PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Transkrypt

1 Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Nr dokumentu: P09 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001: ; 8.1; Kontroli Zarządczej C.11, C.12,E.19, P09-Procedury zarządzania SI, wyd.1 1 z 7

2 P09-Procedury zarządzania SI, wyd.1 2 z 7

3 Spis treści 1. NADZÓR NAD POŁĄCZENIAMI VPN Dopuszczenie do połączeń zdalnych VPN Nawiązywanie, zamykanie i ewidencja połączeń VPN Połączenia VPN na potrzeby zdalnego nadzoru Nawiązywanie połączeń VPN przez AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ URZĘDU Autoryzacja nowych urządzeń Proces autoryzacji Kontrola specyfikacji urządzenia ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH Zasady ogólne wprowadzania zmian w systemie informatycznym Urzędu Testowanie zmian w aplikacjach i systemach w środowisku zapasowym Warunki odstąpienia od procedury testowania zmian Nadzór nad realizacją oprogramowania dla Urzędu HISTORIA DOKUMENTU... 7 P09-Procedury zarządzania SI, wyd.1 3 z 7

4 1. NADZÓR NAD POŁĄCZENIAMI VPN Zakres procedury Zasady nadzoru nad połączeniami VPN, Ewidencja połączeń VPN, Warunki korzystania z VPN. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526, 20 ust. 8 rozporządzenia), PN-ISO/IEC 27001: A.12.4; A.13.2, A.15.2; Działanie / odpowiedzialny Opis działania Dopuszczenie do połączeń zdalnych VPN Asystent ADO/ Nawiązywanie, zamykanie i ewidencja połączeń VPN Urząd umożliwia jednostkom zewnętrznym - świadcząca usługę nadzoru technicznego nad dostarczoną aplikacją - dostęp do wybranych aplikacji i baz danych systemu informatycznego przez tunel VPN. Każda z jednostek zewnętrznych, która korzysta z dostępu do zasobów Urzędu poprzez tunel VPN musi zostać zatwierdzona i wpisana do wykazu prowadzonego przez ABI. Wykaz powinien zawierać listę upoważnionych do nawiązywanie połączeń VPN pracowników jednostki zewnętrznej wraz z numerami telefonów. W przypadku zmian kadrowych w firmie zewnętrznej, ma ona obowiązek poinformowania o tym Urzędu. Udostępnianie połączenia w trybie zdalnym może odbywać się jedynie w godzinach wcześniej ustalonych z Urzędem. Przed każdą próbą nawiązania połączenia Jednostka zewnętrzna świadcząca nadzór nad aplikacją ma obowiązek skontaktowania się z Administratorem Systemu Informatycznego, celem uzgodnienia dostępu tunelem VPN. wraz z upoważnionym pracownikiem podmiotu zewnętrznego ustalają czas otwarcia tunelu, cel, szyfrowanie i inne elementy zabezpieczenia transmisji. otwiera tunel VPN na określony przedział czasowy, nie wykraczający po za godziny nadzoru nad systemem IT Urzędu. Każdorazowe uruchomienie tunelu VPN ewidencjonowane jest w dzienniku systemu informatycznego ( zal 6 P01). oraz upoważniony pracownik urzędu Połączenia VPN na potrzeby zdalnego nadzoru Asystent ADO/ Nawiązywanie połączeń VPN przez wszyscy pracownicy Urzędu Dokumenty związane Zamknięcie tunelu VPN następuje poprzez zgłoszenie firmy zewnętrznej o zakończeniu prac serwisowych lub po upłynięciu ustalonego czasu. W razie konieczności przedłużenia czasu otwarcia tunelu firma zewnętrzna zobowiązana jest zadzwonić do organizacji, na co najmniej 20 min. przed upływem ustalonego wcześniej czasu zamknięcia tunelu. Administrator Systemu Informatycznego może wykorzystywać tunele VPN do nadzorowania systemu informatycznego po godzinach pracy z dogodnej dla siebie lokalizacji, pod warunkiem, że logowanie nie odbędzie się z publicznych punktów dostępu do sieci Internet. Połączenie musi być odpowiednio zabezpieczone, a parametry dostępowe (loginy i hasła) zmieniane nie rzadziej niż co 30 dni i wykorzystywany system tokenowy do dodatkowej weryfikacji. Każde takie połączenie musi zostać zanotowane w dzienniku systemu informatycznego, nie później niż w następnym dniu roboczym po jego nawiązaniu. Pracownikom Urzędu zakazuje się samodzielnego (poza procedurą) uruchamiania programów i aplikacji, które nawiązują połączenia typu VPN. zal 7 P01 - Dziennik systemu informatycznego. P09-Procedury zarządzania SI, wyd.1 4 z 7

