ZARZĄDZENIE NR OL-12/0021-02/Z/13 NACZELNIKA URZĘDU SKARBOWEGO W JAWORZNIE Z DNIA 18.04.2013 R. w sprawie wprowadzenia Polityki Bezpieczeństwa Danych Osobowych, Instrukcji Zarzadzania Systemem Informatycznym oraz Instrukcji Postępowania w Sytuacji Naruszenia Bezpieczeństwa Informacji Na podstawie 14 Regulaminu Organizacyjnego Urzędu Skarbowego w Jaworznie stanowiącego załącznik nr 1 do Zarządzenia Wewnętrznego Nr OL-12/0021-04/Z/11 Naczelnika Urzędu Skarbowego w Jaworznie z dnia 18.09.2011 r. w sprawie nadania Regulaminu Organizacyjnego Urzędu Skarbowego w Jaworznie oraz Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz.926, Nr 153, poz. 1271, z 2004r. Nr 25, poz. 219, Nr 33, poz. 285) Zarządzam stosowanie następujących instrukcji: 1 1. Polityka Bezpieczeństwa Danych Osobowych Przetwarzanych w Systemie Ewidencja Podatników i Innych oraz systemem Kadrowo-Księgowym 2. Instrukcja Zarządzania Systemem Informatycznym Ewidencja Podatników i Innych oraz systemem Kadrowo-Księgowym, 2 Zarządzenie wchodzi w życie z dniem podpisania. ROZDZIELNIK: Lp. Egzemplarz Adresat 1. Oryginał Referat Organizacyjno Administracyjny, kadr i Szkoleń (OL-12) 2. Kopia użytkowa wersja elektroniczna Pracownicy realizujący zadania na wszystkich stanowiskach pracy Strona 1 z 20
ORYGINAŁ Załącznik nr 2 do Zarządzenia NR OL-12/0021-02/Z/13 POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU SKARBOWEGO W JAWORZNIE Zarządzenie Nr OL-12/0021-48./Z/12 Naczelnika Urzędu Skarbowego w Jaworznie w sprawie wprowadzenia procesu Postępowanie podczas wypadku przy pracy Strona 2 z 20
URZĄD SKARBOWY W JAWORZNIE Nazwa POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU SKARBOWEGO W JAWORZNIE Krótki opis dokumentu Dokument opisuje zasady ochrony informacji obowiązujące w Urzędzie Skarbowym w Jaworznie Właściciel Urząd Skarbowy w Jaworznie dokumentu Opracowany Nazwa komórki Dział Logistyki i Organizacji przez organizacyjnej Akceptował Imię i nazwisko, Pełnomocnik Ochrony stanowisko Data Podpis ABI Zatwierdził Imię i nazwisko, stanowisko Naczelnik Urzędu Skarbowego Data Podpis Strona 3 z 20
SPIS TREŚCI 1 WSTĘP... 5 1.1 WYKAZ SKRÓTÓW... 5 1.2 WYKAZ TERMINÓW... 5 2 ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI... 7 3 CEL POLITYKI BEZPIECZEŃSTWA INFORMACJI... 7 4 BEZPIECZEŃSTWO INFORMACJI W JEDNOSTCE ORGANIZACYJNEJ... 9 5 ZASADY ZARZĄDZANIA INFORMACJĄ... 9 6 RODZAJE INFORMACJI PRZETWARZANYCH I SPOSÓB ICH OCHRONY... 11 7 ZASADY ORGANIZACJI STRUKTUR ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI... 17 7.1. GŁÓWNE OBOWIĄZKI I ODPOWIEDZIALNOŚĆ POSZCZEGÓLNYCH RÓL... 17 8 ZARZĄDZANIE RYZYKIEM... 18 Strona 4 z 20
1 WSTĘP Informacja stanowi priorytetowy zasób każdej organizacji, dlatego w Urzędzie Skarbowym w Jaworznie, wdrożono System Zarządzania Bezpieczeństwem Informacji (SZBI). Zapewnienie bezpieczeństwa informacji oraz systemów, w których są one przechowywane i przetwarzane jest jednym z zadań Urzędu Skarbowego w Jaworznie. W celu zagwarantowania sprawnej i skutecznej ochrony informacji, konieczne jest opracowanie a następnie zapewnienie odpowiedniego poziomu bezpieczeństwa oraz zastosowanie rozwiązań technicznych. Dokumentem, który określa zasady oraz metody ochrony informacji w Urzędzie Skarbowym jest Polityka Bezpieczeństwa Informacji. Jest to zbiór spójnych i zgodnych z obowiązującym prawem przepisów, reguł, według których jednostka buduje, zarządza i udostępnia zasoby oraz systemy informacyjne i informatyczne. 1.1 WYKAZ SKRÓTÓW AI ADO ABI ASI SZBI GIODO Administrator Informacji; Administrator Danych Osobowych; Administrator Bezpieczeństwa Informacji; Administrator Systemu Informatycznego; System Zarządzania Bezpieczeństwem Informacji; Generalny Inspektor Ochrony Danych Osobowych. 1.2 WYKAZ TERMINÓW Strona 5 z 20
