zalecenia, rekmendacje i wytyczne bezpieczen stwa dla stacji kntrli pjazd w wersja z dnia 15 czerwca 2016 r. Strna 1 z 10
1. Wprwadzenie Niniejszy dkument dtyczy wyłącznie Stacji Kntrli Pjazdów, które krzystają z własnych aplikacji w celu dstępu d systemu CEPiK 2.0. 2. Pzim bezpieczeństwa System infrmatyczny CEPiK 2.0 jest systemem z zaimplementwanymi śrdkami bezpieczeństwa na pzimie wyskim 1. Każdy Użytkwnik systemu CEPiK 2.0 bwiązany jest stswać śrdki bezpieczeństwa na pzimie wyskim, z zastrzeżeniem Stacji Kntrli Pjazdów, dla których ze względu na brak dstępu d danych sbwych zdefiniwane zstały drębne wymagania i zalecenia. 3. Kategrie użytkwników Użytkwnikiem systemu CEPiK 2.0 jest każdy pdmit uprawniny d dstępu d systemu i psiadający w systemie knt identyfikujące ten pdmit, raz każda sba uprawnina d dstępu d systemu psiadająca w systemie spersnalizwane knt. W systemie CEPiK 2.0 wyróżnia się następujące rdzaje użytkwników: Użytkwnicy Instytucjnalni (UI), Stacje Kntrli Pjazdów, Użytkwnicy Indywidualni (UIn, peratrzy), Administratrzy (ASI), Operatrzy systemów POJAZD i KIEROWCA, Użytkwnicy e-usług. Użytkwnicy Instytucjnalni t kategria użytkwników bejmująca pdmity uprawnine d dstępu d danych przetwarzanych w systemie CEPiK 2.0, które d kmunikacji z systemem CEPiK 2.0 wykrzystują własne systemy i aplikacje. Integracja z systemem CEPiK 2.0 jest realizwana przez integrację tych systemów i aplikacji z interfejsami API i usługami web services systemu CEPiK 2.0. Wydzielną pdgrupą Użytkwników Instytucjnalnych są stacje kntrli pjazdów, które ze względu na swją specyfikę działania raz bwiązujące przepisy prawa m.in. ustawę Praw ruchu drgwym, nie są uprawnine d dstępu d danych sbwych. W związku z tym zalecany dla tych pdmitów pzim zabezpieczeń jest dpwiedni d specyfiki danych pdlegających chrnie. 1 Śrdki bezpieczeństwa na pzimie wyskim zgdnie z rzprządzeniem Ministra Spraw Wewnętrznych i Administracji w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych. Strna 2 z 10
4. Stacje Kntrli Pjazdów 4.1. Śrdki chrny kryptgraficznej W systemie CEPiK 2.0 stswane są śrdki kryptgraficznej chrny danych. Każda SKP musi psiadać dpwiedni certyfikat, aby móc skrzystać z usług systemu CEPiK 2.0. Szczegółwy spsób uzyskania certyfikatów, ich wymiany, spsób chrny kluczy prywatnych raz inne infrmacje i wymagania związane z certyfikatami są pisane w dkumentach: Plityka certyfikacji dla infrastruktury CEPiK; Plityka certyfikacji dla peratrów CEPiK. W ramach plityki certyfikacji dla infrastruktury CEPiK wydawane są certyfikaty dla SKP służące d zestawiania płączeń VPN (certyfikaty VPN). W ramach plityki certyfikacji dla peratrów CEPiK wydawane są certyfikaty dla stacji kntrli pjazdów służące d autryzacji, uwierzytelniania, pdpisywania kmunikatów i zestawiania SSL (certyfikaty SSL). UWAGA: Na ptrzeby uruchmienia systemu CEPiK 2.0 zstaną wykrzystane certyfikaty SSL, które SKP już dziś psiadają w becnym systemie CEPiK. Obecne certyfikaty będą dnawiane, c pzwli SKP płynnie przejść z CEPiK d CEPiK 2.0. Nwe certyfikaty SSL dla SKP będą wydawane p upływie terminu ważnści certyfikatów, które SKP mają i wykrzystają na ptrzeby wdrżenia CEPiK 2.0. 