Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Międzynarodowego Stowarzyszenia Studentów Medycyny IFMSA-Poland Przyjęta przez Zarząd Główny IFMSA-Poland 30 sierpnia 2010 r.
Spis treści: PREAMBUŁA 3 ROZDZIAŁ 1. Regulacje ogólne 3 ROZDZIAŁ 2. Procedury nadawania uprawnień 3 ROZDZIAŁ 3. Stosowane metody i środki 4 ROZDZIAŁ 4. Procedury rozpoczęcia, zawieszenia i 4 ROZDZIAŁ 5. Procedury tworzenia kopii zapasowych 5 ROZDZIAŁ 6. Sposoby zabezpieczenia systemu 5 ROZDZIAŁ 7. Sposoby realizacji wymogów 5 ROZDZIAŁ 8. Przeglądy i konserwacja systemu 6 ROZDZIAŁ 9. Lista Administratorów bezpieczeństwa danych 6 ROZDZIAŁ 10. Postanowienia końcowe 6 2
Preambuła Rozdział 1 Regulacje Ogólne Niniejszą instrukcję wprowadza się w oparciu o wymogi bezpieczeństwa informacji określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024). 1.1 Regulacje dotyczą użytkowania systemu w Międzynarodowym Stowarzyszeniu Studentów Medycyny IFMSA-Poland, z siedzibą w Warszawie, 02-007, ul. Oczki 1A, zwanego dalej IFMSA-Poland. 1.2 Regulacje zawarte w niniejszym dokumencie są zgodne z regulacjami przyjętymi w Polityce bezpieczeństwa IFMSA-Poland oraz z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 1.3 Niniejszy dokument stanowi załącznik do Polityki bezpieczeństwa IFMSA-Poland. 1.4 Systemem, na którym pracują użytkownicy jest system Intranet IFMSA-Poland. 1.5 System Intranet IFMSA-Poland zbudowany jest w oparciu o technologie bazy danych MySQL oraz język programowania PHP 4.0 i nowszy. 1.6 Za zabezpieczenie fizycznych nośników informacji odpowiada dostawca usług serwerowych wskazany w Polityce bezpieczeństwa IFMSA-Poland. Rozdział 2 Procedury nadawania uprawnień do przetwarzania danych 2.1 Użytkownikowi zostaje przyznany unikalny identyfikator wraz z poufnym hasłem. 2.2 O przyznaniu identyfikatora decyduje Administrator bezpieczeństwa 2.3 Identyfikator wraz z prawidłowym hasłem umożliwia użytkownikowi dostęp do systemu. 2.4 Każdy użytkownik otrzymujący dostęp do systemu umożliwiający przetwarzanie danych osobowych zapoznaje się z treścią niniejszego dokumentu, dokumentu Polityki bezpieczeństwa IFMSA-Poland oraz zostaje pouczony przez swojego bezpośredniego zwierzchnika o wdrożonych procedurach bezpieczeństwa. 2.5 Zapoznanie się z wymienionymi z punkcie 2.4 dokumentami użytkownik potwierdza elektronicznie w czasie pierwszego logowania się do systemu umożliwiającego przetwarzanie danych osobowych. 2.6 Administratorowi bezpieczeństwa danych przysługuje prawo zablokowania konta użytkownika w dowolnym momencie. 2.7 Administrator w razie zablokowania dostępu do konta zobowiązany jest poinformować użytkownika o przyczynach blokady, pisemnie na drodze elektronicznej. 2.8 Po zakończeniu operacji w systemie użytkownik zobligowany jest wylogować się. 3
2.9 Użytkownik zobligowany jest przechowywać hasło w sposób uniemożliwiający dostęp do konta osobom trzecim, w szczególności zaś zabronione jest zapamiętywanie hasła przy użyciu elektronicznych systemów cookies. 2.10 W przypadku awarii, zagubienia hasła lub innych nieprzewidzianych okoliczności zagrażających bezpieczeństwu danych każdy użytkownik zobowiązany jest niezwłocznie zawiadomić Administratora bezpieczeństwa 2.11 Użytkownikom przysługuje prawo dostępu do systemu na podstawowym poziomie bezpieczeństwa, z zastrzeżeniem punktu 2.12. 2.12 Użytkownikom mającym dostęp do danych osobowych przysługuje dostęp do systemu na wysokim poziomie bezpieczeństwa. Rozdział 3 Stosowane metody i środki uwierzytelniania Procedury związane z ich zarządzaniem i użytkowaniem 3.1 Użytkownicy sami nadają sobie hasło do systemu, przy czym musi ono spełniać wymogi punktu 3.6. 3.2 Hasło ma charakter poufny, użytkownik zobowiązany jest zachować je w tajemnicy. Zabronione jest udostępnianie hasła innym osobom, w tym innym użytkownikom. 3.3 W wypadku konieczności nadania użytkownikowi hasła tymczasowego, użytkownik zobowiązany jest zmienić to hasło na nowe po pierwszym udanym logowaniu do systemu. 3.4 System wymusi zmianę hasła, o którym mowa w punkcie 3.3 3.5 Użytkownik w razie zagubienia hasła lub udostępnienia go osobom postronnym zobowiązany jest niezwłocznie poinformować o tym fakcie Administratora bezpieczeństwa Do czasu przyznania nowego hasła przez Administratora bezpieczeństwa danych konto użytkownika zostaje zablokowane. 3.6 Hasło jest minimum 8 znakowym ciągiem znaków o właściwościach określonych w odpowiednim rozporządzeniu. 3.7 Hasło przechowywane jest w systemie w postaci zaszyfrowanej. 3.8 Hasło i nazwa użytkownika przyznane jednemu użytkownikowi nie mogą być powtórnie użyte. 3.9 Użytkownik mający dostęp do danych osobowych zobowiązany jest zmieniać swoje hasło nie rzadziej niż co 30 dni. 3.10 W przypadku braku zmiany hasła w wyznaczonym w punkcie 3.9 terminie system wymusi na użytkowniku zmianę hasła po najbliższym logowaniu następującym po upływie wskazanego terminu. 3.11 Osobą odpowiedzialną za hasła i nazwy użytkowników w systemie jest Administrator bezpieczeństwa Rozdział 4 Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie 4.1 W celu uruchomienia i zalogowania się do systemu użytkownik powinien uruchomić przeglądarkę internetową. 4.2 Użytkownik mający dostęp do danych osobowych zobowiązany jest korzystać z przeglądarek internetowych: Internet Explorer w wersji nie niższej nić 7.0 lub Mozilla Firefox w wersji nie niższej niż 3.6 lub Opera w wersji nie niższej niż 10. 4
4.3 Użytkownik podczas logowania nie może ujawniać hasła osobom trzecim, w tym innym użytkownikom, ani pozostawiać hasła zapisanego w pobliżu systemu lub innych osób. 4.4 Użytkownik zobligowany jest do skutecznego wylogowania się z systemu za każdym razem, gdy zamierza przerwać pracę, niezależnie od tego na jak długo zamierza odejść od komputera. 4.5 Wylogowanie następuje poprzez wybranie opcji wyloguj w systemie. 4.6 W przypadku stwierdzenia fizycznej ingerencji w systemie lub innych podejrzeń dotyczących możliwości naruszenia bezpieczeństwa systemu użytkownik niezwłocznie zawiadamia o rzeczonym fakcie Administratora bezpieczeństwa Rozdział 5 Procedury tworzenia kopii zapasowych 5.1 Kopie zapasowe danych tworzone są przez system automatycznie co 24 godziny. 5.2 Administrator bezpieczeństwa danych dokonuje zapisu kopii zapasowych na dyskach CD według potrzeb, nie rzadziej jednak niż co 30 dni. 5.3 Kopie przechowywane są zgodnie z zasadami Polityki bezpieczeństwa IFMSA-Poland oraz odpowiednimi aktami prawnymi. Rozdział 6 Sposoby zabezpieczenia systemu przed działalnością oprogramowania wskazanego w punkcie III podpunkt 1 załącznika do rozporządzenia przedmiotowego oraz przed dostępem nieuprawnionym 6.1 System chroniony jest na bieżąco przed działaniem wirusów i innego oprogramowania komputerowego przez całodobowe oprogramowanie antywirusowowe dostarczane i aktualizowane przez dostawcę usług serwerowych, wymienionego w Polityce bezpieczeństwa IFMSA-Poland. 6.2 W celu przeciwdziałania atakom system jest skanowany w poszukiwaniu wirusów nie rzadziej niż co 24 godziny. 6.3 W przypadku wykrycia jakiegokolwiek zagrożenia dostawca usług serwerowych niezwłocznie powiadamia Administratora bezpieczeństwa 6.4 Dostawca usług serwerowych zapewnia monitoring działań inicjowanych z sieci publicznej. 6.5 Do ochrony danych osobowych oraz haseł i nazw użytkowników stosowane są zabezpieczenia kryptograficzne zgodne z protokołem SSL. Rozdział 7 Sposoby realizacji wymogów 7 ust. 1 pkt 4 rozporządzenia przedmiotowego 7.1 System informatyczny zapewnia odnotowywanie informacji o dostępie użytkowników do danych osobowych, dacie i zakresie tego dostępu. 7.2 Odnotowanie następuje automatycznie przez system. 5
Rozdział 8 Przeglądy i konserwacja systemu 8.1 Przeglądu i konserwacji systemu dokonuje Administrator bezpieczeństwa 8.2 Jeśli wystąpi konieczność przekazania całości lub części systemu do naprawy podmiotowi zewnętrznemu, dane osobowe z systemu zostaną usunięte przed przekazaniem systemu do naprawy. Rozdział 9 Lista Administratorów bezpieczeństwa danych 9.1 Niniejsza lista prowadzona jest w zgodnie z bieżącymi składem osobowym Zarządu Głównego IFMSA-Poland oraz uchwałami podejmowanymi przez Zarząd Główny IFMSA-Poland. 9.2 Lista uaktualniania jest przez Sekretarza Generalnego IFMSA-Poland na drodze uchwały Zarządu Głównego. 9.3 Lista Administratorów bezpieczeństwa danych stanowi załącznik do niniejszego dokumentu. Rozdział 10 Postanowienia końcowe 10.1 Wszelkie zmiany w niniejszym dokumencie są dokonywane zgodnie z zapisami Polityki bezpieczeństwa IFMSA-Poland, a w szczególności poprzez uchwałę Zarządu Głównego. 10.2 Instrukcja udostępniana jest użytkownikom w sposób umożliwiający zapoznanie się z nią i wdrożenie jej zapisów w życie. 6