jednostka organizacyjna Urząd Skarbowy w Jaworznie; kierownik jednostki organizacyjnej informacja poufność dostępność rozliczalność integralność podatność Naczelnik Urzędu Skarbowego w Jaworznie; niematerialne aktywa jednostki organizacyjnej, które posiada realną wartość i dlatego podlega ochronie przed zagrożeniami zewnętrznymi i wewnętrznymi; zapewnienie, iż dostęp do informacji mają tylko i wyłącznie osoby uprawnione; zapewnienie, iż informacje będą dostępne na żądanie uprawnionej do tego osoby wtedy gdy jest to potrzebne; właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; zapewnienie, iż informacje nie zostały zmienione lub zniszczone w nieautoryzowany sposób (niezgodny z wewnętrznymi regulacjami jednostki organizacyjnej); słabość, luka, brak odpowiednich zabezpieczeń informacji przed występującymi zagrożeniami; prawdopodobieństwo miara wystąpienia zdarzenia; zagrożenie ryzyko zarządzanie ryzykiem analiza ryzyka potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub jednostce organizacyjnej; niepewność związana z wystąpieniem okoliczności lub zdarzenia, grożącego brakiem lub ograniczeniem możliwości realizacji celów jednostki organizacyjnej, określonych zarówno w perspektywie krótko jak i długoterminowej; skoordynowane działania podejmowane przez kierownika jednostki organizacyjnej mające na celu identyfikacje zagrożeń i podatności, minimalizację zagrożeń do poziomu ryzyka akceptowalnego poprzez zastosowanie zabezpieczenia lub zabezpieczeń; etap w zarządzaniu ryzykiem polegający na określeniu Strona 6 z 20
prawdopodobieństwa wystąpienia zagrożenia, w celu określenia wartości punktowej ryzyka; system informatyczny zbiór powiązanych ze sobą elementów, którego funkcją System Zarządzania Bezpieczeństwem Informacji incydent związany z bezpieczeństwem informacji jest przetwarzanie danych i informacji przy użyciu technik komputerowych. Odpowiedzialnym za system jest właściciel merytoryczny. Zarządzanie warstwą techniczną systemu informatycznego należy do zadań komórki organizacyjnej właściwej ds. informatyki; część systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanowienia, wdrożenia, eksploatacji, monitorowania, utrzymania i doskonalenia bezpieczeństwa informacji. SZBI zawiera strukturę organizacyjną, polityki, planowane działanie, zakres odpowiedzialności, zasady procedury, procesy i zasoby według normy ISO/IEC 27001:2007; pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu. 2 ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI Dokument ma zastosowanie do wszystkich rodzajów informacji przetwarzanych w jednostce organizacyjnej oraz dla wszystkich osób przetwarzających te informacje. 3 CEL POLITYKI BEZPIECZEŃSTWA INFORMACJI Strona 7 z 20