4.2. Płączenie z systemem CEPiK 2.0 SKP ma mżliwść płączenia się z systemem CEPiK 2.0 przez sieć publiczną Internet. SKP łączący się z systemem CEPiK 2.0 przez siec publiczną Internet musi zestawić bezpieczne płączenie VPN z wykrzystaniem certyfikatu VPN. Dpier p zestawieniu płączenia VPN SKP ma mżliwść wywłania usług systemu CEPiK 2.0. Autryzacja i uwierzytelnienie Użytkwnika w usługach systemu CEPiK 2.0 są realizwane w parciu psiadany przez SKP certyfikat SSL umieszczny na mikrprcesrwej karcie kryptgraficznej. System CEPiK 2.0 wspiera w SKP rzwiązania prgramwe Cisc VPN Client raz Cisc AnyCnnect i kmunikację VPN typu Remte Access. Dla tych rzwiązań Service Desk zapewni wsparcie związane z instalacją raz knfiguracją prgramwania. Kmunikacja VPN typu Lan-t-Lan, jeżeli wystąpi, jest realizwana przez SKP na własny kszt i dpwiedzialnść Service Desk nie będzie bsługiwał zgłszeń dla teg typu płączeń. 4.3. Rzliczalnść System CEPiK 2.0 zapewnia pełną rzliczalnść działań SKP w systemie. Każde działanie SKP pdlega dntwaniu w pdsystemie lgwania CEPiK 2.0. SKP jest identyfikwany w parciu certyfikat SSL wydany dla SKP. Ddatkw aplikacja SKP musi przekazywać d systemu CEPiK 2.0, w przekazywanych kmunikatach, dane identyfikujące diagnstę realizująceg daną czynnść (np. badanie techniczne). Szczegółwy spsób przekazywania danych identyfikacyjnych diagnsty jest kreślny w dkumentacji pisującej spsób działania usług web services systemu CEPiK 2.0 dla SKP. Strna 3 z 10
4.4. Pdpisywanie kmunikatów Każdy kmunikat przekazywany d systemu CEPiK 2.0 przez aplikację SKP musi być patrzny pdpisem elektrnicznym. Szczegółwe wymagania związane z pdpisywaniem kmunikatów są kreślne w dkumentacji pisującej spsób działania usług web services systemu CEPiK 2.0 dla SKP. 5. Zalecenia i wytyczne dla Stacji Kntrli Pjazdów 5.1. Ochrna fizyczna Niniejszy rzdział pisuje zalecenia i wytyczne w zakresie chrny fizycznej pmieszczeń raz urządzeń wykrzystywanych d kmunikacji z systemem CEPiK 2.0. 5.1.1. Pmieszczenia i ich lkalizacja Zaleca się, aby pmieszczenia, w których zlkalizwane są urządzenia teleinfrmatyczne, były zlkalizwane w miejscach, gdzie ryzyk ich zatpienia lub zalania jest zminimalizwane. Zaleca się, aby pmieszczenia były wypsażne w czujniki zadymienia. 5.1.2. Zabezpieczenie drzwi i kien Zaleca się, aby drzwi d pmieszczeń, w których przechwywany jest sprzęt teleinfrmatyczny, były zabezpieczne przed wyważeniem (pdważeniem) raz wypsażne w bezpieczny zamek. Zaleca się, aby twry kienne pmieszczeń, w których przechwywany jest sprzęt teleinfrmatyczny, zlkalizwanych na parterze lub statniej kndygnacji ( ile jest swbdny dstęp d dachu) były kratwane lub zabezpieczne w inny, równważny spsób (np. flią antywłamaniwą). 5.2. Zabezpieczenia urządzeń raz nśników danych Niniejszy rzdział pisuje zalecenia i wytyczne w zakresie zabezpieczenia nśników danych raz urządzeń wykrzystywanych d kmunikacji z systemem CEPiK 2.0, których uwzględnienie SKP pwinien rzważyć w celu zapewnienia minimalneg pzimu chrny tych urządzeń, jeżeli prducenci aplikacji dla SKP nie kreślają własnych wymagań związanych z chrną zasbów infrmatycznych, z których te aplikacje krzystają. 5.2.1. Urządzenia i prgramwanie służące d nawiązania płączeń VPN przez sieć publiczną Internet 5.2.1.1. Zalecenia w zakresie knfiguracji urządzeń i prgramwania Zaleca się wdrżyć reglamentację dstępu d sieci np. na pdstawie adresów MAC. Zaleca się stswanie, gdzie jest t mżliwe, plityki blkwania ruchu sieciweg d i z sieci publicznej Internet w czasie, w którym jest nawiązane płączenie VPN. Oprgramwanie służące d zestawiania płączeń VPN (typu Remte Access tj. Cisc VPN Client lub Cisc AnyCnnect) pwinn być zabezpieczne w taki spsób, aby uniemżliwić dstęp d kluczy prywatnych sbm nieuprawninym. Oprgramwanie służące d zestawiania płączeń VPN (typu Remte Access) pwinn wymuszać blkwania dstępu d i z sieci publicznej Internet d danej stacji kmputerwej w czasie, w którym jest nawiązane płączenie VPN (jest t wymuszne przez knfigurację urządzeń p strnie systemu CEPiK). Strna 4 z 10
