POLITYKA BEZPIECZEŃSTWA INFORMACJI

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE ZADAŃ DELEGOWANYCH W RAMACH PROW W DEPARTAMENCIE KOORDYNACJI PROJEKTÓW EUROPEJSKICH URZĘDU MARSZAŁKOWSKIEGO WOJEWÓDZTWA LUBELSKIEGO W LUBLINIE

2 SŁOWNIK STOSOWANYCH TERMINÓW INFORMACJA OGÓLNA BEZPIECZEŃSTWO ZASOBÓW LUDZKICH Role i zakresy odpowiedzialności pracowników BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE Obszary bezpieczne Bezpieczeństwo sprzętu lokalizacja i ochrona Systemy wspomagające Bezpieczeństwo okablowania Konserwacja i naprawa sprzętu Bezpieczeństwo sprzętu poza siedzibą ZARZĄDZANIE SYSTEMAMI I SIECIAMI Rejestrowanie użytkowników, zarządzanie i przypisywanie praw dostępu Zarządzanie hasłami użytkowników Ochrona przed szkodliwym oprogramowaniem Zarządzanie bezpieczeństwem sieci Obsługa nośników informacji Monitorowanie KONTROLA DOSTĘPU Odpowiedzialność pracowników Kontrola dostępu do sieci Kontrola dostępu do systemów operacyjnych PLAN ZAPEWNIENIA CIĄGŁOŚCI DZIAŁANIA Realizacja działań samorządowych PROW w sytuacji wystąpienia kryzysu WYKAZ ZAŁĄCZNIKÓW Strona 2 z 19

3 Zmiany dokumentu: Lp Data Imię i nazwisko Wersja Opis i referencja do poprzedniej wersji 1. Magdalena Urbankiewicz Staszczak Magdalena Urbankiewicz - Staszczak Magdalena Urbankiewicz - Staszczak 1.0 Opracowanie dokumentu 1.1 Aktualizacja 1.2 Aktualizacja Zofia Panasiuk 1.3 Aktualizacja Renata Radkowiak 1.4 Aktualizacja Krzysztof Kuśmicki 1.5 Aktualizacja Krzysztof Kuśmicki 1.6 Aktualizacja SŁOWNIK STOSOWANYCH TERMINÓW Występujące w opracowaniu zwroty i skróty oznaczają: 1) PROW Program Rozwoju Obszarów Wiejskich na lata , 2) Wymagania - Wymagania dotyczące bezpieczeństwa informacji, danych i dokumentów, jakie powinny zapewniać niektóre podmioty wdrażające wykonując zadania instytucji zarządzającej w ramach Programu Rozwoju Obszarów Wiejskich na lata , wynikające z normy ISO/IEC ; 3) IZ Instytucja Zarządzająca Minister Rolnictwa i Rozwoju Wsi; 4) podmiot wykonujący zadania delegowane podmiot wdrażający wykonujący zadania delegowane przez instytucję zarządzającą w ramach PROW Samorząd Województwa Lubelskiego, Departament Koordynacji Projektów Europejskich; 5) ABI Administrator Bezpieczeństwa Informatycznego pracownik Departamentu Organizacyjno Prawnego wykonujący zadania związane z bezpieczeństwem systemów; 6) ASI Administrator Systemu Informatycznego Informatyk- właściwy merytorycznie pracownik Oddziału Informatyki Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie. Strona 3 z 19

4 7) WZ Właściciel Zasobu kierownik jednostki organizacyjnej, który posiada odpowiedzialność kierowniczą za nadzór nad eksploatacją, rozwojem, utrzymaniem, korzystaniem, bezpieczeństwem i dostępem do zasobu; 8) informacja prawnie chroniona w rozumieniu niniejszych wymagań - informacja nie zaklasyfikowana jako stanowiąca tajemnicę państwową lub służbową, której obowiązek ochrony wynika z innych obowiązujących uregulowań prawnych (np. dane osobowe, bazy danych, dane posiadające wartość gospodarczą itp.); 9) koperta bezpieczna koperta, której nie można otworzyć bez naruszenia jej struktury; 10) kopia zapasowa (backup) kopia oprogramowania lub danych pozwalająca na ich dokładne odtworzenie w wypadku utraty oryginału; 11) logowanie proces uwierzytelniania użytkownika w systemie teleinformatycznym; 12) nośnik informacji medium magnetyczne, optyczne, półprzewodnikowe lub papierowe, na którym zapisuje się i przechowuje informacje, forma utrwalenia dokumentu; 13) pracownik osoba zatrudniona na podstawie umowy o pracę w Departamencie Koordynacji Projektów Europejskich Urzędu Marszałkowskiego Województwa Lubelskiego; 14) wirtualna sieć lokalna (VLAN) logicznie wydzielona grupa urządzeń lub użytkowników, dobranych pod względem funkcji, przyporządkowania lub aplikacji, niezależnie od ich fizycznej lokalizacji w sieci lokalnej; 15) zapora sieciowa (firewall) urządzenie bądź system ochrony sieci teleinformatycznych przed nieuprawnionym dostępem z zewnątrz. 16) UMWL Urząd Marszałkowski Województwa Lubelskiego, 17) DKPE Departament Koordynacji Projektów Europejskich. 18) ZMP Zapasowe Miejsce Pracy 19) DEFS Departament Europejskiego Funduszu Społecznego 1. INFORMACJA OGÓLNA Powyższy dokument jest zbiorem zasad określającym organizację i funkcjonowanie systemu zarządzania bezpieczeństwem informacji w Departamencie Koordynacji Projektów Europejskich Urzędu Marszałkowskiego w Lublinie. Departament realizuje tzw. działania samorządowe delegowane w ramach PROW do samorządów województw. Przyjęty sposób organizacji i zarządzania bezpieczeństwem jest sporządzony w oparciu Strona 4 z 19

5 o zatwierdzony przez Instytucję Zarządzającą dokument Wymagania dotyczące bezpieczeństwa informacji, danych, dokumentów, jakie powinny zapewniać niektóre podmioty wdrażające, wykonując zadania Instytucji Zarządzającej w ramach Programu Rozwoju Obszarów Wiejskich na lata , wynikające z normy ISO/IEC Przyjęte w DKPE rozwiązania dla systemu bezpieczeństwa opracowano w porozumieniu z Departamentem Organizacyjno Prawnym. 2. BEZPIECZEŃSTWO ZASOBÓW LUDZKICH 2.1 Role i zakresy odpowiedzialności pracowników 1. Przed przystąpieniem do realizacji zadań delegowanych w ramach PROW zatrudnieni pracownicy zostali przeszkoleni w zakresie bezpieczeństwa informacyjnego, oraz praw i obowiązków pracowników w odniesieniu do praw autorskich i ochrony danych osobowych. Nowo zatrudnieni pracownicy przed rozpoczęciem pracy zostaną przeszkoleni w zakresie odpowiednim do zajmowanego stanowiska. W sytuacji zaistnienia zmian w zasadach dotyczących bezpieczeństwa informacyjnego, pracownicy DKPE zostaną przeszkoleni bądź poinformowani indywidualnie o zaistniałej sytuacji, potwierdzając fakt zapoznania ze zmianami. Udokumentowaniem przeprowadzonego szkolenia jest lista obecności pracowników uczestniczących w szkoleniu. (Wzór załącznik Nr 1) 2. Pracownicy DKPE przed uzyskaniem dostępu do informacji związanej z zadaniami delegowanymi podpisują deklarację o zachowaniu w poufności i nie ujawnianiu informacji uzyskanych w ramach wykonywania zadań delegowanych PROW (Wzór załącznik Nr 2) 3. Pracownicy DKPE kończący pracę w obszarze zadań delegowanych są zobowiązani do nie rozpowszechniania informacji istotnej dla funkcjonowania agencji płatniczej. 4. Po każdorazowym zakończeniu pracy pracownicy chowają dokumentację i aktywa związane z zadaniami delegowanymi do szaf w strefie administracyjnej. Procedura pobierania i zdawania kluczy do strefy administracyjnej opisana jest w punkcie bezpieczeństwo strefy administracyjnej. 5. W sytuacji zakończenia stosunku pracy z pracownikiem UMWL, bądź zmiany zasad zatrudnienia, ASI odbiera prawa dostępu do zasobów systemu teleinformatycznego zgodnie z zaistniałymi zmianami zatrudnienia (na podstawie karty obiegowej pracownika lub informacji otrzymanej z Oddziału Kadr. Strona 5 z 19

6 3 BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE 3.1 Obszary bezpieczne Bezpieczeństwo pomieszczeń i strefy administracyjnej 1. Obiekt, którego użytkownikiem jest DKPE są dwa piętra V i VI w budynku wolnostojącym przy ulicy Skłodowskiej 3 w Lublinie. Posiada on całodobową ochronę o charakterze monitoringu, realizowaną przez firmę ochroniarską. 2. W obiekcie jest zainstalowany elektroniczny system alarmowy włamań i zadymienia. 3. Dostęp do obiektu wymaga posiadania: Klucza do wejścia z klatki schodowej A na V piętro, Klucza do wejścia z klatki schodowej A na VI piętro, Klucza do sekretariatu na V piętrze, Klucza do szafki z kluczami do pozostałych wejść na V i VI piętro oraz poszczególnych pomieszczeń, 4. Wyżej wymienione klucze poza godzinami pracy przechowywane są w bezpiecznej kopercie przez firmę chroniącą obiekt. 5. Przed rozpoczęciem dnia pracy pracownik firmy realizującej ochronę wydaje za pokwitowaniem wyżej wymienione klucze w bezpiecznej kopercie jednemu z pracowników DKPE upoważnionych do ich odbioru. (Lista pracowników upoważnionych do odbioru kluczy do obiektu Wzór załącznik Nr 3) 6. Rejestr osób upoważnionych zatwierdza Dyrektor DKPE 7. Pracownik odbierający klucze do obiektu dezaktywuje alarm indywidualnym kodem i otwiera wejście z klatki schodowej A na V i VI piętro, sekretariat oraz szafkę z pozostałymi kluczami do obiektu i poszczególnych pomieszczeń 8. Chronioną strefę administracyjną stanowi obszar V piętra ograniczony bezpiecznymi drzwiami otwieranymi za pomocą kodowanego zamka magnetycznego oraz obszar całego VI piętra chroniony drzwiami wejściowymi posiadającymi kodowane zamki magnetyczne z klatek schodowych A i B 9. Wszystkie klucze do poszczególnych pomieszczeń przechowywane są w specjalnej szafce w sekretariacie. Przed rozpoczęciem dnia pracy pracownik pobiera klucze do pomieszczeń pracowniczych wpisując godzin i datę pobrania kluczy w rejestrze zdawczoodbiorczym (Wzór załącznik Nr 7), Strona 6 z 19

7 wydawanie kluczy pracownikom DKPE odbywa się z uwzględnieniem rejestru osób upoważnionych do pobierania kluczy (Wzór załącznik Nr 5), po uprzednim sprawdzeniu tożsamości osoby pobierającej, rejestr osób upoważnionych zatwierdza Dyrektor DKPE. 10. Po zakończeniu dnia pracy pracownicy DKPE zamykają pomieszczenia pracownicze / pokoje i zdają klucze pracownikowi w sekretariacie, czynność ta odnotowywana jest w rejestrze zdawczo odbiorczym kluczy do pomieszczeń (Wzór załącznik Nr 7), 11. Sprzątanie pomieszczeń zajmowanych przez DKPE realizowane jest przez pracowników Oddziału Gospodarczo Technicznego w Departamencie Organizacyjno Prawnym, Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie upoważnionych do pobierania kluczy na podstawie rejestru osób upoważnionych do pobierania kluczy (Wzór załącznik Nr 5.) 12. Pracownik sekretariatu wydaje klucze osobom sprzątającym, które odnotowują pobranie kluczy w rejestrze zdawczo odbiorczym kluczy (Wzór załącznik Nr 7), wydawanie kluczy osobom sprzątającym odbywa się z uwzględnieniem rejestru osób upoważnionych do pobierania kluczy (Wzór załącznik Nr 5), po uprzednim sprawdzeniu tożsamości osoby pobierającej, rejestr osób upoważnionych zatwierdza Dyrektor DKPE. 13. Po zakończeniu czynności związanych ze sprzątaniem pomieszczeń, osoba sprzątająca zamyka pomieszczenia i umieszcza klucze w szafce w sekretariacie, czynność ta odnotowywana jest w rejestrze zdawczo odbiorczym (Wzór załącznik Nr 7). W przypadku pozostawania pracowników po godzinach pracy przyjmuje się następujące uregulowania: pracownik zgłasza pisemnie bezpośredniemu przełożonemu konieczność pozostania w pracy po godzinach służbowych (Wzór załącznik Nr 6). Dyrektor DKPE akceptuje konieczność pracy poza godzinami, W oparciu o zatwierdzone zgłoszenie, pracownik sekretariatu na polecenie Dyrektora przekazuje informację pracownikowi o fakcie pozostawania pracownika po godzinach pracy w obiekcie. pracownik po zakończeniu pracy po godzinach zamyka pomieszczenia i umieszcza klucze w szafce w sekretariacie. 14. Po zakończeniu pracy lub czynności związanych ze sprzątaniem pomieszczeń, odpowiednia osoba zamyka dostęp do obiektu,przekazuje klucze pracownikowi firmy realizującej ochronę, który umieszcza je w bezpiecznej kopercie i przechowuje do Strona 7 z 19

8 ponownego otwarcia obiektu. Osoba zdająca klucze pracownikowi firmy realizującej ochronę aktywuje system alarmowy. 15. W przypadku aktywacji alarmu obowiązuje system działania stosowany przez firmę realizującą ochronę. 16. Klucze zapasowe pobierane/zdawane są w sposób następujący: Klucze zapasowe do budynku, pokoi pracowniczych, strefy administracyjnej, przekazywane są za protokołem zdawczo odbiorczym do Departamentu Organizacyjno Prawnego, celem przechowania. Przekazania kluczy dokonuje pracownik wskazany przez Dyrektora DKPE. Klucze w Departamencie Organizacyjno Prawnym przechowywane są w szafie pancernej. W sytuacji uszkodzenia / zniszczenia klucza jw. pracownik niezwłocznie informuje przełożonego, który występuje z prośbą do Departamentu Organizacyjno Prawnego (w formie pisemnej) o udostępnienie klucza zapasowego. W przypadku zgubienia klucza pracownik niezwłocznie informuje przełożonego oraz Dyrektora DKPE, który występuje z prośbą do Departamentu Organizacyjno Prawnego (w formie pisemnej) o wymianę zamka. Obsługa klienta 1. W związku z faktem, że w DKPE strefę administracyjną stanowi ograniczona drzwiami zamykanymi na kodowane zamki magnetyczne część V piętra i całe VI piętro, klienci obsługiwani są w ogólnodostępnej strefie lub w strefie administracyjne przy każdorazowym zapewnieniu przez obsługującego pracownika odizolowania klienta od miejsc i środków przetwarzania informacji. 2. Klientów obsługują pracownicy w zależności od zakresu merytorycznego. Miejsce czasowego przechowywania dokumentów 1. Miejsce czasowego przechowywania dokumentów, znajduje się w wyodrębnionym pomieszczeniu usytuowanym w najniższej kondygnacji budynku przy ul. Stefczyka 3b 2. Pomieszczenie jest zamykane na klucz pobierany przez pracowników Rejestr zdawczo odbiorczy kluczy prowadzi pracownik sekretariatu. (Wzór załącznik Nr 9). Strona 8 z 19

9 3. Dokumenty przechowywane są na regałach. 4. Udostępnianie dokumentów znajdujących się w czasowym miejscu przechowywania odbywa się po uprzednim wpisaniu do rejestru dokumentu pobieranego/zdawanego. Rejestr prowadzi pracownik wskazany przez Dyrektora departamentu (Wzór załącznik Nr 10). 3.2 Bezpieczeństwo sprzętu lokalizacja i ochrona [ISO/IEC pkt ] Środki przetwarzania informacji prawnie chronionej spełniają następujące wymagania dotyczące bezpieczeństwa informacji: 1) środki przetwarzania są usytuowane w sposób zapewniający minimalizację niepotrzebnego dostępu do obszarów pracy; 2) środki przetwarzania są zlokalizowane w sposób uniemożliwiający podejrzenie przez nieuprawnione osoby, a lokalizacja urządzeń przechowujących informacje zabezpiecza przed nieautoryzowanym dostępem. Pomieszczenia, w których znajdują się szafy do przechowywania informacji prawnie chronionej i urządzenia do przetwarzania informacji posiadają system sygnalizacji pożaru oraz system sygnalizacji włamania. Urządzenia infrastruktury zapewniające warunki środowiska są przeglądane i konserwowane zgodnie z instrukcjami i wymaganiami ich producentów. 3.3 Systemy wspomagające [ISO/IEC pkt ] Wszystkie urządzenia sieci teleinformatycznej są zasilane napięciem o parametrach zgodnych z wymaganiami producenta. Wyłączniki przeciwpożarowe zasilania są umieszczone w miejscach uzgodnionych ze Strażą Pożarną, przy jednoczesnym ich zabezpieczeniu przed użyciem przypadkowym bądź wykorzystaniem do celów sabotażowych. Linie energetyczne i telekomunikacyjne są zaopatrzone w zabezpieczenia przepięciowe. 3.4 Bezpieczeństwo okablowania [ISO/IEC pkt ] 1. Okablowanie strukturalne składa się z traktów kablowych listw PCV, przepustów, szaf dystrybucyjnych, szaf krosowych, tablic. 2. Infrastruktura okablowania telekomunikacyjnego i elektrycznego jest ułożona w sposób zapewniający brak wzajemnego oddziaływania linii. Strona 9 z 19

10 3. Okablowanie telekomunikacyjne i elektryczne prowadzone jest generalnie poza strefami ogólnie dostępnymi, w przypadku prowadzenia okablowania przez takie miejsca zastosowane są środki uniemożliwiające bądź ograniczające dostęp do okablowania przez osoby nieupoważnione.. 4. Niewykorzystywane segmenty sieci strukturalnej są odłączone od sieci teleinformatycznej w sposób mechaniczny lub logiczny. 3.5 Konserwacja i naprawa sprzętu 1. Sprzęt komputerowy w UMWL podlega okresowemu przeglądowi i konserwacji w celu zapewnienia nieprzerwanej i bezpiecznej pracy. 2. Konserwacje i przeglądy sprzętu komputerowego prowadzone są przez pracowników Oddziału Informatyki UMWL. 3. Naprawy sprzętu komputerowego przeprowadzane przez autoryzowany serwis producenta w ramach gwarancji wykonywane są pod nadzorem pracownika Oddziału Informatyki w siedzibie UMWL. 4. W przypadku naprawy sprzętu komputerowego w serwisie producenta poza siedzibą UMWL dane poufne umieszczone na dysku twardym, który jest integralną częścią zestawu komputerowego są skutecznie usuwane z nośnika przez pracownika Oddziału Informatyki UMWL po uprzednim wykonaniu ich kopii bezpieczeństwa. 5. Jeżeli serwisant, w ramach naprawy gwarancyjnej żąda zwrotu urządzania, które służy do przechowywania informacji a zostało wymienione na nowe, z powodu jego trwałego uszkodzenia, urządzenie to pozostaje w Urzędzie Marszałkowskim lub przed wydaniem serwisantowi jest mechanicznie niszczone. 6. Dla uniknięcia utraty gwarancji zawierane jest stosowne porozumienie z dostawcą sprzętu odnośnie trwałego usunięcia informacji prawnie chronionych z nośnika informacji. 7. W przypadku likwidacji sprzętu komputerowego, zbywania lub przekazania go innemu pracownikowi do ponownego użycia usuwane są z niego informacje prawnie chronione lub poufne przy pomocy specjalistycznego oprogramowania służącego do trwałego usuwania danych przez pracownika Oddziału Informatyki UMWL. 3.6 Bezpieczeństwo sprzętu poza siedzibą 1. Wynoszenie sprzętu komputerowego a w szczególności komputerów przenośnych poza siedzibę DKPE jest możliwe tylko w przypadku uzyskania wcześniejszej pisemnej zgody Dyrektora DKPE. (Wzór załącznik Nr 11). 2. Pracownik użytkujący komputer przenośny, wykonujący zadania delegowane poza siedzibą Urzędu odpowiedzialny jest za jego ochronę. Zabronione jest pozostawianie Strona 10 z 19

11 komputera przenośnego bez opieki w miejscach szczególnie narażonych na kradzież takich jak: samochód, przedział kolejowy oraz w innych miejscach gdzie pracownik nie ma możliwości sprawowania nad nim skutecznego nadzoru. 3. Wszelkie informacje prawnie chronione są przechowywane na urządzeniach przenośnych które pracują poza siedzibą UMWL w postaci zaszyfrowanej. 4. Komputery przenośne pracujące poza siedzibą UMWL posiadają zainstalowane oprogramowanie szyfrujące. Za odpowiednie szyfrowanie danych odpowiada pracownik, na którego stanie jest dane urządzenie przenośne. 5. Komputery przenośne zabezpieczone są hasłem na poziomie BIOSU, wejście do konfiguracji BIOSU również wymaga podania hasła. 6. W razie utraty komputera przenośnego pracownik niezwłocznie powiadamia o tym swojego przełożonego i kierownika Oddziału Informatyki, a w razie kradzieży dodatkowo niezwłocznie zgłasza ten fakt policji, określając rodzaj utraconych informacji. 4 ZARZĄDZANIE SYSTEMAMI I SIECIAMI 4.1 Rejestrowanie użytkowników, zarządzanie i przypisywanie praw dostępu 1. Użytkownik systemu informatycznego jest jednoznacznie identyfikowany poprzez indywidualny login (nazwę) użytkownika. 2. Niedopuszczalne jest wykorzystywanie jednego identyfikatora przez więcej niż jednego użytkownika. 3. Indywidualny login tworzony jest na podstawie nazwiska i pierwszej litery imienia pracownika. W przypadku pracowników o takich samych nazwiskach i takich samych pierwszych literach ich imion stosuje się kolejne litery imienia. 4. Nadawanie uprawnień do systemów informatycznych UMWL odbywa się zgodnie z Polityką Bezpieczeństwa Informacji Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie. (Wzór załącznik nr 4) 5. W przypadku konieczności natychmiastowego odebrania lub ograniczenia praw dostępu dopuszcza się możliwość zastosowania trybu uproszczonego polegającego na przekazaniu przez Dyrektora właściwej informacji pocztą elektroniczną lub telefonicznie do ASI. 4.2 Zarządzanie hasłami użytkowników 1. Każdy użytkownik posiada przypisane tylko jemu hasło, którym autoryzuje się w systemie informatycznym. 2 ASI -poprzez ustawienia systemowe wymusza natychmiastową konieczność zmiany hasła Strona 11 z 19

12 początkowego, przydzielonego pracownikowi, na nowe przez niego wybrane. Hasła początkowe są wydawane dopiero po pozytywnej weryfikacji tożsamości użytkownika. Wydanie hasła nie jest realizowane za pośrednictwem otwartych wiadomości poczty elektronicznej. 3 Zabronione jest przekazywanie haseł osobom trzecim. 4 Zabronione jest wprowadzanie haseł do jakichkolwiek zautomatyzowanych procesów logowania do systemu (np. hasła przechowywane w makrach). 5 Przy konfigurowaniu ustawień logowania do systemu teleinformatycznego stosuje się następujące zasady: 1) Użytkownik musi podać swój login i hasło. Hasło jest prezentowane w postaci niejawnej. 2) W polu logowania nie widnieje ostatnio użyty identyfikator użytkownika. 3) Logowanie odbywa się do domeny LUBELSKIE. 6. Polityka tworzenia i zarządzania hasłami uwzględnia następujące zasady: 1) minimalna długość hasła - 5 znaków, (dla danych osobowych 8 znaków) 2) maksymalny okresu ich ważności (30 dni), 3) wymaga złożoności hasła (duże i małe znaki, cyfry), 4) ograniczona możliwość ponownego użycia hasła (5 ostatnio pamiętanych haseł), 5) blokowanie czasowe konta po 3 nieudanych próbach wpisania hasła, 6) blokowanie konsoli użytkownika po 10 minutach jego bezczynności, powrót do stanu aktywności wymaga podania hasła 7. Specjalne warunki przechowywania haseł dotyczą: a. Elementów aktywnych sieci teleinformatycznej. b. Haseł administracyjnych do systemów, aplikacji i baz danych. c. Konfiguracji komputerów, w tym haseł do BIOS 8. Do przechowywania haseł kluczowych zapisanych na papierze stosuje się wyłącznie koperty, które uniemożliwiają otwarcie bez uszkodzenia ich struktury (tzw. koperty bezpieczne ). Koperty z hasłami przechowuje się w sejfie, w miejscu zapewniającym dostęp tylko osobom upoważnionym. 9. Dane umieszczone na bezpiecznej kopercie zawierają: a. Numer koperty adekwatny do numeru ewidencyjnego podanego w książce ewidencji haseł, Strona 12 z 19

13 b. datę jej złożenia i podpis osoby składającej kopertę, c. skróconą nazwę przynależności hasła. 10. Koperty z hasłami kluczowymi podlegają oznaczaniu zgodnie z Polityką Bezpieczeństwa Informacji Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie oraz ścisłej ewidencji prowadzonej przez Oddział Informatyki w pomieszczeniu zabezpieczonym przed niepowołanym dostępem 11. Za aktualność przechowywanych haseł kluczowych odpowiedzialny jest ASI. 12. Awaryjne otwarcie bezpiecznej koperty oraz pobranie znajdującej się w niej kopii hasła kluczowego wymaga uprzedniej pisemnej akceptacji i jest udokumentowane w ewidencji kopert. 13. Po użyciu, hasło kluczowe ulega zniszczeniu, a w to miejsce jest generowane nowe, którego kopia jest przechowywana na identycznych zasadach jak wyżej. 4.3 Ochrona przed szkodliwym oprogramowaniem 1. Serwery i komputery pracowników w Urzędzie objęte są ochroną przez działanie systemu antywirusowego w czasie rzeczywistym oraz zaporę systemową, które zapewniają integralność zasobów przechowywanych i przetwarzanych w systemie teleinformatycznym Urzędu. 2. Aktualizacja baz wirusów oraz wymaganych aktualizacji systemów operacyjnych odbywa się automatycznie przez centralne ustawienia serwerów zarządzających. 3. W przypadku wystąpienia złośliwego kodu (wirusa) na komputerze, pracownik zobowiązany jest niezwłocznie powiadomić pracownika Oddziału Informatyki. 4. Centralne ustawienia systemu antywirusowego wymuszają okresowe całościowe skanowanie zasobów komputera oraz automatycznie zabezpieczają używane nośniki zewnętrzne. 5. Pracownikom UMWL zabrania się korzystania z oprogramowania nieautoryzowanego oraz plików chronionych prawem autorskim, na które UMWL w Lublinie nie posiada licencji. 6. Okresowo, nie rzadziej niż raz na pół roku, stacje robocze i udostępnione udziały sieciowe użytkowników są sprawdzane przez informatyka pod kątem obecności nieautoryzowanego oprogramowania lub plików chronionych własnością intelektualną w ramach okresowego przeglądu eksploatacyjnego. Wyniki audytu są zapisywane w dzienniku systemu Strona 13 z 19

14 7. Nieautoryzowane oprogramowanie jest niezwłocznie usuwane z systemu przez pracownika Oddziału Informatyki UMWL, a informacje o przypadkach używania nieautoryzowanego oprogramowania są przedstawiane Kierownikowi komórki organizacyjnej 4.4 Zarządzanie bezpieczeństwem sieci 1 UMWL zapewnia bezpieczeństwo sieci za pomocą następujących mechanizmów: 1) Aplikacji i urządzeń typu firewall. 2) Rozdzielania sieci: komputery i użytkownicy w poszczególnych komórkach organizacyjnych są grupowani w logicznie rozdzielonych segmentach sieci (VLAN). 3) Blokowanie usług sieciowych, które są niewykorzystywane, nie mają uzasadnienia formalnego lub technicznego albo są uznawane za niebezpieczne. 4) Filtrowanie zawartości ruchu sieciowego pod kątem niebezpiecznych treści i ewentualnego wystąpienia zdarzeń wskazujących na możliwość niepożądanej działalności osób z zewnątrz (intruzów). 5) Aktualizowanie aplikacji, systemów operacyjnych oraz usług sieciowych do najnowszej oraz bezpiecznej i stabilnej wersji. 2 Reguły filtrowania zapór sieciowych ustalane są regularnie przez ASI i weryfikowane w zależności od pojawiających się zagrożeń. 3 Komunikacja pomiędzy sieciami i systemami UMWL odbywa się za pomocą bezpiecznych kanałów VPN lub wydzielonych (dedykowanych) łącz internetowych. 4 Urządzenia aktywne sieci komputerowej w Urzędzie wykorzystują mechanizm identyfikacji do uwierzytelnienia połączeń. Identyfikacja urządzeń realizowana jest w oparciu o przydzielenie stałego adresu IP oraz przyporządkowanie adresu fizycznego MAC do określonych portów w urządzeniach aktywnych (uwierzytelnianie 801.1x). 5 Zarządzanie istotną infrastrukturą sieciową odbywa się tylko z wydzielonych stacji roboczych w IT bądź z wydzielonej części sieci (VLAN) (określonych przez kierownika IT), konsol podłączonych bezpośrednio do urządzeń sieciowych lub z innych stacji z wykorzystaniem bezpiecznych metod szyfrowania, zgodnie z kompetencjami informatyka. 6 Aktywność pracowników w sieci wykonujących zadania delegowane monitorowana jest w sposób ciągły, a występujące zdarzenia rejestrowane w dziennikach zdarzeń przechowywanych na centralnych serwerach, które podlegają okresowym przeglądom przez ASI. 7 Pracownikom Urzędu zabroniono testowania oraz wykonywania prób łamania Strona 14 z 19

15 zabezpieczeń systemów informatycznych. Oświadczenie podpisane przez każdego pracownika /stażystę/praktykanta stanowi załącznik nr Obsługa nośników informacji 1. Wymienne nośniki informacji (tzn. taśmy, dyskietki, pamięci typu flash, wyjmowane dyski twarde, płyty CD i DVD) oraz wydruki zawierające informację prawnie chronioną przechowuje się w miejscach uniemożliwiających dostęp do nich osobom nieuprawnionym, w bezpiecznym środowisku, w warunkach zgodnych z wymaganiami producenta. 2. Nośniki informacji zawierające kopie bezpieczeństwa oraz informacje archiwalne przechowuje się w specjalnej metalowej szafie, do której dostęp jest ograniczony. 3. Ograniczane są do niezbędnego minimum ilości wytwarzanych kopii i wydruków. 4. Zbędne wydruki, notatki, kopie dokumentów, itp. jeśli zawierają informację prawnie chronioną - bezwzględnie są niszczone w sposób uniemożliwiający odtworzenie ich treści. 5. Wszystkie nośniki informacji tworzone w systemie informatycznym i zawierające informacje prawnie chronione, są oznakowane (Numer ewidencyjny, typ nośnika, data zapisu, nazwa komórki organizacyjnej, dane pracownika) i ewidencjonowane w sposób umożliwiający łatwą identyfikację w dzienniku ewidencji nośników. (Wzór załącznik Nr 13). 6. Wycofane nośniki informacji, które były wykorzystywane do przetwarzania informacji prawnie chronionych przekazywane są do Departamentu Organizacyjno-Prawnego UMWL Uszkodzone dyski twarde, dyskietki, taśmy magnetyczne, płyty CD-ROM i inne komputerowe nośniki danych zawierające informację prawnie chronioną, departament przekazuje do Departamentu Organizacyjno-Prawnego UMWL w celu zniszczenia na podstawie protokołu (Wzór załącznik nr 8) 4.6 Monitorowanie 1. Dzienniki systemowe prowadzone są w formie elektronicznej i zawierają zapisy dotyczące następujących zdarzeń: 1) Informacje o nadaniu, modyfikacji lub cofnięciu przywilejów w systemie, 2) Błędy systemowe i podjęte działania naprawcze, zdarzenia związane z bezpieczeństwem informacji. Strona 15 z 19

16 5 KONTROLA DOSTĘPU 5.1 Odpowiedzialność pracowników 1. Pracownicy Urzędu zobowiązani są do przestrzegania następujących zasad postępowania z hasłami w systemach informatycznych: 1) Każdy pracownik zobowiązany jest do zachowania swojego hasła w poufności. 2) Zabrania się udostępniania haseł innym pracownikom. 3) Zabrania się zapisywania haseł (np. na papierze, w pliku lub urządzeniu przenośnym) chyba, że będą przechowywane w sposób bezpieczny w specjalnej metalowej szafie, do której dostęp jest ograniczony. 4) W przypadku kompromitacji hasła należy o tym fakcie niezwłocznie powiadomić informatyka. Konto zostanie zablokowane, a następnie należy przeprowadzić procedurę nadania/modyfikacji/odebrania/ uprawnień do zasobów systemu teleinformatycznego (załącznik nr 4). 5) Dostęp do systemu dla użytkownika, który trzykrotnie pod rząd podał błędne hasło jest blokowany, odblokowanie następuję automatycznie po czasie 2 minut. 6) Zabrania się wykorzystywać hasła używane w systemach informacyjnych i teleinformatycznych do logowania się w innych systemach niezwiązanych z działalnością służbową. 2. Pracownicy zobowiązani są do: 1) Zamykania aktywnych sesji po zakończeniu pracy. 2) Zabezpieczania nieużywanych w danym momencie komputerów osobistych lub terminali przed nieupoważnionym dostępem (np. blokując konsolę systemową). 3. W DKPE obowiązuje polityka czystego biurka i ekranu, która obejmuje następujące zasady: 1) Wszelkie dokumenty papierowe i nośniki komputerowe, kiedy nie są używane, przechowuje się w zamykanych szafach. 2) Nośniki z informacją prawnie chronioną, jeśli nie są aktualnie wykorzystywane, zamykane są w meblach biurowych i szafach metalowych. Strona 16 z 19

17 3) Komputery osobiste i stacje robocze pozostawiane bez nadzoru lub czasowo nieużywane muszą być wyrejestrowane z sieci lub zablokowane. 4) Wydruki zawierające informację prawnie chronioną muszą być niezwłocznie zabierane z drukarki sieciowej. 5) Nie nadzorowane fotokopiarki lub inne urządzenia kopiujące uniemożliwiają nieautoryzowane wykonywanie kopii poprzez odpowiednie mechanizmy ochronne (np. kod dostępu). 5.2 Kontrola dostępu do sieci 1. Pracownik ma zapewniony dostęp tylko do tych usług sieciowych, które są mu przydzielone w związku z nadaniem uprawnień do przetwarzania informacji w systemie. Dostęp do usług sieciowych odbywa się w ramach określonych grup użytkowników. W zależności od rodzaju i zakresu nadanych uprawnień i wykorzystywanego zasobu informacyjnego pracownik jest przyporządkowany do odpowiedniej grupy. 2. ASI odpowiada za kontrolę dostępu zarówno fizycznego jak i logicznego do portów konfiguracyjnych. 3. Urządzenia podłączone do sieci wewnętrznej UMWL korzystają z zasobów poprzez rejestrowanie ich w domenie pod unikalną nazwą oraz grupowanie logiczne w kontenery systemowe pozwalające stosować spersonalizowaną politykę bezpieczeństwa. 4. Porty i usługi sieciowe, które nie są wykorzystywane, nie mają uzasadnienia formalnego lub technicznego są uznawane za niebezpieczne i blokowane. 5. Wszystkie połączenia pomiędzy podsieciami UMWL a sieciami publicznymi odbywają się poprzez urządzenie sieciowe, zabezpieczające sieć teleinformatyczną. 5.3 Kontrola dostępu do systemów operacyjnych 1. Dostęp do systemu dla użytkownika, który trzykrotnie pod rząd podał błędne hasło jest blokowany, odblokowanie następuję automatycznie po czasie 2 minut. 2. System operacyjny po ustalonym okresie bezczynności, jednak nie dłużej niż po 10 minutach, przechodzi w stan nieaktywny, w którym blokowany jest dostęp do konsoli. Powrót do stanu aktywności wymaga podania hasła. 3. Identyfikacja pracownika w domenie odbywa się na podstawie unikalnego identyfikatora skojarzonego z hasłem. 4. Pracownicy nie mogą instalować samodzielnie oprogramowania na komputerze służbowym. Wszelkie oprogramowanie na komputerach służbowych, w tym również typu Strona 17 z 19

18 freeware i shareware, mogą być instalowane jedynie przez pracowników Oddziału Informatyki odpowiedzialnych za utrzymanie infrastruktury informatycznej. 5. Użytkownik (pracownik) domeny posiada ograniczone prawa, które nie pozwalają mu na dokonywanie zmian w konfiguracji systemu. 6. Na komputerach pracowników występuje tylko oprogramowanie systemowe i narzędziowe niezbędne do wykonywania czynności służbowych. 6 PLAN ZAPEWNIENIA CIĄGŁOŚCI DZIAŁANIA 6.1 Realizacja działań samorządowych PROW w sytuacji wystąpienia kryzysu W przypadku wystąpienia zagrożenia ciągłości pracy w stałej siedzibie, DKPE jest organizacyjnie przygotowany do kontynuowania pracy w ZMP. Znajduje się ono w innym budynku, w którym ulokowane są inne departamenty UMWL. Ze składu osobowego DKPE wydzielono trzy zespoły pracowników, określono zadania każdego z nich oraz sposób komunikowania się. Przyjęto założenie, że zadania wykonywane będą w sposób, który pozwoli płynnie przejść do normalnych warunków. Określono zakres realizowanych zadań, sposób i warunki udostępnienia pomieszczeń, zainstalowania niezbędnych do pracy urządzeń teleinformatycznych, a także możliwość przewiezienia potrzebnych dokumentów. Powyższe zasady opisane w dokumencie Warunki realizacji zadań delegowanych PROW przez Urząd Marszałkowski Województwa Lubelskiego w Lublinie sytuacji wystąpienia kryzysu stanowią załącznik Nr 14. Strona 18 z 19

19 WYKAZ ZAŁĄCZNIKÓW 1. Załącznik Nr 1 Lista uczestników szkolenia. 2. Załącznik Nr 2 Deklaracja o zachowaniu w poufności i nie ujawnianiu informacji. 3. Załącznik Nr 3 Lista osób upoważnionych do odbioru kluczy do obiektu 4. Załącznik Nr 4 Wniosek o nadanie, modyfikację, odebranie, uprawnień do zasobów systemu teleinformatycznego. 5. Załącznik Nr 5 Rejestr osób upoważnionych do pobierania kluczy do pokoi pracowniczych 6. Załącznik Nr 6 Upoważnienie do przebywania na terenie urzędu poza godzinami pracy. 7. Załącznik Nr 7 Rejestr zdawczo-odbiorczy kluczy do pokoi zajmowanych przez Departament Koordynacji Projektów Europejskich. 8. Załącznik Nr 8 Protokół przekazania wycofanych/uszkodzonych elektronicznych nośników zawierających informację prawnie chronioną. 9. Załącznik Nr 9 Rejestr zdawczo / odbiorczy kluczy pomieszczenia do tymczasowego przechowywania dokumentów. 10. Załącznik Nr 10 Rejestr zdawczo odbiorczy dokumentów pobieranych / zdawanych z/do czasowego miejsca przechowywania. 11. Załącznik Nr 11 Użytkowanie komputera przenośnego poza siedzibą DKPE. 12. Załącznik Nr 12 Oświadczenie dotyczące zakazu łamania zabezpieczeń systemów informatycznych. 13. Załącznik Nr 13 Dziennik ewidencji nośników. 14. Załącznik Nr 14 Warunki realizacji zadań delegowanych PROW przez Urząd Marszałkowski Województwa Lubelskiego w sytuacji wystąpienia kryzysu. Strona 19 z 19