Polityka Bezpieczeństwa Teleinformatycznego

Transkrypt

1 ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P04 Data wydania: rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001:2014 Kontroli Zarządczej Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U poz. 526). 5.2; A 5.1.1; A5.1.2 A4,C12,C13,C15 P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 1 z 8

2 P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 2 z 8

3 Spis treści 1. Cele i zakres Polityki Bezpieczeństwa Teleinformatycznego Podstawowe definicje Obowiązki wynikające z zajmowanych stanowisk Ogólne reguły bezpieczeństwa informacji w systemach teleinformatycznych Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem: Ochrona danych osobowych Postępowanie w przypadku naruszenia bezpieczeństwa informacji Konsekwencje naruszenia zasad Polityki Bezpieczeństwa Teleinformatycznego Historia dokumentu... 8 P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 3 z 8

4 1. Cele i zakres Polityki Bezpieczeństwa Teleinformatycznego Celem Polityki Bezpieczeństwa Teleinformatycznego jest zapewnienie przetwarzania informacji w systemach informatycznych zgodnie z wymogami prawnymi i organizacyjnymi. Zapewnienie, że dostęp do informacji w systemach teleinformatycznych będzie realizowany w sposób adekwatny do realizowanych zadań przez poszczególnych pracowników. Zabezpieczenie systemów informatycznych przed nieuprawnionym dostępem czy modyfikacją informacji przetwarzanych przez używane systemy. Zapewnienie, że systemy teleinformatyczne będą zapewniały następujące atrybuty bezpieczeństwa: A. poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, B. integralność danych rozumianą jako właściwość polegająca na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany), C. rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. 2. Podstawowe definicje Ilekroć w instrukcji jest mowa o: Ustawie rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm); Administratorze Danych Osobowych (ADO) oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty; Pełnomocniku ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI)- rozumie się przez to osobę która w imieniu Burmistrza sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji; Asystent Administratora Danych Osobowych (AsADO) rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków; Administratorze Systemów Informatycznych (ASI) rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych; System Zarządzania Bezpieczeństwem Informacji (SZBI) system zarządzający bezpieczeństwem informacji w oparciu o wymogi normy PN-ISO/IEC 27001; Urzędzie rozumie się Urząd Gminy Kęty; danych każdą informację (tekst, cyfry, wykres, rysunek, dźwięk, animację, zapis audio i video), która może być przetworzona; danych osobowych w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 4 z 8

5 szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; danych wrażliwych rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; dokumentacji bezpieczeństwa informacji rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji; haśle rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego; incydencie bezpieczeństwa rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową; procedurach ochrony danych osobowych rozumie się przez to sposób przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych w taki sposób, by zachować ich tajemnicę, zapewnić ochronę przed zniszczeniem i kradzieżą, określone wymogami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz ze zm.) oraz wymogami niniejszej Polityki; przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie; rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; służbach informatycznych rozumie się przez to informatyków zatrudnionych w Urzędzie; serwisancie rozumie się przez to firmę lub pracownika firmy zajmującej się dostawą, instalacją, naprawą i konserwacją sprzętu komputerowego; systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną; systemy przetwarzania informacji tzn. informacje mogą być przetwarzane wyłącznie w systemach, które spełniają warunki opisane w PBI oraz spełniające wymogi prawa; sytuacją kryzysową jest to wystąpienie, zagrożenie lub domniemanie kradzieży, nieautoryzowanego dostępu, modyfikacji, zatajenia lub utraty (zniszczenia) przetwarzanej w systemie informacji zastrzeżonej. Każdy system informatyczny (SI) powinien przechodzić okresowe audyty bezpieczeństwa; P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 5 z 8

6 użytkowniku rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie, umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych; zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 3. Obowiązki wynikające z zajmowanych stanowisk 3.1 Burmistrz - Administrator Danych Osobowych (ADO) Burmistrz (ADO) jest odpowiedzialny za zapewnienie odpowiednich środków technicznych i organizacyjnych umożliwiających ochronę informacji przetwarzanych przez systemy teleinformatyczne w sposób adekwatny do wymogów prawa, wymogów organizacyjnych i zagrożeń wewnętrznych i zewnętrznych. 3.2 Asystent Administratora Danych Osobowych (AsADO) Asystent Administratora Danych Osobowych z upoważnienia Burmistrza (ADO): a) określa cele stosowania zabezpieczeń i zabezpieczenia (informatyczne), które funkcjonują w Urzędzie Gminy Kęty; b) sprawuje nadzór nad przestrzeganiem obowiązujących zasad wynikających z funkcjonowania SZBI; c) opiniuje procesy związane z zarządzaniem systemem informatycznym przetwarzającym informacje (w tym dane osobowe) w aspekcie ich bezpieczeństwa; d) nadzoruje proces doboru zabezpieczeń (informatycznych) dla wszystkich aktywów informacyjnych Urzędu; e) na żądanie przekazuje informacje do Burmistrza (ADO) oraz Pełnomocnika ds. ZSBI o stanie bezpieczeństwa informacji w zakresie stosowanych zabezpieczeń (informatycznych) i ocenie ich skuteczności; f) nadzoruje proces pozbawiania zapisu danych osobowych z nośników, które przeznaczane są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych; g) nadzoruje proces pozbawiania zapisu danych osobowych lub uszkadzanie w sposób uniemożliwiający odczytanie nośników, które przeznaczone są do likwidacji. 3.3 Administrator Systemów Informatycznych Administrator Systemów Informatycznych z upoważnienia Burmistrza (ADO): a) zarządza systemami informatycznymi w sposób gwarantujący utrzymanie poufności, dostępności i integralności gromadzonych w nich danych na poziomie pozwalającym zachować zgodność z wymogami prawnymi i organizacyjnymi; b) sprawuje nadzór nad wdrożeniem stosownych środków administracyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych; c) sprawuje nadzór nad funkcjonowaniem zabezpieczeń systemów informatycznych; d) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa powierzonego mu systemu informatycznego, zgodnie z procedurami nadzoru nad incydentami bezpieczeństwa oraz utrzymania ciągłością działania ; e) określa zakres uprawnień do systemów informatycznych; P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 6 z 8

7 f) przydziela każdemu użytkownikowi danych indywidualne konta w systemie informatycznym Urzędu, stosowne do wyznaczonego zakresu obowiązków, wprowadza modyfikacje uprawnień użytkowników a także ich wyrejestrowuje na polecenie Administratora Bezpieczeństwa Informacji, blokując jednocześnie dostęp do konta i zasobów informatycznych; g) wprowadza zmiany uprawnień w systemach informacyjnych na czas nieobecności pracownika zgodnie z wytycznymi AsADO oraz planem zastępstw; h) sprawuje nadzór nad częścią fizyczną i logiczną systemu teleinformatycznego. 3.4 Dyrektorzy oraz kierownicy jednostek organizacyjnych Urzędu, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie, Dyrektor lub kierownik jednostki organizacyjnej, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie: a) występuje do ADO za pośrednictwem AsADO/ASI z wnioskiem o nadanie oraz unieważnienie upoważnienia podległych pracowników do przetwarzania danych osobowych, dostępu do systemów, aplikacji, zasobów sieciowych czy usług sieciowych; b) zgłaszanie Administratorowi Systemu Informatycznego potrzeby w zakresie zabezpieczenia podległych im systemów informatycznych, Wszelkie zgłoszenia do AsADO/ASI muszą być realizowane w formie pisemnej, zgodnie z obowiązującymi w Urzędzie procedurami. 4. Ogólne reguły bezpieczeństwa informacji w systemach teleinformatycznych W zakresie ochrony informacji stosowane w systemach teleinformatycznych w Urzędzie Gminy Kęty obowiązują następujące zasady, na podstawie których kształtuje się odpowiednie mechanizmy techniczne i organizacyjne bezpieczeństwa informacji: a) Zasada uprawnionego dostępu każdy pracownik przeszedł szkolenie z zasad ochrony informacji w systemach informatycznych co potwierdzone jest zapisem w protokołach ze szkoleń (lista obecności). b) Zasada przywilejów i usług koniecznych każdy pracownik posiada prawa dostępu do zasobów sieciowych, systemów i aplikacji ograniczone wyłącznie w takim zakresie jaki jest niezbędny do realizacji jego zadań służbowych w oparciu o wniosek kierownika jednostki organizacyjnej. c) Zasada wiedzy koniecznej każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań. d) Zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów systemów informatycznych w przekazanym zakresie odpowiadają konkretne osoby. e) Zasada stałej gotowości system jest przygotowany na wszelkie zidentyfikowane zagrożenia informatyczne. Niedopuszczalne jest tymczasowe, samodzielne wyłączanie mechanizmów zabezpieczających. f) Zasada ewolucji system teleinformatyczny musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych zarówno w sferze sprzętowej jak i programowej. g) Zasada odpowiedniości używane środki techniczne i organizacyjne muszą być adekwatne do sytuacji. h) Zasada świadomej konwersacji nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi. P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 7 z 8

8 i) Zasada segregacji zadań zadania i uprawnienia powinny być tak podzielone, aby jedna osoba nie mogła zdobyć pełni władzy nad całym systemem. j) Zasada czystego ekranu w przypadku opuszczania stanowiska pracy, należy zablokować stację roboczą. Monitor stacji powinien być ustawiony w taki sposób, by osoby postronne nie miały możliwości wglądu do przetwarzanych aktualnie informacji; wygaszacze ekranu w stacjach roboczych zostały ustawione na nie więcej niż 20 minut. k) Zasada odbioru wydruków z drukarki wszelkie wydruki zawierające dane chronione zabierane są przez uprawnioną osobę natychmiast z drukarki po zakończeniu drukowania. 5. Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem: a) spełnienia wymogów prawnych i/lub organizacyjnych upoważniających do takich działań, b) spełnienia szczegółowych zaleceń dotyczących systemów informatycznych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, c) posiadania przez systemy informatyczne mechanizmów pozwalających na realizację procesów zabezpieczenia danych oraz danych osobowych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, 6. Ochrona danych osobowych Zasady postępowania z danymi osobowymi w systemach teleinformatycznych opisuje dokumentacja będąca integralną częścią SZBI. 7. Postępowanie w przypadku naruszenia bezpieczeństwa informacji Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych w systemach teleinformatycznych bezpośredniemu przełożonemu lub Administratorowi Systemów Informatycznych lub Asystentowi Administratora Danych Osobowych. Zasady postępowania zostały opisane w części dokumentacji SZBI Zarzadzanie incydentami, niezgodnościami działania korygujące. Należy powstrzymać się od wszelkich działań, mogących utrudnić ustalenie okoliczności wystąpienia danego incydentu. 8. Konsekwencje naruszenia zasad Polityki Bezpieczeństwa Teleinformatycznego Nieprzestrzeganie postanowień niniejszej dokumentacji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej przepisami Kodeksu Pracy. Jeżeli skutkiem działania pracownika jest ujawnienie informacji osobie nieuprawnionej, może być on pociągnięty do odpowiedzialności karnej określonej przepisami Kodeksu Karnego. Jeżeli skutkiem działania pracownika jest szkoda, ponosi on odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Kodeksu Cywilnego. 9. Historia dokumentu Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 8 z 8