Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach

Transkrypt

1 Załącznik nr 3 do Polityki Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach 1 Cele i założenia Niniejsza instrukcja określa zasady zarządzania i użytkowania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach. 2 Podstawy normatywne Instrukcja Zarządzania SI UMZ powstała na podstawie dokumentu głównego Polityki Bezpieczeństwa Informacji UMZ, w zgodzie z obowiązującymi przepisami prawa oraz ze szczególnym uwzględnieniem następujących dokumentów: 1. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U r. Nr 101 poz. 926 z późniejszymi zmianami). 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Norma PN : Technika Informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 4. Norma PN-ISO/IEC 17799: Technika Informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji. 3 Definicje Ilekroć w niniejszym dokumencie jest mowa o: 1. Systemie Informatycznym Urzędu Miejskiego w Zdzieszowicach (SI UMZ) rozumie się przez to zbiór, którym można zarządzać jako całością, składający się z wszystkich programów, narzędzi programowych, procedur przetwarzania informacji, urządzeń, przedmiotów (np. nośniki magnetyczne) oraz pomieszczeń (np. serwerownia), będących własnością Urzędu Miejskiego w Zdzieszowicach i funkcjonujących w UMZ lub administrowanych przez UMZ, służących do przetwarzania informacji w postaci elektronicznej w UMZ. 2. Informacjach (danych) rozumie się przez to reprezentacje informacji (danych), czyli wszelkie zapisy w układach elektronicznych oraz na innych nośnikach (magnetycznych, optycznych itp.) przetwarzane w SI UMZ. Strona 1 z 8

2 3. Informacjach (danych) chronionych rozumie się przez to informacje (dane) przetwarzane w SI UMZ, którym Urząd zapewnia bezpieczeństwo w rozumieniu definicji określonej w pkt Danych osobowych rozumie się przez to dane (informacje) osobowe w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (Dz. U r. Nr 101 poz. 926, z późn. zm.). 5. Przetwarzaniu informacji rozumie się przez to jakiekolwiek operacje wykonywane na informacji, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, wykonywane w SI UMZ. 6. Bezpieczeństwie informacji rozumie się przez to zapewnienie poufności, integralności i dostępności informacji przetwarzanych w SI UMZ, czyli zabezpieczane jej przed nieautoryzowanym dostępem, zmianą, utratą, uszkodzeniem, zniszczeniem lub zatajeniem. UMZ zabezpiecza tylko informacje chronione, czyli takie, które zostały zidentyfikowane, opisane i oznaczone jako chronione, zgodnie z Polityką Bezpieczeństwa UMZ. 7. Zbiorze danych rozumie się przez to każdy posiadający strukturę zestaw danych (informacji) przetwarzanych w SI UMZ, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 8. Aplikacji rozumie się przez to program komputerowy, będący częścią SI UMZ oraz przetwarzający informacje. 9. Oprogramowaniu systemowym rozumie się przez to systemy operacyjne, bazodanowe lub inne programy, niezbędne do uruchomienia oraz eksploatacji aplikacji. 10. Urządzeniu komputerowym rozumie się przez to każde urządzenie elektroniczne służące do przetwarzania oraz teletransmisji informacji, np. komputer, serwer, urządzenie sieciowe, drukarka, skaner, itp. 11. Sieci komputerowej rozumie się przez to okablowanie, urządzenia komputerowe oraz oprogramowanie służące do teletransmisji informacji. 12. Błędzie rozumie się przez to każde nieprawidłowe działanie aplikacji, oprogramowania systemowego, urządzeń komputerowych, sieci komputerowej lub innych elementów SI UMZ niezgodne z instrukcją użytkownika lub dokumentacją. 13. Użytkowniku rozumie się przez to uprawnioną osobę, która uzyskała dostęp i korzysta z zasobów SI UMZ oraz może uzyskać dostęp do informacji chronionych przetwarzanych w SI UMZ. 14. Administratorze Systemu rozumie się przez to informatyka, osobę odpowiedzialną za ciągłość pracy, rozwój oraz bezpieczeństwo Systemu Informatycznego UMZ, w tym za techniczne przetwarzanie informacji w Systemie Informatycznym UMZ oraz za bezpieczeństwo tych informacji. 15. Administratorze Technicznym rozumie się przez to informatyka odpowiedzialnego za techniczny nadzór nad pracą aplikacji, oprogramowania systemowego, sieci komputerowej lub urządzeń komputerowych. 16. Identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę, która jest użytkownikiem SI UMZ. 17. Haśle rozumie się przez to ciąg znaków literowych, cyfrowych lub innych wykorzystywany w procesie uwierzytelniania użytkownika przy uzyskiwaniu dostępu do SI UMZ i znany jedynie użytkownikowi. 18. Uwierzytelnianiu rozumie się przez to proces identyfikacji użytkownika, czyli ustalenie jego tożsamości na podstawie podanego identyfikatora użytkownika oraz hasła. Strona 2 z 8

