ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Podobne dokumenty
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

POLITYKA E-BEZPIECZEŃSTWA

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Polityka Bezpieczeństwa ochrony danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Szczegółowy opis przedmiotu zamówienia:

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

1. Zakres modernizacji Active Directory

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

11. Autoryzacja użytkowników

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Dane osobowe: Co identyfikuje? Zgoda

WorkshopIT Komputer narzędziem w rękach prawnika

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Praca w sieci z serwerem

Rozdział I Zagadnienia ogólne

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Sieciowa instalacja Sekafi 3 SQL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Marcin Soczko. Agenda

- zawierających ogólnie dostępne informacje, takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp.

Bringing privacy back

DESlock+ szybki start

Zalecenia i wytyczne dla Uz ytkowniko w systemu CEPiK 2.0 w zakresie bezpieczen stwa i ochrony danych osobowych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Urzędu Gminy Trzcinica, Trzcinica ul.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Sieci bezprzewodowe WiFi

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W NAZWA FIRMY

Bezpieczeństwo usług oraz informacje o certyfikatach

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

SMB protokół udostępniania plików i drukarek

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

1 Postanowienia ogólne

III. Lista prawdopodobnych przyczyn usterek systemu komputerowego wynikających z zadania i załączników

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

- dyrektor firmy wezwał serwis w celu zdiagnozowania i usunięcia usterek gdyż zauważono nieprawidłowości w działaniu systemu komputerowego,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Audytowane obszary IT

Polityka bezpieczeństwa przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Transkrypt:

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1

Załącznik Nr 3 do Część II SIWZ Wymagania bezpieczeństwa dla systemów IT wyciąg SPIS TREŚCI 1 KONTROLA DOSTĘPU... 3 2 KRYPTOGRAFIA... 4 3 SIEĆ... 5 4 SERWERY... 6 5 STACJE ROBOCZE... 8 6 OCHRONA ANTYWIRUSOWA... 9 7 KOPIE ZAPASOWE... 10 8 MONITOROWANIE... 11 9 AUDYTY I TESTY BEZPIECZEŃSTWA INFORMATYCZNEGO... 12 10 ZASADY ROZWOJU I WDRAŻANIA OPROGRAMOWANIA... 13 2

1 KONTROLA DOSTĘPU 1. Uzyskanie dostępu do systemów informatycznych musi być poprzedzone pomyślnym przejściem identyfikacji i uwierzytelniania. 2. Każdy użytkownik musi posiadać indywidualne konto, pozwalające go jednoznacznie zidentyfikować i rozliczyć z wykonanych działań. 3. Muszą być stosowane hasła dostępowe statyczne, zmieniane raz na miesiąc. 4. Musi istnieć możliwość założenia konta awaryjnego z prawami administratora. 5. Uwzględniona musi być zasada przyznawania minimalnych uprawnień. 6. Musi istnieć możliwość zaszyfrowania zasobów zawierających dane podlegające podwyższonej ochronie (Tajemnica PSE S.A.). 7. Wymagania odnośnie haseł: a) minimalna długość hasła wynosi osiem (8) znaków, b) hasło musi składać się z dużej i małej litery oraz cyfry lub znaku specjalnego, c) hasło musi być zmieniane nie rzadziej niż co 30 dni, d) hasło nie może być banalne i łatwe do odgadnięcia oraz być hasłem słownikowym, e) to samo hasło nie może być użyte w dziesięciu (10) kolejnych zmianach hasła, f) hasła nie mogą być włączone do skryptów login (zapisywanych na twardych dyskach) lub w aplikacjach, g) hasła muszą być przechowywane w formacie zaszyfrowanym. 8. Istnieje możliwość blokowania kont po nieudanych próbach zalogowania z możliwością dostosowania tych ustawień. 3

2 KRYPTOGRAFIA 1. System (aplikacja) musi umożliwiać zaszyfrowania informacji przesyłanych przez sieci publiczne, gwarantującej ich poufność i integralność. 2. Kryptograficzna ochrona informacji musi mieć zastosowanie w następujących przypadkach: a) zdalnego dostępu administracyjnego do serwerów i urządzeń sieciowych, b) transmisji informacji stanowiących tajemnicę firmy lub danych wymagających potwierdzenia integralności pomiędzy lokalizacjami, c) dostępu użytkowników do zasobów informacyjnych udostępnianych przez system (aplikację) poprzez sieci publiczne. 3. Zabezpieczenia, które są dopuszczone do stosowania w systemie i połączeniach do niego: Protokół AES wykorzystujący klucz o długości 256 bitów. Protokół 3DES o Dopuszczalny warunkowo: AES o długości klucza 192 lub 128 bitów. Funkcje skrótu: SHA-512, SHA-265 o Dopuszczalne warunkowo: SHA1, MD5. Dla protokołu SSL dopuszczana wersja to 3.0 lub wyższa (w przyszłości), TLS 1.0 lub wyższa. W PKI długość klucza prywatnego i publicznego o długości minimum 1024 bitów. 4

3 SIEĆ 1. Zdalny dostęp użytkowników PSE S.A. do wewnętrznych zasobów systemu (aplikacji) za pośrednictwem sieci publicznych będzie możliwy wyłącznie z wykorzystaniem protokołów zapewniających bezpieczną identyfikację, uwierzytelnianie oraz poufność i integralność przesyłanych danych z wykorzystaniem technologii szyfrowania transmisji danych. 5

4 SERWERY 1. Serwery nie będą udostępniać innych usług i zasobów, które nie są zgodne z ich przeznaczeniem. 2. Zdalny dostęp administracyjny do serwerów zawierających dane wrażliwe musi odbywać się wyłącznie z wykorzystaniem mechanizmów kontroli dostępu oraz technologii szyfrowania. 3. Jeżeli system operacyjny serwera dysponuje możliwością wyświetlania banera informacyjnego, przed rozpoczęciem procesu identyfikacji i weryfikacji tożsamości użytkownika, mechanizm ten będzie stosowany. 4. Konfiguracje wszystkich serwerów musi przejść utwardzanie (hardening) na podstawie zaleceń producentów wykorzystywanego oprogramowania oraz ogólnie uznanych za poprawne zasad i standardów bezpieczeństwa. W szczególności hardening powinien obejmować: a) instalację wyłącznie niezbędnych pakietów oprogramowania (lub usunięcie zbędnych), b) określenie polityki haseł i polityki blokowania kont użytkowników, c) instalację i uruchamianie wyłącznie niezbędnych usług sieciowych (lub wyłączenie zbędnych), d) ustalenie restrykcyjnych praw dostępu do wszystkich krytycznych obiektów w systemie, e) ustalenie parametrów jądra systemu oraz stosu protokołów sieciowych (rejestry systemowe), f) parametry udostępnionych usług sieciowych. 5. Wszystkie serwery o podwyższonym poziomie bezpieczeństwa, powinny posiadać zaimplementowane narzędzia sprawdzające integralność systemu plików, pozwalające wykryć próby nieautoryzowanych zmian (w plikach konfiguracyjnych systemu operacyjnego, aplikacjach i danych). 6. Informacje limitowane i niejawne, przechowywane przez użytkowników na serwerach muszą być zabezpieczone mechanizmami kontroli dostępu wbudowanymi w system plików gwarantującymi ich poufność i dostępność wyłącznie dla ich właściciela, dane limitowane dodatkowo metodami kryptograficznymi. Wspomniane mechanizmy powinny też umożliwiać właścicielowi zabezpieczanych danych określenie innych użytkowników, którzy będą mieli do nich dostęp, oraz zapewnić ich odtworzenie w przypadku utraty hasła do danych. 7. Systemy operacyjne przechowujące limitowane i niejawne informacje powinny posiadać włączone mechanizmy śledzenia zdarzeń i rozliczalności (audyt i accounting) pozwalające jednoznacznie zidentyfikować użytkownika lub proces, który wykonał określone działania lub zmiany w systemie. 8. Systemy operacyjne serwerów muszą rejestrować wszystkie istotne z punktu widzenia bezpieczeństwa zdarzenia, w szczególności: udane i nieudane próby logowania użytkowników, zmiany haseł, próby przekraczania uprawnień. 9. Systemy operacyjne oraz aplikacje produkcyjne będą umożliwiać instalację poprawek, a szczególnie dotyczących bezpieczeństwa. Powinny też zapewniać możliwość wykonywania kopii bezpieczeństwa danych należących do programów systemowych i aplikacji produkcyjnych. 6

10. W celu zapewnienia odpowiedniego poziomu niezawodności oraz wydajności serwerów, będą stosowane odpowiednie rozwiązania sprzętowe i programowe (macierze dyskowe, klastry). 7

5 STACJE ROBOCZE 1. Aplikacje klienckie na stacjach roboczych będą umożliwiać pracę z systemem dopiero po właściwym uwierzytelnieniu użytkownika (może być zintegrowane z mechanizmami systemowymi, domenowymi itp.). 8

6 OCHRONA ANTYWIRUSOWA 1. Na poziomie serwerów ochrona antywirusowa musi obejmować wszystkie ich zasoby, tj. pliki systemowe, uruchomione aplikacje oraz przetwarzane w nich dane. Dodatkowo muszą być uwzględnione specyficzne funkcje spełniane przez serwer. 2. Oprogramowanie antywirusowe musi być zainstalowane na wszystkich serwerach, lub jeśli nie jest to możliwe należy wyselekcjonować serwery, które zostaną objęte ochroną antywirusową. 3. Serwery będą umożliwiać aktualizację sygnatur programów antywirusowych. 9

7 KOPIE ZAPASOWE 1. Serwery muszą umożliwiać wykonywanie kopii zapasowej: systemu, zainstalowanego oprogramowania użytkowego oraz przetwarzanych danych. 10

8 MONITOROWANIE 1. Wszystkie systemy muszą posiadać włączone mechanizmy rejestrowania zdarzeń w zakresie wykrywania naruszeń bezpieczeństwa i awarii. 2. Wszystkie systemy informatyczne, w których rejestruje się zdarzenia muszą umożliwiać synchronizację czasu w domenie AD lub do serwera NTP. 3. Systemy oraz aplikacje informatyczne muszą posiadać możliwość przesyłania logów do zewnętrznego serwera syslog. 4. Systemy i aplikacje muszą umożliwiać przechowywanie logów przez okres co najmniej dwóch lat. 5. Do systemów, w których przetwarzane są dzienniki zdarzeń lub ich archiwa, mogą mieć dostęp wyłącznie osoby uprawnione. Systemy powinny zapewniać integralność dzienników zdarzeń. 11

9 AUDYTY I TESTY BEZPIECZEŃSTWA INFORMATYCZNEGO 1. System informatyczny musi pomyślnie przejść wewnętrzny audyt bezpieczeństwa, w oparciu o opracowane założenia bezpieczeństwa. 2. Audyty bezpieczeństwa nowych systemów informatycznych muszą być elementem odbioru i akceptacji prac świadczonych przez firmy zewnętrzne. 12

10 ZASADY ROZWOJU I WDRAŻANIA OPROGRAMOWANIA 1. Systemy informatyczne o podwyższonym poziomie bezpieczeństwa muszą zapewniać mechanizmy bezpiecznej identyfikacji i weryfikacji tożsamości użytkowników. Domyślną metodą weryfikacji tożsamości w systemach informatycznych jest zastosowanie haseł dostępowych. Wymaganie zastosowania innej lub dodatkowej metody weryfikacji musi być określone na poziomie założeń bezpieczeństwa dla poszczególnych systemów informatycznych. 2. Dostęp użytkowników do wrażliwych funkcji oraz limitowanych i niejawnych informacji przetwarzanych w systemach informatycznych musi być kontrolowany i ograniczany z wykorzystaniem mechanizmów sterowania dostępem i gradacji uprawnień. 3. Dane wejściowe systemów informatycznych przetwarzających limitowane i niejawne informacje muszą podlegać potwierdzaniu ważności, kontroli i filtracji tak, aby zapewnić, że są poprawne i właściwe. Sprawdzanie wprowadzanych danych musi obejmować minimalnie wykrywanie następujących błędów: a) wartości spoza dopuszczalnego zakresu, b) niewłaściwe znaki w polach danych, c) brakujące lub niekompletne dane, d) przekraczanie górnych i dolnych ograniczeń wielkości danych, e) nieuprawnione lub niespójne dane kontrolne. 4. Systemy informatyczne przetwarzające wrażliwe informacje powinny posiadać włączony mechanizm szczegółowego audytu zdarzeń pozwalający jednoznacznie zidentyfikować użytkownika i administratora, który dokonał zmian w systemie lub danych. 5. Powinna powstać dokumentacja powykonawcza opisująca wszystkie zastosowane mechanizmy bezpieczeństwa. Pozytywna ocena udokumentowanych mechanizmów bezpieczeństwa będzie jednym z warunków odbioru. 13

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres