POLITYKA BEZPIECZEŃSTWA DANYCH XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie str. 1 / 5
CZĘŚĆ PODSTAWOWA Niniejszy dokument, zwany dalej Polityką jest zestawem praw, reguł i praktycznych wskazówek regulujących sposób zarządzania, ochrony i dystrybucji zasobów danych w XXXIV Liceum Ogólnokształcącym z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie, ul. Zakrzewska 24, zwanym dalej Szkołą. Celem dokumentu jest przyjęcie, wdrożenie i realizacja takich działań przy wykorzystaniu środków technicznych i organizacyjnych, które zapewni maksymalny poziom bezpieczeństwa danych, w tym danych osobowych, chroniąc je przed: nieautoryzowanym dostępem, utratą poufności, nieuprawnioną modyfikacją, utratą integralności i rozliczalności. W celu zapewnienia bezpieczeństwa przetwarzanych danych wymaga się, aby wszyscy jego użytkownicy byli świadomi konieczności ochrony wykorzystywanych zasobów, m.in. poprzez zapoznanie się z Polityką. Konsekwencją nie stosowania przez pracownika środków bezpieczeństwa określonych w instrukcjach wewnętrznych może być zniszczenie części lub całości systemów informatycznych, utrata poufności, autentyczności, straty finansowe jak również utrata wizerunku. Nadrzędną rolą w działaniach Dyrektora Szkoły wynikających z jego funkcji jest ochrona powierzonych danych osobowych. Odpowiedzialność za powierzone dane osobowe ponoszą wszyscy pracownicy mający do nich dostęp w ramach wykonywania obowiązków służbowych. Pracownicy są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp. W szczególności w systemach informatycznych odpowiadają oni za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących się na nim danych i oprogramowania. Zarządzanie bezpieczeństwem zasobów danych stanowi proces ciągły, na który składają się takie elementy, jak: identyfikacja oraz analiza zagrożeń i ryzyka, stosowanie odpowiednich zabezpieczeń, monitorowanie wdrażania i eksploatacji zabezpieczeń, wykrywanie i reagowanie na incydenty. Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie str. 2 / 5
CZĘŚĆ SZCZEGÓŁOWA I. Środki techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Budynek Szkoły objęty jest systemem kontroli dostępu, monitoringu oraz pracą dozorców lub ochrony. Elektroniczne systemy monitoringu pozwalają na kontrolę ruchu osób. 2. Wszystkie zasoby sieciowe oraz katalogi użytkowników, zawierające pliki z danymi, w szczególności danymi osobowymi, zabezpieczone są przed dostępem (odczyt i zapis) przez osoby niepowołane - przy pomocy nazwy użytkownika oraz hasła, lub cyfrowego certyfikatu. Uprawnienia do zapisu w każdym ze zbiorów danych osobowych przydzielane mogą być wyłącznie jednej osobie, za wyjątkiem sytuacji gdy program umożliwia śledzenie dokonanych zmian i jednoznaczne określenie osoby wprowadzającej każdą modyfikację do zbioru. 3. Każdy komputer używany do gromadzenia i przetwarzaniu danych, w szczególności danych osobowych musi mieć zainstalowane następujące oprogramowanie: a) system operacyjny umożliwiający kontrolę dostępu do plików danych, logowanie przy pomocy nazwy użytkownika i hasła oraz czasowe zablokowanie komputera; b) chroniące przed oprogramowaniem, którego celem jest wywołanie szkody w systemie informatycznym lub jego danych, w szczególności typu wirus komputerowy, koń trojański, spyware, crimeware, rootkit; c) filtr pakietów sieciowych (firewall), skonfigurowany tak, aby dopuszczać pakiety pochodzące wyłącznie z bezpiecznych źródeł. 4. Pracownicy zatrudnieni na stanowisku innym niż administrator sieci komputerowej otrzymują minimalne uprawnienia dostępu do zasobów sieciowych, ustawień systemu operacyjnego i innych ustawień globalnych dla sieci oraz stacji roboczej, na poziomie umożliwiającym wypełnianie obowiązków. Zmiana ww. uprawnień jest możliwa wyłącznie z konta administratora systemu. Dotyczy to w szczególności ustawień programów wymienionych w pkt. 3. 5. Administrator sieci zabezpiecza hasłem dostęp do konfiguracji BIOS komputera. 6. Pracownik ustawia monitor ekranowy w taki sposób, aby osoby niepowołane przebywające w pomieszczeniu nie miały możliwości podejrzeć danych. 7. Sieć bezprzewodowa, umożliwiająca dostęp do serwerów i innych komputerów zawierających dane, zabezpieczona jest przed niepowołanym dostępem przy pomocy mechanizmu WPA-PSK (WiFi Protected Access - Pre-shared key) lub silniejszego, a także mechanizmu filtracji w oparciu o adres fizyczny (MAC) klienta sieci. 8. Wszystkie dane istotne dla pracy Szkoły, w szczególności dane osobowe, podlegają okresowej procedurze wykonywania kopii zapasowej. Kopia zapasowa może być wykonana na jednorazowym nośniku optycznym takim jak płyta CD-R, DVD+/-R, Blue Ray, HD-DVD, i in., lub nośniku magnetycznym przeznaczonym specjalnie do wykonywania kopii zapasowych. Osobą odopwiedzialną za wykonanie kopii zapasowych jest administrator sieci komputerowej. Kopie zapasowe sprawdza się okresowo pod kątem przydatności. Kopie uszkodzone są natychmiast niszczone. Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie str. 3 / 5
