POLITYKA E-BEZPIECZEŃSTWA

Podobne dokumenty
Polityka Bezpieczeństwa ochrony danych osobowych

Rejestr czynności przetwarzania Sparkle Studio Pole Dance Białystok

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O. Rozdział I Definicje i postanowienia ogólne

POLITYKA BEZPIECZE STWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA DANYCH

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI UNIWERSYTETU KARDYNAŁA STEFANA WYSZYŃSKIEGO W WARSZAWIE

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

1. Polityka Bezpieczeństwa

osobowych w Urzędzie Gminy Duszniki Postanowienia ogólne Podstawa prawna Definicje

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY KAMPINOS

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Polityka bezpieczeństwa informacji

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Amatorski Klub Sportowy Wybiegani Polkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARBEK W WAŁBRZYCHU

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Polityka bezpieczeństwa przetwarzania danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W NAZWA FIRMY

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20

a) po 11 dodaje się 11a 11g w brzmieniu:

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Załącznik nr 3 do Polityki Ochrony Danych Osobowych Toruń, dnia 25 maja 2018 r.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR WÓJTA GMINY ŁĘCZYCE z dnia 31 października 2016 r.

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Instrukcja Zarządzania Systemem Informatycznym

Rozdział I Zagadnienia ogólne

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Załącznik nr 1 do zarządzenia 11 KZ/ 2013

Dane osobowe w data center

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

Transkrypt:

Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności informacji (uniknięcie nieautoryzowanych zmian w danych). Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika) Rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał). Zespół Szkół stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Szkole. Oznaczanie danych Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się: informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne), informacje finansowe Szkoły informacje organizacyjne, dane dostępowe do systemów IT, dane osobowe, inne informacje oznaczone jako informacji poufne lub dane poufne. Zasada minimalnych uprawnień W ramach nadawania uprawnień do danych przetwarzanych w systemach IT szkoły należy stosować zasadę minimalnych uprawnień, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku. Przykładowo: pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne). Zasada wielowarstwowych zabezpieczeń

System IT Szkoły powinien być chroniony równolegle na wielu poziomach. Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych. Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. Zasada ograniczania dostępu Domyślnymi uprawnieniami w systemach IT powinno być zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia. Przykładowo: domyślnie dostęp do bazy przechowującej dane klientów jest zabroniony. Stosowny dostęp zostaje przyznany osobie, której zajmowane stanowisko wiąże się z koniecznością pracy w tego typu systemie. Dostęp do danych poufnych na stacjach PC. Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach. Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Lista systemów objętych tego typu działaniami dostępna jest w osobnym dokumencie. Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego FDE). Dostęp do danych poufnych z zewnątrz szkoły powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany). Dostęp do danych poufnych poprzez szkolną sieć WiFi powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN). Zabezpieczenie stacji roboczych Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. Minimalne środki ochrony to: zainstalowane na stacjach systemy typu: firewall oraz antywirus,

wdrożony system aktualizacji systemu operacyjnego oraz jego składników, wymaganie podania hasła przed uzyskaniem dostępu do stacji, niepozostawianie niezablokowanych stacji PC bez nadzoru, bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych. Szczegółowe informacje dotyczące korzystania ze stacji roboczych można znaleźć w stosownym dokumencie. Wykorzystanie haseł Hasła powinny być okresowo zmieniane. Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej). Hasła nie powinny być łatwe do odgadnięcia, to znaczy: powinny składać się z minimum 9 znaków, w tym jeden znak specjalny nie mogą przybierać prostych form, np. 123456789, stanislaw, dom99, haslo, Magda8, itp. Hasła mogą być tworzone według łączenia losowych (tj nie istniejących w popularnych słownikach) sylab/słów, np,: mal-tra-laza- #topa. W ten sposób można uzyskać długie hasło stosunkowo proste do zapamiętania. Odpowiedzialność pracowników za dane poufne Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony. Monitoring bezpieczeństwa W celu zapewnienia ochrony informacji może być zastosowany monitoring wykorzystania szkolnej infrastruktury informatycznej, w szczególności obejmujący następujące elementy: analiza oprogramowania wykorzystanego na stacjach roboczych, analiza stacji roboczych pod względem wykorzystania nielegalnego oprogramowania / plików multimedialnych oraz innych elementów naruszających Prawo Autorskie, analiza odwiedzanych stron WWW, analiza godzin pracy na stanowiskach komputerowych, analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych) do systemów IT będących w posiadaniu szkoły,

Analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych szkoły. Monitoring bezpieczeństwa musi odbywać się z zachowaniem obowiązującego prawa. Edukacja pracowników w zakresie bezpieczeństwa Szkoła dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu: ochrony Danych Osobowych, świadomości istnienia problemów bezpieczeństwa, szczegółowych aspektów bezpieczeństwa. Odpowiedzialność pracowników za dane dostępowe do systemów Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak: hasła dostępowe, klucze softwareowe (pliki umożliwiające dostęp np. certyfikaty do VPN) oraz sprzętowe, inne mechanizmy umożliwiające dostęp do systemów IT. Przykłady ochrony danych dostępowych: nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim), nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach), Ochrona danych dostępowych przed kradzieżą przez osoby trzecie. Transport danych poufnych przez pracowników Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren szkoły. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren szkoły. Korzystanie z szkolnej infrastruktury IT w celach prywatnych Zabrania się korzystania szkolnej infrastruktury IT w celach prywatnych.

Sieć lokalna (LAN). Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, przykładowo: istotne serwery muszą być odseparowowane od sieci klienckich, gniazdka sieciowe dostępne publiczne muszą być nieaktywne, goście nie mogą uzyskiwać dostępu do sieci LAN. Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze. Systemy IT / serwery Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone. W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach. Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze. Dokumentowanie bezpieczeństwa Szkoła prowadzi dokumentacje w zakresie: obecnie wykorzystywanych metod zabezpieczeń systemów IT, budowy sieci IT, ewentualnych naruszeń bezpieczeństwa systemów IT, dostępów do zbiorów danych / systemów udzielonych pracownikom. Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji. Dane osobowe Szczegółowe wytyczne dotyczące przetwarzania danych osobowych zawarte są w osobnym dokumencie. Publiczne udostępnianie infrastruktury IT Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona. Przykładowe środki bezpieczeństwa: 1. Separacja od sieci LAN (np. z wykorzystaniem strefy DMZ) Wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system) Wewnętrzna lub zewnętrzna weryfikacja bezpieczeństwa systemu (np. poprzez realizację testów penetracyjnych)

Kopie zapasowe. Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w szkolnejj infrastrukturze IT. Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych. Dostęp do systemów IT po rozwiązaniu umowy o pracę W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT. Naruszenie bezpieczeństwa Wszelakie podejrzenia naruszenia bezpieczeństwa danych w szkole należy zgłaszać w formie ustnej lub za pośrednictwem poczty elektronicznej do Zarządu Spółki. Każdy incydent jest odnotowywany w stosownej bazie danych, a dyrektor szkoły podejmuje stosowne kroki zaradcze. Weryfikacja przestrzegania polityki bezpieczeństwa. Zarząd okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa. Zastrzeżenia / zasady korzystania z dokumentu Powyższa przykładowa polityka bezpieczeństwa może być wykorzystywana na wewnętrzne potrzeby szkoły bezpłatnie całości lub w części. Dokument nie może być udostępniany publicznie w innym miejscu niż niniejsza strona www. Zabrania się wykorzystywania dokumentu w celach odsprzedaży / świadczenia komercyjnych usług. Powyższa przykładowa polityka nie jest Polityką Bezpieczeństwa w rozumieniu Ustawy o Ochronie Danych Osobowych Za prawidłowe w tym zgodne z prawem wdrożenie dokumentu polityki bezpieczeństwa odpowiada osoba wdrażająca.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres