Polityka Bezpieczeństwa Informacji CBOS

Transkrypt

1 Polityka Bezpieczeństwa Informacji CBOS Warszawa, październik 2015 Zbigniew Marczewski

2

3 I. Definicje Określenia użyte w Polityce Bezpieczeństwa CBOS oznaczają: a. CBOS FUNDACJA CENTRUM BADANIA OPINII SPOŁECZNEJ; b. Administrator Bezpieczeństwa Informacji pracownik CBOS powołany na stanowisko przez Dyrektora CBOS; c. Administrator Systemu Informatycznego pracownik CBOS, kierownik Zespołu Informatyki i Nowych Technologii, powołany na stanowisko przez dyrektora CBOS (w dniu zatwierdzenia polityki bezpieczeństwa informacji ); d. Aktywa informacyjne wszystko, co ma wartość dla CBOS z uwagi na zawarte w nim informacje; e. Analiza ryzyka systematyczne wykorzystywanie informacji do zidentyfikowania źródeł zagrożeń i oszacowania ryzyka; f. Ankieter CBOS osoba zatrudniona przez CBOS na podstawie umowy cywilno-prawnej, której zadaniem jest realizacja wywiadów z respondentami w ramach badań ankietowych realizowanych przez CBOS; g. Bezpieczeństwo informacji zachowanie poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność; h. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania przez CBOS osoby fizycznej, zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U Nr 133 poz. 883, z późn. zm.). i. Dostępność rozumiana jako właściwość zapewniająca, że informacje mogą być wykorzystane tylko przez upoważnione osoby w danym miejscu i czasie; j. Hasło ciąg znaków literowych, cyfrowych lub innych znany jedynie osobie uprawnionej do pracy w systemie informatycznym; k. Identyfikator użytkownika systemu informatycznego CBOS ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; l. Integralność danych rozumiana jako właściwość zapewniającą, że informacje nie mogą zostać zmienione, dodane lub usunięte przez osoby nieupoważnione; m. Kierownik jednostki organizacyjnej CBOS pracownik CBOS zarządzający pracą pracowników CBOS należących do przydzielonej mu jednostki organizacyjnej CBOS (zespołu, pracowni itp.). Strona 3 z 34

4 n. Koordynator CBOS regionalny koordynator badań CBOS, który kieruje pracą ankieterów na danym obszarze; o. Poufność danych rozumiana jako właściwość zapewniająca, że informacje nie są udostępniane nieupoważnionym podmiotom; p. Pracownik CBOS osoba zatrudniona w siedzibie CBOS w Warszawie; q. Przetwarzanie danych osobowych gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych; r. System informatyczny system przetwarzania danych w CBOS wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje; s. Szacowanie ryzyka całościowy proces analizy i oceny ryzyka; t. Uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; u. Właściciel aktywa jeżeli Polityka Bezpieczeństwa Informacji CBOS nie wskazuje dokładnie osoby będącej właścicielem danego aktywa, wtedy jest nim kierownik jednostki organizacyjnej CBOS, która korzysta z danego aktywa. W przeciwnym razie właścicielem danego aktywa jest osoba wymieniona w Polityce Bezpieczeństwa Informacji CBOS; v. Zabezpieczenie systemu informatycznego stosowanie środków organizacyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą; w. Zdarzenie zdarzenie związane z bezpieczeństwem informacji, określony stan, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem; Strona 4 z 34

5 II. Deklaracja Dyrektora CBOS w zakresie Polityki Bezpieczeństwa Informacji Informacja jest cennym aktywem mającym kluczowe znaczenie dla efektywnej realizacji misji prowadzenia badań opinii społecznej na użytek publiczny, powierzonej CBOS przez Sejm RP, realizacji badań zleconych CBOS przez instytucje publiczne oraz niepubliczne, a także dla utrzymywania dobrego wizerunku CBOS. 2. Ze względu na znaczą wartość informacja jest objęta w CBOS szczególną ochroną. O bezpieczeństwo informacji CBOS dba niezależnie od jej formy. 3. Przez bezpieczeństwo informacji rozumie się stosowanie adekwatnych do zagrożeń i ryzyka oraz potrzeb środków ochrony fizycznej i logicznej pozwalających na uzyskanie pożądanych poziomów poufności, integralności, dostępności informacji tworzonej, przechowywanej, przetwarzanej i przesyłanej. 4. Niniejsza polityka Bezpieczeństwa Informacji jest adresowana do wszystkich ankieterów, koordynatorów i pracowników CBOS. 5. Polityka Bezpieczeństwa Informacji CBOS wchodzi w życie z dniem podpisania przez Dyrektora CBOS i obowiązuje bezterminowo. III. Cel Polityki Bezpieczeństwa Informacji CBOS 3. Polityka Bezpieczeństwa Informacji CBOS ustanawia metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony informacji przetwarzanych przez CBOS. Informacje, w tym dane osobowe, stanowią szczególnie cenny zasób dla CBOS i dlatego podlegają ochronie, niezależnie od formy przechowywania elektronicznej, papierowej bądź ustnej. Ochrona informacji jest rozumiana jako zabezpieczenia środowiskowe, fizyczne i logiczne. Właściwy poziom zabezpieczeń jest tworzony na podstawie oceny zagrożeń i analizy ryzyka. Celem Polityki Bezpieczeństwa Informacji CBOS jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, w tym ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.), sposobu przetwarzania informacji należących do CBOS. Strona 5 z 34

6 IV. Zakres Polityki Bezpieczeństwa Informacji CBOS 4. W CBOS przetwarzane są informacje służące do wykonywania zadań niezbędnych dla zrealizowania uprawnienia lub spełnienia obowiązków wynikających z przepisów prawa, w szczególności obowiązków wynikających z ustawy o fundacji Centrum Badania Opinii Społecznej CBOS (Dz. U. z 1997 r. Nr 30, poz. 163). 5. Informacje służące do wykonywania zadań CBOS mogą być przetwarzane i przechowywane w postaci papierowej, elektronicznej bądź ustnej Politykę Bezpieczeństwa stosuje się do: a. danych osobowych przetwarzanych w systemie informatycznym CBOS; b. wszystkich informacji dotyczących danych pracowników CBOS, w tym danych osobowych personelu i treści zawieranych umów o pracę; c. wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji; d. wszystkich danych osób biorących udział w badaniach prowadzonych przez CBOS, w szczególności danych o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.); e. informacji dotyczących zabezpieczenia danych osobowych, w szczególności haseł w systemach przetwarzania danych osobowych; f. rejestru osób dopuszczonych do przetwarzania danych osobowych; g. innych dokumentów zawierających dane osobowe; h. wszelkich informacji wykorzystywanych do celów związanych z działalnością gospodarczą prowadzoną przez CBOS Zakres ochrony określony przez dokumenty Polityki Bezpieczeństwa Informacji CBOS ma zastosowanie do: a. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów cyfrowych oraz papierowych, w których przetwarzane są podlegające ochronie informacje wymienione w 6; Strona 6 z 34

7 b. wszystkich lokalizacji budynków i pomieszczeń, w których są lub będą przetwarzane podlegające ochronie informacje wymienione 6; c. wszystkich ankieterów, koordynatorów oraz pracowników CBOS, a także konsultantów, stażystów i innych osób mających dostęp do podlegających ochronie informacji wymienionych w 6. V. Zgodność Polityki Bezpieczeństwa Informacji CBOS z wymogami prawa Polityka Bezpieczeństwa Informacji CBOS zakłada spełnienie wymogów następujących aktów prawnych: a. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.); b. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024); c. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U r. Nr 90 poz. 631 z późń zm.); d. Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U Nr 114 poz. 740 z późn. zm.); e. Ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U Nr 116 poz z późn. zm.); f. Ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U r. Nr 152 poz z późn. zm.); g. Ustawa z dnia 26 czerwca 1974 Kodeks Pracy (Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.). VI. Definicja bezpieczeństwa informacji Dbanie o bezpieczeństwo informacji przetwarzanych przez CBOS polega na utrzymywaniu na odpowiednim poziomie: Strona 7 z 34

8 a. Poufności informacji udostępnianie informacji wyłącznie uprawnionym do tego pracownikom; b. Integralności informacji zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; c. Dostępności informacji udostępnianie danych osobom upoważnionym wyłącznie, gdy jest to potrzebne; Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: a. Niezaprzeczalności odbioru dokumentowaniem odbioru informacji przez adresata w określonym miejscu i czasie; b. Niezaprzeczalności nadania zdolnością do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie, dokumentowanie nadania informacji przez nadawcę w określonym miejscu i czasie; c. Rozliczalności działań rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane i możliwym jest zidentyfikowanie użytkownika, który działania dokonał rejestrowanie w wszystkich istotnych dla przetwarzania informacji działań oraz użytkowników. VII. Klasyfikacja informacji CBOS 11. Informacje przetwarzane przez CBOS są klasyfikowane na podstawie ich wrażliwości na potencjalne zagrożenie, na które mogą zaistnieć w trakcie ich przetwarzania. 12. Wrażliwość informacji na zagrożenie określa koszt, jaki CBOS poniesie w przypadku wystąpienia najgorszego przewidywanego scenariusza materializacji ryzyka. Ocena wrażliwości informacji i wpływu zdarzenia na działalność CBOS badawczej polega na przypisaniu informacji odpowiedniego poziomu wrażliwości mierzonego na skali od jeden do trzech zgodnie z poniższą tabelą: Strona 8 z 34

9 Poziom wrażliwości Klasyfikacja Definicja 1 Informacje ogólnodostępne 2 Informacje zastrzeżone 3 Informacje poufne Wpływ mało istotny, działanie podstawowych funkcji nie jest zagrożone, nikły wpływ na reputację, nie są naruszone poważnie przepisy prawne i standardy, Średni wpływ na ciągłość działania, możliwe zakłócenia w pracy jednak nie powodujące znaczących strat finansowych, możliwe szkody reputacji oraz naruszenia prawa lub regulacji, skutkujące pozwami lub odszkodowaniami Wysoki wpływ, znaczne zakłócenia pracy i realizacji podstawowych funkcji, możliwość poważnego naruszenia przepisów prawa, wysokie kary finansowe, znaczący uszczerbek reputacji w szczególności dane osobowe o których mowa w art.. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.) 13. Wrażliwości informacji określają właściciele aktywów informacyjnych, przy użyciu których przechowuje się informacje. VIII. Klasyfikacja aktywów informacyjnych CBOS CBOS prowadzi Rejestr Aktywów Informacyjnych, który obejmuje następujące typy aktywów wykorzystywanych przez CBOS: a. dokumenty i zbiory w postaci papierowej; b. komputery przenośne; c. komputery stacjonarne; d. serwery; e. programy komputerowe; Strona 9 z 34

10 f. dane: pliki, bazy danych i zawarte w nich informacje oraz dane umieszczone w kopiach bezpieczeństwa i archiwach umieszczanych na dowolnych nośnikach włączając w to dyski, płyty CD, DVD, BlueRay, pamięci USB. g. dokumenty papierowe h. infrastruktura sieciowa: okablowanie, routery, firewall; i. infrastruktura techniczna; j. zabezpieczenia fizyczne; k. zabezpieczenia środowiskowe; 2. Rejestr Aktywów Informacyjnych CBOS stanowi załącznik do Polityki Bezpieczeństwa Informacji CBOS (Załącznik Nr 4 do Polityki Bezpieczeństwa Informacji CBOS) Za aktualizację Rejestru Aktywów Informacyjnych odpowiedzialni są kierownicy jednostek organizacyjnych CBOS. 2. Aktualizacja Rejestru Aktywów Informacyjnych odbywa się w przy udziale Administratora Bezpieczeństwa Informacji i w terminie przez niego ustalonym. 3. Administratora Bezpieczeństwa Informacji wpisuje termin aktualizacji Rejestru Aktywów Informacyjnych do Harmonogramu działań związanych z realizacją Polityki Bezpieczeństwa Informacji CBOS (Załącznik Nr 13 do Polityki Bezpieczeństwa Informacji CBOS) Aktywa informacyjne wykorzystywane przez CBOS są klasyfikowane przy użyciu syntetycznego wskaźnika PID (Poufność-Integralność-Dostępność), którego wartość określa się na podstawie analizy trzech cech aktywów informacyjnych: a. Poufności; b. Integralności; c. Dostępności. 17. Poufność aktywów jest mierzona jako wartość liczbowa z zakresu od jednego do trzech. Poszczególne wartości są definiowane w następujący sposób: Wartość Nazwa Definicja 1 Informacje jawne Aktywo informacyjne jest nośnikiem Informacji uznawanych za powszechnie dostępne; Strona 10 z 34

