POLITYKA BEZPIECZEŃSTWA INFORMACJI

Transkrypt

1 Załącznik nr 1 do Zarządzenia nr 23/2014 z dnia r. POLITYKA BEZPIECZEŃSTWA INFORMACJI Poznań 2014

2 Spis treści: SŁOWNIK TERMINÓW STRATEGIA BEZPIECZEŃSTWA Definicja strategii bezpieczeństwa Cel strategii bezpieczeństwa Deklaracja Kierownictwa Urzędu Marszałkowskiego Regulacje ogólne Uwarunkowania prawne Potencjalne zagrożenia Zasady ochrony zasobów informacyjnych ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MARSZAŁKOWSKIM Role związane z zapewnieniem bezpieczeństwa informacji Zespół Sterujący ds. Bezpieczeństwa Informacji Zadania Zespołu Sterującego ds. Bezpieczeństwa Informacji Uprawnienia Przewodniczącego Zespołu Sterującego ds. Bezpieczeństwa Informacji Obowiązki pracowników, stażystów, praktykantów, wolontariuszy Urzędu Marszałkowskiego oraz osób fizycznych, prawnych i nieposiadających osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne Bezpieczeństwo w umowach cywilno-prawnych z kontrahentami i jednostkami zewnętrznymi Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji Przegląd i ocena PBI ZARZĄDZANIE ZASOBAMI Własność zasobów Klasyfikacja ważności zasobów informacyjnych Oznaczanie informacji i postępowanie z informacją HIERARCHIA DOKUMENTACJI Dokumentacja Polityki Bezpieczeństwa Informacji DZIAŁANIA URZĘDU MARSZAŁKOWSKIEGO W ZAKRESIE REALIZACJI I UDOSKONALANIA PBI ZAŁĄCZNIKI: Strona 2 z 14

3 SŁOWNIK TERMINÓW Występujące w Polityce Bezpieczeństwa Informacji zwroty oznaczają: 1. ABI Administrator Bezpieczeństwa Informacji osoba odpowiedzialna za nadzór nad przetwarzaniem danych osobowych. 2. ADO Administrator Danych Osobowych osoba decydująca o celach i środkach przetwarzania danych osobowych. W Urzędzie Marszałkowskim Administratorem Danych Osobowych jest Marszałek Województwa. 3. Analiza ryzyka - proces identyfikacji ryzyka, określanie jego wartości, identyfikowanie zagrożeń i określanie niezbędnych zabezpieczeń. 4. APL Administrator aplikacji osoba odpowiedzialna za funkcjonowanie aplikacji, nadzór nad ochroną przetwarzanych w niej danych oraz odpowiada za prawidłowe przydzielenie dostępu do funkcji i zasobów aplikacji dla użytkowników. 5. ASI Administrator Systemów Informatycznych - osoba odpowiedzialna za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa jego dotyczących. 6. Gestor pełni nadzór nad zasobem i decyduje we wszelkich sprawach merytorycznych dotyczących tego zasobu. Rolę Gestora pełni Dyrektor Biura/Departamentu, Zespołu, który na mocy Regulaminu Organizacyjnego jest odpowiedzialny za dany zasób. 7. Informacja wrażliwa są to takie informacje, których nieuprawnione upublicznienie (ujawnienie) może mieć szkodliwy wpływ na wykonywanie zadań przez UMWW i które mogą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione wykorzystanie np.: dane osobowe, tajemnica przedsiębiorstwa, tajemnice branżowe i inne. 8. Jednostka zewnętrzna / podmiot zewnętrzny / firma zewnętrzna - podmiot posiadający dostęp do zasobów UMWW z racji powierzonych mu zadań, na podstawie przepisów prawa lub zawartych z nim umów, nie będący komórką organizacyjną Urzędu. 9. Kierownictwo Urzędu Zarząd Województwa Wielkopolskiego, Skarbnik Województwa Wielkopolskiego, Sekretarz Województwa Wielkopolskiego oraz dyrektorzy departamentów i biur Urzędu Marszałkowskiego. 10. Kluczowy sprzęt informatyczny - serwery, aktywne i pasywne urządzenia sieci informatycznej, centrale telefoniczne oraz urządzenia zapewniające zasilanie bezprzerwowe. 11. Komórka organizacyjna Departamenty i Biura Urzędu Marszałkowskiego Województwa Wielkopolskiego. 12. Kontrahent/wykonawca - osoba fizyczna lub prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej, którym ustawa przyznaje zdolność prawną do zawierania umów, na podstawie których świadczy usługi na rzecz UMWW. 13. Marszałek - Marszałek Województwa Wielkopolskiego. 14. Osoby upoważnione przez Marszałka do wykonywania zadań Administratora Danych Osobowych wskazani pracownicy, którzy wykonują czynności techniczne i nadzorują przestrzeganie przetwarzania danych osobowych w imieniu Administratora Danych Osobowych. 15. PBI - Polityka Bezpieczeństwa Informacji. 16. Podatność - skłonność zasobu na oddziaływanie zagrożeń. 17. Pracownik osoba zatrudniona w Urzędzie Marszałkowskim na podstawie umowy o pracę, umowy cywilno-prawnej, stażysta, praktykant lub wolontariusz. 18. Przełożony Marszałek, decernent, Skarbnik Województwa Wielkopolskiego, Sekretarz Województwa, dyrektor, z-ca dyrektora, kierownik wydziału lub naczelnik oddziału Departamentu/Biura. 19. Ryzyko - prawdopodobieństwo, że występujące zagrożenie może spowodować straty w zasobach. 20. Sekretarz Sekretarz Województwa Wielkopolskiego. Strona 3 z 14

4 21. System informacyjny - system, w którym w trakcie zachodzących w nim procesów gromadzi się, przetwarza, przechowuje i udostępnia informacje, niezależnie od sposobu realizacji tych procesów. 22. System teleinformatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, aplikacji, usług, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu elektronicznego przetwarzania danych. 23. Urząd, Urząd Marszałkowski, UMWW - Urząd Marszałkowski Województwa Wielkopolskiego w Poznaniu. 24. Wytyczne Bezpieczeństwa Informacji wyciąg z Zasad Zarządzania Bezpieczeństwem Informacji. 25. Zagrożenie - potencjalna przyczyna niepożądanego incydentu, którego skutkiem mogą być straty w zasobach. 26. Zasób - są to dobra materialne i niematerialne, które posiadają wartość dla Urzędu Marszałkowskiego, zapewniające funkcjonowanie Urzędu np.: mienie wykorzystywane w Urzędzie Marszałkowskim oraz przez jego pracowników, informacje przetwarzane w Urzędzie Marszałkowskim, pracownicy, wizerunek Urzędu Marszałkowskiego i inne. 27. Zasób informacyjny - są to zasoby materialne i niematerialne, w tym wszelkiego rodzaju użyteczne dane (informacje), niezbędne do skutecznego i zgodnego z przepisami prawa podejmowania decyzji. 28. ZSBI - Zespół Sterujący ds. Bezpieczeństwa Informacji. 29. ZZBI - Zasady Zarządzania Bezpieczeństwem Informacji dokument zawierający szczegółowe wytyczne dotyczące przetwarzania i ochrony zasobów Urzędu Marszałkowskiego, który jest dla Urzędu instrukcją zarządzania systemem teleinformatycznym. 1. STRATEGIA BEZPIECZEŃSTWA 1. Definicja strategii bezpieczeństwa 1. Bezpieczeństwo Urzędu Marszałkowskiego to stan określony przez przyjęty zbiór norm, zasad, rozwiązań oraz środków i metod ochrony zasobów, którego miarą jest poziom ryzyka naruszenia dostępności, poufności lub integralności tych zasobów. 2. Bezpieczeństwo informacji Urzędu Marszałkowskiego jest zapewnione, jeżeli ryzyko naruszenia dostępności, poufności lub integralności chronionych zasobów w Urzędzie Marszałkowskim nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce. 3. Wprowadzenie PBI ma na celu obniżanie zidentyfikowanych ryzyk. 2. Cel strategii bezpieczeństwa Zapewnienie wymaganego zaangażowania pracowników w utrzymanie bezpieczeństwa systemów informacyjnych, określenie kierunków rozwoju zarządzania bezpieczeństwem tych systemów, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowanie sprawnego funkcjonowania Urzędu Marszałkowskiego. Strona 4 z 14

