WYMAGANIA i ZALECENIA BEZPIECZEŃSTWA



Podobne dokumenty
WYMAGANIA I ZALECENIA BEZPIECZEŃSTWA

Systemu Rejestrów Państwowych POPRZEZ APLIKACJĘ ŹRÓDŁO Z WYKORZYSTANIEM SIECI DEDYKOWANEJ PESEL-NET MPLS

Zalecenia i wytyczne dla Uz ytkowniko w systemu CEPiK 2.0 w zakresie bezpieczen stwa i ochrony danych osobowych

Polityka Bezpieczeństwa Systemu Informatycznego Centralnej Ewidencji Pojazdów i Kierowców 2.0

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

I Postanowienia ogólne. II Rejestrowanie w systemie informatycznym

1. Polityka Bezpieczeństwa

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Instrukcja Zarządzania Systemem Informatycznym

- zawierających ogólnie dostępne informacje, takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka prywatności wraz z instrukcją

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Zadanie 1 Treść zadania:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA. zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA E-BEZPIECZEŃSTWA

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

REGULAMIN OCHRONY DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. w Lublinie

POLITYKA BEZPIECZEŃSTWA DANYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

Diagnostyka komputera

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

ZARZĄDZENIE NR 5/2016 WÓJTA GMINY MAŁKINIA GÓRNA. z dnia 2 lutego 2016 r.

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Instrukcja Zarządzania Systemem Informatycznym

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w III Liceum Ogólnokształcącym

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Transkrypt:

WYMAGANIA i ZALECENIA BEZPIECZEŃSTWA DLA PODMIOTÓW WNIOSKUJĄCYCH O DOSTĘP LUB ZMIANĘ WARUNKÓW DOSTĘPU DO CENTRALNEJ EWIDENCJI POJAZDÓW i KIEROWCÓW Z WYKORZYSTANIEM SIECI PUBLICZNEJ INTERNET obowiązują od dnia: 1 lutego 2012r. Niniejsze wymagania obowiązują dla Podmiotów składających wnioski od dnia 1 lutego 2012r. Podmioty, które złożyły wnioski przed dniem 1 lutego 2012r., podlegają audytowi i wymaganiom według dotychczasowych zasad o ile nie wyrażą gotowości do audytu zgodnie z nowymi wymaganiami (wymagane jest wcześniejsze zgłoszenie i uzgodnienie zmiany z Audytorem). Podmioty, które uzyskały dostęp do CEPiK a chcą rozpocząć korzystanie ze sprzętu komputerowego przenośnego proszone są o zgłoszenie takiej potrzeby do jednostki wykonującej Audyt w celu uzyskania dopuszczenia stacji do pracy. Ministerstwo Spraw Wewnętrznych/Departament Ewidencji Państwowych i Teleinformatyki/Wydział Standardów i Polityk Bezpieczeństwa wer 2.01 z dnia 8 lutego 2012r.

Kontrola wersji Wersj Opis Uwagi a v2.00 Wersja uzgodniona bazowa (niepublikowana) v2.01 Wersja finalna opublikowana na portalu www.cepik.gov.pl Wymagania obowiązujące od dnia 01.02.2012r v2.10 Wersja uzgodniona - bazowa (niepublikowana) v2.10 uzupełniona o aspekty wirtualizacji, poprawiono błędy stylistyczne wprowadzono informacje o podmiocie realizującym zadania audytowe. v2.11 Wersja finalna opublikowana na portalu www.cepik.gov.pl Opublikowana: 08.02.2012r Strona 2 z 14

Spis treści Spis treści... 3 I. WYMAGANIA OCHRONY FIZYCZNEJ POMIESZCZEŃ... 4 II. WYMAGANIA ZABEZPIECZEŃ DLA SPRZĘTU ORAZ NOŚNIKÓW DANYCH...5 III. Incydenty bezpieczeństwa...12 IV. Postanowienia końcowe... 14 Strona 3 z 14

I. WYMAGANIA OCHRONY FIZYCZNEJ POMIESZCZEŃ Użytkownicy systemu SI CEPiK (Podmiot który uzyskał dostęp do SI CEPiK) zgodnie z ustawą o ochronie danych osobowych oraz zawartym z MSW porozumieniem obowiązani są zapewnić odpowiedni poziom ochrony fizycznej pomieszczeń (zwane dalej Pomieszczeniami), w których są stacje robocze przeznaczone do współpracy z SI CEPiK, wyposażone m.in. w czytniki mikroprocesorowych kart kryptograficznych i drukarki oraz gdzie przetwarzane i przechowywane są dane i informacje (zwane dalej Danymi) pobrane z bazy danych CEPiK. W celu zapewnienia odpowiedniego poziomu zabezpieczeń Pomieszczeń w szczególności wymagane jest: 1. Pomieszczenia i ich lokalizacja Wymaganie minimalne Pomieszczenia powinny zapewniać takie rozmieszczenie sprzętu oraz dokumentów aby uniemożliwić dostęp do informacji osobom nie upoważnionym do dostępu do tej informacji (np. wygrodzenia, żaluzje) Pomieszczenia powinny być zlokalizowane w miejscach gdzie ryzyko ich zatopienia lub zalania jest zminimalizowane; Zalecane Pomieszczenia, powinny zapewniać takie rozmieszczenie sprzętu oraz dokumentów aby uniemożliwić dostęp do informacji osobom nie upoważnionym do dostępu do tej informacji i nie powinny być pomieszczeniami przechodnimi; Pomieszczenia powinny być wyposażone w system alarmowy, czujki wilgoci oraz dymu funkcją powiadomienia do służby ochrony lub jednostek straży pożarnej, policji; 2. Kontrola dostępu do Pomieszczeń Wymaganie minimalne Manualna kontrola dostępu do Pomieszczeń realizowana jest metodami organizacyjno-proceduralnymi (np. książka pobrań kluczy) Dostęp do Pomieszczeń mogą mieć tylko osoby upoważnione do przetwarzania danych. Inne osoby mogą przebywać w Pomieszczeniach jedynie w obecności osób upoważnionych, za ich wiedzą i zgodą. Zalecane Zastosowanie systemu elektronicznej kontroli dostępu. Urządzenia automatycznej kontroli dostępu winny być nadzorowane całodobowo przez służbę ochrony i okresowo powinna być wykonywana kontrola logów urządzenia. Dostęp do Pomieszczeń mogą mieć tylko osoby upoważnione do przetwarzania danych. Inne osoby mogą przebywać w Pomieszczeniach jedynie w obecności osób upoważnionych, za ich wiedzą i zgodą po odnotowaniu danych osób nieupoważnionych w książce osób nieuprawnionych. 3. Zabezpieczenie Drzwi i Okien Wymaganie minimalne Drzwi znajdujące się wewnątrz budynku w strefie ograniczonego dostępu (bądź dozorowanej), powinny być zabezpieczone przed wyważeniem(podważeniem) oraz wyposażone w co najmniej 1 zamek atestowany (klasa C); Drzwi znajdujące się wewnątrz budynku w strefie ogólnodostępnej niedozorowanej powinny spełniać wymagania klasy 2 zgodnie z normą PN- EN14351-1+A1:2010; Strona 4 z 14