11 Wartość Nazwa Definicja 2 3 Informacje chronione informacje poufne lub zastrzeżone Aktywo informacyjne jest nośnikiem Informacji przeznaczonej tylko do użytku firmy; może być udostępniane na zewnątrz zgodnie z obowiązującymi przepisami prawa, ale nie uznawane za dostępne powszechnie. Wewnątrz firmy jest dostępne tylko dla określonych osób; Aktywo informacyjne dostępne tylko dla wskazanych osób; może być udostępniane stronom trzecim w przypadku, gdy regulują to postanowienia umowy lub jest to niezbędne do realizacji zapisów umowy; podlega ochronie ze względu na obowiązujące przepisy prawa, w szczególności ze względu na ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.) oraz gdy ich udostępnienie lub utrata spowoduje naruszenie obowiązujących przepisów prawa bądź umowy ze stroną trzecią. 18. Integralność informacji oznacza stopień nadzoru nad informacją, źródłem, powstawaniem i zmianami. Integralność aktywa informacyjnego jest mierzona jako wartość liczbowa zawierająca się w przedziale od jednego do trzech, gdzie wartości zdefiniowane są w następujący sposób: Wartość Definicja Sposób gromadzenia i przechowywania informacji przy użyciu danego aktywa informacyjnego nie jest w żaden sposób kontrolowany i monitorowany; informacje gromadzone i przechowywane w sposób opisany w procedurach, nie podlegające ochronie. Dane gromadzone i przechowywane przy użyciu aktywa informacyjnego w sposób nadzorowany i audytowalny, cały proces jest weryfikowalny. Dane gromadzone i przechowywane przy użyciu aktywa w sposób nadzorowany i audytowalny, cały proces jest weryfikowalny, dane są szyfrowane lub zabezpieczone w sposób fizyczny, dostęp do danych elektronicznych za pomocą mechanizmów uwierzytelniających. 19. Dostępność aktywa jest mierzona jako wartość liczbowa zawierająca się w przedziale od jednego do czterech, gdzie wartości zdefiniowane są w następujący sposób: Wartość Definicja 1 Utrata dostępu do aktywa informacyjnego nie powoduje żadnych konsekwencji, dane mogą zostać odtworzone z innych źródeł; niedostępność danych może trwać Strona 11 z 34

12 powyżej 8 godzin roboczych. 2 Utrata/niedostępność aktywa informacyjnego nie może trwać dłużej niż 8 godziny roboczych; po tym czasie dane muszą zostać odtworzone, a działanie systemów informatycznych wznowione. 3 Aktywo informacyjne musi być dostępne w sposób ciągły. 20. Wartość wskaźnika PID jest równa sumie wartości liczbowych przyznanych danemu aktywu informacyjnemu w obszarze poufności, integralności i dostępności. Wskaźnik przyjmuje wartości od 3 do 9. IX. Zarządzanie ryzykiem 21. Zarządzanie ryzykiem jest rozumiane jako identyfikowanie potencjalnych zagrożeń, określanie ilościowe i jakościowe ryzyka oraz ustanawianie planu minimalizacji ryzyka dla aktywów informacyjnych. 22. Celem zarządzania ryzykiem jest zarządzanie poziomem ryzyka oraz adekwatną decyzją postępowania z ryzykiem. Proces zarządzania ryzykiem pozwala na efektywną alokację zasobów i środków przeznaczanych na bezpieczeństwo informacji, oraz dopasowanie działań do faktycznego profilu ryzyka Zagrożenia dotyczące aktywów informacyjnych są mierzone w trzech obszarach: a. zagrożenia środowiskowe ryzyko utraty / uszkodzenia aktywa niezależne spowodowane przez czynniki zewnętrzne np. awaria pądu, zalanie itp.; b. zagrożenia przypadkowe niezamierzona utrata / uszkodzenie aktywa informacyjnego (np. przypadkowe skasowanie zbioru danych na dysku, przypadkowe wysłanie wiadomości a, zgubienie dysku przenośnego); c. zagrożenia umyślne umyślne działanie osoby pracującej dla CBOS lub osoby z zewnątrz, które prowadzi do utraty / uszkodzenia aktywa informacyjnego (np. wyniesienie aktywa informacyjnego, kradzież, włamanie itp.) Strona 12 z 34

13 Dla każdego aktywa informacyjnego CBOS określa się oddzielnie prawdopodobieństwa wystąpienia zdarzeń dla trzech obszarów zagrożeń wymienionych w 23 (zagrożenia środowiskowe, przypadkowe i umyślne). 2. Prawdopodobieństwa te są stopniowane na skali od jednego do trzech zgodnie z poniższą tabelą: Wartość Definicja Niskie prawdopodobieństwo zdarzenie może wystąpić i należy przewidzieć tego skutki, jednak jest to bardzo mało prawdopodobne; Średnie prawdopodobieństwo nie należy wykluczyć, że zdarzenie może wystąpić w dającym się przewidzieć horyzoncie czasowym przyjętym dla danego zdarzenia; Wysokie prawdopodobieństwo zdarzenie wystąpi na pewno lub z wysokim prawdopodobieństwem, zdarzenie powtarza się lub zdarzało się już wcześniej często, lub zdarzenie pojawia się w specyficznych okolicznościach, których nie można wykluczyć Oceny prawdopodobieństw wystąpienia poszczególnych zagrożeń dokonuje się dla każdego aktywa oddzielnie. 2. Za identyfikację zagrożeń na potrzeby analizy ryzyka w CBOS odpowiedzialny jest Administrator Bezpieczeństwa Danych. 3. Oceny prawdopodobieństw wystąpienia poszczególnych zagrożeń są zapisywane dla każdego aktywa w Rejestrze Aktywów Informacyjnych. X. Analiza ryzyka 26. Wszystkie aktywa informacyjne CBOS opisane w Rejestrze Aktywów Informacyjnych (Załącznik Nr 4 do Polityki Bezpieczeństwa Informacji CBOS) analizie ryzyka. Na podstawie jej wyników określa się, jakimi procedurami powinny zostać objęte poszczególne aktywa informacyjne, aby dostosować poziom ich zabezpieczenia do wrażliwości informacji przechowywanych przy ich pomocy. Procedury te są opisane w Rejestrze Aktywów Informacyjnych. Strona 13 z 34

14 Analiza ryzyka uwzględnia trzy wskaźniki decydujące o rodzaju stosowanych zabezpieczeń względem danego aktywa informacyjnego: a. Wartość wskaźnika PID (od 3 do 9); b. Wartość najwyższą spośród wartości prawdopodobieństw wystąpienia zagrożeń: środowiskowego, przypadkowego i umyślnego (od 1 do 3); c. Wartość najwyższą spośród wartości wrażliwości przypisanych informacjom przechowywanym przy użyciu danego aktywa informacyjnego (od 1 do 3). 28. Analiza ryzyka pozwala wyznaczyć wskaźnik ryzyka, którego wartość jest równa iloczynowi wskaźników wymienionych w 27 i zawiera się w przedziale od 3 do Aktywa informacyjne są klasyfikowane w ramach trzech kategorii ze względu na otrzymaną wartość wskaźnika ryzyka: a. Akceptowalne ryzyko nie wymaga wprowadzenia procedur ochronnych; b. Podwyższone ryzyko konieczne konsultacje, możliwe opisanie procedury ochronnej; c. Wysokie ryzyko wymaga opracowania procedury i przeprowadzenia kontroli Dla każdego aktywa informacyjnego, na podstawie wartości wskaźnika ryzyka, określa się, czy i jakie procedury zapewniające powinny być wobec niego stosowane. Opis tych procedur znajduje się w Rejestrze Aktywów Informacyjnych (Załącznik Nr 4 do Polityki Bezpieczeństwa Informacji CBOS). Za dobór odpowiednich procedur ochrony odpowiada Administrator Bezpieczeństwa Informacji. Stosowane metody ochrony są dzielone na kategorie: a. ochrona fizyczna; b. ochrona środowiskowa; c. ochrona logiczna; d. ochrona proceduralna. Strona 14 z 34

15 Po każdym przeglądzie, audycie lub zmianie dotyczącej infrastruktury, organizacji, wymagań lub po incydencie Dyrektor CBOS oraz Administrator Bezpieczeństwa Informacji powinni dokonać przeglądu analizy ryzyka pod kątem: a. Przeglądu i oceny ryzyka; b. Przeglądu i oceny wskaźników mających wpływ na ryzyko takich jak: i. liczba zarejestrowanych zgłoszeń od ankieterów, koordynatorów lub pracowników CBOS dotyczących awarii i problemów z oprogramowaniem i sprzętem; ii. całkowity czas niedostępności oprogramowania; iii. liczba podatności i niezgodności z polityką bezpieczeństwa informacji (np. brak zamykanych szaf, brak właściwych zapisów w umowach); iv. czas reakcji na incydent naruszenia bezpieczeństwa informacji; v. liczba zdrożonych usprawnień/udoskonaleń; vi. liczba zgłaszanych incydentów naruszenia bezpieczeństwa informacji; vii. analizy wartości wskaźników wrażliwości informacji oraz PID i wartości prawdopodobieństwa wystąpienia ryzyka; viii. innych przyjętych wskaźników Wszelkie działania naprawcze lub korygujące, rekomendowane po przeglądzie, audycie lub zmianie dotyczącej infrastruktury powinny mieć na celu: a. poprawę wskaźników ryzyka (np. zmniejszenie liczby zgłoszeń, eliminację wybranych typów zgłoszeń, zmniejszenie wartości wybranych obszarów ryzyka itp.); b. przyjęcie planu szkoleń dla Administratora Bezpieczeństwa Informacji oraz innych kluczowych osób w zakresie bezpieczeństwa informacji oraz zarządzania ryzykiem; c. przyjęcie strategii postępowania z ryzykiem (redukcja, unikanie, transfer, akceptacja ryzyka). XI. Zakres odpowiedzialności 33. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa Informacji CBOS zobowiązani są wszyscy ankieterzy, koordynatorzy oraz pracownicy CBOS, a także konsultanci, stażyści oraz inne osoby mające dostęp do podlegających ochronie informacji wymienionych w 6. Strona 15 z 34

16 34. Dyrektor CBOS odpowiada za ustanowienie, wdrożenie i utrzymanie Polityki Bezpieczeństwa Informacji CBOS. Bezpośredni nadzór nad przestrzeganiem Polityki Bezpieczeństwa Informacji w CBOS sprawuje Administrator Bezpieczeństwa Informacji Właściciele aktywów informacyjnych są odpowiedzialni za informacje, dane oraz środki przetwarzania informacji w ramach powierzonych im obowiązków służbowych. Do obowiązków właścicieli aktywów należy: a. ocena istniejących zagrożeń dla przypisanych im aktywów informacyjnych; b. ocena ryzyka związanego z zagrożeniami oraz ocena wartości ryzyka; c. ocena wpływu materializacji zidentyfikowanych zagrożeń; d. stosowanie lub wnioskowanie o zastosowanie metod ochrony fizycznej, środowiskowej i logicznej adekwatnej do zagrożeń i wartości ryzyka; e. współpraca z Administratorem Bezpieczeństwa Informacji w celu doskonalenia Polityki Bezpieczeństwa Informacji CBOS; f. zgodność funkcjonalności systemu informatycznego z wymaganiami, w tym zarządzanie uprawnieniami użytkowników w systemie informatycznym Do zadań Dyrektora CBOS należy: a. Prawna odpowiedzialność za przestrzeganie wymagań związanych z zabezpieczeniem informacji i systemu informatycznego; b. Pełnienie roli Administratora Danych Osobowych; c. Zatwierdzanie i publikowanie dokumentów związanych z ochroną informacji, dotyczących wszystkich lub poszczególnych grupy pracowników; d. Zapewnienie wsparcia organizacyjno-finansowego przy wdrażaniu mechanizmów zabezpieczenia informacji i systemu informatycznego; e. Zapewnienie odpowiednich pomieszczeń, stosownie zabezpieczonych i wyposażonych do procesu przetwarzania danych osobowych; f. Uwzględnianie kryterium wiarygodności zatrudnianych pracowników przy rekrutacji na stanowiska związane z dostępem do informacji krytycznych lub z administrowaniem krytycznymi komponentami informatycznymi; Strona 16 z 34