Urząd Skarbowy w Jaworznie, realizując działalność statutową zapewnia wszystkich swoich interesantów, pracowników i osoby współpracujące, o zachowaniu pełnej gwarancji bezpieczeństwa i poufności przekazywanych, posiadanych i pozyskiwanych informacji. W tym celu, Naczelnik Urzędu Skarbowego realizuje następującą Politykę Bezpieczeństwa Informacji (PBI): 1) Naczelnik Urzędu Skarbowego w Jaworznie jest świadomy ważności bezpieczeństwa informacji przetwarzanych w jednostce organizacyjnej i stwarza warunki, aby zapewnić ich bezpieczeństwo; 2) Naczelnik Urzędu Skarbowego w Jaworznie zobowiązuje się do spełnienia wymagań prawnych i kontraktowych związanych z bezpieczeństwem informacji, szczególnie w zakresie przepisów o ochronie danych osobowych, informacji niejawnych, tajemnicy skarbowej i innych tajemnic prawnie chronionych; 3) Zarządzanie Bezpieczeństwem Informacji jest realizowane w szczególności poprzez uregulowania zawarte w wewnętrznych aktach normatywnych i dokumentach systemu zarządzania jakością, obejmujących wszystkie obszary działalności Urzędu Skarbowego, tworząc System Zarządzania Bezpieczeństwem Informacji; 4) Za bezpieczeństwo informacji w Urzędzie Skarbowym odpowiada każdy pracownik na powierzonym mu stanowisku pracy, a zapewnienie bezpieczeństwa informacji nadzorują kierownicy komórek organizacyjnych na wszystkich szczeblach zarządzania; 5) Bezpieczeństwo informacji jest realizowane poprzez następujące działania ciągłe: a) monitorowanie stanu zabezpieczeń (urządzeń techniczno-organizacyjnych, uregulowań formalnoprawnych) i ryzyk z tym związanych, b) szkolenie pracowników (dostęp do bieżących uregulowań i fachowej literatury), c) uświadamianie pracownikom znaczenia ich angażowania się w realizację polityki bezpieczeństwa informacji, d) informowanie pracowników o konsekwencjach wynikających z braku należytej dbałości o bezpieczeństwo informacji lub naruszenia bezpieczeństwa informacji, e) raportowanie incydentów związanych z bezpieczeństwem informacji; 6) Należy stale doskonalić wdrożony System Zarządzania Bezpieczeństwem Informacji. Głównymi celami stawianymi przed SZBI są: 1) zapewnienie zgodności działań z obowiązującymi wymaganiami prawnymi; 2) ochrona systemów przetwarzania informacji przed nieuprawnionym dostępem bądź zniszczeniem; 3) zmniejszanie ryzyka utraty informacji; 4) zaangażowanie wszystkich pracowników w ochronę informacji. Szczegółowe rozwinięcie zagadnień objętych niniejszą Polityką jest udokumentowane w stosownych politykach, instrukcjach i procedurach postępowania. Strona 8 z 20
4 BEZPIECZEŃSTWO INFORMACJI W JEDNOSTCE ORGANIZACYJNEJ Bezpieczeństwo informacji w Urzędzie Skarbowym w Jaworznie jest rozumiane jako: 1) zarządzanie bezpieczeństwem własnych i powierzonych przez interesantów informacji, we wszystkich jej aspektach, tj.: a) poufności, b) dostępności, c) integralności; 2) ochrona danych osobowych pracowników, które są przetwarzane w Urzędzie Skarbowym; 3) systematyczne zarządzanie ryzykiem na podstawie przyjętej metody oceny ryzyka; 4) prowadzenie analizy wprowadzanych zmian organizacyjnych w Urzędzie Skarbowym i ich oddziaływania na bezpieczeństwo. 5 ZASADY ZARZĄDZANIA INFORMACJĄ Każdy pracownik powinien być zapoznany z zasadami oraz z kompletnymi i aktualnymi procedurami ochrony informacji w swojej jednostce organizacyjnej. Poniższe, prezentowane zasady są podstawą realizacji Polityki Bezpieczeństwa Informacji: 1) Zasada uprawnionego dostępu każdy pracownik przechodzi szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisuje stosowne oświadczenie o zachowaniu poufności; 2) Zasada przywilejów koniecznych każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań; 3) Zasada wiedzy koniecznej każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań; 4) Zasada usług koniecznych Urząd Skarbowy świadczy usługi zgodne tylko ze swoim statutowym zakresem działania; 5) Zasada asekuracji każdy mechanizm zabezpieczający musi być ubezpieczony drugim, innym (podobnym). W przypadkach szczególnych może być stosowane dodatkowe (trzecie) niezależne zabezpieczenie; Strona 9 z 20
