POLITYKA BEZPIECZEŃSTWA INFORMACJI

Transkrypt

1 Załącznik do zarządzenia nr 76 Rektora UŚ z dnia 27 lipca 2016 r. POLITYKA BEZPIECZEŃSTWA INFORMACJI W UNIWERSYTECIE ŚLĄSKIM W KATOWICACH

2 Spis treści Spis treści Postanowienia ogólne Deklaracja władz w sprawie istotności bezpieczeństwa informacji dla funkcjonowania Uniwersytetu Śląskiego w Katowicach Cel polityki bezpieczeństwa informacji Zakres Polityki Bezpieczeństwa Informacji Sposób wdrażania bezpieczeństwa informacji Sposób wdrażania bezpieczeństwa informacji, kompetencje i odpowiedzialność Klasyfikacja informacji Dla każdej klasy aktywów informacyjnych Zespół Zarządzania Bezpieczeństwem Informacji określa poziom istotności informacji dla Uniwersytetu z punktu widzenia trzech kategorii: Wprowadza się następujące skale klasyfikacji kategorii istotności informacji: Kierując się poziomem istotności aktywów informacyjnych oraz analizą ryzyka ZZBI określa dla każdego z aktywów informacyjnych wymagania dotyczące sposobu ich zabezpieczenia Postępowanie z incydentami bezpieczeństwa Ogólne zasady bezpieczeństwa informacji Postępowanie z ryzykiem bezpieczeństwa informacji Strona 2 z 14

3 1. Wstęp 1. Niniejsza polityka bezpieczeństwa informacji ma za zadanie wprowadzić w Uniwersytecie Śląskim w Katowicach system gwarantujący odpowiednią ochronę informacji na wszystkich płaszczyznach jej przetwarzania i gromadzenia, tak aby osiągnięty mógł zostać nadrzędny cel polegający na zapewnieniu ciągłości funkcjonowania Uniwersytetu Śląskiego w Katowicach i minimalizowaniu ryzyka związanego z jego funkcjonowaniem. 2. Postanowień niniejszej polityki bezpieczeństwa informacji nie stosuje się do informacji niejawnych, o których mowa w ustawie o ochronie informacji niejawnych (Dz.U. z 2010 r., Nr 182, poz z późn. zm.), 2. Postanowienia ogólne 2.1. Definicje Uniwersytet Uniwersytet Śląski w Katowicach, aktywa informacyjne wszelkiego rodzaju dane, spójne merytorycznie oraz logicznie, które mogą być wykorzystane przez Uniwersytet w trakcie jego funkcjonowania. Mówiąc o aktywach informacyjnych w niniejszym dokumencie mamy zwykle na myśli klasę danych np. dane finansowe, dane kadrowe etc., analiza ryzyka etap w zarządzaniu ryzykiem polegający na identyfikacji ryzyk, określeniu ich wielkości oraz obszaru ich oddziaływania, administrator systemu pracownik obsługujący systemy informatyczne i odpowiedzialny za ich eksploatację, bezpieczeństwo informacji ochrona aktywów informacyjnych przed szeroko rozumianymi zagrożeniami w celu zapewnienia ciągłości funkcjonowania Uniwersytetu i minimalizowania ryzyka związanego z jego funkcjonowaniem. Bezpieczeństwo informacji jest realizowane poprzez wdrażanie odpowiedniego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) na który składają się wdrożone i ciągle udoskonalane polityki, procesy, procedury, struktury organizacyjne, oprogramowanie i sprzęt. Bezpieczeństwo informacji oznacza zapewnienie następujących właściwości: poufności właściwości zapewniającej, że informacja nie jest udostępniana nieautoryzowanym osobom lub podmiotom, integralności właściwości zapewniającej, że informacja nie została zmieniona lub zniszczona w sposób nieautoryzowany oraz, że informacja jest dokładna i kompletna, integralności systemu właściwości polegającej na tym, że system realizuje swoją zamierzoną funkcję w sposób nienaruszony, wolny od nieautoryzowanej manipulacji, celowej bądź przypadkowej, dostępności właściwości bycia dostępnym i możliwym do wykorzystania na żądanie w zamierzonym czasie przez autoryzowaną osobę lub podmiot, rozliczalności właściwości zapewniającej, że działania osoby lub podmiotu mogą być jednoznacznie przypisane tej osobie lub podmiotowi, dane sensytywne (wrażliwe) dane osobowe podlegające szczególnej ochronie. Danymi sensytywnymi są między innymi: pochodzenie rasowe, poglądy polityczne, przekonania religijne, przynależność religijna lub polityczna, informacje o stanie zdrowia, informacje o wyrokach, orzeczeniach itp., Strona 3 z 14

