ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Transkrypt

1 ZAŁĄCZNIK NR 1 Metryka dokumentu 1. Tytuł dokumentu INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 2. Właściciel dokumentu 3. Klasa poufności dokument wewnętrzny, ogólnodostępny 4. Podstawa prawna Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926 z późn. zm.) 5. Stan prawny na dzień 1 luty Wersja dokumentu Uwagi Osoby odpowiedzialne za dokument LP Imię i nazwisko, stanowisko Podpis 1. Autor dokumentu 2. Kontrola dokumentu pod względem formalnym 3. Zatwierdził Komentarz do Instrukcji: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określa szczegółowy zakres Instrukcji. Zgodnie z nim powinny być w niej wskazane: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, Strona 1 z 11

2 b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania złośliwego, 7) sposób realizacji wymogów w zakresie odnotowania osób, którym dane zostały udostępnione, 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Dodatkowo rozporządzenie to określa trzy poziomy ochrony danych osobowych oraz minimalny standard tejże ochrony dla każdego z tychże poziomów. Są to poziomy: 1) podstawowy; 2) podwyższony; 3) wysoki. Poziom co najmniej podstawowy stosuje się, gdy: 1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz 2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy: 1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy (dane wrażliwe), oraz 2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Rozporządzenie określa minimalne wymogi dla każdego z tych poziomów. Niniejsza Instrukcja spełnia wymogi dla poziomu Wysokiego, co oznacza że zawiera ona takie elementy, jak: sposoby ochrony przed zagrożeniami z zewnątrz, zasady szyfrowania uwierzytelnień osób upoważnionych do przetwarzania danych (procedura nadawania loginów i haseł) sposoby zabezpieczenia urządzeń i nośników z danymi osobowymi sposoby zabezpieczenia pomieszczeń zasady monitorowania wdrożenia ochrony danych osobowych. A. Środki bezpieczeństwa na poziomie podstawowym I 1. Obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Strona 2 z 11

3 2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. II 1. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. 2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. III System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed: 1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; 2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. IV 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. 3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 4. Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; b) usuwa się niezwłocznie po ustaniu ich użyteczności. V Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. VI Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; 2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; 3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. VII Strona 3 z 11

4 Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. B. Środki bezpieczeństwa na poziomie podwyższonym VIII W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. IX Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dane wrażliwe), przekazywane poza obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. X Instrukcja zarządzania systemem informatycznym, o której mowa w 5 rozporządzenia, rozszerza się o sposób stosowania środków, o których mowa w pkt IX załącznika. XI Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej. C. Środki bezpieczeństwa na poziomie wysokim XII 1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. XIV Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa, określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej. Strona 4 z 11

5 I. Procedury nadawania i zmiany uprawnień do przetwarzania danych 1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z: 1) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926 z późn. zm.), 2) polityką bezpieczeństwa przetwarzania danych osobowych obowiązującą w firmie, 3) niniejszym dokumentem. 2. ABI przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upoważnienia osoby upoważnionej do reprezentacji Przetwarzającego określającego zakres uprawnień pracownika, którego wzór stanowi Załącznik Nr 1 do niniejszego opracowania. 3. Jedynie prawidłowo wypełniony wniosek o nadanie uprawnień w systemie oraz zmianę tych uprawnień jest podstawą rejestracji uprawnień w systemie. 4. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika unikalnej nazwy użytkownika login, hasła oraz zakresu dostępnych danych i operacji. 5. Hasło ustanowione podczas przyznawania uprawnień przez ABI należy zmienić na indywidualne podczas pierwszego logowania się w systemie informatycznym. Ustanowione hasło, administrator przekazuje użytkownikowi ustnie. 6. Pracownik ma prawo do wykonywania tylko tych czynności, do których został upoważniony. 7. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego loginu i hasła dostępu. 8. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków pracowniczych. 9. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia. 10. W systemie informatycznym stosuje się uwierzytelnianie dwustopniowe: na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji. 11. Login użytkownika w aplikacji (o ile działanie aplikacji na to pozwala), powinien być tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej. 12. Odebranie uprawnień pracownikowi następuje na pisemny wniosek kierownika, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień. 13. Login osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło. Strona 5 z 11

6 II. Zasady posługiwania się hasłami 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu loginu i właściwego hasła. 2. Hasło użytkownika powinno być zmieniane co najmniej raz w miesiącu. 3. Login użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł. 5. Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności. 6. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. 7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany hasła. 8. Przy wyborze hasła obowiązują następujące zasady: 1) minimalna długość hasła - 8 znaków 2) zakazuje się stosować: a. haseł, które użytkownik stosował uprzednio w okresie minionego roku, b. swojej nazwy użytkownika w jakiejkolwiek formie (pisanej dużymi literami, w odwrotnym porządku, dublując każdą literę, itp.), c. ogólnie dostępnych informacji o użytkowniku takich jak: numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy na której mieszka lub pracuje, itp. d. wyrazów słownikowych, e. przewidywalnych sekwencji znaków z klawiatury np.: QWERTY, ,itp. 3) należy stosować: a. hasła zawierające kombinacje liter i cyfr, b. hasła zawierające znaki specjalne: znaki interpunkcyjne, nawiasy, #, &, itp. o ile system informatyczny na to pozwala, c. hasła, które można zapamiętać bez zapisywania, d. hasła łatwe i szybkie do wprowadzenia, po to by trudniej było podejrzeć je osobom trzecim, 10. Zmiany hasła nie wolno zlecać innym osobom. 11. W systemach, które umożliwiają opcję zapamiętania nazw użytkownika lub jego hasła nie należy korzystać z tego ułatwienia. III. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie 1. Przed rozpoczęciem pracy w systemie komputerowym należy zalogować się do systemu przy użyciu loginu oraz hasła. Strona 6 z 11