6) Zasada świadomości zbiorowej wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych Urzędu Skarbowego i aktywnie uczestniczą w tym procesie; 7) Zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby; 8) Zasada obecności koniecznej prawo przebywania w określonych miejscach mają tylko osoby upoważnione; 9) Zasada stałej gotowości system jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających; 10) Zasada najsłabszego ogniwa poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element; 11) Zasada kompletności skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji; 12) Zasada ewolucji każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych; 13) Zasada odpowiedniości używane mechanizmy muszą być adekwatne do sytuacji; 14) Zasada akceptowanej równowagi podejmowane środki zaradcze nie mogą przekraczać poziomu akceptacji; 15) Zasada świadomej konwersacji nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi; 16) Zasad zamkniętego pomieszczenia ostatnia osoba wychodząca z pomieszczenia na zakończenie dnia pracy jest zobowiązana zamknąć drzwi na klucz. Niedopuszczalne jest pozostawienie otwartych pomieszczeń w godzinach pracy, gdy nikogo upoważnionego nie ma w środku; 17) Zasada nadzorowanych dokumentów po godzinach pracy w zamkniętych szafach lub biurkach powinny być przechowywane wszystkie dokumenty, którym zgodnie z klasyfikacją informacji Urzędu Skarbowego zostały uznane za informacje chronione; 18) Zasada czystego biurka należy unikać pozostawiania dokumentów na biurku bez opieki. Po zakończeniu pracy należy uprzątnąć biurko z dokumentów papierowych, płyt CD lub innych nośników danych; 19) Zasada czystej tablicy w salach szkoleniowych, po zakończonym szkolenia pozostawiana jest czysta tablica (flipchart, itp.); 20) Zasada czystego ekranu każdy komputer musi mieć ustawiony wygaszacz ekranu. Wygaszacz powinien włączać się automatycznie po 5 minutach bezczynności użytkownika. Użytkownicy powinni przed pozostawieniem włączonego komputera bez opieki, zablokować komputer lub w przypadku dłuższej nieobecności wylogować się z systemu. Po zakończonym dniu komputer powinien zostać wyłączony; 21) Zasada czystych drukarek informacje chronione w Urzędzie Skarbowym powinny być zabierane z drukarek natychmiast po wydrukowaniu. W przypadku nieudanej próby wydrukowania użytkownik powinien skontaktować się z osobą odpowiedzialną za dane urządzenie lub zgłosić incydent bezpieczeństwa; 22) Zasada czystego kosza dokumenty papierowe z wyjątkiem materiałów promocyjnych, marketingowych i informacyjnych powinny być niszczone w sposób uniemożliwiający ich odczytanie (w niszczarce, o ile jest dostępna). W przypadku Strona 10 z 20
konieczności zniszczenia dużej ilości informacji w formie papierowej (bez względu na ich przynależność do grupy informacji) należy umieścić je w specjalnie przystosowanych do tego celu workach, które winny być przekazane do zniszczenie na niszczarce Urzędu Skarbowego. Worki takie powinny być stosownie zabezpieczone do czasu przekazania do zniszczenia. Niszczenie takich dokumentów powinno odbywać się na bieżąco. 6 RODZAJE INFORMACJI PRZETWARZANYCH I SPOSÓB ICH OCHRONY Klasyfikacja informacji została opracowana w ramach prac prowadzonych nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Skarbowym w Jaworznie. Klasyfikacja informacji służy uporządkowaniu skutków naruszenia zasad bezpieczeństwa informacji i zasadom ich ochrony. W grupach informacji zebrane zostały informacje logicznie i merytorycznie ze sobą związane, identyfikowane i klasyfikowane zgodnie z obowiązującymi przepisami w zakresie ich ochrony. W efekcie informacje w Urzędzie Skarbowym podzielono na trzy grupy informacji i tak: Grupa I Informacje niejawne; Grupa II Informacje prawnie chronione; Grupa III Pozostałe informacje. Grupa I - Informacje niejawne Definicja: Informacje, o których mowa w ustawie z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010r. nr 182, poz. 1228), czyli są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne. Odpowiedzialność: Strona 11 z 20
Zgodnie z przepisami ustawy o ochronie informacji niejawnych: 1) Naczelnik Urzędu Skarbowego w Jaworznie odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony; 2) Pełnomocnik Naczelnika Urzędu Skarbowego w Jaworznie ds. Ochrony Informacji Niejawnych odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych; 3) Stanowiska ds. materiałów zastrzeżonych odpowiadają za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów zastrzeżonych; 4) Administrator systemu odpowiada za funkcjonowanie systemu teleinformatycznego do przetwarzania informacji niejawnych oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla tego systemu. Zabezpieczenia: Zabezpieczenie i ochrona informacji niejawnych w Urzędzie Skarbowym w Jaworznie są realizowane: 1) w związku z poniższymi przepisami prawa zewnętrznego: a) ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010r., Nr 182, poz. 1228), b) rozporządzenie Rady Ministrów z dnia 7 grudnia 2011r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz. U. z 2011r., Nr 276, poz. 1631), c) rozporządzenie Prezesa Rady Ministrów z dnia 7 grudnia 2011r. w sprawie nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U. z 2011r., Nr 271, poz.1603), d) rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności (Dz. U. z 2011r., Nr 288, poz.1692), e) rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2011r., Nr 159, poz. 948), f) zarządzenie Nr 54 Ministra Finansów z dnia 28 grudnia 2011r. w sprawie kancelarii tajnych, innych komórek organizacyjnych odpowiedzialnych za przetwarzanie materiałów niejawnych oraz przetwarzania informacji niejawnych (Dz. Urz. MF z 2011r., Nr 9, poz. 47); 2) w związku z poniższymi przepisami prawa wewnętrznego: a) dokumentacji określającej sposób i tryb przetwarzania informacji niejawnych o klauzuli Poufne" w Urzędzie Skarbowym w Jaworznie - Zarządzenie NR OL- 12/0021-43/Z/12 z dnia 20.09.2012 r., b) Instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli Zastrzeżone w Urzędzie Skarbowym w Jaworznie -Zarządzenie NR OL- 12/0021-46/Z/12 z dnia 19.11.2012 r., c) Decyzja Nr KAOWD IX/0021-25/D/2010 z dnia 29.12.2010 w sprawie wprowadzenia instrukcji zarzadzania ryzykiem Strona 12 z 20
