DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Podobne dokumenty
ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Krzysztof Świtała WPiA UKSW

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

Szkolenie otwarte 2016 r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Promotor: dr inż. Krzysztof Różanowski

POLITYKA ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Maciej Byczkowski ENSI 2017 ENSI 2017

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Bezpieczeństwo teleinformatyczne danych osobowych

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Kryteria oceny Systemu Kontroli Zarządczej

Regulamin zarządzania ryzykiem. Założenia ogólne

Amatorski Klub Sportowy Wybiegani Polkowice

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

PRELEGENT Przemek Frańczak Członek SIODO

POLITYKA ZARZĄDZANIA RYZYKIEM

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Imed El Fray Włodzimierz Chocianowicz

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH SYSTEMU INFORMATYCZNEGO STAROSTWA POWIATOWEGO W OSTROWCU ŚWIĘTOKRZYSKIM

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

PROCEDURY ZARZĄDZANIARYZYKIEM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Zarządzanie ryzykiem w bezpieczeństwie informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Marcin Soczko. Agenda

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

Normalizacja dla bezpieczeństwa informacyjnego

Ustawa o ochronie danych osobowych po zmianach

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Transkrypt:

Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Spis treści Deklaracja... 3 Definicje... 4 Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle... 6 Struktura dokumentów Polityki Bezpieczeństwa Informacji... 9 Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji regulują dokumenty:... 9 Odpowiedzialność za bezpieczeństwo informacji... 11 Główny Administrator Informacji (GAI)... 11 Główny Administrator Bezpieczeństwa Informacji (GABI)... 11 Administratorzy Bezpieczeństwa Informacji (ABI)... 12 Administratorzy Informacji (AI)... 12 Administratorzy Systemów (AS)... 13 Administratorzy Bezpieczeństwa Systemów (ABS)... 13 Informacje przetwarzane przez system informatyczny Urzędu... 14 Infrastruktura systemu informacyjnego urzędu... 14 Opis Infrastruktury systemu informacyjnego urzędu... 14 Zarządzanie ryzykiem... 14 Procedura zarządzania ryzykiem... 14 Analiza ryzyka... 17 Identyfikowanie ryzyka... 17 Macierz Prawdopodobieństwo/wpływ... 18 Rejestr ryzyk... 19 Podsumowanie...21

Deklaracja Miarą skuteczności działania każdej jednostki organizacyjnej jest stopień osiągania zamierzonego celu. Mając świadomość znaczenia technologii, narzędzi i systemów informatycznych w tym procesie oświadczam, że podejmowane przez Urząd Miasta Kędzierzyn-Koźle działania dążą do zapewnienia bezpieczeństwa zasobów informacyjnych i są zgodne z wymogami obowiązującego prawa. W celu udokumentowania realizacji Systemu Zarządzania Bezpieczeństwem Informacji przyjmuję Politykę Bezpieczeństwa Informacji. Zasady, działania, kompetencje i zakresy odpowiedzialności opisane w dokumentach Polityki Bezpieczeństwa Informacji obowiązują wszystkich pracowników Urzędu Miasta Kędzierzyn- Koźle. Zobowiązuję się do podejmowania wszelkich niezbędnych działań zmierzających do ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Prezydent Miasta Kędzierzyn-Koźle.

Definicje 1) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności informacji. 2) Poufność- właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. 3) Integralność danych- funkcja bezpieczeństwa zapewniająca, że dane nie zostały zmodyfikowane, dodane lub usunięte w nieautoryzowany sposób. 4) Dostępność- właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu. 5) Analiza ryzyka- systematycznie wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. 6) Szacowanie ryzyka- proces oceny i analizy ryzyk. 7) Ocena ryzyka- proces porównania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka. 8) Postępowanie z ryzykiem- wdrażanie środków modyfikujących ryzyko. 9) Zarządzanie ryzykiem- działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka. 10) Ryzyko szczątkowe- ryzyko pozostające po procesie postępowania z ryzykiem. 11) Akceptowanie ryzyka- decyzja aby zaakceptować ryzyko. 12) Bezpieczeństwo informacji- zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne właściwości, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 13) Zdarzenie związane z bezpieczeństwem informacji- zdarzenie związane z bezpieczeństwem informacji jako określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie Polityki Bezpieczeństwa Informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem. 14) Incydent związany z bezpieczeństwem informacji- jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne zakłócenia zadań biznesowych i zagrażają bezpieczeństwu informacji.

15) System Zarządzania Bezpieczeństwem Informacji (SZBI)- to część całościowego systemu zarządzania odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. 16) Aktywa- wszystko co ma wartość dla organizacji. 17) Dane osobowe- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 18) Urząd- rozumie się przez to jednostkę organizacyjną gminy tj. Urząd Miasta Kędzierzyn-Koźle. 19) PBI- Polityka Bezpieczeństwa Informacji

Cele i strategie bezpieczeństwa Urzędu Miasta Kędzierzyn-Koźle Władze miasta, stojąc na stanowisku, że informacja jest priorytetowym zasobem każdej organizacji, wdrożyło System Zarządzania Bezpieczeństwem Informacji. Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów Urzędu oraz warunkiem ciągłego jego rozwoju. Gwarancją sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz zastosowanie rozwiązań technicznych. Władze miasta wprowadzając Politykę Bezpieczeństwa Informacji, deklarują że wdrożony System Zarządzania Bezpieczeństwem Informacji będzie podlegał ciągłemu doskonaleniu zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007. Cele Urzędu Miasta w dziedzinie bezpieczeństwa informacji: 1) ochrona zasobów informacyjnych Urzędu i zapewnienie ciągłości działania procesów, 2) ochrona wizerunku Urzędu Miasta, 3) zapewnienie zgodności z prawem podejmowanych działań, 4) uzyskanie i utrzymanie odpowiednio wysokiego poziomu bezpieczeństwa zasobów Urzędu Miasta rozumiane jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienie rozliczalności podejmowanych działań, 5) wyznaczenie ogólnych kierunków rozwoju systemu informacyjnego, 6) podnoszenie kultury informatycznej i tworzenie bezpiecznego społeczeństwa informacyjnego. Cele osiągane są przez realizowane strategie: 1) zapewnienie wsparcia Zarządzających dla Systemu Zarządzania Bezpieczeństwa Informacji, 2) właściwa organizacja Systemu Zarządzania Bezpieczeństwem Informacji, 3) zarządzanie ryzykiem w celu ograniczania go do akceptowanego poziomu, 4) właściwa ochrona informacji, a w szczególności informacji prawnie chronionych,

5) zapewnienie odpowiedniego poziomu dostępności informacji i niezawodności systemów informatycznych, 6) właściwa ochrona informacji związanych z zawartymi umowami, 7) wdrażanie i rozwój systemów informacyjnych z zachowaniem zasad bezpieczeństwa, 8) eksploatowanie systemów informacyjnych zgodnie z zasadami bezpieczeństwa, 9) stała edukacja użytkowników systemu informacyjnego. Polityka bezpieczeństwa odnosi się do sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w: 1) ustawie z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101 poz. 926 z późniejszymi zmianami), 2) ustawie z dnia 18.09.2001r. o podpisie elektronicznym (Dz.U. nr 130 poz.1450 z późniejszymi zmianami), 3) ustawie o świadczeniu usług drogą elektroniczną z dnia 18.07.2002r. (Dz.U.nr 144 poz 1204 z późniejszymi zmianami), 4) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18.01.2007r. w sprawie Biuletynu Informacji Publicznej (Dz.U. Nr 10, poz.68), 5) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 roku, Nr 100, poz. 1024), 6) rozporządzeniu Ministra Kultury z dnia 16.09.2002r. (Dz.U. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz.U. nr 167, poz.1375),

7) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 11.10.2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. Nr 212, poz. 1766), 8) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w sprawie niezbędnych elementów struktury dokumentów elektronicznych (Dz.U. Nr 206 poz. 1517), 9) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz.U. Nr 206 poz. 1518), 10) rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 27.11.2006r. w sprawie sporządzenia i doręczania pism w formie dokumentów elektronicznych (Dz.U. nr 227 poz. 1664).

Struktura dokumentów Polityki Bezpieczeństwa Informacji Sposób funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji regulują dokumenty: 1. Polityka Bezpieczeństwa Danych Osobowych opisująca zasady przetwarzania danych osobowych w Urzędzie Miasta Kędzierzyn-Koźle. Polityka Bezpieczeństwa Danych Osobowych zawiera: - wykaz budynków, pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, - opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiazania miedzy nimi, - sposób przepływu danych pomiędzy poszczególnymi systemami, - określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. 2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz postępowania w przypadku naruszenia ochrony danych osobowych w Urzędzie Miasta Kędzierzyn-Koźle. Instrukcja reguluje: - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, - stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, - procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, - sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, - sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia, tj. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, - procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 3. Plan ochrony informacji niejawnych Urzędu Miasta oraz gminnych jednostek organizacyjnych wchodzących w skład pionu Ochrony, określający: - sposób postępowania z informacjami niejawnymi, - strukturę organizacyjną pionu ochrony, - zasady ewakuacji dokumentów niejawnych, - postępowanie w przypadku naruszenia ochrony informacji niejawnych.

Odpowiedzialność za bezpieczeństwo informacji Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Urzędu. W szczególności odpowiada on za przestrzeganie zasad wynikających z PBI. Za nadzór nad przestrzeganiem postanowień PBI odpowiada Sekretarz Miasta. Zarządzanie bezpieczeństwem składa się z dwóch pionów: 1) pionu administracyjnego- zarządzającego informacją, 2) pionu bezpieczeństwa- zarządzającego bezpieczeństwem informacji. W ramach obydwu pionów wyróżnione zostały role: na poziomie PBI: Głównego Administratora Informacji (GAI), Głównego Administratora Bezpieczeństwa Informacji (GABI), na poziomie Grupy Informacji: Administratora Grupy Informacji- właściciela informacji (AI), Administratora Bezpieczeństwa Grupy Informacji (ABI) na poziomie Systemu Przetwarzania: Administratora Systemu (AS) Administratora Bezpieczeństwa Systemu (ABS) Główny Administrator Informacji (GAI) Głównym Administratorem Informacji w Urzędzie jest Prezydent Miasta Kędzierzyn-Koźle. GAI odpowiedzialny jest za: 1) określanie jakiego rodzaju informacje mogą być przetwarzane w Urzędzie, 2) określenie grup informacji przetwarzanych w Urzędzie, 3) określenie czy Urząd jest właścicielem danej grupy informacji, czy też należy ona do innego podmiotu, 4) ustalenie poprzez pełnomocnika ds. ochrony informacji niejawnych wykazu informacji stanowiących tajemnicę. Główny Administrator Bezpieczeństwa Informacji (GABI) Głównym Administratorem Bezpieczeństwa Informacji jest Kierownik Biura Informatyki i Ochrony Informacji. GABI odpowiedzialny jest za:

1) bezpieczeństwo informacji w organizacji, 2) identyfikację grup informacji podlegających ochronie, 3) przygotowanie dokumentu głównego PBI i przygotowanie dokumentów polityk informacji prawnie chronionych, 4) nadzór pod względem bezpieczeństwa nad pracą wszystkich grup informacji, administratorów bezpieczeństwa wszystkich grup informacji, administratorów wszystkich systemów przetwarzania, Administratorzy Bezpieczeństwa Informacji (ABI) Administratorami Bezpieczeństwa Informacji są pracownicy Biura Informatyki i Ochrony Informacji. ABI odpowiedzialni są za: 1) zapewnienie, że do informacji chronionych należących do administrowanej grupy mają dostęp wyłącznie osoby upoważnione oraz, że mogą one wykonywać wyłącznie uprawnione operacje, 2) prowadzenie rejestru osób dopuszczonych do grupy informacji chronionych (rejestr ten powinien zawierać: imię i nazwisko osoby, pełnioną rolę, czas trwania dostępu), 3) przygotowanie dokumentów polityki bezpieczeństwa danej grupy informacji chronionych, 4) szkolenie osób dopuszczonych do danej grupy informacji chronionych. Administratorzy Informacji (AI) Administratorami Informacji są Kierownicy wszystkich komórek organizacyjnych Urzędu oraz osoby zajmujące stanowiska samodzielne. AI odpowiedzialni są za: 1) określenie miejsca i czasu przetwarzania, przechowywania, tworzenia i niszczenia informacji należących do danej grupy, 2) określenie budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane należące do danej grupy,

3) określenie wrażliwości grupy informacji ze względu na jej poufność, integralność i dostępność, 4) określenie które osoby i na jakich prawach mają dostęp do danych informacji Praca AI jest nadzorowana pod względem bezpieczeństwa przez ABI. Administratorzy Systemów (AS) Administratorami Systemów są pracownicy Biura Informatyki i Ochrony Informacji AS odpowiedzialni są za: 1) zapewnienie przy wsparciu GAI ciągłości działania systemu informatycznego i optymalizację jego wydajności, 2) instalację i konfigurację sprzętu i oprogramowania, 3) konfigurację i administrację oprogramowaniem systemowym i sieciowym, 4) przydzielanie praw dostępu do systemu osobom upoważnionym. Administratorzy Bezpieczeństwa Systemów (ABS) Administratorami Bezpieczeństwa Systemów są Kierownicy komórek organizacyjnych Urzędu oraz osoby zajmujące stanowiska samodzielne ABS odpowiedzialni są za: 1) przestrzeganie PBI i innych dokumentów opisujących zasady bezpieczeństwa w stosunku do administrowanego systemu przetwarzania informacji chronionych, 2) Identyfikowanie i zgłaszanie do AS ewentualnych problemów z zakresu bezpieczeństwa informacji, 3) zapewnienie, że do informacji chronionych mają dostęp wyłącznie osoby upoważnione i że mogą one wykonywać wyłącznie uprawnione operacje, 4) całościowy nadzór nad zatrudnionymi w danej jednostce pracownikami w zakresie bezpieczeństwa informacji.

Informacje przetwarzane przez system informatyczny Urzędu Informacje przetwarzane przez system informatyczny Urzędu stanowią załącznik do Polityki Bezpieczeństwa danych osobowych. Infrastruktura systemu informacyjnego urzędu Opis Infrastruktury systemu informacyjnego urzędu zawarty jest w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz postępowania w przypadku naruszenia ochrony danych osobowy w Urzędzie Miasta Kędzierzyn-Koźle Zarządzanie ryzykiem Ryzyko to niepewne zdarzenie lub zbiór zdarzeń, które w przypadku ich wystąpienia będą mieć wpływ na bezpieczeństwo informacji. Zarządzanie ryzykiem odnosi się do systematycznego stosowania procedur dotyczących zadań identyfikowania i oceniania ryzyk, a następnie planowania i wdrażania reakcji na nie. Procedura zarządzania ryzykiem W Urzędzie stosuje się procedurę zarządzania ryzykiem zalecaną przez metodologię PRINCE2 obejmującą pięć następujących kroków: 1. Identyfikuj 2. Oceniaj 3. Planuj 4. Wdrażaj 5. Komunikuj

Rys. Procedura zarządzania ryzykiem Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na bezpieczeństwo informacji. W tym celu przyjęto jako podstawową technikę mieszaną, będącą połączeniem technik przeglądu doświadczeń oraz burzy mózgów. Przegląd doświadczeń opiera się na wiedzy eksperckiej oraz analizie wcześniejszych incydentów związanych z naruszeniem bezpieczeństwa informacji. Burza mózgów opiera się na myśleniu grupowym, które może być bardziej produktywne niż indywidualne oraz umożliwia zrozumienie poglądów innych interesariuszy na temat zidentyfikowanych ryzyk. Ocenianie polega na oszacowaniu zagrożeń oraz możliwości ich zmaterializowania w przypadku nie podjęcia odpowiednich działań. Do tego celu wykorzystano macierz prawdopodobieństwo/wpływ. Zawiera ona wartości niezbędne do sklasyfikowania zagrożeń w ujęciu jakościowym. Skale prawdopodobieństwa są miarami pochodzącymi z wartości procentowych, natomiast skale wpływu są wybrane w celu określenia miary oddziaływania na Urząd.

Planowanie polega na przygotowaniu określonych reakcji zarządczych w celu usunięcia lub zmniejszenia zagrożeń wynikających ze zmaterializowania się określonego ryzyka. Wprowadza się następujące możliwe reakcje na ryzyko: 1. Unikanie (prewencja)- jeżeli to możliwe podjęcie stosownych reakcji zarządczych tak aby zagrożenie (przypisane do danego ryzyka) nie mogło wpłynąć na bezpieczeństwo informacji lub nie mogło zaistnieć. 2. Redukowanie- działania podjęte w celu zmniejszenia prawdopodobieństwa wystąpienia zdarzenia lub ograniczenia jego wpływu (redukcja jednego lub dwóch parametrów z macierzy prawdopodobieństwo/wpływ). 3. Plan rezerwowy- opracowanie działań, które zostaną podjęte w celu zredukowania skutków zagrożenia dla ryzyka, które się zmaterializowało. Wdrażanie polega na zapewnieniu, aby planowane reakcje na ryzyko zostały zrealizowane oraz aby podjęte zostały działania korygujące w przypadku gdyby reakcje te nie spełniły związanych z nimi oczekiwań. Istotnym elementem ról i obowiązków w zarządzaniu ryzykiem. Wprowadza się następujące role: 1. Właściciela ryzyka- wskazane stanowisko lub osoba odpowiedzialna zarządzanie, monitorowanie i kontrolowanie wszystkich aspektów przypisanego jej ryzyka łącznie z wdrożeniem wybranych reakcji na zagrożenie. 2. Wykonawca reakcji na ryzyko- stanowisko lub osoba wyznaczona do wykonywania działań związanych z reakcją na konkretne ryzyko. Wykonawca reakcji wspiera właściciela ryzyka i otrzymuje od niego polecenia. Komunikacja polega na zapewnieniu, aby wszystkie informacje o zagrożeniach docierały do wszystkich zainteresowanych. Jako podstawową formę komunikacji wprowadza się w Urzędzie drogę elektroniczną poprzez pocztę email.

Analiza ryzyka Identyfikowanie ryzyka W Urzędzie zidentyfikowano następujące ryzyka Identyfikator Ryzyko 1 Włamanie do sieci Urzędu z zewnątrz 2 Włamanie do sieci Urzędu z wewnątrz 3 Błędy przesyłania, adresowania danych 4 Zawodność infrastruktury technicznej 5 Podsłuch 6 Błędy w oprogramowaniu 7 Pogorszenie jakości sprzętu i oprogramowania 8 Niepożądany ruch w sieci 9 Kopiowanie, podmiana lub niszczenie plików 10 Nieświadome udostępnienie informacji 11 Świadome udostępnienie informacji 12 Klęski żywiołowe

Macierz Prawdopodobieństwo/wpływ 0.9 B. wysokie 0.045 0.09 0.18 0.36 0.72 71-90% 0.7 Wysokie 0.035 0.07 0.14 0.28 0.56 Prawdopodobieństwo 51-70% 0.5 Średnie 31-50% 0.3 Niskie 11-30% 0.025 0.05 0.10 ID:7,10 0.015 0.03 0.06 ID:6 ID:3 ID:2 0.20 0.40 0.12 0.24 ID:1,4,12 0.1 B. niskie 0.005 0.01 0.02 0.04 0.08 <10% ID:5 ID:8,9,11 B. mały Mały Średni Duży B. duży 0.05 0.1 0.2 0.4 0.8 Wpływ

Rejestr ryzyk ID Zdarzenie Skutek P W Reakcja Działanie Właściciel ryzyka 1 Nieuprawniony dostęp do systemów IT Urzędu Utrata integralności, poufności, dostępności informacji 0.3 0.8 Unikanie Zapewnienie przez GAI środków finansowych niezbędnych do: odpowiedniego zabezpieczenia systemów IT, szkoleń pracowników. GAI, GABI, ABI 2 Nieuprawniony dostęp do systemów IT Urzędu Utrata integralności, poufności, dostępności informacji 0.7 0.8 Redukowanie Prowadzenie szkoleń pracowników, określenie imiennych zakresów odpowiedzialności, zobowiązanie do przestrzegania obowiązujących w Urzędzie wewnętrznych instrukcji i procedur ochrony informacji. AI, ABS 3 Błędne zaadresowanie informacji Możliwy dostęp do informacji osób nieuprawnionych 0.3 0.2 Redukowanie Podniesienie świadomości pracowników. AI, ABS 4 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów 0.3 0.8 Redukowanie, Plan rezerwowy Zapewnienie przez GAI odpowiednich środków finansowych, prowadzenie systematycznych przeglądów infrastruktury technichnej. GAI, GABI, ABI, Kierownik Wydziału AG 5 Nieuprawniony dostęp do informacji Utrata informacji poufności 0.1 0.1 Plan rezerwowy Powiadomienie właściwych służb o możliwym zaistnieniu zdarzenia. GAI, AI 6 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów 0.3 0.1 Redukowanie Zapewnienie przez GAI środków finansowych na umowy serwisowe i asysty techniczne. GAI, GABI, ABI 7 Możliwy brak ciągłości pracy systemów IT Utrudnienia pracy Urzędu i obsługi petentów 0.5 0.4 Unikanie Zapewnienie przez GAI środków finansowych na zakup nowego sprzętu i oprogramowania. GAI, GABI, ABI 8 Możliwe wprowadzenie do Utrata, zniszczenie lub udostępnienie 0.1 0.2 Redukowanie Monitorowanie ruchu sieciowego GABI, ABI

sieci potencjalnie niebezpiecznych kodów lub aplikacji 9 Nieuprawnione udostępnienie lub zniszczenie informacji 10 Przypadkowe udostępnienie informacji 11 Celowe udostępnienie informacji informacji w całości lub części. Niewłaściwa praca systemów. Utrata, zniszczenie lub udostępnienie informacji w całości lub części. Nieuprawniony dostęp do informacji Nieuprawniony dostęp do informacji. 0.1 0.2 Redukowanie Podnoszenie świadomości pracowników AI, ABS 0.5 0.2 Redukowanie Podnoszenie świadomości pracowników AI, ABS 0.1 0.2 Podnoszenie świadomości pracowników AI, ABS 12 Pożar, powódź, uderzenie pioruna Zniszczenie infrastruktury, utraty informacji 0.3 0.8 Redukowanie, Plan rezerwowy Opracowanie procedur reagowania, oraz zabezpieczenie budynku Urzędu oraz jego aktywów Kierownik WZK, Kierownik Wydziału AG ID- Identyfikator P-Prawdopodobieństwo W-Wpływ

Podsumowanie Macierz prawdopodobieństwo/wpływ ilustruje obszary różnego poziomu zagrożenia. Z punktu widzenia Urzędu najbardziej istotne są wyrazy (będące iloczynem prawdopodobieństwa i wpływu) o największej wartości które oznaczone zostały kolorem czerwonym. Obejmują one następujące ryzyka: 1. Włamanie do sieci z zewnątrz. 2. Włamanie do sieci z wewnątrz. 3. Zawodność infrastruktury technicznej. 4. Pogorszenie się jakości sprzętu i oprogramowania. 5. Nieświadome udostępnienie informacji. 6. Klęski żywiołowe. Należy stwierdzić, że ryzyka, o których mowa wyżej znajdują się na poziomie nieakceptowalnym. W związku z powyższym są one traktowane w sposób szczególny i ciągle monitorowane. Zmaterializowanie się ich może zagrażać funkcjonowaniu jednostki i jej aktywów. Kolorem pomarańczowym oznaczono obszar o średnim zagrożeniu. W jego skład wchodzą następujące ryzyka: 1. Błędy przesyłania, adresowania danych. 2. Niepożądany ruch w sieci. 3. Kopiowanie, podmiana lub niszczenie plików. 4. Świadome udostępnienie informacji. Kolor zielony oznacza obszar ryzyk, w którym zmaterializowanie się zdarzeń jest mało prawdopodobne lub ich wpływ na Urząd jest niewielki. 1. Podsłuch. 2. Błędy w oprogramowaniu W Urzędzie podejmowane są działania zgodne z procedurą zarządzania ryzykiem. Istotnym ich elementem jest zabezpieczanie środków finansowych niezbędnych do redukowania zagrożeń polegających na zmniejszeniu wystąpienia prawdopodobieństwa zdarzenia oraz w przypadku jego wystąpienia ograniczeniu wpływu na Urząd. Dotyczy to wszystkich obszarów i zidentyfikowanych ryzyk.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres