ZARZĄDZENIE Nr 215/14 Prezydenta Miasta Gdańska z dnia 26 lutego 2014 r.

Transkrypt

1 ZARZĄDZENIE Nr 215/14 z dnia 26 lutego 2014 r. zmieniające zarządzenie w sprawie ustalenia polityki bezpieczeństwa przetwarzania danych osobowych i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miejskim w Gdańsku. Na podstawie art. 33 ust. 1 i 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 2013r. poz. 594, zm. poz.645, poz. 1318) oraz art. 3 ust. 1, art. 7 pkt. 4, art. 36 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. 2002r., nr 101, poz. 926, zm. z 2002r. Nr 153 poz. 1271, z 2004 Nr 25 poz. 219 art. 181, z 2004 Nr 33 poz. 285 art. 1, z 2006r. Nr 104 poz. 708 art. 178, Dz. U. z 2006r. Nr 104 poz. 711 art. 31, z 2007 Nr 165 poz art. 39, z 2007r. Nr 176 poz art. 13, zm. z 2010r. Nr 41, poz.233, Nr 182, poz.1228, Nr 229, poz.1497, zm. z 2011r. Nr 230, poz. 1371) oraz art. 2 ust. 1, art. 13 ust. 1 ustawy z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz. U. 2013r. poz. 235) oraz 3, 4, 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (t.j. Dz. U. z 2004r. nr 100 poz. 1024) oraz 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U r. poz. 526). zarządza się, co następuje: 1 Wprowadza się następujące zmiany w zarządzeniu Nr 1760/08 z dnia 18 listopada 2008 r. w sprawie ustalenia polityki bezpieczeństwa przetwarzania danych osobowych i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miejskim, zmienionego zarządzeniami Nr 169/09 z dnia 18 lutego 2009r., Nr 533/10 z dnia 20 kwietnia 2010r., Nr 1730/12 z dnia 7 listopada 2012r., Nr 1771/12 z dnia 14 listopada 2012r.: 1. W 1 po ust. 2 dodaje się ust. 3 w brzmieniu: Ustala się dodatkowe instrukcje związane z zapewnieniem bezpieczeństwa teleinformatycznego w Urzędzie Miejskim w Gdańsku dotyczące: 1) Nadawania uprawnień do systemów teleinformatycznych załącznik Nr 3, 2) Klasyfikacji incydentów bezpieczeństwa teleinformatycznego załącznik Nr 4, 3) Klasyfikacji incydentów i zdarzeń dotyczących bezpieczeństwa fizycznego załącznik Nr 5, 4) Zastosowania pamięci komputerowych, pomocniczych załącznik Nr 6.

2 2. W Załączniku nr 1 do zarządzenia, ust. IV pkt. 3, lit. B, pkt. 1) dodaje lit. a) i lit. b) w brzmieniu: a) Systemy informatyczne, w których zawarte są dane osobowe mogą podlegać integracji z mechanizmami Active Directory. Automatyczny proces integracji systemów w przypadku identyfikatorów i haseł użytkowników pozwala na jednokrotną, prawidłową identyfikację i autentyfikację użytkownika zintegrowanego systemu; i b) Systemy informatyczne przetwarzające dane osobowe podlegają procesom udoskonaleń związanych ze zmianami przepisów w zakresie bezpieczeństwa teleinformatycznego dotyczących podmiotów realizujących zadania publiczne oraz związanych z postępem technicznym. 3. W załączniku nr 1 do zarządzenia dodaje się ust. V w brzmieniu: V. Upoważnienia do przetwarzania danych osobowych 1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez. 2. Upoważnienie, o którym mowa w pkt. 1 nadawane jest na podstawie wniosku stanowiącego załącznik 1E. 3. Kierownicy komórek organizacyjnych zobowiązani są do składania wniosku, o którym mowa w pkt.2 dla każdego nowozatrudnionego pracownika, stażysty lub praktykanta. Składanie wniosków dotyczy również pracowników przeniesionych z innych komórek organizacyjnych. 4. Wnioski należy składać w formie papierowej lub elektronicznej do Administratora Bezpieczeństwa Informacji. 4. W załączniku 2B do Instrukcji zarządzenia systemem informatycznym służącym do Przetwarzania Danych Osobowych w Urzędzie Miejskim w Gdańsku stanowiącej załącznik nr 2 do Zarządzenia, w tabeli skreśla się pozycję 6 dodatki mieszkaniowe. 