5 2. AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ Zakres procedury Autoryzacja nowych urządzeń służących do przetwarzania informacji w systemie informatycznym Urzędu. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526, 20 ust. 7 pkt. c) rozporządzenia), PN-ISO/IEC 27001: A.11.2; A.12.4; A.13.1; Działanie / odpowiedzialny Autoryzacja nowych urządzeń Proces autoryzacji Opis działania Autoryzacji podlegają wszystkie nowe modele urządzeń mające być użyte w sieci teleinformatycznej Urzędu. Autoryzacji podlega również sprzęt nie będący własnością Urzędu, służący do przetwarzania danych związanych z działalnością urzędu (sprzęt osobisty, powierzony przez podmioty zewnętrzne). Kontrola specyfikacji urządzenia, O ile zachodzi taka konieczność - testy urządzenia. Kontrola specyfikacji urządzenia Sprawdzenie, czy urządzenie posiada certyfikaty i homologacje wymagane na terenie kraju. Sprawdzenie, czy urządzenie spełnia wymagania techniczne dotyczące podłączenia go do infrastruktury urzędu (interfejsy sieciowe). Sprawdzenie, czy urządzenie spełnia wymagania bezpieczeństwa systemów oraz wymagania Polityki Bezpieczeństwa Informacji, zwłaszcza w zakresie sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, mającego na celu uzyskanie nieuprawnionego dostępu do systemu informatycznego Sprawdzenie, czy urządzenie posiada funkcjonalność umożliwiającą zastosowanie odpowiednich polityk dostępu. P09-Procedury zarządzania SI, wyd.1 5 z 7

6 3. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH Zakres procedury Wprowadzanie i nadzorowanie zmian wprowadzanych do systemów informatycznych, Zmiana konfiguracji, funkcjonalności, kluczowych komponentów systemu informatycznego. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526, 15 ust. 1 rozporządzenia), PN-ISO/IEC 27001:2013 : A.12.5; A.12.6; A.14.2; Działanie / odpowiedzialny Zasady ogólne wprowadzania zmian w systemie informatycznym Urzędu Opis działania Nie dopuszcza się zmian w aplikacjach / systemach operacyjnych, które nie są uwarunkowane względami bezpieczeństwa bądź istotną dla organizacji modyfikacją funkcjonalności. W sytuacji, gdy dokonywanie zmian stanowi czynność należącą do zakresu obowiązków pracownika i ma charakter powtarzalny (np. aktualizacja systemu operacyjnego serwera), pracownik samodzielnie podejmuje decyzję o wprowadzeniu zmiany, dokumentując czynności wpisem do dziennika SI (zal 6 P01), W przypadku stwierdzenia niekorzystnego wpływu zmian na funkcjonowanie systemów informatycznych, Administrator Systemu Informatycznego w porozumieniu z Administratorem Bezpieczeństwa Informacji niezwłocznie zarządza podjęcie działań mających na celu wyeliminowanie bądź minimalizację negatywnych skutków zmiany. Efektywność tych działań podlega bieżącemu monitorowaniu. Zapisy w dziennikach aplikacji/systemów, dotyczące wprowadzania zmian należy sporządzać w sposób umożliwiający łatwe i jednoznaczne ich powiązanie w ramach konkretnej zmiany. W przypadku, gdy zmiana skutkuje odmienną niż dotychczasowa konfiguracją stacji roboczej lub serwera, osoba odpowiedzialna za wprowadzenie zmiany niezwłocznie przekazuje informacje niezbędne dla aktualizacji dokumentacji stacji roboczej lub serwera. W przypadku, gdy zmiana skutkuje ingerencją w prawa dostępu do zasobów informacji, pracownik odpowiedzialny za zmianę uzgadnia możliwość jej wprowadzenia z właścicielami tych zasobów. P09-Procedury zarządzania SI, wyd.1 6 z 7

7 Testowanie zmian w aplikacjach i systemach w środowisku zapasowym Wprowadzanie zmian w aplikacjach oraz systemach operacyjnych powinno być poprzedzone próbną na maszynie testowej, na której odtworzono środowisko pracy stacji docelowej w niezbędnym zakresie. Funkcję stacji testowej może pełnić dowolna dostępna jednostka, po zapewnieniu bezpiecznego usunięcia z niej informacji i aplikacji po zrealizowanym teście. W przypadku, gdy z dostępnej wiedzy i doświadczenia przeprowadzającego test wynika, że ewentualny wpływ zmiany na środowisko pracy nie spowoduje utraty kontroli nad przebiegiem testu i nie wygeneruje innych zagrożeń dla bezpieczeństwa aktywów organizacji, przeprowadzający test może wykorzystać własną lub udostępnioną przez innego użytkownika stację roboczą, pod warunkiem uprzedniego zabezpieczenia przechowywanych na niej danych (backup), a jeśli wymagają tego względy zapewnienia ciągłości działania, wykonania obrazu systemu wraz z niezbędnymi aplikacjami, celem pełnego odtworzenia środowiska pracy w razie takiej konieczności. Wprowadzenie zmian jest dopuszczalne wyłącznie po wykluczeniu negatywnego wpływu zmiany zarówno na system/aplikację, jak i środowisko, na funkcjonowanie którego wpływa system/aplikacja poddana procesowi zmiany. W przypadku zmiany systemu operacyjnego serwera aplikacji/plików wymagane jest uprzednie przetestowanie współpracy tych aplikacji z nowym systemem. Dotyczy to także podniesienia aplikacji lub systemu do wyższej wersji. Wprowadzanie zmian do systemu informatycznego powinno być realizowane w sposób umożliwiający przywrócenie stanu wyjściowego przed zmianą. Warunki odstąpienia od procedury testowania zmian Nadzór nad realizacją oprogramowania dla Urzędu Od przeprowadzenia testu można odstąpić jedynie w przypadku, gdy autor zmiany dysponuje zapisem posiadającej odpowiednie kompetencje strony trzeciej, z którego jednoznacznie wynika, że wprowadzenie zmiany nie pociąga za sobą jakichkolwiek zagrożeń dla środowiska pracy, lub że wprowadzenie zmiany jest niezbędne ze względów bezpieczeństwa, a ewentualne zakłócenia w funkcjonowaniu systemu / aplikacji są zidentyfikowane i zagrożenia wynikające z nich są mniejsze niż koszty zaniechania wprowadzenia zmiany (dotyczy np. poprawek krytycznych systemów operacyjnych). Jeżeli wprowadzenie zmiany wiąże się z opracowaniem przez firmę zewnętrzną dedykowanego oprogramowania, Administrator Systemu Informatycznego zgodnie z odpowiednimi zapisami umowy wiążącej strony nadzoruje proces tworzenia oprogramowania. Nadzór nad pracami ma zapewnić, że zostały podjęte wszelkie niezbędne środki przewidziane umową, mające wpływ na zachowanie poufności w trakcie realizacji umowy, w szczególności w zakresie postępowania z informacjami istotnymi dla bezpieczeństwa organizacji. 4. HISTORIA DOKUMENTU Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P09-Procedury zarządzania SI, wyd.1 7 z 7