INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20 6. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I. CHARAKTERYSTYKA SYSTEMU 1. System ma charakter hybrydowy, złożony i rozległy. 2. System informatyczny bazuje na gwiaździstej strukturze sieci wykonanych w standardzie Ethernet o przepustowości 100Mbps lub 1Gbps, w technologii skrętki nieekranowanej UTP oraz radiowej (IEEE 802.11b/g/n). Poszczególne sieci lokalne połączone są za pośrednictwem technologii światłowodowych i DSL. 3. W szczególności system informatyczny stanowią stacje klienckie rozmieszczone w poszczególnych biurach, pracujące pod kontrolą licencjonowanych systemów operacyjnych Microsoft Windows, serwery (Linux, Windows Server), serwery NAS, serwery wydruku oraz urządzenia aktywne (routery, przełączniki, wzmacniaki, punkty dostępowe, etc.). 4. Użytkownicy systemu informatycznego mają możliwość dostępu do sieci wewnętrznych, umożliwiających pracę w systemie dziekanatowym oraz systemie finansowo-księgowym. Użytkownicy, znajdujący się poza sieciami lokalnymi, mają możliwość pracy w trybie terminalowym za pomocą usługi RDS. Użytkownicy mają dostęp do sieci Internet. 5. Użytkownicy otrzymują osobiste adresy poczty elektronicznej generowane według schematu: imię.nazwisko@upjp2.edu.pl z pominięciem polskich znaków diakrytycznych. Adres e-mail jest jednocześnie identyfikatorem do aplikacji web (wirtualny dziekanat, system zarządzania informacją, cms strony Uniwersytetu). 6. System informatyczny zabezpieczony jest oprogramowaniem antywirusowym zainstalowanym na stacjach klienckich oraz programowymi lub/i sprzętowymi zaporami sieciowymi. 7. Kluczowe serwery oraz urządzenia sieciowe zabezpieczone są zasilaczami awaryjnymi utrzymującymi właściwe parametry zasilania. II. OGÓLNE ZASADY PRACY W SYSTEMIE INFORMATYCZNYM 1. Użyte w dalszym ciągu Instrukcji określenia oznaczają, co następuje:

a) ABI- Administrator Bezpieczeństwa Informacji osoba wyznaczona przez Administratora, w rozumieniu art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.). b) ASI- Administratorzy Systemów Informatycznych pracownicy wyznaczeni przez ABI odpowiedzialni za wdrożenie i stosowanie zasad bezpieczeństwa systemów informatycznych, zobowiązani do stosowania technicznych i organizacyjnych środków ochrony przewidzianych w systemach informatycznych. c) Uczelniana Sieć Informatyczna - sieć lokalna/rozległa, umożliwiająca połączenie systemów informatycznych Uniwersytetu Papieskiego Jana Pawła II w Krakowie przy wykorzystaniu specjalistycznych dedykowanych urządzeń i sieci telekomunikacyjnych w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z późn. zm.). 2. ABI odpowiada za korygowanie niniejszej instrukcji w przypadku zmian w przepisach prawnych dotyczących przetwarzania danych osobowych w systemach informatycznych, jak również zmian organizacyjno-funkcjonalnych, o ile zmiany, o których mowa, mają wpływ na uregulowania opisane w niniejszej instrukcji. 3. Przetwarzanie danych w systemie informatycznym może być realizowane wyłącznie poprzez dopuszczone przez ASI do eksploatacji licencjonowane oprogramowanie. 4. ASI prowadzi ewidencję oprogramowania. 5. Do eksploatacji dopuszcza się systemy informatyczne wyposażone w: a) mechanizmy kontroli dostępu umożliwiające autoryzację użytkownika, z pominięciem narzędzi do edycji tekstu; b) mechanizmy ochrony poufności, dostępności i integralności informacji, z uwzględnieniem potrzeby ochrony kryptograficznej; c) mechanizmy umożliwiające wykonanie kopii bezpieczeństwa oraz archiwizację danych, niezbędne do przywrócenia prawidłowego działania systemu po awarii; d) urządzenia niwelujące zakłócenia i podtrzymujące zasilanie; e) mechanizmy monitorowania w celu identyfikacji i zapobiegania zagrożeniom, w szczególności pozwalające na wykrycie prób nieautoryzowanego dostępu do informacji lub przekroczenia przyznanych uprawnień w systemie; f) mechanizmy zarządzania zmianami. 6. Użytkownikom zabrania się: a) udostępniania stanowisk roboczych osobom nieuprawnionym;

b) wykorzystywania sprzętu oraz Uczelnianej Sieci Komputerowej w celach innych niż wyznaczone przez kierownika jednostki; c) korzystania z nielicencjonowanego oprogramowania oraz wykonywania jakichkolwiek działań niezgodnych z ustawą o ochronie praw autorskich; d) umożliwiania dostępu do zasobów wewnętrznej sieci informatycznej oraz sieci Internet osobom nieuprawnionym; e) używania komputera bez zainstalowanego aktualnego oprogramowania antywirusowego. III. ROZPOCZĘCIE, ZAWIESZENIE I ZAKOŃCZENIE PRACY PRZEZ UŻYTKOWNIKÓW SYSTEMÓW 1. Procedura rozpoczęcia pracy: a) uruchomić komputer wchodzący w skład systemu informatycznego, podłączony fizycznie do sieci lokalnej i zalogować się podając własny identyfikator i hasło dostępu; b) uruchomić wybrany system/aplikację (w szczególności aplikację bazodanową m.in. przetwarzającą dane); c) zalogować się do systemu/aplikacji w sposób analogiczny do przedstawionego powyżej. 2. Procedura zawieszenia pracy w systemie/aplikacji. Przy każdorazowym opuszczeniu stanowiska komputerowego, należy dopilnować, aby na ekranie nie były wyświetlane informacje lub dane, poprzez zablokowanie komputera. Każdy użytkownik ma obowiązek stosowania wygaszacza ekranu zabezpieczonego hasłem lub wylogowania się z systemu. 3. Procedura zakończenia pracy w systemie: a) zamknąć system/aplikację; b) zamknąć system operacyjny komputera i zaczekać na jego wyłączenie; c) wyłączyć monitor; d) sprawdzić, czy elektroniczne nośniki informacji zawierające dane osobowe nie zostały pozostawione bez nadzoru. 4. Użytkownik w pełnym zakresie odpowiada za powierzony mu sprzęt komputerowy i wykonywane czynności aż do momentu rozliczenia ze sprzętu komputerowego.

IV. PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI 1. Użytkowników systemu informatycznego tworzy oraz usuwa ASI na wniosek kierownika odpowiedniej jednostki. Do przetwarzania danych osobowych zgromadzonych w systemie informatycznym jak również w rejestrach tradycyjnych wymagane jest pisemne upoważnienie. 2. Wprowadza się rejestr osób upoważnionych do przetwarzania danych osobowych, który stanowi załącznik nr 1 do niniejszej dokumentacji. 3. Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez zablokowanie konta w przypadku zawieszenia w pełnieniu obowiązków służbowych. 4. Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania stosunku pracy. 5. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia nawet w przypadku ustania stosunku pracy. V. STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM 1. System informatyczny przetwarzający dane osobowe wykorzystuje mechanizm identyfikatora i hasła jako narzędzi umożliwiających bezpieczne uwierzytelnienie. 2. Każdy użytkownik systemu informatycznego powinien posiadać odrębny identyfikator. 3. Hasło składa się z co najmniej ośmiu znaków, zawiera co najmniej jedną wielką literę, jedną cyfrę i jeden znak specjalny. 4. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk bądź innych bezpośrednio kojarzących się z użytkownikiem. 5. Zmiany hasła należy dokonywać nie rzadziej niż co 30 dni. System wymusza zmianę hasła. 6. Hasła tymczasowe generuje ASI. Hasło i identyfikator użytkownika wraz z dodatkowymi informacjami są przekazywane w formie papierowej lub osobiście.

7. Hasło nie może być zapisywane i przechowywane. 8. Użytkownik nie może udostępniać identyfikatora oraz haseł osobom nieupoważnionym. VI. PROCEDURY TWORZENIA KOPII ZAPASOWYCH 1. W celu zapewnienia optymalnego poziomu ochrony danych gromadzonych w systemach informatycznych Uniwersytetu, przyjęto zasadę przetwarzania informacji zawartych w bazach danych w oparciu o architekturę klient serwer. Wynika stąd praktyka przetwarzania danych w bazach danych na dedykowanych dla systemu/aplikacji serwerach. 2. Kopie zapasowe baz danych na serwerach powinny być sporządzane na nośnikach znajdujących się fizycznie poza serwerownią, której dotyczy procedura. Optymalnie w innym budynku. Za sporządzanie kopii bezpieczeństwa danych na serwerach odpowiedzialny jest ASI. 3. Kopie zapasowe plików pozostających na stanowiskach komputerowych winne być sporządzane na wyznaczonych do tego celu dyskowych serwerach sieciowych (NAS) lub nośnikach przenośnych (dyski przenośne, nośniki flash, płyty CD\DVD). Za sporządzanie kopii bezpieczeństwa danych na stanowiskach komputerowych odpowiedzialni są ich użytkownicy. 4. Kopie baz danych serwerów wykonywane są w cyklu dobowym w godzinach nocnych. Kopie zapasowe pozostałych danych w cyklu tygodniowym. VII. POSTANOWIENIA KOŃCOWE W sprawach nieuregulowanych niniejszą Instrukcją zastosowanie znajdują: 1. Norma PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.). 3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024).