4 dokument w postaci tradycyjnej dokument w formie papierowej, dokument elektroniczny dokument w postaci pliku tekstowego, graficznego, muzycznego, filmowego lub mieszanego będącego wynikiem pracy z danym programem komputerowym, dający się zapisać, a następnie odczytać za pomocą urządzeń informatycznych, incydent bezpieczeństwa - zdarzenie lub seria zdarzeń odnoszących się do bezpieczeństwa informacji lub bezpieczeństwa teleinformatycznego, których skutkiem może być zakłócenie działań Uniwersytetu lub narażenie Uniwersytetu na szkody natury prawnej lub finansowej, jednostka organizacyjna wydział lub podstawowa jednostka organizacyjna nie będąca wydziałem, a także ogólnouczelniane, międzywydziałowe i pozawydziałowe jednostki organizacyjne prowadzące działalność naukową, naukowo-dydaktyczną, dydaktyczną lub usługową, podatność jest to słabość, wada lub brak zabezpieczeń w strukturze fizycznej, Uniwersytetu, procedurach, sposobie zarządzania, oprogramowania i w działaniach pracowników, których wykorzystanie celowe bądź przypadkowe może spowodować szkody dla Uniwersytetu, ryzyko niepewność związana z wystąpieniem okoliczności lub zdarzenia, grożącego brakiem lub ograniczeniem możliwości realizacji celów Uniwersytetu, system informatyczny zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych i informacji przy użyciu technik komputerowych, system teleinformatyczny zespół współpracujących z sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie i przechowywanie oraz wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne, właściciel aktywów informacyjnych pracownik Uniwersytetu, który w ramach swoich kompetencji podejmuje decyzję o sposobie wykorzystania aktywów informacyjnych. Osoba ta jest odpowiedzialna za właściwą klasyfikację aktywów informacyjnych, właściciel infrastruktury pracownik Uniwersytetu, który w ramach swoich kompetencji zajmuje się utrzymaniem infrastruktury technicznej, właściciel systemu informatycznego pracownik Uniwersytetu, który w ramach swoich kompetencji zajmuje się utrzymaniem systemu informatycznego, zarządzanie ryzykiem skoordynowane działania mające na celu zarządzanie jednostką organizacyjną z uwzględnieniem ryzyka Deklaracja władz w sprawie istotności bezpieczeństwa informacji dla funkcjonowania Uniwersytetu Mając na uwadze znaczenie jakie dla funkcjonowania Uniwersytetu ma właściwa ochrona informacji władze Uniwersytetu deklarują: zamiar podejmowania wszystkich działań niezbędnych do adekwatnego zabezpieczenia informacji gromadzonych i przetwarzanych w Uniwersytecie, zamiar stałego podnoszenia świadomości oraz kompetencji osób przetwarzających informacje w Uniwersytecie, Strona 4 z 14

5 zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu informacji jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich właściwego wykonywania. W celu realizacji zadeklarowanych działań wprowadza się w Uniwersytecie Politykę Bezpieczeństwa Informacji i podejmuje działania mające na celu jej pełne wdrożenie Cel polityki bezpieczeństwa informacji Celem polityki bezpieczeństwa informacji jest zapewnienie ciągłości funkcjonowania Uniwersytetu oraz minimalizowanie ryzyka związanego z jego funkcjonowaniem poprzez zagwarantowanie, że wszelkie informacje posiadane i przetwarzane przez Uniwersytet będą zabezpieczone w sposób adekwatny do stopnia ich istotności dla uczelni Zakres Polityki Bezpieczeństwa Informacji Niniejsza Polityka Bezpieczeństwa Informacji ma zastosowanie do wszystkich rodzajów informacji przetwarzanych i utrwalanych w Uniwersytecie niezależnie od tego w jakiej formie informacje te są przetwarzane i utrwalane (w formie tradycyjnej, elektronicznej czy też ustnej) oraz do wszystkich osób, które te informacje przetwarzają. Zapewnienie bezpieczeństwa informacji w Uniwersytecie wymaga kompleksowego podejścia, które zagwarantuje, że wszystkie elementy mające wpływ na bezpieczeństwo informacji zostaną w niej uwzględnione. Oznacza to zapewnienie bezpieczeństwa w następujących obszarach: organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami informatycznymi i sieciami komputerowymi, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania, zgodność z prawem, standardami i regulacjami wewnętrznymi, świadomość pracowników. 3. Sposób wdrażania bezpieczeństwa informacji Poprzez System Zarządzania Bezpieczeństwem Informacji (SZBI) rozumiemy całokształt działań technicznych, organizacyjnych i prawnych (wszystkie polityki, procesy, procedury, struktury organizacyjne, oprogramowanie i sprzęt) opisujących sposób zarządzania bezpieczeństwem informacji w Uniwersytecie. Funkcjonowanie SZBI musi być monitorowane, tak aby system ten mógł być stopniowo doskonalony zarówno w odpowiedzi na zmiany środowiska zewnętrznego jak i na stwierdzone mankamenty w jego funkcjonowaniu. Strona 5 z 14

