ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach



Podobne dokumenty
Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Marcin Soczko. Agenda

POLITYKA BEZPIECZEŃSTWA INFORMACJI INSTYTUTU KOLEJNICTWA

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Krzysztof Świtała WPiA UKSW

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Szkolenie otwarte 2016 r.

Kryteria oceny Systemu Kontroli Zarządczej

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Zarządzenie Nr 508 / 2016 Prezydenta Miasta Kalisza z dnia 9 września 2016 r.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Dokumenty, programy i czynności składające się na system kontroli zarządczej w Urzędzie Gminy w Wierzbicy. A. Środowisko wewnętrzne.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Zarządzanie projektami a zarządzanie ryzykiem

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Zarządzenie Nr OR OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.

Dyrektora Gminnego Zespołu Szkół w Ozimku

PRELEGENT Przemek Frańczak Członek SIODO

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Standard ISO 9001:2015

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

SKZ System Kontroli Zarządczej

Kwestionariusz samooceny kontroli zarządczej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzenie NR 4/2013 Dyrektora Tarnowskiego Ośrodka Interwencji Kryzysowej i Wsparcia Ofiar Przemocy w Tarnowie, z dnia 7 stycznia 2013 r.

Polityka bezpieczeństwa danych osobowych

Zarządzenie nr 98/2012. Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

SPRAWOZDANIE Z FUNKCJONOWANIA KONTROLI ZARZĄDCZEJ ZA ROK W Gimnazjum im. Ojca Ludwika Wrodarczyka w Radzionkowie

Amatorski Klub Sportowy Wybiegani Polkowice

ZARZĄDZENIE NR 36/2016 BURMISTRZA KSIĄŻA WLKP. z dnia 22 marca 2016 r.

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

Kwestionarisz samooceny

ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Promotor: dr inż. Krzysztof Różanowski

KWESTIONARIUSZ SAMOOCENY DLA ZESPOŁU SZKÓŁ W DRYGAŁACH W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Uchwała wchodzi w życie z dniem uchwalenia.

Regulamin zarządzania ryzykiem. Założenia ogólne

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Reforma ochrony danych osobowych RODO/GDPR

Zarządzenie Nr 15/2015 Burmistrza Miasta Łańcuta z dnia 21 stycznia 2015 r.

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

LWKZ Zarządzenie nr 4/2017

I. Postanowienia ogólne

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

ARKUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ UWAGI/DODATKOW E INFORMACJE

Zarządzanie ryzykiem w bezpieczeństwie informacji

Standardy kontroli zarządczej

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

SPRAWOZDANIE Z FUNKCJONOWANIA KONTROLI ZARZĄDCZEJ ZA ROK W Gimnazjum im. Ojca Ludwika Wrodarczyka w Radzionkowie

Zdrowe podejście do informacji

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Transkrypt:

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnychl i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. nr 93 póz. 545) oraz art. 31 i art. 33 ust. 1 i 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (t.j. Dz. U. z 2013 r. póz. 594 z późn. zm.) zarządza się, co następuje: Wprowadza się do użytku "Politykę Bezpieczeństwa Informacji", stanowiącą załącznik Nr 1 do niniejszego zarządzenia. 1 2 1. Wykonanie powierza się osobie zatrudnionej na stanowisku pracy do spraw funduszy europejskich i inwestycji. 2. Nadzór nad wykonaniem zarządzenia powierza się Zastępca Wójta Gminy. 3 Zarządzenie wchodzi w życie z dniem podpisania. W( rit oguslaw Slabicki

POLITYKA BEZPIECZEŃSTWA INFORMACJI Załącznik Nr 1 do Zarządzenia Nr 73/2015 z dnia 11 czerwca 2015r.

1. Wstęp 0 skuteczności działania i rozwoju każdej organizacji świadczy stopień osiągania zamierzonego celu. W procesie tym kluczowe jest stosowanie współczesnych technik 1 technologii, narzędzi i systemów informatycznych oraz przetwarzania i zarządzana informacją. Informacja jest jednym z najważniejszych zasobów Urzędu, dlatego powinna być chroniona na każdym szczeblu organizacji. Najwyższe kierownictwo Urzędu zobowiązuje się do podejmowania niezbędnych działań mających na celu zapewnienie ochrony informacji na pożądanym poziomie, a tym samym spełnienie wymaganego poziomu bezpieczeństwa systemów informacyjnych. 2. Definicje: 1. Bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji. 2. Ryzyko - prawdopodobieństwo wystąpienia zagrożenia, które wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia. 3. Szacowanie ryzyka - całościowy proces analizy i oceny ryzyka. 4. Aktyw/zasób - wszystko to, co ma wartość dla organizacji w zakresie informacji (zarówno informacje, jak i środki techniczne oraz organizacyjne do ich przetwarzania). 5. Poufność - zapewnienie dostępu do informacji tylko osobom upoważnionym. 6. Integralność - zapewnienie dostępu do informacji tylko osobom upoważnionym. 7. Dostępność - zapewnienie, że osoby upoważnione będą miały dostęp do informacji tylko wtedy gdy jest to uzasadnione. 8. Postępowanie z ryzykiem - proces wyboru i wdrażania środków modyfikujących ryzyko. 9. Zarządzanie ryzykiem - proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych, przy zachowaniu akceptowalnego poziomu kosztów. 10. Zdarzenie związane z bezpieczeństwem informacji -określony stan systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem. 11. Incydent związany z bezpieczeństwem informacji - pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. 12. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 13. Urząd - Urząd Gminy w Orłach. 3. Zakres Systemu Bezpieczeństwa Informacji System Zarządzania Bezpieczeństwa Informacji (SZBI) w Urzędzie odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Elementy SZBI zostały opracowane, wdrożone i są utrzymywane w oparciu o normę PN-ISO/IEC 27001:2007. Zakres SZBI dotyczy obsługi administracyjnej ludności i podmiotów gospodarczych. Zakresy określone przez dokument Polityki Bezpieczeństwa Informacji mają zastosowanie do całego systemu informacyjnego Urzędu, w szczególności do:

1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie; 2. informacji będących własnością Urzędu; 3. informacji będących własnością klientów Urzędu, uzyskanych na podstawie zawartych umów; 4. wszystkich lokalizacji Urzędu, czyli budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie; 5. wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. 4. Deklaracja Kierownictwa w zakresie bezpieczeństwa informacji w Urzędzie Najwyższe kierownictwo Urzędu, stojąc na stanowisku, że informacja jest newralgicznym zasobem każdej organizacji, wdrożyło system zarządzania bezpieczeństwem informacji. Priorytetowym celem systemu jest spełnienie wymagań prawnych oraz zapewnienie ciągłości działania organizacji, poufności danych wrażliwych i dostępności wymaganych informacji. Przez bezpieczeństwo informacji w Urzędzie rozumie się zapewnienie dostępności, zabezpieczenie przed nieuprawnionym dostępem, naruszeniem integralności bądź zniszczeniem aktywów związanych z przechowywaniem i przetwarzaniem informacji. Zakres ochrony i podjęte środki są adekwatne do własności aktywów związanych z systemami przetwarzania informacji. Główne cele stawiane przed systemem zarządzania bezpieczeństwem informacji: 1. zapewnienie spełnienia wymagań prawnych, 2. ochrona systemów przetwarzania informacji przed nieuprawnionym dostępem bądź zniszczeniem, 3. podnoszenie świadomości pracowników, 4. zmniejszenie ryzyka utraty informacji, 5. zaangażowanie wszystkich pracowników w ochronę informacji. W Urzędzie zapewniamy bezpieczeństwo informacji poprzez: 1. zarządzanie ryzykiem, na które składają się identyfikacja prawdopodobieństwa wystąpienia zagrożenia oraz ich następstw (skutków) wraz z określeniem i wdrożeniem działań zabezpieczających zasoby. Kierownictwo Urzędu zapewnia środki niezbędne do realizacji Polityki Bezpieczeństwa Informacji. 5. Organizacja bezpieczeństwa informacji w Urzędzie Odpowiedzialność za bezpieczeństwo informacji w Urzędzie ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Najwyższe Kierownictwo odpowiedzialne jest za zapewnienie zasobów niezbędnych dla funkcjonowania, utrzymania i doskonalenia systemu zarządzana bezpieczeństwem informacji oraz poszczególnych zabezpieczeń. Wydaje zgodę na użytkowanie urządzeń służących do przetwarzania informacji i zabezpieczeń. Decyduje również o współpracy w zakresie bezpieczeństwa z innymi podmiotami. Każdy pracownik Urzędu jest zapoznawany z zasadami bezpieczeństwa w swojej komórce organizacyjnej wynikającymi z postanowień niniejszego zarządzenia.

Stażyści oraz praktykanci również są zapoznawani z tymi zasadami. Kierownik komórki organizacyjnej jest odpowiedzialny za ochronę bezpieczeństwa informacji w Referacie, a w szczególności za monitorowanie integralności i dostępności posiadanych zasobów informacji, nadzorowanie przestrzegania zasad bezpieczeństwa przez podległych pracowników oraz podejmowanie stosownych działań w razie stwierdzenia wystąpienia incydentu lub sytuacji mogącej prowadzić do wystąpienia incydentu bezpieczeństwa. Właściciel aktywa odpowiada za bieżące nadzorowanie oraz zarządzanie aktywem. 5.1 Dokumentacja systemu zarządzania bezpieczeństwem informacji Dokumentacja systemu zarządzania bezpieczeństwem składa się z dwóch głównych elementów. Są nimi: Polityka Bezpieczeństwa Informacji w Urzędzie; Arkusz analizy ryzyka wraz z planem postępowania z ryzykiem zawierającym cele bezpieczeństwa informacji. 5.2. Polityka kontroli dostępu do informacji Dostęp do informacji przechowywanych i przetwarzanych w Urzędzie jest poddany kontroli wynikającej z obowiązujących przepisów prawa powszechnego oraz dodatkowych wymagań bezpieczeństwa, przyjętych w normie PN-ISO/IEC 27001:2007. Kontrola polega na: 1. wydzieleniu obszarów przeznaczonych do przechowywania oraz przetwarzania poszczególnych zbiorów danych i zapewnieniu odpowiednich barier fizycznych przeciwdziałających nieuprawnionemu dostępowi; 2. zarządzaniu uprawnieniami poszczególnych użytkowników w sposób zapewniający dostęp wyłącznie do danych wymaganych do wykonywania obowiązków służbowych, jeśli dane te podlegają ochronie z jakiejkolwiek przyczyny; 3. stosowaniu bezpiecznych systemów przetwarzania informacji; 4. bieżącym informowaniu pracowników o wszelkich zmianach w zakresie regulacji dotyczących przechowywania, przetwarzania i udostępniania informacji. 6. Zarządzanie aktywami i ryzykami Urząd zarządza swoimi aktywami informacyjnymi poprzez zapewnienie im wymaganego poziomu bezpieczeństwa. Identyfikowane są aktywa informacyjne zgodnie z formularzem załącznika 2 do niniejszego zarządzenia. Ważnym elementem zarządzana aktywami i bezpieczeństwem informacji jest przeprowadzanie okresowej analizy ryzyka i opracowania planów postępowania z ryzykiem (wyznaczania celów bezpieczeństwa informacji). Analiza jej wyników stanowi podstawę podejmowania wszelkich działań w zakresie doskonalenia ochrony zasobów Urzędu. Poziom ryzyka określa się na podstawie załącznika nr 3 do niniejszego zarządzenia. Na podstawie wyników analizy ryzyka opracowywane są plany postępowania z ryzykiem dla aktywów o ryzykach większych niż ustalony poziom ryzyka akceptowalnego. Przyjmuje się, że w danym okresie wyznacza się plan zarządzana ryzykiem dla ryzyk, których wartość jest najwyższa. Za okres przyjmuje się rok kalendarzowy. Ryzyka są przeglądane i aktualizowane co najmniej raz w roku oraz po zmianach mających wpływ na system bezpieczeństwa informacji. Plany postępowania z ryzykiem dokumentuje się w oparciu o załącznik nr 4 do niniejszego zarządzania.

W Urzędzie stosuje się procedurę zarządzana ryzykiem zalecaną przez metodologię PRINCE2 obejmującą pięć następujących kroków: 1. Identyfikuj 2. Oceniaj 3. Planuj 4. Wdrażaj 5. Komunikuj. Rys. Procedura longcsiama ryzykiem Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na bezpieczeństwo informacji. W tym celu przyjęto jako podstawową technikę mieszaną, będącą połączeniem technik przeglądu doświadczeń" oraz burzy mózgów". Przegląd doświadczeń opiera się na wiedzy eksperckiej oraz analizie wcześniejszych incydentów związanych z naruszeniem bezpieczeństwa informacji. Burza mózgów opiera się na myśleniu grupowym, które może być bardziej produktywne niż indywidualne oraz umożliwia zrozumienie poglądów innych interesariuszy na temat zidentyfikowanych ryzyk. Ocenianie polega na oszacowaniu zagrożeń oraz możliwości ich zmaterializowania w przypadku nie podjęcia odpowiednich działań. Do tego celu wykorzystano macierz prawdopodobieństwo/wpływ". Zawiera ona wartości niezbędne do sklasyfikowania zagrożeń w ujęciu jakościowym. Skale prawdopodobieństwa są miarami pochodzącymi z wartości procentowych, natomiast skale wpływu są wybrane w celu określenia miary oddziaływania na Urząd. Planowanie polega na przygotowaniu określonych reakcji zarządczych w celu usunięcia lub zmniejszenia zagrożeń wynikających ze zmaterializowania się określonego ryzyka. Wprowadza się następujące możliwe reakcje na ryzyko: 1. Unikanie (prewencja) - jeżeli to możliwe podjęcie stosownych reakcji zarządczych tak aby zagrożenie (przypisane do danego ryzyka) nie mogło wpłynąć na bezpieczeństwo informacji lub nie mogło zaistnieć. 2. Redukowanie - działania podjęte w celu zmniejszenia prawdopodobieństwa wystąpienia zdarzenia lub ograniczenia jego wpływu (redukcja jednego lub dwóch parametrów z macierzy prawdopodobieństwo/wpływ). 3. Plan rezerwowy - opracowanie działań, które zostaną podjęte w celu zredukowania skutków zagrożenia dla ryzyka, które się zmaterializowało. Wdrażanie polega na zapewnieniu, aby planowane reakcje na ryzyko zostały zrealizowane oraz aby podjęte zostały działania korygujące w przypadku gdyby reakcje te nie spełniły związanych z nimi oczekiwań. Istotnym elementem ról i obowiązków w zarządzaniu ryzykiem. Wprowadza się następujące role:

1. Właściciela ryzyka - wskazane stanowisko lub osoba odpowiedzialna za zarządzanie, monitorowanie i kontrolowanie wszystkich aspektów przypisanego jej ryzyka łącznie z wdrożeniem wybranych reakcji na zagrożenie. 2. Wykonawca reakcji na ryzyko - stanowisko lub osoba wyznaczona do wykonywania działań związanych z reakcją na konkretne ryzyko. Wykonawca reakcji wspiera właściciela ryzyka i otrzymuje od niego polecenia. Komunikacja polega na zapewnieniu, aby wszystkie informacje o zagrożeniach docierały do wszystkich zainteresowanych. Jako podstawową formę komunikacji wprowadza się w Urzędzie drogę elektroniczną poprzez pocztę email. 7. Zarządzanie systemami i sieciami Urząd dba o przestrzeganie zasad związanych z utrzymywaniem i użytkowaniem systemów informatycznych i sieci. Celem takiego postępowania jest zapewnienie poufności, integralności i dostępności przetwarzanej przez nie informacji własnych. Skuteczna realizacja postawionego celu możliwa jest dzięki: 1. kompetencjom i świadomości pracowników oraz podpisanym umowom ze specjalistycznymi firmami administrującymi zasobami informatycznymi; 2. kontrolowaniu wprowadzania wszelkich zmian do infrastruktury technicznej, 3. prowadzeniu prac rozwojowych i testowych na oddzielnych urządzeniach lub środowiskach w celu zapewnienia bezpieczeństwa systemów produkcyjnych; 4. nadzorowaniu usług dostarczanych przez strony trzecie, w szczególności odbieraniu ich i akceptowaniu w sposób świadomy uwzględniający jego wpływ na istniejący system bezpieczeństwa; 5. wdrożeniu zabezpieczeń chroniących przed oprogramowaniem złośliwym i mobilnym; 6. systematycznemu tworzeniu i testowaniu kopii bezpieczeństwa; 7. bieżącym monitorowaniu aktywów informacyjnych 8. Bezpieczeństwo zasobów ludzkich Urząd zapewnia kompetentną kadrę pracowniczą do realizacji wyznaczonych zadań. Celem takiego postępowania jest ograniczenie ryzyka błędu ludzkiego, kradzieży, nadużycia lub niewłaściwego użytkowania zasobów. Realizacja postawionego celu możliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z weryfikacją kandydatów do pracy podczas naboru, zasadom zatrudniania pracowników oraz ustalonej procedurze rozwiązywania umów o pracę. 9. Bezpieczeństwo fizyczne, sprzętu i okablowania, konfiguracji i eksploatacji sieci W Urzędzie określono następujące kierunkowe standardy: standard bezpieczeństwa fizycznego; standard bezpieczeństwa sprzętu i okablowania; standard konfiguracji i eksploatacji sieci. Z uwagi na to, że standardy zawierają informacje, których ujawnienie nieuprawnionym stronom trzecim mogłoby w istotnym stopniu obniżyć poziom bezpieczeństwa informacji, są udostępnione tylko pracownikom Urzędu wykonującym zadania określone w standardach. Przedmiot poszczególnych standardów: 1. standard bezpieczeństwa fizycznego: perymetr bezpieczeństwa fizycznego, kontrola fizycznych wejść, zabezpieczenie biur, pokoi i urządzeń, ochrona przed zagrożeniami zewnętrznymi i środowiskowymi, praca w obszarach zabezpieczonych, obszary ogólnie dostępne; 2. standard bezpieczeństwa sprzętu i okablowania: rozmieszczenie i ochrona sprzętu, urządzenia wspomagające, bezpieczeństwo okablowania, utrzymanie sprzętu,

bezpieczeństwo sprzętu znajdującego się poza terenem organizacji, bezpieczne usuwanie sprzętu, wynoszenie majątku; 3. standard konfiguracji i eksploatacji sieci: środki kontroli przeciwko kodowi złośliwemu i mobilnemu, środki kontroli sieci, bezpieczeństwo usług sieciowych, polityki i procedury dotyczące wymiany informacji, Przesyłanie wiadomości drogą elektroniczną, Polityka korzystania z usług sieciowych, identyfikacja sprzętu w sieciach, ochrona portu służącego do zdalnego diagnozowania i konfiguracji, segregacja w sieciach, kontrola połączeń sieci, routing, nadzorowanie słabości technicznych. 10. Zgodność z wymaganiami prawnymi i innymi Urząd dba o zapewnienie zgodności zasad postępowania z przepisami obowiązującego prawa, przyjętych uwarunkowań umownych i normatywnych oraz wypracowanych własnych standardów. Celem takiego postępowania jest unikanie naruszania jakichkolwiek przepisów prawnych, zobowiązań wynikających z ustaw, zarządzeń lub umów oraz wymagań bezpieczeństwa. Realizacja postawionego celu możliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z identyfikacją wymagań prawnych w zakresie bezpieczeństwa informacji. 11. Postanowienia końcowe Urząd wymaga zapoznania się pracowników z dokumentem Polityki Bezpieczeństwa Informacji. Za złożenie przez nich stosownych oświadczeń o zapoznaniu się odpowiada kierownik każdej komórki organizacyjnej Urzędu. Naruszenia świadome, bądź przypadkowe niniejszej Polityki Bezpieczeństwa Informacji (wraz z wszystkimi dokumentami operacyjnymi) powoduje skutki prawne zgodnie z Regulaminem Pracy, a w przypadkach zastrzeżonych przez ustawodawcę - karne wynikające z odpowiedzialności określonej przez sąd.

Załącznik Nr 2 Identyfikacja i ocena ryzyk bezpieczeństwa informacji Lp Zdarzenie Obecnie stosowane zabezpieczenia P W R

'. Załącznik Nr 3 Matryca analizy ryzyka 0.9 B. wysokie 0.045 0.09 0.18 036 0.72 71-90% :.!i 0.7 Wysokie 0.035 0,Q7 ' '014 l 0.28 '0.56 51-70% 1 ' ' ' JP;2 o E CL O I 2 0. 0.3 31-50% Niskie 0.015 0.03 0.06 0.12 0,24 1c i 0.5 Średnie 0.025 0.05 0.10 0,20 '0,40 11-30% ID:S 10:3 0.1 B. niskie 0.005 0.01 0.02 0.04 0.08 ID:5 10:8,9,11 8. mały Maty Średni Ouzy 8. duży 0.05 0.1 0.2 0.4 0.8 Wpływ

Załącznik Nr 4 Plan postępowania z ryzykiem Reakcja Działanie Właściciel ryzyka Wykonawca reakcji na ryzyko Termin

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres