Polityka bezpieczeństwa informacji

Transkrypt

1 Polityka bezpieczeństwa informacji CMS Spółka z o.o. ul. Przestrzenna Szczecin NIP Regon KRS Spis treści Polityka bezpieczeństwa informacji...1 Polityka bezpieczeństwa informacji...2 Cel polityki bezpieczeństwa...2 Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji...2 Zakres polityki bezpieczeństwa...3 Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe...3 Prawa i obowiązki użytkowników...3 Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.)...3 Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI)...4 Obowiązki Administratora Systemu Informatycznego (ASI)...4 Podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie....5 Zasady przetwarzania danych osobowych przez Administratora Danych Osobowych...5 Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane osobowe..5 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania....6 Opis struktury zbioru danych...6 Przepływ danych pomiędzy poszczególnymi systemami...6 Określenie środków technicznych i organizacyjnych zapewniających poufność, integralność i rozliczalność przetwarzania danych osobowych...7 Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych...7 Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in. zaliczyć:...8 Zastosowane środki techniczne...8 Zastosowane środki organizacyjne...9 Postanowienia końcowe...9 Załączniki

2 Polityka bezpieczeństwa informacji. Polityka bezpieczeństwa informacji jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Cel polityki bezpieczeństwa. Niniejsza Polityka została opracowana dla stworzenia i utrzymania wysokiego poziomu bezpieczeństwa zbioru danych osobowych zgodnie z wymogami rozporządzenia, rozumianego jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienia rozliczalności podejmowanych działań. Celem opracowania i wdrożenia niniejszej Polityki jest: maksymalne ograniczenie ryzyka związanego z nieuprawnionym przetwarzaniem lub utratą danych osobowych, zagwarantowanie pełnej ochrony danych osobowych posiadanych przez CMS Sp. z o.o. zbiorów bez względu na formę w jakiej zbiór jest przetwarzany, opracowanie zasad postępowania w sytuacjach kryzysowych, wdrożenie reguł, praw i procedur zapewniających odpowiedni poziom bezpieczeństwa zarządzania danymi osobowymi będącymi w posiadaniu CMS Sp z o.o. Cele wyznaczone w Polityce Bezpieczeństwa, realizowane są poprzez: stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony danych osobowych przetwarzanych zarówno w formie tradycyjnej jak i elektronicznej, podejmowanie wszelkich działań niezbędnych dla ochrony praw jednostki związanych z bezpieczeństwem danych osobowych, staranny dobór, ocenę i kwalifikację dostawców usług, stosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do przetwarzania i zabezpieczania danych osobowych. Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji. CMS Sp. z o.o. realizując niniejszą Politykę Bezpieczeństwa, dokłada najwyższej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane nie dłużej niż jest to niezbędne do realizacji celów, w których zostały zebrane. 2

3 Zakres polityki bezpieczeństwa Polityka Bezpieczeństwa odnosi się do wszystkich danych osobowych przetwarzanych: w sposób tradycyjny, w szczególności w kartotekach, rejestrach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych. Ochronie podlegają wszystkie dane osobowe przetwarzane przez CMS Sp. z o.o. również te, które powierza do przetwarzania innym podmiotom. W celu zapewnienia maksymalnej ochrony danych osobowych, wyznaczono obszary mające istotny wpływ na bezpieczeństwo zasobów CMS Sp. z o.o. są to: bezpieczeństwo systemów i sieci informatycznych, bezpieczeństwo danych osobowych gromadzonych w wersji papierowej, bezpieczeństwo zarządzania dostępem do informacji, bezpieczeństwo fizyczne pomieszczeń, gdzie przetwarzane są dane osobowe. Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe Prawa i obowiązki użytkowników 1. Każdy użytkownik zobowiązany jest do utrzymania właściwego poziomu bezpieczeństwa w zakresie swoich obowiązków i uprawnień. 2. Każdy użytkownik składa oświadczenie, w którym potwierdza zapoznanie się z ustawą, Polityką Bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym. Ponadto użytkownik zobowiązuje się do zapewnienia ochrony przetwarzanych przez niego danych osobowych. Oświadczenie to przechowywane jest przez CMS Sp. z o.o. w segregatorze przez okres 5 lat licząc od daty zakończenia współpracy z użytkownikiem (np. od daty rozwiązania umowy o pracę). 3. Każdy użytkownik, w trakcie jak i po ustaniu zatrudnienia w CMS Sp. z o.o. ma obowiązek ochrony wszelkich informacji dotyczących funkcjonowania systemów lub urządzeń służących do przetwarzania danych osobowych oraz sposobów zabezpieczania danych. 4. Niedozwolone jest przetwarzanie danych osobowych w sposób inny niż opisany w niniejszej Polityce Bezpieczeństwa lub Instrukcji. 5. Pracownicy uprawnieni są do występowania z wnioskiem do bezpośredniego przełożonego o nadanie lub zmianę zakresu uprawnień do przetwarzania danych osobowych. 6. Użytkownicy zobowiązani są wskazywać konieczność wprowadzenia zmian w funkcjonalności systemu informatycznego służącego do przetwarzania danych osobowych w celu poprawy bezpieczeństwa przetwarzanych danych osobowych. 7. Wobec osób, które nie stosują się do zapisów niniejszej Polityki Bezpieczeństwa, Instrukcji oraz ustawy o ochronie danych osobowych, CMS Sp. z o.o. może wyciągnąć konsekwencje przewidziane w Kodeksie Pracy i innych aktach prawnych w zależności od rodzaju skutków naruszeń. Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.) Do obowiązków CMS Sp. z o.o. m.in. należy: 1. Zapewnienie środków organizacyjnych i technicznych zapewniających zabezpieczenie danych przed dostępem osób nieupoważnionych. 2. Nadawanie/zmiana/odbieranie zakresu uprawnień użytkowników do przetwarzania danych 3

4 osobowych. 3. Wystawianie upoważnień do przetwarzania danych osobowych. 4. Weryfikacja zakresu przetwarzanych danych pod kątem adekwatności (dotyczy wszystkich zbiorów). 5. Wyznaczenie Administratora Bezpieczeństwa Informacji, który nadzoruje przestrzeganie zasad ochrony danych osobowych (zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych). Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI) 1. Przechowywanie imiennych upoważnień do przetwarzania danych osobowych. 2. Prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. 3. Prowadzenie i aktualizacja dokumentacji opisującej sposób przetwarzania danych. 4. Nadzorowanie treści podpisanych umów powierzenia (w zakresie dotyczącym ochrony danych osobowych), w przypadku przekazywania danych osobowych podmiotom realizującym zlecenia Administratora Danych Osobowych (CMS Sp z o.o.). 5. Nadzór nad przestrzeganiem przez użytkowników zapisów Instrukcji Zarządzania Systemem Informatycznym i niniejszej Polityki. 6. Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. 7. Nadzór nad prawidłowością archiwizacji dokumentów zawierających dane osobowe oraz zapewnienie nadzoru nad właściwym usuwaniem bądź niszczeniem dokumentów z danymi osobowymi. 8. Poinformowanie organów uprawnionych do ścigania przestępstw w przypadku celowego naruszenia bezpieczeństwa przetwarzanych danych osobowych. 9. Polecenia ABI w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego muszą być bezwzględnie wykonywane przez wszystkich pracowników i Użytkowników systemu. Obowiązki Administratora Systemu Informatycznego (ASI) 1. Nadanie, zmiana i blokowanie uprawnień danemu Użytkownikowi do zasobów informatycznych zgodnie z wnioskiem ABI. 2. Właściwa konfiguracja systemu informatycznego zapewniająca jego bezpieczeństwo i ograniczenie dostępu do danych osobowych przez osoby nieupoważnione. 3. Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. 4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, które zawierają dane osobowe. 5. Okresowe wykonywanie kopii bezpieczeństwa danych oraz nadzór nad ich zabezpieczeniem zgodnie z procedurami ustalonymi w Instrukcji. 6. Okresowa analiza przyczyn i skutków sytuacji, które naruszyły bezpieczeństwo danych oraz informowanie ABI o wynikach tej analizy. 7. Zabezpieczenie komputerów przenośnych poprzez: 4