5.2.1.2. Zalecenia w zakresie bezpieczeństwa fizyczneg urządzeń Jeżeli jest t mżliwe, urządzenia sieciwe pwinny być zlkalizwane w pmieszczeniu lub wentylwanej szafie (urządzenia kmunikacyjne, serwerwe) z granicznym dstępem sób trzecich. Dstęp d teg pmieszczenia lub szafy pwinien mieć wyłącznie administratr urządzenia lub sby upważnine. 5.2.2. Sprzęt kmputerwy stacjnarny Zaleca się wprwadzenie w BIOS następujących ustawień: wejście i zmiana ustawień BIOS wymaga pdania hasła, uruchmienie kmputera wymaga pdania hasła, wyłączna mżliwść uruchamiania systemu z sieci lub innych nśników niż dysk twardy kmputera, długść hasła BIOS wynsi nie mniej niż 8 znaków (c najmniej 1 duża litera i 1 cyfra). Knta użytkwników i hasła: wbudwane knt administratra pwinn być używane tylk w przypadku wyknywania czynnści administratra, każdemu użytkwnikwi kmputera pwinn być załżne ddzielne knt, knta te nie pwinny mieć przypisanych uprawnień administratra, długść nazwy użytkwnika pwinna wynsić nie mniej niż 6 znaków, długść hasła knta administratra lub użytkwnika z uprawnieniami administratra pwinna wynsić nie mniej niż 12 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, długść hasła knta użytkwnika pwinna wynsić nie mniej niż 8 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, zaleca się wprwadzić regulacje sankcjnujące zmianę pin-kdu mikrprcesrwych kart kryptgraficznych nie rzadziej niż c 30 dni, zaleca się wprwadzić stswne regulacje sankcjnujące spsby przechwywania nazw użytkwników i haseł raz zabraniające udstępnia ich innym sbm. Ochrna przed atakami zewnętrznymi (zapra gniwa): zalecane jest zastswanie zapry gniwej (sprzętwe lub prgramwe rzwiązanie) raz wdrżenie regulacji zapewniających jeg bieżącą aktualizację. Sieci Wi-Fi: d płączenia z sieciami Wi-Fi zaleca się używać c najmniej standardu WPA i haseł długści nie mniejszej niż 12 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny). Ochrna antywiruswa: zaleca się aby prgramwanie antywiruswe instalwane na stacjach miał włączną chrnę w czasie rzeczywistym, zaleca się knfigurację prgramwania zapewniającą bieżącą aktualizację sygnatur antywiruswych, zaleca się knfigurację prgramwania zapewniającą pełne skanwanie antywiruswe stacji c najmniej 1 raz w tygdniu. Aktualizacja Systemu i prgramwania: Strna 5 z 10
zalecane jest stswanie systemów peracyjnych wyłącznie w wersjach wspieranych przez ich prducentów, zalecane jest włączenie autmatycznych aktualizacji systemu raz prgramwania zgdnie z zaleceniami prducentów. Usuwanie danych: zaleca się knfigurację ksza systemweg, aby nie przechwywał usuniętych plików, zaleca się d usuwania danych używać dedykwaneg d teg celu prgramwania. Dyski i urządzenia przenśne: w przypadku stswania dysków twardych umieszcznych w wyjmwanych kieszeniach pwinny być ne wypsażne w zamknięcie na kluczyk i zamknięte gdy znajduje się w nich dysk. P zakńcznej pracy zaleca się usunąć dysk i przechwywać w zabezpiecznej szafie, zaleca się wdrżyć regulacje (w tym ewidencję nśników) zapewniające bsługę pamięci flash, raz dysków przenśnych, pdłączanych kresw d stacji, zawierających dane, tak aby p zakńczeniu pracy były ne usuwane ze stacji i przechwywane w bezpieczny spsób, przenśne pamięci flash raz dyski przenśne które będą służyły d wynszenia infrmacji pza bręb pmieszczenia pwinny być wypsażne w rzwiązanie sprzętwe umżliwiające szyfrwanie danych z użyciem hasła dstępweg nie krótszeg niż 8 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny) lub w czytnik identyfikacji bimetrycznej. Rzmieszczenie sprzętu: stacja rbcza pwinna być ustawina w miejscu graniczającym lub uniemżliwiającym d niej dstęp sbm nieupważninym, zalecane jest ustawienie czasu autmatyczneg uruchamiania wygaszacza ekranu na maksymalnie 5 minut. Wznwienie pracy pwinn wymagać pdania hasła. Zalecane jest także blkwanie stacji przy każdrazwym puszczeniu stanwiska, Kpie bezpieczeństwa: zalecane jest wdrżenie prcedury twrzenia kpii zapaswych zapewniające wyknywanie kpii nie rzadziej niż raz na 7 dni, składwanie kpi zapaswych pwinn dbywać się w innym budynku bądź pmieszczeniach w dpwiedni zabezpiecznej szafie. Zasilanie awaryjne: stacje rbcze pwinny być wypsażne w urządzenia pdtrzymujące zasilanie (UPS) umżliwiające autmatyczne bezpieczne zakńczenie pracy w przypadku utraty zasilania pdstawweg. 5.2.3. Śrdwiska wirtualne (maszyny wirtualne) Knta użytkwników i hasła: wbudwane knt administratra pwinn być używane tylk w przypadku wyknywania czynnści administratra, każdemu użytkwnikwi kmputera pwinn być załżne ddzielne knt, knta te nie pwinny mieć przypisanych uprawnień administratra, Strna 6 z 10
długść nazwy użytkwnika pwinna wynsić nie mniej niż 6 znaków, długść hasła knta administratra lub użytkwnika z uprawnieniami administratra pwinna wynsić nie mniej niż 12 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, długść hasła knta użytkwnika pwinna wynsić nie mniej niż 8 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, zaleca się wprwadzić regulacje sankcjnujące zmianę pin-kdu mikrprcesrwych kart kryptgraficznych nie rzadziej niż c 30 dni, zaleca się wprwadzić stswne regulacje sankcjnujące spsby przechwywania nazw użytkwników i haseł raz zabraniające udstępnia ich innym sbm. Ochrna przed atakami zewnętrznymi (zapra gniwa): zalecane jest zastswanie zapry gniwej (sprzętwe lub prgramwe rzwiązanie) raz wdrżenie regulacji zapewniających jeg bieżącą aktualizację. Sieci Wi-Fi: d płączenia z sieciami Wi-Fi zaleca się używać c najmniej standardu WPA i haseł długści nie mniejszej niż 12 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny). Ochrna antywiruswa: zaleca się aby prgramwanie antywiruswe miał włączną chrnę w czasie rzeczywistym, zaleca się knfigurację prgramwania zapewniającą bieżącą aktualizację sygnatur antywiruswych, zaleca się knfigurację prgramwania zapewniającą pełne skanwanie antywiruswe stacji c najmniej 1 raz w tygdniu. Aktualizacja Systemu i prgramwania: zalecane jest stswanie systemów peracyjnych wyłącznie w wersjach wspieranych przez ich prducentów, zalecane jest włączenie autmatycznych aktualizacji systemu raz prgramwania zgdnie z zaleceniami prducentów. Usuwanie danych: zaleca się knfigurację ksza systemweg, aby nie przechwywał usuniętych plików, zaleca się d usuwania danych używać dedykwaneg d teg celu prgramwania. Dyski i urządzenia przenśne: w przypadku stswania dysków twardych umieszcznych w wyjmwanych kieszeniach pwinny być ne wypsażne w zamknięcie na kluczyk i zamknięte gdy znajduje się w nich dysk. P zakńcznej pracy zaleca się usunąć dysk i przechwywać w zabezpiecznej szafie, zaleca się wdrżyć regulacje (w tym ewidencję nśników) zapewniające bsługę pamięci flash, raz dysków przenśnych, pdłączanych kresw d stacji, zawierających dane, tak aby p zakńczeniu pracy były ne usuwane ze stacji i przechwywane w bezpieczny spsób, Strna 7 z 10
