POLITYKA BEZPIECZEŃSTWA INFORMACJI POWIATOWY URZĄD PRACY W PUŁAWACH Aktualizacja: 25.07.2011 r. Opracował: Robert Morszczyzna ASI PUP w Puławach
Spis treści I.Cel i zakres Polityki Bezpieczeństwa Informacji... 3 II.Informacje wstępne... 4 1.Podstawa prawna i źródła... 4 2.Definicje... 5 3.Odpowiedzialność... 8 3.A.Administrator Danych Osobowych... 8 3.B.Administrator Bezpieczeństwa Informacji... 8 3.C.Administrator Systemu Informatycznego... 9 3.D.Osoba upoważniona użytkownik systemu... 10 III.Polityka Bezpieczeństwa Informacji... 11 1.Deklaracja DYREKTORA... 11 2.Podstawowe zasady bezpieczeństwa Informacji...11 IV.Zarządzanie Bezpieczeństwem Informacji... 13 1.Struktura zarządzania bezpieczeństwem informacji... 13 1.A.Skład Forum Zarządzania Bezpieczeństwem Informacji...13 1.B.Zadania Forum... 14 2.Narzędzia i Metody Zarządzania... 15 2.A.Norma PN-ISO/IEC 17799:2007... 15 2.B.Ocena zagrożeń bezpieczeństwa informacji...15 2.C.Wybór środków kontroli... 17 2.D.Zarządzanie incydentami... 17 3.Plan ciągłości działania... 18 3.A.Planowanie ciągłości... 18 3.B.Testowanie planów... 19 V.Postanowienia końcowe... 20 S t r o n a 2 z 20
I. C e l i z a k r e s Po l i t y k i B e z p i e c z e ń s t wa I n f o r m a c j i 1. Polityka Bezpieczeństwa Informacji dla POWIATOWEGO URZĘDU PRACY W PUŁAWACH, zwanego dalej Urzędem w uporządkowanej formie opisuje działania organizacyjne i techniczne, których celem jest zapewnienie bezpieczeństwa organizacji, w tym przede wszystkim przetwarzanych informacji. 2. Polityka Bezpieczeństwa Informacji ustala zakresy obowiązków osób i jednostek organizacyjnych w procesie obiegu i ochrony informacji. 3. Polityka Bezpieczeństwa Informacji wraz z dokumentami Polityki Bezpieczeństwa Danych Osobowych, Instrukcją Zarządzania Systemem Informatycznym oraz dokumentami i wykazami w nich określonych tworzy Księgę Bezpieczeństwa Systemu. 4. Niniejsza Polityka ma status dokumentu przeznaczonego do użytku wewnętrznego i może być udostępniona jedynie osobom upoważnionym (lub określonym) przez Dyrektora Urzędu. S t r o n a 3 z 20
I I. I n f o r m a c j e w s t ę p n e 1. PODSTAWA PRAWNA I ŹRÓDŁA Polityka Bezpieczeństwa Informacji uwzględnia wymagania dotyczące zarządzania bezpieczeństwem informacji zawarte w odpowiednich aktach prawnych oraz normach krajowych i międzynarodowych. W szczególności realizuje wymagania zawarte w: 1. Ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. 2002 r. Nr 101, poz. 926, ze zm.), 2. Ustawie o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. (Dz. U. 2006 r. Nr 90, poz. 631 ze zm.), 3. Ustawie o dostępie do informacji publicznej z dnia 6 września 2001 r. (Dz. U. 2001 r. Nr 112, poz. 1198 ze zm.), 4. Ustawie o ochronie baz danych z dnia 27 lipca 2001 r. (Dz. U. z 2001 r. Nr 128, poz. 1402 ze zm.), 5. Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), 6. Normie PN-ISO/IEC 17799:2007: Technika informatyczna, Techniki Bezpieczeństwa, Praktyczne zasady zarządzania bezpieczeństwem informacji, 7. Normie PN-I-13335-1:1999: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. S t r o n a 4 z 20
2. DEFINICJE Administrator Danych Osobowych [ADO] Administrator Bezpieczeństwa Informacji[ABI] Administrator Systemu Informatycznego [ASI] Osoba upoważniona Użytkownik systemu Dane osobowe Zbiór danych Przetwarzanie danych rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące ocelach i środkach przetwarzania danych osobowych, powołana pisemnie przez ADO osoba, która w imieniu ADO sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych. osoba odpowiedzialna za budowę, rozwój, modyfikację, wdrażanie oraz utrzymanie systemu informatycznego każda osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych wydane przez ADO każda osoba, posiadająca upoważnienie do przetwarzania danych wydane przez ADO zarejestrowana w systemie /posiadająca unikalny identyfikator i hasło/ przetwarzająca dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, S t r o n a 5 z 20
a zwłaszcza te, które wykonuje się w systemach informatycznych, Usuwanie danych Identyfikator użytkownika Hasło Uwierzytelnianie Bezpieczeństwo informacji Poufność Poufność danych Dostępność Integralność danych Rozliczalność Naruszenie Danych Osobowych rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. zachowanie poufności, integralności i rozliczalności informacji właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom [ISO/IEC 13335-1:2004] rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu [ISO/IEC 13335-1:2004] rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; rozumie się nielegalne ujawnienie, pozyskanie, nieuzasadnioną modyfikację lub zniszczenie danych osobowych, niepowołany dostęp S t r o n a 6 z 20
Naruszenie Polityki Bezpieczeństwa Polityka Bezpieczeństwa Informacji Sieć publiczna Sieć telekomunikacyjna Strona trzecia System bezpieczeństwa System informatyczny rozumie się działanie niezgodne z przyjętymi dokumentami polityki bezpieczeństwa wyrażona przez kierownictwo ogólna intencja i kierunki działań dotycząca bezpieczeństwa informacji Polityka Bezpieczeństwa Informacji rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 28 i 29 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004r. Nr 171, poz. 1800) rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 35 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz.U. 2004 r. Nr 171, poz. 1800 ze zm.) ta osoba lub organ, która w przypadku rozstrzygania problemu, jest uważana za niezależną od zaangażowanych stron [ISO/ IEC Guide 2:1996] zestaw aktywów odpowiedzialnych za zabezpieczenie danych przed nieautoryzowanym dostępem wraz z organizacją i przyjętą dokumentacją w zakresie bezpieczeństwa. rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, Zabezpieczanie danych w systemie informatycznym Zagrożenie rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji [ISO/IEC 13335-1:2004] S t r o n a 7 z 20
3. ODPOWIEDZIALNOŚĆ 3.A. Administrator Danych Osobowych Administratorem Danych Osobowych jest Dyrektor POWIATOWEGO URZĘDU PRACY W PUŁAWACH. Administrator jest odpowiedzialny za: 1. dopuszczenie osób do pracy w systemie, 2. zabezpieczenie systemu przetwarzania danych osobowych w tym systemu informatycznego, 3. formalną inicjację kontroli systemu informatycznego, 4. prowadzenie ewidencji osób upoważnionych wraz z zakresami upoważnień, 5. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych. 3.B. Administrator Bezpieczeństwa Informacji Na podstawie Art. 36 ust. 3 Ustawy o ochronie danych osobowych, Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji. Administrator Bezpieczeństwa Informacji jest pracownikiem etatowym POWIATOWEGO URZĘDU PRACY W PUŁAWACH. ABI ma obowiązek zagwarantować w godzinach pracy systemu możliwość kontaktu ze sobą lub osobą posiadającą jego pisemne upoważnienie do podejmowania czynności w związku z uszkodzeniem, awarią bądź naruszeniem bezpieczeństwa. Do zakresu odpowiedzialności ABI należy: 1. nadzorowanie, aby do danych osobowych miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań, 2. nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe oraz kontroli przebywających w nich osób, 3. nadzorowanie przestrzegania zasad określonych w Polityce i Instrukcji dotyczących ochrony bezpieczeństwa danych osobowych, 4. nadzorowanie zasad i procedur oraz ich przestrzegania. 5. nadzorowanie zasad i procedur wymiany danych w sieci, S t r o n a 8 z 20
6. nadzorowanie obiegu dokumentów zawierających dane osobowe, 7. nadzorowanie funkcjonowania zasad i procedur związanych z uwierzytelnianiem użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych, 8. podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych, 9. analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych, jeśli takie wystąpiło, i przygotowanie oraz przedstawienie Administratorowi Danych Osobowych odpowiednich zmian do Polityk Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym, 10. zlecenie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania danych osobowych, 11. szkolenie osób dopuszczonych do przetwarzania danych osobowych z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych, 12. nadzorowanie podpisania umów o poufności z użytkownikami upoważnionymi do przetwarzania danych osobowych, firmami, w tym firmami, którym powierzono przetwarzanie danych osobowych lub konserwacje urządzeń służących do przetwarzania danych oraz pracownikami tych firm. 3.C. Administrator Systemu Informatycznego informatyk. Obowiązki Administratora Systemu Informatycznego pełni zatrudniony w Urzędzie S t r o n a 9 z 20
Obowiązki Administratora Systemu Informatycznego obejmują: 1. wykonywanie czynności wynikających z Instrukcji w zakresie zabezpieczenia prawidłowego i bezpiecznego funkcjonowania bazy technicznej i oprogramowania systemu, 2. wprowadzenie lub usuwanie prawa dostępu do systemu informatycznego dla poszczególnych pracowników z pisemnego polecenia Administratora Danych Osobowych, 3. opracowanie systemu haseł do poszczególnych obszarów systemu, 4. zapewnienie konfiguracji systemu uniemożliwiającej wprowadzanie lub uzyskiwanie danych z systemu przez niepowołane osoby, 5. przeprowadzanie kontroli systemu informatycznego z polecenia Administratora Bezpieczeństwa Informacji, 6. monitorowanie bezpieczeństwa dla serwerów oraz urządzeń aktywnych sieci, 7. opracowywanie tematyki szkoleń z zakresu systemu oraz urządzeń dla użytkowników systemu oraz ich przeprowadzanie ze szczególną dbałością o wiedzę z zakresu bezpieczeństwa systemów. 3.D. Osoba upoważniona użytkownik systemu W przetwarzaniu danych osobowych w Urzędzie, niezależnie od formy przetwarzania, biorą udział wyłącznie osoby posiadające pisemne upoważnienie nadane przez Administratora Danych Osobowych. Użytkownikiem systemu informatycznego jest osoba, która w ramach swoich obowiązków służbowych lub w ramach odbywanego stażu korzysta z systemu informatycznego. S t r o n a 10 z 20
I I I. Po l i t y k a B e z p i e c z e ń s t wa I n f o r m a c j i 1. DEKLARACJA DYREKTORA Mając świadomość znaczenia informacji i systemów informacyjnych dla realizacji misji i celów Powiatowego Urzędu Pracy w Puławach zapewniam, że podejmowane przez pracowników Urzędu działania, dążą do zapewnienia bezpieczeństwa informacji zgodnymi z przepisami prawa, w tym w szczególności z Ustawą o ochronie danych osobowych oraz powszechnie stosowanymi normami bezpieczeństwa informacji, w szczególności z normą PN- ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem informacji Z poważaniem Dyrektor Powiatowego Urzędu Pracy w Puławach 2. PODSTAWOWE ZASADY BEZPIECZEŃSTWA INFORMACJI 1. W celu zapewnienia bezpieczeństwa informacji w Powiatowym Urzędzie Pracy w Puławach stosuje się następujące ogólne zasady: a) minimalnych przywilejów - tzn. przydzielania praw dostępu tylko w zakresie niezbędnym do wykonania określonego zadania, b) separacji obowiązków - polegającej na tym, że zadania krytyczne z punktu widzenia bezpieczeństwa informacji nie mogą być realizowane przez jedną osobę, c) domniemanej odmowy - tzn. przyjęcia, jako standardowych najbardziej restrykcyjnych ustawień, które można zwolnić jedynie w określonych sytuacjach - to, co nie jest dozwolone, jest zabronione. 2. System informatyczny Urzędu jest zabezpieczony przed nieupoważnionym dostępem, modyfikacją lub zniszczeniem. Sieć wewnętrzna jest zabezpieczona przed nieupoważnionym dostępem z zewnątrz. 3. Informacje Urzędu są chronione w sposób proporcjonalny do ich wrażliwości, zagrożeń lub wymagań stawianych przez odpowiednie przepisy prawne. 4. Każdy pracownik Urzędu dysponuje indywidualnym identyfikatorem za pośrednictwem, którego może korzystać z udostępnianych zasobów i usług. Włączone w systemie S t r o n a 11 z 20
informatycznym mechanizmy oraz procedury zapewniają rozliczalność użytkowników zarejestrowanych w systemie. 5. Wszyscy pracownicy Urzędu są uświadomieni w zakresie przyjętej Polityki. Okresowo są przeprowadzane szkolenia dotyczące bezpieczeństwa informacji i ochrony danych osobowych 6. Każdy pracownik Urzędu ma obowiązek informowania o wystąpieniu incydentu związanego z bezpieczeństwem informacji Administratora Bezpieczeństwa Informacji. 7. W przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji, kierownictwo Urzędu spowoduje podjęcie szybkich działań zaradczych w celu zmniejszenia potencjalnych strat. S t r o n a 12 z 20
I V. Z a r z ą d z a n i e B e z p i e c z e ń s t w e m I n f o r m a c j i Informacje oraz procesy wspierające, systemy oraz sieci stanowią dla Urzędu istotną wartość. Poufność, integralność oraz dostępność informacji może odgrywać kluczową rolę w utrzymywaniu przepływów finansowych, zgodności z obowiązującym prawem oraz wizerunku Urzędu. Zależność od systemów informatycznych oraz od usług oznacza, że Urząd jest bardziej podatny na zagrożenia bezpieczeństwa. Połączenie sieci prywatnych oraz publicznych, a także dzielenie się zasobami informacyjnymi utrudniają osiągnięcie kontroli dostępu. Bezpieczeństwo osiągalne przez zastosowanie środków technicznych jest ograniczone i powinno być wspierane poprzez odpowiednie zarządzanie i procedury. Zarządzanie bezpieczeństwem informacji wymaga jako niezbędnego minimum uczestnictwa wszystkich pracowników. 1. STRUKTURA ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Zarządzanie Bezpieczeństwem Informacji wymaga ciągłego nadzorowania i monitorowania istniejących zagrożeń oraz stanu stosowanych zabezpieczeń. Za wprowadzanie zasad bezpieczeństwa informacji odpowiedzialność ponoszą wszyscy członkowie zespołu kierowniczego. Dla celów sprawnego prowadzenia procesu zarządzania bezpieczeństwem, powołuje się Forum Zarządzania Bezpieczeństwem Informacji. 1.A. Skład Forum Zarządzania Bezpieczeństwem Informacji Forum w sposób interdyscyplinarny zajmuje się sprawami bezpieczeństwa przy wykorzystaniu specjalistycznych umiejętności w obszarach zarządzania bezpieczeństwem i ryzykiem przy współpracy personelu bezpieczeństwa, administratorów, kierowników oraz użytkowników. W skład forum wchodzą: 1. DYREKTOR- Administrator Danych Osobowych 2. Kierownik Działu Organizacyjno-Administracyjnego 3. Administrator Bezpieczeństwa Informacji 4. Administrator Systemu Informatycznego S t r o n a 13 z 20
5. Pracownicy powołani przez ADO 1.B. Zadania Forum Podstawowym zadaniem Forum ZBI jest promowanie bezpieczeństwa wewnątrz Urzędu za pomocą odpowiedniego zaangażowania oraz dostępnych środków organizacyjnych oraz technicznych. Forum Zarządzania Bezpieczeństwem Informacji zbiera się przynajmniej raz na sześć miesięcy w celu omówienia dotychczasowych zabezpieczeń oraz dokonuje analizy zdarzeń niebezpiecznych z poprzedniego okresu oraz podejmuje zadania: 1. prowadzi przegląd i zatwierdzanie polityki bezpieczeństwa informacji oraz ogólnej odpowiedzialności, 2. monitoruje zmiany w istotnych zagrożeniach zasobów informacyjnych, 3. prowadzi przeglądy i monitoring incydentów związanych z bezpieczeństwem informacji w systemach informatycznych oraz zbiorach tradycyjnych, 4. zatwierdza ważniejsze inicjatywy w celu poprawy bezpieczeństwa informacji, 5. uzgadnia konkretne metodologie i procesy dotyczące bezpieczeństwa informacji, np.: ocena ryzyka, system klasyfikacji bezpieczeństwa, 6. uzgadnia i wspiera inicjatywy dotyczące bezpieczeństwa w organizacji, np.: program świadomości bezpieczeństwa, 7. zapewnia, że bezpieczeństwo jest częścią procesu planowania informacji, 8. ocenia adekwatność oraz koordynuje wprowadzanie konkretnych środków kontroli bezpieczeństwa dotyczących nowych systemów czy usług, 9. dokonuje przeglądu incydentów w dziedzinie bezpieczeństwa, 10. tworzy listę zdarzeń niebezpiecznych dla każdego obszaru bezpieczeństwa, 11. wprowadza zmiany do dokumentu Polityki Bezpieczeństwa Informacji i zapoznaje z nimi wszystkich pracowników. S t r o n a 14 z 20
2. NARZĘDZIA I METODY ZARZĄDZANIA 2.A. Norma PN-ISO/IEC 17799:2007 Niniejsza norma podaje zalecenia dla zarządzania bezpieczeństwem informacji dla wykorzystania przez wszystkich, którzy są odpowiedzialni za inicjowanie, wdrażanie lub utrzymywanie bezpieczeństwa w organizacji. Zamiarem jest dostarczenie wspólnej bazy dla opracowywania wytycznych bezpieczeństwa i efektywnej praktyki zarządzania bezpieczeństwem informacji oraz zapewnienie zaufania w stosunkach między różnymi organizacjami. Wybór zaleceń niniejszej normy odpowiada potrzebom Urzędu i jest zgodny z obowiązującym prawem i przepisami. 2.B. Ocena zagrożeń bezpieczeństwa informacji Wymogi bezpieczeństwa określa się poprzez metodyczną ocenę zagrożeń bezpieczeństwa. Wydatki na środki kontroli muszą odpowiadać szkodom, jakie mogą wyniknąć w przypadku niezadziałania systemu bezpieczeństwa. Techniki oceny ryzyka można zastosować w całej organizacji, lub tylko w jej częściach; jak również w poszczególnych systemach informatycznych, konkretnych komponentach systemu lub w usługach, gdzie jest to praktyczne, realistyczne oraz pomocne. Ocena ryzyka to systematyczne rozważanie: 1. szkód w działalności biznesowej, w której zachodzi prawdopodobieństwo wystąpienia na skutek niezadziałania systemu bezpieczeństwa, biorąc pod uwagę utratę poufności, pewności lub dostępności informacji i innych zasobów, 2. realistycznego prawdopodobieństwa takiego niezadziałania w świetle istniejących zagrożeń oraz podatności na nie, oraz zastosowanych aktualnie środków kontroli. Wyniki takiej oceny pomogą poprowadzić i ustalić właściwe działania kierownictwa oraz priorytety w zarządzaniu ryzykami bezpieczeństwa informacji, a także będą pomocne przy wprowadzaniu środków kontroli wybranych w celu ochrony przed zagrożeniami. S t r o n a 15 z 20
Zagrożenie może wywrzeć różny wpływ na zasób: złamanie jego poufności, integralności lub dostępności. Poziomy istotności różnych rodzajów wpływu na poszczególne zasoby przedstawia poniższa tabela. Tabela 1. Poziomy istotności różnych rodzajów wpływu zagrożenia na poszczególne zasoby Tabela IV.1. Rodzaje wpływu zagrożenia na chroniony zasób Chroniony zasób złamanie poufności (udostępnienie) złamanie integralności (uszkodzenie) złamanie dostępności (czasowe zablokowanie) akta osób bezrobotnych w postaci tradycyjnej wysoki wysoki średni akta pracowników w postaci tradycyjnej wysoki wysoki średni inne dokumenty w postaci tradycyjnej, zawierające dane osobowe, w tym wydruki z systemu informatycznego wysoki wysoki średni baza danych programu BEZROBOTNI wysoki wysoki wysoki Baza danych programu Syriusz Std. wysoki wysoki wysoki baza danych programu PŁACE wysoki wysoki średni baza danych programu PŁATNIK wysoki wysoki średni baza danych programu PEFS wysoki wysoki średni dokumenty użytkowników systemu przechowywane na serwerze dokumenty użytkowników systemu przechowywane na stacjach roboczych dokumenty użytkowników systemu przechowywane na przenośnych nośnikach danych wysoki wysoki średni wysoki średni niski wysoki średni niski S t r o n a 16 z 20
dane zarchiwizowane na przenośnych nośnikach danych wysoki wysoki niski strona internetowa nie dotyczy wysoki średni strona podmiotowa BIP nie dotyczy wysoki średni sprzęt komp. - serwery, przełączniki, okablowanie nie dotyczy wysoki wysoki sprzęt komp. - stacje robocze, drukarki nie dotyczy średni niski oprogramowanie licencjonowane i licencje wysoki wysoki niski przesyłki realizowane drogą elektroniczną wysoki średni średni Przy czym: wpływ wysoki oznacza duże straty finansowe lub materialne; szkodę dla osób (fizycznych lub prawnych), których dane dotyczą; szkodę dla reputacji urzędu; długotrwały przestój urzędu lub duże utrudnienia w jego funkcjonowaniu; ujawnienie danych osobowych osobom do tego nie upoważnionym lub stworzenie takiej możliwości; wpływ średni oznacza niskie straty finansowe lub materialne; krótkotrwały przestój urzędu lub utrudnienia w jego funkcjonowaniu, nie powodujące utraty reputacji; wpływ niski oznacza brak szkód o których mowa powyżej; pewne utrudnienia organizacyjne (np. konieczność wykonania dodatkowych czynności); 2.C. Wybór środków kontroli Po identyfikacji wymogów bezpieczeństwa dla Urzędu dokonano wyboru środków bezpieczeństwa i wprowadza się je w życie w celu zapewnienia, że ryzyka zostały sprowadzone do akceptowalnego poziomu. 2.D. Zarządzanie incydentami Zarządzanie incydentami zapewnia szybkie, efektywne i uporządkowane reagowanie na incydenty związane z bezpieczeństwem informacji. I tak, należy zgłaszać Administratorowi Bezpieczeństwa Informacji oraz Administratorowi Systemu Informatycznego informacje na temat odkrytych nieprawidłowości, związane z bezpieczeństwem fizycznym Urzędu, jak i bezpieczeństwem informatycznym. Należy pamiętać, iż niezbędnym jest zbieranie danych z audytów i podobnego rodzaju dowodów. S t r o n a 17 z 20
Forum Zarządzania Bezpieczeństwem Informacji analizuje okresowo wynikłe problemy i incydenty, które będą wykorzystane, jako dowód w sprawie. Dowody takie mogą dotyczyć złamania kontraktu, złamania przepisów prawa, negocjacji w celu uzyskania rekompensaty od dostawców oprogramowania i usług. Urząd powinien zapewnić, że: a) wyłącznie wyznaczony i uprawniony personel posiada dostęp do systemów i danych. b) wszystkie działania awaryjne są w pełni dokumentowane. c) działania awaryjne są zgłaszane kierownictwu i poddawane przeglądom przez Forum. 3. PLAN CIĄGŁOŚCI DZIAŁANIA Ciągłość działania powinna rozpoczynać się od określenia wydarzeń mogących spowodować przerwy w przetwarzaniu informacji np. awaria sprzętowa, pożar czy powódź. Następnie należy przeprowadzić ocenę ryzyka w celu ustalenia skutków takich przerw (zarówno pod względem ewentualnych szkód jak i czasu powrotu do normalnego działania). Obie te czynności powinno się przeprowadzić z pełnym udziałem właścicieli zasobów. Ocena ta nie powinna ograniczać się do urządzeń przetwarzania informacji. Należy dążyć do zmniejszenia przerw w normalnym działaniu spowodowanych przez nieszczęścia lub awarie zabezpieczeń (mogących być skutkiem klęsk żywiołowych, wypadków, awarii sprzętowych i umyślnych działań) do akceptowalnego poziomu poprzez zastosowanie środków zapobiegawczych i naprawczych. Dlatego też należy analizować potencjalne konsekwencje awarii systemu zabezpieczeń i utraty danych oraz opracować i wprowadzić takie plany awaryjne by te dane zostały przywrócone w określonym czasie. Plany trzeba utrzymywać i ćwiczyć ich realizację, aby stały się one integralną częścią procesów zarządzania. 3.A. Planowanie ciągłości Wszystkie plany są zgodne oraz posiadają ustalone warunki zastosowania i osoby odpowiedzialne za wykonanie każdej części planu. Plany mają być modyfikowane w zależności od zmieniających się warunków i powinny zawierać: a) warunki zastosowania planów awaryjnych, b) procedury ewakuacyjne, c) procedury wznowienia działalności, d) harmonogram - w jaki sposób i kiedy plan będzie testowany oraz utrzymywanie planu, S t r o n a 18 z 20
e) edukacja i uświadamianie - zapewnienie, że procesy awaryjne będą efektywne, f) odpowiedzialności poszczególnych osób (osoby zastępcze). Każdy plan powinien mieć właściciela. Procedury awaryjne, ewakuacyjne i wznowienia działalności powinny znajdować się w zakresie obowiązków właścicieli odpowiednich zasobów czy procesów biznesowych. Rozwiązania awaryjne dla trzecich stron powinny znajdować się w kontraktach. 3.B. Testowanie planów Plany ciągłości biznesu mogą podczas testów zawieść: w celu zapewnienia, że są aktualne i efektywne, są one regularnie testowane z uwzględnieniem następujących aspektów: a) teoretyczne testowanie różnych scenariuszy, b) symulacje, c) testy techniczne, d) testowanie wznowienia działania w alternatywnym miejscu, e) testowanie usług i urządzeń dostawców, f) próby generalne. S t r o n a 19 z 20
V. Po s t a n o w i e n i a ko ń c o we Wszelkie zmiany wprowadzane są do polityki w formie aneksów zatwierdzonych przez Forum Zarządzania Bezpieczeństwem Informacji i wdrażane odpowiednim zarządzeniem Dyrektora Urzędu. S t r o n a 20 z 20