7 2. Przy opuszczeniu stanowiska pracy należy wykonać operację wylogowania z systemu operacyjnego lub jego zablokowania. 3. Osoba udostępniająca stanowisko komputerowe innemu upoważnionemu pracownikowi zobowiązana jest wykonać operację wylogowania z systemu operacyjnego. 4. Przed wyłączeniem zasilania komputera należy bezwzględnie zakończyć pracę uruchomionych programów i wykonać zamknięcie systemu operacyjnego. IV. Procedury tworzenia zabezpieczeń 1. Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada ABI, a w przypadku jego nieobecności ASI. W przypadku braku wyznaczenia ABI i ASI obowiązki te sprawuje Administrator Danych Osobowych. 2. Kopie zapasowe wykonywane są co najmniej raz na miesiąc po zakończeniu pracy wszystkich użytkowników w sieci komputerowej. 3. Zabezpieczenie wszystkich programów i danych wykonywane jest w pierwszym tygodniu po 15 dniu każdego miesiąca. V. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz wydruków 1. Elektroniczne nośniki informacji: 1) Dane osobowe w postaci elektronicznej - za wyjątkiem kopii bezpieczeństwa zapisane na dyskach magnetooptycznych czy dyskach twardych nie są wynoszone poza siedzibę firmy. 2) Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa przetwarzania danych osobowych. 3) Po zakończeniu pracy przez użytkowników systemu, wymienne elektroniczne nośniki informacji są przechowywane w zamykanych szafach biurowych lub kasetkach. 4) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie. 5) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. 6) Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej. 2. Kopie zapasowe: 1) Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych Strona 7 z 11

8 przechowywane są w pomieszczeniu zamykanym na klucz. Dostęp do ww. pomieszczenia mają tylko upoważnieni pracownicy. 3. Wydruki: 1) W przypadku konieczności przechowywania wydruków zawierających dane osobowe, należy je przechowywać w miejscu uniemożliwiającym bezpośredni dostęp osobom niepowołanym 2) Pomieszczenie, w którym przechowywane są wydruki robocze musi być należycie zabezpieczone po godzinach pracy. 3) Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie. VI. Środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi 1. Na każdym stanowisku komputerowym oraz serwerze musi być zainstalowane oprogramowanie antywirusowe pracujące w trybie monitora. 2. Każdy musi być sprawdzony pod kątem występowania wirusów przez program antywirusowy. 3. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w miesiącu. 4. Zabrania się używania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć. 5. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik. 6. Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który pocztę otrzymał. 7. ASI przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach - minimum co trzy miesiące. 8. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. 9. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe, na którym wirusa wykryto oraz wszystkie posiadane przez użytkownika nośniki danych. VII. Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych 1. Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom upoważnionym. 2. Udostępnienie danych osobowych, w jakiejkolwiek postaci, jednostkom nieuprawnionym wymaga pisemnego upoważnienia ABI. Strona 8 z 11

9 3. Dla każdej osoby, której dane są przetwarzane, system informatyczny służący do przetwarzania danych osobowych (z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie) zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu (automatycznie), 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu (automatycznie), 3) źródła danych (w przypadku zbierania danych nie od osoby, której dotyczą), 4) informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych. 4. Dla każdej osoby, której dane osobowe są przetwarzane system informatyczny, zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 3. VIII. Sposób postępowania w sytuacji naruszenia ochrony danych osobowych Sposób postępowania w sytuacji stwierdzenia naruszenia ochrony danych osobowych określa punkt 8 Polityki Bezpieczeństwa Ochrony Danych Osobowych do niniejszej instrukcji. IX. Procedury wykonywania przeglądów i konserwacji systemu 1. Przeglądy i konserwacja urządzeń: 1) przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego powinny być wykonywane w terminach określonym przez producenta sprzętu, 2) nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić ABI, 2. Przegląd programów i narzędzi programowych 1) konserwacja baz danych przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów, 2) administrator bezpieczeństwa informacji w miarę możliwości powinien uaktywnić mechanizm zliczania nieudanych prób zameldowania się do systemu oraz ustawić blokadę konta użytkownika po wykryciu trzech nieudanych prób, we wszystkich systemach posiadających taką funkcję, X. Połączenie do sieci Internet Strona 9 z 11

10 Podłączenie lokalnej sieci komputerowej firmy do sieci Internet jest dopuszczalne wyłącznie po zainstalowaniu i uruchomieniu odpowiednich mechanizmów obronnych oraz kompleksowego oprogramowania antywirusowego. Strona 10 z 11

11 ZAŁĄCZNIK NR 1 DO INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM WNIOSEK O NADANIE UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień Imię i Nazwisko użytkownika: Opis uprawnień użytkownika w systemie informatycznym i uzasadnienie: Data wystawienia: Podpis osoby upoważnionej do reprezentacji: Strona 11 z 11