przenśne pamięci flash raz dyski przenśne które będą służyły d wynszenia infrmacji pza bręb pmieszczenia pwinny być wypsażne w rzwiązanie sprzętwe umżliwiające szyfrwanie danych z użyciem hasła dstępweg nie krótszeg niż 8 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny) lub w czytnik identyfikacji bimetrycznej. Rzmieszczenie sprzętu: serwer lub stacja rbcza pwinny być ustawine w miejscu graniczającym lub uniemżliwiającym d nich dstęp sbm nieupważninym, zalecane jest ustawienie czasu autmatyczneg uruchamiania wygaszacza ekranu na maksymalnie 5 minut. Wznwienie pracy pwinn wymagać pdania hasła. Zalecane jest także blkwanie stacji przy każdrazwym puszczeniu stanwiska. Kpie bezpieczeństwa: zalecane jest wdrżenie prcedury twrzenia kpii zapaswych zapewniające wyknywanie kpii nie rzadziej niż raz na 7 dni, składwanie kpi zapaswych pwinn dbywać się w innym budynku bądź pmieszczeniach w dpwiedni zabezpiecznej szafie. Zasilanie awaryjne: serwery i stacje rbcze pwinny być wypsażne w urządzenia pdtrzymujące zasilanie (UPS) umżliwiające autmatyczne bezpieczne zakńczenie pracy w przypadku utraty zasilania pdstawweg. Uprawnienia d katalgu raz dstęp d flderu udstępnianeg pwinny zstać graniczne tylk d użytkwników maszyny wirtualnej. Uprawnienia d katalgu raz dstęp d flderu udstępnianeg pwinien uniemżliwiać skpiwanie pliku maszyny przez sbę inną niż Administratr. Stswanie maszyn wirtualnych na dyskach przenśnych bądź pamięciach typu flash nie jest zalecane. W przypadku kniecznści stswania rzwiązania zaleca się, aby: nśnik plików maszyny wirtualnej był w całści zaszyfrwany, wdrżyć regulacje zapewniające prawidłwe psługiwanie się nśnikami raz prwadzić ewidencję dysków przenśnych bądź pamięci flash, nśniki wynszne pwinny być wypsażne w rzwiązanie umżliwiające szyfrwanie danych z użyciem hasła dstępweg nie krótszeg niż 10 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny) uniemżliwiające skrzystanie z danych p max 3 próbach nieudaneg pdania hasła d dblkwania nśnika. 5.2.4. Sprzęt kmputerwy przenśny (laptp, tablet, itp.) Knta użytkwników i hasła: wbudwane knt administratra pwinn być używane tylk w przypadku wyknywania czynnści administratra, każdemu użytkwnikwi kmputera pwinn być załżne ddzielne knt, knta te nie pwinny mieć przypisanych uprawnień administratra, długść nazwy użytkwnika pwinna wynsić nie mniej niż 6 znaków, długść hasła knta administratra lub użytkwnika z uprawnieniami administratra pwinna wynsić nie mniej niż 12 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, Strna 8 z 10
długść hasła knta użytkwnika pwinna wynsić nie mniej niż 8 (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny), kres ważnści hasła nie pwinien być dłuższy niż 30 dni, zaleca się wprwadzić regulacje sankcjnujące zmianę pin-kdu mikrprcesrwych kart kryptgraficznych nie rzadziej niż c 30 dni, zaleca się wprwadzić stswne regulacje sankcjnujące spsby przechwywania nazw użytkwników i haseł raz zabraniające udstępnia ich innym sbm. Ochrna przed atakami zewnętrznymi (zapra gniwa): zalecane jest zastswanie zapry gniwej (sprzętwe lub prgramwe