Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Transkrypt

1 w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak 1

2 Spis treści I. Preambuła II. Deklaracja III. Podstawowe pojęcia i skróty IV. Zakres Systemu Bezpieczeństwa Informacji V. Organizacja bezpieczeństwa informacji VI. Kontrola dostępu do informacji VII. Zarzadzanie aktywami i ryzykiem VIII. Deklaracja ochrony własności intelektualnej IX. Bezpieczeństwo zasobów ludzkich X. Bezpieczeństwo fizyczne i środowiskowe XI. Utrzymanie ciągłości działania XII. Naruszenie bezpieczeństwa informacji XIII. Zakres stosowania i rozpowszechniania Polityki Bezpieczeństwa Informacji XIV. Podstawy prawne XV. Postanowienia końcowe XVI. Dokumenty powiązane XVII Załączniki

3 I. Preambuła. Informacja będąca w posiadaniu instytucji ma realną wartość i może przybierać różne formy. Może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, powinna być zawsze w odpowiedni sposób chroniona. Celem niniejszego dokumentu jest opisanie zasad ochrony informacji oraz dostarczenie podstawowej wiedzy z zakresu ochrony danych osobowych. W celu zwiększenia świadomości obowiązków i odpowiedzialności pracowników, a tym samym skuteczności ochrony przetwarzanych zasobów, opisano podstawy prawne przetwarzania danych osobowych oraz scharakteryzowano zagrożenia bezpieczeństwa, podając schematy postępowań na wypadek wystąpienia naruszenia bezpieczeństwa. Dokument opisuje podstawowe zasady organizacji pracy przy przetwarzaniu informacji metodami tradycyjnymi oraz w systemie informatycznym wyrażone w poszczególnych Politykach Bezpieczeństwa oraz w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. II. Deklaracja. Informacja jest jednym z najważniejszych zasobów w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile, dlatego jest chroniona na każdym szczeblu organizacyjnym. Dyrekcja oraz Kierownictwo placówki zobowiązują się do podejmowania niezbędnych działań mających na celu spełnienie wymaganego poziomu bezpieczeństwa informacji zgodnie z zasadami normy PN ISO/IEC 27001:2014 3

4 III. Podstawowe pojęcia i skróty. Administrator danych (ADO) organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Akceptowanie ryzyka - decyzja, aby zaakceptować ryzyko Aktywa - wszystko, co ma wartość dla organizacji Analiza ryzyka - systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka Bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe - dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Dostępność - właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu Generalny Inspektor Ochrony Danych Osobowych (GIODO) organ do spraw ochrony danych osobowych. Hasło ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 4

5 Identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Incydent związany z bezpieczeństwem informacji - jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji Integralność danych właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. IZSI Instrukcja Zarządzania Systemem Informatycznym. Ocena ryzyka - proces porównywania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka PBI. PODO Polityka Ochrony Danych Osobowych. Postępowanie z ryzykiem - proces wyboru i wdrażania środków modyfikujących ryzyko Poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Szacowanie ryzyka - całościowy proces analizy i oceny ryzyka 5

6 Uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zdarzenie związane z bezpieczeństwem informacji - jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji Zgoda osoby, której dane dotyczą oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. IV. Zakres Systemu Bezpieczeństwa Informacji. System Zarządzania Bezpieczeństwem Informacji (SZBI) w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile, odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania, i doskonalenia bezpieczeństwa informacji. System został opracowany w oparciu o normę PN-ISO/IEC 27001:2014. Struktura klasyfikacji informacji w Przedszkolu opiera się na założeniu istnienia trzech poziomów informacji: 1) Informacje jawne informacje publicznie dostępne 2) Informacje wewnętrzne informacje, których przetwarzanie i udostępnienie podlega ograniczeniom. a) Informacje wewnętrznie dostępne informacje dostępne dla wszystkich pracowników b) Informacje wewnętrzne wrażliwe informacje dostępne dla grupy pracowników upoważnionych z uwagi na realizowanie zadań statutowych 6

7 c) Informacje stanowiące tajemnicę Przedszkola informacje, których przetwarzanie i udostępnianie może narazić Przedszkole na szkodę lub utratę wizerunku. Przez bezpieczeństwo informacji rozumie się zapewnienie dostępności, zabezpieczenie przed nieuprawnionym dostępem, naruszeniem legalności bądź zniszczeniem aktywów związanych z przetwarzaniem i przechowywaniem informacji. Główne cele SZBI: 1) Zapewnienie spełnienia wymagań prawnych. 2) Ochrona systemów przetwarzania informacji przed nieuprawnionym dostępem bądź zniszczeniem. 3) Podnoszenie świadomości pracowników. 4) Zmniejszenie ryzyka utraty informacji. 5) Zaangażowanie wszystkich pracowników w ochronę informacji. Bezpieczeństwo informacji zapewniamy poprzez: 1) Zarzadzanie ryzykiem, na które składa się: a) Klasyfikacja zasobów i ich zawartości. b) Identyfikacja stopnia zagrożeń i ich następstw. c) Określenie i wdrożenie działań zabezpieczających zasoby. 2) Zarządzanie zmianami na które składa się: a) Analiza wpływu zmian na poziom bezpieczeństwa. b) Zapewnienie pełnej koordynacji podczas wprowadzania zmian. 3) Zarządzanie ciągłością działania organizacji poprzez wdrożenie instrukcji awaryjnych. V. Organizacja bezpieczeństwa informacji. Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy pracownicy Przedszkola zgodnie z posiadanymi zakresami obowiązków. Najwyższe Kierownictwo odpowiedzialne jest za zapewnienie zasobów niezbędnych dla funkcjonowania, utrzymania i doskonalenia SZBI. Zakres uprawnień i odpowiedzialności związany z ochroną danych osobowych określają odrębne Polityki Bezpieczeństwa Informacji 7

8 VI. Kontrola dostępu do informacji. Dostęp do informacji podlega ciągłej kontroli, która polega na: 1) Wydzielaniu obszarów przeznaczonych do przechowywania oraz przetwarzania zbiorów danych. 2) Zarządzaniu uprawnieniami poszczególnych użytkowników. 3) Nadzorowaniu działalności stron trzecich, mogących wpłynąć na bezpieczeństwo informacji 4) Bieżącym informowaniu pracowników o wszelkich zmianach w zakresie regulacji dotyczących przechowywania, przetwarzania i udostępniania informacji. Wszystkie osoby posiadające dostęp do informacji podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa. VII. Zarzadzanie aktywami i ryzykiem. Ważnym elementem zarządzania aktywami i bezpieczeństwem informacji jest przeprowadzanie okresowego szacowania ryzyka i opracowanie planów postępowania z ryzykiem. Analiza uzyskanych wyników stanowi podstawę do podejmowania działań w zakresie doskonalenia ochrony aktywów. Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na bezpieczeństwo informacji. Na szacowanie ryzyka składają się : 1) Analiza ryzyka (identyfikowanie, estymacja) 2) Ocena ryzyka. W szacowaniu ryzyka określa się wartość aktywów informacyjnych, identyfikuje się mające zastosowanie zagrożenia oraz istniejące (lub mogące zaistnieć) podatności, identyfikuje się istniejące zabezpieczenia i ich wpływ na zidentyfikowane ryzyko, określa się możliwe następstwa oraz na końcu wskazuje się priorytety uzyskanych ryzyk i ustala ich kolejność zgodnie z kryteriami oceny ryzyka wyznaczonymi podczas ustanawiania kontekstu. Metodyka szacowania ryzyka w Przedszkolu stanowi załącznik Nr 1 do niniejszej PBI. 8

9 VIII. Deklaracja ochrony własności intelektualnej. W Przedszkolu zostały wdrożone mechanizmy zapobiegające naruszeniom prawa powszechnego związanego z ochroną własności intelektualnej. Stacje robocze zostały zabezpieczone przed możliwością instalowania oprogramowania z naruszeniem licencji. Prowadzona jest bieżąca ewidencja sprzętu komputerowego i licencji oprogramowania. Nadzorowana jest także własność intelektualna powierzona lub przekazana przez osoby trzecie. IX. Bezpieczeństwo zasobów ludzkich. Przedszkole zatrudnia kompetentną kadrę pracowniczą do realizacji wyznaczonych zadań. Celem takiego postępowania jest ograniczenie ryzyka błędu ludzkiego, kradzieży, nadużycia lub niewłaściwego użytkowania zasobów. Realizacja postawionego celu możliwa jest dzięki wdrożonym zasadom rekrutacji pracowników. Prowadzone są szkolenia dla pracowników oraz kontrahentów z zakresu wdrożonych zasad i procedur bezpieczeństwa informacji, które zakończone jest złożeniem oświadczenia o zachowaniu poufności podczas współpracy oraz po jej zakończeniu. Wzór oświadczenia o poufności stanowi załącznik Nr 2 do niniejszej PBI. Do przetwarzania informacji dopuszczone są tylko osoby posiadające stosowne upoważnienie, którego wzór stanowi załącznik Nr 3 do niniejszej PBI. X. Bezpieczeństwo fizyczne i środowiskowe. Celem bezpieczeństwa fizycznego jest zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji poprzez wprowadzenie zasad zarzadzania kluczami do pomieszczeń, regulaminu obiegu dokumentów, instrukcji BHP i ppoż, wprowadzenie monitoringu w placówce oraz systemu alarmowego. Środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego pracy oraz zasad użytkowania, określono w Instrukcji Zarządzania 9

