Uchwała nr 56/IV/2006. Zarządu Polskiego Radia Spółki Akcyjnej. z dnia 25 października 2006 r.

Transkrypt

1 Uchwała nr 56/IV/2006 Zarządu Polskiego Radia Spółki Akcyjnej z dnia 25 października 2006 r. w sprawie zatwierdzenia i wdrożenia dokumentacji dotyczącej bezpieczeństwa przetwarzania danych osobowych w Polskim Radiu Spółce Akcyjnej. Na podstawie 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, z dnia 29 kwietnia 2004 r. (Dz.U. z 2004 r. Nr 100, poz. 1024) uchwala się, co następuje: 1. Zarząd zatwierdza się i przekazuje do realizacji w komórkach organizacyjnych Polskiego Radia S.A. 1. Politykę Bezpieczeństwa Informacji w zakresie ochrony danych osobowych, stanowiącą załącznik nr 1 do niniejszej uchwały. 2. Instrukcję Zarządzania Systemem Informatycznym przetwarzającym dane osobowe, stanowiącą załącznik nr 2 do niniejszej uchwały. 2. Uchwała wchodzi w życie z dniem podjęcia. Za Zarząd:

2 Polityka Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA

3 Spis treści: 1 Zakres dokumentu 2 Terminy i definicje 2.1 Dane Osobowe 2.2 Spółka 2.3 Administrator bezpieczeństwa informacji ds. ochrony danych osobowych 2.4 Zespól ds. ochrony danych osobowych 2.5 Użytkownicy 2.6 Osoby trzecie 2.7 Właściciel zbioru danych 2.8 Zasady korzystania z komputerów PR S.A. 2.9 Zasady zdalnego dostępu do wewnętrznej sieci informatycznej Polskiego Radia SA Instrukcja kontroli ruchu osobowego i materiałowego oraz wydawania zezwoleń na wykonywanie zdjęć fotograficznych i filmowych w Polskim Radiu - Spółce Akcyjnej" 2.11 Przetwarzanie danych 2.12 Dane wrażliwe 2.13 Bezpieczeństwo informacji 2.14 Audyt 2.15 Poufność 2.16 Integralność 2.17 Dostępność 2.18 Zabezpieczenie 2.19 Ryzyko 2.20 Zagrożenie 2.21 Incydent 2.22 Szkodliwe oprogramowanie 3 Polityka Bezpieczeństwa 3.1 Polityka Bezpieczeństwa Informacji Dokument polityki bezpieczeństwa informacji Przegląd i ocena 4 Organizacja ochrony danych osobowych 4.1 Infrastruktura bezpieczeństwa informacji Forum kierowania polityką bezpieczeństwa Koordynowanie bezpieczeństwa danych osobowych Podział odpowiedzialności w zakresie bezpieczeństwa danych osobowych Proces autoryzacji urządzeń służących do przetwarzania danych osobowych Specjalistyczne doradztwo w dziedzinie bezpieczeństwa informacji Współpraca pomiędzy instytucjami Niezależne przeglądy bezpieczeństwa danych osobowych 4.2 Bezpieczeństwo dostępu osób trzecich Identyfikacja ryzyka wynikającego z dostępu osób trzecich Wymagania bezpieczeństwa w umowach z osobami trzecimi 5 Klasyfikacja i kontrola zbiorów danych osobowych 5.1 Rozliczalność aktywów Inwentaryzacja zbiorów danych osobowych 5.2 Klasyfikacja zbiorów danych osobowych Wytyczne w zakresie klasyfikacji Oznaczanie i postepowanie z danymi osobowymi 2

4 6 Bezpieczeństwo osobowe 6.1 Bezpieczeństwo przy określanie zakresów obowiązków i zarzadzaniu zasobami ludzkimi Uwzględnienie aspektu bezpieczeństwa w zakresach obowiązków przypisanych do stanowisk Sprawdzanie podczas naboru Umowa o zachowaniu poufności Warunki zatrudnienia 6.2 Kształcenie Użytkowników Kształcenie w zakresie bezpieczeństwa informacji 6.3 Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu Zgłaszanie przypadków naruszania bezpieczeństwa Zgłaszanie słabości systemu bezpieczeństwa Zgłaszanie niewłaściwego funkcjonowania oprogramowania przetwarzającego dane osobowe Nauka płynąca z występowania incydentów Postepowanie dyscyplinarne 7 Bezpieczeństwo fizyczne i środowiskowe 7.1 Obszary bezpieczne Fizyczny obwód zabezpieczający Fizyczne zabezpieczenie wejścia Zabezpieczenie biur, pomieszczeń i urządzeń Praca w obszarach bezpiecznych Izolowane obszary dostaw i załadunku 7.2 Zabezpieczenie sprzętu Rozmieszczenie sprzętu i jego ochrona Zasilanie Bezpieczeństwo okablowania Konserwacja sprzętu Zabezpieczenie sprzętu poza siedzibą Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia 7.3 Ogólne zabezpieczenia Polityka czystego biurka i czystego ekranu Wynoszenie mienia 8 Zarządzanie systemami i sieciami 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności Dokumentowanie procedur eksploatacyjnych 9 Kontrola dostępu do systemu 9.1 Potrzeby biznesowe związane z dostępem do systemu Polityka kontroli dostępu 9.2 Zarzadzanie dostępem Użytkowników Rejestracja Użytkowników Zarządzanie przywilejami Zarządzanie hasłami Użytkowników Przegląd praw dostępu Użytkowników 9.3 Zakres odpowiedzialności Użytkowników Używanie haseł Pozostawianie sprzętu Użytkownika bez opieki 9.4 Kontrola dostępu do sieci Polityka dotycząca korzystania z usług sieciowych Wymuszanie dróg polaczeń Uwierzytelnianie Użytkowników przy połączeniach zewnętrznych 3

5 9.4.4 Uwierzytelnianie węzłów Ochrona zdalnych portów diagnostycznych Rozdzielenie sieci Kontrola połączeń sieciowych Kontrola rutingu w sieciach Bezpieczeństwo usług sieciowych 9.5 Kontrola dostępu do systemów operacyjnych Automatyczna identyfikacja terminala Procedury rejestrowania terminalu w systemie Identyfikacja i uwierzytelnienie Użytkowników System zarządzania hasłami Użycie systemowych programów narzędziowych Alarm przymusu stosowany do zabezpieczenia Użytkowników Wyłączanie terminalu po określonym czasie Ograniczanie czasu trwania połączenia 9.6 Kontrola dostępu do oprogramowania przetwarzającego dane osobowe Ograniczanie dostępu do informacji Izolowanie systemów wrażliwych 9.7 Monitorowanie dostępu do systemu i jego użycia Zapisywanie informacji o zdarzeniach Monitorowanie użycia systemu Synchronizacja zegarów 9.8 Komputery przenośne i praca na odległość Komputery przenośne Praca na odległość 10 Rozwój i utrzymanie systemu 10.1 Wymagania bezpieczeństwa systemów Analiza i opis wymagań bezpieczeństwa 10.2 Bezpieczeństwo oprogramowania przetwarzającego dane osobowe Potwierdzanie ważności danych wejściowych Kontrola wewnętrznego przetwarzania Uwierzytelnianie wiadomości Potwierdzanie ważności danych wyjściowych 10.3 Zabezpieczenia kryptograficzne Polityka używania zabezpieczeń kryptograficznych Szyfrowanie Podpisy cyfrowe Usługi niezaprzeczalności Zarzadzanie kluczami 10.4 Bezpieczeństwo plików systemowych Kontrola eksploatowanego oprogramowania Ochrona systemowych danych testowych Kontrola dostępu do bibliotek programów źródłowych 10.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej Procedury kontroli zmian Techniczny przegląd zmian w systemie operacyjnym Ograniczenia dotyczące zmian w pakietach oprogramowania Ukryte kanały i konie trojańskie Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej 11 Zarządzanie ciągłością działania 11.1 Aspekty zarzadzania ciągłością działania Proces zarzadzania ciągłością działania Ciągłość działania i analiza skutków dla działalności biznesowej Tworzenie i wdrażanie planów ciągłości działania Struktura planowania ciągłości działania 4

6 Testowanie, utrzymywanie i ponowna ocena planów ciągłości działania 12 Zgodność 12.1 Zgodność z przepisami prawa Określenie odpowiednich przepisów prawnych Prawo do własności intelektualnej Zabezpieczanie dokumentów organizacji Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych Zapobieganie nadużywaniu urządzeń przetwarzających dane informacje Regulacje dotyczące zabezpieczeń kryptograficznych Gromadzenie materiału dowodowego 12.2 Przeglądy polityki bezpieczeństwa i zgodności technicznej Zgodność z polityka bezpieczeństwa Sprawdzanie zgodności technicznej 12.3 Rozważania dotyczące audytu systemu Zabezpieczenia audytu systemu Ochrona narzędzi audytu systemu 5

7 1 Zakres dokumentu Polskie Radio SA dokłada wszelkich starań by zapewnić zgodność sposobów ochrony przetwarzanych danych osobowych z obowiązującymi regulacjami oraz dobrymi praktykami ochrony informacji. Zapewnienie bezpieczeństwa przetwarzanym danym osobowym jest integralna częścią procesu budowy wizerunku Spółki jako wiarygodnego i profesjonalnego nadawcy publicznego. Niniejszy dokument określa zasady bezpieczeństwa danych osobowych przetwarzanych w Polskim Radiu SA. Przedstawione zasady musza być stosowane przez wszystkich pracowników i współpracowników Spółki niezależnie od tego czy przetwarzają oni dane osobowe w postaci elektronicznej czy tradycyjnej. 2 Terminy i definicje 2.1 Dane Osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej 2.2 Spółka Polskie Radio SA. 2.3 Administrator bezpieczeństwa informacji ds. ochrony danych osobowych powołany uchwałą Zarządu pracownik Polskiego Radia SA podlegający Zarządowi Spółki działający na podstawie Ustawy o ochronie danych osobowych oraz wdrażający zasady określone w Polityce Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA 2.4 Zespół ds. ochrony danych osobowych przedstawiciele komórek organizacyjnych wyznaczeni do bieżących kontaktów z Administratorem Bezpieczeństwa Informacji do spraw ochrony danych osobowych 2.5 Użytkownicy pracownicy oraz współpracownicy Polskiego Radia SA przetwarzający dane osobowe oraz posiadający stosowne upoważnienie nadane przez Administratora bezpieczeństwa informacji ds. ochrony danych osobowych 2.6 Osoby trzecie osoby nie posiadające upoważnienia do przetwarzania danych osobowych Polskiego Radia SA 2.7 Właściciel zbioru danych użytkownik decydujący o celu przetwarzania danych zawartych w konkretnym zbiorze oraz osobach uprawnionych do dostępu do danych 2.8 Zasady korzystania z komputerów PR S.A. dokument wprowadzony przez Dyrektora Biura Informatyki i Telekomunikacji 6

8 2.9 Zasady zdalnego dostepu do wewnetrznej sieci informatycznej Polskiego Radia SA. dokument wprowadzony przez Dyrektora Biura Informatyki i Telekomunikacji 2.10 Instrukcja kontroli ruchu osobowego i materiałowego oraz wydawania zezwoleń na wykonywanie zdjęć fotograficznych i filmowych w Polskim Radiu - Spółce Akcyjnej dokument wprowadzony przez Zarząd Polskiego Radia SA 2.11 Przetwarzanie danych Wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych [Ustawa o ochronie danych osobowych] 2.12 Dane wrażliwe dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postepowaniu sadowym lub administracyjnym [Ustawa o ochronie danych osobowych] 2.13 Bezpieczeństwo informacji zachowanie zapewnianie poufności, integralności i dostępności informacji [ISO/IEC 17799:2003] 2.14 Audyt badanie zgodności z wymaganiami 2.15 Poufność właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom [ISO/lEC :2004] 2.16 integralność właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [ISO/IEC :2004] 2.17 Dostępność właściwość bycia dostępnym i użytecznym na zadanie upoważnionego podmiotu [ISO/lEC :2004] 2.18 Zabezpieczenie środki służące zarzadzaniu ryzykiem, łącznie z politykami, procedurami, zaleceniami, praktyka lub strukturami organizacyjnymi, które mogą mieć naturę administracyjna, techniczna, zarządcza lub prawna [ISO/lEC 17799:2005] 2.19 Ryzyko kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji [ISO/lEC Guide 73:2002] 7

9 2.20 Zagrożenie potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji [ISO/lEC :2004] 2.21 Incydent incydent związany z bezpieczeństwem informacji jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji [ISO/lEC TR 18044:2004] 2.22 Szkodliwe oprogramowanie Samoczynnie instalujące się oprogramowanie wykonujące bez wiedzy użytkownika czynności zagrażające bezpieczeństwu informacji 3 Polityka Bezpieczeństwa 3. 1 Polityka Bezpieczeństwa Informacji Dokument polityki bezpieczeństwa informacji a),,polityka Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA jest zatwierdzona przez Zarząd Polskiego Radia SA wprowadzona w życie jako obowiązująca wszystkich pracowników współpracowników Spółki. b) Celem procesu zapewniania bezpieczeństwa przetwarzanym danym osobowym jest poszanowanie praw osób, które powierzyły Polskiemu Radiu SA swoje dane oraz przeciwdziałanie ich udostępnianiu osobom nieuprawnionym. c) Zarząd Polskiego Radia SA powołuje Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych, który w imieniu Zarządu nadzoruje przestrzeganie przepisów o ochronie danych osobowych oraz działanie w zgodzie z dobrymi praktykami dotyczącymi ochrony informacji. d) Nieprzestrzeganie zasad ochrony danych osobowych może narazić Polskie Radio SA na znaczące konsekwencje prawne oraz zaszkodzić jego wizerunkowi, dlatego takie działania bądź zaniechania kierownictwo Spółki wyciągać będzie stosowne konsekwencje Przegląd i ocena a) Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych okresowo przegląda Politykę Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA w celu weryfikacji jej aktualności. b) Wyniki dokonywanych przeglądów wraz z ewentualnymi wnioskami o modyfikacje przedstawiane są Zarządowi Spółki. 8

10 4 Organizacja ochrony danych osobowych 4. 1 Infrastruktura bezpieczeństwa informacji Forum kierowania polityka bezpieczeństwa a) Każda z komórek organizacyjnych wyznacza przedstawiciela bądź przedstawicieli reprezentujących ja w bieżących kontaktach z Administratorem Bezpieczeństwa Informacji do spraw ochrony danych osobowych. Osoby te tworzą Zespól do spraw ochrony danych osobowych. b) Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych wraz z przedstawicielami komórek organizacyjnych zgodnie z zakresem ich działania: dokonuje przeglądu Polityki Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA oraz przygotowuje propozycje zmian w dokumencie; monitoruje stopień narażenia danych osobowych na podstawowe zagrożenia poufność, integralności oraz dostępności; monitoruje przypadki naruszenia bezpieczeństwa danych osobowych; zatwierdza wprowadzenie nowych zabezpieczeń w zakresie ochrony danych osobowych; proponuje wprowadzenie zmian do dokumentów regulujących kwestie ochrony danych osobowych w Spółce Koordynowanie bezpieczeństwa danych osobowych a) Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych koordynuje w imieniu Prezesa Zarządu Polskiego Radia SA wszystkie czynności związane z zapewnieniem bezpieczeństwa przetwarzanych danych osobowych. b) Administrator Bezpieczeństwa Informacji: uzgadnia przebieg procesów związanych z bezpieczeństwem danych osobowych; przeprowadza analizę ryzyka dla poszczególnych zbiorów danych osobowych; promuje i wspiera inicjatywy dotyczące zabezpieczeń danych osobowych w Spółce; ma głos doradczy podczas planowania informatycznych inwestycji dotykających tematyki bezpieczeństwa danych osobowych; dokonuje przeglądu przypadków naruszenia bezpieczeństwa danych osobowych oraz formułuje wnioski mające na celu zabezpieczenie Spółki przed podobnymi sytuacjami w przyszłości Podział odpowiedzialności w zakresie bezpieczeństwa danych osobowych a) Za bezpieczeństwo przetwarzanych danych osobowych odpowiedzialni są wszyscy kierownicy komórek organizacyjnych. b) Każdy pracownik oraz współpracownik Polskiego Radia SA jest odpowiedzialny za ochronę powierzonych mu danych osobowych. c) Poszczególne zbiory danych osobowych maja przyporządkowanych właścicieli 9

11 zbiorów danych. d) Wprowadza się następujące poziomy ochrony danych przetwarzanych w Polskim Radiu SA: a. podstawowy, b. podwyższony, c. wysoki. e) Poziom podstawowy dotyczy wszystkich zbiorów danych osobowych przetwarzanych w Polskim Radiu SA. f) Poziom podwyższony dotyczy zbiorów, które z racji swej wielkości bądź charakteru powinny mieć zapewniona dodatkowa ochronę. g) Poziom wysoki dotyczy zbiorów zawierających wrażliwe dane osobowe, których ujawnienie mogłoby przynieść znaczne szkody dla Spółki jak również dla osób, których te dane dotyczą. Szczegółowe zasady bezpieczeństwa są tworzone przez Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych wraz z właścicielem zbioru danych na potrzeby konkretnych zbiorów Proces autoryzacji urządzeń służących do przetwarzania danych osobowych a) Za zakup sprzętu komputerowego służącego do przetwarzania danych osobowych odpowiada Biuro Informatyki i Telekomunikacji. b) Sprzęt informatyczny jest instalowany przez Administratorów Biura Informatyki i Telekomunikacji, którzy konfigurują środowisko zgodnie ze standardami Polskiego Radia SA. c) Pracownicy Biura Informatyki i Telekomunikacji maja możliwość zdalnej weryfikacji czy sprzęt i zainstalowane oprogramowanie są zgodne z powierzonymi. d) Użytkownicy nie mogą samodzielnie modyfikować komponentów wykorzystywanego sprzętu oraz instalować dodatkowego oprogramowania Specjalistyczne doradztwo w dziedzinie bezpieczeństwa informacji a) W sytuacji gdy potrzebne jest zewnętrzne doradztwo w dziedzinach związanych z bezpieczeństwem informacji Biuro Informatyki i Telekomunikacji, na wniosek Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych, korzysta z pomocy osób rekomendowanych przez producentów bądź dostawców sprzętu komputerowego i oprogramowania lub osób posiadających gruntowna, poparta certyfikatami, wiedze na temat potrzebnego zagadnienia. b) Na wniosek Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych od doradców żąda się podpisania deklaracji poufności Współpraca pomiędzy instytucjami a) W przypadkach naruszenia bezpieczeństwa przetwarzanych danych osobowych Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych współpracuje z organami ścigania oraz Generalnym Inspektorem Ochrony Danych Osobowych. 10