W oparciu o w/w uregulowania prawne został stworzony system obejmujący m.in. zasady ochrony informacji niejawnych w systemie teleinformatycznym oraz zastosowano środki bezpieczeństwa fizycznego w odniesieniu do informacji niejawnych. Grupa II Informacje prawnie chronione Definicja: Do grupy II przypisano dane osobowe oraz inne informacje prawnie chronione, które chronione są ze względu na dostępność, poufność, integralność i rozliczalność. Do grupy II przypisane zostały w szczególności: 1) dane osobowe, zdefiniowane w ustawie o ochronie danych osobowych Definicja: Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Odpowiedzialność: a) W Urzędzie Skarbowym Administratorem Danych Osobowych (ADO) jest Naczelnik Urzędu Skarbowego, który decyduje o celach i środkach przetwarzania danych osobowych. ADO może upoważnić inne osoby do realizacji całości lub części uprawnień i zadań ADO. Zadania ADO określa ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, b) ADO wyznacza ABI, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, Strona 13 z 20
c) ADO upoważnia Administratorów Systemów Informatycznych do systemów informatycznych służących do przetwarzania danych osobowych. ASI wykonuje czynności związane z administrowaniem systemem, monitoruje system oraz zapewnia poprawności jego działania, d) Osoby przetwarzające dane osobowe są zobowiązane do przestrzegania zasad zawartych w dokumentach takich jak: Polityka Bezpieczeństwa Informacji, Polityka Bezpieczeństwa Danych Osobowych Przetwarzanych w Systemie Ewidencja Podatników i Innych oraz Systemie Kadrowo-Księgowym, Instrukcja Zarządzania Systemem Informatycznym Ewidencja Podatników i Innych oraz Systemem Kadrowo-Księgowym oraz procedurach, w szczególności: - zasad ochrony przed nieuprawnionym dostępem, - nieuzasadnioną modyfikacją, - zniszczeniem, ujawnieniem lub pozyskaniem, - zasad korzystania z haseł, eksploatacji systemów informatycznych i ochrony antywirusowej, e) Osoby, które zostały upoważnione do przetwarzania danych osobowych, obowiązane są zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu zatrudnienia. Zabezpieczenia: Zabezpieczenie i ochrona danych osobowych w Urzędzie Skarbowym w Jaworznie są realizowane: a) w związku z poniższymi przepisami prawa zewnętrznego: ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024), b) w związku z poniższymi przepisami prawa wewnętrznego: Polityka Bezpieczeństwa Danych Osobowych Przetwarzanych w Systemie Ewidencja Podatników i Innych oraz Systemem Kadrowo-Księgowym, Instrukcja Zarządzania Systemem Informatycznym Ewidencja Podatników i Innych oraz Systemem Kadrowo-Księgowym, Instrukcja, c) zgodnie z art. 40 ustawy o ochronie danych osobowych zbiory danych osobowych w zakresie Ewidencja Podatników i Innych zostały zgłoszone do GIODO w dniu 21.03.2001r. - aktualizacja wniosku w dniu 29.10.2004r; 2) informacje objęte tajemnica skarbową Definicja: Strona 14 z 20
Tajemnica skarbowa obejmuje indywidualne dane zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów. Tajemnicę skarbową stosuje się również do danych zawartych w: a) informacjach podatkowych przekazywanych organom podatkowym przez podmioty inne niż wskazane powyżej, b) aktach dokumentujących czynności sprawdzające, c) aktach postępowania podatkowego, kontroli podatkowej oraz aktach postępowania w sprawach o przestępstwa skarbowe lub wykroczenia skarbowe, d) dokumentacji rachunkowej organu podatkowego, e) informacjach uzyskanych przez organy podatkowe z banków oraz z innych źródeł, f) informacjach uzyskanych w toku postępowania w sprawie zawarcia porozumień cenowych. Odpowiedzialność: a) Za ochronę informacji prawnie chronionych odpowiada kierownik jednostki organizacyjnej, b) Pracownicy Urzędu Skarbowego w Jaworznie zobowiązani są do przestrzegania zasad określonych w Instrukcji ochrony informacji stanowiących tajemnicę skarbową w Urzędzie Skarbowym w Jaworznie. Zabezpieczenia: Zabezpieczenie i ochrona informacji objętych tajemnicą skarbową w Urzędzie Skarbowym w Jaworznie są realizowane: a) w związku z poniższymi przepisami prawa: ustawa z dnia 29 sierpnia 1997r. Ordynacja podatkowa (t.j. Dz. U. z 2005r. Nr 8, poz. 60 z poźn. zm.), ustawa z dnia 28 września 1991r. o kontroli skarbowej (t.j. Dz. U. z 2011r. Nr 41, poz. 214); Informacjom prawnie chronionym zapewniono poziom bezpieczeństwa wynikający z przepisów prawa regulujących sposoby i formy ich zabezpieczenia na każdym etapie przetwarzania. Grupa III Pozostałe informacje Definicja: Strona 15 z 20
Informacje, o których mowa w ustawie z dnia 6 września 2001r. o dostępie do informacji publicznej (Dz. U. z 2001r. Nr 112, poz. 1198 z późn. zm.) oraz w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie Biuletynu Informacji Publicznej z dnia 18 stycznia 2007r. (Dz. U. z 2007r., Nr 10, poz. 68), czyli są to wszystkie informacje, które są informacjami o sprawach publicznych. Odpowiedzialność: 1) Naczelnik Urzędu Skarbowego w Jaworznie jest organem władzy publicznej zobowiązanym do udostępniania informacji publicznej; 2) redaktor merytoryczny BIP jest osobą odpowiedzialną za aktualność danych oraz upoważnioną do przesyłania zaktualizowanych plików na stronę Biuletynu Informacji Publicznej Urzędu Skarbowego w Jaworznie; 3) redaktor techniczny BIP jest osobą odpowiedzialną za zamieszczenie przesłanych przez redaktora merytorycznego informacji w BIP; 4) za aktualizowanie oraz publikowanie właściwych informacji w biuletynie wewnętrznym Urzędu Skarbowego w Jaworznie (Intranecie) odpowiedzialni są pracownicy wyznaczeni do tej czynności. Zabezpieczenia: Zabezpieczenia i tryb udostępnienia informacji publicznej w Urzędzie Skarbowym w Jaworznie są realizowane: 1) w związku z poniższymi przepisami prawa zewnętrznego: a) ustawa z dnia 6 września 2001r. o dostępie do informacji publicznej (Dz. U. z 2001r. Nr 112, poz. 1198 z późn. zm.), b) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie Biuletynu Informacji Publicznej z dnia 18 stycznia 2007r. (Dz. U. z 2007r. Nr 10, poz. 68), c) ustawa z dnia 15 lipca 2011r. o kontroli w administracji rządowej (Dz.U. z 2011r. Nr 185, poz. 1092), d) ustawa z z dnia 21 listopada 2008r. o służbie cywilnej (Dz.U. z 2008r. Nr 227, poz. 1505), e) ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2005r. Nr 64, poz. 565 z późn. zm.), f) ustawa z dnia 19 sierpnia 2011r. o języku migowym i innych środkach komunikowania się (Dz.U. z 2011r. Nr 209. poz. 1243), g) ustawa z dnia 29 sierpnia 1997r. Ordynacja podatkowa (Dz.U. z 2005r. Nr 8, poz. 60, z późn. zm) oraz ustawa z dnia 28 września 1991 r. o kontroli skarbowej (Dz. U. z 2011r. Nr 41, poz. 214), h) rozporządzenie Prezesa Rady Ministrów z dnia 14 września 2011r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania Strona 16 z 20
dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz.U. z 2011 r. Nr 206, poz. 1216); 7 ZASADY ORGANIZACJI STRUKTUR ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Zasady tworzenia struktur zarządzających bezpieczeństwem: 1) oddzielenie funkcji zarządzających i kontrolnych od funkcji wykonawczych; 2) uniemożliwienie nadużyć i ograniczenie błędów popełnianych przez pojedyncze osoby w sferze jednoosobowej odpowiedzialności; 3) zapewnienie niezależności i bezstronności jednostek dokonujących audytu bezpieczeństwa przy zapewnieniu rękojmi zachowania tajemnicy. Aby oddzielić funkcje zarządzające i kontrolne od funkcji wykonawczych dokonano podziału na dwa obszary, administracyjny i bezpieczeństwa, pokazane na schemacie poniżej: PION ADMINISTRACYJNY PION BEZPIECZEŃSTWA Administrator Informacji (AI) Administrator Bezpieczeństwa Informacji (ABI) Administratorzy Systemów (ASI) 7.1. GŁÓWNE OBOWIĄZKI I ODPOWIEDZIALNOŚĆ POSZCZEGÓLNYCH RÓL Strona 17 z 20
W strukturze zarządzania bezpieczeństwem informacji w jednostkach organizacyjnych identyfikuje się następujące role: Administrator Informacji (AI) tj. Naczelnik Urzędu Skarbowego w Jaworznie, który sprawuje nadzór nad bezpieczeństwem informacji w jednostce organizacyjnej, zarządza i nadzoruje ustanowienie, wdrażanie, monitorowanie SZBI w jednostce organizacyjnej. Administrator Systemów Informatycznych (ASI) tj. osoba z komórki organizacyjnej właściwej ds. informatyki. ASI wyznaczany jest przez AI. Wykonuje czynności związane z administrowaniem systemem, monitoruje system oraz zapewnia poprawności jego działania. Administrator Bezpieczeństwa Informacji (ABI) tj. osoba wyznaczana przez ADO, zgodnie z ustawą o ochronie danych osobowych. W ramach swoich zadań przygotowuje dokumentację bezpieczeństwa dla danych osobowych. 8 ZARZĄDZANIE RYZYKIEM Przeprowadzone analizy ryzyk odbiegają w zakresie wyliczenia od ryzyk wyznaczonych na potrzeby kontroli zarządczej i przedstawiają się następująco: Kierownik jednostki organizacyjnej dokonuje oceny oddziaływania zagrożenia na kryteria bezpieczeństwa informacji, tj. poufność, integralność, dostępność w przypadku danych osobowych rozliczalność, przyjmując poniżej zamieszczoną skalę punktową: 1) katastrofalne - 5 punktów; 2) poważne - 4 punkty; 3) średnie - 3 punkty; 4) małe - 2 punkty; 5) nieznaczne - 1 punkt. Kierownik jednostki organizacyjnej określa punktowe prawdopodobieństwo wystąpienia zagrożenia przyjmując następującą skalę punktową: 1) bardzo mało prawdopodobne - 1 punkt; Strona 18 z 20
2) mało prawdopodobne - 2 punkty; 3) możliwe prawdopodobieństwo wystąpienia - 3 punkty; 4) duże prawdopodobieństwo - 4 punkty; 5) bardzo duże prawdopodobieństwo - 5 punktów. Punktowej oceny ryzyka, dokonuje się obliczając wartość ryzyka (R), która stanowi iloczyn oddziaływania (od) i prawdopodobieństwa (pr) R = od*pr gdzie: od= od p + od j + od d + od r od p - składowa oddziaływania zagrożenia związanego z poufnością od j - składowa oddziaływania zagrożenia związanego z integralnością od d - składowa oddziaływania zagrożenia związanego z dostępnością od r - składowa oddziaływania zagrożenia związanego z rozliczalnością Otrzymany wynik przedstawia się w sposób graficzny za pomocą tzw. mapy ryzyka, gdzie X to prawdopodobieństwo a Y oddziaływanie: Strona 19 z 20
Interpretacja wartości ryzyka identyfikuje dwa obszary, dla których przyjmuje się odpowiednio przedziały wartości dla ryzyk: Od 1 do 20 - ryzyko akceptowalne; Od 21 do 100 - ryzyko nieakceptowane. Ryzyku nieakceptowanemu nadajemy kategorię wysokie zgodnie z zasadą Decyzji Nr KAOWD IX/0021-25/D/2010 z dnia 29.12.2010 w sprawie wprowadzenia instrukcji zarządzania ryzykiem, w ramach której sporządzany jest wykaz ryzyk. Strona 20 z 20