5. Dodaje się stanowiące odpowiednio załączniki Nr 1, Nr 2, Nr 3, Nr 4 i Nr 5 do niniejszego zarządzenia: 1) Załącznik Nr 3 w sprawie zaleceń dla administratorów systemów teleinformatycznych i określenia katalogu uprawnień, udzielanych do systemów teleinformatycznych Urzędu Miejskiego w Gdańsku, 2) Załącznik Nr 4 w sprawie katalogu zgłoszeń obsługiwanych przez BI związanych z zagrożeniami bezpieczeństwa teleinformatycznego Urzędu Miejskiego w Gdańsku, 3) Załącznik Nr 5 w sprawie ustalenia zaleceń i obowiązku dla pracowników Urzędu zgłaszania zdarzeń i awarii obiektów fizycznych, które mogą stanowić zagrożenie dla systemów i urządzeń teleinformatycznych Urzędu Miejskiego w Gdańsku, 4) Załącznik Nr 6 w sprawie ustalenia zaleceń dla pracowników Urzędu i określenia poziomu bezpieczeństwa przy stosowaniu komputerowych, zewnętrznych pamięci i nośników danych w Urzędzie Miejskim w Gdańsku, 5) Załącznik Nr 1E Wniosek o wydanie/rozszerzenie/odwołanie upoważnienia do przetwarzania danych osobowych. 2 Zarządzenie wchodzi w życie z dniem podpisania. PREZYDENT MIASTA GDAŃSKA z up. Andrzej Bojanowski Zastępca

3 Załącznik Nr 1 do Zarządzenia Nr 215/14 Prezydenta Miasta Gdańska z dnia 26 lutego 2014 r. Załącznik Nr 3 Do zarządzenia Nr 1760/08 z dnia 18 listopada 2008 r. W sprawie ustalenia zaleceń dla administratorów systemów teleinformatycznych i określenia katalogu uprawnień, udzielanych do systemów teleinformatycznych Urzędu Miejskiego w Gdańsku. I. Tabela określająca katalog uprawnień do systemów teleinformatycznych Urzędu. Lp. Uprawnienie Pracownicy, którym udziela się uprawnień 1 Pełne uprawnienie administracyjne do Administratorzy z BIserwerów oraz urządzeń aktywnych RIT, w uzasadnionych zarządzanych przez BI w tym warstwy przypadkach wirtualnej, systemów operacyjnych (MS (określonych jako Windows, Linux, unix, macierze dyskowe wyjątkowe) inni przełączniki LAN, SAN, routery, UTM-y i pracownicy Urzędu. inne). 2 Pełne uprawnienie administracyjne do oprogramowania funkcyjnego czy użytkowego na serwerach, jak bazy danych (motor i zasoby), AD, Java i inne. 3 Pełne uprawnienie administracyjne do zarządzania oprogramowaniem użytkowym na serwerach aplikacyjnych: Otago, DocMan, SD+ oraz pozostałe i nowe systemy. 4 Pełne uprawnienie administracyjne do wykonywania na stacji roboczej pracownika Urzędu wszystkich czynności, dotyczy instalacji, reinstalacji czy akcji naprawczych. 5 Uprawnienia standardowe - ograniczone do wykonywania na stacji roboczej pracownika Urzędu standardowych czynności, jak obsługa programów lokalnych i wieloużytkowych, obsługa pakietu biurowego, praca w Internecie i drukowanie zarządzane poprzez procesy autoryzacji w domenie UMG 5a Uprawnienia ograniczone, katalog uprawnień jw., podlega jednakże ograniczeniu czasowemu zgodnie z terminem określonym w umowie o pracy. 6 Uprawnienia rozszerzone udzielane pracownikowi na jego stacji roboczej, Administratorzy zgodnie z zakresem działania komórki. W BI zgodnie z zakresami obowiązków w RIT lub RRiU. Administratorzy z BI RRiU oraz z innych komórek, jak Wydział Geodezji, Wydział Środowiska, inne. Administratorzy i serwisanci z RWU, w uzasadnionych przypadkach także inni administratorzy z BI lub inni pracownicy Urzędu. Wszyscy pracownicy Urzędu z zachowaniem standardów bezpieczeństwa teleinformatycznego. Dotyczy pracowników Urzędu na podstawie umowy na czas określony stażystów, praktykantów i zleceniobiorców. Wskazani pracownicy Urzędu na podstawie Uwagi / komentarze Rejestr pełnych uprawnień prowadzi ABT. Przypadki wyjątkowe podlegają analizie przez ABT oraz procedurze odwoławczej skierowanej do dyrektora BI. Pracownicy komórek organizacyjnych: BI, Wydział Środowiska, Wydział Geodezji, WUAiOZ, Referat Multimedialny, inne. Inne komórki organizacyjne otrzymują uprawnienia za pośrednictwem BI. Rejestr pełnych uprawnień prowadzi ABT. Przypadki inne podlegają analizie przez ABT oraz procedurze odwoławczej skierowanej do dyrektora BI. Uprawnienia są udzielane na czas określony, np. kontraktem

4 zgodnie z jego zakresem obowiązków oraz podaniem uzasadnienia. pisemnego wskazania udzielonego przez kierownika lub innego przełożonego II. Wszystkie wskazane w tabeli uprawnienia do systemów podlegają uregulowaniom i procedurom opisanym w zarządzeniu Nr 1760/08 PMG z dnia 18 listopada 2008r. w sprawie ustalenia polityki bezpieczeństwa przetwarzania danych osobowych i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miejskim w Gdańsku: 1. Udzielenie uprawnień do przetwarzania zbiorów danych osobowych następuje na podstawie dokumentu potwierdzającego upoważnienie, określonego w Załączniku Nr 5. Udzielenie uprawnień następuje na podstawie pisemnego zapotrzebowania, zgodnie z obowiązkami pracownika oraz braku zagrożeń przekroczenia uregulowań w zakresie powyższego zarządzenia. Zapotrzebowanie potwierdzają przełożeni pracownika. 2. Pozostałe uprawnienia mogą być udzielane wykonawcom (ich pracownikom) na podstawie posiadanych umów na usługi administrowania systemami Urzędu, aneksów do umów na dostawę systemów lub usług i na podstawie procedury określonej w zarządzeniu Nr 1760/08 PMG, tj. na podstawie Załącznika 2C. 3. Uprawnienia są odbierane po zakończeniu stosunku pracy lub zgodnie z czasem obowiązywania umowy na postawie, której ich udzielono. 4. Uprawnień udziela dyrektor komórki merytorycznej, tj. odpowiednio Biura Informatyki, Wydziału Geodezji, Wydziału Środowiska i innych, który deleguje to uprawnienie na podległych pracowników - administratorów. Wykonanie, tj. powołanie użytkownika i hasła startowego, a następnie zmiany czy usunięcia realizują administratorzy zgodnie z obowiązującymi procedurami (przykładowo na podstawie okazanej listy obiegowej pracownika) lub zgodnie z zarządzeniem Nr 203/12 PMG z dnia 16 lutego 2012r. w sprawie wprowadzenia Polityki bezpieczeństwa danych Urzędu Miejskiego w Gdańsku w zakresie zasad korzystania z Internetu i poczty elektronicznej przez pracowników Urzędu Miejskiego w Gdańsku. 5. Biuro Informatyki prowadzi procedurę rejestracyjną użytkowników powołanych zgodnie z powyższą Tabelą, przy pomocy wielodostępnego oprogramowania. PREZYDENT MIASTA GDAŃSKA z up. Andrzej Bojanowski Zastępca

5 Załącznik Nr 2 do Zarządzenia Nr 215 /14 z dnia 26 lutego 2014 r. Załącznik Nr 4 Do zarządzenia Nr 1760/08 z dnia 18 listopada 2008 r. W sprawie określenia katalogu zgłoszeń obsługiwanych przez BI związanych z zagrożeniami bezpieczeństwa teleinformatycznego Urzędu Miejskiego w Gdańsku. I. Tabela określająca katalog zgłoszeń związanych z zagrożeniem bezpieczeństwa teleinformatycznego Urzędu. LP OPIS INCYDENTU / TYP ZGŁOSZENIA 1 Wykrycie (gdziekolwiek w zarządzanej infrastrukturze IT Urzędu) plików stanowiących wykroczenie przeciwko ustawie z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych. 2 Wykrycie złośliwego oprogramowania w kategoriach: wirusy, robaki, trojany, spyware lub inne. 3 Wykrycie złośliwego oprogramowania stanowiącego najwyższe zagrożenie, jak rootkit, keyloger, dialer. 4 Wykrycie faktu podłączenia urządzenia, którego Urząd nie jest właścicielem do sieci LAN Urzędu (obce urządzenie z technologią komputerową). OPIS PROCEDURY Zgłoszenie poprzez HelpDesk do ABT, który usuwa pliki lub odnotowuje w rejestrze, jeżeli jest to zasób legalny (tu powstanie wynikowy rejestr plików, do których Urząd posiada prawa autorskie). Administrator z RIT sprawdza czy pliki z prawami autorskimi zostały zapisane w archiwach sieciowych, w przypadku potwierdzenia kieruje archiwalny zasób do czyszczenia zawartości. ABT poprzez HelpDesk, Pracownik RWU prowadzi akcję naprawczą poprzez zdalny dostęp, po zakończeniu naprawy, potwierdza usunięcia zagrożenia w SD+, tzn. fakt usunięcia jest rejestrowany. polecenie: Akcja naprawcza musi