12 b) Biuro Informatyki i Telekomunikacji wyznacza przedstawiciela do współpracy z organami ścigania w zakresie przestępstw związanych ze sprzętem i systemami informatycznym. c) W pozostałych przypadkach z organami ścigania współpracuje Szef Ochrony, lub inny wyznaczony pracownik Biura Administracyjnego. d) Dostęp do informacji na temat prowadzonych dochodzeń maja wyłącznie wyznaczeni pracownicy Polskiego Radia SA Niezależne przeglądy bezpieczeństwa danych osobowych a. Na wniosek Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych, po uzyskaniu zgody Prezesa Zarządu Polskiego Radia SA, przeprowadzane są niezależne przeglądy bezpieczeństwa danych osobowych, w tym przeglądy Polityki Bezpieczeństwa Informacji w zakresie ochrony danych osobowych Polskiego Radia SA. b. Przeglądy bezpieczeństwa danych osobowych musza kończyć się raportem zawierającym rozpoznane niezgodności. c. Niezależne przeglądy bezpieczeństwa systemów informatycznych są przeprowadzane w porozumieniu z Dyrektorem Biura Informatyki i Telekomunikacji. 4.2 Bezpieczeństwo dostępu osób trzecich Identyfikacja ryzyka wynikającego z dostępu osób trzecich a) Goście Polskiego Radia SA maja prawo wstępu na teren Spółki wyłącznie na podstawie uzasadnionego zaproszenia pracownika Spółki. b) Goście Polskiego Radia SA poruszają się na terenie Spółki na podstawie identyfikatora wydawanego przez Biuro Przepustek. c) Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych prowadzi oraz na bieżąco udostępnia Straży Radiowej ewidencje pomieszczeń wchodzących w skład obszarów bezpiecznych w których przetwarzane są dane osobowe. d) Osoby trzecie mogą przebywać w obszarach bezpiecznych w których przetwarza się dane osobowe wyłącznie w uzasadnionych sytuacjach i zawsze pod kontrola opiekuna. e) Osoby trzecie z zasady nie maja dostępu do zbiorów zawierających dane osobowe przetwarzane przez Polskie Radio SA. W wyjątkowych przypadkach, na przykład wynikających z umów świadczonych na rzecz Polskiego Radia SA, osoby trzecie mogą za zgoda właściciela zbioru danych otrzymać dostęp do przetwarzanych danych Wymagania bezpieczeństwa w umowach z osobami trzecimi a) Dane osobowe są przekazywane osobom trzecim wyłącznie na podstawie umowy, w zakresie wynikającym z jej treści. b) W umowach z osobami trzecimi na udostepnienie danych osobowych określa się zasady odpowiedzialności stron za powierzone dane. 11

13 c) Jeżeli umowa nie stanowi inaczej osoby trzecie zobowiązują się do nieudostępniania powierzonych danych innym podmiotom oraz utrzymywania ich w tajemnicy również po ustaniu okresu obowiązywania umowy. 5 Klasyfikacja i kontrola zbiorów danych osobowych 5. 1 Rozliczalność aktywów Inwentaryzacja zbiorów danych osobowych a) Kierownicy komórek organizacyjnych oraz członkowie Zespołu ds. ochrony danych osobowych maja obowiązek informowania Administratora bezpieczeństwa Informacji ds. ochrony danych osobowych o planowanym utworzeniu nowych zbiorów w których przetwarzane będą dane osobowe oraz uzasadnić cel utworzenia zbioru. b) Przetwarzanie danych osobowych, których charakter wskazuje na potrzebę rejestracji, jest możliwe dopiero po poinformowaniu Generalnego Inspektora Ochrony Danych Osobowych o utworzonym zbiorze. c) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych prowadzi ewidencje zbiorów danych osobowych przetwarzanych przez Polskie Radio SA. d) Ewidencja zbiorów danych osobowych zawiera jako minimum następujące informacje: nazwę zbioru; nazwisko administratora zbioru; zakres zbieranych danych; cel przetwarzania danych; lokalizacje zbioru. e) Właściciele zbiorów danych decydują o dopuszczeniu pracowników i współpracowników do przetwarzania danych osobowych zawartych w zbiorze oraz powiadamiają Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych w wszelkich zmianach kadrowych. Osoby, którym przyznaje się uprawnienia dostępu do danych osobowych musza otrzymać upoważnienie wydane przez Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych. f) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych ma prawo wglądu we wszystkie elektroniczne i papierowe zbiory danych osobowych przetwarzane w Polskim Radiu SA. g) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych ma prawo, w celu identyfikacji nowych zbiorów danych osobowych, uzyskiwania informacji od pracowników i współpracowników Polskiego Radia SA dotyczących wykonywanych przez nich prac. 5.2 Klasyfikacja zbiorów danych osobowych Wytyczne w zakresie klasyfikacji 12

14 a) Klasyfikacja ze względu na kategorie bezpieczeństwa służy do określania zabezpieczeń, które maja zostać użyte by zapewnić bezpieczeństwo przetwarzanym danych osobowym. b) Zbiory danych osobowych klasyfikuje się przez cel do którego służą oraz kategorie bezpieczeństwa. Ewidencje prowadzi Administrator Bezpieczeństwa Informacji do spraw ochrony danych osobowych Oznaczanie i postepowanie z danymi osobowymi a) W uzasadnionych przypadkach, szczególnie wrażliwym zbiorom danych osobowych, w porozumieniu z Pełnomocnikiem Zarządu do spraw ochrony informacji niejawnych można nadać klauzule niejawności zastrzeżone. b) Zbiory zawierające informacje których kategoria bezpieczeństwa została ustalona na wysoką musza być wyraźnie oznaczone zgodnie z zaleceniami Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych. 6 Bezpieczeństwo osobowe 6. 1 Bezpieczeństwo przy określanie zakresów obowiązków i zarzadzaniu zasobami ludzkimi Uwzględnienie aspektu bezpieczeństwa w zakresach obowiązków przypisanych do stanowisk a) Pracownicy przetwarzający dane osobowe maja wpisana odpowiedzialność za przestrzeganie procedur bezpieczeństwa powierzonych im danych osobowych w zakresy obowiązków. b) Współpracownicy przetwarzający dane osobowe Polskiego Radia SA maja wpisane do umów kwestie regulujące ochronę powierzonych danych osobowych. c) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych przy współpracy z Biurem Kadr prowadzi ewidencje stanowisk wiążących się z dostępem do danych osobowych. d) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych przy współpracy kierowników komórek organizacyjnych oraz członków Zespołu ds. ochrony danych osobowych prowadzi ewidencje współpracowników mających dostęp do danych osobowych. e) Upoważnienie do przetwarzania danych osobowych wydawane przez Administratora Bezpieczeństwa Informacji do spraw ochrony danych osobowych jest równoznacznie zobowiązaniem Użytkownika do przestrzegania przepisów prawa i wewnętrznych regulacji Polskiego Radia SA w zakresie ochrony danych osobowych Sprawdzanie podczas naboru 13

15 a) Biuro Kadr może stosować następujące metody weryfikacji kandydatów na stanowiska związane z dostępem do danych osobowych : weryfikację dostarczonych referencji; sprawdzenie kompletności i dokładności życiorysu; potwierdzenie otrzymanych informacji o wyksztalceniu i posiadanych kwalifikacjach; sprawdzenie tożsamości kandydata. b) Biuro Kadr przechowuje dostarczone przez nowych pracowników certyfikaty potwierdzenia kursów związanych z ochrona danych osobowych. c) Osoba aplikująca na stanowisko Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych powinna wykazać się następującymi kwalifikacjami: dopuszczenie do informacji niejawnych o klauzuli "Zastrzeżone" lub wyższej; znajomość procedur ochrony danych osobowych; wiedza pozwalająca zweryfikować poziom zabezpieczeń informatycznych; wiedza pozwalająca na przeprowadzenie audytu systemu bezpieczeństwa informacji Umowa o zachowaniu poufności a) Użytkownicy otrzymując upoważnienie do przetwarzania danych osobowych zobowiązują się do przestrzegania poufności powierzonych danych Warunki zatrudnienia a) Zobowiązanie zachowania poufności powierzonych danych osobowych obowiązuje również po ustaniu zatrudnienia lub zakończeniu bądź rozwiązaniu umowy. b) Działania bądź zaniechania dotyczące bezpieczeństwa danych osobowych przetwarzanych przez Polskie Radio SA spotkają się ze zdecydowana reakcja Spółki. 6.2 Kształcenie Użytkowników Kształcenie w zakresie bezpieczeństwa informacji a) Wszyscy Użytkownicy przetwarzający dane osobowe zostają zapoznani przez Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych z prawnymi wymogami ochrony danych osobowych, wewnętrznymi regulacjami Spółki oraz podstawowymi zasadami bezpieczeństwa. b) Szkolenia omawiające procedury bezpiecznego przetwarzania danych osobowych są okresowo powtarzane. Kopie certyfikatów są przechowywane przez Biuro Kadr bądź, w przypadku współpracowników, przez kierowników komórek organizacyjnych. c) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych, w trakcie wykonywania obowiązków, na bieżąco informuje Użytkowników o właściwych i bezpiecznych sposobach przetwarzania danych osobowych. 14

16 6.3 Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu Zgłaszanie przypadków naruszania bezpieczeństwa a) Wszelkie incydenty dotyczące naruszenia bądź podejrzenia naruszenia bezpieczeństwa danych osobowych zgłaszane są bezzwłocznie do Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych. b) Incydenty dotyczące funkcjonowania sieci informatycznych zgłaszane są do Biura Informatyki i Telekomunikacji które, w przypadku gdy incydent dotyczy systemów przetwarzających dane osobowe, informuje Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych. c) Biuro Informatyki i Telekomunikacji prowadzi ewidencje incydentów dotyczących systemów informatycznych. d) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych prowadzi ewidencje incydentów związanych z przetwarzaniem danych osobowych Zgłaszanie słabości systemu bezpieczeństwa a) Użytkownicy maja obowiązek informować Biuro Informatyki i Telekomunikacji o zauważonych słabościach dotyczących bezpieczeństwa systemów informatycznych. b) Użytkownicy maja obowiązek informować Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych o zauważonych słabościach dotyczących ochrony danych osobowych. c) Użytkownicy maja zakaz samodzielnego testowania wykrytych słabości Zgłaszanie niewłaściwego funkcjonowania oprogramowania przetwarzającego dane osobowe a) Po zaobserwowaniu niewłaściwego funkcjonowania oprogramowania Użytkownik powinien zanotować: potencjalną przyczynę oraz opis zaobserwowanych problemów; dokładna treść pojawiających się komunikatów; dokładna datę i godzinę. b) Zauważone niewłaściwe funkcjonowanie oprogramowania przetwarzającego dane osobowe należy bezzwłocznie zgłaszać do Biura Informatyki i Telekomunikacji, które na bieżąco informuje Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych o stanie realizacji zgłoszenia. c) W przypadku niemożności samodzielnego rozwiązania problemów dotyczących oprogramowania przetwarzającego dane osobowe Biuro Informatyki i Telekomunikacji kontaktuje się z jego producentem bądź dostawcą Nauka płynąca z występowania incydentów 15

17 a) Biuro Informatyki i Telekomunikacji na bieżąco analizuje informacje o incydentach i wprowadza właściwe zabezpieczenia. b) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych na bieżąco analizuje wszelkie sygnały o incydentach dotyczących ochrony danych osobowych i podejmuje środki przeciwdziałające podobnym sytuacjom w przyszłości Postępowanie dyscyplinarne a) W przypadku pogwałcenia przez Użytkowników obowiązujących procedur bezpieczeństwa Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych może wnioskować do Biura Kadr bądź kierownika komórki organizacyjnej o przeprowadzenie postępowania dyscyplinującego do rozwiązania umowy o pracę (bądź cywilnoprawnej) włącznie. b) Powtarzające się przypadki uporczywego łamania zasad bezpieczeństwa powinny być karane z całą surowością. 7 Bezpieczeństwo fizyczne i środowiskowe 7. 1 Obszary bezpieczne Fizyczny obwód zabezpieczający a) Teren Polskiego Radia SA jest ogrodzony i strzeżony przez specjalistyczne uzbrojone formacje ochronne. b) Wszystkie drzwi wejściowe są chronione przed wtargnięciem nieupoważnionych osób bądź nieautoryzowanym ruchem materiałowym. c) Teren Polskiego Radia SA oraz wskazane miejsca wewnątrz budynków są chronione systemem telewizji dozorowej Fizyczne zabezpieczenie wejścia a) Wstęp na teren Polskiego Radia SA oraz wnoszenie i wynoszenie sprzętu komputerowego polega kontroli. b) Swobodny wstęp do budynków Polskiego Radia SA możliwy jest wyłącznie dla osób posiadających stale i tymczasowe przepustki. c) Wizyty gości musza być wcześniej pisemnie zgłoszone do Straży Radiowej. Przed wejściem do budynków Polskiego Radia SA goście musza się wylegitymować po czym otrzymują przepustkę dla gościa. d) Goście maja zakaz samodzielnego poruszania się po terenie Polskiego Radia SA Zabezpieczenie biur, pomieszczeń i urządzeń a) Dane osobowe są przetwarzane wewnątrz obszarów bezpiecznych. Ewidencje obszarów prowadzi Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych. 16