5 3. Deklaracja Kierownictwa Urzędu Marszałkowskiego 1. PBI wyznacza kierunek działania Kierownictwa oraz pracowników Urzędu Marszałkowskiego w celu zapewnienia systemowego nadzoru nad gromadzeniem, przetwarzaniem, przechowywaniem i udostępnianiem informacji, niezależnie od sposobu realizacji tych procesów. 2. Kierownictwo Urzędu Marszałkowskiego zapewnia bezpieczeństwo zasobów oraz informacji zawartych w systemach informacyjnych Urzędu Marszałkowskiego i poza nimi, w sposób opisany w ZZBI, ponieważ mają one fundamentalne znaczenie dla realizacji misji i celów statutowych Urzędu Marszałkowskiego. 3. PBI wyraża wolę Kierownictwa Urzędu Marszałkowskiego w zakresie ochrony jej zasobów. 4. Kierownictwo Urzędu Marszałkowskiego aktywnie wspiera procesy zmierzające do zapewnienia bezpieczeństwa przetwarzania informacji poprzez wdrażanie, rozwój, uaktualnianie PBI oraz regulacji z niej wynikających. 5. PBI oraz regulacje z niej wynikające obowiązują wszystkich pracowników, stażystów, praktykantów, wolontariuszy oraz inne osoby fizyczne, prawne lub nieposiadające osobowości prawnej, które uzyskują dostęp do zasobów Urzędu Marszałkowskiego, poza użytkownikami informacji publicznie dostępnych. Kierownictwo Urzędu Marszałkowskiego odpowiada za zapewnienie środków na te cele. 6. Użytkowników serwisów internetowych Urzędu Marszałkowskiego obowiązują regulacje wynikające z Polityk prywatności obowiązujących na tychże serwisach. 7. PBI ustala wytyczne do stworzenia zasad ochrony systemów informacyjnych, ze szczególnym uwzględnieniem systemu teleinformatycznego Urzędu Marszałkowskiego i zawartych w nich informacji. 8. Każdy pracownik, stażysta, praktykant, wolontariusz oraz inna osoba fizyczna, prawna lub nieposiadająca osobowości prawnej, która uzyskuje uprawnienie/upoważnienie dostępu do zasobów Urzędu Marszałkowskiego zostaje zapoznany z PBI oraz ZZBI, potwierdza ten fakt pisemnym oświadczeniem oraz zobowiązuje się przestrzegać zasady, reguły i postanowienia z nich wynikające. Wzór oświadczenia stanowi załącznik nr 1 do PBI. 9. Procedury i regulacje wewnętrzne Urzędu Marszałkowskiego nie mogą naruszać zapisów określonych w PBI i ZZBI. 4. Regulacje ogólne 1. Życie i zdrowie osób jest dobrem najwyższym i ich ochrona w sytuacji zagrożenia jest ważniejsza niż ochrona jakichkolwiek innych zasobów. 2. Ponad to ochronie podlegają: a. informacje przetwarzane w Urzędzie Marszałkowskim, niezależnie od ich formy i nośnika, b. sprzęt wykorzystywany do przetwarzania, przesyłania i przechowywania informacji w Urzędzie Marszałkowskim, c. pomieszczenia, w których znajduje się kluczowy sprzęt informatyczny, dokumenty zawierające tajemnice prawnie chronione, w tym dane osobowe, d. oprogramowanie wykorzystywane w Urzędzie Marszałkowskim, e. wizerunek Urzędu Marszałkowskiego, f. pozostałe mienie wykorzystywane w Urzędzie Marszałkowskim, Strona 5 z 14

6 3. Celem ustanowienia PBI jest zapewnienie poufności, dostępności, integralności, przy zachowaniu autentyczności, niezaprzeczalności i rozliczalności, informacji przetwarzanych w Urzędzie Marszałkowskim. a. Poufność informacji - oznacza, że jest ona dostępna wyłącznie dla osób, które zostały upoważnione do korzystania z danej informacji. b. Dostępność informacji - oznacza możliwość wykorzystania zasobu przez upoważnioną osobę, na każde uzasadnione żądanie, w ustalonym czasie. c. Integralność informacji - oznacza, że informacja nie uległa zmianie od czasu ostatniej autoryzowanej modyfikacji lub nie została usunięta w niekontrolowany sposób. d. Autentyczność - właściwość polegającą na tym, że pochodzenie lub zawartość danych jest taka jak deklarowana. e. Niezaprzeczalność - brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie. f. Rozliczalność - właściwość pozwalającą przypisać określone działanie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. 4. Bezpieczeństwo informacji w Urzędzie Marszałkowskim osiąga się wdrażając zabezpieczenia techniczne i organizacyjne w szczególności poprzez: zarządzenia Marszałka, procedury, zasady, instrukcje zapewniające przejrzystą strukturę organizacyjną oraz przez bieżący przegląd prawidłowego funkcjonowania oprogramowania i sprzętu, służącego do przetwarzania informacji. Zabezpieczenia te są monitorowane w celu ich ciągłego doskonalenia. 5. Bezpieczeństwo Informacji Urzędu Marszałkowskiego obejmuje nie tylko siedzibę Urzędu Marszałkowskiego, ale także wszelkie sytuacje, w których informacje związane z działalnością Urzędu Marszałkowskiego są przetwarzane poza jego siedzibą. Obejmuje to w szczególności zdalny dostęp do sieci komputerowej Urzędu Marszałkowskiego. 5. Uwarunkowania prawne PBI jest zgodna z regulacjami prawnymi zawartymi w załączniku nr 2 do niniejszego dokumentu. 6. Potencjalne zagrożenia 1. Zasoby istotne dla realizacji zadań Urzędu Marszałkowskiego a w szczególności informacje i sprzęt niezbędny do ich przechowywania i przetwarzania, są narażone na różne zagrożenia, które identyfikuje się w następujących obszarach ryzyka: a. naruszenie poufności - rozumiane jako udostępnienie informacji i zasobów, osobom nieupoważnionym np.: przekazanie informacji pracownikom nieupoważnionym, osobom niezatrudnionym w Urzędzie Marszałkowskim, kradzież zasobu, zagubienie zasobu. b. naruszenie dostępności - rozumiane jako, znaczne obniżenie istotnych parametrów funkcjonalnych zasobów lub utrata danych np.: zniszczenie zasobu, kradzież zasobu na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania. c. naruszenie integralności - rozumiane jako, nieautoryzowana zmiana treści informacji na skutek nieumyślnego, umyślnego lub przypadkowego działania. d. naruszenie autentyczności rozumiane jako, uniemożliwienie weryfikacji informacji lub danych je opisujących. Strona 6 z 14