3 19. Autoryzacji rozumie się przez to proces weryfikujący, czy dany użytkownik (o ustalonej w procesie uwierzytelniania tożsamości) ma prawo dostępu do informacji (danych), do których usiłuje uzyskać dostęp. 4 Przepisy ogólne 1. Postanowienia niniejszej Instrukcji są wiążące dla wszystkich komórek organizacyjnych UMZ oraz miejskich jednostek organizacyjnych, korzystających z SI UMZ. 2. Postanowienia niniejszej instrukcji są wiążące dla wszystkich osób, nie będących pracownikami UMZ i miejskich jednostek organizacyjnych, które otrzymały dostęp do SI UMZ. 3. Z Systemu Informatycznego UMZ mogą również korzystać inne podmioty na podstawie odrębnej umowy, określającej zasady korzystania z SI UMZ, w szczególności ochronę dostępu do danych chronionych. 4. Administratora Systemu powołuje Sekretarz Gminy. 5. Administratora Technicznego powołuje Sekretarz Gminy. 5 Role i zakresy odpowiedzialności w SI UMZ 1. Zakres odpowiedzialności Administratora Bezpieczeństwa Informacji UMZ: a) Wyraża zgodę na przyznanie dostępu oraz zmiany uprawnień do danych osobowych przetwarzanych w SI UMZ. b) Rejestrację zbiorów danych w Generalnym Inspektoracie Ochrony Danych Osobowych, jeżeli są one częścią SI UMZ oraz zawierają dane osobowe. c) Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych w SI UMZ informacji chronionych, a w szczególności za zabezpieczenie tych danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. d) Określenie budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są informacje chronione w SI UMZ. e) Zabezpieczenie obszarów określonych, w których przetwarzane są dane osobowe w sposób uniemożliwiający dostęp do nich osób nieupoważnionych. f) Udzielanie zgody na udostępnianie danych osobowych zgodnie z ustawą o ochronie danych osobowych oraz pozostałych informacji chronionych zgodnie z obowiązującymi przepisami prawa. g) Udzielanie zgody na przyznanie dostępu do SI UMZ. h) Udzielanie zgody na zakładanie zbiorów danych zawierających dane osobowe lub pozostałe informacje chronione, na lokalnych lub przenośnych urządzeniach komputerowych (komputery typu PC lub laptopy) oraz ewidencjonowanie tych zbiorów. i) Zatwierdzanie instrukcji postępowania oraz procedur dla SI UMZ. Strona 3 z 8

4 2. Zakres odpowiedzialności Administratora Systemu UMZ: a) Zarządzanie SI UMZ. b) Koordynacja działań zapewniających sprawne funkcjonowanie, zabezpieczenie SI UMZ przed niepowołanym dostępem oraz techniczne zapewnienie Bezpieczeństwa Informacji chronionych. c) Opracowanie i aktualizowanie Regulaminu korzystania z SI UMZ oraz Regulaminu korzystania z urządzeń komputerowych UMZ. d) Opracowywanie instrukcji postępowania na wypadek awarii urządzeń komputerowych, oprogramowania systemowego, aplikacji oraz sieci komputerowej. e) Rejestracja i prowadzenie bieżącej ewidencji użytkowników SI UMZ. f) Ewidencjonowanie udostępniania danych osobowych zgodnie z ustawą o ochronie danych osobowych. g) Określenie rodzaju aplikacji oraz urządzeń komputerowych, które są niezbędne do realizacji zadań komórek organizacyjnych UMZ, a także opiniowanie aplikacji i urządzeń zaproponowanych przez merytoryczne jednostki organizacyjne UMZ. h) Administrowanie serwisem urządzeń komputerowych, oprogramowaniem systemowym, aplikacjami, siecią komputerową SI UMZ. i) Zapewnienie bezpieczeństwa informacji chronionych przetwarzanych na indywidualnych urządzeniach komputerowych użytkowników SI UMZ. j) Obsługę i organizację techniczną dostępu do usług SI UMZ. k) Rozbudowę SI UMZ oraz wprowadzanie nowych technologii. l) Opiniowanie instrukcji postępowania oraz procedur przygotowanych przez Administratora Technicznego określających zarządzanie Systemem Informatycznym UMZ. m) Wdrażanie aplikacji w SI UMZ oraz zapewnienie ciągłości ich pracy ze strony technicznej. n) Wskazywanie norm i standardów dotyczących urządzeń komputerowych, sieci komputerowej, Oprogramowania Systemowego oraz aplikacji będących częścią SI UMZ. o) Prowadzenie zakupów urządzeń komputerowych, aplikacji oraz Oprogramowania Systemowego przeznaczonych do wdrożenia w SI UMZ. p) Koordynowanie Asysty Technicznej dla urządzeń komputerowych, aplikacji oraz Oprogramowania Systemowego będących częścią SI UMZ. 3. Zakres odpowiedzialności Administratora Technicznego UMZ: a) Konfigurację i administrację odpowiednich elementów SI UMZ, w tym także w stopniu zapewniającym Bezpieczeństwo Informacji. b) Bieżące monitorowanie odpowiednich elementów SI UMZ, w tym także pod kątem prób nieautoryzowanego dostępu do Informacji Chronionych. c) Przeciwdziałanie próbom włamania, zniszczenia oraz nieautoryzowanego dostępu do odpowiednich elementów SI UMZ, w tym także do informacji chronionych. d) Techniczne udostępnianie informacji chronionych, za zgodą Administratora Systemu przetwarzanych w SI. e) Opracowanie procedur określających zarządzanie odpowiednimi elementami SI UMZ. Strona 4 z 8

5 f) Tworzenie kopii awaryjnych danych chronionych (z wyłączeniem danych przetwarzanych na lokalnych urządzeniach komputerowych) oraz zasobów lub konfiguracji odpowiednich elementów SI UMZ, niezbędnych do prawidłowej pracy SI UMZ lub do przetwarzania danych chronionych. Zabezpieczenie tych kopii i opracowanie procedur określających sposób ich tworzenia, przechowywania i odtwarzania. g) Umożliwienie archiwizowania danych chronionych przetwarzanych na lokalnych urządzeniach komputerowych (komputery typu PC lub laptopy) użytkowników. h) Prowadzenie asysty technicznej dla odpowiednich elementów SI UMZ oraz analizowanie i przedstawianie błędów zgłaszanych przez użytkowników partnerom zewnętrznym (wykonawca aplikacji lub serwis zewnętrzny). i) Prowadzenie dokumentacji technicznej dotyczącej odpowiednich elementów SI UMZ. j) Przeprowadzanie analiz oraz proponowanie rozwiązań dotyczących rozwoju, integracji i współpracy z innymi odpowiednimi elementami SI UMZ. k) Administrowanie uprawnieniami użytkowników do odpowiednich elementów SI UMZ. l) Administrowanie licencjami do odpowiednich elementów SI UMZ. m) Współpracę z komórkami organizacyjnymi UMZ przy tworzeniu i ochronie lokalnych zbiorów danych chronionych oraz przy przejmowaniu danych z innych aplikacji lub zbiorów danych nie będących elementami SI UMZ. 4. Zakres odpowiedzialności Użytkownika systemu informatycznego UMZ: a) niezwłoczne poinformowanie bezpośredniego przełożonego oraz Administratora Systemu o nieautoryzowanym dostępie do informacji chronionych, b) zachowanie w tajemnicy wszelkich posiadanych haseł chroniących jego konta użytkownika w SI UMZ, c) zmiana haseł do posiadanych kont użytkownika, co najmniej raz na miesiąc, d) wykorzystywanie posiadanych identyfikatorów użytkownika wyłącznie do zadań związanych z pełnionym stanowiskiem, e) uzyskanie zgody Administratora Systemu na zakładanie zbiorów danych zawierających informacje chronione, na lokalnych lub przenośnych urządzeniach komputerowych (komputery typu PC lub laptopy), f) tworzenie kopii awaryjnych (archiwizację) Informacji Chronionych, przetwarzanych na lokalnych lub przenośnych urządzeniach komputerowych (komputery typu PC lub laptopy), g) zapewnienie bezpieczeństwa informacji chronionych przetwarzanych na lokalnych lub przenośnych urządzeniach komputerowych (komputery typu PC lub laptopy), h) prawidłowe korzystanie z aplikacji zgodnie z powierzonymi obowiązkami służbowymi, i) bieżącą ochronę przed wirusami komputerowymi lokalnego urządzenia komputerowego stanowiącego jego stanowisko pracy, j) urządzania komputerowe przekazane mu do eksploatacji, k) zgłaszanie awarii urządzeń komputerowych, oprogramowania systemowego, sieci komputerowej Administratorowi Systemu, l) informowanie Administratora Systemu o wszelkich nieprawidłowościach działania aplikacji, m) zachowanie szczególnej staranności przy przetwarzaniu danych, aby dane te były: Strona 5 z 8

6 przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. 6 Zasady dostępu i korzystania z SI UMZ Szczegółowe zasady dostępu i korzystania z Systemu Informatycznego Urzędu Miejskiego w Zdzieszowicach określają: 1. Regulamin korzystania z SI UMZ stanowiący załącznik nr 4 Polityki Bezpieczeństwa Informacji UMZ 2. Regulamin korzystania z urządzeń komputerowych UMZ stanowiący załącznik nr 5 Polityki Bezpieczeństwa Informacji UMZ 3. Reguły i zasady udostępniania danych przetwarzanych w SI UMZ: a) Za udostępnianie informacji chronionych poza SI UMZ odpowiada Administrator Bezpieczeństwa Informacji. Udostępnienie zbiorów danych zawierających informacje chronione może nastąpić wyłącznie po wyrażeniu przez niego zgody. b) Za udostępnienie pozostałych informacji przetwarzanych w SI UMZ, odpowiada użytkownik merytorycznie odpowiedzialny za udostępnianie tych danych. c) Udostępnienie danych osobowych w formie elektronicznej, poprzez urządzenia teletransmisji poza SI UMZ możliwe jest jedynie po zastosowaniu metod kryptograficznych (połączenie szyfrowane lub szyfrowanie danych). d) W przypadku udostępniania danych w postaci elektronicznej, format i sposób udostępnienia tych danych określa Administrator Systemu lub Administrator Techniczny. W przypadku udostępniania danych w postaci elektronicznej, Administrator Systemu może odmówić udostępnienia tych danych w takiej formie, jeżeli może to naruszyć bezpieczeństwo i ochronę pozostałych informacji przetwarzanych w SI UMZ lub samego SI UMZ. 4. Reguły rejestracji zbiorów danych osobowych: a) Zbiory danych zawierające dane osobowe przetwarzane w SI UMZ, w tym także zbiory danych zawierające dane osobowe umieszczone na lokalnych lub przenośnych urządzeniach komputerowych (np. komputery typu PC lub laptopy) rejestruje Administrator Bezpieczeństwa Informacji UMZ zgodnie z Ustawą o ochronie danych osobowych. b) W przypadku nie uzyskania akceptacji Administratora Bezpieczeństwa Informacji dla przetwarzania danych osobowych w lokalnym zbiorze danych na lokalnym lub przenośnym urządzeniu komputerowym, Administratorem danych w rozumieniu Ustawy o ochronie danych osobowych dla tego lokalnego zbioru danych jest użytkownik obsługujący dane urządzenie komputerowe. W szczególności użytkownik ten odpowiada za rejestrację tego zbioru danych zgodnie z Ustawą o ochronie danych osobowych oraz za Bezpieczeństwo danych osobowych w nim przetwarzanych. 5. Reguły zakupy, modernizacji, wdrażana i eksploatacji aplikacji a) Każda komórka organizacyjna UMZ zawierająca umowę, której przedmiot obejmuje wykonanie lub nabycie aplikacji lub projektu aplikacji, musi uzyskać akceptację Strona 6 z 8

7 umowy przez Administratora Systemu. Umowa, musi zawierać następujące elementy: wskazanie strony umowy będącej właścicielem praw autorskich do aplikacji lub projektu aplikacji, dokładne określenie ilości licencji, stanowisk, ról i praw dostępu do aplikacji, określenie zasad wdrożenia i szkoleń, w przypadku takiej konieczności zgodę Wykonawcy na korzystanie ze struktur, tablic oraz innych obiektów bazy danych wykorzystywanych przez program w celu zabezpieczenia jego praw autorskich, określenie warunków gwarancji aplikacji, określenie zasad asysty technicznej i konserwacji aplikacji, zabezpieczenie kompletnej dokumentacji do aplikacji. b) Oprócz umowy, należy sporządzić i przedłożyć kosztorys zawierający łączne koszty wdrożenia i eksploatacji aplikacji, który obejmuje: koszt nabycia wdrażanej aplikacji, całkowity koszt wdrożenia aplikacji (szkolenia, asysta techniczna przy wdrożeniu itp.) koszt dodatkowych urządzeń komputerowych oraz innych aplikacji i oprogramowania systemowego, które są niezbędne do prawidłowej eksploatacji wdrażanej aplikacji, koszt asysty technicznej i konserwacji na wdrażaną aplikację. c) Podpisanie umowy musi być poprzedzone uzgodnieniami z Administratorem Systemu w formie protokołu uzgodnień następujących tematów: miejsca zlokalizowania, ilości oraz parametrów technicznych urządzeń komputerowych, na których będzie zainstalowana i używana aplikacja. zasad i osób odpowiedzialnych za administrację aplikacji oraz jej wpływ na obciążenie i pracę SI UMZ. d) Administrator Systemu przygotowuje procedurę odbioru, wdrożenia oraz przekazania aplikacji do eksploatacji w SI UMZ. 6. Reguły przyznawania dostępu do SI UMZ dla pracowników Urzędu Miejskiego w Zdzieszowicach a) Dostęp do SI UMZ może uzyskać każdy pracownik UMZ, który wypełni Wniosek o przyznanie dostępu do Systemu Informatycznego UMZ dla pracowników UMZ stanowiący załącznik nr 7 Polityki Bezpieczeństwa Informacji UMZ, oraz przekaże go Administratorowi Bezpieczeństwa Informacji. b) Zdalny dostęp do SI UMZ, może uzyskać każdy pracownik UMZ, który: wypełni Wniosek o przyznanie dostępu do Systemu Informatycznego UMZ oraz przekaże go Administratorowi Bezpieczeństwa Informacji. wykaże w powyższym wniosku, iż taki dostęp jest mu niezbędny do realizacji powierzonych zadań służbowych. c) Dostęp do aplikacji SI UMZ, lub zmianę uprawnień w aplikacjach SI UMZ, uzyskuje każdy pracownik UMZ, który wypełni odpowiedni wniosek, którego wzór stanowi załącznik nr 8 Polityki Bezpieczeństwa Informacji UMZ oraz prześle go do Administratora Informacji przetwarzanych w SI. d) Wypełniony wniosek akceptuje Administrator Bezpieczeństwa Informacji i przekazuje go do realizacji Administratorowi Systemu. e) Każda komórka organizacyjna UMZ może przedłożyć jeden wspólny wniosek dla kilku swoich pracowników. Strona 7 z 8

8 f) Osobą upoważnioną do przedłożenia wniosku, jest kierownik komórki organizacyjnej. g) Przed otrzymaniem dostępu do SI UMZ oraz przed otrzymaniem identyfikatora użytkownika, każdy pracownik UMZ musi podpisać Oświadczenie o zachowaniu poufności stanowiący załącznik nr 6 Polityki Bezpieczeństwa Informacji UMZ. h) Oryginały wniosków i podpisanych oświadczeń przechowywane są u Administratora Bezpieczeństwa Informacji. 7. Reguły przyznawania dostępu do SI UMZ dla osób nie będących pracownikami Urzędu Miejskiego w Zdzieszowicach: a) Osoby z poza UMZ ubiegające się o dostęp do SI UMZ muszą przedłożyć Wniosek o przyznanie dostępu do Systemu Informatycznego UMZ stanowiący załącznik nr 9 Polityki Bezpieczeństwa Informacji UMZ. b) Wypełniony wniosek akceptuje Administrator Bezpieczeństwa Informacji i przekazuje go do realizacji Administratorowi Systemu. c) Przed otrzymaniem dostępu do SI UMZ oraz przed otrzymaniem identyfikatora użytkownika, każda osoba zewnętrzna musi podpisać Oświadczenie o zachowaniu poufności stanowiący załącznik nr 6 Polityki Bezpieczeństwa Informacji UMZ. d) Oryginały wniosków i podpisanych oświadczeń przechowywane są u Administratora Bezpieczeństwa Informacji. Strona 8 z 8