Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Transkrypt

1 Załącznik Nr 2 do Zarządzenia Nr 191/05/2015 Prezydenta Miasta Starogard Gdański Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Niniejsza instrukcja reguluje postępowanie pracowników Urzędu Miasta zatrudnionych przy przetwarzaniu danych osobowych, definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem niniejszej instrukcji jest określenie zadań pracowników w zakresie: 1) ochrony danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą oraz ochroną zasobów technicznych; 2) prawidłowego reagowania pracowników zatrudnionych przy przetwarzaniu danych osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych lub zabezpieczeń systemu informatycznego; 3) ograniczenia ryzyka powstania zagrożeń oraz minimalizacja skutków wystąpienia zagrożeń. 1 2 Naruszenie systemu ochrony danych osobowych może zostać stwierdzone na podstawie oceny: 1) stanu urządzeń technicznych; 2) zawartości zbiorów danych osobowych; 3) sposobu działania programu lub jakości komunikacji w sieci teleinformatycznej; 4) metod pracy (w tym obiegu dokumentów) Każdy pracownik Urzędu Miasta w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest bezzwłocznie powiadomić ABI lub bezpośredniego przełożonego. 2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych; 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności); Strona 1 z 15

2 2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników utrata/zagubienie danych); 3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego: 1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki; 2) inicjuje ewentualne działania dyscyplinarne; 3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości; 4) dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych (zał.nr 3), podejmuje działania zapobiegawcze. 5. W przypadku stwierdzenia naruszenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu (zał. nr 2 lub 3) o naruszeniu ochrony danych osobowych wg załączonego wzoru który zawiera co najmniej: 1) kod formy naruszenia danych osobowych wg załączonego katalogu zagrożeń i incydentów bezpieczeństwa danych osobowych (zał. nr 1); 2) ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia, skutki, oraz wielkość szkód które zaistniały; 3) zabezpiecza ewentualne dowody winy; 4) ustala osoby odpowiedzialne za naruszenia; 5) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody); 6) inicjuje działania dyscyplinarne; 7) rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości. 6. ABI sporządzony raport i ewidencjonuje w Rejestrze incydentów i zagrożeń (zał. nr 4). 4 Procedura działań korygujących i zapobiegawczych 1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych, wynikających z zaistnienia naruszeń lub zagrożeń bezpieczeństwa danych, oraz zagrożeń systemu ochrony danych osobowych. 2. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych. 3. Osobą odpowiedzialną za nadzór nad procedurą jest 4. Definicje: 1) incydent naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność; 2) zagrożenie potencjalna możliwość wystąpienia incydentu; 3) korekcja działanie w celu wyeliminowania skutków incydentu; Strona 2 z 15

3 4) działanie korygujące jest to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji; 5) działania zapobiegawcze jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądane; 6) kontrola systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarzadzania systemem informatycznym. Opis czynności 5 1.ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są: 1) zgłoszenia od kierowników komórek organizacyjnych lub pracowników; 2) wyniki kontroli w tym ustalone przyczyny i okoliczności naruszenia bezpieczeństwa danych osobowych. 2.W przypadku, gdy ABI stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: 1) źródło powstania incydentu lub zagrożenia; 2) zakres działań korygujących lub zapobiegawczych; 3) termin realizacji, osobę odpowiedzialną Bezpośredni przełożony pracownika po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, jest zobowiązany niezwłocznie powiadomić ABI, chyba, że zrobił to pracownik, który stwierdził naruszenie. 2. Na stanowisku, na którym stwierdzono naruszenie zabezpieczenia danych ABI lub osoba przełożona pracownika przejmują nadzór nad pracą w systemie odsuwając jednocześnie od stanowiska pracownika, który dotychczas na nim pracował, aż do czasu wydania odmiennej decyzji ABI zobowiązany jest do powiadomienia o zaistniałej sytuacji ADO, który podejmuje decyzje o wykonaniu czynności zmierzających do przywrócenia poprawnej pracy systemu oraz o ponownym przystąpieniu do pracy w systemie. 2. ABI zobowiązany jest do sporządzenia Raportu z przeglądu incydentów i zdarzeń, przedstawiając go do zatwierdzenia ADO (zał.nr 5) Za naruszanie ochrony danych osobowych obowiązują kary przewidziane przepisami prawa. 2. Za naruszenie ochrony danych osobowych ADO może stosować kary porządkowe, niezależnie od zastosowania kar, o których mowa wyżej. Strona 3 z 15