Drzwi do których dostęp jest z zewnątrz budynku, powinny spełniać wymagania co najmniej klasy 2 zgodnie z normą PN-EN14351-1+A1:2010, oraz posiadać co najmniej jeden zamek atestowany (klasa C) lub w pomieszczeniach powinien być zainstalowany system alarmowy z funkcją powiadamiania. Otwory okienne Pomieszczeń zlokalizowanych na parterze lub ostatniej kondygnacji (o ile jest swobodny dostęp do dachu) powinny być okratowane lub zabezpieczone w inny równoważny sposób (np. folią antywłamaniową). Zalecane Drzwi znajdujące się wewnątrz budynku w strefie ograniczonego dostępu (bądź dozorowanej) powinny być zabezpieczone przed wyważeniem i wyposażone w co najmniej 1 zamek atestowany (klasa C); Drzwi znajdujące się wewnątrz budynku w strefie ogólnodostępnej niedozorowanej powinny spełniać wymagania co najmniej klasy 2 zgodnie z normą PN-EN14351-1+A1:2010 oraz być wyposażone w co najmniej jeden zamek atestowany (klasa C); Drzwi do których dostęp jest z zewnątrz budynku powinny spełniać wymagania co najmniej klasy 3 zgodnie z normą PN-EN14351-1+A1:2010. Otwory okienne Pomieszczeń zlokalizowanych na parterze lub ostatniej kondygnacji (o ile jest swobodny dostęp do dachu) powinny być okratowane lub posiadać okna spełniające wymagania co najmniej klasy 2 zgodnie z normą PN- EN14351-1+A1:2010 z szybą klasy P4. II. WYMAGANIA ZABEZPIECZEŃ DLA SPRZĘTU ORAZ NOŚNIKÓW DANYCH W celu zapewnienia odpowiedniego poziomu zabezpieczeń sprzętu oraz nośników danych w szczególności wymagane jest: 1. Nośniki danych i informacji Wymaganie minimalne dokumenty i nośniki informacji zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym dostęp do nich osobom nieupoważnionym (np. w zamykanych na klucz szafkach); karty kryptograficzne służące do nawiązywania szyfrowanego połączenia TLS, należy składować w szafach wyposażonych w co najmniej 1 zamek. Zakazane jest przechowywanie wraz z kartą kodu PIN do karty oraz kodu PUK; do likwidacji wydruków dokumentów i nośników informacji powinno się stosować niszczarki DIN 2 zgodnie z normą DIN32757; Zalecane Dane przechowywane na elektronicznych oraz papierowych nośnikach danych powinny być składowane w szafach wyposażonych w co najmniej 1 zamek atestowany (klasa A) karty kryptograficzne służące do nawiązywania szyfrowanego połączenia TLS, powinny być składowane w metalowych szafach wyposażonych w co najmniej 1 zamek atestowany (klasa A) lub sejfach. Zakazane jest przechowywanie wraz z kartą kodu PIN do karty oraz kodu PUK; do likwidacji wydruków dokumentów i nośników informacji powinno się stosować niszczarki klasy DIN 3 zgodnie z normą DIN32757; 2. Sprzęt komputerowy stacjonarny Wymaganie minimalne Wprowadzenie w BIOS następujących ustawień: o wejście i zmiana ustawień BIOS wymaga podania hasła Strona 5 z 14

o wyłączona jest możliwość uruchamiania systemu z sieci lub innych nośników niż dysk twardy komputera; o długość hasła BIOS nie mniej niż 6 znaków (co najmniej 1 duża litera i 1 cyfra). Konta użytkowników i hasła logowanie hasłami: o wbudowane konto administratora należy używać tylko w przypadku wykonywania czynności administratora; o każdemu użytkownikowi komputera należy założyć oddzielne konto, konta te nie mogą mieć uprawnień administratora o ile nie jest to wymagane przy bieżącej pracy; o o o o długość nazwy użytkownika nie mniej niż 3 znaki długość hasła konta administratora lub użytkownika z uprawnieniami administratora nie mniej niż 8 (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. długość hasła konta użytkownika nie mniej niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. należy wprowadzić stosowne regulacje sankcjonujące sposoby przechowywania nazw użytkowników i haseł oraz zabraniające udostępnia ich innym osobom Ochrona przed atakami zewnętrznymi (Firewall): o wymagane jest zastosowanie firewall a (sprzętowy lub programowy) o wymagana jest wdrożenie regulacji zapewniających jego bieżącą aktualizację; Ochrona antywirusowa: o wymagane jest oprogramowanie antywirusowe o wymagane jest wdrożenie regulacji zapewniających aktualizację sygnatur antywirusowych nie rzadziej niż raz w tygodniu. o wymagane jest wdrożenie regulacji zapewniających pełne skanowanie antywirusowe stacji zapewniające co najmniej 1 raz w tygodniu w przypadku braku ochrony w czasie rzeczywistym i nie mniej niż 1 raz w miesiącu w przypadku stosowania ochrony w czasie rzeczywistym. Aktualizacja systemu i oprogramowania: o wymagane jest wdrożenie regulacji związanych z aktualizowaniem systemu oraz oprogramowania zgodnie z zaleceniami producentów. Usuwanie danych: o Po skasowaniu danych należy opróżnić kosz systemowy. Dyski i urządzenia przenośne: o w przypadku stosowania dysków twardych umieszczonych w wyjmowanych kieszeniach muszą być one wyposażone w zamknięcie na kluczyk i zamknięte gdy znajduje się w nich dysk. Po zakończonej pracy zalecane jest usunięcie dysku i jego dalsze przechowywanie w zabezpieczonej szafie; o o należy wdrożyć regulacje zapewniającą obsługę pamięci flash, oraz dysków przenośnych, podłączanych okresowo do stacji, zawierających dane, tak aby po zakończeniu pracy były one usuwane ze stacji i przechowywać w bezpieczny sposób; Przenośne pamięci flash oraz dyski przenośne które będą służyły do wynoszenia informacji po za obręb pomieszczenia muszą być wyposażone w oprogramowanie lub rozwiązanie sprzętowe umożliwiające szyfrowanie danych z użyciem hasła dostępowego nie krótszego niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny). Strona 6 z 14

Rozmieszczenie sprzętu: o stacja robocza powinna być ustawiona w miejscu uniemożliwiającym do niej dostęp osobom nieupoważnionym; o wymagane jest takie ustawienie monitora aby nie było możliwości podejrzenia danych przetwarzanych na ekranie przez osoby nieuprawnione oraz ustawienie czasu automatycznego uruchamiania wygaszacza ekranu na max 10 minut. wznowienie pracy wymaga podania hasła, zalecane jest także blokowanie stacji przy każdorazowym opuszczeniu stanowiska; o wymagane jest takie ustawienie drukarki aby nie było możliwości podejrzenia bądź pobrania wydruków przez osoby nieuprawnione Kopie bezpieczeństwa: o wymagane jest wdrożenie procedury tworzenia kopii zapasowych zapewniające wykonywanie kopii nie rzadziej niż raz na 30 dni Zasilanie awaryjne: o Nie wymagane Zalecane Wprowadzenie w BIOS następujących ustawień: o wejście i zmiana ustawień BIOS wymaga podania hasła o uruchomienie komputera wymaga podania hasła o wyłączona jest możliwość uruchamiania systemu z sieci lub innych nośników niż dysk twardy komputera; o długość hasła BIOS nie mniej niż 6 znaków (co najmniej 1 duża litera i 1 cyfra). Konta użytkowników i hasła logowanie hasłami: o wbudowane konto administratora należy używać tylko w przypadku wykonywania czynności administratora; o każdemu użytkownikowi komputera należy założyć oddzielne konto, konta te nie mogą mieć uprawnień administratora; o długość nazwy użytkownika nie mniej niż 6 znaków o długość hasła konta administratora lub użytkownika z uprawnieniami administratora nie mniej niż 12 (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. o długość hasła konta użytkownika nie mniej niż 8 (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. o Zastąpienie logowania tradycyjnego (login i hasło) logowaniem z użyciem kart mikroprocesorowych, czytników cech biometrycznych, kluczy bezprzewodowych. o należy wprowadzić stosowne regulacje sankcjonujące sposoby przechowywania nazw użytkowników i haseł oraz zabraniające udostępnia ich innym osobom. Ochrona przed atakami zewnętrznymi (Firewall): o Zalecane jest zastosowanie 2 firewall i sprzętowego na styku z siecią Internet oraz programowego na stacji roboczej o wymagana jest wdrożenie regulacji zapewniających bieżącą aktualizację firewall i; Ochrona antywirusowa: o oprogramowanie antywirusowe instalowane na stacjach przetwarzających dane działające w czasie rzeczywistym o ustawienie oprogramowania zapewniające bieżącą aktualizację sygnatur antywirusowych. o ustawienie oprogramowania zapewniające pełne skanowanie antywirusowe stacji zapewniające co najmniej 1 raz w tygodniu. Strona 7 z 14

