Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Transkrypt

1 Załącznik J do Polityki bezpieczeństwa informacji na UEP Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych I. Procedury nadawania i zmiany uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności 1. Nadanie uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe. 1) Przełożony pracownika przekazuje wniosek o nadanie uprawnień dostępu do systemu informatycznego (według wzoru zamieszczonego w załączniku B do PBI) do: właściwego lokalnego administratora danych w wypadku pracowników dziekanatów i biblioteki UEP, pełnomocnika administratora danych w wypadku pozostałych pracowników. 2) Odpowiednio lokalny administrator danych lub pełnomocnik administratora danych w ciągu 5 dni roboczych od dnia otrzymania wniosku podejmuje decyzję o nadaniu uprawnień i przekazuje ją na piśmie wnioskodawcy oraz pracownikowi i ABI. 3) W wypadku odmowy nadania uprawnień przełożony pracownika może odwołać się od decyzji pełnomocnika administratora danych lub lokalnego administratora danych do Rektora UEP. Decyzja rektora jest ostateczna. 4) Jeśli pracownik nie odbył wcześniej przeszkolenia z zakresu ochrony danych osobowych, ABI wzywa pracownika na takie szkolenie. 5) ABI wpisuje pracownika do ewidencji osób dopuszczonych do przetwarzania danych osobowych. 2. Odebranie uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe. 1) Przełożony pracownika przekazuje wniosek o odebranie uprawnień dostępu do systemu informatycznego do: właściwego lokalnego administratora danych w wypadku pracowników dziekanatów i biblioteki UEP, pełnomocnika administratora danych w wypadku pozostałych pracowników. 2) Odpowiednio lokalny administrator danych lub pełnomocnik administratora danych podejmuje niezwłocznie decyzję o odebraniu uprawnień i przekazuje ją na piśmie wnioskodawcy oraz pracownikowi i ABI. 3) Administrator Bezpieczeństwa Informacji wpisuje informację o odebraniu uprawnień dostępu do systemu informatycznego w ewidencji osób dopuszczonych do przetwarzania danych osobowych oraz poleca ASI niezwłoczne zablokowanie dostępu pracownika do systemu informatycznego. II. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. W systemie informatycznym w celu utrzymywania kontroli dostępu do danych stosuje się identyfikatory użytkowników i hasła na poziomie dostępu do stacji roboczej i aplikacji

2 ASI jest odpowiedzialny za przydzielenie użytkownikowi niepowtarzalnego identyfikatora i wygenerowanie hasła tymczasowego. Identyfikator i hasło przekazuje pracownikowi osobiście, w sposób uniemożliwiający zapoznanie się z nim przez inne osoby. 2. Hasło służące do uwierzytelniania użytkowników w systemie informatycznym przeznaczonym do przetwarzania danych osobowych składa się z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. 3. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów itp. 4. Użytkownik ma obowiązek zmiany hasła nie rzadziej niż raz na 30 dni. Nowe hasło musi istotnie się różnić od poprzedniego oraz nie może być powtórzeniem jednego z haseł używanych w ciągu ostatnich 6 miesięcy. 5. Haseł nie należy zapisywać i pozostawiać w miejscach, w których mogłyby zostać odczytane przez osoby nieuprawnione. 6. Haseł nie należy ujawniać nawet po utracie przez nie ważności. 7. Hasła muszą być niezwłocznie zmienione, jeśli istnieje podejrzenie, że zostały odkryte, lub wiadomo, że znajdują się w posiadaniu osoby innej niż autoryzowani użytkownicy. III. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 1. Rozpoczynając pracę w systemie informatycznym, użytkownik wprowadza identyfikator użytkownika i hasło (loguje się) do stacji roboczej, a następnie do systemu służącego do przetwarzania danych osobowych. Czynności te dokonuje w taki sposób, aby zminimalizować ryzyko podejrzenia hasła przez osoby postronne. 2. Po zalogowaniu się do systemu informatycznego użytkownik sprawdza ogólną poprawność działania systemu, zwracając w szczególności uwagę na: wygląd aplikacji; dostępność opcji, do korzystania z których użytkownik został upoważniony; sposób działania aplikacji; zakres danych i sposób ich przedstawienia. 3. Użytkownik niezwłocznie powiadamia ASI o: niemożliwości zalogowania się do systemu; zmianie wyglądu aplikacji wyglądzie odmiennym od normalnego; niedostępności opcji, do korzystania z których użytkownik został upoważniony; dostępności opcji, do korzystania z których użytkownik nie został upoważniony; zmianach sposobu działania aplikacji; zmianach zakresu danych lub sposobu ich przedstawienia odbiegających od stanu normalnego; innych zmianach działania aplikacji uzasadniających podejrzenie naruszenia danych osobowych. 4. Użytkownik powiadamia ASI o niemożliwości zalogowania się do stacji roboczej. 5. Oprogramowanie służące do przetwarzania danych osobowych użytkownik wykorzystuje zgodnie z jego przeznaczeniem oraz zachowuje szczególną ostrożność przy wprowadzaniu lub modyfikacji danych, tak aby były one poprawne i kompletne. 6. Każdorazowo przy opuszczeniu stanowiska komputerowego użytkownik dopilnowuje, aby na ekranie nie były wyświetlane dane osobowe

3 7. Przed opuszczeniem miejsca pracy na dłuższy czas użytkownik włącza wygaszacz ekranu blokujący dostęp do systemu albo blokuje system. 8. Kończąc pracę w systemie informatycznym, użytkownik każdorazowo dokonuje wylogowania z systemu i stacji roboczej. IV. Procedury tworzenia kopii zapasowych 1. Za tworzenie kopii zapasowych danych osobowych i programów służących do przetwarzania danych osobowych odpowiada administrator systemu informatycznego. 2. Kopie zapasowe danych osobowych oraz programów służących do przetwarzania danych osobowych wykonywane są w centralnym systemie kopii zapasowych w Centrum Informatyki. Harmonogram tworzenia kopii ustala ABI w porozumieniu z ASI. 3. Pomieszczenia przeznaczone do przechowywania kopii zapasowych należą do strefy bezpieczeństwa klasy I i mogą w nich przebywać wyłącznie wyznaczeni pracownicy Centrum Informatyki, a inne osoby upoważnione tylko w towarzystwie tych pracowników. V. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji oraz wydruków zawierających dane osobowe 1. Dane osobowe zapisane na urządzeniach, dyskach lub innych nośnikach elektronicznych nie mogą być wynoszone poza teren Uczelni. 2. Po zakończeniu pracy przenośne nośniki elektroniczne oraz wydruki z danymi osobowymi przechowywane są w zamykanych na klucz szafach lub sejfach. 3. Niezwłocznie po ustaniu użyteczności wydruki z danymi osobowymi niszczy się przez pocięcie w niszczarkach, a wycofane z użycia nośniki elektroniczne zawierające zapis danych osobowych niszczy się w sposób uniemożliwiający odtworzenie danych. 4. Pomieszczenia, w których przechowywane są nośniki z danymi osobowymi, należą do strefy bezpieczeństwa klasy II. VI. Sposób zabezpieczenia systemu informatycznego przed wirusami komputerowymi oraz działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 1. Za zainstalowanie oprogramowania antywirusowego na stacjach roboczych użytkowników odpowiedzialny jest ABI, który współpracuje w tym zakresie z wyznaczonymi pracownikami Centrum Informatyki. 2. Aktualizacja oprogramowania oraz bazy wirusów odbywa się automatycznie. 3. Użytkownik nie może blokować aktualizacji lub zmieniać jej harmonogramu. 4. Oprogramowanie antywirusowe jest uruchamiane automatycznie podczas uruchomienia komputera. Użytkownikowi nie wolno ograniczać działania tego oprogramowania. 5. Wszelkie zmiany dotyczące konfiguracji programu antywirusowego mogą być wprowadzane wyłącznie przez ASI lub wyznaczonych pracowników Centrum Informatyki. 6. Program antywirusowy chroni komputery przed wirusami i zagrożeniami bezpieczeństwa bez względu na źródło ich pochodzenia. Ochrona dotyczy wirusów i zagrożeń bezpieczeństwa rozprzestrzeniających się z twardych dysków, nośników zewnętrznych oraz sieci. Program antywirusowy podczas pracy komputera w sposób ciągły monitoruje - 3 -

4 działania podczas otwierania oraz modyfikowania plików, skanuje pliki przychodzące z sieci zewnętrznej oraz pliki załączane do wiadomości System informatyczny służący do przetwarzania danych osobowych jest chroniony przed zagrożeniami pochodzącymi z sieci publicznej przez zaporę sieciową firewall. Firewall chroni sieć administratora danych przed nieuprawnionym dostępem z sieci zewnętrznej oraz kontroluje przepływ informacji pomiędzy tymi sieciami. 8. W przypadku wystąpienia infekcji i braku możliwości usunięcia wirusów przez system antywirusowy lub w sytuacji podejrzenia włamania do systemu informatycznego użytkownicy są zobowiązani do natychmiastowego powiadomienia o tym ASI i ABI. Administrator Bezpieczeństwa Informacji wraz z ASI sprawdzają, czy nie zostały naruszone dane osobowe w systemie informatycznym, i podejmują czynności mające na celu przywrócenie prawidłowego działania systemu. 9. Zabrania się korzystania z jakichkolwiek modemów podłączanych do komputerów działających w systemie informatycznym bez zgody ABI. 10. W systemie informatycznym na Uczelni może być używane wyłącznie oprogramowanie licencjonowane przez posiadacza praw autorskich oraz może być używane tylko zgodnie z prawami licencji. VII. Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych 1. System informatyczny umożliwia odnotowanie informacji o: odbiorcach danych osobowych, którym te dane zostały udostępnione; dacie udostępnienia; zakresie udostępnienia. 2. Odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych osobowych na Uczelni; przedstawiciela, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych; podmiotu, któremu powierzono przetwarzanie danych; organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. 3. Odnotowanie ww. informacji odbywa się poprzez ich wprowadzenie w systemie, a obowiązek odnotowania spoczywa na użytkowniku systemu. 4. Udostępnienie danych osobowych w jakiejkolwiek formie może nastąpić wyłącznie na pisemną prośbę odbiorcy danych. 5. Odnotowanie informacji powinno nastąpić niezwłocznie po udostępnieniu danych. VIII. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 1. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego wykonywane są w terminach określonych przez producenta sprzętu, a jeśli nie są one podane, to w terminach ustalonych przez ASI. 2. Nieprawidłowości ujawnione w trakcie tych działań niezwłocznie są usuwane, a ich przyczyny przeanalizowane przez ASI i przekazane ABI

5 3. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada ASI. 4. W wypadku naprawy lub konserwacji urządzeń zawierających nośniki z danymi osobowymi wszelkie prace są prowadzone w warunkach zapewniających ochronę przed udostępnieniem danych osobom niedopuszczonym do ich przetwarzania. 5. Naprawa lub konserwacja urządzeń zawierających nośniki z danymi osobowymi przez osoby nieupoważnione do przetwarzania tych danych odbywa się po usunięciu danych w sposób uniemożliwiający ich odczytanie. W przypadku gdy usunięcie danych jest niemożliwe przed dokonaniem naprawy albo gdy usunięcie danych spowodowałoby utratę danych nieskopiowanych, naprawa odbywa się pod nadzorem ASI lub ABI