4 Katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych Nr (kod) naruszeń Formy naruszeń Kierownika komórki organizacyjnej Sposób postępowania Administratora Bezpieczeństwa Informacji Zał. nr 1 A Formy naruszenia danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy A.1.1 A.1.2 A.1.3 Ujawnienie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym. Ujawnienie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. Dopuszczenie i stwarzanie warunków, aby ktokolwiek mógł pozyskać informację o sprzęcie i pozostałej infrastrukturze informatycznej np. z obserwacji lub dokumentacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Powiadomić Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Powiadomić Natychmiast przerwać czynność prowadzącą do ujawnienia informacji. Powiadomić raport z opisem, jaka informacja została ujawniona. raport z opisem, jaka informacja została ujawniona. raport z opisem, jaka informacja została ujawniona. A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Niezwłocznie zakończyć działanie aplikacji. Pouczyć osobę, która dopuściła do takiej sytuacji. Przekazać informacje do Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła się do takiej sytuacji. Sporządzić komórki organizacyjnej i sporządza Strona 4 z 15

5 A.2.3 A.2.4 A.2.5 A.2.6 Pozostawienie w jakimkolwiek niezabezpieczonym a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami. Samodzielne instalowanie i wykorzystanie nielegalnego oprogramowania oraz narzędzi służących do obchodzenia zabezpieczeń w systemach informatycznych. Zmiana konfiguracji sprzętowej oraz programowej systemów oraz stacji roboczych przez niepowołane osoby. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Wezwać osobę nieuprawnioną do opuszczenia stanowiska pracy. Ustalić jakie czynności zostały wykonane przez osobę nieuprawnioną Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić Wzywa administratora systemu informatycznego w celu odinstalowania programów. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. A.2.7 A.2.8 A.2.9 Odczytywanie nośników przed sprawdzeniem ich programem antywirusowym. Wykorzystanie ogólnodostępnych serwisów pocztowych (np. Wirtualna Polska, Onet.pl, o2.pl)w celach służbowych. Wykorzystanie służbowej poczty elektronicznej do celów prywatnych. Pouczyć osobę popełniającą zaczęła stosować się do wymogów bezpieczeństwa pracy. jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić Wzywa administratora systemu informatycznego w celu wykonania kontroli antywirusowej. A.3 W zakresie dokumentów i obrazów zawierające dane osobowe Strona 5 z 15

6 A.3.1 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. Zabezpieczyć dokumenty. Przekazać informację do Przyjmuje informację komórki organizacyjnej A.3.2. A.3.3 A.3.4 A.3.5 A.3.6 A.3.7 A.4 A.4.1 Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Dopuszczenie do kopiowania dokumentów i utraty kontroli nad kopią. Dopuszczenie aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. nie kopii danych na nośnikach danych w sytuacji nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Spowodować poprawienie zabezpieczeń. Przekazać informacje do Zabezpieczyć niewłaściwie zniszczone dokumenty. Sporządzić Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. powiadomić Sporządzić Wezwać nieuprawniona osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane sporządzić Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Podjąć próbę odzyskania kopii. Powiadomić jednostki raport komórki W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych Opuszczenie i pozostawienie bez dozoru niezamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Zabezpieczyć (zamknąć) pomieszczenie. Sporządzić Strona 6 z 15

7 A.4.2 Wpuszczenie do pomieszczenia osób nieznanych i dopuszczenie ich do kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Sporządzić A.4.3 Dopuszczenie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakiejkolwiek urządzenia do sieci komputerowej, demontowały elementy obudów do gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Sporządzić A.4.4 Pozostawienie otwartych okien, drzwi po zakończeniu pracy. Zabezpieczyć (zamknąć) pomieszczenie. Sporządzić A.4.5 A.4.6 A.4.7 A.4.8 A.4.9 A.4.10 Pożar, zalanie. Podjąć próbę odzyskania dokumentacji i sprzętu. Powiadomić Nieprzestrzeganie polityki czystego biurka oraz czystego ekranu Pozostawienie dokumentów w koszu na śmieci. Pozostawienie wydruków na ogólnodostępne drukarce. Nieautoryzowane wykonanie kopii klucza do pomieszczeń biurowych. Wyniesienie kluczy od pomieszczeń biurowych po zakończonej pracy. jej zaniechała. Niezwłocznie powiadomić Zabezpieczyć dokumenty. Przekazać informację do Zabezpieczyć dokumenty. Przekazać informację do jej zaniechała. Niezwłocznie powiadomić ABI jej zaniechała. Niezwłocznie powiadomić ABI jednostki Przyjmuje informację Przyjmuje informację Strona 7 z 15

8 A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci A.5.1 A.5.2 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakiejkolwiek manipulacji przy urządzeniach lub okablowaniach sieci komputerowej w miejscach publicznych (hole, korytarze, itp) Dopuszczenie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i od B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych B.1 Ślady manipulacji przy układach sieci komputerowej lub komputerach. B.2 B.3 Obecność nowych kabli o nieznanym przeznaczeniu lub pochodzeniu. Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. B.4 Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Strona 8 z 15

9 B.5 B.6. Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe B.7 Zidentyfikowano środek przetwarzający informacje nieznanego pochodzenia (sprzęt, nośnik.) B.8 Wykorzystano niezinwentaryzowany środek przetwarzania informacji (nie będący własnością pracodawcy). B.9 Przechowywanie haseł w niewłaściwy sposób. B.10 Przekazywanie haseł innym osobom. B.11 Pojawienie się nieautoryzowanej informacji na stronie internetowej. B.12 Niewłaściwe niszczenie nośników z danymi pozwalającymi na ich odczyt. B.13 Wykorzystanie służbowych środków przetwarzania informacji do celów prywatnych. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. jej zaniechała. Niezwłocznie powiadomić ABI wyjaśnienia sytuacji Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. raport Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Strona 9 z 15

10 B.14 Nadmierne uprawnienia w systemach w stosunku do wykonywanej pracy. B.15 Nieuprawniona zmiana danych lub ich uszkodzenie. B.16 Fizyczne zniszczenie lub uszkodzenie sprzętu oraz nośników przetwarzających informacje jej zaniechała. Niezwłocznie powiadomić B.17 Kradzież sprzętu przetwarzającego informacje. B.18 Błędy w obsłudze i konserwacji sprzętu komputerowego służącego do przetwarzania informacji. B.19 W wyniku rozwiązania umowy z pracownikiem nie podjęto działań związanych z odebraniem uprawnień B.20 Nieuprawniony dostęp do strefy administracyjnej. służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Sporządzić Niezwłocznie powiadomić Przyjmuje raport komórki C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem C.1 Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej. Powiadomić Strona 10 z 15

11 Próba nieuzasadnionego C.2 przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. C.3 Nie wykonanie kopii zapasowych Przyjmuje raport komórki Przyjmuje raport komórki C.4 Nie zweryfikowanie możliwości odtworzenia danych z kopii zapasowych. Powiadomić Sporządzić Powiadomić Sporządzić Powiadomić Sporządzić Przyjmuje raport komórki Strona 11 z 15

12 Raport z incydentu naruszającego bezpieczeństwo danych osobowych ze względu na poufność, dostępność i integralność Zał. nr 2 jący raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy naruszenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: 4) Informacje o danych, które zostały lub mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania korekcyjne, korygujące, zapobiegawcze): Data:... Podpis: Strona 12 z 15

13 Zał. nr 3 Raport z zagrożenia bezpieczeństwo danych osobowych jący raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy zagrożenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data stwierdzenia zagrożenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do zagrożenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z zagrożeniem ochrony danych osobowych: 4) Informacje o danych, które mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z zagrożeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania zapobiegawcze): Data:... Podpis: Strona 13 z 15

14 Zał. nr 4 Rejestr incydentów i zagrożeń Nr raportu Zagrożenia/incyde ntu Kod formy naruszenia Osoba Podjęte działania Wyniki podjętych działań zgłaszająca Powodująca naruszenie zapobiegawcze korygujące korekcyjne Data zamknięcia zagrożenia/ incydentu Uwagi Strona 14 z 15

15 Zał. nr 5 Raport z przeglądu zagrożeń/incydentów bezpieczeństwa danych osobowych Nr przeglądu RAPORT Z PRZEGLĄDU ZAGROŻEŃ/INCYDENTÓW Data sporządzenia raportu Data przeprowadzenia przeglądu Podsumowanie wyników przeglądu: Spostrzeżenia służące doskonaleniu:. Załączniki do raportu:.. Sporządził. Zatwierdził Strona 15 z 15