18 b) Opuszczając pokój stanowiący obszar bezpieczny należy go zamknąć na klucz. Klucz do pokoju nie może być dostępny dla osób trzecich. c) Wewnątrz obszarów bezpiecznych nie mogą samodzielnie przebywać osoby trzecie. d) Podczas przetwarzania danych osobowych należy zapewnić by osoby trzecie nie miały wglądu w ich treść. e) Dane osobowe, które nie są aktualnie wykorzystywane powinny być składowane w wyznaczonych miejscach i ukryte przed wzrokiem osób trzecich. f) W wybranych pomieszczeniach stosuje się alarmy przeciwwłamaniowe oraz przeciwpożarowe. g) Radiowe Centrum Przetwarzania Danych tworzy wydzielony bezpieczny obszar chroniony przez szereg zabezpieczeń spośród których należy wymienić: całodobowy monitoring wykorzystujący system telewizji dozorowej; nowoczesne systemy wczesnego wykrywania dymu, przeciwpożarowe oraz gaszenia; systemy zapewniające zasilanie; systemy klimatyzacyjne; systemy przeciw-włamaniowe i antynapadowe; systemy kontroli dostępu. h) Funkcjonowanie systemów zabezpieczających Radiowe Centrum Przetwarzania Danych jest okresowo weryfikowane. i) Upoważniony pracownik Biura Administracyjnego na bieżąco uaktualnia prawa dostępu do szczególnie chronionych pomieszczeń Praca w obszarach bezpiecznych a) Osoby upoważnione do przetwarzania danych osobowych są w trakcie szkoleń informowane o obowiązujących zasadach przetwarzania danych w obszarach bezpiecznych. b) Członkowie Zespołu ds. ochrony danych osobowych współpracują z Administratorem Bezpieczeństwa Informacji ds. ochrony danych osobowych w celu bieżącej aktualizacji ewidencji obszarów bezpiecznych w których przetwarzane są dane osobowe. c) W strefach bezpiecznych, wskazanych przez Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych wraz z właścicielem zbioru danych jako szczególnie ważne, sprzątanie oraz inne prace wykonywane przez osoby trzecie musza odbywać się pod kontrola wyznaczonego opiekuna Izolowane obszary dostaw i załadunku a) Ruch materiałowy odbywa się zgodnie zasadami zapisanymi w "Instrukcji kontroli ruchu osobowego i materiałowego". b) Obszary dostaw i załadunku są odizolowane od urządzeń przetwarzających dane osobowe. 7.2 Zabezpieczenie sprzętu Rozmieszczenie sprzętu i jego ochrona 17

19 a) Pozostawiany bez nadzoru sprzęt informatyczny wykorzystywany do przetwarzania danych osobowych musi być blokowany przed dostępem osób trzecich. b) Przemieszczanie sprzętu komputerowego wewnątrz budynków Polskiego Radia SA odbywa się za wiedza Biura Informatyki i Telekomunikacji. c) Budynki Polskiego Radia SA są wyposażone w szereg czujek mających na celu natychmiastową informacje o podejrzeniu pojawienia się pożaru. d) W Radiowym Centrum Przetwarzania Danych obowiązuje bezwzględny zakaz jedzenia, picia i palenia tytoniu. e) W pobliżu urządzeń służących do przetwarzania danych osobowych zabrania się jedzenia, picia oraz palenia tytoniu Zasilanie a) Sprzęt komputerowy zasilany jest z osobnej sieci, niezależnej od sieci biurowej. b) Siec komputerowa jest wyposażona w zasilacze awaryjne (UPS). c) Radiowe Centrum Przetwarzania Danych jest zasilane z niezależnych linii. d) Polskie Radio SA posiada własne generatory prądu pozwalające na podtrzymanie pracy najważniejszych urządzeń. e) Zasilacze awaryjne są przeglądane i konserwowane zgodnie z zaleceniami producenta Bezpieczeństwo okablowania a) Sieci telekomunikacyjne i okablowanie strukturalne znajdują się pod nadzorem odpowiednich służb Polskiego Radia SA. b) Okablowanie miedzy poszczególnymi lokalizacjami Polskiego Radia SA prowadzone jest wyłącznie pod ziemią Konserwacja sprzętu a) Sprzęt komputerowy będący na gwarancji jest konserwowany zgodnie z zaleceniami producenta. b) Po upływie okresu gwarancji Dyrektor Biura Informatyki i Telekomunikacji podejmuje decyzję o ewentualnym przedłużeniu umowy serwisowej, lub o przejęciu konserwowania sprzętu komputerowego przez Biuro Informatyki i Telekomunikacji. c) Biuro Informatyki i Telekomunikacji rejestruje i ewidencjonuje informacje o awariach lub podejrzeniach awarii sprzętu komputerowego Zabezpieczenie sprzętu poza siedzibą a) Sprzęt służący do przetwarzania danych osobowych nie powinien być wykorzystywany poza siedzibą Polskiego Radia SA 18

20 b) Ewentualna zgodę na wykorzystywanie sprzętu komputerowego poza siedziba Polskiego Radia SA wydaje właściciel zbioru danych po zasięgnięciu opinii Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych oraz Dyrektora Biura Informatyki i Telekomunikacji c) Sprzęt komputerowy wykorzystywany poza siedziba Polskiego Radia SA powinien być zabezpieczony przy pomocy technik kryptograficznych przed nieautoryzowanym dostępem osób trzecich Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia a) W przypadku decyzji o złomowaniu sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych dyski twarde podlegają fizycznemu zniszczeniu. b) W przypadku gdy sprzęt komputerowy, który był wykorzystywany do przetwarzania danych osobowych, będzie przekazywany do innych celów Biuro Informatyki i Telekomunikacji zobowiązane jest do trwałego wymazania wszelkich istniejących danych przy pomocy specjalistycznego oprogramowania. 7.3 Ogólne zabezpieczenia Polityka czystego biurka i czystego ekranu a) Pracownicy maja obowiązek odkładania dokumentów zawierających dane osobowe w miejsce ich przechowywania, w momencie gdy dokumenty nie są w danym momencie wykorzystywane. b) W zależności od wagi dokumentów miejscem składowania może być osobny regał, szafa zamykana na klucz, szafa pancerna. O sposobie zabezpieczania decyduje Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych. c) Każdorazowe, nawet krótkotrwale opuszczanie obszaru bezpiecznego musi wiązać się z ukryciem przetwarzanych danych osobowych. d) Nie wolno umożliwiać osobom trzecim wglądu w przetwarzane dane osobowe, niezależnie czy są przetwarzane w formie papierowej czy elektronicznej. e) Wszelkie wydruki lub kopie materiałów zawierających dane osobowe powinny być bezzwłocznie odbierane przez Użytkowników. f) Niepotrzebne dokumenty zawierające dane osobowe powinny być bezzwłocznie niszczone w niszczarkach Wynoszenie mienia a) Nie wolno wynosić poza teren Polskiego Radia SA sprzętu na którym przetwarzane są dane osobowe bez zezwolenia właściciela zbioru danych oraz Administratora Bezpieczeństwa Informacji ds. ochrony danych osobowych. b) Wnoszenie oraz wynoszenie sprzętu komputerowego podlega kontroli zgodnie z zapisami Instrukcji kontroli ruchu osobowego i materiałowego. 19

21 8 Zarzadzanie systemami i sieciami 8. 1 Procedury eksploatacji oraz zakresy odpowiedzialności Dokumentowanie procedur eksploatacyjnych a) Biuro Informatyki i Telekomunikacji dokumentuje, wybrane wraz z Administratorem Bezpieczeństwa Informacji ds. ochrony danych osobowych, procedury eksploatacyjne. b) Procedury są udostępnione osobom upoważnionym intranecie. c) Zakresy obowiązków Administratorów oprogramowania służącego do przetwarzania danych osobowych zawierają zapisy mówiące o obowiązku właściwego zabezpieczania danych oraz zachowaniu w tajemnicy danych osobowych Polskiego Radia SA uzyskanych w trakcie wykonywania obowiązków służbowych. d) Biuro Informatyki i Telekomunikacji wraz z Administratorem Bezpieczeństwa Informacji do spraw ochrony danych osobowych określa sposób wykonywania, częstotliwość oraz sposób oznaczania i przechowywania kopii bezpieczeństwa zbiorów danych osobowych. e) Nośniki z kopiami bezpieczeństwa składowane są poza Radiowym Centrum Przetwarzania Danych, w odrębnym budynku. f) Biuro Informatyki i Telekomunikacji przygotowuje i aktualizuje procedury odtwarzania danych z kopii bezpieczeństwa. 9 Kontrola dostępu do systemu 9. 1 Potrzeby biznesowe związane z dostępem do systemu Polityka kontroli dostępu a) Uprawnienia dostępu do oprogramowania przetwarzającego dane osobowe przyznawane są przez Biuro Informatyki i Telekomunikacji na wniosek kierownika komórki organizacyjnej, po akceptacji przez właściciela zbioru danych. b) Biuro Informatyki i Telekomunikacji nadaje Użytkownikom standardowe profile z minimalnymi uprawnieniami. c) Zarzadzanie uprawnieniami jest przeprowadzane centralnie przez Biuro Informatyki i Telekomunikacji. d) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych prowadzi ewidencje aplikacji służących do przetwarzania danych osobowych. 9.2 Zarzadzanie dostępem Użytkowników Rejestracja Użytkowników a) Dostęp do oprogramowania przetwarzającego dane osobowe wymaga pisemnego zgłoszenia oraz akceptacji Dyrektora Biura Informatyki i Telekomunikacji. 20

22 b) Modyfikacje uprawnień dostępu mogą mieć miejsce wyłącznie w uzasadnionych przypadkach, na podstawie pisemnego zgłoszenia. c) Użytkownicy otrzymując dostęp do systemu operacyjnego podpisują zobowiązanie przestrzegania Zasad korzystania z komputerów PR - S.A.. d) W Polskim Radiu SA nie stosuje się ponownego wykorzystywania wcześniej używanych identyfikatorów Zarządzanie przywilejami a) Biuro Informatyki i Telekomunikacji dąży do standaryzacji stacji roboczych pod katem porównywalnych parametrów technicznych celem ułatwionego, centralnego zarzadzania. b) Biuro Informatyki i Telekomunikacji wykorzystuje strukturę katalogowa by zapewnić właściwe przywileje związane z prawami dostępu do poszczególnych współdzielonych katalogów. c) Biuro Informatyki i Telekomunikacji przydziela uprawnienia do oprogramowania przetwarzającego dane osobowe zgodnie z zasada minimalnych uprawnień. d) Administratorzy Biura Informatyki i Telekomunikacji w trakcie codziennej pracy korzystają z kont o ograniczonych uprawnieniach Zarzadzanie hasłami Użytkowników a) Obowiązujące Zasady korzystania z komputerów PR - S.A. nakładają na Użytkowników obowiązek zachowania w tajemnicy haseł dostępu do oprogramowania przetwarzającego dane osobowe. b) Hasła początkowe nadawane przez Administratorów Biura Informatyki i Telekomunikacji musza być zmienione w trakcie pierwszego logowania. c) Biuro Informatyki i Telekomunikacji konfiguruje oprogramowanie przetwarzające dane osobowe w taki sposób by narzucić stosowanie minimalnych zasad bezpieczeństwa haseł. d) W przypadku gdy Użytkownik zapomni hasła dostępu do oprogramowania przetwarzającego dane osobowe wydanie nowego nastąpi po potwierdzeniu jego tożsamości przez Administratora Biura Informatyki i Telekomunikacji. e) Wszelkie hasła przechowywane w oprogramowaniu przetwarzającym dane osobowe znajdują się w postaci zaszyfrowanej Przegląd praw dostępu Użytkowników a) Prawa dostępu Użytkowników do oprogramowania przetwarzającego dane osobowe są na bieżąco kontrolowane w ramach codziennych prac Administratorów. b) Administratorzy oprogramowania przetwarzającego dane osobowe okresowo dokonują przeglądu Użytkowników oraz ich praw dostępu. 21

23 9.3 Zakres odpowiedzialności Użytkowników Używanie haseł a) Dokument Zasady korzystania z komputerów PR - S.A. precyzują sposób postępowania z hasłami przez Użytkowników. b) Do obowiązków Użytkowników należą miedzy innymi: obowiązek utrzymywania haseł w tajemnicy; zakaz zapisywania haseł; konieczność okresowej zmiany haseł; obowiązek zmiany haseł w przypadku poznania ich treści przez osoby trzecie Pozostawianie sprzętu Użytkownika bez opieki a) Użytkownicy odpowiadają za powierzony sprzęt komputerowy. b) Użytkownicy maja obowiązek wylogowania się z oprogramowania przetwarzającego dane osobowe oraz blokowania stacji roboczych podczas każdorazowego opuszczania stanowiska pracy. c) Użytkownicy maja obowiązek zamykania pokoju na klucz w przypadku jego opuszczania przez ostatnia z osób. Klucz nie może być dostępny dla osób trzecich. 9.4 Kontrola dostępu do sieci Polityka dotycząca korzystania z usług sieciowych a) Dostęp do sieci i udostępnianych usług sieciowych maja wyłącznie stacje robocze, którym Biuro Informatyki i Telekomunikacji nadało właściwe uprawnienia Wymuszanie dróg połączeń a) Połączenia w ramach Polskiego Radia SA maja miejsce w ramach sieci wewnętrznej. b) Połączenia pomiędzy budynkami realizowane są poprzez dedykowane łącza światłowodowe. c) Połączenia miedzy innymi z miastami w których Polskie Radio SA ma swoje ośrodki oraz połączenia z firmami trzecimi wykonującymi prace na rzecz Spółki realizowane są z wykorzystaniem wirtualnych sieci prywatnych(vpn) Uwierzytelnianie Użytkowników przy połączeniach zewnętrznych a) Zewnętrzne polaczenia z siecią wewnętrzna Polskiego Radia SA wymagają każdorazowego uwierzytelnienia. b) Polaczenia zdalne wykorzystują technikę wirtualnych sieci prywatnych(vpn). c) Użytkownicy, którym przyznano uprawnienia zdalnego dostępu musza podpisać oświadczenie zobowiązujące do przestrzegania Zasad zdalnego dostępu do wewnętrznej sieci informatycznej Polskiego Radia SA, 22

24 9.4.4 Uwierzytelnianie węzłów a) Zdalne połączenia są możliwe ze ścisłe zdefiniowanych lokalizacji. Ewentualną zgodę ma odstępstwo o tej reguły każdorazowo wydaje Dyrektor Biura Informatyki i Telekomunikacji Ochrona zdalnych portów diagnostycznych a) Zdalne porty diagnostyczne są chronione przez Biuro Informatyki i Telekomunikacji w sposób ustalony z producentem lub dostawca sprzętu bądź oprogramowania Rozdzielenie sieci a) Polskie Radio SA wykorzystuje technologie wirtualnych sieci (VLAN) do tworzenia logicznie odseparowanych podsieci. b) Biuro Informatyki i Telekomunikacji konfiguruje podsieci biorąc pod uwagę wymogi bezpieczeństwa, potrzeby Użytkowników oraz możliwości techniczne Kontrola połączeń sieciowych a) Polskie Radio SA wykorzystuje zapory ogniowe oraz sondy lds do kontrolowania połączeń sieciowych. b) Biuro Informatyki i Telekomunikacji na bieżąco analizuje zapisy z pracy urządzeń zabezpieczających siec wewnętrzną Polskiego Radia SA Kontrola rutingu w sieciach a) Biuro Informatyki i Telekomunikacji konfiguruje ruting w sieci wewnętrznej Polskiego Radia SA zgodnie z określonymi zasadami Bezpieczeństwo usług sieciowych a) Biuro Informatyki i Telekomunikacji okresla rodzaje ruchu generowanego w ramach sieci wewnętrznej Polskiego Radia SA i blokuje niestandardowe połączenia przychodzące. b) Wszystkie serwery Biura Informatyki i Telekomunikacji maja dokładnie określone porty i protokoły na których może odbywać się ruch. c) Przychodzący ruch jest analizowany przez systemy lds oraz antywirusowe. 9.5 Kontrola dostępu do systemów operacyjnych Automatyczna identyfikacja terminala a) Biuro Informatyki i Telekomunikacji określa sposoby identyfikacji terminala oraz stawiane wymagania bezpieczeństwa Procedury rejestrowania terminalu w systemie a) Biuro Informatyki i Telekomunikacji ustala rodzaje informacji udostępnianych podczas rejestrowania zewnętrznych połączeń do systemu. 23

25 b) Biuro Informatyki i Telekomunikacji określa maksymalna ilość nieudanych prób rejestrowania terminalu w systemie. c) Biuro Informatyki i Telekomunikacji rejestruje informacje o udanych i nieudanych próbach rejestrowania terminalu w systemie Identyfikacja i uwierzytelnienie Użytkowników a) Wszyscy Użytkownicy maja indywidualne identyfikatory i hasła. b) Korzystanie z identyfikatorów grupowych może mieć miejsce wyłącznie w wyjątkowych sytuacjach za zgoda Dyrektora Biura Informatyki i Telekomunikacji System zarzadzania hasłami a) Stosowane w Polskim Radiu SA systemy operacyjne umożliwiają: definiowanie minimalnej ilości znaków w haśle; definiowanie minimalnej jakości haseł; wymuszanie zmiany hasła; trzymanie historii poprzednich haseł; ukrywanie na ekranie treści wpisywanego hasła; przechowywanie haseł w postaci zaszyfrowanej. b) Administratorzy Biura Informatyki i Telekomunikacji bezpośrednio po instalacji nowego oprogramowania przetwarzającego dane osobowe bezzwłocznie zmieniają domyślne hasła. c) Kopie haseł administracyjnych są szczególnie chronione a w przypadku zmian na bieżąco aktualizowane przez Administratorów Biura Informatyki i Telekomunikacji Użycie systemowych programów narzędziowych a) Użytkownicy pracują na minimalnych potrzebnych uprawnieniach. b) Dostęp do systemowych programów narzędziowych umożliwiających obejście zabezpieczeń oprogramowania przetwarzającego dane osobowe możliwy jest wyłącznie dla uprawnionych Administratorów Biura Informatyki i Telekomunikacji Alarm przymusu stosowany do zabezpieczenia Użytkowników a) W szczególnie chronionych obszarach bezpiecznych stosuje się cichy alarm informujący Straż Radiowa, że do Użytkownik działa pod przymusem Wyłączanie terminalu po określonym czasie a) Wszystkie stacje robocze maja ustawiony czas nieaktywności po którym stacja robocza zostanie zablokowana Ograniczanie czasu trwania połączenia a) Brak aktywności przez określony czas przy polaczeniach z oprogramowaniem przetwarzającym dane osobowe powoduje wylogowanie Użytkownika i zerwanie sesji. 24

26 b) Brak aktywności przez określony czas przy polaczeniach zdalnych powoduje wylogowanie Użytkownika i zerwanie sesji. 9.6 Kontrola dostępu do oprogramowania przetwarzającego dane osobowe Ograniczanie dostępu do informacji a) Oprogramowanie służące do przetwarzania danych osobowych umożliwia ustalanie zakresów danych do których maja dostęp poszczególne grupy Użytkowników Izolowanie systemów wrażliwych a) Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych prowadzi ewidencje wrażliwych zbiorów danych osobowych. b) Najbardziej wrażliwe dane osobowe ssą przetwarzane na wydzielonych, oddzielonych od sieci wewnętrznej, dodatkowo zabezpieczonych stanowiskach roboczych. c) Logiczne podsieci zapewniają izolacje przepływu danych w ramach poszczególnych sieci wirtualnych (VLAN). 9.7 Monitorowanie dostępu do systemu i jego użycia Zapisywanie informacji o zdarzeniach a) Oprogramowanie przetwarzające dane osobowe ma włączoną opcje logowania informacji o incydentach. b) Zapisy zawierają takie informacje jak: identyfikator Użytkownika; datę i dokładną godzinę incydentu; rodzaj incydentu Monitorowanie użycia systemu a) Administratorzy aplikacji okresowo przeglądają zapisy generowane przez oprogramowanie przetwarzające dane osobowe. b) Administratorzy aplikacji okresowo weryfikują uprawnienia dostępu Użytkowników do oprogramowania przetwarzającego dane osobowe. c) Częstotliwość przeglądów zależy od wrażliwości danych. Administrator Bezpieczeństwa Informacji ds. ochrony danych osobowych prowadzi ewidencję planowanych przeglądów opracowana wraz z właścicielami zbiorów danych oraz Dyrektorem Biura Informatyki i Telekomunikacji Synchronizacja zegarów a) Polskie Radio SA synchronizuje czas zgodnie ze wzorcem dostarczanym przez serwer czasu. b) Czas na poszczególnych stacjach roboczych i serwerach jest synchronizowany 25