WYCIĄG POLITYKA ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA RYBNIKA

Transkrypt

1 POLITYKA ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA RYBNIKA WYCIĄG Aktualna wersja niniejszego dokumentu dostępna jest w Biuletynie Informacji Publicznej Urzędu Miasta Rybnika oraz u Administratora Bezpieczeństwa Informacji. 1 lipca 2015 r.

2 SPIS TREŚCI Wstęp Część I: POLITYKA BEZPIECZEŃSTWA INFORMACJI Informacje ogólne 3 Ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji 3 Podstawowe definicje 4 Podstawowe zasady bezpieczeństwa informacji 5 Procedura szkoleń osób zaangażowanych w proces tworzenia informacji (w szczególności danych osobowych). 7 Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa Zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania 7 Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym przypadków 7 zgłaszania naruszeń bezpieczeństwa. Administrator danych 7 Administrator Bezpieczeństwa Informacji 8 Osoby trzecie 8 Zasady zgłaszania naruszeń bezpieczeństwa informacji oraz zagrożeń prawidłowej realizacji założeń PZBI 8 Konsekwencje naruszenia PZBI 9 Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych 9 danych Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym, zdalnym dostępie do zasobów Urzędu 10 Informacje o okresowym audycie wewnętrznym w zakresie bezpieczeństwa informacji 10 Część II: INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 10 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osób odpowiedzialnych za te czynności Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem Procedury rozpoczęcia, zawieszenie i zakończenia pracy przeznaczone dla użytkowników systemu Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do niego Urząd Miasta Rybnika str. 2

3 WSTĘP Polityka Zarządzania Bezpieczeństwem Informacji Urzędu Miasta Rybnika została opracowana na zlecenie Administratora danych w celu spełnienia wymagań określonych: a) ustawą z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2014 roku poz ze zmianami), zwaną dalej Ustawą, b) w 3, 4 i 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), wydanego na podstawie art. 39a ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2014 roku poz. 1182), c) w 20 ust. 1 i 2 rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 roku poz. 526), zwanego dalej KRI. CZĘŚĆ I POLITYKA BEZPIECZEŃSTWA INFORMACJI INFORMACJE OGÓLNE. Polityka Zarządzania Bezpieczeństwem Informacji, zwana dalej Polityką lub PZBI, powstała w związku z wykorzystywaniem: - danych osobowych w rozumieniu ustawy o ochronie danych osobowych, - innych, niż dane osobowe, danych (informacji) podlegających ochronie, - technologii informatycznych do realizacji zadań statutowych Urzędu Miasta. Niniejszy dokument stanowi najwyższej rangi dokument polityki zarządzania bezpieczeństwem informacji, w tym przede wszystkim danych osobowych, przetwarzanych w systemach informatycznym i tradycyjnym wykorzystywanych w Urzędzie Miasta Rybnika oraz jest on wiążący dla pracowników wszystkich komórek organizacji wewnętrznej Urzędu Miasta, stażystów, praktykantów i radnych Rady Miasta Rybnika (zwanych dalej radnymi) korzystających z tych systemów oraz innych podmiotów (stron trzecich) mających do nich dostęp na podstawie odrębnych umów, określających zasady korzystania z tych systemów. Informacje niejawne nie zostały objęte zapisami niniejszego dokumentu. Zasady ochrony informacji niejawnych reguluje ustawa o ochronie informacji niejawnych oraz opracowane na jej podstawie wewnętrzne regulacje Urzędu. OGÓLNE CELE I ZAKRES ORAZ ZNACZENIE BEZPIECZEŃSTWA JAKO MECHANIZMU UMOŻLIWIAJĄCEGO WSPÓŁUŻYTKOWANIE INFORMACJI. Celem zapewnienia bezpieczeństwa informacji, poprzez zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności danych, jest w szczególności: 1. ochrona zasobów informacji, 2. zapewnienie ciągłości działania Urzędu i sprawnej obsługi jego klientów i partnerów, 3. zgodność procesu przetwarzania informacji z przepisami prawa, 4. ochrona wizerunku Urzędu i Miasta. Urząd Miasta Rybnika str. 3

4 PODSTAWOWE DEFINICJE. 1. ADMINISTRATOR DANYCH (AD) - Prezydent Miasta Rybnika, właściciel i administrator zbiorów danych osobowych i innych danych (w tym również tych, które zostały mu powierzone w ramach innych dokumentów) przetwarzanych w Urzędzie Miasta Rybnika, decydujący o celach i środkach przetwarzania danych. 2. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) pracownik wyznaczony przez Administratora danych do nadzorowania i zapewnienia przestrzegania przepisów o ochronie danych osobowych, a w szczególności: sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym zakresie sprawozdania dla AD, nadzorowanie opracowania i aktualizacji dokumentacji opisującej sposób przetwarzania danych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów danych przetwarzanych przez AD. 3. BEZPIECZEŃSTWO INFORMACJI oznacza zachowanie poufności, integralności i dostępności informacji i oznacza, że informacje podlegające ochronie zabezpiecza się przed nieautoryzowanym dostępem, zmianą, utratą, uszkodzeniem, zniszczeniem lub zatajeniem. 4. DOSTĘPNOŚĆ INFORMACJI oznacza, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba. 5. ESOD elektroniczny system obiegu dokumentów funkcjonujący w Urzędzie Miasta Rybnika. 6. GIODO Generalny Inspektor Ochrony Danych Osobowych. 7. HASŁO ciąg znaków znanych jedynie osobie posiadającej uprawnienia do pracy w systemie informatycznym służący, w połączeniu z identyfikatorem użytkownika, do uwierzytelnienia użytkownika w systemie informatycznym. 8. IDENTYFIKATOR UŻYTKOWNIKA ciąg znaków jednoznacznie identyfikujący użytkownika systemu. 9. INCYDENT BEZPIECZEŃSTWA INFORMACJI naruszenie bezpieczeństwa informacji przetwarzanej w Urzędzie Miasta ze względu na poufność, dostępność i integralność, 10. INFORMACJE (DANE) to wszystko, co posiada logiczne znaczenie jako przekaz treści i nadaje się do praktycznego wykorzystania w procesach, skutkując osiągnięciem celu. Informacja może być przetwarzana na różnych typach nośników (m.in. papierowych, magnetycznych, optycznych itp.), w szczególności w systemach informatycznych. 11. INTEGRALNOŚĆ INFORMACJI oznacza, że informacje są kompletne i dokładne oraz że są przetwarzane w kontrolowany sposób (uniknięcie nieautoryzowanych zmian w danych). 12. IZSI - Instrukcja Zarządzania Systemem Informatycznym. 13. KIEROWNIK naczelnik wydziału bądź kierownik samodzielnej jednostki organizacyjnej Urzędu Miasta Rybnika. 14. KONTO UŻYTKOWNIKA SYSTEMU przestrzeń w systemie informatycznym przypisana konkretnemu użytkownikowi i opatrzona hasłem. Nazwę konta użytkownika stanowi identyfikator użytkownika. 15. MIASTO Miasto Rybnik. 16. OSOBA TRZECIA każda osoba (podmiot) niebędąca pracownikiem Urzędu Miasta Rybnika, radnym, praktykantem bądź stażystą, która podejmuje z Urzędem Miasta współpracę na podstawie innej niż umowa o pracę (w tym m.in. umowa cywilnoprawna) i / lub prowadzi działania w imieniu i na rzecz Urzędu Miasta Rybnika. 17. PBI Polityka Bezpieczeństwa Informacji. Urząd Miasta Rybnika str. 4

5 18. PODSTAWOWE ZASADY BEZPIECZEŃSTWA INFORMACJI zbiór zasad opisanych w ust POUFNOŚĆ INFORMACJI oznacza, że dostęp do informacji mają tylko osoby upoważnione (uniemożliwienie dostępu do danych osobom postronnym). 20. PRACOWNIK osoba zatrudniona przez Urząd Miasta Rybnika na podstawie umowy o pracę. 21. PRAKTYKANT - osoba niebędąca pracownikiem urzędu, odbywająca praktykę w Urzędzie Miasta Rybnika. 22. STAŻYSTA osoba niebędąca pracownikiem urzędu, odbywająca staż w Urzędzie Miasta Rybnika. 23. PZBI Polityka Zarządzania Bezpieczeństwem Informacji, składająca się z Polityki Bezpieczeństwa Informacji (PBI) i Instrukcji Zarządzania Systemem Informatycznym (IZSI). 24. ROZLICZALNOŚĆ proces monitorowania aktywności użytkownika pozwalający określić: z jakich zasobów, kiedy i jak długo korzystał lub do których odmówiono mu dostępu; pozwala na jednoznaczne przypisanie działań związanych z przetwarzaniem danych osobie, która te działania wykonała w celu wsparcia zasad poufności, integralności i dostępności. 25. SYSTEM system przetwarzania (informacji) zespół określonych komponentów fizycznych i logicznych, współpracujących ze sobą według określonych reguł, służący do przetwarzania informacji; system składa się z systemu informatycznego i systemu tradycyjnego. 26. SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowanych zastosowanych w celu przetwarzania danych. 27. SYSTEM OBCY system informatyczny nie administrowany przez Wydział Informatyki. 28. SYSTEM TRADYCYJNY system przetwarzania informacji w postaci papierowej np. archiwum papierowe, kartoteka. 29. URZĄD Urząd Miasta Rybnika. 30. USTAWA ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2014 roku poz ze zmianami). 31. UŻYTKOWNIK SYSTEMU osoba upoważniona do przetwarzania danych w systemie informatycznym, której utworzono konto użytkownika systemu. PODSTAWOWE ZASADY BEZPIECZEŃSTWA INFORMACJI. 1. Każdy, kto przetwarza informacje Urzędu zobowiązany jest do stosowania niżej opisanych zasad bezpieczeństwa. 2. Każdy przetwarzający dane osobowe posiada upoważnienie AD do przetwarzania danych osobowych. Zabrania się przetwarzania danych osobowych bez ważnego upoważnienia. 3. Podstawowe zasady bezpieczeństwa informacji: 1) ZASADA WIEDZY KONIECZNEJ - w myśl której dostęp do informacji ograniczony jest do tych, które są niezbędne do prawidłowego wykonywania obowiązków na danym stanowisku. Za przestrzeganie tej zasady odpowiedzialni są kierownicy. 2) ZASADA ŚWIADOMOŚCI ZBIOROWEJ wszyscy są świadomi konieczności ochrony zasobów, zapewnienia ich dostępności, poufności, integralności i aktywnie w tym procesie uczestniczą. 3) ZASADA ŚWIADOMEJ KONWERSACJI polega na tym, że nie zawsze i wszędzie trzeba mówić co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi. 4) ZASADA ODPOWIEDZIALNOŚCI ZA ZASOBY każdy, kto przetwarza informacje jest odpowiedzialny za zapewnienie ich dostępności, poufności i integralności poprzez Urząd Miasta Rybnika str. 5

6 przestrzeganie procedur ich bezpiecznego przetwarzania oraz ochronę przyznanych zasobów, w tym za szkody wyrządzone w systemie informatycznym przez nieautoryzowane oprogramowanie lub niewłaściwe korzystanie z urządzeń systemu informatycznego. 5) ZASADA CHRONIONEGO POMIESZCZENIA wyraża się tym, że pod nieobecność osoby uprawnionej w pomieszczeniach (poza ogólnodostępnymi typu korytarze) nie mogą przebywać osoby postronne, po opuszczeniu pomieszczenia osoba odpowiedzialna zamyka je na klucz (bez pozostawiania kluczy w zamkach wyjątek stanowi ewakuacja), szczegółowe zasady ochrony pomieszczeń zostały zawarte w Zasadach ochrony Urzędu Miasta Rybnika przyjętych Zarządzeniem Prezydenta Miasta. 6) ZASADA NADZOROWANIA KLUCZY pobrane klucze do pomieszczeń powinny być w każdym czasie pod kontrolą (zasady pobierania i zdawania kluczy określone są w Zasadach ochrony Urzędu Miasta Rybnika ). Pracownicy odpowiedzialni są za należyte zabezpieczenie kluczy do ich biurek stanowiskowych oraz szaf biurowych, w których przechowywane są dokumenty; ostatni pracownik opuszczający dane pomieszczenie po zakończeniu pracy zamyka szafy i chowa klucze w bezpieczne, ustalone z pozostałymi współpracownikami miejsce. 7) ZASADA CZYSTEGO BIURKA wyraża się tym, że zarówno dokumentów papierowych, jak i jakichkolwiek innych nośników informacji (płyt CD, DVD, pamięci flash, USB itp.), nie pozostawia się bez nadzoru. 8) ZASADA CZYSTEGO EKRANU każdorazowe opuszczenie pomieszczenia w godzinach pracy powinno zostać poprzedzone zablokowaniem komputera; na wszystkich stacjach aktywny jest wygaszasz ekranu zabezpieczony hasłem, który aktywizuje się automatycznie po przekroczeniu max. 15 minut braku aktywności. Każdy użytkownik systemu zobowiązany jest zadbać, aby po zakończeniu pracy sprzęt został poprawnie wyłączony. 9) ZASADA CZYSTEGO KOMPUTERA osoby korzystające z komputerów przenośnych wypożyczonych z Wydziału Informatyki zobowiązane są po zakończeniu na nich pracy usunąć wszystkie skopiowane bądź utworzone na nich informacje. 10) ZASADA CZYSTEJ DRUKARKI wszyscy pracownicy, praktykanci i stażyści zobowiązani są do zabierania dokumentów z drukarek zaraz po ich wydrukowaniu (dotyczy to zwłaszcza drukarek usytuowanych w miejscach ogólnie dostępnych). 11) ZASADA CZYSTEGO KOSZA nieprzydatne dokumenty, brudnopisy, zbędne kopie muszą zostać trwale zniszczone w sposób uniemożliwiający odtworzenie zawartych w nich informacji. Zasada ta dotyczy również informacji zapisanych w innej niż papierowa formie na nośnikach elektronicznych. Do kosza na śmieci nie wyrzuca się płyt CD/DVD oraz innych nośników, powinny one zostać zniszczone w specjalistycznych niszczarkach. W przypadku, gdy będzie to niemożliwe nośniki te należy przekazać do Wydziału Informatyki celem ich utylizacji. 12) ZASADA CZYSTEJ TABLICY w przypadku korzystania z tablic w salach ogólnodostępnych osoba organizująca spotkanie musi uprzątnąć wszystkie pozostałe tam materiały i wyczyścić tablice; pracownicy korzystający z tablic w biurach zobowiązani są do nie zamieszczania na tablicach informacji podlegających ochronie. 13) ZASADA LEGALNOŚCI OPROGRAMOWANIA zabrania się samodzielnego instalowania oprogramowania, a także przechowywania na komputerach treści naruszających prawo. 14) ZASADA WERYFIKACJI PRZENOŚNYCH NOŚNIKÓW DANYCH (np. pendrive, CD, DVD) każdy komputer wymusza przeprowadzenie skanowania przez system antywirusowy zewnętrznych nośników danych przed ich uruchomieniem. Urząd Miasta Rybnika str. 6

7 15) ZASADA ZGŁASZANIA ZDARZEŃ, INCYDENTÓW, NIEPRAWIDŁOWEJ PRACY SPRZĘTU każdy użytkownik systemu zobowiązany jest do zgłaszania wszelkich zauważonych nietypowych zdarzeń, incydentów oraz nieprawidłowej pracy sprzętu. 16) ZASADA MONITORINGU każde stanowisko komputerowe może zostać objęte monitorowaniem działania użytkowników i oprogramowania. 17) ZASADA ASEKURACJI polega na tym, że każdy mechanizm zabezpieczający system jest ubezpieczony drugim; w szczególnych przypadkach może zostać zastosowana większa liczba mechanizmów zabezpieczających; możliwe jest stosowanie zabezpieczeń technicznych i organizacyjnych. PROCEDURA SZKOLEŃ OSÓB ZAANGAŻOWANYCH W PROCES PRZETWARZANIA INFORMACJI (W SZCZEGÓLNOŚCI DANYCH OSOBOWYCH). WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA. Za szkolenia w zakresie ochrony danych osobowych jest odpowiedzialny ABI lub wskazana przez niego osoba. Typy szkoleń: - szkolenia wprowadzające, - szkolenia okresowe, - szkolenie uzupełniające. ZAPOBIEGANIE I WYKRYWANIE WIRUSÓW ORAZ INNEGO ZŁOŚLIWEGO OPROGRAMOWANIA. W celu spełnienia wymogów PZBI w systemie informatycznym stosuje się ochronę przed wirusami i złośliwym oprogramowaniem poprzez rozwiązania organizacyjne oraz specjalne oprogramowanie. Poprawne działanie oprogramowania zależy zarówno od jego konfiguracji jak i od prawidłowych zachowań pracowników. Aby zagwarantować wysoki poziom ochrony, konieczne jest przestrzeganie następujących zaleceń: 1) Nośniki i dane pochodzące ze źródeł nie gwarantujących ochrony przed wirusami muszą być sprawdzane przed ich wprowadzeniem do systemu Urzędu. Sprawdzenie to jest wykonywane automatycznie, przez zainstalowane oprogramowanie. 2) Pracownikom nie wolno tworzyć, generować, kompilować, kopiować, rozpowszechniać, uruchamiać ani wprowadzać do systemu żadnego oprogramowania, które może się automatycznie powielać, niszczyć dane, zagrażać ich bezpieczeństwu lub w jakikolwiek sposób zakłócać działanie systemu informatycznego. DEFINICJE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI, W TYM PRZYPADKÓW ZGŁASZANIA NARUSZEŃ BEZPIECZEŃSTWA. KONSEKWENCJE NARUSZENIA BEZPIECZEŃSTWA. W ramach PZBI definiuje się następujące role i odpowiedzialności: 1. ADMINISTRATOR DANYCH, a w szczególności danych osobowych. Do obowiązków Administratora danych należy: a) pełnienie roli Administratora danych w rozumieniu art. 7 pkt 4) Ustawy, b) powołanie ABI, c) delegowanie praw i obowiązków Zarządzającemu Zbiorami Danych stosownie do istniejącego w Urzędzie schematu organizacyjnego, d) wprowadzenie w życie PZBI oraz zatwierdzanie jej aktualizacji przedstawianych przez ABI. Urząd Miasta Rybnika str. 7

8 2. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI: Do uprawnień ABI, w tym wynikających z art. 36a pkt 2 Ustawy, należą: wyznaczanie, rekomendowanie i egzekwowanie wykonania zadań związanych z ochroną danych osobowych w Urzędzie Miasta Rybnika, wstęp do pomieszczeń w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, żądanie złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego, żądanie okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli, żądanie udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. 3. OSOBY TRZECIE Osoby trzecie są zobowiązane do stosowania zasad PZBI obowiązujących w Urzędzie w ramach realizowanych przez nich zadań i w tym zakresie podlegają kontroli ABI, w tym także: a) zgłaszanie wszelkich zauważonych problemów związanych z zabezpieczeniem fizycznym i informatycznym Urzędu, ograniczających możliwość stosowania zasad bezpieczeństwa informacji (np. wadliwe działanie sprzętu informatycznego, braki w zabezpieczeniu pomieszczeń, budynku itp.), b) zgłaszanie incydentów bezpieczeństwa informacji oraz słabych punktów PZBI do ABI zgodnie z pkt ZASADY ZGŁASZANIA NARUSZEŃ BEZPIECZEŃSTWA INFORMACJI ORAZ ZAGROŻEŃ PRAWIDŁOWEJ REALIZACJI ZAŁOŻEŃ PZBI: a) Incydent naruszenia bezpieczeństwa informacji polega na udostępnieniu lub umożliwieniu dostępu osobie nieupoważnionej, nieuprawnionym ujawnieniu informacji, utracie, uszkodzeniu, zniszczeniu jej nośnika lub jakiegokolwiek elementu jej zabezpieczenia. W szczególności incydentem naruszenia bezpieczeństwa informacji jest: nieautoryzowany dostęp do danych, nieautoryzowany dostęp do sytemu informatycznego, nieautoryzowana modyfikacja lub zniszczenie danych, nieautoryzowane udostępnienie danych, nielegalne ujawnienie danych, pozyskiwanie danych z nielegalnych źródeł, ujawnienie wirusów komputerowych lub innych programów godzących w integralność systemu informatycznego, kradzież nośników zawierających dane, rażące nieprzestrzeganie PZBI lub aktów prawnych regulujących zagadnienia bezpieczeństwa informacji oraz ochrony danych osobowych, wydarzenie losowe obniżające stan bezpieczeństwa systemu (brak zasilania, pożar itp.), b) Każda osoba, która stwierdziła wystąpienie incydentu bezpieczeństwa informacji zobowiązana jest do niezwłocznego pisemnego powiadomienia o tym fakcie ABI. c) Zgłoszenie powinno zawierać: opis naruszenia, określenie sytuacji i czasu, w jakim je stwierdzono, Urząd Miasta Rybnika str. 8

9 określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia. d) Potwierdzone przez ABI informacje o naruszeniach i zagrożeniach bezpieczeństwa powinny być niezwłocznie przez niego przekazane Zarządzającemu Zbiorami Danych oraz Naczelnikowi Wydziału Informatyki w zakresie dotyczącym systemu informatycznego. e) Przekazywanie informacji o zagrożeniach lub naruszeniach poza Urząd jest zabronione do czasu uzyskania zgody ABI w porozumieniu z AD i Naczelnikiem Wydziału Informatyki w zakresie dotyczącym systemu informatycznego. Zakaz ten nie dotyczy sytuacji, w których obowiązek przekazania takiej informacji wynika z przepisów polskiego prawa. f) Jakiekolwiek próby powstrzymania pracownika przed zgłoszeniem podejrzenia zagrożenia lub naruszenia bezpieczeństwa są zabronione i powodować powinny konsekwencje dyscyplinarne. Podobnym konsekwencjom podlegać muszą próby karania pracowników za zgłoszenie podejrzenia. Urząd chroni wszystkich pracowników zgłaszających w dobrej wierze podejrzenia zagrożenia lub naruszenia bezpieczeństwa informacji, niezależnie od zasadności tych podejrzeń. g) Reakcja na incydent może być realizowana w dwóch niezależnych trybach: reakcja wewnętrzna np.: rekonfiguracja systemu informatycznego, zmiana PZBI, wyciągnięcie konsekwencji personalnych, implementacja wniosków na przyszłość, reakcja zewnętrzna np.: powiadomienie policji, prokuratury. h) ABI prowadzi rejestr incydentów bezpieczeństwa informacji. Informacje w rejestrze są przechowywane przez okres 3 lat. Po tym okresie są przekazywane do archiwum i przechowywane zgodnie z kategorią archiwalną. ABI przeprowadza analizę zebranych danych w rejestrze raz w roku, wyniki analizy wraz z wnioskami przedstawia AD celem akceptacji. 5. KONSEKWENCJE NARUSZENIA PZBI Niestosowanie się do postanowień PZBI może pociągać za sobą konsekwencje dyscyplinarne z rozwiązaniem umowy o pracę / staż / praktykę włącznie i/lub konsekwencje prawne. Konsekwencje powinny być uzależnione od stopnia złej woli użytkownika, od powtarzania się naruszenia i od rodzaju zagrożenia dla bezpieczeństwa danych. Naruszenie zasad PZBI przez użytkownika może być na wniosek ABI powiązane z natychmiastowym odebraniem dostępu do informacji. Aby podkreślić wagę naruszeń bezpieczeństwa przez pracowników, każde takie naruszenie powinno powodować rozważenie roszczeń odszkodowawczych lub poinformowanie organów ścigania. Decyzję w tym zakresie podejmuje AD. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH. Opracowano i wdrożono Zasady ochrony Urzędu Miasta Rybnika ; dokument ten określa: zasady organizacji ochrony w budynkach Urzędu, zadania funkcjonariuszy Straży Miejskiej oraz pracowników Urzędu w zakresie ochrony budynków Urzędu, zasady dostępu do pomieszczeń budynków Urzędu pracowników i osób trzecich (w tym pomieszczeń chronionych) na portierni znajdują się listy osób upoważnionych do pobierania kluczy do poszczególnych pomieszczeń / budynków, zasady pobierania i zdawania kluczy / kluczy rezerwowych do pomieszczeń (polityka kluczy), Urząd Miasta Rybnika str. 9

10 zasady organizacji pracy poza godzinami pracy Urzędu. PODSTAWOWE ZASADY GWARANTUJĄCE BEZPIECZNĄ PRACĘ PRZY PRZETWARZANIU MOBILNYM, ZDALNYM DOSTĘPIE DO ZASOBÓW URZĘDU. 1. W Urzędzie dopuszczalny jest zdalny dostęp do zasobów sieci wewnętrznej systemu informatycznego tylko i wyłącznie w celach: a) administracyjnych dotyczy to pracowników Wydziału Informatyki, którzy realizują swoje zadania, b) diagnostyczno - serwisowych dotyczy to pracowników upoważnionych firm zewnętrznych. 2. Zgodę na zdalny dostęp wyraża Naczelnik Wydziału Informatyki po uzyskaniu akceptacji ABI. Warunki korzystania ze zdalnego dostępu określa procedura Zdalny dostęp. INFORMACJE O OKRESOWYM AUDYCIE WEWNĘTRZNYM W ZAKRESIE BEZPIECZEŃSTWA INFORMACJI. 1. Zgodnie z przepisami Krajowych Ram Interoperacyjności zapewnia się przeprowadzenie corocznego audytu wewnętrznego w zakresie bezpieczeństwa informacji. 2. Audyt ten będzie przeprowadzany na przemian co dwa lata przez Wydział Audytu i Kontroli Wewnętrznej oraz przez wyspecjalizowaną firmę zewnętrzną, która zostanie wybrana przy zastosowaniu ustawy prawo zamówień publicznych oraz obowiązującego w Urzędzie regulaminu w zakresie udzielania zamówień publicznych. CZĘŚĆ II INSTRUKCJA ZARZĄDZANIA SYSTEM INFORMATYCZNYM PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSÓB ODPOWIEDZIALNYCH ZA TE CZYNNOŚCI. 1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ABI. Upoważnienia nadawane są indywidualnie przed rozpoczęciem przez dana osobę przetwarzania danych osobowych w danym zbiorze. 2. Upoważnienie do przetwarzania danych osobowych wydaje się dla osób pracujących w systemie informatycznym. 3. Po odbyciu szkolenia wprowadzającego wydawane jest w czterech egzemplarzach upoważnienie. Każdy z egzemplarzy musi być podpisany przez osobę, której dotyczy: jeden egzemplarz upoważnienia jest przechowywany jako część dokumentacji kadrowej lub innej dokumentacji dopuszczającej daną osobę do pracy w systemie Urzędu, drugi jest wydawany pracownikowi, któremu nadano upoważnienie, trzeci jest przechowywany w Wydziale Organizacyjnym, natomiast czwarty egzemplarz stanowi część dokumentacji ABI. 4. W przypadku powierzenia przetwarzania danych osobowych strona, której powierzono dane do przetwarzania, zobowiązana jest do realizacji czynności z tym związanych zgodnie z obowiązującym prawem. 5. W przypadkach wystąpienia incydentu bezpieczeństwa informacji ABI ma prawo w każdym czasie odebrać uprawnienia użytkownikowi systemu informatycznego. Urząd Miasta Rybnika str. 10

11 6. Po wygaśnięciu zobowiązania stosunku pracy / zakończenia stażu / praktyki Naczelnik Wydziału Informatyki zobowiązany jest do realizacji czynności związanych z wygaśnięciem nadanych uprawnień. STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM. 1. Użytkownicy systemu informatycznego przetwarzającego dane wykorzystują w procesie uwierzytelniania identyfikatory i hasła. Identyfikatory są przekazywane wraz z hasłem przez pracownika Wydziału Informatyki. Przekazane hasła należy zmienić przy pierwszym logowaniu. 2. Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega zmianie, poza koniecznością wynikającą ze zmiany nazwiska, wymogów technicznych oprogramowania. Zmieniony identyfikator nie może zostać przydzielony innemu użytkownikowi. Dotyczy to również identyfikatorów osób z którymi wygasł / rozwiązano stosunek pracy. Stary identyfikator jest archiwizowany w systemie informatycznym. 3. Dopuszcza się stosowanie innych rozwiązań autoryzacji np. kart stykowych zastępujących identyfikator konta użytkownika systemu. 4. Hasło dostępu do systemu informatycznego przetwarzającego dane osobowe musi spełniać poniższe warunki: a) nie jest krótsze niż 8 znaków; b) zawiera małe i duże litery, oraz cyfry i znaki specjalne; c) hasło jest zmieniane przez użytkownika nie rzadziej niż co 30 dni oraz powinno różnić się od dwudziestu ostatnio używanych haseł. 5. Liczba nieudanych prób logowania do systemu informatycznego jest kontrolowana przez system lub sieć; trzykrotne wprowadzenie błędnego hasła blokuje konto użytkownika systemu. 6. Zablokowanie konta użytkownika systemu może nastąpić w wyniku utraty ważności hasła po przekroczeniu 30 dni od dokonania ostatniej jego zmiany. 7. Informacja o zablokowaniu konta użytkownika systemu jest zarejestrowana przez system. 8. Pracownik, u którego wystąpiło zablokowanie konta użytkownika systemu, niezwłocznie informuje o tym pracownika Wydziału Informatyki. 9. Po zweryfikowaniu przez pracownika Wydziału Informatyki przyczyny zablokowania konta użytkownika systemu, konto może zostać odblokowane. 10. Użytkownik zobowiązany jest do: a) nieujawniania hasła innym osobom, b) zachowania hasła w tajemnicy, również po jego wygaśnięciu, c) niezapisywania hasła, d) przestrzegania zasad dotyczących jakości i częstości zmian hasła, e) wprowadzania hasła do systemu w sposób minimalizujący podejrzenie go przez innych użytkowników systemu. 11. W przypadku, gdy użytkownik nie pamięta hasła powinien zwrócić się do pracownika Wydziału Informatyki o wygenerowanie nowego hasła. 12. Konto użytkownika systemu zostaje również zablokowane przez pracownika Wydziału Informatyki w przypadku: - naruszenia przez użytkownika zasad PZBI (na wniosek ABI), - złożenia wniosku o odebranie uprawnień, - rozwiązania umowy o pracę / staż / praktykę, - wygaśnięcie umowy o pracę, - wygaśnięcia / rozwiązania / odstąpienia od umowy z osobą trzecią, Urząd Miasta Rybnika str. 11

12 - wygaśnięcia terminu ważności upoważnienia do przetwarzania danych osobowych, - przekazania w systemie ESOD informacji przez kierownika nadzorującego użytkownika systemu informatycznego, że nie będzie on korzystał z systemu dłużej niż 1 miesiąc. 13. W sytuacjach jakiejkolwiek nieobecności użytkownika, w celu zapewnienia sprawnego funkcjonowania Urzędu, dostęp do konta użytkownika systemu może zostać udostępniony, za zgodą ABI, przez pracownika Wydziału Informatyki, osobie wnioskującej. Udostępnieniu podlegają jedynie dane zgromadzone na koncie użytkownika systemu, a nie samo konto. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY, PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU. 1. Rozpoczynając pracę w systemie informatycznym użytkownik: 1) wprowadza niezbędne do pracy identyfikatory i hasła do uruchamianych programów; 2) wprowadza hasła w sposób minimalizujący ryzyko podejrzenia ich przez osoby trzecie; 3) kontaktuje się z pracownikiem Wydziału Informatyki w przypadku problemów z rozpoczęciem pracy, spowodowanych odrzuceniem przez system wprowadzonego hasła i identyfikatora; 4) kontaktuje się z pracownikiem Wydziału Informatyki w przypadku niestandardowego zachowania aplikacji przetwarzającej dane, który weryfikuje przyczynę niestandardowego zachowania aplikacji i powiadamia ABI w przypadku wystąpienia incydentu bezpieczeństwa informacji. 