Aktualizacja Systemu i oprogramowania: o włączenie automatycznych aktualizacji systemu oraz oprogramowania zgodnie z zaleceniami producentów (Opcja pobierz aktualizacji i zdecyduj kiedy/które zainstalować). Usuwanie danych: o do usuwania danych należy używać wyspecjalizowanego oprogramowania o ustawić opcję automatycznego czyszczenia kosza systemowego. Dyski i urządzenia przenośne: o w przypadku stosowania dysków twardych umieszczonych w wyjmowanych kieszeniach muszą być one wyposażone w zamknięcie na kluczyk i zamknięte gdy znajduje się w nich dysk. Po zakończonej pracy należy usunąć dysk i przechowywać w zabezpieczonej szafie; o należy wdrożyć regulacje (w tym ewidencje nośników) zapewniającą obsługę pamięci flash, oraz dysków przenośnych, podłączanych okresowo do stacji, zawierających dane, tak aby po zakończeniu pracy były one usuwane ze stacji i przechowywać w bezpieczny sposób; o Przenośne pamięci flash oraz dyski przenośne które będą służyły do wynoszenia informacji po za obręb pomieszczenia powinny być wyposażone w rozwiązanie sprzętowe umożliwiające szyfrowanie danych z użyciem hasła dostępowego nie krótszego niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny) lub w czytnik identyfikacji biometrycznej. Rozmieszczenie sprzętu: o stacja robocza wyposażona jest w monitor lub nakładane filtry prywatyzujące uniemożliwiające podejrzenie wyświetlanych danych; o wymagane jest takie ustawienie monitora aby nie było możliwości podejrzenia danych przetwarzanych na ekranie przez osoby nieuprawnione oraz ustawienie czasu automatycznego uruchamiania wygaszacza ekranu na max 5 minut, wznowienie pracy wymaga podania hasła, zalecane jest także blokowanie stacji przy każdorazowym opuszczeniu stanowiska; o wymagane jest takie ustawienie drukarki aby nie było możliwości podejrzenia bądź pobrania wydruków przez osoby nieuprawnione. Kopie bezpieczeństwa: o wymagane jest wdrożenie procedury tworzenia kopii zapasowych zapewniające wykonywanie kopii nie rzadziej niż raz na 7 dni o składowanie kopi bezpieczeństwa powinno odbywać się w innym budynku bądź pomieszczeniach w odpowiednio zabezpieczonej szafie. Zasilanie awaryjne: o stacje powinny być wyposażone w urządzenia podtrzymujące zasilanie (UPS) umożliwiające automatyczne bezpieczne zamknięcie stacji w przypadku wyczerpania się akumulatora. 3. Środowiska Wirtualne (maszyny wirtualne) Obowiązek zgłoszenia Maszyny wirtualne mogą być używane do pracy z SI CEPiK tylko w przypadku zgłoszenia chęci ich używania oraz po uzyskaniu pozytywnej weryfikacji przez jednostkę wykonującą audyt. Ze względu na zwiększone ryzyko związane z utratą danych podczas przenoszenia sprzętu, stosowanie tego rozwiązania jest NIE ZALECANE i powinno ograniczone tylko do uzasadnionych przypadków. Strona 8 z 14

Wymaganie minimalne Zabezpieczenia serwerów/stacji udostępniających maszyny wirtualne oraz zabezpieczenia systemu udostępnianego z wykorzystaniem maszyny wirtualnej muszą być co najmniej na poziomie minimalnym opisanym w sekcji: Sprzęt komputerowy stacjonarny. Uprawnienia do katalogu oraz dostęp do folderu udostępnianego musi zostać ograniczony tylko do użytkowników maszyny wirtualnej. Uprawnienia do katalogu oraz dostęp do folderu udostępnianego powinien uniemożliwiać skopiowanie pliku maszyny innej osobie niż Administrator. Stosowanie maszyn wirtualnych na dyskach przenośnych bądź pamięciach typu flash nie jest zalecane. W przypadku konieczności stosowania rozwiązania zalecane jest: o nośnik plików maszyny wirtualnej jest w całości zaszyfrowany. o należy wdrożyć regulacje zapewniającą prawidłowe posługiwanie się oraz prowadzić ewidencję obsługę dysków przenośnych bądź pamięci flash. o Nośniki nie są wynoszone po za obręb Pomieszczenia lub muszą być wyposażone w rozwiązanie sprzętowe umożliwiające szyfrowanie danych z użyciem hasła dostępowego nie krótszego niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny) uniemożliwiające skorzystanie z danych po max 5 próbach nieudanego podania hasła do odblokowania nośnika. Zalecane Zabezpieczenia serwerów udostępniających maszyny wirtualne oraz zabezpieczenia systemu udostępnianego z wykorzystaniem maszyny wirtualnej są na poziomie nie mniejszym niż Zalecane opisanym w sekcji: Sprzęt komputerowy stacjonarny. Uprawnienia do katalogu oraz dostęp do folderu udostępnianego musi zostać ograniczony tylko do użytkowników maszyny wirtualnej. Uprawnienia do katalogu oraz dostęp do folderu udostępnianego powinien uniemożliwiać skopiowanie pliku maszyny innej osobie niż Administrator. Stosowanie maszyn wirtualnych na dyskach przenośnych bądź pamięciach typu flash nie jest zalecane. W przypadku konieczności stosowania rozwiązania zalecane jest: o nośnik plików maszyny wirtualnej jest w całości zaszyfrowany. o należy wdrożyć regulacje zapewniającą prawidłowe posługiwanie się oraz prowadzić ewidencję obsługę dysków przenośnych bądź pamięci flash. o Nośniki nie są wynoszone po za obręb Pomieszczenia lub muszą być wyposażone w rozwiązanie sprzętowe umożliwiające szyfrowanie danych z użyciem hasła dostępowego nie krótszego niż 10 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny) uniemożliwiające skorzystanie z danych po max 3 próbach nieudanego podania hasła do odblokowania nośnika. 4. Sprzęt komputerowy przenośny (laptop, tablet, itp.) Obowiązek zgłoszenia Sprzęt komputerowy przenośny może być używany do pracy z SI CEPiK tylko w przypadku jego zgłoszenia i pozytywnej weryfikacji przez jednostkę wykonującą audyt. Ze względu na zwiększone ryzyko związane z utratą danych podczas przenoszenia sprzętu, stosowanie tego rozwiązania jest NIE ZALECANE i powinno ograniczone tylko do uzasadnionych przypadków. Strona 9 z 14

Wymaganie minimalne Wprowadzenie w BIOS następujących ustawień: o wejście i zmiana ustawień BIOS wymaga podania hasła o wyłączona jest możliwość uruchamiania systemu z sieci lub innych nośników niż dysk twardy komputera; o długość hasła BIOS nie mniej niż 8 znaków (co najmniej 1 duża litera i 1 cyfra). Konta użytkowników i hasła logowanie hasłami: o wbudowane konto administratora należy używać tylko w przypadku wykonywania czynności administratora; o każdemu użytkownikowi komputera należy założyć oddzielne konto, konta te nie mogą mieć uprawnień administratora o ile nie jest to wymagane przy bieżącej pracy; o długość nazwy użytkownika nie mniej niż 6 znaków o długość hasła konta administratora lub użytkownika z uprawnieniami administratora nie mniej niż 15 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. o długość hasła konta użytkownika nie mniej niż 10 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. o należy wprowadzić stosowne regulacje sankcjonujące sposoby przechowywania nazw użytkowników i haseł oraz zabraniające udostępnia ich innym osobom. Ochrona przed atakami zewnętrznymi (Firewall): o wymagane jest zastosowanie firewall a (sprzętowy lub programowy) o wymagana jest wdrożenie regulacji zapewniających jego bieżącą aktualizację; o do połączenia z sieciami Wi-Fi należy używać co najmniej standardu WPA Ochrona antywirusowa: o oprogramowanie antywirusowe instalowane na stacjach przetwarzających dane działające w czasie rzeczywistym o ustawienie oprogramowania zapewniające bieżącą aktualizację sygnatur antywirusowych. o ustawienie oprogramowania zapewniające pełne skanowanie antywirusowe stacji zapewniające co najmniej 1 raz w tygodniu. Aktualizacja Systemu i oprogramowania: o wymagane jest wdrożenie regulacji związanych z aktualizowaniem systemu oraz oprogramowania zgodnie z zaleceniami producentów. Usuwanie danych: a. do usuwania danych należy używać wyspecjalizowanego oprogramowania o ustawić opcję automatycznego czyszczenia kosza systemowego. Dyski i urządzenia przenośne: o dane składowane na dysku stacji przenośnej muszą być umieszczone w obszarze podlegającym szyfrowaniu lub być szyfrowane. o należy wdrożyć regulacje zapewniającą prawidłowe posługiwanie się oraz prowadzić ewidencję obsługę pamięci flash, oraz dysków przenośnych, podłączanych okresowo do stacji, zawierających dane, tak aby po zakończeniu pracy były one usuwane ze stacji i przechowywać w bezpieczny sposób; o Dyski stacji przenośnych, dyski przenośne, pamięci flash będą służyły do wynoszenia informacji po za obręb Pomieszczenia muszą być wyposażone w oprogramowanie lub rozwiązanie sprzętowe umożliwiające szyfrowanie Strona 10 z 14

danych z użyciem hasła dostępowego nie krótszego niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny). Rozmieszczenie sprzętu: o stacja przenośna powinna być użytkowana w miejscach uniemożliwiającym do niej dostęp osobom nieupoważnionym; o stacje przenośną w miejscach korzystania, należy zabezpieczyć linką antykradzieżową przymocowaną do stałego elementu wyposażenia (o ile jest to możliwe), o wymagane jest stosowanie nakładek w filtrów prywatyzacyjnych zabezpieczających przed możliwością podejrzenia danych przetwarzanych na ekranie przez osoby nieuprawnione. o ustawienie czasu automatycznego uruchamiania wygaszacza ekranu na max 5 minut, wznowienie pracy wymaga podania hasła, zalecane jest także blokowanie stacji przy każdorazowym opuszczeniu stanowiska; o w przypadku stosowania drukarki przenośnej wymagane jest takie ustawienie drukarki aby nie było możliwości podejrzenia bądź pobrania wydruków przez osoby nieuprawnione. Kopie bezpieczeństwa: o wymagane jest wdrożenie procedury tworzenia kopii zapasowych zapewniające wykonywanie kopii nie rzadziej niż raz na 7 dni Zasilanie awaryjne: o Stan baterii stacji przenośnej musi umożliwiać bezpieczne zamknięcie systemu po zaniku zasilania sieciowego. Zalecane 5. Wprowadzenie w BIOS następujących ustawień: a. wejście i zmiana ustawień BIOS wymaga podania hasła b. uruchomienie komputera wymaga podania hasła c. wyłączona jest możliwość uruchamiania systemu z sieci lub innych nośników niż dysk twardy komputera; d. długość hasła BIOS nie mniej niż 8 znaków (co najmniej 1 duża litera i 1 cyfra); e. używanie do logowania kart mikroprocesorowych bądź czytników biometrycznych. 6. Konta użytkowników i hasła logowanie hasłami: a. wbudowane konto administratora należy używać tylko w przypadku wykonywania czynności administratora; b. każdemu użytkownikowi komputera należy założyć oddzielne konto, konta te nie mogą mieć uprawnień administratora; c. długość nazwy użytkownika nie mniej niż 8 znaków d. długość hasła konta administratora lub użytkownika z uprawnieniami administratora nie mniej niż 15 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. e. długość hasła konta użytkownika nie mniej niż 10znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny), okres ważności hasła nie dłuższy niż 30 dni. f. Zastąpienie logowania tradycyjnego (login i hasło) logowaniem z użyciem kart mikroprocesorowych, czytników cech biometrycznych, kluczy bezprzewodowych. g. należy wprowadzić stosowne regulacje sankcjonujące sposoby przechowywania nazw użytkowników i haseł oraz zabraniające udostępnia ich innym osobom. 7. Ochrona przed atakami zewnętrznymi (Firewall): a. wymagane jest zastosowanie firewalla zainstalowanego na stacji przenośnej; b. wymagana jest bieżąca aktualizacja firewall a; c. do połączenia z sieciami Wi-Fi należy używać co najmniej standardu WPA Strona 11 z 14

8. Ochrona antywirusowa: a. oprogramowanie antywirusowe instalowane na stacjach przetwarzających dane działające w czasie rzeczywistym b. ustawienie oprogramowania zapewniające bieżącą aktualizację sygnatur antywirusowych. c. ustawienie oprogramowania zapewniające pełne skanowanie antywirusowe stacji zapewniające co najmniej 1 raz w tygodniu. 9. Aktualizacja Systemu i oprogramowania: a. włączenie automatycznych aktualizacji systemu oraz oprogramowania zgodnie z zaleceniami producentów (Opcja pobierz aktualizacji i zdecyduj kiedy/które zainstalować). 10. Usuwanie danych: a. do usuwania danych należy używać wyspecjalizowanego oprogramowania b. ustawić opcję automatycznego czyszczenia kosza systemowego. 11. Dyski i urządzenia przenośne: a. partycja lub dysk stacji przenośnej na której są składowane dane jest w całości zaszyfrowany. b. należy wdrożyć regulacje zapewniającą prawidłowe posługiwanie się oraz prowadzić ewidencję obsługę pamięci typu flash, oraz dysków przenośnych, podłączanych okresowo do stacji, zawierających dane, tak aby po zakończeniu pracy były one usuwane ze stacji i przechowywać w bezpieczny sposób; c. Przenośne pamięci typu flash oraz dyski przenośne które będą służyły do wynoszenia informacji po za obręb Pomieszczenia, muszą być wyposażone w oprogramowanie lub rozwiązanie sprzętowe umożliwiające szyfrowanie danych z użyciem hasła dostępowego nie krótszego niż 8 znaków (hasło złożone co najmniej 1 duża litera, 1 cyfra i znak specjalny). 12. Rozmieszczenie sprzętu: a. stacja przenośna wyposażona jest w wyświetlacz z filtrem prywatyzującym) uniemożliwiający podejrzenie wyświetlanych danych; b. wymagane jest takie ustawienie monitora aby nie było możliwości podejrzenia danych przetwarzanych na ekranie przez osoby nieuprawnione oraz ustawienie czasu automatycznego uruchamiania wygaszacza ekranu na max 5 minut. c. zalecane jest rozwiązań automatycznego blokowania stacji przy każdorazowym oddalenia się od stacji przenośnej; d. wymagane jest takie ustawienie drukarki aby nie było możliwości podejrzenia bądź pobrania wydruków przez osoby nieuprawnione. 13. Kopie bezpieczeństwa: a. wymagane jest wdrożenie procedury tworzenia kopii zapasowych zapewniające wykonywanie kopii nie rzadziej niż raz na 7 dni b. składowanie kopi bezpieczeństwa powinno odbywać się w innym budynku bądź pomieszczeniach w odpowiednio zabezpieczonej szafie. 14. Zasilanie awaryjne: a. Stan baterii stacji przenośnej ma umożliwiać pracę przez co najmniej 30 minut, oraz umożliwić bezpieczne zamknięcie systemu po zaniku zasilania sieciowego. III. Incydenty bezpieczeństwa Przypadki naruszenia bezpieczeństwa danych osobowych, które zostały pobrane z SI CEPiK należy niezwłocznie zgłaszać w formie zawiadomienia pisemnego (nie zależnie od własnych polityk i procedur) do Departamentu Ewidencji Państwowych i Teleinformatyki, Ministerstwa Spraw Wewnętrznych. (Załacznik 1. ZGŁOSZENIE INCYDENTU BEZPIECZEŃSTWA) do DEPiT MSW: Strona 12 z 14

fax: 226028008 adres email: incydent@msw.gov.pl Wszelkie pytania w kwestiach związanych z bezpieczeństwem teleinformatycznym prosimy kierować na adres: adm.cepik@msw.gov.pl lub telefonicznie: 22 60-28579 (ABI) lub 22 60-28499 / 491 (AS) Strona 13 z 14

IV. Postanowienia końcowe Powyższe regulacje nie zwalniają użytkownika systemu z posiadania dokumentacji określonej w art. 39a Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (t.j. Dz. U. z 2002 r. Nr 101, poz. 926) istnienie dokumentacji podlega sprawdzeniu podczas audytu. W przypadku naruszenia bezpieczeństwa danych osobowych odpowiedzialność za te dane, ponosi użytkownik systemu, który był zalogowany do systemu w czasie, gdy dane te zostały pobrane z SI CEPiK. Za dalsze przetwarzanie danych uzyskanych na drodze teletransmisji odpowiedzialność ponosi użytkownik systemu. ZABRONIONE jest udostępnianie kart kryptograficznych służących do zestawienie szyfrowanego połączenia TLS SI CEPiK innym osobom niż upoważnione a także innym użytkownikom systemu. Podmiot realizujący zadania Audytu podmiotów wnioskujących o dostęp do SI CEPiK: Centralny Ośrodek informatyki Centrala: Aleja Marszałka Józefa Piłsudskiego 76 90-330 Łódź email: coi@coi.gov.pl adres strony: www.coi.gov.pl Strona 14 z 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres