woj. podkarpackie Zarządzenie Nr 19/2010

Transkrypt

1 Wójt Gminy Tuszów Narodowy woj. podkarpackie Zarządzenie Nr 19/2010 Wójta Gminy Tuszów Narodowy z dnia 31 grudnia 2010 r. w sprawie ustalenia Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Tuszowie Narodowym Na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z pózn. zm.) i 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy teleinformatyczne służące przetwarzaniu danych osobowych (Dz. U. z 2004 r. nr 100, poz ) zarządzam co następuje: 1 Ustala się Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Tuszów Narodowy zwana dalej "Instrukcja", która stanowi załącznik Nr 1 do zarządzenia. 2 Zobowiązuje się pracowników Urzędu Gminy Tuszów Narodowy do stosowania zasad określonych w Instrukcji 3 Wykonanie zarządzenia powierza się Administratorowi Systemu Informacji. 4 Traci moc dotychczasowa Instrukcja Zarządzania Systemem Informatycznym z 30 września 1999 roku. 5 Zarządzenie wchodzi w życie z dniem podjęcia.

2 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik Nr ł do Zarządzenia nr 19/2010 Wójta Gminy Tuszów arodow y z dnia 31 grudnia 2010 r Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Tuszowie Narodowym str. 1

3 I. Wprowadzenie Celem Instrukcji Zarządzania System Informatycznym jest zapewnienie bezpieczeństwa danych : osobowych przetwarzanych w Urzędzie Gminy Tuszów Narodowy oraz minimalizowanie incydentów mogących zagrozić bezpieczeństwu systemu. Podstawa prawna tego dokumentu: rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101. poz. 926 z późno zm.) II. Definicje Ilekroć w niniejszym dokumencie jest mowa o: l. urzędzie - należy przez to rozumieć Urząd Gminy w Tuszowie Narodowym, 2. Administratorze Danych Osobowych - należy przez to rozumieć Wójta Gminy Tuszów Narodowy, 3. Administratorze Bezpieczeństwa Informacji - należy przez to rozumieć pracownika urzędu wyznaczonego do nadzorowania i przestrzegania zasad ochrony, określonych w niniejszym dokumencie, Polityce Bezpieczeństwa Danych Osobowych w Urzędzie Gminy w Tuszowie Narodowym oraz wymagań w zakresie ochrony wynikających z powszechnie wynikających przepisów o ochronie danych osobowych, 4. Administratorze Systemu Informatycznego pracownik odpowiedzialny za funkcjonowanie systemu, oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie, 5. użytkownika systemu - osoba upoważniona do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w urzędzie, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej. osoba odbywająca staż w urzędzie, 6. sieci lokalnej - połączenie komputerów pracujących w urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych, 7. sieci rozległej (publicznej) - sieć telekomunikacyjna, nie będąca siecią wewnętrzną służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźń. zm.), 8. danych osobowych rozumie się przez to wszystkie informacje dotyczące zidentyfikowanej lub możliwej od zidentyfikowania osoby fizycznej, 9. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, 10. wykazie zbiorów danych osobowych - rozumie się przez to wykaz zarejestrowanych jak i nie podlegających rejestracji zbiorów danych osobowych, 11. przetwarzaniu danych - rozumie się to w tym dokumencie, jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemie informatycznym, 12. systemie informatycznym - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. str. 2

4 II/. Procedury nadawania i zmiany uprawnień do przetwarzania danych osobowych w systemie informatycznym 1. Każdy użytkownik systemu informatycznego przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z: a) polityką bezpieczeństwa danych osobowych w Urzędzie Gminy Tuszów Narodowy b) niniejszym dokumentem 2. Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na wykazie. którego wzór stanowi Załącznik nr 3 do "Polityki bezpieczeństwa danych osobowych w Urzędzie Gminy Tuszów Narodowy" 3. Przetwarzanie danych osobowych może dokonywać jedynie pracownik posiadający upoważnienie przez Administratora Danych Osobowych (załącznik nr 4 do.polityki bezpieczeństwa danych osobowych w Urzędzie Gminy Tuszów Narodowy"). 4. Administrator Bezpieczeństwa Informacji przyznaje uprawnienia w zakresie dostępu do systemu informatycznego służącego do przetwarzania danych osobowych na podstawie pisemnego upoważnienia Administratora Danych Osobowych określającego zakres uprawnień pracownika, którego wzór stanowi załącznik nr 4 do.polityki bezpieczeństwa danych osobowych w Urzędzie Gminy Tuszów Narodowy". 5. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika unikalnego identyfikatora, hasła, oraz ustanowienia zakresu dostępnych danych i operacji. 6. Hasło ustanowione podczas przyznawania uprawnień przez Administratora Bezpieczeństwa Informacji jest przekazywane użytkownikowi ustnie. Hasło to należy zmienić na indywidualne podczas pierwszego logowania się w systemie informatycznym. 7. Pracownik ma prawo do wykonywania tylko tych czynności, do jakich został upoważniony. 8. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła. 9. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą, jako naruszenie podstawowych obowiązków pracowniczych. 10. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia 11. W systemie informatycznym stosuje się uwierzytelnienie dwustopniowe: na poziomie dostępu do sieci lokalnej, oraz dostępu do aplikacji. 12. Odebranie uprawnień pracownikowi następuje na pisemny wniosek Administratora Danych Osobowych z podaniem daty i przyczyny odebrania uprawnień 13. Kierownicy komórek organizacyjnych zobowiązani są pisemnie informować Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych pracowników mającej wpływ na zakres posiadanych uprawnień w systemie informatycznym. 14. Identyfikator osoby. która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane, oraz unieważnić jej hasło. 15. Administrator Bezpieczeństwa Informacji zobowiązany jest do prowadzenia, ochrony rejestru użytkowników, oraz ich uprawnień w systemie informatycznym. 16. Rejestr powinien odzwierciedlać aktualny stan systemu w zakresie użytkowników i ich uprawnień, oraz umożliwiającego przeglądanie historii zmian uprawnień użytkowników. IV. Zasady ustalania i posługiwania się hasłami. l. Bezpośredni dostęp do danych osobowych informatycznym może mieć miejsce wyłącznie właściwego hasła. przetwarzanych w systemie po podaniu identyfikatora i str. 3

5 2. Hasło użytkownika musi być zmienione przynajmniej raz w miesiącu. 3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźniej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł. 5. Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności. 6. Pracownik nie ma prawa udostępniania swojego hasła innym osobom. 7. Hasło należy wprowadzać w sposób, który uniemożliwi innym osobom jego poznanie. 8. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany hasła. 9. Przy wyborze hasła występują następujące zasady a) minimalna długość hasła to 8 znaków, b) zakazuje się stosować haseł, z których użytkownik korzystał w poprzednim miesiącu, swojej nazwy użytkownika w jakiejkolwiek formie, swojego nazwiska czy imienia w jakiejkolwiek formie ogólnie dostępnych informacji o użytkowniku takich jak numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy, na której mieszka itp. przewidywalnych sekwencji znaków z klawiatury np. "QWERTY","12345" itp. c) należy stosować: hasła zawierające kombinacje liter, cyfr i znaków specjalnych, hasła które można zapamiętać bez zapisywania. l O. Zmiany hasła nie można zlecać innym osobom. V. Procedury rozpoczęcia, zawieszania i zakończenia pracy w systemie. I. Przed rozpoczęciem pracy z komputerem należy zalogować się do systemu informatycznego przy użyciu własnego indywidualnego identyfikatora i hasła. 2. W sytuacji opuszczenia stanowiska pracy na odległość uniemożliwiającą Jego obserwację należy wylogować się z systemu. 3. Przed wyłączeniem komputera należy zakończyć pracę wszystkich używanych programów i wykonać o ile to możliwe prawidłowe zamknięcie systemu. 4. Niedopuszczalne jest wyłączanie komputera bez prawidłowego zamknięcia wszystkich programów i wylogowania z sieci komputerowej. 5. Przypadki nieprawidłowej pracy systemu informatycznego należy niezwłocznie zgłaszać do Administratora systemu informatycznego. VI. Kopie bezpieczeństwa danych osobowych. l. Kopie bezpieczeństwa danych osobowych przygotowywane są przez Administratora systemu informatycznego. 2. Kopie wykonywane są raz na miesiąc na płytach CD lub DVD 3. Płyty CD lub DVD po archiwizacji przechowywane są w szafie stalowej w zamkniętym pomieszczeniu, 4. Raz w roku następuje klasyfikacja nośników CD lub DVD co do dalszej przydatności. VII. Procedura niszczenia nośników informatycznych Określa załącznik nr l do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Tuszowie Narodowym. ~ str. 4

6 VIII. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków. I. Elektroniczne nośniki informacji a) Dane osobowe w postaci elektronicznej (nie licząc kopii bezpieczeństwa) zapisane na dyskietkach, dyskach magnetooptycznych, dyskach twardych nie można wynosić poza siedzibę urzędu. b) Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych (określony w Polityce Bezpieczeństwa Danych Osobowych Urzędu Gminy Tuszów Narodowy). c) Po zakończeniu pracy przez użytkowników systemu, elektroniczne nośniki informacji są przechowywane wyłącznie w zamykanych szafach biurowych. d) Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. e) Urządzenia. dyski lub inne informatyczne nośniki zawierające dane osobowe. przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych. W przypadku, gdy nie jest to możliwe uszkadza się je w sposób uniemożliwiający ich odczytanie. f) Urządzenia. dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej. 2.Wydruki a) W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym dostęp osobom.. rneuprawruonym. b) Pomieszczenie, w którym przechowywane są wydruki musi być zamknięte na klucz po godzinach pracy urzędu. c) Wydruki zawierające dane osobowe w momencie przekazania do usunięcia są niszczone w sposób uniemożliwiający ich odczytanie (w specjalnej niszczarce do papieru). Procedurę tworzenia i przechowywania kopii awaryjnych dla systemu informatycznego służącego do przetwarzania danych osobowych określa załącznik nr 2 do instrukcji IX. Ochrona przed złośliwym oprogramowaniem. I. Każdy komputer służący do przetwarzania danych osobowych jest wyposażony w działający cały czas program antywirusowy. Program antywirusowy aktualizowany jest automatycznie przynajmniej raz na dwie godziny. 2. Cały ruch sieciowy z siecią publiczną monitorowany jest na bieżąco przez bramę antywirusową w routerze sieciowym. 3. Zabrania się stosowania nośników niewiadomego pochodzenia bez wcześniej szego sprawdzenia ich programem antywirusowym. Za skanowanie odpowiedzialny jest użytkownik komputera. 4. Poczta elektroniczna jest automatycznie sprawdzana przez skaner antywirusowy. 5. Wykrycie wirusa użytkownik komputera ma obowiązek zgłosić natychmiast administratorowi systemu informatycznego. Szczegóły ochrony określa procedura stanowiąca załącznik nr 3 do instrukcji. str. S

7 X Procedura postępowania w wypadku uszkodzenia systemu lub naruszenia jego bezpieczeństwa Określa załącznik nr 4 do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy w Tuszowie Narodowym Xl. Procedura postępowania na wypadek zaistnienia sytuacji kryzysowej obowiązująca w urzędzie gminy w Tuszowie Narodowym Określa załącznik nr 5 do Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w urzędzie gminy w Tuszowie Narodowym XII. Połqczenie do sieci Internet. l. Połączenie z siecią Internet (siecią publiczną) zabezpieczone jest przez moduł firewall działający na routerze sieciowym. 2. Na każdym komputerze w systemie informatycznym urzędu działa osobny firewall. 3. Zabronione jest połączenie z siecią Internet z niedziałającym programem antywirusowym (lub jego brakiem) i firewallem. XIII. Załączniki: 1. załącznik nr l - Procedura niszczenia nośników informatycznych 2. załącznik nr 2.- Procedura tworzenia i przechowywania kopii awaryjnych dla systemu informatycznego służącego do przetwarzania danych osobowych 3. załącznik nr 3 - Procedura stosowania zabezpieczeń antywirusowych w systemie informatycznym 4. załącznik nr 4 - Procedura postępowania w wypadku uszkodzenia systemu lub naruszenia jego bezpieczeństwa 5. załącznik nr 5 - Procedura postępowania na wypadek zaistnienia sytuacji kryzysowej obowiązująca w urzędzie gminy w Tuszowie Narodowym str. 6

8 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik nr I do instrukcji zarządzania systemem informatycznym w urzędzie gminy w Tuszowie Narodowym Procedura niszczenia nośników informatycznych obowiązująca w Urzędzie Gminy w Tuszowie Narodowym CEL PROCEDURY Celem procedury jest określenie zasad niszczenia wszelkich nośników informacji zawierających dane osobowe lub licencjonowane oprogramowanie. ZAKRES PROCEDURY Procedura dotyczy: A) Administratora Bezpieczeństwa Informacji B) Administratora Systemu Informatycznego TRYB POSTĘPOWANIA 1. Pod pojęciem nośnik informacji rozumiemy: A. Wydruki komputerowe wszelkich formatów B. Dyski komputerowe twarde C. Płyty CD-R lub CD-RW, DVD D. Taśmy magnetyczne E. Dyskietki F. Pamięci flash, pastylki Pallas G. Karty procesorowe 2. Procedura niszczenia dotyczy tych nośników informacji, które zawierały bądź zawierają dane osobowe lub oprogramowanie podlegające licencjonowaniu. 3. Przez niszczenie nośników rozumieć należy takie ich uszkodzenie mechaniczne, które uniemożliwia jakikolwiek odzysk zapisanych na nich uprzednio informacji. 4. Niszczeniu podlegają te nośniki, dla których minął okres ich ważności, nie przewiduje się ich dalszego użytkowania lub istnieje prawdopodobieństwo, że dalsze ich użytkowanie może nie spełniać wymogów bezpieczeństwa przechowywania informacji. 5. Niszczenie odbywa się na polecenie Administratora Systemu Informatycznego za wiedzą i zgodą Administratora Bezpieczeństwa Informacji. 6. Niszczenia dokonuje przynajmniej trzech pracowników na polecenie Administratora Systemu Informatycznego. 7. Niszczenie nośników dokonuje się w sposób następujący: A) Wydruki papierowe czy foliowe niszczy się na niszczarce do papieru. B) Dyski twarde rozbiera się na części i niszczy cylindry dysku. C) Płyty CD przełamuje się na kilka części. D) Taśmy magnetyczne wyciąga się z obudowy i przecina na części. E) Dyskietki przełamuje się na kilka części. F) Karty procesorowe przełamuje się, należy zwrócić uwagę, aby zniszczyć procesor. 8. Po zakończeniu niszczenia sporządzany jest odpowiedni protokół likwidacji nośników. Protokół musi zawierać wyszczególnienie zniszczonych nośników informacji wraz z ich opisem, datę likwidacji, nazwiska osób, które tego dokonały. Pod protokołem podpisują się: pracownicy biorący udział w likwidacji nośników oraz Administrator Systemu Informatycznego lub Administrator Bezpieczeństwa Informacji. str. 7

9 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik nr 2 do instrukcji zarządzania systemem informatycznym w urzędzie gminy w Tuszowie Narodowym Procedura tworzenia i przechowywania kopii awaryjnych dla systemu informatycznego służącego do przetwarzania danych osobowych CEL PROCEDURY Celem procedury jest określenie zasad tworzenia i przechowywania kopii awaryjnych dla systemu informatycznego służącego do przetwarzania danych osobowych. ZAKRESPROCEDlJRY Procedura dotyczy: A) Administratora Danych B) Administratora Systemu Informatycznego C) Użytkowników Systemu Informatycznego D) Administratora Bezpieczeństwa Informacji TRYB POSTĘPOWANIA 1. Administrator Systemu Informatycznego zobowiązany jest do wykonywania kopii awaryjnych zabezpieczających system informatyczny. Kopie wykonuje się na nośniku wymienialnym. w stacji posiadającej dostęp do danych systemu. W systemie można stosować następujące rodzaje nośników do tworzenia kopii awaryjnych A. Zapisywalne jednokrotnie płyty CD-ROM lub wielokrotnie CD-RW B. Dyskietki 2. Kopie awaryjne wykonuje się niezależnie dla wszystkich serwerów systemu. 3. Zasady wykonywania kopii awaryjnych: a) Każdemu nośnikowi, na którym wykonuje się kopię awaryjną, należy w sposób trwały nadać kolejny numer. b) Po wykonaniu kopii zabezpieczającej każdy nośnik musi być opisany na obudowie. c) Nośnik powinien być przechowywany w opakowaniu 4. Ewidencja wykonywania kopii awaryjnych: a) Fakt wykonania każdej kopii awaryjnej, względnie potwierdzenie wykonania kolejnych kopii awaryjnych, wykonywanych automatycznie przez system, należy potwierdzić w Wykazie Wykonywania Kopii Zabezpieczających na danym stanowisku pracy 5. Wykonywanie kopii awaryjnych w systemie informatycznym: 1) Zakres wykonywania kopii awaryjnych: a) Wykonanie kopii danych w systemie obejmuje wszystkie pliki znajdujące się na dyskach twardych serwerów, wygenerowane przez oprogramowanie. b) Wykonanie kopii systemu obejmuje wykonanie fizycznej kopii całego systemu (wszystkich wolumenów), w sposób umożliwiający odtworzenie aktualnego stanu systemu, w wypadku konieczności jego całkowitego odtworzenia, na niezapisanych wolumenach w jak naj szybszym czasie. 2) Częstotliwość wykonywania kopii awaryjnych: 1) Kopia awaryjna dla danych systemu powinna być wykonywana: a. codziennie na dysku twardym komputera znajdującego się pod nadzorem Administratora Systemów Informatycznych str. 8

10 b. miesięczne lub kwartalne i rocznie na nośnikach optycznych przechowywanych w szafie metalowej c. w wypadku następujących czynności administracyjnych: przed wprowadzeniem nowej wersji oprogramowania przed reinstalacją systemu operacyjnego, naprawą komputera przed wykonaniem niestandardowych czynności związanych z bazą danych ( np. uruchomienie oprogramowania sprawdzającego lub przywracającego integralność bazy danych) w innych sytuacjach, kiedy wykonanie takiej kopii jest niezbędne dla bezpieczeństwa systemu, na wniosek Administratora Bezpieczeństwa Informacji 2) Kopia awaryjna systemu informatycznego powinna być wykonana: a. po zainstalowaniu i skonfigurowaniu systemu b. po każdorazowej zmianie w konfiguracji systemu c. w innych sytuacjach, w których wykonanie takiej kopii jest konieczne, na wniosek Administratora Bezpieczeństwa Informacji 6. Sposób miejsce i okres przechowywania kopii awaryjnych. a) Kopie zapasowe na nośnikach optycznych i magnetycznych przechowywane są w zamkniętej szafie metalowej, do której dostęp mają wyłącznie osoby upoważnione przez Administratora Bezpieczeństwa Informacji. b) Za bezpieczeństwo danych zapisanych w komputerach przenośnych oraz w innych urządzeniach przenośnych w całości odpowiada użytkownik komputera lub urządzenia przenośnego. c) Przeznaczone do likwidacji elektroniczne i optyczne nośniki informacji, mogące zawierać dane osobowe, pozbawia się w sposób trwały zapisu tych danych, a w przypadku gdy nie jest to możliwe, niszczy lub uszkadza się w sposób trwale uniemożliwiający ich odczytanie. d) Kopie zapasowe usuwa się niezwłocznie w wypadku ich uszkodzenia lub po utracie terminu przechowywania, w sposób trwale uniemożliwiający ich odczytanie. e) Za skasowanie zbędnych danych lub zniszczenie zbędnych nośników elektronicznych odpowiedzi al ny jest Administrator Systemu Informatycznego. f) Kopie zapasowe przechowuje się przez okres: - Dzienne - przez okres siedem dni - Tygodniowe - do końca następnego tygodnia Miesięczne - dwunastu miesięcy następujących po miesiącu sporządzenia kopii. dopuszcza się dłuższy okres przechowywania, o ile pozwalają na to warunki. - Roczne - do 3 lat, w uzasadnionych przypadkach dłużej. 7. W wypadku nagromadzenia się archiwalnych kopii awaryjnych, Administrator Bezpieczeństwa Informacji może po upływie trzech miesięcy od dnia, w którym nośnik został ponownie użyty, zarządzić likwidację nośników. W takim przypadku likwidacji dokonuje się usuwając z nośników w sposób trwały wszelkie zapisane na nim dane osobowe. Gdyby zaszła potrzeba likwidacji nośników informacji to należy dokonać tego komisyjnie(3 osoby) i sporządzić protokół. str. 9

11 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik nr 3 do instrukcji zarządzania systemem informatycznym w urzędzie gminy w Tuszowie Narodowym Procedura stosowania zabezpieczeń antywirusowych informatycznym CEL PROCEDURY w systemie Celem procedury jest określenie zasad prowadzenia kontroli antywirusowej w systemie informatycznym. ZAKRES PROCEDURY Procedura dotyczy: A) Administratora Systemu Informatycznego B) Administratora Bezpieczeństwa Informacji D) Użytkowników Systemu Informatycznego TRYB POSTĘPOWANIA l. System Informatyczny musi znajdować się pod stałą kontrolą antywirusową. 2. Za prowadzenie kontroli antywirusowej odpowiedzialny jest Administrator Systemu Informatycznego. 3. O ile jest to możliwe każda stacja robocza, serwer poczty, serwer domen powinien być wyposażony w program antywirusowy. Jeżeli komputer nie posiada programu ochrony przed wirusami. każdy wymienny nośnik informacji musi być przed użyciem skontrolowany pod kątem obecności wirusów. 4. Niezbędne jest zainstalowanie na serwerze poczty elektronicznej programu kontrolującego pod kątem obecności wirusów pocztę przychodzącą i wychodzącą. 5. System antywirusowy serwera powinien umożliwiać analizę logów systemu operacyjnego. Logi należy analizować pod kątem obecności wirusów w poczcie elektronicznej, która jest głównym źródłem nowych wirusów pojawiających się w sieci. Analiza wirusów powinna zawierać ich nazwę, adres pochodzenia, datę i godzinę.... pojawienia Się. 6. Użytkownik systemu nie powimen otwierać przesyłek poczty elektronicznej niewiadomego pochodzenia ze względu na możliwą obecność w niej wirusów. 7. Po zasygnalizowaniu przez komputer wystąpienia wirusa należy natychmiast powiadomić Administratora Systemu Informatycznego, który musi podjąć następujące kroki: A. zidentyfikować wirusa i określić obszar występowania. B. odseparować część systemu objętą wirusem od całości. C. w razie konieczności przerwać pracę w porozumieniu z właściwym Kierownikiem, Pracownikiem. D. przystąpić do usuwania wirusa, zgodnie z wymaganiami zastosowanego programu antywirusowego. E. w razie konieczności, należy ponownie zainstalować system i dane systemu z ostatnich aktualnych kopii, przetestować poprawność systemu i ponownie wykonać wszystkie operacje z bieżącego dnia. F. Ponowne dopuszczenie do pracy w systemie może nastąpić jedynie na polecenie Administratora Systemu Informatycznego. G. Procedurę likwidacji wykrytego wirusa zastosować do wszystkich pozostałych stanowisk roboczych. 8. Bazy wirusów w programach antywirusowych powinny być aktualizowane na bieżąco poprzez odpowiednie ustawienia parametrów programu. tf-- str. 10

12 9. Program antywirusowy powińren mieć tak ustawione parametry, aby automatycznie, skanować dane na dysku pod kątem obecności wirusów (przynajmniej raz na tydzień). 9a. Administrator Systemu Informatycznego powinien w miarę możliwości skonfigurować program antywirusowy stacji roboczej w sposób uniemożliwiający jego wyłączenie przez użytkownika. 10. W wypadku niemożności usunięcia w danym dniu wirusa należy powiadomić o tym Administratora Bezpieczeństwa Informacji. 10a. Administrator Bezpieczeństwa Informacj i na bieżąco jest informowany w formie elektronicznej o wszystkich usuniętych wirusach. WÓ.J1f31'~Y mgr JI/,irC./taz str. 11

13 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik nr 4 do instrukcji zarządzania systemem informatycznym w urzędzie gminy w Tuszowie Narodowym Procedura postępowania w wypadku uszkodzenia systemu lub naruszenia jego bezpieczeństwa CEL PROCEDURY Celem procedury jest określenie zasad postępowania w przypadku uszkodzenia systemu informatycznego lub naruszenia zasad jego bezpieczeństwa. ZAKRES PROCEDURY Procedura dotyczy: A) Administrator Danych B) Administratora Bezpieczeństwa Informacji C) Administratora Systemu Informatycznego D) Użytkowników Systemu Informatycznego TRYB POSTĘPOWANIA l. W przypadku wystąpienia symptomów świadczących o uszkodzeniu systemu informatycznego lub naruszeniu jego bezpieczeństwa, osoba upoważniona do pracy w systemie zobowiązana jest: a) przerwać pracę na swoim stanowisku pracy. b) powiadomić o zaistniałej sytuacji Administratora Systemu Informatycznego, a w przypadku stwierdzenia poważnej usterki naruszającej bezpieczeństwo danych powiadomić Administratora Bezpieczeństwa Informacji c) w przypadku niemożności poinformowania osób wymienionych powyżej należy zgłosić zaistniałą sytuację Lokalnemu Administratorowi Danych Osobowych. 2. W przypadkach szczególnych awaryjnego wyłączenia systemu dokonuje się tego przez wyłączenie poszczególnych stacji roboczych, a następnie awaryjne zamknięcie serwerów systemu. Awaryjnego wyłączenia systemu może dokonać: a) Administrator Systemu Informatycznego, b) Administrator Bezpieczeństwa Informacji w wypadku niemożności skontaktowania się z Administratorem Systemu Informatycznego c) Osoba upoważniona przez Administratora Systemu Informatycznego w obecności Kierownika Wydziału w wypadku niemożności skontaktowania się z jedną z wyżej wymienionych osób Ponowne włączenie systemu po awaryjnym jego wyłączeniu może nastąpić jedynie na polecenie Administratora Bezpieczeństwa Informacji przez Administratora Systemu Informatycznego. Przed dopuszczeniem użytkowników systemu do pracy Administrator Systemu zobowiązany jest przetestować poprawność działania systemu informatycznego oraz sprawdzić integralność baz danych. 3. W razie konieczności należy ponownie zainstalować system i wczytać dane z ostatnich aktualnych kopii. przetestować poprawność systemu i ponownie wykonać wszystkie operacje z bieżącego dnia. str. 12

14 Wójt Gminy Tuszów Narodowy woj. podkarpackie Załącznik nr 5 do instrukcji zarządzania systemem informatycznym w urzędzie gminy w Tuszowie Narodowym Procedura postępowania na wypadek zaistnienia sytuacji kryzysowej obowiązująca w urzędzie gminy w Tuszowie Narodowym CEL PROCEDURY Celem procedury jest określenie zasad postępowania osób zatrudnionych na wypadek wystąpienia sytuacji kryzysowych. ZAKRES PROCEDURY Procedura dotyczy: A) Administratora Bezpieczeństwa Informacji B) Administratora Systemu Informatycznego TRYB POSTĘPOWANIA 1. Przez sytuację kryzysową rozumiemy zdarzenia nagłe, trudne do przewidzenia, które może poważnie zagrozić bezpieczeństwu przetwarzanych informacji oraz spowodować uszkodzenia sprzętu komputerowego. Do takich zdarzeń zaliczamy: pożar, powódź lub zalanie pomieszczeń wodą, zwarcie instalacji elektrycznej, zawalenie się stropu, huragan, atak terrorystyczny, sabotaż. 2. Potencjalne zagrożenia jakie mogą wystąpić w wyniku zaistnienia sytuacji kryzysowej to: Uszkodzenie sprzętu komputerowego Uszkodzenie, zniszczenie lub utrata zasobów informatycznych Trwała lub czasowa utrata dostępu do zasobów informatycznych Nieuprawniona lub nieprawidłowa modyfikacja zasobów Udostępnienie zasobów osobom nieuprawnionym 3. Podstawowym celem działania wszystkich pracowników w sytuacji kryzysowej powinno być podjęcie zdecydowanych działań mających na celu: Przywrócenie sprawności sprzętu komputerowego. Przywrócenie zasobów informatycznych do stanu sprzed sytuacji kryzysowej. Uniemożliwienie dostępu do zasobów osobom nieupoważnionym. 4. W przypadku pojawienia się sytuacji kryzysowej każdy z pracowników jest zobowiązany do postępowania według następujących zasad: a) Natychmiast powiadomić o zaistniałej sytuacji kryzysowej Administratora Systemu Informatycznego, Administratora Bezpieczeństwa Informacji. b) Powiadomić, w zależności od zaistniałej potrzeby, odpowiednie służby i pogotowia zewnętrzne czyli policję, straż pożarną, pogotowie ratunkowe, pogotowie energetyczne, pogotowie gazowe, pogotowie wodno-kanalizacyjne, telekomunikację. c) Wszyscy pracownicy zobowiązani są włączyć się do akcji zabezpieczenia zagrożonego sprzętu i zasobów informatycznych. Każdy pracownik powinien wykonywać ściśle polecenia przełożonych oraz osób kierujących akcją ratowniczą. d) Nie czekając na działanie wyspecjalizowanych służb przystąpić do zabezpieczenia pomieszczeń i sprzętu objętych działaniem sytuacji kryzysowej. W szczególności w miarę możności, z zachowaniem przepisów BHP, wyłączyć zgodnie z instrukcją, pracujące serwery, a następnie wyłączyć całkowicie dopływ energii elektrycznej. Należy uniemożliwić dostęp do pomieszczeń osób postronnych lub nieupoważnionych. Jeżeli jest to możliwe należy usunąć ze strefy zagrożenia sprzęt komputerowy. e) Po ustąpieniu zagrożenia pracownicy zobowiązani są, w możliwie naj krótszym czasie, przystąpić do likwidacji szkód powstałych w wyniku zaistnienia sytuacji kryzysowej. str. 13

15 Oznacza to przywrócenie sprawności sprzętu komputerowego oraz odtworzenie zasobów informatycznych w stanie sprzed sytuacji kryzysowej. f) Ze względu na powagę zaistniałych zagrożeń oraz wielkość możliwych strat, osoby, które nie podporządkują się poleceniom przełożonych będą pociągnięte do odpowiedzialności służbowej lub karnej. W przypadku perspektywy długiego przestoju systemu informatycznego należy powiadomić użytkowników systemu, oraz Administratora Bezpieczeństwa Informacji. " Ó.~T' I~Y ~:)- IIIgr I 11dr: ej GIli: str. 14