5 Podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie. Poniższe działania wykonuje Administrator Systemu Informatycznego Fizyczne odłączenie urządzeń, które umożliwiają nieautoryzowany dostęp do zbioru danych osobowych. Wylogowanie użytkownika, który zgłosił podejrzenie lub naruszenie integralności zbioru danych osobowych. Podjęcie działań uniemożliwiających dalsze nielegalne przetwarzanie danych osobowych (np. zastosowanie dodatkowych zabezpieczeń, całkowite odłączenie stacji roboczej od zbioru danych osobowych). Usunięcie skutków incydentu. Przywrócenie normalnego działania systemu (np. odtworzenie bazy danych z ostatniej kopii). Zrestartowania hasła użytkownika, który zgłosił naruszenie systemu informatycznego. Poinformowania o incydencie ABI, w tym sporządzenia notatki dotyczącej opisu, przyczyn i znanych skutków incydentu. Wyjaśnienia przyczyn wystąpienia incydentu i podjęcia działań zmierzających do ograniczenia ryzyka wystąpienia ponownego incydentu w przyszłości (np. szkolenie pracowników, analiza wdrożonych środków bezpieczeństwa pod kątem ich skuteczności, ustalenie źródła wirusa i zwiększenie zabezpieczeń). Wydania decyzji na ponowne rozpoczęcie przetwarzania danych osobowych. Przedstawienia ABI propozycji poprawy bezpieczeństwa. W przypadku, gdy incydent wywołany był świadomie przez pracownika zebrania dowodów. Zasady przetwarzania danych osobowych przez Administratora Danych Osobowych. Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane osobowe. Dane osobowe przetwarzane są w lokalizacjach wymienionych w załączniku nr 1 do niniejszej Polityki. Jeżeli dane osobowe przetwarzane są w pomieszczeniach ogólnodostępnych należy wydzielić część pomieszczenia, w której przetwarzane są dane osobowe (np. montaż barierek, lad, odpowiednie ustawienie mebli biurowych uniemożliwiające dostęp do danych przez osoby postronne). Ze względu na charakter usług prowadzonych przez CMS Sp. z o.o. tj. sklep internetowy, osoby upoważnione do przetwarzania danych osobowych mają dostęp do panelu administracyjnego konkretnego sklepu z każdego urządzenia podłączonego do sieci Internet po wpisaniu odpowiedniego adresu strony internetowej i podaniu loginu i hasła. Szczegółowe procedury zarządzania takimi uprawnieniami zostały ujęte w Instrukcji. 5

6 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania. Aktualny wykaz został zawarty w załączniku nr 2 do niniejszej Polityki. Obsługa sklepu internetowego została upoważnionym do tego celu pracownikom firmy, którzy zaznajomili się z Politykę Bezpieczeństwa. Dane osobowe zlokalizowane są na zewnętrznym zabezpieczonym przez firmę hostingową home.pl serwerze. Opis struktury zbioru danych. W zbiorze przetwarzane są informacje o klientach w następującym zakresie: <Zakres 1>: [imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania), adres , telefon, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia, data odbioru], oraz informacje o towarach w zakresie: <Zakres 2>: [identyfikator towaru, nazwa towaru, nazwa producenta] Tablica 1. Struktura zbioru zawierającego informacje o klientach, zamówieniach i produktach. Dane adresowe Klienta [id klienta, imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania), adres , telefon] Zamówienia Klienta Sprzedawane towary [id zamówienia, id klienta, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia] [id towaru, nazwa towaru, nazwa producenta, data produkcji] Przepływ danych pomiędzy poszczególnymi systemami. Diagram przepływu danych znajduje się w załączniku nr 3. Klient sklepu internetowego dokonuje rejestracji w sklepie podając swoje imię i nazwisko, adres dostarczenia przesyłki, adres i opcjonalnie numer telefonu. Jego konto chronione jest wybranym przez niego, indywidualnym hasłem. Po złożeniu zamówienia administrator panelu sklepu internetowego wprowadza ręcznie dane klienta i szczegóły jego zamówienia do systemu Subiekt GT (system klasy ERP stosowany we wspomaganiu zarządzania przedsiębiorstwem). Po wyrażeniu przez klienta zgody, jego adres mailowy zostaje dodany do listy subskrybentów newslettera w panelu i Dane osobowe dotyczące pracowników przetwarzane są przez firmę zewnętrzną prowadzącą księgowość Spółki na zlecenie CMS Sp. z o.o. stosowna umowa powierzenia została zawarta. 6

7 Określenie środków technicznych i organizacyjnych zapewniających poufność, integralność i rozliczalność przetwarzania danych osobowych. Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych Połączenie systemu informatycznego, w którym przetwarzane są dane osobowe z ogólnodostępną siecią Internet oprogramowanie szpiegujące czy monitorujące pracę komputera (wirusy komputerowe, konie trojańskie, rootkity, keylogger, Phishing itp.). Zamierzone działania ludzkie mające na celu nieautoryzowane przetwarzanie danych osobowych: ujawnienie hasła i loginu, podszycie się pod użytkownika, użycie złośliwego oprogramowania, włamanie do systemu, kradzież danych, uszkodzenie zabezpieczeń fizycznych np. włamanie. Działania użytkownika, które w sposób przypadkowy mogą doprowadzić do nieautoryzowanego przetwarzania danych osobowych (m.in. błędy ludzkie): udostępnianie stanowisk pracy osobom nieuprawnionym, niewłaściwa konstrukcja haseł, nieautoryzowane kopiowanie danych osobowych, utrata nośnika zawierającego dane osobowe, nieodpowiednie niszczenie nośników informacji (np. kartka papieru, dysk), pozostawienie nośników zewnętrznych w komputerze np. pendrive, używanie nośników danych udostępnionych przez osoby postronne, samowolne instalowanie przez użytkowników oprogramowania nieznanego pochodzenia, niewłaściwe ustawienie monitora komputerowego, umożliwiające osobom nieupoważnionym wgląd w przetwarzane dane osobowe, pozostawienie dokumentów w ogólnodostępnych miejscach np. w drukarce, w kserokopiarce, pozostawienie kluczy w drzwiach do pomieszczeń stanowiących obszar przetwarzania danych osobowych lub w szafkach, gdzie znajdują się dane osobowe. Zdarzenia losowe m.in: pożar, włamanie, powódź, zalanie, kradzież, awaria oprogramowania. 7

8 Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in. zaliczyć: brak możliwości uruchomienia przez Użytkownika aplikacji pozwalającej na dostęp do danych osobowych, ograniczone, w stosunku do normalnej sytuacji, uprawnienia Użytkownika w aplikacji (na przykład brak możliwości wykonania pewnych operacji normalnie dostępnych Użytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji, znaczne spowolnienie działania systemu informatycznego, brak możliwości fizycznego dostępu do danych (np. kradzież sprzętu komputerowego, zagubienie klucza do pomieszczeń), zidentyfikowanie w systemie wirusa lub innego programu, mogącego uszkodzić, skasować bądź skopiować dane osobowe, stwierdzenie próby bądź podejrzenie nieautoryzowanego przetwarzania danych osobowych (np. zmieniona zawartość zbioru, zmiana kolejności ułożenia dokumentów, otwarte drzwi, nieautoryzowane zniszczenie zawartości zbioru ), naruszenie technicznego stanu urządzeń, naruszenie zawartości zbioru danych osobowych. Zastosowane środki techniczne 1. Dostęp do danych osobowych ograniczony jest autoryzacją użytkownika poprzez wpisanie loginu i hasła. 2. Każdemu użytkownikowi uprawnionemu do przetwarzania danych osobowych, przydzielono indywidualny login i hasło. Hasło jest znane tylko przez użytkownika co pozwala na zachowanie zasady niezaprzeczalności zdarzeń. Wymogi dotyczące haseł zostały zawarte Instrukcji Zarządzania Systemem Informatycznym. 3. Od chwili otrzymania loginu użytkownik odpowiedzialny jest za wszystkie czynności, które zostały wykonane przy jego użyciu. 4. Pracownicy, bez zezwolenia CMS Sp. z o. o. nie mogą wynosić poza pomieszczenia stanowiące obszar przetwarzania danych osobowych dokumentów lub elektronicznych nośników informacji zawierających dane osobowe lub kopii tych danych (nie dotyczy przetwarzania danych osobowych na komputerach przenośnych), 5. W przypadku wynoszenia kopii danych poza obszar, w którym przetwarzane są dane osobowe, Administrator Systemu Informatycznego zobowiązany jest do ich zabezpieczenia poprzez zaszyfrowanie. 6. Na serwerze zainstalowano oprogramowanie antywirusowe z automatyczną aktualizacją. 7. W celu ochrony zbioru danych osobowych przed utratą lub celowym zniszczeniem, wszystkie bazy zawierające dane osobowe są kopiowane zgodnie z procedurami opisanymi w Instrukcji. 8. Stacje robocze użytkowników zostały wyposażone w system operacyjny oraz pakiet biurowy z automatyczną aktualizacją. Stosuje się aktywną ochronę antywirusową w czasie rzeczywistym na każdym komputerze podłączonym do sieci. Oprogramowanie zostało tak skonfigurowane, że aktualizacje baz wirusów pobierane są automatycznie, a żaden z użytkowników nie ma możliwości wyłączenia programu antywirusowego. 9. Aktualizacji oprogramowania specjalistycznego dokonuje na bieżąco Administrator Systemu Informatycznego lub inna osoba wyznaczona przez niego. 10. Dokładne testowanie modyfikacji oprogramowania przed wdrożeniem go do użytku zarówno pod kątem poprawności działania jak i podatności na ataki z zewnątrz. 8