rzwiązanie) raz wdrżenie regulacji zapewniających jeg bieżącą aktualizację. Sieci Wi-Fi: d płączenia z sieciami Wi-Fi zaleca się używać c najmniej standardu WPA i haseł długści nie mniejszej niż 12 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny). Ochrna antywiruswa: zaleca się aby prgramwanie antywiruswe instalwane na stacjach miał włączną chrnę w czasie rzeczywistym, zaleca się knfigurację prgramwania zapewniającą bieżącą aktualizację sygnatur antywiruswych, zaleca się knfigurację prgramwania zapewniającą pełne skanwanie antywiruswe stacji c najmniej 1 raz w tygdniu. Aktualizacja Systemu i prgramwania: zalecane jest stswanie systemów peracyjnych wyłącznie w wersjach wspieranych przez ich prducentów, zalecane jest włączenie autmatycznych aktualizacji systemu raz prgramwania zgdnie z zaleceniami prducentów. Usuwanie danych: zaleca się knfigurację ksza systemweg, aby nie przechwywał usuniętych plików, zaleca się d usuwania danych używać dedykwaneg d teg celu prgramwania. Dyski i urządzenia przenśne: w przypadku stswania dysków twardych umieszcznych w wyjmwanych kieszeniach pwinny być ne wypsażne w zamknięcie na kluczyk i zamknięte gdy znajduje się w nich dysk. P zakńcznej pracy zaleca się usunąć dysk i przechwywać w zabezpiecznej szafie, zaleca się wdrżyć regulacje (w tym ewidencję nśników) zapewniające bsługę pamięci flash, raz dysków przenśnych, pdłączanych kresw d stacji, zawierających dane, tak aby p zakńczeniu pracy były ne usuwane ze stacji i przechwywane w bezpieczny spsób, przenśne pamięci flash raz dyski przenśne które będą służyły d wynszenia infrmacji pza bręb pmieszczenia pwinny być wypsażne w rzwiązanie sprzętwe umżliwiające szyfrwanie danych z użyciem hasła dstępweg nie krótszeg niż 8 znaków (hasł złżne c najmniej 1 duża litera, 1 cyfra i znak specjalny) lub w czytnik identyfikacji bimetrycznej, Strna 9 z 10
ddatkw partycja lub dysk stacji przenśnej na której są składwane dane zaleca się w całści zaszyfrwać przy wykrzystaniu sprzętweg mdułu szyfrwania lub prgramw, przy użyciu algrytmu AES256. Rzmieszczenie sprzętu: stacja rbcza pwinna być ustawina w miejscu graniczającym lub uniemżliwiającym d niej dstęp sbm nieupważninym, zalecane jest ustawienie czasu autmatyczneg uruchamiania wygaszacza ekranu na maksymalnie 5 minut. Wznwienie pracy pwinn wymagać pdania hasła. Zalecane jest także blkwanie stacji przy każdrazwym puszczeniu stanwiska. Kpie bezpieczeństwa: zalecane jest wdrżenie prcedury twrzenia kpii zapaswych zapewniające wyknywanie kpii nie rzadziej niż raz na 7 dni, składwanie kpi zapaswych pwinn dbywać się w innym budynku bądź pmieszczeniach w dpwiedni zabezpiecznej szafie. Zasilanie awaryjne: stan baterii pwinien umżliwiać bezpieczne zamknięcie systemu p zaniku zasilania sieciweg, stacje rbcze pwinny być wypsażne w urządzenia pdtrzymujące zasilanie (UPS) umżliwiające autmatyczne bezpieczne zakńczenie pracy w przypadku utraty zasilania pdstawweg. Rzmieszczenie sprzętu: stacja przenśna pwinna być użytkwana w spsób graniczający lub uniemżliwiający d niej dstęp sbm nieupważninym, stację przenśną w miejscach krzystania pwinn się zabezpieczyć linką antykradzieżwą przymcwaną d stałeg elementu wypsażenia ( ile jest t mżliwe), zaleca się ustawienie czasu autmatyczneg uruchamiania wygaszacza ekranu na maksymalnym pzimie 5 minut, wznwienie pracy wymaga pdania hasła, blkwanie stacji przy każdrazwym puszczeniu stanwiska. Strna 10 z 10