10 Systemem Informatycznym służącym do przetwarzania danych osobowych będącej częścią niniejszej dokumentacji. XI. Utrzymanie ciągłości działania. Zastosowanie odpowiednich środków organizacyjnych i technicznych umożliwi utrzymanie ciągłości działania, odtworzenie procesów oraz wznowienie działania systemów w sytuacji kryzysowej. Na utrzymanie ciągłości działania składają się następujące zasady: 1) Zastosowanie działań naprawczych. 2) Ustalenie reguł współpracy z innymi podmiotami. 3) Opracowanie planu awaryjnego. 4) Ciągłe doskonalenie opracowanych procedur, planów oraz środków organizacyjnych i technicznych. XII. Naruszenie bezpieczeństwa informacji. W celu utrzymania wysokiego poziomu bezpieczeństwa informacji podejmuje się odpowiednie działania wobec sytuacji, które są związane z jego naruszeniem. Każdy przypadek naruszenia dostępności, poufności i integralności informacji jest rejestrowany i poddawany odpowiedniej procedurze postępowania. W systemie zarządzania bezpieczeństwem informacji konieczne jest zaangażowanie wszystkich pracowników, w tym niezwłoczna interwencja na różne niepokojące sygnały i zdarzenia. XIII. Zakres stosowania i rozpowszechniania Polityki Bezpieczeństwa Informacji. Prawo dostępu do Polityki Bezpieczeństwa Informacji posiadają pracownicy Przedszkola oraz osoby i instytucje mające dostęp do informacji podlegającej ochronie. Niniejszy dokument może być udostępniony uprawnionym podmiotom zewnętrznym w celu zapoznania się i postępowania w zgodzie z postanowieniami PBI. Zapisy zawarte w PBI dotyczą wszystkich osób korzystających z zasobów informacyjnych pracowników Przedszkola oraz osób współpracujących. 10

11 XIV. Podstawy prawne. 1) Konwencja Nr 108 Rady Europy z dnia r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3 poz. 25 ze zm.) 2) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.U.UE.L. z 1995 r. Nr 281 poz. 31; Dz.U.UE-sp ze zm.) 3) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U.UE.L. z 2002 r. Nr 201 poz. 37; Dz.U.UE-sp ze zm.) 4) Konstytucja Rzeczypospolitej Polskiej z dnia r. (Dz. U. z 1997 r., Nr 78 poz.483 ze zm.) 5) Ustawa z dnia r. Kodeks pracy (Dz.U poz ) 6) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 poz ze zm.); 7) Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz.U Nr 256 poz. 2572); 8) Ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej (Dz.U poz. 45); 9) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024); 10) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U poz. 526); 11) Norma PN ISO/IEC 27001: ) Norma PN ISO/IEC 27002: ) Norma PN ISO/IEC 27005:

12 XV. Postanowienia końcowe. W sprawach nieuregulowanych niniejszą PBI odpowiednie zastosowanie mają reguły i procedury zawarte w dokumentach powiązanych. wchodzi w życie z dniem podpisania. XVI. Dokumenty powiązane. 1) Instrukcja Zarzadzania Systemem Informatycznym. 2) Instrukcja Postępowania w Sytuacji Naruszeń. 3) Polityka Ochrony Danych Osobowych w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile. 4) Polityka Ochrony Dzieci w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile. XVII. Załączniki. 1) Metodyka szacowania ryzyka. 2) Oświadczenie o poufności. 3) Upoważnienie do przetwarzania informacji. 4) Unieważnienie upoważnienia do przetwarzania informacji. 5) Ewidencja osób upoważnionych do przetwarzania informacji. 6) Umowa powierzenia przetwarzania informacji. 7) Zgoda na przebywanie w obszarze przetwarzania informacji. 8) Odwołanie zgody na przebywanie w obszarze przetwarzania informacji..... (podpis Administratora Danych) 12