7 e. naruszenie niezaprzeczalności rozumiane jako, zanegowanie swego uczestnictwa w procesie wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie. f. naruszenie rozliczalności rozumiane jako, uniemożliwienie weryfikacji działań przez osoby biorące udział w procesach wytwarzania i przetwarzania informacji. 2. Zadaniem regulacji zawartych w PBI jest zmniejszenie ryzyka płynącego z zagrożeń do akceptowalnego poziomu, to znaczy zminimalizowanie możliwości naruszenia bezpieczeństwa zasobów informacyjnych Urzędu Marszałkowskiego, umożliwienie wczesnego wykrycia takiego naruszenia, zminimalizowanie strat związanych z takim naruszeniem oraz sprawne usunięcie jego skutków. 7. Zasady ochrony zasobów informacyjnych 1. Skuteczna ochrona zasobów Urzędu Marszałkowskiego wymaga wspólnego działania i zaangażowania wszystkich pracowników. 2. W sytuacjach kryzysowych, ujawnienie informacji wrażliwych uznawane jest, jako zagrożenie mniejsze od zniszczenia tych informacji. Nie dotyczy to informacji niejawnych w rozumieniu ustawy o ochronie informacji niejawnych. 3. Obowiązek ochrony zasobów Urzędu Marszałkowskiego, w przypadku współpracy z kontrahentami i jednostkami zewnętrznymi, określany jest w ramach umów zawartych z tymi podmiotami. 4. Pracownicy Urzędu Marszałkowskiego zobowiązani są do używania zasobów Urzędu wyłącznie do celów służbowych. W związku z tym wszyscy użytkownicy zasobów podlegają monitoringowi zgodnie z ZZBI. 5. W celu zapewnienia bezpieczeństwa zasobów informacyjnych Urzędu Marszałkowskiego stosuje się następujące ogólne zasady: a. Zasada przywilejów koniecznych: każdy pracownik posiada prawa dostępu do zasobów Urzędu, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu obowiązków. b. Zasada wiedzy koniecznej: pracownikom przekazuje się wiedzę o zasobach Urzędu ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych im zadań. c. Zasada asekuracji zabezpieczeń: ochrona zasobów powinna opierać się na co najmniej dwóch mechanizmach zabezpieczenia. d. Zasada rozliczalności: kierownictwo Urzędu dąży do zapewnienia jednoznacznej odpowiedzialności pracowników za powierzone im zasoby. Wszyscy użytkownicy zasobów informacyjnych ponoszą odpowiedzialność za zaniedbanie swoich obowiązków bądź przekazanie swoich przywilejów innym osobom. Strona 7 z 14

8 2. ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MARSZAŁKOWSKIM 8. Role związane z zapewnieniem bezpieczeństwa informacji 1. Marszałek zatwierdza PBI i dokumenty opracowane na jej podstawie, zmiany organizacyjne wynikające z PBI oraz budżet przeznaczony na PBI. Jest administratorem danych osobowych w Urzędzie Marszałkowskim w rozumieniu art. 3 ust. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 2. Zespół Sterujący ds. Bezpieczeństwa Informacji (ZSBI) odpowiada za koordynację rozwoju i wdrażania PBI, a także analizuje zagrożenia i incydenty związane z bezpieczeństwem informacji. 3. Zespoły powoływane doraźnie do realizacji projektów, w tym komisje przetargowe, odpowiadają za zgodność projektu lub przetargu z wymogami PBI oraz za przestrzeganie procedur bezpieczeństwa w trakcie analizowania, projektowania, testowania i wdrażania tego projektu lub przetargu. 4. Dyrektor Departamentu/Biura, odpowiada za przestrzeganie Polityki Bezpieczeństwa Informacji w podległej jemu komórce organizacyjnej. 5. Dyrektor Departamentu Administracyjnego (Dyrektor DA) odpowiada za zabezpieczenie i ochronę pomieszczeń oraz obsługę administracyjno-techniczną Urzędu. 6. Audytor Wewnętrzny (BA) przeprowadza audyty, mające na celu, ocenę stosowanych rozwiązań i ich zgodność z obowiązującymi przepisami prawa, PBI oraz procedurami. 7. Dyrektor Departamentu Organizacyjnego i Kadr (Dyrektor DO) odpowiada za organizację szkoleń z zakresu PBI. 8. Osoby upoważnione przez Marszałka do wykonywania zadań Administratora Danych Osobowych wskazani pracownicy, którzy wykonują czynności techniczne i nadzorują przestrzeganie przetwarzania danych osobowych w imieniu Administratora Danych Osobowych. 9. Pełnomocnik Marszałka ds. Ochrony Informacji Niejawnych odpowiada za ochronę informacji niejawnych w rozumieniu Ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych. 10. Administrator Bezpieczeństwa Informacji (ABI) monitoruje przestrzeganie zasad bezpieczeństwa, prowadzi kontrolę przetwarzania danych osobowych oraz pełni rolę głównego arbitra merytorycznego w zakresie bezpieczeństwa systemów informatycznych w Urzędzie Marszałkowskim. 11. Administrator Systemów Informatycznych (ASI) odpowiada za nadzór, bieżące utrzymanie i funkcjonowanie systemu teleinformatycznego, zapewniając poufność, integralność i dostępność informacji przetwarzanych w tych systemach oraz odpowiada za usuwanie ewentualnych niezgodności z regulacjami określonymi w PBI. 12. Administrator Bezpieczeństwa Teleinformatycznego odpowiada za stosowanie przyjętych procedur bezpieczeństwa w systemie teleinformatycznym, wykrywanie i analizę działań niezgodnych z regulacjami określonymi w PBI i prawie polskim. 13. Gestor pełni nadzór nad zasobem i decyduje we wszelkich sprawach merytorycznych dotyczących tego zasobu. Rolę Gestora pełni Dyrektor Biura/Departamentu lub przewodniczący Zespołu, który na mocy Regulaminu Organizacyjnego Urzędu Marszałkowskiego jest odpowiedzialny za dany zasób. W przypadku rozbudowanych systemów wielomodułowych, poszczególne moduły systemu mogą mieć kilku Gestorów, przy czym przyjmuje się wtedy jednolite sposoby nadzoru nad całością systemu poprzez ustanowienie Głównego Gestora Zasobu wraz z przypisaniem mu zasobu. 14. Przełożony odpowiada za nadzór nad realizacją zadań wynikających z PBI przez podległych pracowników. Strona 8 z 14

9 15. Pracownik Urzędu Marszałkowskiego, bez względu na pełnioną funkcję lub posiadane stanowisko ma obowiązek dołożyć wszelkich starań, aby chronić powierzone mu i używane przez niego zasoby. Ponadto ma obowiązek informowania osoby odpowiedzialne za bezpieczeństwo informacji o każdym zauważonym przez niego przypadku naruszenia bezpieczeństwa. 9. Zespół Sterujący ds. Bezpieczeństwa Informacji 1. W skład ZSBI wchodzą: a. Przewodniczący osoba wskazana przez Marszałka, b. Dyrektor Departamentu Administracyjnego, c. Dyrektor Departamentu Organizacyjnego i Kadr, d. Osoba upoważniona przez Marszałka do wykonywania czynności technicznych Administratora Danych Osobowych, e. Pełnomocnik Marszałka ds. Ochrony Informacji Niejawnych, f. Administrator Bezpieczeństwa Informacji, g. Administrator Systemów Informatycznych, h. Administrator Bezpieczeństwa Teleinformatycznego, i. Sekretarz Zespołu wskazany przez Przewodniczącego ZSBI, 2. W obradach ZSBI uczestniczy Dyrektor Biura Audytu Wewnętrznego z głosem doradczym. 3. W obradach ZSBI uczestniczy radca prawny z głosem doradczym. 4. Skład Zespołu może być powiększony o dodatkowe osoby wyznaczone przez Przewodniczącego ZSBI lub Marszałka Województwa. 5. Zespół pracuje na posiedzeniach zwyczajnych lub nadzwyczajnych. 6. Posiedzenia zwyczajne odbywają się nie rzadziej niż raz na pół roku. 7. Nadzwyczajne posiedzenie może zostać zwołane w przypadku wystąpienia próby naruszenia bezpieczeństwa lub innych okoliczności wymagających niezwłocznego działania. 8. Obrady ZSBI zwołuje jego Przewodniczący. 9. Nadzwyczajne posiedzenie może zostać zwołane na wniosek: a. Marszałka, b. ABI, c. Dyrektora Departamentu/Biura Urzędu. 10. Zadania Zespołu Sterującego ds. Bezpieczeństwa Informacji 1. Koordynowanie rozwoju i wdrażania PBI oraz dokumentów z nią związanych. 2. Analiza incydentów naruszających bezpieczeństwo informacji. 3. Zatwierdzanie standardów, wytycznych i innych dokumentów związanych z bezpieczeństwem informacji i bezpieczeństwem teleinformatycznym. 4. Ustalenie i zatwierdzenie programów uświadamiających problemy bezpieczeństwa informacji. 5. Opiniowanie przedstawionego przez ABI projektu budżetu w zakresie realizacji zadań związanych z bezpieczeństwem informacji. 6. Ocena funkcjonowania mechanizmów bezpieczeństwa i wnioskowanie o dokonanie zmian w stosownych dokumentach, procedurach, infrastrukturze technicznej i logistycznej związanej z przetwarzaniem informacji. Strona 9 z 14

10 11. Uprawnienia Przewodniczącego Zespołu Sterującego ds. Bezpieczeństwa Informacji 1. Zapraszanie, z własnej inicjatywy lub na wniosek członków Zespołu, do udziału w pracach ZSBI ekspertów i innych osób mających wpływ na realizację zadań związanych z bezpieczeństwem informacji. 2. Wnioskowanie do Marszałka o zmiany w składzie ZSBI. 3. Przewodniczący ZSBI odpowiada za kontakty z odpowiednimi służbami państwowymi w przypadku naruszenia bezpieczeństwa informacji. 12. Obowiązki pracowników, stażystów, praktykantów, wolontariuszy Urzędu Marszałkowskiego oraz osób fizycznych, prawnych i nieposiadających osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne 1. PBI obowiązuje wszystkich pracowników Urzędu Marszałkowskiego, stażystów, praktykantów, wolontariuszy oraz osoby: fizyczne, prawne i nieposiadające osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne, jeżeli z umowy wynika, że będą posiadały dostęp do zasobów informacyjnych Urzędu Marszałkowskiego. 2. Obowiązkiem wyznaczonych pracowników Urzędu Marszałkowskiego jest prowadzenie szkoleń w zakresie PBI dla wszystkich osób zatrudnionych w UMWW, bez względu na formę zatrudnienia (pracowników, stażystów, praktykantów, wolontariuszy oraz osób zatrudnionych na umowy zlecenia i umowy o dzieło), o ile w trakcie realizacji umowy otrzymują bezpośredni dostęp do zasobów informacyjnych Urzędu Marszałkowskiego. 13. Bezpieczeństwo w umowach cywilno-prawnych z kontrahentami i jednostkami zewnętrznymi 1. PBI obowiązuje wszystkich kontrahentów, jednostki zewnętrzne i ich pracowników, o ile w trakcie realizacji umowy otrzymują bezpośredni dostęp do zasobów informacyjnych Urzędu Marszałkowskiego, w zakresie niezbędnym do wykonania umowy. 2. W przypadku, gdy kontrahent w trakcie wykonywania umowy będzie posiadał dostęp do zasobów informacyjnych Urzędu Marszałkowskiego, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania postanowień PBI, Wytycznych Bezpieczeństwa Informacji oraz o zachowaniu poufności informacji prawnie chronionych. Zachowanie poufności obowiązywałoby również po zakończeniu umowy. Wprowadzenie odpowiednich zapisów do umowy spoczywa na Dyrektorze Departamentu lub Biura, przewodniczącym zespołu lub komisji, odpowiedzialnym za przygotowanie umowy. PBI i Wytyczne Bezpieczeństwa Informacji stanowią integralną część umowy w postaci załączników. 3. Jednostki zewnętrzne, które uzyskują dostęp do zasobów informacyjnych Urzędu na podstawie odrębnych przepisów/upoważnień, przed przyznaniem dostępu do zasobów informacyjnych otrzymują do zapoznania się i stosowania Wytyczne Bezpieczeństwa Informacji. Strona 10 z 14