2. Zawieszając pracę w systemie informatycznym (w tym odchodząc od stanowiska pracy) użytkownik blokuje dostęp do swojego konta, korzystając z kombinacji klawiszy ctrl+alt+del. Kontynuacja pracy może nastąpić po odblokowaniu konta użytkownika systemu przez ponowne wciśnięcie kombinacji klawiszy ctrl+alt+del oraz wprowadzenie hasła, w sposób gwarantujący jego ochronę przed podejrzeniem przez osoby trzecie. Blokowanie konta użytkownika systemu ma być świadomym działaniem użytkownika, a nie może wynikać jedynie z działania wygaszacza ekranu i automatycznego blokowania konta przez system. 3. Przed zakończeniem pracy należy zapisać bieżące prace, oraz o ile jest to możliwe przenieść pliki tymczasowo przechowywane na dysku lokalnym na zasób sieciowy w celu ich archiwizacji. Kończąc pracę w systemie informatycznym pracownik wylogowuje się ze wszystkich aplikacji, z których korzystał oraz zamyka system operacyjny i wyłącza komputer. SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO NIEGO. 1. System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania za pomocą następujących środków (programowe i sprzętowe): 1) systemu antywirusowego, aktualizowanego na bieżąco zgodnie z przyjętym cyklem producenta oprogramowania; 2) sprzętowej zapory ogniowej w punkcie styku z siecią publiczną wspomaganej oprogramowaniem typu firewall/proxy działającym na serwerze pośredniczącym w ruchu między siecią Urzędu a sprzętową zaporą ogniową; 3) szyfrowania danych na poziomie łączenia się z platformami internetowymi zawierającymi dane osobowe przy wykorzystaniu protokołu HTTPS; Urząd Miasta Rybnika str. 12

13 4) systemu operacyjnego uniemożliwiającego samodzielną instalację oprogramowania nieprzewidzianego do pracy na stanowisku; 5) sprawdzania pod kątem obecności szkodliwego oprogramowania wymiennych nośników przed ich użyciem. 2. Ponadto, w celu zabezpieczenia systemu informatycznego przed niepożądanym działaniem niebezpiecznego oprogramowania zabrania się: 1) udostępniania konta użytkownika systemu innym osobom, 2) korzystania z identyfikatora innego niż przydzielony użytkownikowi, 3) podejmowania prób przełamania lub ominięcia stosowanych w Urzędzie zabezpieczeń, 4) instalowania i uruchamiania bez zgody Wydziału Informatyki jakiegokolwiek oprogramowania, które nie zostało zatwierdzone do użytku w Urzędzie, 5) podłączania bez zgody Wydziału Informatyki urządzeń (np. przenośnych nośników pamięci, komputerów, urządzeń bezprzewodowych itd.) do systemu informatycznego, 6) otwierania poczty elektronicznej, której tytuł nie sugeruje związku z pełnionymi obowiązkami służbowymi. W przypadkach wątpliwych należy koniecznie skonsultować się z Wydziałem Informatyki, 7) połączenia z siecią publiczną z pominięciem systemu zabezpieczeń uruchomionego w Urzędzie, 8) dostępu do stron internetowych niezwiązanych z pełnionymi obowiązkami służbowymi, a w szczególności dostępu do stron nie należących do wiarygodnych organizacji lub podmiotów, do których dostęp może prowadzić do pobrania złośliwego oprogramowania którego celem jest nieuprawniony dostęp do systemu informatycznego, 9) samodzielnego przeprowadzania jakichkolwiek zmian oprogramowania i jego konfiguracji, które miałyby wpływ na bezpieczeństwo systemu informatycznego. 3. W przypadku zauważenia objawów mogących wskazywać na obecność niebezpiecznego oprogramowania należy powiadomić Wydział Informatyki. Niepokojące objawy to: 1) istotne spowolnienie działania całego systemu informatycznego, 2) nietypowe działanie aplikacji, 3) nietypowe komunikaty, błędy, 4) nagła utrata danych lub nietypowe zmiany w danych, 5) wystąpienie w krótkim czasie dużej liczby nieudanych prób logowania, 6) wystąpienie anomalii w pracy działania systemu, 7) pojawienie się nowych nieautoryzowanych kont użytkowników. Dodatkowych informacji dotyczących Polityki Zarządzania Bezpieczeństwem Informacji udziela Administrator Bezpieczeństwa Informacji Urzędu Miasta w Rybniku. Urząd Miasta Rybnika str. 13