Polityka Systemu Zarządzania Bezpieczeństwem Informacji

Transkrypt

1 ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Nr dokumentu: P06 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001:2014 Kontroli Zarządczej 5.2, A , A5.1.2 P06-Polityka SZBI, wyd. 1 1 z 12

2 P06-Polityka SZBI, wyd. 1 2 z 12

3 Spis treści 1. Deklaracje kierownictwa Zakres Polityki i cele Systemu Zarządzania Bezpieczeństwem Informacji Podstawowe definicje Elementy składowe Systemu Zarządzania Bezpieczeństwem Informacji Zadania wynikające z pełnionych funkcji w ramach SZBI Analiza ryzyka Ogólne reguły bezpieczeństwa informacji Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem: Ochrona danych osobowych Postępowanie w przypadku naruszenia bezpieczeństwa informacji Konsekwencje naruszenia zasad bezpieczeństwa informacji Historia dokumentu P06-Polityka SZBI, wyd. 1 3 z 12

4 1. Deklaracje kierownictwa Burmistrz Gminy Kęty zgodnie z obowiązującymi wymogami prawa wprowadza System Zarządzania Bezpieczeństwem Informacji w podległym sobie Urzędzie oraz deklaruje pełne wsparcie dla podejmowanych działań uzasadnionych realizacją celów zabezpieczenia przetwarzanych danych. Burmistrz, jako Administrator Danych Osobowych (ADO) oraz jako Kierownik Urzędu Gminy wyznacza: Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSBI), sprawującego nadzór w imieniu Burmistrza nad wdrożonym w Urzędzie systemem zarządzania, opartym na wymogach normy PN- ISO/IEC 27001, Asystenta Administratora Danych Osobowych (AsADO) w celu sprawowania nadzoru nad przestrzeganiem obowiązujących zasad bezpieczeństwa danych, w tym danych osobowych, Administratora Systemu Informatycznego (ASI) dbającego o bezpieczeństwo i utrzymanie ciągłości działania sieci teleinformatycznych oraz systemów i oprogramowania używanego w Urzędzie. Burmistrz Gminy Kęty podejmuje się uświadamiania podległym pracownikom wagi prowadzonych działań mających na celu zabezpieczenie danych i ich roli w systemie. Deklaruje również wsparcie dla wdrożonego systemu zarządzania i podejmowanie odpowiednich reakcji na zaistniałe sytuacje zagrażające bezpieczeństwu informacji przetwarzanych w Urzędzie. 2. Zakres Polityki i cele Systemu Zarządzania Bezpieczeństwem Informacji Niniejszy dokument Polityki Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI) jest dokumentem zawierającym ogólne zasady i definicje związane z ochroną informacji i bezpieczeństwa jej przetwarzania. Stanowi on fundament dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Dokument Polityki Systemu Zarządzania Bezpieczeństwem Informacji (PBI) jest dokumentem zawierającym ogólne zasady i definicje związane z ochroną informacji. Stanowi on fundament dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), jest dokumentem pierwszego rzędu. SZBI jest traktowany jako uzupełnienie dla Systemu Kontroli Zarządczej. System Kontroli Zarządczej jest dla SZBI systemem nadrzędnym. Polityka i System Zarządzania Bezpieczeństwem Informacji zakresem stosowania obejmuje wszystkie komórki organizacyjne Urzędu, wszystkich pracowników Urzędu. Niniejszy system dotyczy wszystkich osób biorących udział w sposób bezpośredni lub pośredni w gromadzeniu, przetwarzaniu danych, w tym danych osobowych. W ramach systemu ustala się wewnętrzne procedury i instrukcje określające zasady bezpiecznego postępowania z informacją zarówno elektroniczną jak i tradycyjną - papierową, celem zachowania wszystkich atrybutów bezpieczeństwa informacji tj.: A. poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, B. integralność danych rozumianą jako właściwość polegająca na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany), C. rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. P06-Polityka SZBI, wyd. 1 4 z 12

5 Polityka Systemu Zarządzania Bezpieczeństwem Informacji, ukierunkowana jest na realizację celów bezpieczeństwa informacji, którym system ma służyć. Są nimi: A. zapewnienie ochrony informacji przed nieupoważnionym dostępem; B. zapewnienie poufności, dostępności i integralności informacji przetwarzanych w Urzędzie Gminy Kęty zgodnie z wymaganiami prawnymi; C. zapewnienie, że szkolenia z zakresu bezpieczeństwa informacji są pracownikom organizowane na odpowiednim poziomie; D. zapewnienie, że wszelkie naruszenia bezpieczeństwa informacji oraz słabe punkty SZBI są raportowane i badane; E. zapewnienie, że zachowanie ciągłości realizacji zadań publicznych odbywa się w oparciu o udokumentowane plany, weryfikowane i testowane w stopniu umożliwiającym potwierdzenie ich przydatności; F. zapewnienie, że poziom bezpieczeństwa informacji jest podnoszony wraz z rozwojem SZBI. W ramach planowania Pełnomocnik może formułować szczegółowe cele, jakie mają być osiągane w związku z rozwojem i doskonaleniem SZBI. Cele te będą ujęte w osobnym dokumencie oraz oparte będą o wymagania PN-ISO/IEC 27001: pkt Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. 3. Podstawowe definicje Ilekroć w instrukcji jest mowa o: Ustawie rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm); Administratorze Danych Osobowych (ADO) oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty. Pełnomocniku ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI)- rozumie się przez to osobę która w imieniu Burmistrza sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji. Asystent Administratora Danych Osobowych (AsADO) rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków; Administratorze Systemów Informatycznych (ASI) rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych; System Zarzadzania Bezpieczeństwem Informacji (SZBI) system zarządzający bezpieczeństwem informacji w oparciu o wymogi normy PN-ISO/IEC 27001, Urzędzie rozumie się Urząd Gminy Kęty; danych każdą informację (tekst, cyfry, wykres, rysunek, dźwięk, animację, zapis audio i video), która może być przetworzona; danych osobowych w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. danych wrażliwych rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność P06-Polityka SZBI, wyd. 1 5 z 12

6 wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; dokumentacji bezpieczeństwa informacji rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji; haśle rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego; incydencie bezpieczeństwa rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową; procedurach ochrony danych osobowych rozumie się przez to sposób przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych w taki sposób, by zachować ich tajemnicę, zapewnić ochronę przed zniszczeniem i kradzieżą, określone wymogami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm) oraz wymogami niniejszej Polityki; przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie; rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; służbach informatycznych rozumie się przez to informatyków zatrudnionych w Urzędzie; serwisancie rozumie się przez to firmę lub pracownika firmy zajmującej się dostawą, instalacją, naprawą i konserwacją sprzętu komputerowego; systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną; systemy przetwarzania informacji tzn. informacje mogą być przetwarzane wyłącznie w systemach, które spełniają warunki opisane w PBI oraz spełniające wymogi prawa; sytuacją kryzysową jest to wystąpienie, zagrożenie lub domniemanie kradzieży, nieautoryzowanego dostępu, modyfikacji, zatajenia lub utraty (zniszczenia) przetwarzanej w systemie informacji zastrzeżonej. Każdy system informatyczny (SI) powinien przechodzić okresowe audyty bezpieczeństwa; użytkowniku rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie, umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych; zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. P06-Polityka SZBI, wyd. 1 6 z 12

7 4. Elementy składowe Systemu Zarządzania Bezpieczeństwem Informacji. 4.1 Dokumentacja związana z ochroną danych osobowych Na dokumentację przetwarzania danych osobowych składa się: 00 - Politykę Bezpieczeństwa Informacji Ochrony Danych Osobowych, niniejszy dokument regulujący zasady przetwarzania danych osobowych w Urzędzie Gminy Kęty Instrukcję Zarządzania Systemem Informatycznym, dokument opisujący sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa Analizę ryzyka, metodologia opisująca sposób szacowania ryzyka w Urzędzie Gminy Kęty wynikająca z obowiązku spoczywającym na Administratorze danych a polegającym na zapewnieniu ochrony danych osobowych odpowiednią do zagrożeń. Dokument wykorzystywany również w innych obszarach objętych SZBI. 03 Zarządzanie incydentami niezgodnościami, zespół procedur opisujących działania jakie należy podejmować w przypadku incydentów bądź niezgodności wynikłych w trakcie przetwarzania danych. 4.2 Dokumentacja związana z pozostałymi aspektami Bezpieczeństwa Informacji w Urzędzie Politykę Bezpieczeństwa Teleinformatycznego, dokument regulujący zasady przetwarzania danych w systemach teleinformatycznych Urzędzie Gminy Kęty. 05 Polityka Bezpieczeństwa Fizycznego, dokument opisujący zasady bezpieczeństwa fizycznego w Urzędzie Gminy Kety takie jak kto i na jakich zasadach może przebywać na terenie Urzędu, w jaki sposób zabezpiecza się pomieszczenia itp. 06 Polityka Systemu Zarządzania Systemem Informatycznym, niniejszy dokument regulujący zasady funkcjonowania wymogów określonych w PN-ISO/IEC Plan ciągłości działania, normie procedura opisująca, działania jakie należy podejmować w celu zapewnienia prawidłowego funkcjonowania Urzędu w sytuacjach kryzysowych. 08 Procedury SZBI, dokument opisujący procedury wynikające z obowiązku dokumentacyjnego zawartego w wymogach normy PN-ISO/IEC Procedury zarządzania systemami informatycznymi, dokument opisujący procedury informatyczne wynikające z normy PN-ISO/IEC a które nie wynikały w wcześniejszych uregulowań. 10 Raporty i wskaźniki stanu bezpieczeństwa informacji dokument opisujący zasady raportowania systemu SZBI. 11 Pomiar celów dokument opisujący sposoby pomiaru założonych wcześniej celów jakie ma osiągnąć SZBI. P06-Polityka SZBI, wyd. 1 7 z 12

8 5. Zadania wynikające z pełnionych funkcji w ramach SZBI. 5.1 Burmistrz - Administrator Danych Osobowych (ADO) Burmistrz (ADO) stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych informacji, danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 5.2 Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI) 1. Pełnomocnika do spraw Systemu Zarządzania Bezpieczeństwem Informacji powołuje Burmistrz. Pełnomocnik do spraw SZBI odpowiedzialny jest za: a) nadzór nad realizacją Systemu Zarządzania Bezpieczeństwem Informacji; b) nadzór nad dokumentacją Systemu Zarządzania Bezpieczeństwem Informacji na etapie jej opracowywania, weryfikacji, aktualizacji, udostępniania i przechowywania; c) zarządzanie analizą ryzyka jako kluczowym narzędziem SZBI; d) zarządzanie zabezpieczeniami aktywów informacyjnych w sposób adekwatny do celów stosowania zabezpieczeń; e) zapewnienie, że procesy potrzebne w Systemie Zarządzania Bezpieczeństwem Informacji są ustanowione, wdrożone i utrzymywane; f) planowanie prac dotyczących systemu zarządzania i nadzór nad ich realizacją; g) przedstawianie sprawozdań dla Burmistrz Gminy Kęty, dotyczących funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji oraz realizacji celów, jak również informowanie o skuteczności funkcjonującego SZBI; h) zarządzanie audytami wewnętrznymi (w obszarze bezpieczeństwa informacji) w zakresie nadzorowania zespołu audytorów, planowania audytów i nadzór nad ich realizacją oraz działaniami poaudytowymi; i) inicjowanie oraz nadzorowanie działań wdrożeniowych, korygujących i zapobiegawczych; j) organizację przeglądów Systemu Zarządzania Bezpieczeństwem Informacji oraz nadzór nad realizacją ustaleń wynikających z przeglądów; k) powiadamianie kierownictwa o działalności niezgodnej z obowiązującą w Systemie Zarządzania Bezpieczeństwem Informacji; l) nadzorowanie szkoleń z zakresu Systemu Zarządzania Bezpieczeństwem Informacji; 2. Pełnomocnik do spraw Systemu Zarządzania Bezpieczeństwem Informacji uprawniony jest do: a) wydawania poleceń wszystkim pracownikom w zakresie związanym z wdrożeniem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji; b) rozstrzygania sporów dotyczących stosowania wymagań zawartych w dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji oraz wydawania wiążących decyzji w tym zakresie; c) dostępu do wszystkich dokumentów występujących w Urzędzie Gminy Kęty, których treść może być istotna z punktu widzenia funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji; P06-Polityka SZBI, wyd. 1 8 z 12

9 d) uzyskania wyjaśnień od pracowników w zakresie realizowanych działań w ramach Systemu Zarządzania Bezpieczeństwem Informacji; e) podejmowania decyzji w kwestiach bezpieczeństwa Informacji, w zakresie nierodzącym zobowiązań finansowych; w szczególności w zakresie współpracy z pozostałymi jednostkami organizacyjnymi oraz jednostkami nadrzędnymi. 5.3 Asystent Administratora Danych Osobowych (AsADO) Asystent Administratora Danych Osobowych z upoważnienia Burmistrza (ADO): a) sprawuje nadzór nad przestrzeganiem obowiązujących zasad wynikających z funkcjonowania SZBI; b) opiniuje procesy związane z zarządzaniem systemem informatycznym przetwarzającym informacje (w tym dane osobowe) w aspekcie ich bezpieczeństwa; c) określa cele stosowania zabezpieczeń i zabezpieczenia, które funkcjonują w Urzędzie Gminy Kęty; d) nadzoruje proces doboru zabezpieczeń dla wszystkich aktywów informacyjnych Urzędu; e) organizuje szkolenia z zakresu bezpieczeństwa informacji; przygotowuje pracowników, stażystów i praktykantów w kontekście ochrony danych osobowych i bezpieczeństwa informacji; f) realizuje działania wynikające z dokumentacji bezpieczeństwa informacji i utrzymuje zapisy świadczące o funkcjonowaniu SZBI; g) na żądanie przekazuje informacje do Burmistrza (ADO) oraz Pełnomocnika o stanie bezpieczeństwa informacji w zakresie stosowanych zabezpieczeń i ocenie ich skuteczności; h) nadzorowanie pozbawiania zapisu danych osobowych z nośników, które przeznaczane są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych; i) nadzorowanie pozbawiania zapisu danych osobowych lub uszkadzanie w sposób uniemożliwiający odczytanie nośników, które przeznaczone są do likwidacji. 5.4 Administrator Systemów Informatycznych Administrator Systemów Informatycznych z upoważnienia Burmistrza (ADO): a) zarządza systemami informatycznymi ; b) prowadzi dokumentację wynikającą z zapisów SZBI; c) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa informacji; d) określa zakres uprawnień do systemów informatycznych w porozumieniu z kierującymi poszczególnymi komórkami organizacyjnymi; e) prowadzenie, uaktualnianie na bieżąco oraz przesyłanie Asystentowi Administratora Danych Osobowych informacji dotyczących zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in. wykrytego oprogramowania złośliwego lub szpiegującego oprogramowania nielegalnego lub zainstalowanego bez upoważnienia, awarii systemu informatycznego lub jego nieprawidłowego działania, stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną, awarii zasilania,; P06-Polityka SZBI, wyd. 1 9 z 12

10 5.5 Dyrektorzy oraz kierownicy komórek organizacyjnych, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie, Dyrektor lub kierownik komórki organizacyjnej, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie: a) wykonuje polecenia Pełnomocnika SZBI, Asystenta Administratora Danych Osobowych lub Administratora Systemu Informatycznego w zakresie bezpieczeństwa informacji; b) czuwa nad właściwym wykonywaniem obowiązków przez pracowników wydziału w zakresie bezpieczeństwa informacji; c) stwarza właściwe warunki organizacyjne, gwarantujące bezpieczeństwo podległych mu systemów informatycznych; d) nadzoruje właściwą lokalizację sprzętu komputerowego, tj. ustawiania monitorów i drukarek w sposób uniemożliwiający wgląd w dane osobowe osobom nieuprawnionym lub kradzież wymiennych nośników danych; e) zgłasza do AsADO konieczność udostępnienia danych osobowych uprawniony stronom i podmiotom. Wszelkie zgłoszenia do AsADO/ASI muszą być realizowane w formie pisemnej, zgodnie z obowiązującymi w Urzędzie procedurami. 6. Analiza ryzyka Analiz ryzyka jest narządziem niezbędnym w celu określenia, czy sposoby zabezpieczenia zgromadzonych i przetwarzanych danych w Urzędzie Gminy Kęty są adekwatne do ich wartości i czy odpowiadają obowiązującym wymaganiom. Sposób realizacji analizy ryzyka oraz poziomy akceptacji ryzyk są określone w dokumencie Metodyki szacowania i zarządzania ryzykiem w Urzędzie Gminy Kęty, oraz zaakceptowane przez Burmistrza. Za zarządzanie procesem analizy ryzyka odpowiedzialny jest Pełnomocnik SZBI. Wyniki analizy ryzyka przedkładane są Burmistrzowi do akceptacji, a sformułowane w nich niezgodności, potencjały do doskonalenia i wynikające z nich podatności są podstawą do sformułowania Planu postępowania z ryzykiem. Analiza ryzyka jest przeprowadzana, co najmniej raz do roku oraz aktualizowana w momencie wystąpienia poważnych zmian w działalności Urzędu. Planem postępowania z ryzykiem jest ważny jedynie po zaakceptowaniu przez Burmistrza. Analiza ryzyka prowadzona jest zgodnie z wytycznymi Ministerstwa Finansów oraz wymogami normy PN ISO/IEC 27001: Szczegółowe zasady opracowania analizy ryzyka umieszczone w dokumencie Metodyka szacowania i zarządzania ryzykiem w Urzędzie Gminy Kęty zapewniają porównywalność wyników analizy ryzyka, co najmniej przez 2 lata od momentu jej wdrożenia. Wszelkie zmiany w metodyce są dokumentowane a kopia wersji pierwotnej przetrzymywana przez 1 rok w celu archiwizowania zmian w dokumentacji. 7. Ogólne reguły bezpieczeństwa informacji W zakresie ochrony informacji w Urzędzie Gminy Kęty obowiązują następujące zasady, na podstawie których kształtuje się mechanizmy techniczne i organizacyjne bezpieczeństwa informacji: a) Zasada uprawnionego dostępu każdy pracownik przeszedł szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne oświadczenie o zachowaniu poufności. b) Zasada przywilejów koniecznych każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań. P06-Polityka SZBI, wyd z 12

11 c) Zasada wiedzy koniecznej każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań. d) Zasada usług koniecznych udostępniane powinny być tylko takie usługi jakie są konieczne do realizacji zadań statutowych. e) Zasada asekuracji każdy mechanizm zabezpieczający musi być ubezpieczony drugim, innym (podobnym). W przypadkach szczególnych może być stosowane dodatkowe (trzecie) niezależne zabezpieczenie. f) Zasada świadomości zbiorowej wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych i aktywnie uczestniczą w tym procesie. g) Zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby. h) Zasada obecności koniecznej prawo przebywania w określonych miejscach mają tylko osoby upoważnione. i) Zasada stałej gotowości system jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających. j) Zasada najsłabszego ogniwa poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element. k) Zasada kompletności skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji. l) Zasada ewolucji każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych. m) Zasada odpowiedniości używane środki techniczne i organizacyjne muszą być adekwatne do sytuacji. n) Zasada świadomej konwersacji nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi. o) Zasada segregacji zadań zadania i uprawnienia powinny być tak podzielone, aby jedna osoba nie mogła zdobyć pełni władzy nad całym systemem. p) Zasada czystego biurka dokumenty papierowe i nośniki komputerowe, kiedy nie są używane przechowuje się w specjalnych segregatorach, teczkach, szafach, korytkach na półkach, wózkach rozliczeniowych, szczególnie poza godzinami pracy, pracownik zobowiązany jest do przechowywania wszystkich dokumentów zgodnie z przyjętymi wymaganiami. q) Zasada czystego ekranu w przypadku opuszczania stanowiska pracy, należy zablokować stację roboczą. Monitor stacji powinien być ustawiony w taki sposób, by osoby postronne nie miały możliwości wglądu do przetwarzanych aktualnie informacji; wygaszacze ekranu w stacjach roboczych zostały ustawione na nie więcej niż 5 minut. r) Zasada odbioru wydruków z drukarki wszelkie wydruki zawierające dane chronione zabierane są przez uprawnioną osobę natychmiast z drukarki po zakończeniu drukowania. s) Zasada zamykania pomieszczeń ostatni pracownik opuszczający pomieszczenie zobowiązany jest do zamknięcia okien oraz drzwi zewnętrznych na klucz. Bezwzględnie zakazuje się pozostawiania klucza w zamku, pomimo obecności pracownika w pomieszczeniu. t) Zasada nadzorowania Klientów / gości Klienci przyjmowani są w pomieszczeniach pracy tylko i wyłącznie pod nadzorem pracowników Urzędu. Pracownik opiekujący się osobą trzecią zobowiązany jest do nie pozostawiania jej bez nadzoru w przypadku, gdy istnieje możliwość spowodowania przez nią incydentu bezpieczeństwa (np. nieuprawnionego dostępu do informacji). P06-Polityka SZBI, wyd z 12

12 8. Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem: a) Spełnienia wymogów prawnych i/lub organizacyjnych upoważniających do takich działań, b) spełnienia szczegółowych zaleceń dotyczących systemów informatycznych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, c) posiadania przez systemy informatyczne mechanizmów pozwalających na realizację procesów zabezpieczenia danych oraz danych osobowych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, 9. Ochrona danych osobowych Zasady postępowania z danymi osobowymi opisuje dokumentacja będąca integralną częścią SZBI. 10. Postępowanie w przypadku naruszenia bezpieczeństwa informacji Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych bezpośredniemu przełożonemu lub Administratorowi Systemów Informatycznych lub Asystentowi Administratora Danych Osobowych. Zasady postępowania zostały opisane w części dokumentacji SZBI Zarzadzanie incydentami, niezgodnościami działania korygujące. Należy powstrzymać się od wszelkich działań, mogących utrudnić ustalenie okoliczności wystąpienia danego incydentu. 11. Konsekwencje naruszenia zasad bezpieczeństwa informacji Nieprzestrzeganie postanowień dokumentacji SZBI, brak nadzoru nad bezpieczeństwem informacji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej przepisami Kodeksu Pracy. Jeżeli skutkiem działania pracownika jest ujawnienie informacji osobie nieuprawnionej, może być on pociągnięty do odpowiedzialności karnej określonej przepisami Kodeksu Karnego. Jeżeli skutkiem działania pracownika jest szkoda, ponosi on odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Kodeksu Cywilnego. 12. Historia dokumentu Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P06-Polityka SZBI, wyd z 12