Załącznik 5 do Polityki bezpieczeństwa informacji w zakresie danych osobowych na UEP Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych Wstęp 1. Każdy użytkownik przed przystąpieniem do przetwarzania danych osobowych ma obowiązek zapoznać się z Polityką bezpieczeństwa informacji w zakresie danych osobowych przy przetwarzaniu danych osobowych wraz z załącznikami do niej oraz posiadać upoważnienie do przetwarzania danych osobowych nadane przez Administratora danych lub Lokalnego administratora danych. 2. Użytkownik ma prawo do wykonywania tylko tych czynności, do których został upoważniony. 3. Użytkownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu. 4. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków pracowniczych. 5. Użytkownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia. I. Procedury nadawania i zmiany uprawnień do przetwarzania danych 1. Dostęp do systemu przetwarzającego dane osobowe może być nadany wyłącznie osobom posiadającym właściwe upoważnienie do przetwarzania danych osobowych. 2. Dostęp może być nadany automatycznie wg reguł ustalonych przez ASI w porozumieniu z IOD w wypadku: osób prowadzących zajęcia dydaktyczne - do danych studentów uczestniczących w tych zajęciach; pracowników, studentów, doktorantów i słuchaczy - do systemów UEP ograniczony do własnych danych tych osób lub do danych powszechnie znanych w Uczelni (imię, nazwisko, służbowy adres e-mail); pracowników, studentów, doktorantów i słuchaczy - do indywidualnych zasobów sieciowych. 3. We wszystkich innych wypadkach dostęp do systemów przyznawany jest na wniosek skierowany do ASI w formie pisemnej (poprzez stronę helpdesk.ue.poznan.pl) przez kierownika jednostki organizacyjnej odpowiedniej dla danego pracownika, studenta lub doktoranta. Wniosek dla osób spoza Uczelni składa kierownik jednostki organizacyjnej UEP odpowiedzialnej za zadania wykonywane przez te osoby. 4. ASI może odmówić udzielenia dostępu w wypadku otrzymania wniosku, którego realizacja mogłaby negatywnie wpłynąć na bezpieczeństwo systemów UEP lub gdy nie zostały spełnione warunki formalne (np. pracownik nie ma aktualnego upoważnienia do przetwarzania danych osobowych). Wnioskujący może odwołać się od negatywnej decyzji ASI do ADO. Strona 1 z 6
5. Modyfikacje uprawnień dokonywane są na podstawie wniosków jak w pkt 3. 6. Dostęp do systemu przetwarzającego dane osobowe jest odbierany w wypadku: wystąpienia okoliczności uzasadniającej odebranie dostępu (np. ustanie stosunku pracy, zmiana obowiązków służbowych niezbędnych do posiadania danych uprawnień, utrata ważności upoważnienia do przetwarzania danych osobowych); na wniosek kierownika jednostki organizacyjnej odpowiedniej dla użytkownika analogicznie do pkt 3.; stwierdzenia wykorzystywania przez Użytkownika systemu niezgodnie z przeznaczeniem lub przyznanym zakresem uprawnień; stwierdzenia korzystania z systemu przez osobę nieuprawnioną. 7. Dostęp do systemu może być odebrany automatycznie według reguł ustalonych przez ASI w porozumieniu z IOD. II. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i hasła (zalogowaniu się). 2. W systemie informatycznym w celu utrzymywania kontroli dostępu do danych stosuje się identyfikatory użytkowników i hasła na poziomie dostępu do stacji roboczej i aplikacji. ASI jest odpowiedzialny za przydzielenie użytkownikowi niepowtarzalnego identyfikatora. Hasło przekazuje w sposób uniemożliwiający zapoznanie się z nim przez inne osoby. 3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. 4. Przy wyborze hasła służącego do uwierzytelniania użytkowników w systemie informatycznym obowiązują następujące zasady: a) hasło powinno mieć długość co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne (znaki interpunkcyjne, nawiasy, symbole @, #, &, itp., o ile system informatyczny na to pozwala), być możliwe do zapamiętania bez zapisywania, istotnie się różnić od poprzedniego hasła oraz nie może być powtórzeniem jednego z haseł używanych w ciągu ostatnich 6 miesięcy. b) zakazuje się stosować: swojej nazwy użytkownika lub identyfikatora w jakiejkolwiek formie (pisanej dużymi literami, w odwrotnym porządku, dublując każdą literę, itp.), swojego imienia, drugiego imienia, nazwiska, przezwiska, pseudonimu w jakiejkolwiek formie, imion (w szczególności imion osób z najbliższej rodziny), ogólnie dostępnych informacji o użytkowniku takich jak: numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy, na której mieszka lub pracuje, itp., wyrazów słownikowych, przewidywalnych sekwencji znaków z klawiatury np.: QWERTY, 12345678, itp. Strona 2 z 6
5. Użytkownik ma obowiązek zmiany hasła nie rzadziej niż raz na 90 dni. 6. Zmiany hasła nie wolno zlecać innym osobom. 7. W systemach, które umożliwiają opcję zapamiętania nazw użytkownika lub jego hasła nie wolno korzystać z tego ułatwienia. 8. Haseł nie należy zapisywać i pozostawiać w miejscach, w których mogłyby zostać odczytane przez osoby nieuprawnione. 9. Hasła należy utrzymywać w tajemnicy nawet po utracie przez nie ważności. 10. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. 11. Użytkownicy są odpowiedzialni za zachowanie poufności swoich haseł. 12. Hasła muszą być niezwłocznie zmienione, jeśli istnieje podejrzenie, że zostały odkryte, lub wiadomo, że znajdują się w posiadaniu osoby innej niż autoryzowani użytkownicy. 13. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, użytkownik zobowiązany jest do natychmiastowego poinformowania o tej okoliczności ASI/IOD. III. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 1. Użytkownik jest zobowiązany do wykorzystywania oprogramowania służącego do przetwarzania danych osobowych zgodnie z jego przeznaczeniem oraz zachowania szczególnej ostrożności przy wprowadzaniu lub modyfikacji danych, tak aby były one poprawne i kompletne. 2. Przed rozpoczęciem pracy w systemie komputerowym należy zalogować się do systemu przy użyciu indywidualnego identyfikatora oraz hasła. 3. W wypadku pojawienia się problemów z zalogowaniem albo stwierdzenia nieprawidłowego lub niestandardowego działania systemu należy zgłosić taką sytuację IOD lub ASI i zaprzestać korzystania z systemu do czasu wyjaśnienia przyczyn nieprawidłowości. 4. Każdorazowo przy opuszczeniu stanowiska komputerowego użytkownik zobowiązany jest dopilnować, aby na ekranie nie były wyświetlane dane osobowe. Przy opuszczeniu stanowiska pracy na odległość uniemożliwiającą jego obserwację należy wylogować się z systemu (zablokować dostęp) lub zamknąć program. 5. Osoba udostępniająca stanowisko komputerowe innej upoważnionej osobie zobowiązana jest do wylogowania się z systemu. 6. W pomieszczeniu, w którym przetwarzane są dane osobowe, osoby postronne mogą znajdować się tylko w obecności użytkownika albo IOD lub ASI. 7. Podczas pracy w systemie ekrany komputerów należy tak ustawiać, aby uniemożliwić podgląd wyświetlanej treści przez osoby postronne. Przed podglądem należy chronić także wydruki leżące na biurkach oraz w otwartych szafach. 8. Komputery służące do pracy w systemie powinny mieć włączoną funkcję automatycznego wygaszania ekranu. Wznowienie wyświetlenia może nastąpić dopiero po wprowadzeniu odpowiedniego hasła. 9. Kończąc pracę w systemie informatycznym, użytkownik każdorazowo dokonuje wylogowania z systemu i stacji roboczej. Strona 3 z 6