6 3.1. Sposób wdrażania bezpieczeństwa informacji, kompetencje i odpowiedzialność Za tworzenie, wdrożenie i utrzymanie polityki bezpieczeństwa informacji, oraz wynikających z niej standardów, zaleceń i procedur odpowiedzialny jest Rektor Punktem wyjścia do wdrożenia polityki bezpieczeństwa informacji jest inwentaryzacja informacji gromadzonych i przetwarzanych w Uniwersytecie, a następnie pogrupowanie ich w spójne logicznie i merytorycznie klasy zwane aktywami informacyjnymi Każdy rodzaj informacji (aktywa informacyjne) musi mieć właściciela. Są to: dla informacji finansowych Prorektor ds. Finansów i Rozwoju, dla informacji dotyczących procesu kształcenia Prorektor ds. Kształcenia i Studentów, dla informacji dotyczących badań naukowych i współpracy z gospodarką Prorektor ds. Nauki i Współpracy z Gospodarką, dla innych informacji Kanclerz Klasyfikacji informacji, oceny ich istotności dla Uniwersytetu oraz wskazania mechanizmów ich ochrony dokonuje Zespół Zarządzania Bezpieczeństwem Informacji (ZZBI) pod przewodnictwem Dyrektora ds. Informatyzacji złożony z osób delegowanych przez właścicieli aktywów informacyjnych, Pełnomocnika Rektora Uniwersytetu Śląskiego w Katowicach ds. Danych Osobowych oraz delegowanych przez Dyrektora ds. Informatyzacji pracowników jego Pionu. Okresowo na wniosek Dyrektora ds. Informatyzacji Zespół może być rozszerzany o dodatkowe osoby. Decyzje podejmowane są w drodze głosowania. W przypadku równowagi głosów decyzję podejmuje przewodniczący ZZBI. Opracowane przez Zespół klasyfikacje, ocena istotności oraz mechanizmy ochrony podlegają akceptacji przez właściwych dla danego zakresu informacji właścicieli aktywów informacyjnych ZZBI odpowiedzialny jest za opracowanie szczegółowych instrukcji określających sposoby zabezpieczające poszczególne aktywa informacyjne, adekwatnie do występujących zagrożeń oraz nadzorowanie realizacji zadań wynikających z Polityki Bezpieczeństwa Informacji przez jednostki organizacyjne uczelni Za wdrażanie polityki bezpieczeństwa, w szczególności za wdrażanie opracowanych przez ZZBI mechanizmów ochrony odpowiedzialni są kierownicy jednostek organizacyjnych w podległych sobie jednostkach W sytuacji, gdy utrwalanie i przetwarzanie dotyczy informacji w formie elektronicznej, to właściciel infrastruktury informatycznej i właściciel systemu informatycznego wykorzystywanych w tym celu, odpowiedzialni są za zastosowanie rozwiązań organizacyjnych i technicznych odpowiadających mechanizmom ochrony opracowanym przez ZZBI Podczas ustalania poziomu bezpieczeństwa informacji dla poszczególnych składników systemu stosujemy zasadę najsłabszego ogniwa. Oznacza to, że dany składnik musi być zabezpieczony, tak aby spełnić wymagania najbardziej wymagających aktywów informacyjnych, które są za jego pomocą przetwarzane lub gromadzone. Strona 6 z 14

7 Dla nowych kategorii informacji proces ich klasyfikacji, oceny istotności i opracowania mechanizmów ochrony inicjuje właściciel aktywów informacyjnych kierując sprawę do zbadania przez ZZBI W przypadku informacji niejawnych oraz informacji zawierających dane osobowe stosuje się dodatkowo rozwiązania prawne i organizacyjne wymagane przepisami prawa oraz opisane w regulacjach wewnętrznych Uniwersytetu. W szczególności dotyczy to powołania oraz określenia zakresów obowiązków dla Pełnomocnika Rektora Uniwersytetu Śląskiego w Katowicach ds. Danych Osobowych, Pełnomocnika do spraw Ochrony Informacji Niejawnych, Koordynatora Bezpieczeństwa Informacji, Lokalnych Administratorów Danych Osobowych, Pełnomocników Lokalnych Administratorów Danych Osobowych oraz Lokalnych Koordynatorów Bezpieczeństwa Informacji Odpowiedzialność za ochronę informacji oraz za stosowanie postanowień Polityki Bezpieczeństwa Informacji i wynikających z niej regulacji niższej rangi odpowiedzialność ponoszą wszyscy pracownicy oraz każda inna osoba legalnie dopuszczona do zasobów informacyjnych Uniwersytetu Do audytów w zakresie Polityki Bezpieczeństwa Informacji upoważnieni są audytorzy wewnętrzni lub inni pracownicy wskazani przez Rektora, także firmy zewnętrzne działające na podstawie odpowiednich umów. 4. Klasyfikacja informacji 4.1. Dla każdej klasy aktywów informacyjnych Zespół Zarządzania Bezpieczeństwem Informacji określa poziom istotności informacji dla Uniwersytetu z punktu widzenia trzech kategorii: poufności (C), integralności (I) dostępności (A) Wprowadza się następujące skale klasyfikacji kategorii istotności informacji: Poufność (C) Ze względu na potencjalny rozmiar szkód, które mogłoby spowodować ujawnienie informacji nieuprawnionym osobom lub instytucjom wprowadza się trzystopniową klasyfikację poufności informacji: C1 (poziom niski) dotyczy informacji, które mogą być publicznie znane lub, których ujawnienie nie powoduje lub powoduje niewielkie konsekwencje natury prawnej lub finansowej. C2 (poziom średni) dotyczy informacji, których ujawnienie może wiązać się z poważnymi konsekwencjami natury finansowej lub prawnej. Do tej grupy zaliczymy również dane osobowe. C3 (poziom wysoki) informacje krytyczne których ujawnienie mogłoby zagrozić funkcjonowaniu Uniwersytetu lub spowodować bardzo poważne szkody natury prawnej lub finansowej. Do tej grupy zaliczamy również dane sensytywne Integralność (I) Ze względu na potencjalny rozmiar szkód, które mogłaby spowodować nieautoryzowana zmiana informacji wprowadza się trzystopniową klasyfikację integralności informacji: Strona 7 z 14

8 I1 (poziom niski) informacje, których nieautoryzowana zmiana nie powoduje lub powoduje niewielkie konsekwencje natury prawnej lub finansowej. I2 (poziom średni) informacje, których nieautoryzowana zmiana może wiązać się z poważnymi konsekwencjami natury finansowej lub prawnej. Do tej grupy zaliczamy dane osobowe. I3 (poziom wysoki) informacje, których nieautoryzowana zmiana mogłaby zagrozić funkcjonowaniu Uniwersytetu lub spowodować bardzo poważne szkody natury prawnej lub finansowej Dostępność (A) Ze względu na maksymalny akceptowalny okres niedostępności do informacji lub konsekwencje ich utraty wprowadza się trzystopniową klasyfikację dostępności informacji: A1 (poziom niski) długotrwały brak dostępu do tych informacji nie odbija się (negatywnie) w istotny sposób na funkcjonowaniu uczelni oraz nie pociąga za sobą konsekwencji prawnych lub finansowych, A2 (poziom średni) informacje dla których brak dostępu krótszy niż jeden dzień nie odbija się (negatywnie) w istotny sposób na funkcjonowaniu uczelni oraz nie pociąga za sobą konsekwencji prawnych lub finansowych, A3 (poziom wysoki) informacje dla których brak dostępu dłuższy niż cztery godziny w istotny sposób odbije się na funkcjonowaniu uczelni lub może pociągać za sobą poważne konsekwencje natury prawnej lub finansowej Kierując się poziomem istotności aktywów informacyjnych oraz analizą ryzyka ZZBI określa dla każdego z aktywów informacyjnych wymagania dotyczące sposobu ich zabezpieczenia. 5. Postępowanie z incydentami bezpieczeństwa Zdarzenia związane z bezpieczeństwem informacji oraz wykryte słabości systemów informatycznych należy zgłaszać niezwłocznie po ich zaobserwowaniu dowolnemu z członków ZZBI lub za pomocą środków komunikacji elektronicznej na adres ogłoszony publicznie przez ZZBI. Zgłoszenie powinno zawierać następujące informacje: dane osoby zgłaszającej: imię, nazwisko, zajmowane stanowisko i miejsce pracy (komórka organizacyjna), telefon, data i czas incydentu, opis incydentu, Zgłoszenia podlegają rejestracji w rejestrze incydentów bezpieczeństwa informacji ZZBI podejmuje natychmiastowe działania mające na celu minimalizację skutków zaobserwowanego zdarzenia. W szczególności informuje o zdarzeniu właścicieli systemów informatycznych i infrastruktury informatycznej w celu podjęcia działań mających na celu minimalizację skutków incydentu Obowiązkiem właścicieli systemów informatycznych, infrastruktury informatycznej oraz kierowników jednostek, których dotyczył incydent bezpieczeństwa informacji jest współpraca z ZZBI oraz zabezpieczenie danych, które mogą być pomocne w analizie incydentów bezpieczeństwa informacji. Strona 8 z 14

9 ZZBI inicjuje działania mających na celu analizę ryzyka związanego z zaobserwowanym zdarzeniem W sytuacji gdy analiza ryzyka wskaże taką konieczność, opracowanie mechanizmów mitygujących ryzyko pojawienia się zaobserwowanego zdarzenia lub ograniczających negatywne skutki jego wystąpienia w przyszłości. 6. Ogólne zasady bezpieczeństwa informacji 6.1. Wszystkie aktywa informacyjne oraz środki służące ich przetwarzaniu zostały zinwentaryzowane i wyznaczeni zostali ich właściciele, to jest osoby ponoszące odpowiedzialność za ich poprawne funkcjonowanie Udostępniane powinny być tylko takie usługi jakie są konieczne do realizacji zadań statutowych Uniwersytetu Za bezpieczeństwo poszczególnych elementów SZBI odpowiadają konkretne osoby Ochrona informacji przetwarzanych w Uniwersytecie obowiązuje wszystkie osoby, które mają do nich dostęp, bez względu na zajmowane stanowisko oraz miejsce wykonywania, jak również charakter stosunku prawnego wiążącego daną osobę z Uniwersytetem Każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań. O ile powierzone obowiązki prowadzą do nadania nadmiernych uprawnień lub naruszają zasadę segregacji zadań należy takie przypadki zarejestrować i postępować z nimi w ramach procesu analizy ryzyka, 6.6. Osoby mające dostęp do informacji gromadzonych i przetwarzanych w systemie teleinformatycznym są zobowiązane do stosowania wymaganych zabezpieczeń chroniących przed ujawnieniem tych informacji osobom bądź podmiotom nieuprawnionym Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku prawnego, jak i po jego ustaniu Informacje są chronione z należytą starannością i w sposób adekwatny do ich istotności. Do ochrony informacji są wykorzystywane, w zależności od potrzeb i możliwości, zabezpieczenia techniczne, organizacyjno proceduralne i fizyczne Aktywa informacyjne oraz środki ich przetwarzania mogą być wykorzystywane wyłącznie do celów służbowych Wymagania bezpieczeństwa dla nowo pozyskiwanych składników systemu teleinformatycznego (oprogramowanie, sprzęt, itp.) powinny być zidentyfikowane na etapie opracowania wymagań projektowych oraz powinny być uzasadnione, uzgodnione i udokumentowane jako część ogólnego modelu systemu informatycznego i jego architektury bezpieczeństwa W ramach eksploatacji systemów informatycznych w Uniwersytecie używane jest tylko legalne oprogramowanie. Nie dopuszcza się stosowania oprogramowania z naruszeniem warunków ich licencji i prawa autorskiego. Szczegółowe zasady wykorzystania oprogramowania komputerowego w Uniwersytecie reguluje Zarządzenie Rektora numer 62 z dnia 29 czerwca 2012 roku w sprawie zasad korzystania z oprogramowania komputerowego wykorzystywanego w Uniwersytecie Śląskim w Katowicach Każdy pracownik ma obowiązek odbyć szkolenie z zasad ochrony informacji. Szkolenia takie przeprowadza się dla nowo zatrudnionych pracowników oraz dla wszystkich Strona 9 z 14

10 pracowników nie rzadziej niż co dwa lata. Za przeprowadzenie szkoleń odpowiedzialny jest ZZBI. Dopuszcza się przeprowadzenie szkolenia w formie e-learningu. Fakt uczestnictwa pracowników w szkoleniu może być dokumentowany w formie tradycyjnej (papierowej) lub elektronicznie w zależności od formy szkolenia. Za gromadzenie dokumentacji odpowiedzialny jest ZZBI, Każda osoba związana z użytkowaniem, eksploatacją i rozwojem systemu informatycznego jest zapoznawana z zasadami oraz z aktualnymi procedurami ochrony informacji Zasady bezpieczeństwa przedstawione w niniejszym dokumencie mają zastosowanie także wobec firm trzecich, współpracujących z Uniwersytetem, Znajduje to swoje odzwierciedlenie w umowach zawieranych pomiędzy Uniwersytetem a tymi podmiotami Podstawę egzekwowania od osób związanych z Uniwersytetem zasad przestrzegania Polityki Bezpieczeństwa Informacji, w tym ochrony tajemnicy, stanowią odpowiednio kodeks pracy, regulamin pracy, porozumienia kontraktowe oraz statut i właściwe uregulowania wewnętrzne Postanowienia niniejszej polityki bezpieczeństwa informacji nie naruszają regulacji odrębnych, w szczególności przepisów zawartych w Polityce Bezpieczeństwa w Zakresie Ochrony Danych Osobowych w Uniwersytecie Śląskim w Katowicach oraz w Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych w Uniwersytecie Śląskim w Katowicach. 7. Postępowanie z ryzykiem bezpieczeństwa informacji 7.1. W ramach Systemu Zarządzania Bezpieczeństwem Informacji prowadzony jest proces zarządzania ryzykiem obejmujący również bezpieczeństwo teleinformatyczne. Jego wyniki są podstawą do dalszego postępowania ze zidentyfikowanymi zagrożeniami. Na proces zarządzania ryzykiem składają się następujące etapy: identyfikację ryzyka, które może oddziaływać na bezpieczeństwo informacji; ocenę istniejących mechanizmów kontrolnych wykorzystywanych do utrzymania ryzyka na akceptowalnym poziomie; analizę i hierarchizację ryzyka wg oddziaływania i prawdopodobieństwa wystąpienia ryzyka; określenie sposobu postępowania z ryzykiem nieakceptowalnym, w tym określenie środków zaradczych; wskazanie osób odpowiedzialnych za podjęcie działań zaradczych oraz ustalenie dat, w których działania powinny być podjęte i zakończone; monitorowanie i składanie raportów dotyczących postępów w tej dziedzinie Zarządzanie ryzykiem opisane w niniejszym dokumencie obejmuje również bezpieczeństwo teleinformatyczne związane z wykorzystaniem infrastruktury informatycznej Uniwersytetu do przesyłania i przetwarzania danych, których Uniwersytet nie jest właścicielem Do zadań Zespołu Zarządzania Bezpieczeństwem Informacji należy również ocena funkcjonowania mechanizmów zaradczych oraz ocenę nowo zidentyfikowanych ryzyk Klasyfikację ryzyka opracowaną przez zespół zatwierdza Dyrektor ds. Informatyzacji po zasięgnięciu opinii ZZBI. Strona 10 z 14

11 7.5. Za identyfikację czynników ryzyka ocenę ich istotności, projektowanie i wdrażanie mechanizmów zaradczych odpowiedzialny jest ZZBI Wszyscy pracownicy upoważnieni są do zgłaszania niezidentyfikowanych czynników ryzyka. Czynniki ryzyka można zgłaszać ZZBI lub za pomocą środków komunikacji elektronicznej na adres ogłoszony publicznie przez ZZBI. 8. Metodyka stosowana w obszarze Zarządzania Ryzykiem 8.1. Każde zidentyfikowane ryzyko podlega analizie w zakresie jego wpływu na bezpieczeństwo informacji oraz prawdopodobieństwa wystąpienia tego ryzyka Ustala się trzystopniową skalę oceny wpływu ryzyka na bezpieczeństwo informacji oraz trzystopniową miarę prawdopodobieństwa wystąpienia ryzyka. Miara istotności ryzyka bierze pod uwagę obydwa te czynniki, to jest miarę wpływu ryzyka oraz miarę prawdopodobieństwa wystąpienia ryzyka. Ustala się ją jako iloczyn tych dwu miar Podczas oceny wpływu ryzyka i prawdopodobieństwa jego wystąpienia należy wziąć pod uwagę klasyfikację informacji na które wpływ może mieć zidentyfikowane ryzyko. Poniżej zdefiniowano miarę wpływu ryzyka, miarę prawdopodobieństwa jego wystąpienia oraz miarę istotności ryzyka: 8.4. Miara wpływu ryzyka na bezpieczeństwo informacji: W1 (niski, 2 punkty) zdarzenie objęte ryzykiem powoduje niewielką stratę finansową, zakłócenie lub opóźnienie w wykonywaniu zadań; nie wpływa na reputację; skutki zdarzenia można łatwo usunąć. W2 (średni, 4 punkty) zdarzenie objęte ryzykiem powoduje znaczną stratę posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość wykonywanych zadań, reputację; z wystąpieniem zdarzenia może wiązać się trudny proces przywracania stanu poprzedniego. W3 (duży, 6 punktów) zdarzenie objęte ryzykiem powoduje uszczerbek mający krytyczny lub bardzo duży wpływ na realizację kluczowych zadań albo osiągania założonych celów poważny uszczerbek w zakresie jakości wykonywanych zadań, poważna strata finansowa lub na reputacji, Miara wpływu ryzyka związanego z aktywami informacyjnymi wyznaczana jest na podstawie klasyfikacji danych aktywów informacyjnych. Przyjmujemy, że dla aktywów informacyjnych, których klasyfikacje są na poziomie niskim (C1, I1, A1) miara wpływu ryzyka wynosi W1. Dla ryzyka związanego z aktywami informacyjnymi dla których, dowolna z klasyfikacji jest na poziomie średnim (C2, I2, A2) miara wpływu ryzyka wynosi W2. Dla ryzyka związanego z aktywami informacyjnymi dla których, dowolna z klasyfikacji jest na poziomie wysokim (C3, I3, A3) miara wpływu ryzyka wynosi W Miara prawdopodobieństwa wystąpienia ryzyka: P1 (niskie, 2 punkty) istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się raz w ciąg roku lub nie zdarzy się wcale (w ciągu roku) P2 (średnie, 4 punkty) istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się kilkakrotnie w ciągu roku Strona 11 z 14

12 P3 (duże, 6 punktów) istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się wielokrotnie w ciągu roku 8.6. Miara istotności ryzyka: IR1 (niska) iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje się w przedziale od 4 do 8 punktów. IR2 (średnia) iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje się w przedziale od 12 do 16 punktów, IR3 (duża) iloczyn wpływu ryzyka i prawdopodobieństwa ryzyka znajduje się w przedziale od 24 do 36 punktów, 8.7. Istotność ryzyka obliczamy w następujący sposób: Prawdopodobi eństwo 6 Prawdopodobieńs two 6 Prawdopodobieńst wo 6 Wpływ 2 Wpływ 4 Wpływ 6 Istotność 12 Istotność 24 Istotność 36 ŚREDNIA DUŻA DUŻA Prawdopodobi eństwo 4 Prawdopodobieńs two 4 Prawdopodobieńst wo 4 Wpływ 2 Wpływ 4 Wpływ 6 Istotność 8 Istotność 16 Istotność 24 NISKA ŚREDNIA DUŻA Prawdopodobi eństwo 2 Prawdopodobieńs two 2 Prawdopodobieńst wo 2 Wpływ 2 Wpływ 4 Wpływ 6 Istotność 4 Istotność 8 Istotność 12 NISKA NISKA ŚREDNIA 8.8. W zależności od zidentyfikowanego poziomu ryzyka określa się zasady postępowania z ryzykiem: ryzyko o niskiej istotności należy traktować jako akceptowalne. Zaakceptowanie ryzyka nie wyklucza możliwości jego monitorowania oraz podejmowania działań zaradczych ryzyko oznaczone jako średnie wymaga rozważenia potrzeby wdrożenia działań zaradczych. W sytuacji, gdy zostanie podjęta decyzja o tolerowaniu ryzyka oznaczonego jako średnie, dokonać powtórnej oceny istotności ryzyka nie później niż po 6 miesiącach od daty decyzji o tolerowaniu ryzyka. W sytuacji gdy poziom istotności dla takiego ryzyka nie ulegnie zmianie, postępujemy tak, jak w przypadku ryzyka o wysokim poziomie istotności ryzyko oznaczone jako duże wymaga wprowadzenia działań zaradczych (reakcji na ryzyko), w tym modyfikacji lub uzupełnienia mechanizmów kontroli, które ograniczają możliwości wystąpienia ryzyka, 8.9. decyzję o akceptacji dużego ryzyka może podjąć Rektor Przyjmuje się następujące sposoby ograniczania ryzyka: Strona 12 z 14

13 przeniesienie ryzyka (np. ubezpieczenie), akceptację ryzyka (trudności w przeciwdziałaniu lub gdy koszty podjętych działań mogą przekroczyć przewidywane korzyści), przeciwdziałanie (np. wzmocnienie mechanizmów kontrolnych, podjęcie działań zmniejszających prawdopodobieństwo wystąpienia niepożądanych sytuacji), przesunięcie w czasie (np. wycofanie się z realizacji zadania, gdy jego realizacja wiąże się z pojawieniem się dużego ryzyka) Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji musi zostać udokumentowany w postaci dokumentu w postaci tradycyjnej lub elektronicznej, który zawiera: obszar ryzyka, jednoznaczne określenie ryzyka, zidentyfikowane podatności, działania ograniczające ryzyko z określeniem terminów realizacji tych działań i osób odpowiedzialnych Akceptacja Ryzyka wymaga sporządzenia Dokumentu Akceptacji Ryzyka zawierającego co najmniej: opis ryzyka, klasyfikację istotności ryzyka, opis stanu dotychczasowego, zastosowane środki ograniczające ryzyko, końcową ocenę poziomu ryzyka (niskie, średnie lub wysokie), datę ważności akceptacji (dopuszcza się ważność bezterminową dla ryzyka ocenionego jako niskie Dokument Akceptacji Ryzyka sporządza ZZBI. W przypadku ryzyk o istotności niskiej i średniej akceptacji dokonuje Dyrektor. ds. Informatyzacji. W przypadku ryzyk o istotności dużej akceptacji dokonuje Rektor 9. Dokumenty uzupełniające Politykę Bezpieczeństwa Informacji 9.1. Politykę Bezpieczeństwa Informacji stosuje się łącznie z: Regulaminem Pracy w Uniwersytecie Śląskim, Polityką Bezpieczeństwa w Zakresie Ochrony Danych Osobowych w Uniwersytecie Śląskim w Katowicach, Instrukcją Zarządzania Systemem Informatycznym Służącym Przetwarzaniu Danych Osobowych w Uniwersytecie Śląskim w Katowicach, Regulaminem Użytkowania Uczelnianej Sieci Komputerowej Uniwersytetu, zarządzeniem numer 62 Rektora z dnia 29 czerwca 2012 roku w sprawie zasad korzystania z oprogramowania komputerowego wykorzystywanego w Uniwersytecie Śląskim w Katowicach Wymienione dokumenty udostępniane są wszystkim pracownikom Uniwersytetu. Dokumenty te mogą być również udostępniane innym osobom korzystającym z zasobów Uniwersytetu (studenci, współpracownicy, goście). Strona 13 z 14

14 10. Audyty bezpieczeństwa Audyt bezpieczeństwa informacji należy przeprowadzić przynajmniej raz do roku. Dodatkowe audyty bezpieczeństwa mogą być przeprowadzone w przypadku wystąpienia poważnych incydentów bezpieczeństwa lub po dokonaniu istotnych modyfikacji systemu teleinformatycznego. Podstawą zakresu audytu powinna być analiza ryzyka Do cyklicznych audytów w zakresie Polityki Bezpieczeństwa Informacji upoważnieni są audytorzy wewnętrzni, pracownicy wskazani imiennie przez Rektora lub podmiot z którym Uniwersytet zawrze umowę na przeprowadzenie audytu. 11. Dokumentowanie bezpieczeństwa informacji Dokumentacja SZBI obejmuje klasyfikację aktywów informacyjnych, ocenę ich istotności dla Uniwersytetu, mechanizmy ochrony informacji, proces analizy ryzyka, rejestr incydentów. Dokumentowanie SZBI może się odbywać w postaci tradycyjnej lub elektronicznej. 12. Zasady aktualizacji Polityki Bezpieczeństwa Informacji Polityka bezpieczeństwa informacji powinna być cyklicznie przeglądana i weryfikowana: na polecenie Rektora, w przypadku wystąpienia poważnych incydentów naruszenia zasad bezpieczeństwa, w przypadku zmian regulacji prawnych mających istotny wpływ na Politykę Bezpieczeństwa Informacji, w przypadku modyfikacji Systemu Zarządzania Bezpieczeństwem Informacji, okresowo, ale nie rzadziej niż raz w roku Osoba odpowiedzialną za przegląd i weryfikację Polityki Bezpieczeństwa Informacji jest Dyrektor ds. Informatyzacji. 13. Postanowienia końcowe W terminie miesiąca od wejścia niniejszej polityki w życie właściciele aktywów informacyjnych oraz Dyrektor ds. Informatyzacji wskażą delegowanych przez siebie członków ZZBI W terminie trzech miesięcy od momentu wejścia w życie niniejszej polityki zostaną wykonane następujące działania: określone zostaną kanały komunikacji z ZZBI, określone zostaną formaty dokumentów i rejestrów określonych w niniejszej polityce, nastąpi inwentaryzacja aktywów informacyjnych W terminie roku od momentu wejścia w życie niniejszej polityki zostaną wykonane następujące działania: przeprowadzona zostanie klasyfikacja aktywów informacyjnych, przeprowadzona zostanie analiza ryzyka związanego z infrastrukturą informatyczną i bezpieczeństwem informacji, nastąpi wskazanie mechanizmów ochrony aktywów informacyjnych. Strona 14 z 14