II. Bezpieczeństwo eksploatacji systemów komputerowych 1. Kategorycznie zabronione są modyfikacje sprzętu i oprogramowania (w tym aktualizacja) komputerów służbowych, inne niż autoryzowane przed administratora sieci komputerowej. 2. Osoby które nie są zawarte w załączniku 3 jako osoby upoważnione do gromadzenia i przetwarzania danych osobowych w Szkole mają kategorycznie zabronione podłączanie urządzeń teleinformatycznych do systemów komputerowych Szkoły, oraz korzystanie z nośników informacji innych niż autoryzowane przez administratora systemu, w szczególności typu pendrive, przenośny dysk twardy, dyskietka, płyta CD- R, DVD+/-R, Blue Ray, HD-DVD. 3. Kategorycznie zabronione jest kopiowanie zbiorów danych, w szczególności danych osobowych, na dyski twarde oraz inne nośniki komputerów przenośnych (laptop, palmtop, smatphone, etc.). W przypadku konieczności dostępu do danych osobowych z komputera przenośnego należy wykorzystać połączenie sieci komputerowej zabezpieczone przy pomocy metod kryptograficznych. 4. Hasła użytkowników zmianiane są nie rzadziej niż co 30 dni i muszą mieć nie mniej niż 6 znaków. Wykluczone są hasła zawierające łatwe do ustalenia informacje o pracowniku, jego rodzinie, a także hasła składające się wyłącznie z wyrazu używanego jako imię lub z kolejnych znaków alfabetu lub klawiatury. 5. Hasło użytkownika jest zmieniane niezwłocznie w przypadku uzasadnionego podejrzenia, że zostało ujawnione osobie niepowołanej. 6. Użytkownicy są odpowiedzialni za wszelkie działania w systemach informatycznych, prowadzone z użyciem ich identyfikatora oraz hasła. III. Komunikacja w sieci komputerowej 1. Podłączenie sprzętu komputerowego do sieci teleinformatycznej wykonuje administrator sieci komputerowej na polecenie Dyrektora Szkoły. 2. Gniazdka sieci energetycznej w kolorze czerwonym przeznaczone są wyłącznie dla sprzętu komputerowego. 3. Serwery pracujące w sieci Szkoły powinien być zabezpieczony przed awarią zasilania, poprzez instalację zasilacza awaryjnego, zdolnego podtrzymać działanie systemu przez min. 15 minut, oraz umożliwiającego automatyczne bezpieczne zamknięcie systemu. 4. Zasoby informatyczne mogą być wykorzystywane wyłącznie do wykonywania obowiązków służbowych. 5. Zegar czasu rzeczywistego komputerów pracujących w sieci Szkoły powinien być zsynchronizowany z dokładnością do maksimum 30 sekund. 6. Niedopuszczalne jest udostępnianie przez pracowników haseł logowania oraz innych haseł związanych z bezpieczeństwem systemów informatycznych innym osobom, w tym pozostałym pracownikom, jak również przechowywanie zapisanych haseł w miejscu dostępnym dla innych osób. Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie str. 4 / 5
7. Komunikacja pocztą elektroniczną odbywa się przy pomocy bezpiecznych protokołów wykorzystujących techniki kryptograficzne, z wykorzystaniem klucza szyfrującego 56 znakowego lub silniejszego. IV. Administrator Bezpieczeństwa Informacji (ABI) 1. ABI odpowiada za zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych, w szczególności danych osobowych. 2. ABI wykonuje przegląd Polityki wraz z załącznikami, nie rzadziej niż raz do roku, i przygotowuje projekt aktualizacji zgodnie z aktualnym stanem prawnym oraz działalnością Szkoły. 3. ABI posiada w nadzorowanych systemach informatycznych uprawnienia umożliwiające wykonywanie obowiązków. Nie oznacza to automatycznego prawa dostępu do danych, w szczególności danych osobowych. 4. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia ABI wprowadza poziomy bezpieczeństwa przetwarzanych danych w systemie informatycznym. 5. ABI uczestniczy w odbywających się na terenie Szkoły przeglądach oraz konserwacji systemów komputerowych, w których znajdują się dane istotne dla Szkoły, w szczególności dane osobowe. W przypadku konieczności ww. czynności poza terenem Szkoły dane te powinny zostać usunięte. 6. Rolę ABI pełni pracownik Szkoły wyznaczony przez Dyrektora. V. Wykaz zbiorów, pomieszczeń, osób oraz dodatkowych instrukcji związanych z przetwarzaniem i ochroną danych osobowych 1. Wykaz zbiorów danych osobowych przetwarzanych w systemach informatycznych nie podlegających zgłoszeniu do Generalnego Inspektora Ochrony Danych Osobowych oraz informację o wykorzystanych programach komputerowych i powiązaniach pomiędzy poszczególnymi zbiorami na poziomie wymiany danych opisane są w Załączniku nr 1 do Polityki. 2. Wykaz zbiorów danych osobowych prowadzonych bez użycia systemów komputerowych znajduje się w Załączniku nr 1 do Polityki. 3. Wykaz miejsc, w których przetwarzane są dane osobowe znajduje się w Załączniku nr 2 do Polityki. 4. Wykaz osób uprawnionych do dostępu do zbiorów danych osobowych znajduje się w Załączniku nr 3 do Polityki. 5. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych znajduje się w Załączniku nr 4 do Polityki. 6. Wzór upoważnienia do gromadzenia i przetwarzania danych osobowych w Szkole znajduje się w Załączniku nr 5 do Polityki. Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie str. 5 / 5