IV. Procedury tworzenia kopii bezpieczeństwa 1. Za zarządzanie systemem kopii bezpieczeństwa tworzenie, weryfikację i odtwarzanie danych z kopii bezpieczeństwa odpowiada Administrator systemu informatycznego. 2. Kopie bezpieczeństwa danych osobowych oraz programów służących do przetwarzania danych osobowych zarządzanych przez Centrum Informatyki wykonywane są automatycznie w systemie kopii zapasowych w Centrum Informatyki. 3. Harmonogram tworzenia kopii bezpieczeństwa ustala ASI w porozumieniu z IOD. Harmonogram zawiera również określenie zasobów i systemów, które są kopiowane. Kopie bezpieczeństwa sporządza się również (poza harmonogramem) przed i po dokonaniu istotnej zmiany konfiguracyjnej (np. aktualizacji oprogramowania, zmiany ustawień systemowych). 4. Kopie bezpieczeństwa przechowywane są przez okres co najmniej dwóch miesięcy od daty wykonania. 5. Odzyskiwanie danych z kopii bezpieczeństwa wykonywane jest w wypadku: utraty całości lub części danych na serwerze, utraty integralności całości lub części danych na serwerze, w celu odtworzenia poprzedniej wersji danych na wniosek użytkownika, na wniosek organu kontrolnego (np. NIK). 6. Odzyskiwanie całego systemu jest wykonywane w wypadku awarii sprzętowej lub logicznej nośników danych, na których jest on zlokalizowany, uniemożliwiającej korzystanie z danego systemu. 7. Pomieszczenia przeznaczone do przechowywania kopii zapasowych należą do strefy bezpieczeństwa klasy A i mogą w nich przebywać wyłącznie wyznaczeni pracownicy Centrum Informatyki, a inne osoby upoważnione tylko w towarzystwie tych pracowników. V. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji oraz wydruków zawierających dane osobowe 1. Nośniki elektroniczne: pomieszczenia, w których przechowywane są nośniki z danymi osobowymi, należą do strefy bezpieczeństwa klasy B; dane osobowe zapisane na urządzeniach, dyskach lub innych nośnikach elektronicznych nie mogą być wynoszone poza teren Uczelni; dane na przenośnych nośnikach elektronicznych powinny być zaszyfrowane. po zakończeniu pracy przenośne nośniki elektroniczne należy przechowywać w zamykanych na klucz szafach lub sejfach; niezwłocznie po ustaniu użyteczności dane osobowe zapisane na nośnikach elektronicznych należy usunąć w sposób uniemożliwiający odtworzenie tych danych; z przeznaczonych do likwidacji urządzeń, dysków lub innych elektronicznych nośników danych zawierających dane osobowe, należy te dane trwale usunąć, a w wypadku, gdy nie jest to możliwe, zniszczyć nośnik w sposób uniemożliwiający ich odczytanie; Strona 4 z 6
z przeznaczonych do naprawy urządzeń, dysków lub innych elektronicznych nośników danych zawierających dane osobowe, należy te dane trwale usunąć albo naprawiać je pod nadzorem osoby upoważnionej. 2. Wydruki: w wypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym bezpośredni dostęp osobom niepowołanym; po zakończeniu pracy przenośne wydruki z danymi osobowymi należy przechowywać w zamykanych na klucz szafach lub sejfach, a jeśli jest to niemożliwe, należy pomieszczenie, w którym przechowywane są te wydruki, należycie zabezpieczyć przed dostępem osób nieuprawnionych; wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie. VI. Sposób zabezpieczenia systemu informatycznego przed wirusami komputerowymi oraz działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 1. Na każdym komputerze pracującym w sieci UEP musi być zainstalowane oprogramowanie antywirusowe. 2. Za zainstalowanie oprogramowania antywirusowego na stacjach roboczych użytkowników odpowiedzialny jest ASI, który współpracuje w tym zakresie z wyznaczonymi pracownikami Centrum Informatyki. 3. Aktualizacja oprogramowania oraz bazy wirusów odbywa się automatycznie. 4. Użytkownikowi nie wolno blokować aktualizacji lub zmieniać jej harmonogramu. 5. Oprogramowanie antywirusowe jest uruchamiane automatycznie podczas uruchomienia komputera. Użytkownikowi nie wolno ograniczać działania tego oprogramowania. 6. Wszelkie zmiany dotyczące konfiguracji programu antywirusowego mogą być wprowadzane wyłącznie przez ASI lub wyznaczonych pracowników Centrum Informatyki. 7. Program antywirusowy chroni komputery przed wirusami i zagrożeniami bezpieczeństwa bez względu na źródło ich pochodzenia. Ochrona dotyczy wirusów i zagrożeń bezpieczeństwa rozprzestrzeniających się z twardych dysków, nośników zewnętrznych oraz sieci. Program antywirusowy podczas pracy komputera w sposób ciągły monitoruje działania podczas otwierania oraz modyfikowania plików, skanuje pliki przychodzące z sieci zewnętrznej oraz pliki załączane do wiadomości e-mail. 8. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w wypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. 9. W wypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe, na którym wirus został wykryty. 10. System informatyczny służący do przetwarzania danych osobowych jest chroniony przed zagrożeniami pochodzącymi z sieci publicznej przez zaporę sieciową firewall. Firewall chroni sieć Administratora danych przed nieuprawnionym dostępem z sieci zewnętrznej oraz kontroluje przepływ informacji pomiędzy tymi sieciami. 11. W wypadku wystąpienia infekcji i braku możliwości usunięcia wirusów przez system antywirusowy lub w sytuacji podejrzenia włamania do systemu informatycznego Strona 5 z 6
użytkownicy są zobowiązani do natychmiastowego powiadomienia o tym IOD i ASI oraz zaprzestania przetwarzania danych. IOD wraz ASI sprawdzają, czy nie zostały naruszone dane osobowe w systemie informatycznym i podejmują czynności mające na celu przywrócenie prawidłowego działania systemu. 12. Zabrania się korzystania z jakichkolwiek własnych routerów lub modemów podłączanych do komputerów działających w systemie informatycznym bez zgody ASI. 13. W systemie informatycznym Uczelni może być używane wyłącznie oprogramowanie licencjonowane przez posiadacza praw autorskich oraz może być używane tylko zgodnie z prawami licencji. VII. Zasady i sposób odnotowywania w systemie informacji o przetwarzaniu danych osobowych 1. System informatyczny umożliwia odnotowanie informacji o: dacie pierwszego wprowadzenia danych do systemu; identyfikatorze użytkownika wprowadzającego dane osobowe do systemu; źródle danych w wypadku zbierania danych nie od osoby, której one dotyczą; informacji o odbiorcach w rozumieniu art. 4 pkt 9 Rozporządzenia, którym dane osobowe zostały udostępnione, o dacie i zakresie tego udostępnienia; sprzeciwu wobec przetwarzania danych osobowych, o którym mowa w art. 21 rozporządzenia. 2. Odnotowanie ww. informacji odbywa automatycznie, jeśli system ma taką możliwość, lub przez ich niezwłoczne wprowadzenie przez użytkownika systemu. VIII. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 1. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego wykonywane są w terminach określonych przez producenta sprzętu, a jeśli nie są one podane, to w terminach ustalonych przez ASI. 2. Przegląd programów i narzędzi programowych, w tym baz danych, przeprowadzany jest zgodnie z zaleceniami twórców poszczególnych programów. 3. Nieprawidłowości ujawnione w trakcie przeglądów i konserwacji są niezwłocznie usuwane, a ich przyczyny przeanalizowane przez ASI. O fakcie ujawnienia nieprawidłowości należy zawiadomić IOD. 4. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada ASI. 5. W wypadku naprawy lub konserwacji urządzeń zawierających nośniki z danymi osobowymi wszelkie prace są prowadzone w warunkach zapewniających ochronę przed udostępnieniem danych osobom nieupoważnionym. 6. Naprawa lub konserwacja urządzeń zawierających nośniki z danymi osobowymi przez osoby nieupoważnione do przetwarzania tych danych odbywa się po usunięciu danych w sposób uniemożliwiający ich odczytanie. W wypadku, gdy usunięcie danych jest niemożliwe przed dokonaniem naprawy albo gdy usunięcie danych spowodowałoby utratę danych nieskopiowanych, naprawa odbywa się pod nadzorem ASI lub IOD. Strona 6 z 6