwa informacji jest dokumentowane w systemie e-szkoleń (z wyłączeniem szkoleń, o których mowa w 2 ust. 1 pkt 1, 3 i 4). 4. Zakończenie zatrudnienia 1. Kierujący komórką właściwą ds. kadrowych w Centrali /oddziale regionalnym niezwłocznie informuje dyrektora komórki organizacyjnej w Centrali /dyrektora oddziału regionalnego o terminie rozwiązania stosunku pracy z podległym mu pracownikiem oraz informuje Administratora Systemu i Administratora Zabezpieczeń Fizycznych o konieczności odebrania wszystkich uprawnień dostępu przyznanych pracownikowi na zajmowanym stanowisku. 2. Administrator Systemu i Administrator Zabezpieczeń Fizycznych blokują dostęp do odpowiednich systemów /aplikacji /zasobów /pomieszczeń zgodnie z informacjami, o których mowa w ust W przypadku rozwiązania stosunku pracy z dyrektorem komórki organizacyjnej Centrali, dyrektorem OR, lub członkiem Kierownictwa Agencji, dyrektor komórki właściwej ds. kadrowych informuje o tym fakcie Administratora Systemu oraz Administratora Zabezpieczeń Fizycznych, który blokuje dostęp tego użytkownika do systemów /aplikacji /zasobów /pomieszczeń Agencji. 4. Pracownik zobowiązany jest do rozliczenia się przed bezpośrednim przełożonym z prowadzonych przez siebie spraw i pism, nad którymi pracował. 5. Pracownik jest zobowiązany do zwrotu powierzonego mu mienia Agencji w momencie zakończenia stosunku pracy i uzyskania stosownego potwierdzenia tego faktu. Potwierdzeniem rozliczenia się z daną komórką organizacyjną jest złożenie podpisu przez kierującego tą komórką na karcie obiegowej. Wzór karty obiegowej dla pracowników Centrali określa załącznik nr 1 do regulaminu, natomiast dla pracowników oddziałów regionalnych i biur powiatowych załącznik nr 2 do regulaminu. 135

136 6. Kartę obiegową dołącza się do akt osobowych pracownika. 5. Przeniesienie pracownika w ramach Agencji 1. Kierujący komórką właściwą ds. kadrowych w Centrali /oddziale regionalnym każdorazowo informuje Administratora Zabezpieczeń Fizycznych o zmianie komórki zatrudnienia przez pracownika (data przeniesienia, nazwa komórki, do której przeniesiony zostaje pracownik) oraz informuje Administratora Systemu o konieczności odebrania wszelkich uprawnień dostępu do systemu i aplikacji nadanych na dotychczasowym stanowisku. 2. Administrator Zabezpieczeń Fizycznych aktualizuje prowadzone przez siebie rejestry, w tym rejestr osób upoważnionych do pobierania kluczy, o którym mowa w 4 Regulaminu bezpieczeństwa fizycznego i środowiskowego. 3. Kierujący komórką organizacyjną, do której pracownik został przeniesiony, wnioskuje do Administratora Systemu o przyznanie uprawnień dostępu do systemu i aplikacji, do których pracownik powinien mieć przyznany dostęp zgodnie z nowym zakresem obowiązków. Wnioskowanie odbywa się zgodnie z procedurą zawartą w KP ARiMR. 6. Długotrwałe urlopy i zwolnienia lekarskie 1. W przypadkach długotrwałych zwolnień lekarskich, urlopów bezpłatnych, macierzyńskich i wychowawczych, których długość trwania przekracza 30 dni, dyrektor komórki właściwej ds. kadrowych / dyrektor oddziału regionalnego występuje z wnioskiem do Administratora Systemu o zablokowanie dostępu do systemu i aplikacji na czas nieobecności pracownika. 2. W przypadku przedłużenia terminu nieobecności w stosunku do wcześniej podanego wniosek jest ponawiany. 136

137 Załącznik nr 1 do Regulaminu KARA OBIEGOWA Imię i Nazwisko:.. Stanowisko:.. Biuro/Departament:.. * Stosunek pracy rozwiązany z dniem.. / Przeniesienie do innej komórki/jednostki organizacyjnej w dniu. ADNOACJE Dyrektor Departamentu Komórka ds. finansowych Komórka ds. informatyki Komórka ds. majątku Archiwum Zakładowe Biuro Prezesa Komórka ds. płac i spraw socjalnych Komórka ds. podnoszenia kwalifikacji zawodowych PZU (komórka ds. kadrowych) Komórka ds. bezpieczeństwa informacji Komórka ds. administracyjnych Komórka ds. osobowych * niepotrzebne skreślić 137

138 Załącznik nr 2 do Regulaminu KARA OBIEGOWA Imię i Nazwisko:.. Stanowisko:.. Biuro/ Samodzielne stanowisko pracy.. * Stosunek pracy rozwiązany z dniem.. / Przeniesienie do innej komórki/jednostki organizacyjnej w dniu. ADNOACJE Dyrektor Oddziału Regionalnego Kierownik Biura w OR / Kierownik BP Naczelnik Wydziału Samodzielne stanowisko pracy ds. BHP Kierownik Biura Oddziału Regionalnego Komórka ds. finansowo-księgowych Samodzielne stanowisko pracy ds. informatyki Samodzielne stanowisko pracy ds. bezpieczeństwa Komórka ds. kadrowych Komórka ds. szkoleniowych * niepotrzebne skreślić 138

139 Załącznik nr 3 do Regulaminu Rejestr osób przeszkolonych przez komórkę właściwą ds. bezpieczeństwa informacji (Centrala) / pracownika zatrudnionego na Samodzielnym stanowisku pracy ds. bezpieczeństwa (OR) w zakresie ochrony danych osobowych, informacji wrażliwych i zasad polityki bezpieczeństwa informacji Lp Data szkolenia Imię i nazwisko osoby prowadzącej szkolenie komórka organizacyjna dane osoby szkolonej Imię i nazwisko Potwierdzenie odbycia szkolenia - podpis

140 Załącznik nr 11 do Zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr 70, Warszawa REGULAMIN ROZWOJU APLIKACJI (w aspekcie bezpieczeństwa informacji) 140

141 1. Definicje Użyte w regulaminie określenia oznaczają: 1) autentyczność - właściwość zapewniającą, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; autentyczność dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja; 2) dokumentacja kompletny zestaw opisów, rysunków i innych informacji umożliwiających poprawne użytkowanie i eksploatowanie aplikacji; 3) dokumentacja analityczna kompletny, jednoznaczny i spójny opis wszystkich funkcji aplikacji; 4) infrastruktura teleinformatyczna - środowisko złożone z systemów komputerowych i urządzeń łącznie z systemami operacyjnymi, oprogramowaniem narzędziowym systemu operacyjnego i oprogramowaniem baz danych; 5) kopia zapasowa duplikat danych, przechowywany na wymiennym nośniku komputerowym, służący do odtworzenia systemu, aplikacji, bazy danych lub dokumentu; 6) modyfikacja zmianę aplikacji uzyskaną na skutek spełnienia jednego lub kilku warunków, np. zmiany istniejącej funkcjonalności aplikacji lub rozbudowę aplikacji o nową funkcjonalność, bądź zmianę dokumentacji; 7) niezaprzeczalność możliwość przeprowadzenia dowodu, że działanie lub zdarzenie miało miejsce, tak że nie można temu działaniu lub zdarzeniu później zaprzeczyć; 8) platforma aplikacyjna umieszczone na infrastrukturze teleinformatycznej oprogramowanie standardowe, z których ARiMR korzysta na podstawie licencji i w oparciu o które wdrożono aplikacje ARiMR; 9) rozliczalność - właściwość zapewniającą, że działania podmiotu/osoby mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi/osobie; 10) zmiana działanie lub ciąg działań mających na celu uzyskanie innego stanu systemu teleinformatycznego (konfiguracji lub funkcjonalności) niż przed podjęciem działania. 2. Zakres przedmiotowy Regulaminu 1. Niniejszy regulamin odnosi się do rozwoju aplikacji w rozumieniu przyjętych w Regulaminie definicji. Z zakresu Regulaminu jest wyłączona infrastruktura teleinformatyczna oraz platformy aplikacyjne należące do systemu teleinformatycznego ARiMR, których zasady eksploatacji, w tym zarządzania zmianami, są przedmiotem Regulaminu Eksploatacji Systemów eleinformatycznych. 2. Wymagania bezpieczeństwa dla aplikacji odnoszą się także do platform aplikacyjnych, jeśli z charakterystyki rozwiązania wynika możliwość lub konieczność zaadresowania ryzyk bezpieczeństwa informacji także za pomocą mechanizmów konfiguracji platformy aplikacyjnej. 141

142 3. Odpowiedzialność za bezpieczeństwo informacji w procesach rozwoju aplikacji 1. W obszarze bezpieczeństwa informacji poszczególnym funkcjom przypisuje się następujące zakresy odpowiedzialności: 1) Właściciel Zasobu jest odpowiedzialny za wprowadzenie i nadzór nad realizacją wymagań bezpieczeństwa informacji w procesie powierzonych mu zasobów, w tym opiniuje i konsultuje wymagania bezpieczeństwa na każdym etapie rozwoju aplikacji, 2) wyznaczony na etapie uruchamiania projektu Kierownik Projektu jest odpowiedzialny za nadzór nad wprowadzeniem i przetestowaniem mechanizmów bezpieczeństwa informacji, 3) ustanowiony w projekcie Kierownik Obszaru Modyfikacji jest odpowiedzialny za zatwierdzanie wymagań bezpieczeństwa sformułowanych w zapotrzebowaniu na modyfikację, 4) ustanowiony w projekcie Kierownik Obszaru jest odpowiedzialny za bieżącą kontrolę procesu testowania mechanizmów bezpieczeństwa oraz ich zgodności z zatwierdzonymi wymaganiami bezpieczeństwa informacji oraz za potwierdzanie poprawności procesu instalacji oprogramowania i ewentualnej migracji danych, 5) osoba wyznaczona przez Kierownika Projektu do prowadzenia Biblioteki Projektu jest odpowiedzialna za formalną kontrolę kompletności dokumentacji oraz jej bezpieczeństwo. 2. W uzasadnionych przypadkach struktura organizacyjna zapewniająca rozwój danej aplikacji może się różnić od powyższej pod warunkiem, że zostaną zachowane zasady realizacji zadań i nadzoru nad ich realizacją określone w niniejszym Regulaminie. 4. Wprowadzanie wymagań bezpieczeństwa informacji do specyfikacji wymagań dla aplikacji 1. Właściciel Zasobu ma obowiązek uzgadniania z dyrektorem komórki właściwej ds. bezpieczeństwa informacji wymagań bezpieczeństwa informacji przy zgłoszeniu wymagania na aplikację lub modyfikację. 2. Właściciel Zasobu ma obowiązek zamieszczenia w zgłoszeniu wymagania informacji o wpływie każdej zmiany aplikacji na bezpieczeństwo informacji. 3. Właściciel Zasobu ma obowiązek uzgadniania z dyrektorem komórki właściwej ds. bezpieczeństwa informacji dokumentacji przetargowej w zakresie wymagań bezpieczeństwa informacji, jeśli planowany przetarg dotyczy aplikacji lub modyfikacji, w której mają być przetwarzane lub są przetwarzane informacje wrażliwe. 4. Właściciel Zasobu ma obowiązek dokonać analizy wymagań prawnych w zakresie bezpieczeństwa informacji, zobowiązań umownych oraz istniejących wewnętrznych aktów normatywnych Agencji w celu zapewnienia zgodności aplikacji lub modyfikacji z tymi wymaganiami. Dyrektor komórki właściwej ds. bezpieczeństwa 142

143 informacji oraz dyrektor komórki właściwej ds. informatyki mają obowiązek zapewnienia wsparcia merytorycznego dla Właściciela Zasobu. 5. Wymagania bezpieczeństwa informacji dotyczą funkcji, metod i sposobów przetwarzania oraz wewnętrznych przepływów informacji, które zapewnia aplikacja, zarówno przez mechanizmy wbudowane, jak i zewnętrzne mechanizmy konfiguracyjne w zakresie: 1) zachowania poufności informacji (jeśli ma zastosowanie), 2) zachowania integralności informacji oraz integralności przetwarzania informacji, 3) zachowania dostępności informacji, z uwzględnieniem zdefiniowanych rygorów czasowych oraz poziomów żądanych uprawnień dostępu. 6. W uzasadnionych przypadkach, po konsultacji z dyrektorem komórki właściwej ds. bezpieczeństwa informacji oraz, jeśli ma zastosowanie, z podmiotem zewnętrznym, Właściciel Zasobu może określić dodatkowe wymagania bezpieczeństwa w zakresie: 1) potwierdzania autentyczności informacji przez uwierzytelnianie użytkowników lub wewnętrznych procesów aplikacji lub modyfikacji, 2) zapewnienia rozliczalności użytkowników lub wewnętrznych procesów aplikacji lub modyfikacji przez mechanizmy nadawania uprawnień oraz wewnętrzne mechanizmy logowania aplikacji lub modyfikacji, 3) niezaprzeczalności wykonania lub niewykonania działania przez użytkownika aplikacji lub modyfikacji, 4) niezawodności działania aplikacji i modyfikacji. 7. Wymagania integralności przetwarzania informacji w szczególności obejmują: 1) poprawność przetwarzania danych wejściowych, 2) poprawność i kompletność zdefiniowanych w dokumentacji analitycznej wewnętrznych procesów aplikacji lub modyfikacji, w szczególności obsługi stanów awaryjnych, 3) integralność komunikatów przekazywanych i przyjmowanych przez aplikację lub modyfikację, 4) poprawność przetwarzania danych wyjściowych. 8. W przypadku, gdy zmiana aplikacji lub modyfikacji pozostaje w kompetencji komórki właściwej ds. informatyki bez potrzeby uzyskania akceptacji Właściciela Zasobu, to dyrektor tej komórki ma obowiązek przeprowadzenia uzgodnień z dyrektorem komórki właściwej ds. bezpieczeństwa informacji w odniesieniu do wymagań bezpieczeństwa, jeśli mają zastosowanie, na zasadach opisanych w niniejszym paragrafie. 9. Właściciel Zasobu ma obowiązek zamieścić w dokumentacji przetargowej lub zgłoszeniu wymagania na zmianę aplikacji lub modyfikacji wymagania odnośnie do zaprojektowania i wykonania testowania mechanizmów zapewniania bezpieczeństwa informacji; wszelkie odstępstwa od wymagania w tym punkcie wymagają aprobaty Komitetu. Dyrektor komórki właściwej ds. bezpieczeństwa informacji oraz dyrektor 143

144 komórki właściwej ds. informatyki mają obowiązek zapewnienia wsparcia merytorycznego dla Właściciela Zasobu. 10. W przypadku aplikacji lub modyfikacji krytycznych z punktu widzenia działalności Agencji, lub w przypadku uzasadnionych wątpliwości, co do spełniania wymagań bezpieczeństwa, Właściciel Zasobu lub dyrektor komórki właściwej ds. bezpieczeństwa informacji może zwrócić się do dyrektora komórki właściwej ds. informatyki o wykonanie w ramach realizacji umowy handlowej niezbędnych kontroli w zakresie bezpieczeństwa informacji. 11. Umowa z podmiotem zewnętrznym, obejmująca prace rozwojowe nad aplikacjami opracowywanymi na potrzeby i użytkowanymi w Agencji zapewnia: 1) ustalenie kwestii licencji, własności kodu i praw autorskich, 2) określenie warunków, w których Agencja, jeśli nie jest właścicielem kodu źródłowego, uzyskuje dostęp do tego kodu (zawarcie umowy typu depozytowego (tzw. code escrow ), 3) procedury odbiorów i procedury testów z uwzględnieniem testów z zakresu bezpieczeństwa informacji. 5. Kontrola zmian w aplikacjach 1. Zarządzanie zmianami polega na koordynacji, ocenie ryzyka, nadawaniu priorytetów, zatwierdzaniu, planowaniu zasobów w związku ze zmianami dokonywanymi w aplikacjach opracowywanych na potrzeby Agencji. 2. Zmianom, w rozumieniu niniejszego Regulaminu, nie podlega oprogramowanie nabywane na ogólnych warunkach licencjonowania (tzw. oprogramowanie ofoliowane). 3. Zmiany w aplikacji muszą być dokumentowane. Za proces zarządzania zmianami aplikacji odpowiedzialny jest dyrektor komórki właściwej ds. informatyki. 4. Każda zmiana w aplikacji musi być poprzedzona udokumentowanym: 1) opisem zmiany, 2) opisem przyczyny zmiany (wraz z podaniem aktów prawnych uzasadniających zmianę jeżeli ma zastosowanie), 3) opisem rodzaju wymaganych działań, 4) szacowaniem ryzyka potencjalnego wpływu zmiany, 5) harmonogramem wprowadzania zmian, 6) przetestowaniem aplikacji po wprowadzeniu zmiany. 5. Zmiana, którą trzeba wprowadzić bezzwłocznie, w celu ograniczenia ryzyka poważnego zakłócenia działalności Agencji, wymaga zgody Właściciela Zasobu i może zostać przeprowadzona z pominięciem zasady określonej w ust. 4 pod warunkiem uzupełnienia dokumentacji towarzyszącej zmianie w najkrótszym możliwym czasie. 6. Zmiany podlegają odnotowaniu w rejestrze zmian prowadzonym przez komórkę właściwą ds. informatyki. Rejestr zmian tworzy zbiór dokumentów opisany w ust

145 6. Udostępnianie danych przez Agencję w celu wprowadzania zmian w aplikacjach 1. Jeśli prace rozwojowe lub serwisowe związane z aplikacją wiążą się z ujawnieniem informacji wrażliwych, to ich udostępnienie podmiotom zewnętrznym odbywa się wyłącznie pod rygorem uprzedniego zawarcia umowy o zachowaniu poufności, z uwzględnieniem ograniczeń wynikających z Regulaminu ochrony danych osobowych, jeżeli dodatkowo prace wiązać się mogą z dostępem do danych osobowych przetwarzanych przez daną aplikację. 2. Wykorzystywanie danych rzeczywistych do celów testowych jest zabronione. Jedynie w przypadku uzasadnionej konieczności przeprowadzania testów opartych na danych rzeczywistych, można je wykorzystać w odrębnej od eksploatowanej instancji bazy danych. 3. Właściciel Zasobu jest odpowiedzialny za udokumentowanie przekazania podmiotowi zewnętrznemu testowych danych rzeczywistych. Komórka właściwa ds. informatyki jest odpowiedzialna za użycie, a następnie zniszczenie testowych danych rzeczywistych. 7. Odbiór aplikacji Agencji 1. Kryteria odbioru aplikacji obejmują: 1) potwierdzenie spełnienia wymagań wydajnościowych i pojemnościowych systemu teleinformatycznego, 2) potwierdzenie, że instalacja aplikacji nie będzie miała negatywnego wpływu na istniejące systemy, szczególnie w chwilach największego obciążenia (jeżeli ma zastosowanie), 3) potwierdzenie uwzględnienia wymagań bezpieczeństwa w ramach wykonanej aplikacji, 4) szkolenia z zakresu funkcjonowania i użytkowania aplikacji, 5) opracowanie i dostarczenie dokumentacji technicznej, instrukcji dla administratora i użytkownika. 2. Odbioru aplikacji dokonuje Właściciel Zasobu w porozumieniu z Administratorem Systemu. 3. Oprogramowanie aplikacji jest dostarczane w postaci kodu wykonywalnego. 4. Odbiór aplikacji obejmuje następujące główne elementy: 1) wykonanie instalacji oprogramowania, 2) dostarczenie przez wykonawcę scenariuszy testów akceptacyjnych, 3) wykonanie testowania systemu zakończone stosownym dokumentem potwierdzającym prawidłowość testów, 4) odbiór oprogramowania potwierdzony protokołem, 5) odrzucenie oprogramowania potwierdzone protokołem, w przypadku negatywnych wyników testów. 5. Każdorazowo, wraz ze zmianą aplikacji, wykonawca dostarcza: 145

146 1) wykaz dokonanych zmian w systemie w stosunku do poprzedniej wersji wraz z ich opisem, 2) uaktualnienie dokumentacji uwzględniające zmiany dokonane w oprogramowaniu (ujednoliconą dokumentację aplikacji). 8. Bezpieczeństwo dokumentacji 1. Odpowiedzialność za aktualność i kompletność dokumentacji aplikacji Agencji spoczywa na komórce właściwej ds. informatyki. 2. Biblioteki dokumentacji aplikacji są prowadzone przez Bibliotekę Projektu w komórce właściwej ds. informatyki. 3. Dokumentacja aplikacji jest udostępniana na zasadzie wiedzy koniecznej. 4. Wszelki dostęp do bibliotek dokumentacji i kodów źródłowych musi być rejestrowany. 5. Nośniki z kodami źródłowymi są chronione na zasadach określonych w 3 zarządzenia i przechowywane w komórce właściwej ds. informatyki. 146

147 Załącznik nr 12 do Zarządzenia Nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN EKSPLOAACJI SYSEMÓW ELEINFORMAYCZNYCH 147

148 SPIS REŚCI 1. Definicje Rozdział 1. Podstawowe zasady eksploatacji systemów teleinformatycznych Podział obowiązków w eksploatacji Monitorowanie pojemności i wydajności systemów Ochrona przed szkodliwym oprogramowaniem Kontrola licencjonowanego oprogramowania Zarządzanie kopiami zapasowymi i archiwalnymi Zarządzanie poprawkami technicznymi Rozdział 2. Zasady bezpieczeństwa sieci Ogólne mechanizmy bezpieczeństwa sieci Uwierzytelnianie węzłów Ochrona urządzeń sieciowych Bezpieczeństwo zdalnego dostępu do portów diagnostycznych i konfiguracyjnych Bezpieczeństwo dostępu do sieci publicznych (Internet) Rozdział 3. Bezpieczeństwo systemów operacyjnych Ogólne mechanizmy bezpieczeństwa Identyfikacja i uwierzytelnianie użytkowników System zarządzania hasłami Użycie programów narzędziowych Ograniczenia czasowe sesji połączeniowej Eksploatacja aplikacji w systemach teleinformatycznych Agencji Świadczenie usług informatycznych przez podmioty zewnętrzne 161 Rozdział 4. Zarządzanie zmianami w systemach teleinformatycznych Agencji Odbiór systemu teleinformatycznego Kontrola zmian w eksploatacji Bezpieczeństwo dokumentacji systemu Rozdział 5. Zarządzanie wymiennymi nośnikami komputerowymi Użytkowanie nośników Wycofanie z eksploatacji nośników komputerowych Rozdział 6. Bezpieczeństwo wymiany danych Bezpieczeństwo serwisów intranetowych i ekstranetowych Bezpieczeństwo wymiany poczty elektronicznej wewnętrznej i zewnętrznej Mechanizmy kryptograficzne uwierzytelniania przy połączeniach zewnętrznych

149 Rozdział 7. Konserwacja i naprawy sprzętu Konserwacja i naprawa sprzętu Zabezpieczenie sprzętu poza siedzibą Rozdział 8. Zarządzanie dostępem do systemów teleinformatycznych Rejestrowanie użytkowników i przypisanie praw dostępu Zarządzanie przywilejami Zarządzanie hasłami użytkowników Zasady dostępu do plików i katalogów Rozdział 9. Zasady monitorowania systemów i ich użycia Mechanizmy monitorowania systemów Dziennik pracy systemu Synchronizacja zegarów Bezpieczeństwo okablowania Eksploatacja urządzeń zasilających Załącznik nr 1 do Regulaminu eksploatacji systemów teleinformatycznych - Rejestr kopii zapasowych Załącznik nr 2 do Regulaminu eksploatacji systemów teleinformatycznych - Oznaczanie wymiennych nośników komputerowych Załącznik nr 3 do Regulaminu eksploatacji systemów teleinformatycznych - Ewidencja bezpiecznych kopert Załącznik nr 4 do Regulaminu eksploatacji systemów teleinformatycznych - Formularz zgłoszenia i realizacji zmiany Załącznik nr 5 do Regulaminu eksploatacji systemów teleinformatycznych - Dziennik pracy systemu Załącznik nr 6 do Regulaminu eksploatacji systemów teleinformatycznych - Wniosek dotyczący użytkowania programu narzędziowego

150 1. Definicje Użyte w regulaminie określenia oznaczają: 1. blokowanie konta administracyjne uniemożliwienie korzystania z konta w danym systemie teleinformatycznym; 2. dane uwierzytelniające informacje wprowadzane do systemu, potwierdzające tożsamość użytkownika (np. hasła dostępu, kody zawarte w sprzętowych tokenach kryptograficznych); 3. hasło - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie teleinformatycznym; 4. integralność systemu - właściwość polegającą na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej (PN-I ); 5. konto część systemu teleinformatycznego (dane, oprogramowanie, zasoby sieciowe), które są przypisane do identyfikatora użytkownika; 6. kopia archiwalna duplikat danych, przechowywanych z uwagi na przepisy prawa lub potrzeby dokumentowania działalności Agencji; kopia archiwalna nie służy do odtworzenia; 7. kopia zapasowa duplikat danych, przechowywany na wymiennym nośniku komputerowym, służący do odtworzenia systemu, aplikacji, bazy danych lub dokumentu; 8. niezaprzeczalność możliwość przeprowadzenia dowodu, że działanie lub zdarzenie miało miejsce, tak że nie można temu działaniu lub zdarzeniu później zaprzeczyć; 9. podatność słabość aktywu lub grupy aktywów, która może być wykorzystana przez jedno lub więcej zagrożeń; 10. profil dostępu - zestaw uprawnień, funkcji i zasobów systemu informatycznego dostępnych poszczególnym użytkownikom systemu; 11. rozliczalność - właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi (ISO : 1989); 12. spam niepożądaną przesyłkę poczty elektronicznej kierowaną do niezdefiniowanego adresata; 13. uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; 14. zabezpieczenie danych w systemie teleinformatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 15. zmiana działanie lub ciąg działań mających na celu uzyskanie innego stanu systemu teleinformatycznego (konfiguracji lub funkcjonalności) niż przed podjęciem działania; 16. zmiana infrastruktury/ usługa rutynowa uzgodnioną i zaakceptowaną wcześniej zmianę konfiguracji urządzeń lub sposobu/ zakresu świadczonych usług; 17. zmiana infrastruktury/ usługa awaryjna - zmianę podejmowaną w trybie nagłym wynikającym z konieczności usunięcia awarii lub błędu w systemie. 150

151 Rozdział 1. Podstawowe zasady eksploatacji systemów teleinformatycznych 2. Podział obowiązków w eksploatacji 1. Właściciel Zasobu może powierzyć administrowanie systemem (czynności wykonawcze) Administratorowi Systemu. Właściciel Zasobu sprawuje kontrolę nad działaniami wykonawczymi realizowanymi przez Administratora Systemu. 2. Administrator Systemu ponosi odpowiedzialność za bezpieczeństwo funkcjonowania systemu teleinformatycznego w ramach obowiązków powierzonych mu przez Właściciela Zasobu. 3. Role zarządcze (Właściciela Zasobu) i wykonawcze (Administratora Systemu) w zakresie eksploatacji systemów teleinformatycznych mogą być wykonywane przez tą samą komórkę organizacyjną. 4. Nadzór nad bezpieczeństwem informacji w systemach teleinformatycznych obejmującym kontrolę działań decyzyjnych i wykonawczych sprawuje dyrektor komórki właściwej ds. bezpieczeństwa informacji. 5. Obowiązki w zakresie eksploatacji sieci i serwerów są oddzielone od obowiązków w zakresie eksploatacji stacji roboczych poprzez przydzielenie ich różnym osobom (pracownikom Agencji lub pracownikom podmiotów zewnętrznych). 6. Wszystkie krytyczne czynności dotyczące realizacji szczególnie odpowiedzialnych zadań wymagają udziału, co najmniej dwóch osób działających jednocześnie lub wykonujących działania sekwencyjnie (dual control). 3. Monitorowanie pojemności i wydajności systemów 1. Administrator Systemu jest odpowiedzialny za prognozowanie wymagań dotyczących pojemności oraz wydajności kluczowych elementów systemów teleinformatycznych w celu ograniczenia ryzyka przeciążenia systemu. 2. Wymagania dotyczące pojemności nowych systemów, wynikające z rzeczywistych potrzeb Agencji, są definiowane i zatwierdzane przed dokonaniem zakupu, zaakceptowaniem i wdrożeniem tych systemów, zgodnie z Regulaminem rozwoju aplikacji, stanowiącym załącznik nr 11 do zarządzenia. 3. Administrator Systemu prowadzi monitorowanie eksploatowanych systemów teleinformatycznych, przez gromadzenie informacji dotyczących krytycznych elementów i parametrów systemów: 1) infrastruktury sieciowej, w zakresie przepustowości i obciążenia łączy (interfejsów) oraz procesorów urządzeń sieciowych, 2) serwerów usług wewnętrznych Agencji (serwery plików, wydruków, faksów, itp.), w zakresie obciążenia procesora, zajętości pamięci dyskowej, przyrostu danych w okresie miesiąca, 3) serwery aplikacyjne i baz danych, w zakresie obciążenia procesora, zajętości pamięci dyskowej, przyrostu danych w okresie miesiąca. 151

152 4. Administrator Systemu przekazuje Komitetowi kwartalną informację z monitorowania pojemności i wydajności systemów. 5. W sytuacji, w której analiza pojemności lub wydajności systemów wykazuje wzrost ryzyka niespełnienia celów statutowych Agencji, Administrator Systemu niezwłocznie przekazuje te informacje Przewodniczącemu Komitetu oraz dyrektorowi komórki właściwej ds. bezpieczeństwa informacji. 4. Ochrona przed szkodliwym oprogramowaniem 1. Stacje robocze i serwery w Agencji są objęte ochroną w czasie rzeczywistym za pomocą oprogramowania antywirusowego oraz zapory (firewall), zapewniających integralność zasobów przechowywanych i przetwarzanych w systemie teleinformatycznym Agencji. 2. Użytkowane poza systemem Agencji wymienne nośniki komputerowe, przed rozpoczęciem pracy z tymi nośnikami w systemach teleinformatycznych Agencji, są sprawdzane za pomocą aktualnego oprogramowania antywirusowego. 3. W systemach Agencji wdrożono scentralizowany system antywirusowy. 4. Aktualizacja baz wirusów odbywa się automatycznie, przynajmniej raz dziennie. 5. Po każdej naprawie i konserwacji urządzenia a przed ponownym włączeniem do systemu teleinformatycznego Agencji zawartość stałych nośników komputerowych jest sprawdzana za pomocą aktualnego oprogramowania antywirusowego zawierającego najnowsze bazy antywirusowe. 6. W przypadku, gdy stacje robocze oraz serwery nie są objęte ochroną w czasie rzeczywistym Administrator Systemu, co najmniej raz w tygodniu dokonuje rutynowej kontroli pod kątem obecności złośliwego oprogramowania, przy czym kontrola może być realizowana w sposób: 1) automatyczny, zgodnie z harmonogramem zdefiniowanym w scentralizowanym systemie zarządzającym, 2) automatyczny, zgodnie z harmonogramem zdefiniowanym w każdym systemie teleinformatycznym osobno, 3) ręczny na żądanie, centralnie lub w każdym systemie teleinformatycznym osobno. 7. Działania Administratora Systemu są dokumentowane stosownymi zapisami w Dzienniku pracy systemu, którego wzór zamieszczono w załączniku nr 5 do niniejszego regulaminu. 5. Kontrola licencjonowanego oprogramowania 1. Dla wszystkich systemów i aplikacji użytkowanych w Agencji Administrator Systemu prowadzi spisy licencjonowanego oprogramowania zawierające: 1) nośniki instalacyjne (i ich kopie, przechowywane w innej lokalizacji), 2) licencje wraz z okresami ich ważności, 3) kopie dowodów zakupu licencji, 4) miejsce zainstalowania, 5) dane dotyczące użytkownika/właściciela Zasobu. 152

153 2. Kontrole licencjonowanego oprogramowania mogą być przeprowadzane w trybie doraźnym lub w terminie ustalonym w harmonogramie, zatwierdzanym przez Komitet. 3. Spis licencjonowanego oprogramowania jest kontrolowany przez dyrektora komórki właściwej ds. bezpieczeństwa informacji pod kątem kompletności ewidencji. 4. Okresowo, nie rzadziej niż raz w roku, stacje robocze i udostępnione udziały sieciowe użytkowników są sprawdzane przez Administratora Systemu pod kątem obecności nieautoryzowanego oprogramowania. 5. Przesłanką do podjęcia kontroli doraźnej jest: 1) informacja o popełnieniu lub podejrzeniu popełnienia czynu niedozwolonego przez pracownika, na żądanie kierownika komórki organizacyjnej, Właściciela Zasobu, dyrektora komórki właściwej ds. bezpieczeństwa informacji, Komitet lub uprawnionych organów ścigania, 2) otrzymanie zgłoszenia od pracownika o pojawieniu się lub podejrzeniu pojawienia się w systemie teleinformatycznym nieautoryzowanego oprogramowania. 6. Do przeprowadzenia kontroli zgodności zainstalowanego oprogramowania z posiadanymi licencjami Administrator Systemu może stosować narzędzia programowe umożliwiające m.in.: 1) automatyczne sprawdzanie stacji roboczych i serwerów, 2) centralne zarządzanie spisem licencjonowanego oprogramowania, 3) automatyczne ostrzeganie przed przekroczeniem liczby licencji. 7. Nieautoryzowane oprogramowanie jest niezwłocznie usuwane z systemu teleinformatycznego, a informacje o przypadkach używania nieautoryzowanego oprogramowania są przedstawiane przez Administratora Systemu Komitetowi z rekomendacją podjęcia odpowiednich działań. 6. Zarządzanie kopiami zapasowymi i archiwalnymi 1. Kopie zapasowe systemów, aplikacji baz danych i dokumentów użytkowanych w Agencji służą do zapewnienia możliwości odtworzenia w przypadku utraty aktualnie użytkowanych danych i/lub konfiguracji systemów i aplikacji. 2. Kopie zapasowe sporządza się w następujących przypadkach: 1) przed dokonaniem zmiany konfiguracyjnej (np. aktualizacji oprogramowania, ustawień systemowych), 2) po przeprowadzeniu udanej zmiany konfiguracyjnej (np. aktualizacji oprogramowania, ustawień systemowych). 3. Kopie archiwalne sporządza się w celu utrwalenia istotnych dokumentów, systemów, baz danych i aplikacji, które nie są aktualnie wykorzystywane, a których obowiązek przechowywania wynika z obowiązujących aktów prawnych lub potrzeb wewnętrznych Agencji. 4. Kopie archiwalne przechowywane są przez okres wynikający z uwarunkowań prawnych lub wewnętrznych Agencji. 153

154 5. Kopie zapasowe i archiwalne są wykonywane dla systemów, baz danych i aplikacji oraz dokumentów użytkowanych w Agencji. 6. Za tworzenie kopii zapasowych i archiwalnych odpowiedzialny jest Administrator Systemu, któremu Właściciel Zasobu zlecił wykonywanie kopii. 7. Dla wskazanych dokumentów, systemów, baz danych i aplikacji podlegających tworzeniu kopii Właściciel Zasobu w porozumieniu z Administratorem Systemu określa: 1) strategię tworzenia kopii uwzględniającą: częstotliwość tworzenia kopii, rodzaj kopii (przyrostowa, pełna, różnicowa), ilość kopii, miejsce, okres i sposób przechowywania kopii, rotację nośników, 2) warunki techniczne realizacji procesu zarządzania kopiami zapasowymi i archiwalnymi, w tym określenie urządzenia/oprogramowania do wykonywania kopii, rodzaj nośnika, sposób wykonywania kopii (automatyczny, ręczny), okno eksploatacyjne wykonywania kopii (jeśli ma zastosowanie), sposób weryfikacji poprawności wykonanej kopii. 8. Użytkownicy mogą zlecać Administratorowi Systemu wykonanie kopii przetwarzanych przez nich danych (np. kopii folderów osobistych skrzynek pocztowych). 9. Postępowanie dotyczące nagrywania na nośnikach optycznych danych, zawierających informacje przetwarzane w Agencji opisane zostało w Książce Procedur KP ARiMR. 10. worzenie kopii odbywa się musi zgodnie z procedurą tworzenia i odtwarzania kopii zapasowych i podlega rejestracji. Wzór rejestru określa załącznik nr 1 do niniejszego Regulaminu. 11. Po utworzeniu kopii automatycznie (jeżeli jest technicznie realizowalne) jest generowany raport o przebiegu wykonania kopii. Raport podlega weryfikacji przez Administratora Systemu. 12. Czynności związane ze sporządzaniem kopii oraz oznaczaniem nośników są dokumentowane zgodnie z zasadami opisanymi, odpowiednio, w załączniku nr 1 i 2 do niniejszego regulaminu. 13. Miejsce przechowywania kopii jest zabezpieczone przed nieuprawnionym dostępem oraz skutkami zdarzeń takich, jak pożar, zalanie, oddziaływanie silnego pola elektromagnetycznego, promieniowanie, zanieczyszczenie środowiska na takim poziomie, jak jest zabezpieczony system, z którego kopia zapasowa została wykonana. 14. Kopie są przechowywane w bezpiecznej odległości (w innej lokalizacji) od miejsca, w którym jest prowadzona eksploatacja systemów. Proces przekazywania nośników zawierających kopie zapasowe i archiwalne do innej lokalizacji jest udokumentowany. 15. Regularnie, co najmniej raz w roku, Administrator Systemu w porozumieniu z Właścicielem Zasobu przeprowadza się testowe sprawdzenie odtworzenia systemu, aplikacji, bazy danych lub dokumentów z kopii. estowe odtworzenie podlega udokumentowaniu w Dzienniku pracy systemu. 16. W przypadku, gdy okres trwałości zapisu na nośniku elektronicznym lub magnetycznym jest krótszy od wymaganego okresu przechowywania wynikającego z uwarunkowań prawnych dane z nośników są przenoszone na inny nośnik. 154

155 17. Kopię na inny nośnik wykonuje Administrator Systemu. Nośnik, z którego przeniesiono zapis, jest niszczony zgodnie z zasadami obowiązującymi w Agencji, a całość operacji przeniesienia jest dokumentowana. 18. Po upływie wymaganego okresu przechowywania kopie archiwalne są niszczone zgodnie z zasadami obowiązującymi w Agencji. 19. Usługi transportowania lub przechowywania kopii zapasowych lub archiwalnych mogą być powierzone podmiotowi zewnętrznemu. 20. Umowa z podmiotem zewnętrznym na transportowanie lub przechowywanie kopii zapasowych lub archiwalnych powinna zawierać: 1) wymagania bezpieczeństwa transportowania (przechowywania) kopii zapasowych, 2) tryb przekazywania (odbierania) kopii zapasowych lub archiwalnych: a) zwykły (rotacja kopii zapasowych), b) awaryjny (w celu użycia kopii zapasowej lub archiwalnej), 3) sposoby komunikowania się Agencji z usługodawcą, w tym potwierdzania dostarczenia kopii zapasowych w trybie awaryjnym, 4) zakres odpowiedzialności usługodawcy za utratę lub uszkodzenie kopii zapasowych lub archiwalnych. 7. Zarządzanie poprawkami technicznymi 1. Zarządzanie poprawkami ma na celu eliminowanie lub ograniczanie zidentyfikowanych podatności systemów teleinformatycznych. 2. Administrator Systemu zobowiązany jest do monitorowania pojawiania się poprawek do poszczególnych usług sieciowych, systemów operacyjnych i aplikacji ARiMR. 3. Administrator Systemu obowiązany jest do wprowadzania poprawek w oparciu informacje uzyskane od producentów urządzeń sieciowych, systemów operacyjnych i aplikacji oraz od profesjonalnych organizacji zajmujących się tematyką bezpieczeństwa informacji i systemów teleinformatycznych. 4. Poprawki techniczne, w zależności od ich krytyczności, są testowane w środowisku testowym zanim zostaną wprowadzone do środowiska produkcyjnego. Administrator Systemu prowadzi rejestr dokonywanych zmian. 5. Wprowadzanie poprawek bezpośrednio do środowiska produkcyjnego może być wykonane wyłącznie po uzyskaniu akceptacji Właściciela Zasobu. Wprowadzanie poprawek podlega dokumentowaniu w Dzienniku pracy systemu. Rozdział 2. Zasady bezpieczeństwa sieci 8. Ogólne mechanizmy bezpieczeństwa sieci 1. Agencja zapewnia bezpieczeństwo sieci za pomocą następujących mechanizmów: 155

156 1) aplikacji i urządzeń typu firewall oraz systemów wykrywania i przeciwdziałania włamaniom na poziomie sieci i hostów, 2) aplikacji antywirusowych stosowanych podczas wymiany danych pomiędzy siecią Agencji a sieciami należącymi do innych organizacji lub sieciami publicznymi, 3) rozdzielania sieci; użytkownicy poszczególnych komórek i jednostek organizacyjnych są grupowani w logicznie rozdzielonych segmentach sieciowych (VLAN), 4) uwierzytelniania użytkowników i urządzeń (o ile istnieją możliwości techniczne), 5) wyłączenia (zablokowania) usług sieciowych, które są niewykorzystywane, nie mają uzasadnienia biznesowego lub technicznego albo są uznawane za niebezpieczne, niezależnie do tego czy są udostępniane wewnątrz sieci Agencji, czy także na zewnątrz, 6) właściwie (z punktu widzenia bezpieczeństwa informacji) skonfigurowanie aplikacji, usług lub systemów operacyjnych, 7) aktualizowanie aplikacji, systemów operacyjnych oraz usług sieciowych do najnowszej oraz bezpiecznej i stabilnej wersji, 8) fizycznych zabezpieczeń dostępu do systemów. 2. Podsieci logiczne VLAN wewnątrz sieci Agencji tworzy się dla elementów systemu o różnych wymaganiach bezpieczeństwa. Każda z takich podsieci stanowi odrębną strefę bezpieczeństwa, do której dostęp musi być kontrolowany z wykorzystaniem zapory ogniowej zapewniającej realizację ścisłej kontroli oraz selektywnego dostępu do wybranych usług i systemów w danej strefie. 3. Ruch między podsieciami jest kontrolowany za pomocą reguł filtrujących wprowadzonych w urządzeniach sieciowych oraz serwerach. 4. W Agencji wdrożono mechanizmy kontroli rutingu w sieciach oparte na zdefiniowaniu możliwych tras pakietów w sieci. 5. Sygnatury systemów wykrywania i przeciwdziałania włamaniom podlegają regularnej aktualizacji. 6. Komunikacja systemów zewnętrznych z systemami Agencji musi być realizowana poprzez routery dostępowe przyłączone w jednej ze stref zapory ogniowej strefy dostępowej dedykowanej dla komunikacji z Systemami Zewnętrznymi. 7. Do realizacji połączeń z systemami zewnętrznymi wymagane jest wykorzystanie łączy dedykowanych. W szczególnych przypadkach oraz do celów testowych zezwala się na dostęp do systemów aplikacyjnych Agencji za pośrednictwem łączy wirtualnych realizowanych poprzez sieć publiczną z wykorzystaniem technologii VPN (połączenia terminowane w zaporze ogniowej lub koncentratorze VPN zlokalizowanym w strefie dostępowej). 9. Uwierzytelnianie węzłów 1. Agencja wykorzystuje mechanizm identyfikacji urządzeń do uwierzytelniania połączeń z określonych lokalizacji lub urządzeń. Identyfikacja urządzeń realizowana jest w oparciu o przydzielanie stałego adresu IP, na podstawie unikalnego adresu MAC, dla każdego urządzenia podłączanego do sieci Agencji. 156

157 2. Agencja może nie stosować mechanizmu określonego w ust. 1, jeśli wynika to z uzasadnionych potrzeb biznesowych. 10. Ochrona urządzeń sieciowych 1. Wszelkie zmiany topologii sieci lub konfiguracji urządzeń sieciowych są przeprowadzane w oparciu o proces zarządzania zmianami. 2. Wszędzie, gdzie jest to technicznie możliwe, urządzenia sieciowe są chronione hasłem dostępu przechowywanym w postaci zaszyfrowanej. 3. Zarządzanie siecią odbywa się z wydzielonych stacji roboczych zlokalizowanych w sieci lokalnej lub przez konsole podłączone bezpośrednio do urządzeń sieciowych. 11. Bezpieczeństwo zdalnego dostępu do portów diagnostycznych i konfiguracyjnych 1. Ustawienia parametrów konfiguracyjnych oraz przeprowadzenie diagnostyki urządzeń systemu teleinformatycznego wykonuje się z lokalnej konsoli administracyjnej, wykorzystując do tego celu dedykowane konta administracyjne (lokalny dostęp administracyjny). 2. W szczególnych przypadkach przewidzianych umowami z podmiotami zewnętrznymi działania administracyjne można wykonywać w trybie zdalnego dostępu. Zdalny dostęp administracyjny jest realizowany wyłącznie z wybranych hostów, zlokalizowanych w segmencie sieci wewnętrznej, dedykowanym dla systemów administracyjnych. 3. Do nawiązywania zdalnych połączeń administracyjnych muszą być stosowane: 1) protokoły komunikacyjne zapewniające bezpieczne uwierzytelnianie użytkowników, poufność i integralność przesyłanych danych, w szczególności Spiec, 2) łącze dedykowane z wydzielonej stacji klienckiej do systemu ARiMR, 3) połączenie szyfrowane do systemu ARiMR z zakończeniem na serwerze SSHrelay, 4) oddzielna autoryzacja użytkownika zestawiającego tunel SSH obejmująca adres IP stacji klienckiej oraz konto użytkownika na serwerze SSH. 12. Bezpieczeństwo dostępu do sieci publicznych (Internet) 1. Sieć teleinformatyczna Agencji, w tym sieci lokalne jednostek organizacyjnych, może być podłączona do sieci ogólnodostępnych (np. sieć publiczna Internet) tylko na poziomie WAN'u i jedynie przy użyciu specjalnych systemów zabezpieczających (aplikacje i urządzenia typu firewall, systemy IDS/IPS). 2. Za zgodą Komitetu, sieć teleinformatyczna Agencji może być połączona z innymi sieciami zewnętrznymi. Warunki takiego połączenia określane są przez reguły filtrowania zapór sieciowych ustalane przez Administratora Systemu we współpracy z dyrektorem komórki właściwej ds. bezpieczeństwa informacji. 157

158 3. Wszystkie połączenia pomiędzy sieciami publicznymi a siecią Agencji są realizowane przy użyciu specjalnych systemów zabezpieczających (aplikacje i urządzenia typu firewall, systemy wykrywania włamań). 4. Architekturę zapory ogniowej (firewall) oddzielającej sieć publiczną od sieci wewnętrznych Agencji skonfigurowano na zasadzie przepuszczania tylko ściśle zdefiniowanego ruchu przychodzącego i wychodzącego. 5. Serwery zewnętrznych usług sieciowych muszą być zlokalizowane w wydzielonych strefach DMZ. 6. Usługi udostępniane w sieci publicznej oraz uprawnienia dostępu użytkowników do tych usług są autoryzowane przez Komitet. Wykaz dostępnych usług prowadzi Administrator Systemu. Wykaz ten zawiera zestawienia usług oraz profile użytkowników uprawnionych do korzystania z określonych usług. Rozdział 3. Bezpieczeństwo systemów operacyjnych 13. Ogólne mechanizmy bezpieczeństwa 1. W Agencji stosuje się następujące mechanizmy bezpieczeństwa systemów operacyjnych: 1) uwierzytelnianie użytkowników, zgodnie z przyjętymi w Agencji zasadami kontroli dostępu, 2) rejestrowanie nieudanych prób dostępu do systemu, 3) rejestrowanie korzystania z przywilejów systemowych, 4) generowanie alarmów w przypadku naruszenia reguł bezpieczeństwa systemu, 5) ograniczanie czasu nieaktywności sesji użytkowników. 2. Systemy operacyjne pracujące w Agencji muszą mieć włączone mechanizmy bezpiecznego logowania zapewniające (w zależności od możliwości technicznych): 1) ujawnianie minimum informacji o systemie, 2) wyświetlanie ostrzeżenia, że dostęp do systemu jest dozwolony jedynie dla uprawnionych użytkowników, 3) unikanie wyświetlania komunikatów pomocniczych, które mogłyby pomóc nieuprawnionemu użytkownikowi przy nieautoryzowanych próbach dostępu, 4) unikanie wskazywania, która część danych jest poprawna lub niepoprawna w przypadku wystąpienia błędu podczas logowania, 5) ograniczenie liczby nieudanych prób logowania się do systemu, 6) blokowanie konta po trzech następujących po sobie nieudanych próbach logowania, 7) wykonywanie zapisu każdego nieudanego logowania w logach zdarzeń, 8) ograniczenie możliwości zalogowania się do systemu tylko w określonych przedziałach czasowych ( oknach logowania ), 9) blokowanie wyświetlania hasła w trakcie jego wprowadzania, 158

159 10) blokowanie domyślnego wyświetlania identyfikatora (konieczność wpisania identyfikatora), 11) szyfrowanie przesyłanych haseł. 14. Identyfikacja i uwierzytelnianie użytkowników 1. Wszyscy użytkownicy systemów muszą posiadać unikalne identyfikatory użytkownika (ID użytkownika) do swojego wyłącznego użytku. 2. Stosowane identyfikatory użytkownika nie wskazują na poziom uprawnień danego użytkownika. 3. W celu uwierzytelnienia użytkowników Agencja wykorzystuje hasła lub klucze kryptograficzne chronione hasłem. 4. Dostęp do systemu dla użytkownika, który trzykrotnie pod rząd podał błędne hasło jest blokowany; odblokowania dokonuje ręcznie Administrator Systemu. worzenie automatów (skryptów) programowych odblokowujących dostęp np. po określonym czasie jest zabronione. 15. System zarządzania hasłami 1. Ustawienia zasad zarządzania hasłami w systemach operacyjnych zapewniają: 1) wymuszanie użycia indywidualnych haseł, 2) wybór i zmianę haseł przez użytkowników, 3) potwierdzanie zmiany haseł dla uniknięcia błędów podczas ich wprowadzania, 4) wymuszenie wyboru haseł o odpowiedniej jakości tj. składających się, co najmniej z 8 znaków, zawierających małe i duże litery, cyfry oraz znaki specjalne, 5) wymuszenie zmiany haseł z ustaloną częstotliwością, w przypadku systemów przetwarzających dane osobowe zmiana hasła następuje nie rzadziej niż co 30 dni, 6) wymuszenie zmiany haseł tymczasowych przy pierwszym rejestrowaniu się w systemie, 7) pamiętanie haseł przez system w celu zapobiegania ponownemu ich użyciu, minimalna liczba haseł pamiętanych przez system wynosi Hasła administracyjne mogą być w szczególnych sytuacjach stosowane dłużej niż zaznaczono to w ust. 1 pkt 5, jednak nie dłużej niż 6 miesięcy. 16. Użycie programów narzędziowych 1. Uprawnienia umożliwiające uruchamianie programów narzędziowych są przydzielane na czas niezbędny do wykonania określonego zadania, na podstawie wniosku złożonego przez kierownika komórki organizacyjnej lub Właściciela Zasobu, którego wzór zamieszczono w załączniku nr 6 do niniejszego regulaminu. 2. Poziom uprawnień umożliwiający uruchamianie programów narzędziowych jest udokumentowany. 159

160 3. Administrator Systemu rejestruje w Dzienniku pracy systemu, którego wzór zamieszczono w załączniku nr 5 do niniejszego regulaminu, wszystkie przypadki użycia systemowych programów narzędziowych. 4. Systemowe programy narzędziowe oraz aplikacje, które nie są wykorzystywane przez użytkowników podczas pracy w systemach teleinformatycznych, są w miarę możliwości technicznych usuwane ze stacji roboczych i serwerów. 17. Ograniczenia czasowe sesji połączeniowej 1. W celu wymuszenia ochrony urządzeń systemu teleinformatycznego stosuje się następujące mechanizmy włączane w przypadku stwierdzenia braku aktywności użytkownika: 1) blokowanie lub wyłączanie stacji roboczej (sesji połączeniowej), 2) powtarzanie identyfikacji i uwierzytelnianie użytkownika. 2. System operacyjny po ustalonym okresie bezczynności użytkownika, jednak nie dłużej niż 10 minut, przechodzi w stan nieaktywny, w którym blokowany jest dostęp do konsoli; powrót do stanu aktywności wymaga podania hasła. 3. Dla zapewnienia bezpieczeństwa systemów teleinformatycznych Agencji stosuje się ograniczenia czasu pracy w systemach operacyjnych do godzin pracy Agencji. 4. O ograniczeniu czasu trwania połączenia decyduje Właściciel Zasobu odpowiedzialny za funkcjonowanie i bezpieczeństwo danego systemu teleinformatycznego. 5. W przypadku konieczności pracy w systemie w innym czasie niż wyżej określony, zgodę wydaje Właściciel Zasobu na wniosek kierownika komórki organizacyjnej, której pracownicy potrzebują dostępu do systemu poza ustalonymi godzinami pracy. 18. Eksploatacja aplikacji w systemach teleinformatycznych Agencji 1. O przyznawaniu dostępu i zakresie nadanych uprawnień użytkowników do aplikacji decyduje Właściciel Zasobu w Centrali oraz, w razie potrzeby, dyrektor oddziału regionalnego dla użytkowników w oddziale regionalnym i biurze powiatowym, na podstawie upoważnienia nadanego przez Właściciela Zasobu. 2. Uprawnienia administratora są nadawane ograniczonej liczbie użytkowników. 3. Mechanizm dziedziczenia uprawnienia administratora aplikacji na podstawie uprawnień administratora nadanych w systemie operacyjnym lub na platformie bazodanowej jest zablokowany. 4. Właściciel Zasobu jest odpowiedzialny za aktualność i dokumentowanie przydzielonych uprawnień udzielonych użytkownikom do pracy w aplikacjach Agencji. Dotyczy to uprawnień wszystkich użytkowników w tym również pracowników podmiotów zewnętrznych świadczących usługi informatyczne dla Agencji. 160

161 19. Świadczenie usług informatycznych przez podmioty zewnętrzne 1. Dostęp podmiotu zewnętrznego do systemów Agencji wymaga przeprowadzenia udokumentowanego szacowania ryzyka. 2. Szacowanie ryzyka przeprowadza Właściciel Zasobu na podstawie informacji dostarczonych przez Administratora Systemu. 3. W szczególności, Właściciel Zasobu otrzymuje następujące informacje: 1) podstawę udzielenia dostępu dla danego podmiotu zewnętrznego, 2) zakres i sposób dostępu do sieci Agencji, w tym zakres przydzielanych uprawnień, 3) proponowane rozwiązania techniczne i organizacyjne służące ograniczeniu ryzyka dla bezpieczeństwa systemów teleinformatycznych Agencji. 4. Zgodę na udzielenie dostępu podmiotowi zewnętrznemu wydaje Właściciel Zasobu, po zaakceptowaniu i wdrożeniu rozwiązań, o których mowa w ust. 3 pkt W umowie z podmiotem zewnętrznym dotyczącej utrzymania systemów teleinformatycznych Agencji uwzględnia się zapis zobowiązujący podmiot zewnętrzny do stosowania zasad i procedur wynikających z dokumentów polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji. Umowa z podmiotem zewnętrznym może zawierać uszczegółowienie bądź rozszerzenie zasad wynikających z dokumentów polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji wynikające ze specyfiki danego projektu. 6. Doraźne działania serwisowe podmiotów zewnętrznych (nie mające charakteru stałego utrzymania systemów teleinformatycznych) są dokumentowana przez Administratora Systemu w dzienniku pracy systemu. Zapis w dzienniku zawiera, co najmniej: 1) dokładny czas rozpoczęcia i zakończenia działania serwisowego, 2) identyfikacja osoby realizującej działania serwisowe po stronie podmiotu zewnętrznego oraz nadzorującej te działania po stronie Agencji, 3) dokładny opis przeprowadzonych działań wraz ze wskazaniem statusu tych działań (wymagające kontynuacji, zakończone). 7. Doraźne działania serwisowe w systemie teleinformatycznym osób, nie będących uprawnionymi pracownikami Agencji dokonywane są w obecności Administratora Systemu. 8. Osobie reprezentującej podmiot zewnętrzny wykonującej działania serwisowe nie może zostać nadane uprawnienie administratora. Jeśli wyjątkowa sytuacja uzasadnia taką potrzebę, to nadanie uprawnienia wymaga zgody Właściciela Zasobu. Niezwłocznie po zakończeniu pracy uprawnienie administratora oraz jakiekolwiek inne uprawnienia nadane osobie reprezentującej podmiot zewnętrzny są odbierane. 9. W przypadku dokonywania zmian konfiguracji (naprawy, rekonfiguracje) przez stronę trzecią Agencja zapewnia odpowiednie uprawnienia do użycia oprogramowania narzędziowego służącego do celów zarządzania konfiguracją. 161

162 Rozdział 4. Zarządzanie zmianami w systemach teleinformatycznych Agencji 20. Odbiór systemu teleinformatycznego 7. Kryteria odbioru obejmują dostarczenie: 1) w przypadku oprogramowania - dokumentacji technicznej, instrukcji dla administratora i użytkownika, 2) w przypadku infrastruktury dokumentacji powykonawczej obejmującej w szczególności schemat połączeń fizycznych i logicznych elementów infrastruktury. 8. Ponadto, kryteria odbioru obejmują: 1) wymagania wydajnościowe i pojemnościowe systemu teleinformatycznego, 2) dokumenty potwierdzające, że instalacja nowych systemów nie będzie miała negatywnego wpływu na istniejące systemy, szczególnie w chwilach największego obciążenia (jeżeli ma zastosowanie), 3) dokumenty potwierdzające, że wpływ nowych systemów na bezpieczeństwo informacji został uwzględniony, 4) szkolenia z zakresu posługiwania się i działania nowych systemów, 5) w przypadku oprogramowania, odbiór obejmuje dodatkowo zapisy zawarte w ust Oprogramowanie aplikacji Agencji musi być dostarczane w postaci kodu wykonywalnego. 10. Odbiór oprogramowania obejmuje następujące główne elementy: 1) wykonanie instalacji oprogramowania, 2) dostarczenie przez wykonawcę scenariuszy testów akceptacyjnych, 3) wykonanie testowania systemu zakończone stosownym dokumentem potwierdzającym prawidłowość testów, 4) odbiór oprogramowania potwierdzony stosownym dokumentem, 5) odrzucenie oprogramowania potwierdzone stosownym dokumentem w przypadku negatywnych wyników testów, 6) w przypadku wystąpienia jakichkolwiek rozbieżności, co do jakości produktu, zostanie przeprowadzony zewnętrzny audyt. 11. Każdorazowo, wraz ze zmienioną wersją oprogramowania aplikacji Agencji, wykonawca dostarcza: 1) wykaz dokonanych zmian w systemie w stosunku do poprzedniej wersji wraz z ich opisem, 2) uaktualnienie dokumentacji uwzględniające zmiany dokonane w oprogramowaniu. 162

163 21. Kontrola zmian w eksploatacji 1. Kontrola zmian sieci, systemów operacyjnych i aplikacji ma na celu zapewnianie poprawnego i bezpiecznego działania systemów teleinformatycznych pracujących w Agencji. 2. Zarządzanie zmianami polega na koordynacji, nadawaniu priorytetów, zatwierdzaniu, planowaniu zasobów i oceny ryzyka w związku ze zmianami dokonywanymi w systemach teleinformatycznych Agencji. 3. Każda zmiana w systemie teleinformatycznym Agencji musi być udokumentowana, zgodnie ze wzorem formularza zgłaszania i realizacji zmiany zamieszczonym w załączniku nr 4 do niniejszego regulaminu. 4. Zasady wskazane w niniejszym rozdziale odnoszą się do: 1) zmian infrastruktury technicznej systemów sprowadzających się do wprowadzenia nowego elementu infrastruktury, zmodyfikowania lub usunięcia istniejącego elementu infrastruktury, poprawiania błędu w infrastrukturze, przy czym: a) zmiana infrastruktury regularna oznacza zmianę, która nie wymaga natychmiastowego wdrożenia, b) zmiana infrastruktury awaryjna - stosowana w sytuacjach awaryjnych, gdzie czas implementacji zmiany jest krytyczny, z pominięciem lub uproszczeniem niektórych etapów (np. testów) przy założonym ryzyku, c) zmiana infrastruktury rutynowa - zaakceptowane wcześniej działanie związane z relatywnie prostymi czynnościami np. wymiana drukarki lub monitora, 2) zmian aplikacyjnych będących poprawkami (w tym usuwanie błędów) albo modyfikacjami, zmiany aplikacyjne są klasyfikowane jako: a) zmiany aplikacyjne regularne oznaczają zmiany, które nie wymagają natychmiastowego wdrożenia, b) zmiany aplikacyjne awaryjne wprowadzane w stanie pilnej konieczności z powodu zagrożenia działania aplikacji, 3) zmian w sposobie i/ lub zakresie świadczenia usług przez podmiot zewnętrzny. 5. Za proces zarządzania zmianami w poszczególnych obszarach jest odpowiedzialny Właściciel Zasobu, zaś za wykonywane zmian Administrator Systemu (jeżeli działania te zostały na niego delegowane). 6. Każda zmiana regularna jest poprzedzona udokumentowanym: 1) opisem zmiany, 2) opisem przyczyny zmiany (wraz z podaniem aktów prawnych uzasadniających zmianę jeżeli ma zastosowanie), 3) opisem rodzaju wymaganych działań, 4) szacowaniem ryzyka potencjalnego wpływu zmian, 5) harmonogramem wprowadzanych zmian, 6) wykonaniem kopii zapasowej z możliwością odtworzenia stanu poprzedniego na wypadek nieprzewidzianych zdarzeń (jeżeli ma zastosowanie), 163

164 7) przetestowaniem zmian. 7. Jeżeli zmiana ma charakter awaryjny, dokumentacja może być opracowana najpóźniej w przeciągu 7 dni od dokonania zmiany. 8. Zmiana mająca charakter awaryjny, którą trzeba wprowadzić bezzwłocznie w celu ograniczenia ryzyka poważnego zakłócenia działalności Agencji wymaga zgody Właściciela Zasobu. 9. Dokonywane zmiany: regularne, awaryjne i rutynowe podlegają rejestracji w Dzienniku pracy systemu prowadzonym przez Administratora Systemu. 10. Wpisu dokonuje osoba przeprowadzająca zmianę. Wpis zawiera w szczególności odnośniki do dokumentów określonych w ust Bezpieczeństwo dokumentacji systemu 6. Dokumentacja powykonawcza infrastruktury oraz dokumentacja techniczna systemu podlega ochronie zgodnie z zasadami ochrony informacji wrażliwych przedstawionymi w zarządzeniu. 7. Osobą odpowiedzialną za aktualność i kompletność dokumentacji jest dyrektor komórki właściwej ds. informatyki. 8. Dokumentacja systemów jest udostępniana na zasadzie wiedzy koniecznej. Udostępnienie dokumentacji jest rejestrowane. Rozdział 5. Zarządzanie wymiennymi nośnikami komputerowymi 23. Użytkowanie nośników 1. Nośniki komputerowe są przechowywane i eksploatowane zgodnie z zaleceniami producenta, z uwzględnieniem wymagań w zakresie ochrony informacji, które są umieszczone na nośnikach. 2. Nośniki zawierające informacje wrażliwe przechowywane są w specjalnych, atestowanych szafach (np. S120 DIS) zlokalizowanych w strefie administracyjnej. Szafy do przechowywania nośników zapewniają ochronę przed: 1) pożarem, 2) eksplozją towarzyszącą pożarowi, 3) działaniem gazów powstałych podczas pożaru, 4) zalaniem, 5) działaniem pola elektromagnetycznego. 3. Wymienne nośniki komputerowe takie, jak przenośne dyski twarde, przenośne nagrywarki CD i DVD, kamery, pamięci typu flash, podlegają ewidencji prowadzonej przez Administratora Systemu. 164

165 4. Etykiety nośników informacji posiadają identyfikator lub numer umożliwiający ich jednoznaczną identyfikację. Na podstawie etykiety nośnika informacji i danych zawartych w ewidencji nośników możliwe jest ustalenie: 1) numeru ewidencyjnego nośnika, 2) typu nośnika, 3) daty zapisu na nośniku, 4) nazwy komórki organizacyjnej składującej informacje, 5) określenia rodzaju przechowywanej informacji, 6) imienia i nazwiska osoby dokonującej zapisu. 5. Nośniki wymienne zawierające informacje wrażliwe przewożone są przez pracowników Agencji do innych lokalizacji w pojemniku zapewniającym ochronę nośników przed zagrożeniami wskazanymi w ust Wycofanie z eksploatacji nośników komputerowych 1. Wycofanie z eksploatacji wymiennych nośników komputerowych, przekazanie do naprawy lub ponownego użycia jest poprzedzone archiwizacją, a następnie skutecznym usunięciem zapisanych danych. 2. Uszkodzone wymienne nośniki komputerowe zawierające informacje wrażliwe są niszczone w sposób uniemożliwiający odczytanie zapisanych na nich informacji. 3. Zasady i tryb postępowania z nośnikami przekazanymi do archiwum określają odrębne przepisy Agencji. Rozdział 6. Bezpieczeństwo wymiany danych 25. Bezpieczeństwo serwisów intranetowych i ekstranetowych 1. Serwisy intranetowe i ekstranetowe są lokalizowane na serwerach, do których dostęp wymaga identyfikacji i uwierzytelnienia. 2. Udostępnienie informacji w serwisach intranetowych i i ekstranetowych wymaga zatwierdzenia przez Właściciela Zasobu. 3. Dostęp do serwisów ekstranetowych posiadają wyłącznie pracownicy Agencji. 4. Dostęp do serwisów ekstranetowych mogą posiadać uprawnione z mocy prawa podmioty zewnętrzne współpracujące z Agencją. 26. Bezpieczeństwo wymiany poczty elektronicznej wewnętrznej i zewnętrznej 1. System poczty elektronicznej zapewnia: 1) ochronę przed szkodliwym oprogramowaniem rozpowszechnianym za pomocą poczty elektronicznej, 2) ochronę antywirusową załączników przesyłanych w poczcie elektronicznej, 165

166 3) ochronę antyspamową, 4) możliwość użycia dostępnych technik kryptograficznych do ochrony poufności i integralności wiadomości poczty elektronicznej, 5) monitorowanie i rejestrowanie poczty elektronicznej. 2. Dostęp do poczty elektronicznej możliwy jest z wewnątrz (dla wszystkich pracowników) oraz z zewnętrz - dla wydzielonej grupy użytkowników - sieci Agencji. 3. Zasoby poczty elektronicznej (wszystkie skrzynki pocztowe) podlegają sporządzaniu kopii zapasowej. Kopia zapasowa sporządzana jest każdego dnia. Okres przechowywania kopii zapasowych wynosi co najmniej 3 dni. 4. System poczty elektronicznej nakłada ograniczenia, co do rozmiaru pojedynczej skrzynki pocztowej oraz wielkości przesyłanej wiadomości. 27. Mechanizmy kryptograficzne uwierzytelniania przy połączeniach zewnętrznych 1. Ruch HP między klientem poczty w Internecie a serwerem poczty musi być zabezpieczony za pomocą protokołu szyfrującego SSL. 2. Uwierzytelnienie dostępu użytkownika do poczty internetowej realizowane jest za pomocą certyfikatu (podstawowa metoda uwierzytelniania) lub identyfikatora i hasła (zapasowa metoda uwierzytelniania). 3. Uwierzytelnienie dostępu podmiotów zewnętrznych do wybranych systemów Agencji odbywa się za pomocą protokołu szyfrującego SSL. 4. Administrator Systemu jest odpowiedzialny za zapewnienie bezpieczeństwa pary kluczy kryptograficznych (klucz prywatny i klucz publiczny) służących do zabezpieczenia transmisji za pomocą protokołu SSL w trakcie jej generowania tej pary kluczy oraz wydania i zainstalowania certyfikatu klucza publicznego. W szczególności, generowanie pary kluczy powinno odbywać się na wydzielonej stacji roboczej w sposób uniemożliwiający przechwycenie lub modyfikację klucza prywatnego. 5. Administrator Systemu jest odpowiedzialny za ochronę kluczy w trakcie ich użytkowania, a w szczególności za ochronę klucza prywatnego przed ujawnieniem lub nieautoryzowanym użyciem. W przypadku zaistnienia faktu (lub uzasadnionego podejrzenia) naruszenia ochrony klucza prywatnego należy niezwłocznie przeprowadzić proces unieważniania certyfikatu. 6. Odnowienie certyfikatu klucza publicznego musi nastąpić przed końcem okresu jego ważności. 7. Po zakończeniu użytkowania certyfikatu klucza publicznego, w przypadku stosowania go wyłącznie do zabezpieczenia komunikacji w protokole SSL, należy parę kluczy zniszczyć w sposób nieodwracalny. 166

167 Rozdział 7. Konserwacja i naprawy sprzętu 28. Konserwacja i naprawa sprzętu 1. Konserwacja sprzętu i urządzeń pracujących w systemach teleinformatycznych Agencji ma na celu zapewnienie nieprzerwanej i bezpiecznej pracy tych systemów, zapobieganie utraty, uszkodzenia lub naruszenia bezpieczeństwa. 2. Sprzęt podlega konserwacji według ustalonego planu, wynikającego z zaleceń producentów. 3. Konserwacja i naprawy muszą być prowadzone jedynie przez uprawnionych pracowników Agencji lub podmiot zewnętrzny świadczącą usługi konserwacyjne na podstawie umowy lub w ramach gwarancji. 4. W przypadku, gdy na nośnikach komputerowych, stanowiących integralną część sprzętu przekazywanego do naprawy, znajdują się informacje wrażliwe, sprzęt taki naprawiany jest pod nadzorem Administratora Systemu. Jeżeli zaś taki nadzór nie jest możliwy, to informacje wrażliwe są, po zapewnieniu możliwości ich odtworzenia, skutecznie usuwane z nośnika. 5. Wszelkie konserwacje i naprawy są odnotowywane w dzienniku pracy danego sprzętu. 29. Zabezpieczenie sprzętu poza siedzibą 1. Wynoszenie sprzętu (np. komputery przenośne, notesy elektroniczne itp.) jest możliwe tylko w przypadku uzyskania zgody Właściciela Zasobu. 2. Pracownik wyznaczony przez Właściciela Zasobu prowadzi ewidencję sprzętu pracującego poza Agencją. 3. Wszelkie informacje wrażliwe nie mogą być przechowywane w urządzeniach przenośnych, które pracują poza Agencją w postaci niezaszyfrowanej. 4. Sprzęt wykorzystywany poza Agencją podlega ubezpieczeniu. 5. Ustala się, że wynoszenie sprzętu komputerowego poza Agencję, w tym sposób programowego zabezpieczenia komputerów, odbywa się w sposób opisany w Procedurze wydawania zezwoleń na wynoszenie sprzętu komputerowego z ARiMR zawartej w Książce Procedur KP ARiMR. 6. Wynoszenie sprzętu komputerowego poza Agencję dotyczy również sytuacji, kiedy praca odbywa się na terenie Agencji, ale poza pomieszczeniami przystosowanymi do przetwarzania informacji wrażliwych. 167

168 Rozdział 8. Zarządzanie dostępem do systemów teleinformatycznych 30. Rejestrowanie użytkowników i przypisanie praw dostępu 1. Użytkownik systemu teleinformatycznego jest jednoznacznie identyfikowany poprzez indywidualny identyfikator (nazwę) użytkownika. 2. Niedopuszczalne jest korzystanie z tego samego identyfikatora przez więcej niż jednego użytkownika (chyba, że z przyczyn technicznych nie ma możliwości stosowania osobistych identyfikatorów). 3. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi. 4. Uprawnienia dostępu są nadawane wyłącznie w zakresie wynikającym z zajmowanego stanowiska i potrzeby wykonywania obowiązków służbowych na danym stanowisku pracy. Bezzasadne nadawanie uprawnień administratora (przywilejów) będzie kwalifikowane jako incydent związany z bezpieczeństwem informacji. 5. Nadawanie uprawnień dostępu do systemu teleinformatycznego Agencji odbywa się zgodnie z procedurą Obsługa kont użytkowników systemów informatycznych ARiMR" zawartą w Książce Procedur KP ARiMR. 6. W przypadku konieczności natychmiastowego odebrania/ograniczenia praw dostępu dopuszcza się możliwość zastosowania uproszczonego trybu polegającego na przekazaniu stosownej informacji pocztą elektroniczną od bezpośredniego przełożonego do Administratora Systemu, która niezwłocznie jest potwierdzana w zwykłym trybie. 7. Rejestr użytkowników wraz z uprawnieniami do systemu lub aplikacji prowadzi Administrator Systemu. Weryfikację aktualności tego rejestru prowadzą Właściciele Zasobów w odniesieniu do nadzorowanych przez siebie zasobów. 8. Prawa dostępu do wielu aktywów (plików, katalogów, aplikacji, stron intranetowych) jednocześnie przydzielane są dla każdego z aktywów za osobną zgodą danego Właściciela. W przypadku, gdy w Agencji wykorzystuje się domenowe mechanizmy zarządzania dostępem (usługi katalogowe, active directory, itp.) aktywa są grupowane, za uprzednią zgodą odpowiednich Właścicieli Zasobów. 9. Administrator Systemu raz na miesiąc dokonuje przeglądu stanu aktywności kont użytkowników. 10. Konta nieużywane przez okres 30 dni są automatycznie blokowane. 31. Zarządzanie przywilejami 1. Nadawane przywileje (większe uprawnienia niż wynika to z realizowanych rutynowych zadań użytkownika) podlegają ścisłej ewidencji prowadzonej przez Administratora Systemu. 2. Przywileje w systemie nadaje Administrator Systemu zgodnie z procedurami obsługi kont użytkowników systemów informatycznych zamieszczonymi w Książce Procedur KP ARiMR. 3. Uprzywilejowane konto nie może służyć do realizacji przez użytkownika rutynowych zadań. 168

169 4. Przywileje podlegają cofnięciu niezwłocznie po ustaniu potrzeby uzasadniającej ich nadanie. 5. Przywileje nadawane są osobie zastępującej danego administratora na czas jego nieobecności. 6. Osobie zastępującej przekazywane są hasła dostępu oraz procedury wykonywane nadanym stanowisku. 7. Nadawane przywileje podlegają regularnym przeglądom i kontroli. 32. Zarządzanie hasłami użytkowników 1. Niedopuszczalne jest występowanie w systemie teleinformatycznym kont niezabezpieczonych hasłem. 2. Administrator Systemu, za pomocą ustawień systemowych, wymusza natychmiastową zmianę hasła początkowego, przydzielonego użytkownikowi, na nowe przez niego wybrane (o ile istnieją możliwości techniczne wymuszenia). 3. Zabronione jest przekazywanie haseł przez osoby trzecie lub za pośrednictwem otwartych wiadomości poczty elektronicznej. 4. Hasła tymczasowe, dostarczane w przypadku utraty hasła, są wydawane dopiero po pozytywnej weryfikacji tożsamości użytkownika. 5. Hasła tymczasowe przydzielane użytkownikom są unikalne. 6. Przy konfigurowaniu mechanizmów logowania do systemów uwzględnia się następujące zasady: 1) użytkownik musi podać swoją identyfikator oraz hasło, 2) w polu logowania nie jest prezentowana ostatnio użyta nazwa użytkownika (o ile system to umożliwia), 3) wpisywane hasło nie pojawia w postaci jawnej na ekranie logowania. 7. Systemy operacyjne i aplikacje spełniają wymagania dotyczące możliwości ustawienia następujących parametrów haseł: 1) siły hasła (długość i złożoność haseł), 2) maksymalnego okresu ważności, 3) ograniczenia możliwości ponownego wykorzystania hasła (pamięć ostatnio używanych haseł). 8. Specjalne warunki przechowywania duplikatów haseł dotyczą: 1) elementów aktywnych sieci teleinformatycznej, 2) haseł administracyjnych do systemów, aplikacji i baz danych, 3) konfiguracji komputerów, w tym hasła do BIOS. 9. Hasła administracyjne przechowuje się w postaci zaszyfrowanej. 10. Do przechowywania haseł zapisanych na papierze stosuje się wyłącznie koperty, które uniemożliwiają otwarcie bez uszkodzenia ich struktury (tzw. koperty bezpieczne ). Koperty z hasłami przechowuje się w sejfie, w miejscu zapewniającym dostęp tylko osobom upoważnionym. 169

170 11. Dane umieszczone na bezpiecznej kopercie zawierają: 1) numer koperty adekwatny do numeru ewidencyjnego podanego w książce ewidencji haseł, 2) datę jej złożenia i podpis osoby składającej kopertę, 3) skróconą nazwę przynależności hasła. 12. Koperty z hasłami podlegają oznaczaniu zgodnie z załącznikiem nr 3 do niniejszego regulaminu oraz ścisłej ewidencji prowadzonej przez Administratora Systemu. 13. Ewidencja haseł przechowywana jest w miejscu zabezpieczonym przed dostępem osób niepowołanych. 14. Za aktualność przechowywanych haseł odpowiedzialny jest Administrator Systemu. 15. Awaryjne otwarcie bezpiecznej koperty oraz pobranie kopii hasła znajdującego się w kopercie wymaga uprzedniej pisemnej akceptacji Właściciela Zasobu lub osoby przez niego upoważnionej i jest udokumentowane w ewidencji kopert. 16. Po użyciu, hasło ulega zniszczeniu, a w to miejsce jest generowane nowe hasło, którego kopia jest przechowywana na identycznych zasadach jak w przypadku zniszczonego hasła. 33. Zasady dostępu do plików i katalogów 1. Uprawnienia dostępu do plików i katalogów z poziomu systemu operacyjnego są nadawane przez Administratora Systemu po zatwierdzeniu przez Właściciela danego zasobu. 2. Uprawnienia dostępu do katalogów i plików aplikacji, w tym do baz danych, są nadawane przez Administratora, po zatwierdzeniu przez Właściciela Zasobu. Rozdział 9. Zasady monitorowania systemów i ich użycia 34. Mechanizmy monitorowania systemów 1. Monitorowanie systemów i ich użycia ma na celu wykrywanie nieuprawnionych działań. 2. Rejestrowane i monitorowane są wszystkie zdarzenia polegające na użyciu urządzeń przetwarzania informacji oraz programów narzędziowych, diagnostycznych zapewniając weryfikację i rozliczalność użytkowników wykonujących zadania, do których zostali uprawnieni. W szczególności rejestrowaniu podlegają: 1) identyfikatory użytkowników, 2) daty i czasy zarejestrowania i wyrejestrowania w systemie, 3) identyfikator stacji robocze] lub terminala (nazwę komputera w systemie), 4) nieudane próby logowania do systemu, 5) zmiany zapisów w rejestrach, 170

171 6) błędy systemu i procedury obsługi tych błędów, 7) zawieszenie i ponowne uruchomienia systemu, 8) uruchamianie programów narzędziowych, 9) zmiany w plikach konfiguracyjnych i krytycznych zmiennych systemowych, 10) wersje systemu i stan uaktualnień w porównaniu z zalecanymi przez producenta, (jeśli ma zastosowanie). 3. Rejestry są utrzymywane i przechowywane dla wszystkich krytycznych dla Agencji systemów i aplikacji. 4. Systemy rejestrów są objęte standardową procedurą tworzenia kopii archiwalnych. Kopie archiwalne rejestrów przechowywane są przez 2 lata. 5. Serwery kontrolujące dostęp do Internetu tworzą zdalne pliki rejestrów lub mają wdrożony system przesyłania rejestrów zdarzeń na inne, wewnętrzne serwery. 6. W celu wykrywania incydentów związanych z bezpieczeństwem Administrator Systemu regularnie monitoruje zapisy dokonywane automatycznie przez systemy w rejestrach zdarzeń pod kątem właściwego wykorzystania systemu teleinformatycznego i zarządzania nim. 7. Systemy zapisu zdarzeń są zabezpieczone przed manipulacją i nieuprawnionymi zmianami. 35. Dziennik pracy systemu 1. Administrator Systemu prowadzi dziennik wykonywanych czynności oraz zdarzeń zachodzących w systemie. Dzienniki pracy systemu, zgodnie ze wzorem zamieszczonym w załączniku nr 5 do niniejszego regulaminu, zawierają zapisy dotyczące następujących zdarzeń lub czynności: 1) informacje o nadaniu, modyfikacji lub cofnięciu przywilejów w systemie, 2) przejęcie obowiązków administratora, 3) błędy systemowe i podjęte działania naprawcze, 4) zdarzenie związane z bezpieczeństwem informacji, 5) błędy zgłaszane przez użytkowników oraz innych administratorów, a także uzyskane od stron trzecich świadczących usługi na rzecz systemu użytkowanego w Agencji oraz podjęte działania naprawcze, 6) informacje o sesjach połączeń zdalnych wykonywanych przez podmioty zewnętrzne (jeżeli ma zastosowanie) zawierające: a) cel połączenia, b) opis działań, c) specyfikację danych i systemów, do których firma serwisowa będzie miała dostęp, d) nazwisko osoby nawiązującej połączenie ze strony firmy zewnętrznej oraz nazwę firmy, e) datę i godzinę połączenia, 171

172 7) instalacje oprogramowania lub zmiany wersji, 8) użycie programów narzędziowych, 9) zmiany konfiguracji sprzętu i systemu operacyjnego. 2. Każdy zapis w dzienniku pracy systemu zawiera informacje dodatkowe o czynnościach lub zdarzeniu, takie jak: 1) czas rozpoczęcia i zakończenia pracy w systemie; 2) nazwisko osoby wykonującej wpis do dziennika, 3) identyfikator konta, z którego wykonano czynności (jeśli ma zastosowanie). 3. Administrator Systemu odnotowuje w dzienniku wszelkie dodatkowe informacje, które pozwolą zlokalizować przyczynę błędu: 1) w przypadku awarii sprzętu lub usługi, w szczególności: a) powtórzenie błędu (np. analogiczny wcześniejszy zapis w dzienniku), b) objawy towarzyszące (np. komunikaty systemowe, logi połączeń), c) krytyczność awarii, zgodnie z klasyfikacją uzgodnioną z dostawcą usług (np. w umowie SLA), 2) w przypadku awarii oprogramowania, w szczególności: a) powtórzenie błędu (np. analogiczny wcześniejszy zapis w dzienniku), b) zrzuty ekranów, c) konfiguracje oprogramowania i baz danych (np. otwarte pliki, zapisy w logach), d) krytyczność błędu, zgodnie z klasyfikacją uzgodnioną z dostawcą oprogramowania. 4. Lista działań wykonywanych przez administratorów podlegających bezwzględnemu odnotowywaniu w dziennikach może zostać poszerzona lub ograniczona dla danego systemu teleinformatycznego po ówczesnym przeprowadzeniu udokumentowanego szacowanie ryzyka i zatwierdzeniu przez Komitet. 5. Dzienniki mogą być prowadzone oddzielnie dla każdego serwera, urządzenia sieciowego, aplikacji. 6. Dzienniki prowadzone są przez administratora odpowiedzialnego za dany serwer, urządzenie sieciowe, aplikację. 7. Dzienniki systemowe lub ich części prowadzone są w formie elektronicznej lub papierowej. 8. Rejestracja błędów może być prowadzona poza dziennikiem administratora, w dedykowanym rejestrze. 36. Synchronizacja zegarów 1. Odpowiednia dokładność i możliwość korelacji rejestrów zdarzeń, których zapisy mogą służyć jako dowody w postępowaniu w przypadku wykrycia naruszenia bezpieczeństwa, jest zapewniona przez właściwe ustawienie zegarów urządzeń teleinformatycznych. 172

173 2. Do synchronizacji czasu wykorzystuje się protokół NP. 3. Źródłem synchronizacji powinien być zewnętrzny wzorzec czasu. 4. Stacje robocze synchronizują czas z kontrolerów domen. 37. Bezpieczeństwo okablowania 1. W Agencji przyjęto następujące zasady instalowania i ochrony okablowania: 1) sposób instalacji okablowania uwzględnia ochronę okablowania przed nieautoryzowanym dostępem lub uszkodzeniem, poprzez prowadzenie kabli w rurach kablowych, listwach PCV, podłogach technologicznych, 2) okablowanie, w miarę możliwości, nie jest prowadzone przez ogólnie dostępne strefy; w przypadku prowadzenia okablowania przez takie miejsca stosowane są środki uniemożliwiające bądź ograniczające dostęp do okablowania przez osoby nieupoważnione, 3) przy projektowaniu przebiegu linii sieci teleinformatycznej poza strefami administracyjnymi wykorzystywane są w maksymalnym stopniu rozwiązania wykorzystujące technologie światłowodowe, 4) w instalacji okablowania oddzielono kable zasilające od okablowania komunikacyjnego w celu unikania interferencji, 5) w instalacji okablowania zastosowano jednoznaczne i wyraźne oznakowanie umożliwiające identyfikację kabli i sprzętu w celu zmniejszenia ryzyka błędów takich, jak niewłaściwe połączenie lub zastosowanie nieodpowiedniego kabla, 6) kable komunikacyjne wyposażone są w zabezpieczenia odgromowe (jeżeli ma zastosowanie), 7) prowadzi się kompletną i aktualną dokumentację połączeń fizycznych i logicznych w celu zmniejszenia prawdopodobieństwa błędów. 2. Pomieszczenia, w których znajdują się panele połączeniowe, węzły telekomunikacyjne i szafy dystrybucyjne objęte są systemem kontroli dostępu. 3. Niewykorzystywane segmenty sieci strukturalnej są odłączane od sieci teleinformatycznej. 4. W przypadku systemów wskazanych w procesie szacowania ryzyka jako kluczowe, są uwzględnione następujące zabezpieczenia obejmujące: 1) stosowanie zapasowych (awaryjnych) dróg komunikacyjnych lub mediów transmisyjnych zapewniających odpowiedni poziom bezpieczeństwa, 2) korzystanie z kabli światłowodowych. 5. Badanie właściwości transmisyjnych okablowania strukturalnego przeprowadzane jest przez Administratora Systemu nie rzadziej niż raz na 2 lata. 38. Eksploatacja urządzeń zasilających 1. Wszystkie urządzenia sieci teleinformatycznej są zasilane napięciem o parametrach zgodnych z wymaganiami producenta. 173

174 2. Urządzenia teleinformatyczne muszą być zasilane z wydzielonej instalacji elektrycznej. 3. Urządzenia sieci teleinformatycznej, od ciągłości pracy, których zależne jest realizowanie podstawowych zadań Agencji, muszą być zasilane z gwarantowanych źródeł. 4. Gwarantowane zasilanie uzyskiwane jest przez zastosowanie dywersyfikacji zewnętrznych źródeł energii elektrycznej z samoczynnym załączaniem rezerwy (SZR), zastosowanie zasilaczy bezprzerwowych (UPS), zastosowanie awaryjnych agregatów prądotwórczych. 5. Konfiguracja zasilania gwarantowanego wynika z Planu Zapewnienia Ciągłości Działania Agencji. 6. Dobór urządzeń podtrzymujących zasilanie pod względem wydajności mocowej poprzedzane jest przeprowadzeniem udokumentowanego bilansu mocy. 7. Każde urządzenie sieci teleinformatycznej jest opatrzone tabliczką, z której wynika skąd dane urządzenie jest zasilane, zawierającą nazwę rozdzielnicy lub tablicy zabezpieczeń oraz nazwę pola w rozdzielnicy lub bezpiecznika na tablicy zabezpieczeń. 8. Stan zasilania zasobów sieci teleinformatycznej, którym nadano status zasobu kluczowego, jest na bieżąco monitorowany przez Administratora Systemu. Jakość zasilania pozostałych zasobów sieci teleinformatycznej musi być okresowo sprawdzana. 9. Zasilacze bezprzerwowe, zasilające kluczowe zasoby sieci teleinformatycznej, raportują stan swojej pracy (zasilanie z sieci, zasilanie z baterii) oraz parametry baterii (jej stopień naładowania i przewidziany czas pracy z baterii przy danym obciążeniu) systemom operacyjnym serwerów. W przypadku, gdy stopień naładowania baterii osiągnie w czasie pracy z baterii poziom, którego przekroczenie nie gwarantuje podtrzymania ciągłości pracy, system operacyjny wymusza automatyczne zamknięcie aplikacji i baz danych oraz kontrolowane wyłączenie serwera. 10. W przypadku, gdy automatyczne raportowanie nie jest technicznie możliwe Administrator Systemu dokonuje okresowych, raz na tydzień, oględzin polegających na sprawdzeniu wskazań paneli sterujących (według instrukcji techniczno-eksploatacyjnych). Oględziny muszą być odnotowywane w dzienniku pracy systemu. 11. Elementy systemu zasilania gwarantowanego podlegają okresowym przeglądom i konserwacjom w zakresie określonym przez producenta. 12. Akumulatory podlegają wymianie po okresach eksploatacji przewidzianych w instrukcjach użytkowania. 13. Serwisowanie urządzeń zasilających przeprowadzane jest wyłącznie przez autoryzowane podmioty zewnętrzne. 14. Przeglądy, konserwacje i serwisowanie podlega odnotowaniu w dzienniku pracy systemu. 15. Agregaty prądotwórcze są okresowo uruchamiane w okresach i zakresie przewidzianych przez ich producentów. 174

175 Załącznik nr 1 do Regulaminu eksploatacji systemów teleinformatycznych - Rejestr kopii zapasowych L.p cd.: L.p Nazwa systemu lub aplikacji Nazwa systemu lub aplikacji Lokalizacja jednostki danych Częstotliwość wykonywania backupu Nazwa serwera Ilość kopii zapasowych yp danych (system operacyjny, baza danych, pliki, poczta, inne) Sposób wykonywania kopii yp backupu (pełny, przyrostowy, różnicowy) Okres przechowywania Wolumen [GB] Miejsce przechowywania kopii zapasowych Okno czasowe backupu 175

176 Załącznik nr 2 do Regulaminu eksploatacji systemów teleinformatycznych - Oznaczanie wymiennych nośników komputerowych 1. Etykiety nośników informacji posiadają identyfikator lub numer umożliwiający ich jednoznaczną klasyfikację, znajdujący odzwierciedlenie w dzienniku ewidencji nośników. 2. Na podstawie etykiety nośnika informacji i danych zawartych w dzienniku ewidencji nośników możliwe jest ustalenie: 1) numeru ewidencyjnego nośnika, 2) typu nośnika, Przykładowa etykieta: 3) daty zapisu na nośniku, 4) nazwy komórki organizacyjnej składującej informacje, 5) określenia rodzaju przechowywanej informacji, 6) imienia i nazwiska osoby dokonującej zapisu. BP w... nazwa systemu/aplikacji: oznaczenie: AA/01/dd-mm-rrrr/X-n/Id godzina utworzenia: Imię i nazwisko: Składniki oznaczenia Skrót Przykładowa wartość yp nośnika AA M taśma magnetyczna CD CDROM DS dyskietka Nr kolejny 01 01, 02,03 itd. Data utworzenia dd-mm-rr Rodzaj przechowywanej informacji X A kopia archiwalna Z kopia zapasowa Numer kopii n 1 lub 2 Identyfikator Id Identyfikatory jednoznacznie identyfikujące osobę odpowiedzialną za stworzenie kopii (np. Inicjały imienia i nazwiska) 176

177 Załącznik nr 3 do Regulaminu eksploatacji systemów teleinformatycznych - Ewidencja bezpiecznych kopert 1. Ewidencja bezpiecznych kopert prowadzona jest w książce ewidencji haseł, która zawiera: 1) Numer ewidencyjny, 2) Oznaczenie przynależności hasła zawartego w kopercie (nazwa systemu, zasobu, komputera, elementu aktywnego, itp.), 3) Imię i nazwisko, pełnioną funkcję oraz podpis osoby składającej kopertę (właściciela hasła), 4) Datę złożenia koperty z hasłem, 5) Podpis osoby przyjmującej kopertę na przechowanie, 6) Datę wygaśnięcia ważności hasła zawartego w kopercie, 7) Adnotację o wydaniu koperty z hasłem (użyciu awaryjnym). Wzór etykiety na kopercie: Właściciel hasła Nazwa systemu, zasobu lub komputera, Nazwa do którego przynależy hasło Numer kolejny hasła 01, 02,... Daty początku i końca okresu ważności hasła Data złożenia Imię i nazwisko dd-mm-rr - dd-mm-rr dd-mm-rrrr 177

178 Załącznik nr 4 do Regulaminu eksploatacji systemów teleinformatycznych - Formularz zgłoszenia i realizacji zmiany Uwaga: niniejszy formularz jest formularzem wewnętrznym Agencji, służącym do dokumentowania procesu zgłaszania i realizacji zmiany; dostawca usług, sprzętu lub aplikacji może realizować zmianę zgodnie z własnym systemem prowadzenia i dokumentowania projektów. 9. Zgłoszenie Zmiany (Wypełnia Administrator Systemu lub Właściciel Zasobu) Nr zgłoszenia: Zmiana w trybie: [Rutynowy/Awaryjny] Data zgłoszenia: Wnioskodawca (podmiot zewnętrzny lub komórka organizacyjna Agencji): Wymagana data rozpatrzenia: Opis zmiany: Przyczyna zmiany: Rodzaj wymaganego działania: Aneks (Ocena możliwości wykonania zmiany): 1. Szczegółowy opis zakresu zmiany oraz sposób jej realizacji: 2. Określenie pracochłonności i/lub kosztów realizacji zmiany: 3. Wpływ zmiany na system teleinformatyczny: (np. zmiana systemu operacyjnego wpływająca na pracę aplikacji, rozszerzenie/ zmiana funkcjonalności aplikacji) 4. Specyficzne uwarunkowania i ograniczenia: (np. funkcjonujące inne aplikacje wykorzystujące te same aktywa systemu, brak możliwości wyłączenia systemu lub jego części na czas wystarczający do wprowadzenia zmiany) 5. Harmonogram realizacji zmiany: (Uwzględniające specyfikę realizowanej zmiany np. protokół dostarczany przez dostawcę) 178

179 10. Ocena zmiany Rozpatrujący: <jednostka organizacyjna Agencji (w tym właściciel systemu/ aplikacji, jeśli zmianę zgłasza Administrator Systemu)> 2 Stanowisko: Rekomendacje: [Inne podmioty] Rozpatrujący: Stanowisko: Rekomendacje: Data rozpatrzenia: Data rozpatrzenia: 11. Zatwierdzenie Niniejsza sekcja jest formalnym zatwierdzeniem postulowanej zmiany do realizacji. Prezes Agencji lub osoba przez niego upoważniona Imię i nazwisko: Stanowisko: Data: Podpis: 12. Plan działania Lp. Osoba odpowiedzialna za realizację zadania Zadanie Data zakończenia 13. Status realizacji Zmiany 2 (punkt 2 może występować wielokrotnie, w zależności od potrzeb zebrania opinii o wpływie zmiany na system teleinformatyczny Agencji) 179

180 Historia wykonanych czynności Data Status* Uwagi** *Przykładowy status: w opracowaniu, w testowaniu, sprawdzanie, weryfikacja, akceptacja, inne (określić jakie) **Zamieścić uwagi opisujące bardziej szczegółowo status. Przywołać załączniki, jeśli takie opracowano. 14. Zakończenie realizacji Nr zlecenia/ umowy: Zrealizował: Data realizacji: Aneksy (np. protokół odbioru) 180

181 Załącznik nr 5 do Regulaminu eksploatacji systemów teleinformatycznych - Dziennik pracy systemu Dziennik pracy systemu Lp. Rodzaj zdarzenia Opis zdarzenia Rozpoczęcie pracy [data, godzina] Zakończenie pracy [data, godzina] Nazwisko i imię osoby dokonującej wpisu Konto, które zostało użyte do obsługi zdarzenia Podjęte działania naprawcze

182 Załącznik nr 6 do Regulaminu eksploatacji systemów teleinformatycznych - Wniosek dotyczący użytkowania programu narzędziowego Część I (Wypełnia kierownik komórki /jednostki organizacyjnej/ Właściciel Zasobu 1) Komórka organizacyjna:... 2) Nazwa programu narzędziowego, wersja i krótki opis... Program wewnętrzny (część systemu lub aplikacji) Program zewnętrzny Wymagane uprawnienia w systemie (zwykły użytkownik, administrator, supervisor itp.) opcjonalnie, jeśli Wypełniający dysponuje taką wiedzą Szczegółowe informacje techniczne i dostępność (np. URL producenta, dostawcy) Okres użytkowania programu: Regularnie, z częstotliwością <...>, bezterminowo Regularnie, z częstotliwością <...> do: (data) Jednorazowo ) Imiona i nazwiska użytkowników: ) Uzasadnienie wniosku: (data i podpis kierownika komórki organizacyjnej / Właściciela Zasobu) Część II Ocena zasadności wniosku (w aspekcie bezpieczeństwa informacji i systemów teleinformatycznych) (wypełnia dyrektor komórki właściwej ds. bezpieczeństwa informacji) Decyzja pozytywna Uzasadnienie: Decyzja negatywna 182

183 Część III Informacje o realizacji wniosku (Wypełnia Administrator Systemu). (data i podpis dyrektora komórki właściwej ds. bezpieczeństwa informacji) Identyfikator wniosku: Nadany(e) identyfikator(y) (ID) użytkownika(ów) Poziom uprawnień (przywilejów) (data i podpis Administratora Systemu) 183

184 Załącznik nr 13 do Zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II nr Warszawa REGULAMIN DZIAŁANIA ARIMR w sytuacjach kryzysowych