11 14. Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji. 1. Nieprzestrzeganie przez pracownika Polityki Bezpieczeństwa Informacji jest równoznaczne z naruszeniem obowiązków pracowniczych, zgodnie z Regulaminem Pracy UMWW. 2. Tryb postępowania przy udzielaniu kar określony jest w Regulaminie Pracy UMWW. 3. Za działania pracowników/kontrahentów niezgodne z przepisami dot. ochrony informacji prawnie chronionych, grożą im odrębne kary wynikające z tychże przepisów, w szczególności dotyczy to ochrony danych osobowych. 4. Naruszenie postanowień PBI przez kontrahenta lub jego pracowników stanowi podstawę do odstąpienia od umowy i żądania pokrycia powstałej szkody lub zapłaty kary umownej, jeżeli taki obowiązek wynika z zawartej umowy. 15. Przegląd i ocena PBI 1. ZSBI dokonuje raz w roku przeglądu PBI. 2. Dodatkowo dokonywany jest przegląd PBI w przypadku: a. poważnego naruszenia bezpieczeństwa informacji, b. pojawienia się nowych i istotnych rodzajów ryzyka, c. zmian regulacji prawnych dot. bezpieczeństwa informacji, d. na wniosek ABI. 3. Każdy przegląd jest udokumentowany w protokole z posiedzenia ZSBI. 4. Po dokonanym przeglądzie i stwierdzeniu konieczności dokonania zmian w PBI, ZSBI przedstawia Marszałkowi propozycje zmian w PBI. Strona 11 z 14

12 3. ZARZĄDZANIE ZASOBAMI 16. Własność zasobów 1. Województwo Wielkopolskie jest właścicielem wszystkich zasobów niezbędnych do przetwarzania informacji w komórkach organizacyjnych Urzędu. 2. Informacje przetwarzane i przechowywane w systemie teleinformatycznym Urzędu, nie są objęte prawem do prywatności, jakie przewiduje Konstytucja Rzeczpospolitej Polskiej, ze szczególnym uwzględnieniem zasobów gromadzonych na komputerach użytkowników oraz poczty elektronicznej. 3. Korzystanie z zasobów innych niż wytworzone w Urzędzie, wymaga posiadania odpowiednich praw autorskich, dowodów zakupu, aktów darowizny itp. do tych zasobów. W szczególny sposób dotyczy to oprogramowania, baz danych, patentów. 4. Za każdy zasób Urzędu Marszałkowskiego odpowiada Gestor Zasobu, w osobie Dyrektora Departamentu lub Biura, stosownie do swoich kompetencji wynikających z Regulaminu Organizacyjnego Urzędu Marszałkowskiego. 17. Klasyfikacja ważności zasobów informacyjnych 1. Zasoby informacyjne przetwarzane i wykorzystywane w Urzędzie Marszałkowskim, podlegają klasyfikacji. 2. Klasyfikowanie zasobów ma na celu zapewnienie właściwego poziomu ich bezpieczeństwa. 3. Klasyfikacja zasobu informacyjnego określa jego znaczenie dla Urzędu Marszałkowskiego, w szczególności odzwierciedla ewentualne zagrożenia wynikające z naruszenia bezpieczeństwa zasobu informacyjnego. 4. Klasyfikacja zasobów o ważności co najmniej średniej przeprowadzana jest przez gestorów zasobów informacyjnych w terminie do 31 lipca każdego roku. 5. Sposób klasyfikacji zasobów informacyjnych, określa załącznik nr 3 do PBI. 6. Gestor przedkłada klasyfikację w terminie do 31 lipca każdego roku Administratorowi Bezpieczeństwa Informacji. 7. Zasoby informacyjne są to zasoby materialne i niematerialne, w tym wszelkiego rodzaju użyteczne dane (informacje), niezbędne do skutecznego i zgodnego z przepisami prawa podejmowania decyzji. 8. Zasoby informacyjne dzielimy na: a. informacje np.: bazy danych i pliki z danymi, kontrakty, umowy, dokumentacja systemowa, podręczniki użytkownika, materiały szkoleniowe, procedury, ślady audytowe, informacje zarchiwizowane, akta spraw; b. system teleinformatyczny: współdziałające ze sobą aplikacje, programy, urządzenia komputerowe, urządzenia telekomunikacyjne, nośniki informacji i inne; c. zasoby lokalowe, np.: budynki, pomieszczenia, biura i in. w których przetwarza się informacje; d. usługi np.: teleinformatyczne, telekomunikacyjne, ogrzewanie, zasilanie, klimatyzacja, itp.; e. ludzkie: ludzie, ich kwalifikacje, umiejętności i doświadczenie; f. wartości niematerialne np.: reputacja, wizerunek Urzędu. Strona 12 z 14

13 9. Zasoby informacyjne poza zasobami ludzkimi i niematerialnymi, wykorzystywane w Urzędzie Marszałkowskim, podlegają klasyfikacji pod względem poziomu ważności: a) ważność wysoka przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobu uniemożliwi osiągnięcie statutowych celów UMWW. Należą do nich m.in.: informacje nadzorowane, wrażliwe pod względem poufności, w szczególności: dane osobowe, tajemnice przedsiębiorstw, oferty przetargowe, dane finansowo - księgowe i inne, których poufność określają ustawy lub zarządzenia wewnętrzne, zasoby i usługi kluczowe, niezbędne do realizowania statutowych celów Urzędu Marszałkowskiego, b) ważność średnia przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobów może mieć wpływ na osiągnięcie statutowych celów UMWW. Należą do nich m.in.: pozostałe informacje nadzorowane, zasoby fizyczne wartościowe, które są drogie lub trudno zastępowalne, ale od których nie zależy bezpośrednio funkcjonowanie Urzędu c) ważność niska przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobu nie ma wpływu na osiągnięcie statutowych celów UMWW. Należą do nich m.in.: zasoby fizyczne zwykłe, które są łatwo odtwarzalne lub zastępowalne i od których nie zależy bezpośrednio funkcjonowanie Urzędu. 18. Oznaczanie informacji i postępowanie z informacją 1. Dokumenty stanowiące zasoby informacyjne są oznaczane, przetwarzane, przechowywane i brakowane zgodnie z zapisami Rozporządzenia Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz. U. z 2011 r. nr 14, poz. 67, ze zm.). 2. Postępowanie z informacjami niejawnymi określa Plan ochrony informacji niejawnych Urzędu Marszałkowskiego Województwa Wielkopolskiego w Poznaniu określony na podstawie ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. nr 182, poz. 1228, ze zm.) oraz przepisów wykonawczych do tej ustawy. 3. Postępowanie z danymi osobowymi oraz z zasobami informacyjnymi zawartymi na elektronicznych nośnikach danych określają ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i ZZBI. 4. Zasady postępowania z zasobami (środki trwałe) reguluje ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r. poz. 330, ze zm.). 5. Zasady postępowania z dowodami finansowo-księgowymi reguluje Instrukcja obiegu i kontroli dowodów finansowo- księgowych. 6. Zasady postępowania z korespondencją określa Zarządzenie nr 15/2011 Marszałka Województwa Wielkopolskiego z dnia 14 kwietnia 2011 r. w sprawie wskazania podstawowego systemu wykonywania czynności kancelaryjnych, wyznaczenia koordynatora czynności kancelaryjnych oraz określenia listy rodzaju przesyłek wpływających, które nie są otwierane przez punkt kancelaryjny dla UMWW w Poznaniu. Strona 13 z 14

14 4. HIERARCHIA DOKUMENTACJI 19. Dokumentacja Polityki Bezpieczeństwa Informacji 1. PBI uzupełniają Zasady Zarządzania Bezpieczeństwem Informacji. 2. Wyciąg z Zasad Zarządzania Bezpieczeństwem Informacji stanowi Wytyczne Bezpieczeństwa Informacji przeznaczone dla kontrahentów i osób zewnętrznych. Wytyczne Bezpieczeństwa Informacji" są zbiorem zasad obowiązujących wszystkie osoby spoza Urzędu Marszałkowskiego, które ubiegają się o dostęp do jego zasobów informacyjnych (m. in. pracownicy serwisu, zewnętrzni audytorzy i kontrolerzy, konsultanci i programiści z przedsiębiorstw zewnętrznych, usługodawcy). Wytyczne Bezpieczeństwa Informacji" przekazywane są kontrahentom wraz z formularzem oświadczenia o zapoznaniu się z PBI, które jest załącznikiem nr 1 do PBI. 5. DZIAŁANIA URZĘDU MARSZAŁKOWSKIEGO W ZAKRESIE REALIZACJI I UDOSKONALANIA PBI Podnoszenie świadomości bezpieczeństwa informacji wśród wszystkich pracowników Urzędu Marszałkowskiego spoczywa na osobach upoważnionych przez Marszałka Województwa do wykonywania zadań Administratora Danych Osobowych, Administratorze Bezpieczeństwa Informacji oraz Pełnomocniku Marszałka ds. Ochrony Informacji Niejawnych. 6. ZAŁĄCZNIKI: Załącznik nr 1 - Oświadczenie o zapoznaniu się z Polityką Bezpieczeństwa Informacji i Wytycznymi Bezpieczeństwa Informacji UMWW. Załącznik nr 2 - Uwarunkowania prawne. Załącznik nr 3 - Klasyfikacja zasobów informacyjnych. Strona 14 z 14