17 g. Zapewnienie pracownikom szkoleń w zakresie poszerzania wiedzy i świadomości związanej z bezpieczeństwem informacji oraz stosowanymi rozwiązaniami, używanymi w administracji publicznej w celu utrzymania bądź zapewnienia odpowiedniego poziomu zabezpieczeń stosowanych w procesach przetwarzania i gromadzenia danych; h. Powoływanie Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego; i. Zapewnienie odpowiednich zapisów dotyczących poufności w umowach ze stronami trzecimi; j. Zapewnienie ograniczenia zakresu informacji dostępnych stronom trzecim do minimum wynikającego z potrzeb biznesowych; k. Sprawowanie nadzoru i współpraca z Właścicielami Aktywów w zakresie szacowania ryzyka, właściwej ochrony aktywów; l. Określanie indywidualnych obowiązków i odpowiedzialności osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.); Administrator Bezpieczeństwa Informacji: a. Odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji; b. Wdraża, nadzoruje i przestrzega Polityki Bezpieczeństwa Informacji; c. Wdraża, nadzoruje i przestrzega Instrukcji Zarządzania Systemem Informatycznym (Załącznik Nr 10) służącym do przetwarzania danych osobowych; d. Sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe; e. Sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których znajdują się aktywa informacyjne zawierające informacje objęte procedurą ochrony oraz kontrolą przebywających w nich osób; f. Sprawuje nadzór nad pracą Administratora Systemu Informatycznego pod względem bezpieczeństwa aktywów informacyjnych objętych procedurą ochrony lub zawierających dane osobowe; g. Identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone mogą być aktywa informacyjne objęte procedurą ochrony lub zawierające dane osobowe; h. Określa potrzeby w zakresie zabezpieczenia systemu informatycznego; i. Odpowiada za identyfikację zagrożeń na potrzeby analizy ryzyka w CBOS; Strona 17 z 34

18 j. Sprawuje nadzór nad bezpieczeństwem aktywów informacyjnych danych osobowych zawartych w aktywach informacyjnych CBOS; k. Sprawuje nadzór nad bezpieczeństwem aktywów informacyjnych objętych procedurami ochrony lub zawierającymi dane osobowe; l. Monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemie informatycznym CBOS; m. Prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe; n. Prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych; o. Prowadzi ewidencję miejsc przetwarzania danych osobowych w systemie informatycznych (Załącznik Nr 1); p. Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego (Załącznik Nr 1); q. Prowadzi szkolenia i zapoznaje pracowników CBOS z obowiązującą Polityką Bezpieczeństwa Informacji; r. Zapoznaje osoby zatrudnione przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie; s. Stwarza warunki organizacyjne i techniczne umożliwiające spełnienie wymogów wynikających z obowiązywania Ustawy; Administrator Systemu Informatycznego jest odpowiedzialny za: a. Bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych; b. Optymalizację wydajności systemu informatycznego, baz danych; c. Instalacje i konfiguracje sprzętu sieciowego i serwerowego; d. Instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego; e. Konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem; f. Współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych; g. Zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego; Strona 18 z 34

19 h. Zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie; i. Przeciwdziałanie próbom naruszenia bezpieczeństwa informacji; j. Przyznawanie na ściśle określonych praw dostępu do informacji do systemu Informatycznego CBOS; k. Wnioskowanie do Administratora Bezpieczeństwa Informacji w sprawie procedur bezpieczeństwa i standardów zabezpieczeń; l. Sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe; m. Zarządzanie licencjami, procedurami ich dotyczącymi; n. Prowadzenie profilaktyki antywirusowej; 39. Wszelkie inicjatywy związane z bezpieczeństwem informacji, optymalizacją wydatków, zarządzaniem rozwojem infrastruktury oraz minimalizowaniem ryzyka są koordynowane przez Dyrektora CBOS. 40. Odpowiedzialność za bezpieczeństwo informacji w CBOS ponoszą właściwi pracownicy CBOS, w gestii których one pozostają. Zarządzanie i nadzór nad bezpieczeństwem informacji są realizowane poprzez odpowiednie przypisanie ról, uprawnień i zakresów odpowiedzialności, zgodnie z poniższym schematem: Pracownicy Dyrektor CBOS Administrator Bezpieczeństwa Informacji Kierownicy jednostek organizacyjnych Koordynatorzy Ankieterzy Strona 19 z 34

20 XII. Dostęp do informacji oraz danych osobowych 41. Ankieterzy, koordynatorzy oraz pracownicy CBOS, których praca wiąże się z dostępem do aktywów informacyjnych zawierających dane osobowe lub inne informacje wrażliwe, dla których określono specjalne procedury, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w CBOS zasad ochrony informacji. 42. Zakres czynności dla osoby dopuszczonej do aktywów zawierających dane osobowe lub inne wrażliwe informacje określa zakres odpowiedzialności tej osoby za ochronę powierzonych informacji w stopniu odpowiednim do zadań realizowanych przez tą osobę. 43. Dostęp do aktywów informacyjnych zawierających dane osobowe lub inne wrażliwe informacje podmiotom zewnętrznym może być udzielony tylko na podstawie prawa oraz na podstawie zawartych umów, a w przypadku braku odpowiednich zapisów po złożeniu pisemnej deklaracji, że dane będą przetwarzane zgodnie z zachowaniem zasad określonych przez CBOS (Załączniki Nr 12 do Polityki Bezpieczeństwa Informacji CBOS). 44. Pomieszczenia, w których znajdują się aktywa informacyjne zawierające dane osobowe lub inne informacje wrażliwe, są zamykane na czas nieobecności osób posiadających uprawnienie do dostępu do nich, w sposób uniemożliwiający dostęp do nich osób trzecich. 45. Administrator Bezpieczeństwa Informacji realizując Politykę Bezpieczeństwa Informacji CBOS ma prawo wydawać instrukcje regulujące kwestie związane z ochroną danych osobowych w strukturach CBOS. Strona 20 z 34

21 Ankieterzy, koordynatorzy oraz pracownicy CBOS obowiązani są do zachowania danych osobowych w tajemnicy podczas wykonywania czynności służbowych, jak i po ustaniu zatrudnienia. 2. Ochrona zasobów danych osobowych CBOS jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków ankieterów, koordynatorów i pracowników CBOS. XIII. Zasady udzielania uprawnień do przetwarzania informacji W ramach nadawania uprawnień do przetwarzania informacji CBOS należy stosować zasadę minimalnych uprawnień, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku. 2. Uprawnieniem domyślnym jest zakaz dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, na podstawie wytycznych Polityki Bezpieczeństwa Informacji CBOS przyznawane są stosowne uprawnienia. 48. Ankieterzy, koordynatorzy i pracownicy CBOS otrzymują dostęp do aktywów informacyjnych zawierających dane osobowe, po otrzymaniu upoważnienia wydanego przez Dyrektora CBOS (Załączniki Nr 11 do Polityki Bezpieczeństwa Informacji CBOS). 49. Przed dopuszczeniem do pracy z danymi osobowymi lub innymi wrażliwymi informacjami, każdy ankieter, koordynator oraz pracownik CBOS jest przeszkalany przez Administratora Bezpieczeństwa Informacji w zakresie obowiązującej Polityką Bezpieczeństwa Informacji CBOS oraz przepisów prawa dotyczących ochrony danych osobowych, w szczególności w zakresie treści ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.). Strona 21 z 34

22 XIV. Ochrona fizyczna i środowiskowa informacji 50. W celu minimalizacji ryzyka CBOS stosuje zabezpieczenia fizyczne i środowiskowe przetwarzanych przez siebie informacji. 51. Zagrożenia fizyczne i środowiskowe są identyfikowane i stosowane są odpowiednie zabezpieczenia i środki mające na celu minimalizację zagrożeń Administrator Bezpieczeństwa Informacji ustala standardy zabezpieczeń fizycznych dla wszystkich pomieszczeń podlegających ochronie fizycznej i środowiskowej. 2. Za bezpieczeństwo fizyczne i środowiskowe odpowiedzialną są wszystkie osoby pracujące w danym pomieszczeniu. 3. Przeglądy sprawności i stanu zabezpieczeń fizycznych i środowiskowych dokonywane są na bieżąco, zgodnie z instrukcjami dla poszczególnych lokalizacji i pomieszczeń, nie rzadziej niż raz w roku Pomieszczenia CBOS podlegają ochronie polegającej na: a. zabezpieczaniu przed niepowołanym dostępem i ograniczaniu dostępu; b. ochronie przeciwpożarowej; c. tam, gdzie jest to niezbędne kontroli warunków w pomieszczeniach poprzez stosowanie klimatyzacji, wentylacji i innych stosownych rozwiązań; d. ochronie przeciwprzepięciowej i wyposażeniu w zasilacze awaryjne; e. innych uzasadnionych rozwiązań technicznych zabezpieczających pomieszczenie i urządzenia w nim umieszczone przed uszkodzeniem, zniszczeniem i kradzieżą. 2. Pomieszczenia CBOS są chronione systemem alarmowym. 3. Dostęp do pomieszczeń jest kontrolowany i nadzorowany. Istnieje procedura wydawania kluczy do pomieszczeń. 4. Obszary, w których znajdują szczególnie chronione aktywa informacyjne, podlegają szczególnej ochronie i znajdują się pod stałym nadzorem osób posiadających uprawnienia do przetwarzania danych osobowych. Strona 22 z 34

23 5. Zabrania się pozostawia komputerów niezabezpieczonych hasłem. Każdorazowe oddalenie się od służbowego komputera musi zostać poprzedzone jego zabezpieczeniem przed niepowołanym dostępem (blokowanie komputera przy pomocy sekwencji klawiszy: Klawisz Windows + L). 6. Zaleca się konfigurowanie systemu Windows na stacjach roboczych tak, aby automatycznie blokował dostęp do systemu informatycznego CBOS po 15 minutach bezczynności użytkownika. 54. Administrator Bezpieczeństwa Informacji dokonuje, co najmniej raz w roku, w trakcie audytu wewnętrznego, całościowego przeglądu istniejących zabezpieczeń fizycznych i środowiskowych. XV. Ochrona informacji przechowywanych przy pomocy dokumentacji papierowej Dokumenty papierowe zawierające informacje o istotnym znaczeniu dla CBOS są chronione przed nieuprawnioną zmianą, kopiowaniem lub zniszczeniem przez ankieterów, koordynatorów oraz pracowników CBOS, którzy z nich korzystają. 2. Wszystkie dokumenty papierowe zawierające informacje inne niż publiczne i jawne są przechowywane w zamkniętych i przeznaczonych do tego miejscach. 3. Dokumenty niepodlegające archiwizacji są niszczone w niszczarkach Wszystkie dokumenty CBOS w formie papierowej przechowywane są zgodnie z obowiązującym prawem, ustawami i rozporządzeniami. 2. Zgodnie z prawem dokumentacja finansowo-księgowa musi być przechowywana przez okres co najmniej 6 lat. 3. Okres przechowywania dokumentów zgłoszeniowych do ZUS wynosi 5 lat, natomiast dokumentów rozliczeniowych z ZUS 10 lat. 4. Akta osobowe pracowników oraz listy płac należy przechowywać co najmniej przez 50 lat Ankieterzy, koordynatorzy oraz pracownicy CBOS mogą kopiować dokumenty, do których przetwarzania są uprawnieni, tylko gdy wynika to bezpośrednio z realizowanych przez nich obowiązków służbowych. Strona 23 z 34

24 2. Kopiowanie dokumentów lub dokumentacji przez osoby nieposiadające uprawnień dostępu do tej dokumentacji lub bez uzasadnienia jest traktowane jako incydent naruszenia bezpieczeństwa informacji. 3. Dokumenty drukowane są bezzwłocznie zabrane z drukarki przez osobę drukującą. 4. Zabrania się wyrzucania bez uprzedniego zniszczenia papierowych dokumentów zawierających dane osobowe lub informacje poufne wg klasyfikacji CBOS Wynoszenie papierowych dokumentów poza biuro CBOS dopuszczalne jest jedynie w przypadkach koniecznych i uzasadnionych trybem postępowania lub zobowiązaniami prawnoadministracyjnymi. 2. Nieuzasadnione wynoszenie dokumentów jest traktowane jako incydent naruszenia bezpieczeństwa informacji. 59. Wszystkie dokumenty papierowe muszą być przechowywane w zamkniętych i przeznaczonych do tego miejscach. W szczególności po zakończeniu pracy lub w trakcie przerw, nie wolno pozostawiać dokumentów zawierających dane osobowe lub informacje poufne wg klasyfikacji CBOS bez nadzoru. XVI. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności aktywów informacyjnych zawierających dane osobowe oraz informacji poufnych wg klasyfikacji CBOS W CBOS rozróżnia się następujące kategorie środków zabezpieczeń: a. Zabezpieczenia fizyczne: i. pomieszczenia zamykane na klucz; ii. alarm; iii. monitoring przy użyciu kamer przemysłowych; iv. system kontroli dostępu; b. Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej: i. przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach; ii. przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby; Strona 24 z 34

25 c. Zabezpieczenia organizacyjne: i. osobą nadzorującą bezpieczeństwo danych osobowych jest Administrator Bezpieczeństwa Informacji CBOS; ii. przetwarzać dane osobowe mogą jedynie osoby upoważnione, które posiadają stosowne upoważnienie przyznane przez Dyrektora CBOS; iii. w trakcie przetwarzania danych osobowych, osoba upoważniona jest osobiście odpowiedzialna za bezpieczeństwo powierzonych jej danych; iv. Administrator Bezpieczeństwa Informacji prowadzi ewidencję osób uprawnionych do przetwarzania danych osobowych w CBOS (Załączniki Nr 10 do Polityki Bezpieczeństwa Informacji CBOS); v. przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, osoba upoważniona sprawdza, czy posiadane przez nią dane były należycie zabezpieczone, oraz czy zabezpieczenia te nie były naruszone; vi. w trakcie przetwarzania danych osobowych osoba upoważniona dba o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione; vii. po zakończeniu przetwarzania danych osobowych osoba upoważniona zabezpiecza należycie dane osobowe przed możliwością dostępu do nich osób nieupoważnionych. viii. Administrator Bezpieczeństwa Informacji i Administrator Systemu informatycznego CBOS na bieżąco kontrolują pracę systemu informatycznego CBOS z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami. XVII. Przetwarzanie oraz archiwizowanie danych osobowych lub informacji poufnych wg klasyfikacji CBOS 61. Przetwarzanie danych osobowych oraz informacji poufnych wg klasyfikacji CBOS następuje w wyznaczonych pomieszczeniach zamykanych na klucz przez wyznaczone do tego celu osoby. 62. Pomieszczenia, w których przetwarzane są dane osobowe oraz informacje poufne wg klasyfikacji CBOS, są zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich. Strona 25 z 34

26 63. Wydruki, które zawierają dane osobowe oraz informacje poufne wg klasyfikacji CBOS, przeznaczone do usunięcia należy niszczyć niezwłocznie w stopniu uniemożliwiającym ich odczytanie. 64. Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora Systemu Informatycznego Archiwizacja informacji poufnych wg klasyfikacji CBOS oraz danych osobowych odbywa w formie elektronicznej oraz papierowej. 2. Aktywa informacyjne zwierające dane osobowe lub informacje poufne wg klasyfikacji CBOS przechowywane są w wydzielonych pomieszczeniach w zamkniętych szafach, które są zabezpieczone przed dostępem osób nieupoważnionych. XVIII. Współpraca z podmiotami zewnętrznymi, w tym z klientami, ośrodkami regionalnymi lub ankieterami prowadzącymi działalność gospodarczą Zasada współpracy ze stronami trzecim, udostępnianie informacji i przekazywanie dostępu do systemu informatycznego CBOS regulują umowy pomiędzy stronami. Umowy takie, w szczególności umowy z ankieterami oraz koordynatorami zawierają zapis zgodnie z Polityką Bezpieczeństwa Informacji CBOS oraz adekwatne do oceny ryzyka związanego z realizacją przedmiotu danej umowy 2. Każda umowa zawierana ze stroną trzecią powinna zawierać wskazanie osoby odpowiedzialnej za współpracę, a także: a. Zobowiązanie strony trzeciej do zachowania poufności informacji będących własnością CBOS, w posiadanie których strona trzecia wchodzi w wyniku współpracy z CBOS; b. Oświadczenie strony trzeciej, że jest świadoma swoich zobowiązań w zakresie przetwarzaniem, przekazywaniem lub zarządzaniem informacjami należącymi do CBOS. Strona 26 z 34

27 Osoby reprezentujące strony trzecie współpracujące z CBOS uzyskują dostęp do informacji lub systemu informatycznego CBOS tylko w wypadkach uzasadnionych względami prowadzonej działalności lub merytorycznymi. 2. Przed udostępnieniem informacji lub systemu informatycznego CBOS stronie trzeciej, właściwe dla reprezentacji strony trzeciej osoby podpisują z CBOS odpowiedni protokół, którego elementem jest deklaracja o zachowaniu poufności oraz przestrzegania zasad dotyczących bezpieczeństwa informacji (Załączniki Nr 12 do Polityki Bezpieczeństwa CBOS). 3. Prawa dostępu do informacji lub systemu informatycznego CBOS są przydzielane osobom trzecim na takich samych zasadach jak ankieterom, koordynatorom i pracownikom CBOS, czyli w minimalnym zakresie wymaganym do realizacji uzgodnionych zadań. 4. Prawa dostępu do informacji lub systemu informatycznego CBOS są przydzielane osobom trzecim na ściśle określony czas. 5. Administrator Bezpieczeństwa Informacji prowadzi ewidencję osób i podmiotów trzecich, którym udostępniane są informacje oraz system informatycznych CBOS (Załączniki Nr 13 do Polityki Bezpieczeństwa CBOS). 6. Za prawidłowy przebieg udostępniania informacji lub systemu informatycznego CBOS stronom trzecim odpowiedzialni są pracownicy CBOS wskazani w umowach zawartych ze stronami trzecimi (Załączniki Nr 12 do Polityki Bezpieczeństwa CBOS). 7. Jeśli strona trzecia wykonuje prace administracyjne w systemie informatycznym CBOS, zakres tych prac musi być uzgodniony przed ich wykonaniem z pracownikami Zespołu Informatyki i Nowych Technologii. W trakcie prac musi zostać zapewnione, że wszystkie działania są rejestrowane, monitorowane i odwracalne. Po zakończeniu prac musi zostać przedstawiony raport z ich wykonania. XIX. Weryfikacja przestrzegania Polityki Bezpieczeństwa Informacji CBOS 68. Administrator Danych Osobowych okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń Polityki Bezpieczeństwa Informacji CBOS. Strona 27 z 34

28 69. Każdy incydent związany z naruszeniem zasad Polityki Bezpieczeństwa Informacji CBOS jest rejestrowany (Załączniki Nr 2 Polityki Bezpieczeństwa Informacji CBOS), a Dyrektor CBOS podejmuje stosowne kroki zaradcze CBOS, świadomy znaczenia czynnika ludzkiego w procesie zapewnienia bezpieczeństwa informacji, prowadzi planową i świadomą politykę szkoleń. 2. Szkolenia z zakresu Polityki Bezpieczeństwa Informacji CBOS są prowadzone raz w roku, zgodnie z ustalonym na początku każdego roku kalendarzowego harmonogramem (Załączniki Nr 14 do Polityki Bezpieczeństwa Danych Osobowych CBOS Centrum Badania Opinii Społecznej). 3. Wszyscy ankieterzy, koordynatorzy i pracownicy CBOS są zobowiązani raz do roku przejść szkolenie w zakresie aktualnie obowiązującej Polityki Bezpieczeństwa Informacji CBOS. XX. Wewnętrzne audyty bezpieczeństwa informacji CBOS 71. Audyty wewnętrzne dotyczące przestrzegania Polityki Bezpieczeństwem Informacji CBOS przez ankieterów, koordynatorów i pracowników CBOS są realizowane w drugim kwartale każdego roku, zgodnie z przyjętym przez Administratora Bezpieczeństwa Informacji rocznym planem audytów. Audyt jest realizowany przez Administratora Bezpieczeństwa Informacji oraz ewentualnie przez inne przeszkolone przez niego osoby spośród pracowników CBOS W celu uzyskania niezależnej opinii poszczególne kontrole mogą być powierzone audytorom zewnętrznym. W szczególności mogą one obejmować zadania takie jak: a. ocena stanu bezpieczeństwa infrastruktury informatycznej; b. ocena stanu konfiguracji urządzeń sieciowych i serwerów; c. ocena procedur i stosowanych praktyk; d. ocena ochrony fizycznej informacji Wyniki audytu zapisywane są w postaci raportu. Strona 28 z 34

29 2. Spostrzeżenia, uwagi i wykaz odstępstw stanowią wsad do analizy ryzyka dla poszczególnych aktywów. 3. Przyjęte działania naprawcze realizowane są zgodnie z przyjętymi w CBOS zasadami, dotyczącymi w szczególności wprowadzania i stosowania zarządzeń wewnętrznych. 4. Po zakończeniu audytu, jego wyniki omawiane są przez Dyrektora CBOS. XXI. Zasady tworzenia, przechowywania oraz udostępniania dokumentów Polityki Bezpieczeństwa Informacji CBOS 74. Dokumenty Polityki Bezpieczeństwa Informacji CBOS są chronione i nadzorowane przez Administratora Bezpieczeństwa Informacji Dokumenty Polityki Bezpieczeństwa Informacji CBOS tworzy Administrator Bezpieczeństwa Informacji. 2. Lista wszystkich dokumentów stworzonych przez Administratora Bezpieczeństwa Informacji w ramach Polityki Bezpieczeństwa Informacji CBOS jest częścią Polityki Bezpieczeństwa Informacji CBOS. 3. Aby spełnić wymogi ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz. 883 z późn. zm.) oraz ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), w Polityce Bezpieczeństwa informacji CBOS zawarto: a. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; b. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; c. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiazania między nimi; d. opis sposobu przepływu danych pomiędzy poszczególnymi systemami; e. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Strona 29 z 34

30 f. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; g. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarzadzaniem i użytkowaniem; h. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego CBOS; i. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; j. sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych; k. sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania; l. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 4. Dodatkowo częścią Polityki Bezpieczeństwa Informacji jest Rejestr Aktywów Informacyjnych CBOS zawierający wyniki analizy ryzyka przeprowadzonej dla każdego aktywa informacyjnego oraz opis procedur zapewniających bezpieczeństwo informacjom przechowywanym przy pomocy aktywów. 5. Strukturę dokumentów Polityki Bezpieczeństwa Informacji CBOS ustala Administrator Bezpieczeństwa Informacji. 76. Dokumenty Polityki Bezpieczeństwa Informacji CBOS zatwierdza Dyrektor CBOS składając swój podpis. 77. Dokumenty Polityki Bezpieczeństwa Informacji CBOS są wprowadzane w życie przez Dyrektora CBOS przy użyciu zarządzenia i zaczynają obowiązywać z chwilą jego wydania Zmiany w Polityce Bezpieczeństwa Informacji CBOS wprowadza Administrator Bezpieczeństwa Informacji. 2. Administrator Bezpieczeństwa Informacji wprowadza zmiany w Polityce Bezpieczeństwa Informacji CBOS: Strona 30 z 34

31 a. na polecenie Dyrektora CBOS; b. na podstawie wniosków z raportów o incydentach dotyczących naruszenia bezpieczeństwa informacji CBOS; c. na podstawie analiz podatności na zagrożenia informacji przetwarzanych przez CBOS; d. na podstawie wyników audytu wewnętrznego dotyczącego Polityki Bezpieczeństwa Informacji CBOS; e. na podstawie wyników audytu zewnętrznego dotyczącego Polityki Bezpieczeństwa Informacji CBOS; f. na podstawie wniosków z przeglądu Polityki Bezpieczeństwa Informacji CBOS przeprowadzonego przez kierownictwo CBOS; 3. Wszelkie zmiany w Polityce Bezpieczeństwa informacji CBOS są wprowadzane w ramach nowego wydania Polityki Bezpieczeństwa Informacji CBOS. Stare wydania Polityki Bezpieczeństwa Informacji CBOS, w wersji papierowej i elektronicznej, są archiwizowane przez Administratora Bezpieczeństwa Informacji przez okres przynajmniej jednego roku. Po upływie roku mogą zostać zniszczone. 4. Kolejne wydania Polityki Bezpieczeństwa Informacji CBOS oznacza się miesiącem i rokiem wydania na stronie tytułowej. 5. Każde obowiązujące wydanie Polityki Bezpieczeństwa Informacji CBOS jest opatrzone datą zatwierdzenia przez Dyrektora CBOS. 6. Obowiązującą wersją Polityki Bezpieczeństwa Informacji CBOS jest zawsze najnowsze jej wydanie. 79. Administrator Bezpieczeństwa Informacji informuje wszystkich ankieterów, koordynatorów oraz pracowników CBOS o wejściu w życie każdego wydania Polityki Bezpieczeństwa Informacji CBOS niezwłocznie po jego zatwierdzeniu przez dyrektora CBOS przy pomocy poczty elektronicznej oraz na zebraniach kierowników jednostek organizacyjnych CBOS Dokumenty Polityki Bezpieczeństwa Informacji podlegają okresowemu przeglądowi w trakcie audytu wewnętrznego dotyczącego Polityki Bezpieczeństwa Informacji CBOS. 2. Przegląd dokumentów również może być podstawą do wprowadzenia zmian w Polityce Bezpieczeństwa Informacji CBOS. Strona 31 z 34