9 Zastosowane środki organizacyjne Do przetwarzania danych osobowych może zostać dopuszczona osoba, która otrzymała od Administratora Danych Osobowych (CMS Sp. z o.o.) Upoważnienie do Przetwarzania Danych Osobowych. Warunkiem udzielenia upoważnienia do przetwarzania danych osobowych jest zaznajomienie użytkownika przetwarzającego dane osobowe z: wymaganiami ustawy z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych, niniejszą Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym w CMS Sp. z o.o. 1. CMS Sp. z o.o. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, zgodnie z załącznikiem nr 4 do niniejszej Polityki. 2. Wszystkie zainstalowane programy na stacjach roboczych pochodzą z legalnego źródła, Administrator Systemu Informatycznego posiada wszystkie dokumenty potwierdzające legalność używanego oprogramowania. 3. CMS Sp. z o.o. wdrożył niniejszą Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych. 4. Usystematyzowano sposób zarządzania uprawnieniami użytkowników w systemie informatycznym dla wszystkich użytkowników, określono zakresy dostępu do systemu informatycznego. 5. Monitory użytkowników zostały ustawione w taki sposób, że osoby postronne nie mają możliwości wglądu w treść wyświetlaną na ekranie. 6. Na komputerach, na których przetwarzane są dane osobowe zainstalowano automatyczne wygaszacze ekranu blokujące po 10 minutach bezczynności dostęp do stacji roboczej. 7. Każdy użytkownik w sytuacji opuszczenia stanowiska pracy zobligowany jest do zablokowania stacji roboczej przed osobami postronnymi. 8. Osoby nieupoważnione, znajdujące się w pomieszczeniach, gdzie przetwarza się dane osobowe, mogą przebywać tylko w obecności osoby posiadającej upoważnienie do przetwarzania danych osobowych. 9. Pracownicy, którzy przetwarzają dane osobowe w formie papierowej zobowiązani są do zabezpieczenia ich przed osobami niemającymi upoważnienia do przetwarzania danych poprzez odpowiednie ich przechowywanie i/lub niszczenie. 10. Dane archiwalne przechowywane są w zamkniętych szafach w siedzibie CMS Sp. z o.o. Postanowienia końcowe W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024). 9

10 Załączniki Załącznik nr 1 wykaz budynków i spis pomieszczeń. Załącznik nr 2 wykaz zbioru danych osobowych. Załącznik nr 3 diagram przepływu danych. Załącznik nr 4 ewidencja osób upoważnionych do przetwarzania danych. 10