być skuteczna, jeżeli system nie daje się odwirusować, to komputer musi zostać odłączony od sieci LAN Urzędu i skierowany do reinstalacji w Serwisie. ABT poprzez HelpDesk, Pracownik RWU prowadzi akcję naprawczą poprzez zdalny dostęp, po zakończeniu naprawy, potwierdzenie usunięcia w SD+ (rejestrujemy fakt usunięcia). Uwaga: Akcja naprawcza musi być skuteczna, jeżeli system nie daje się odwirusować, to komputer musi zostać odłączony od sieci LAN Urzędu i skierowany do reinstalacji programów. ABT i przełożonych przez HelpDesk. Następnie odłączenie przez Serwis (RWU) lub administratora z RIT czyli przywrócenie stanu właściwego i potwierdzenie o odłączeniu w SD+. PROCEDURA SKRÓCONA Usunięcie plików przez administratora (RIT) w porozumieniu z pracownikiem lub bez porozumienia. zdarzenia w SD+ przez administratora. Usunięcie zagrożenia przez Serwis (RWU), który dodatkowo skanuje stację, jeżeli nieskuteczne to kierowanie stacji do reinstalacji systemu. Usuniecie zagrożenia przez Serwis (RWU), który dodatkowo skanuje stację, jeżeli nieskuteczne to kierowanie stacji do reinstalacji systemu. Administrator lub Serwis przywraca stan właściwy.

6 5 Wykrycie faktu podłączenia urzędowego komputera, który nie przeszedł autoryzacji w domenie Urzędu do sieci LAN Urzędu 6 Wykrycie komputera, który jednocześnie połączono do sieci LAN Urzędu i do innej sieci komputerowej 7 Stwierdzenie nieprzestrzegania polityki haseł Urzędu 8 Zgłoszenie niewłaściwego zabezpieczenia fizycznych zasobów IT Urzędu lub faktu ich przełamania (drzwi, zamki, alarmy, karty dostępu, klimatyzacja, energetyka) 9 Wykrycie / zgłoszenie niewłaściwej realizacji procedur wewnętrznych obowiązujących w Biurze Informatyki, 10 Inne zdarzenia, które mogą wpływać na bezpieczeństwo fizycznych zasobów IT w Urzędzie Miejskim w Gdańsku 11 Wykrycie i zgłoszenie niedozwolonych prawem czynności dot. podpisu elektronicznego 12 Wykrycie i zgłoszenie działania skierowanego przeciwko zasobom teleinformatycznym Urzędu ABT przez HelpDesk, przeprowadzenie autoryzacji przez Serwis (RWU) lub RIT ABT przez HelpDesk, odłączenie (odseparowanie) przez Serwis (RWU) lub RIT czyli przywrócenie stanu właściwego i potwierdzenie do ABT, Uwaga na dwie ścieżki postępowania, jeżeli sprzęt jest własnością Urzędu to ABT poucza pracownika i kończy procedurę, jeżeli sprzęt jest obcy to ABT składa doniesienie do przełożonych, w przypadku stwierdzenia szkody przygotowuje doniesienie do Policji. ABT przez HelpDesk, który poucza pracownika, informuje jego przełożonego i zleca do RIT lub RWU procedurę zmiany hasła. ABT weryfikuje i zamyka zdarzenie w SD+. Zgłoszenia do przełożonych, ABT i WKiO pracownicy BI podejmują akcje zabezpieczające zależne od poleceń przełożonych. przełożonego lub do ABT przez HelpDesk. Dalsza akcja zależna od decyzji przełożonego. Przykłady niewłaściwych działań: brak backupu, brak hasła lub ujawnienie hasła. przełożonego lub do ABT przez HelpDesk. Dalsza akcja zależna od decyzji przełożonego. przełożonego lub do ABT przez HelpDesk. Dalsza akcja zależna od decyzji przełożonego. przełożonego, Dyrektora BI, ABT w dalszej kolejności informowanie innych pracowników BI, dalsza akcja zależna od decyzji przełożonego. Przykłady szkodliwych działań: maile noszące znamiona wykroczenia lub przestępstwa, skanowanie zasobów, nieuprawniona ingerencja w zasoby, ataki DOS i DDOS, kradzież, wandalizm, manipulacja socjotechniczna. Administrator lub Serwis przywraca stan właściwy. Administrator lub Serwis przywraca stan właściwy. Administrator (RIT) realizuje (poucza i zmienia hasło). Pracownicy BI podejmują akcję zabezpieczającą samodzielnie lub/i pod nadzorem przełożonego lub ABT. przełożonego i realizacja poleceń. przełożonego. Postępowanie zależne od okoliczności. Postępowanie zależne od decyzji przełożonych.

7 II. Biuro Informatyki prowadzi procedurę rejestracyjną powyższych zgłoszeń przy pomocy wielodostępnego oprogramowania, Service Desk Plus (SD+), zgodnie z powyższą Tabelą. III. Kilkukrotne zdarzenie odnotowane dla tego samego użytkownika skutkuje przekazaniem informacji do przełożonego w celu zdyscyplinowania pracownika. PREZYDENT MIASTA GDAŃSKA z up. Andrzej Bojanowski Zastępca

8 Załącznik Nr 3 do Zarządzenia Nr 215 /14 z dnia 26 lutego 2014 r. Załącznik Nr 5 Do zarządzenia Nr 1760/08 Z dnia 18 listopada 2008 r. W sprawie ustalenia zaleceń i obowiązku dla pracowników Urzędu zgłaszania zdarzeń i awarii obiektów fizycznych, które mogą stanowić zagrożenie dla systemów i urządzeń teleinformatycznych Urzędu Miejskiego w Gdańsku. I. Tabela określająca katalog zgłoszeń zdarzeń i awarii obiektów fizycznych, dla których istnieje prawdopodobieństwo wystąpienia w Urzędzie Miejskim w Gdańsku LP OPIS INCYDENTU / TYP ZGŁOSZENIA 1 Brak zasilania w energię elektryczną obiektu Urzędu 2 Brak klimatyzacji w serwerowni Urzędu OPIS PROCEDURY administratora obiektu z WKiO, zgłoszenie do ABT poprzez HelpDesk. Rejestr awarii energetycznych prowadzony centralnie na SD+. Dalsze postępowanie uzgodnione z kierownictwem BI. pracownika WKiO, zgłoszenie do ABT poprzez HelpDesk. Rejestr awarii urządzeń klimatyzacyjnych prowadzony centralnie na SD+. Dalsze postępowanie uzgodnione z kierownictwem BI. 3 Zalanie obiektu Urzędu administratora obiektu z WKiO, zgłoszenie do ABT poprzez HelpDesk. Rejestr awarii wodno-kanalizacyjnych prowadzony centralnie na SD+. Dalsze postępowanie uzgodnione z kierownictwem BI. 4 Pożar obiektu Urzędu Maksymalne zaangażowanie w powiadomienie wszystkich pracowników i klientów. Zasady postępowania zgodne z zarządzeniem Nr 35/14 PMG z dnia 10 stycznia 2014r. Procedura w SD+ tylko po całkowitej likwidacji zagrożenia. 5 Włamanie, rabunek, kradzież 6 Zniszczenie mienia, akt chuligaństwa przełożonych, zawiadomienie na Policję. Możliwe osobiste zaangażowanie przy zabezpieczaniu mienia. Interwencja skierowana przeciw sprawcom wykluczona. Procedura w SD+ tylko po całkowitej likwidacji zagrożenia. przełożonych, zawiadomienie na Policję. Możliwe osobiste zaangażowanie przy zabezpieczaniu mienia. Interwencja skierowana przeciw sprawcom wykluczona. Procedura w SD+ tylko po całkowitej likwidacji zagrożenia. PRCEDURA SKRÓCONA administratora obiektu z WKiO. Dalsza akcja w porozumieniu z WKiO pracownika WKiO. Dalsza akcja w porozumieniu z WKiO administratora obiektu z WKiO. Dalsza akcja w porozumieniu z WKiO Maksymalne zaangażowanie w powiadomienie wszystkich pracowników i klientów przełożonych, zawiadomienie na Policję. przełożonych, zawiadomienie na Policję. II. Biuro Informatyki prowadzi procedurę rejestracyjną zdarzeń przy pomocy wielodostępnego oprogramowania, zgodnie z powyższą Tabelą. PREZYDENT MIASTA GDAŃSKA z up. Andrzej Bojanowski Zastępca

9 Załącznik Nr 4 do Zarządzenia Nr 215 /14 z dnia 26 lutego 2014 r. Załącznik Nr 6 Do zarządzenia Nr 1760/08 Z dnia 18 listopada 2008 r. W sprawie ustalenia zaleceń dla pracowników Urzędu i określenia poziomu bezpieczeństwa przy stosowaniu komputerowych, zewnętrznych pamięci i nośników danych w Urzędzie Miejskim w Gdańsku. I. Wszelkie pamięci komputerowe, eksploatowane poza zasobami pamięci dyskowej, którymi zarządza Biuro Informatyki (BI) mogą być traktowane jedynie jako zasoby pamięci pomocniczych. Zalicza się do nich karty pamięci, pen-drive, małe dyski przenośne - podłączane poprzez USB oraz duże dyski lub zestawy dysków podłączanych poprzez sieć komputerową (określenie ang. NAS). Należy do nich także zaliczyć nośniki z zapisem optycznym (np. płyty CD i DVD) lub magnetycznym (np. dyskietki), które pomimo faktu że stanowią kategorię zanikającą to także stanowią pojemne zasobniki pamięci. II. Wszystkie, powyżej wskazane rodzaje pamięci czy nośników danych nie powinny służyć do przechowywania zbiorów danych osobowych, gdyż z definicji nie wypełniają warunków nakładanych na urządzenia służące temu celowi przez ustawę o ochronie danych osobowych (nie zapewniają ochrony w stopniu wysokim). III. Tabela określająca poziom bezpieczeństwa dla zewnętrznych pamięci i nośników danych w systemach teleinformatycznych Urzędu. Pendrive i karta pamięci Mały dysk zewnętrzny Duży dysk zewnętrzny lub zespół dysków (NAS) CD i DVD POJEMNOŚĆ Przeciętna pojemność 16 GB, dostępne są bardzo duże pojemności 512 GB Łatwo dostępne są pojemności do 512 GB, dostępne są pojemności 2 TB Od 1 TB do wielu terabajtów, dostępne są rozwiązania rzędu 10 TB cd- 700 MB dvd - 4,7 GB dvd - 8,5 GB PRZENASZALNOŚĆ Warunkowa Zakaz wynoszenia Zakaz wynoszenia Warunkowa DANE OSOBOWE* ZASTOSOWANIA WYMAGANIA DODATKOWE Zakaz przetwarzania Zazwyczaj służą do przenoszenie danych, także do przechowywania Winno stosować się ochronę przed złamaniem hasła i szyfrowanie z algorytmem (co najmniej AES-256). Zakaz przetwarzania Archiwum danych dla lokalnej stacji, Wymagane jest: zamykanie w szafie po użyciu, czyli zastosowania zabezpieczenia fizycznego Zakaz przetwarzania Archiwum danych dla lokalnej stacji lub grupy stacji. Możliwość pracy grupowej, tj. wymiany plików i pracy wspólnej. Wymagane są: Zabezpieczenie fizyczne przed ingerencja fizyczną czy wynoszeniem oraz opiekun z komórki merytorycznej, który faktycznie będzie administrował zasobem, bez którego zasób będzie podlegał dezintegracji. Zakaz przetwarzania Głównie do archiwizacji i do przekazywania danych. Każda zapisana płyta winna być opisana (data zapisu, zawartość, itp.)

10 BEZPIECZEŃSTWO Bardzo niski poziom bezpieczeństwa pendrive mogą oprócz utraty ulegać samoistnym uszkodzeniom, zagubieniu lub kradzieży. Niski poziom bezpieczeństwa, mały dysk nie zapewnia lepszego bezpieczeństwa niż dysk w stacji roboczej, możliwość utraty, jak i uszkodzenia. Poziom dobry (co nie oznacza, że wysoki). W przypadku zastosowania rozwiązań raid, zabezpiecza przed utratą danych, co w połączeniu z procesem administrowania i zabezpieczeniem fizycznym daje dobry poziom bezpieczeństwa. UWAGI Wymaganie dotyczące administratora nie może być pomijane, gdyż znacznie obniży poziom bezpieczeństwa Poziom dobry, pod warunkiem odpowiedniego przechowywania w zamykanych szafach (zabezpieczanie fizyczne). Kategoria zanikająca, może służyć jako archiwum oraz do przekazywania danych VI. W przypadkach, gdy zachodzi konieczność użytkowania do celów służbowych pamięci pomocniczych, Biuro Informatyki zaleca: 1. Należy maksymalnie ograniczać zastosowanie pamięci typu pen-drive. Pamięci pen-drive ze względu na ich rozmiary i łatwą przenaszalność są stosowane powszechnie, nie powinny jednak zastępować rozwiązań bardziej bezpiecznych. W Urzędzie dopuszcza się jedynie rozwiązania z kryptograficzna ochroną sprzętową (minimalny algorytm AES-256) oraz z ochroną przed złamaniem hasła metodą brute force. Pen-drive oprócz zagubienia czy kradzieży mogą ulegać samoistnym uszkodzeniom. a. Do tej kategorii należą także wszelakie karty pamięci, powszechnie używane w aparatach fotograficznych i smartfonach, b. Karta pamięci w połączeniu z czytnikiem kart posiada funkcjonalność równorzędną jak pen-drive. 2. Należy ograniczać zastosowanie małych dysków przenośnych. Wielka pojemność wskazuje na potencjalnie wielkie straty w przypadku jego utraty. Małe dyski mogą znaleźć jedynie zastosowanie jako lokalne archiwum. Dyski te, po godzinach pracy powinny być zabezpieczane fizycznie i nie mogą opuszczać pomieszczeń Urzędu. 3. Zastosowanie dużego dysku lub zestawu dysków w obudowie, zwłaszcza z zastosowaniem zaawansowanych mechanizmów formatowania i ochrony. Użytkowanie dużych dysków jest uzasadnione, zwłaszcza dla komórki organizacyjnej, która nie ponosi dużych nakładów na utrzymanie takiego zasobu. Dyski te umożliwiają sprawną pracę grupową i zapewnia zabezpieczenia lepsze niż stacja robocza. Nie jest to jednak zasób całkowicie bezpieczny. Zastosowanie powoduje powstanie obowiązków administracyjnych dla pracownika komórki organizacyjnej, którego należy wskazać (wymagany jest opiekun). Duży dysk lub zestaw dysków w obudowie nie może być traktowany, jako zasób mobilny, powinien być zabezpieczony fizycznie, bezpiecznie zasilany i nie może opuszczać pomieszczeń Urzędu. 4. Płyty CD i DVD to najstarsza z dostępnych form komputerowej pamięci zewnętrznej. Płyty mogą pełnić rolę zasobów archiwalnych, a nakłady na utrzymanie takiego zasobu są minimalne. Płyty zapisane, jako archiwalne należy zabezpieczać w zamykanej szafie, nie mogą być wynoszone z Urzędu i powinny być opisane z podaniem czasu zapisu, zawartości i wykonawcy. PREZYDENT MIASTA GDAŃSKA z up. Andrzej Bojanowski Zastępca

11 Załącznik Nr 5 do Zarządzenia Nr 215/14 z dnia 26 lutego 2014r. Załącznik nr 1E do Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Miejskim w Gdańsku. WNIOSEK O WYDANIE / ROZSZERZENIE / ODWOŁANIE* UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH Nazwisko: Imię: Wydział: Referat: Stanowisko: Pok. nr: Tel.: Inicjały pracownika wykorzystywane do oznaczania pism: Identyfikator w systemie informatycznym (jeśli został nadany) Proszę o wydanie / rozszerzenie / odwołanie* upoważnienia do przetwarzania danych osobowych wyżej wskazanemu użytkownikowi w zakresie następujących zbiorów: 1. na czas określony od... do... / na czas nieokreślony* uwagi: Kierownik Referatu Podpis: Dyrektor Biura / Wydziału : Podpis: Data: Data: * niepotrzebne skreślić Powyższy wniosek należy złożyć do Administratora Bezpieczeństwa Informacji w Urzędzie Miejskim w Gdańsku w formie elektronicznej lub papierowej.