Załącznik Nr 1 do Polityki Bezpieczeństwa w Zespole Szkół Specjalnych przy Uniwersyteckim Szpitalu Dziecięcym w Lublinie Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Zespole Szkół Specjalnych przy Uniwersyteckim Szpitalu Dziecięcym w Lublinie Spis treści 1. Wstęp 2. Podstawy prawne 3. Nadawanie uprawnień do przetwarzania danych oraz ich rejestrowanie w systemie informatycznym 4. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy 6. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi służących do ich przetwarzania 7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych 8. Sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. 9. Udostępnianie danych osobowych i sposób odnotowania informacji o udostępnionych danych 10. Wykonywanie przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych 11. Ustalenia końcowe Wstęp Niniejsza instrukcja dotyczy każdego zbioru danych osobowych przetwarzanego w Zespole Szkół Specjalnych przy Uniwersyteckim Szpitalu Dziecięcym w Lublinie zarówno w formie elektronicznej jak i papierowej. Aktualny wykaz przetwarzanych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, ich lokalizacją znajdują się w dokumencie Polityka bezpieczeństwa w Zespole Szkół Specjalnych przy Uniwersyteckim Szpitalu Dziecięcym w Lublinie. 1
Podstawa prawna: art. 36 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.), 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). 1. Nadawanie uprawnień do przetwarzania danych oraz ich rejestrowanie w systemie informatycznym Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba posiadająca nadane przez administratora danych osobowych upoważnienie do przetwarzania danych osobowych. Upoważnienia do przetwarzania danych osobowych przechowywane są w teczkach akt osobowych pracowników oraz prowadzona jest ich ewidencja. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może zaistnieć wyłącznie po: wprowadzeniu identyfikatora (loginu) użytkownika i właściwego hasła w przypadku obsługi programów, podaniu właściwego loginu i hasła dostępu do stanowiska komputerowego w odniesieniu do obsługi programów firmy Vulcan, ZUS, Microsoft, Google. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, ASI (lub informatyk) ustala niepowtarzalny identyfikator i hasło początkowe. Identyfikator użytkownika nie powinien być zmieniany, a po unieważnieniu loginu użytkownika z systemu informatycznego nie powinien być on ponownie przydzielany innej osobie. W sytuacji cofnięcia uprawnień do dostępu do danych osobowych w systemie informatycznym identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych w szkole, należy niezwłocznie unieważnić z systemu informatycznego. Trzeba również unieważnić jej hasło. Odpowiedzialny za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym jest ASI (lub informatyk). 2. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem Dane osobowe są w szkole przetwarzane z użyciem serwerów, komputerów stacjonarnych i laptopów. Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane w przypadku: systemu operacyjnego co 30 dni, programów firm Vulcan i ZUS, zmiana hasła dostępu do stanowiska komputerowego co 28 dni. 2
Hasło użytkownika zawiera co najmniej 8 znaków i oprócz znaków będącymi małymi i dużymi literami powinno zawierać cyfry i znaki specjalne. Hasło musi być tak zbudowane, aby nie można było go kojarzyć z użytkownikiem komputera np. hasłami nie mogą być dane osobiste (nazwisko, inicjały, imiona, data urodzin własna, dziecka lub małżonka, imię domowego zwierzaka), ciąg znaków następujących po sobie (np. 12345, abcdefg, abc123, qwert) lub będących ciągiem takich samych znaków (333333333333, 4444444444) itp. Zapisane hasło nie może być umieszczane w miejscu widocznym, tak aby nie mogły mieć do niego dostępu osoby nieuprawnione. Użytkownikowi nie wolno udostępnić swojego loginu i hasła (również innym pracowniom), jak również dopuszczać osób nieuprawnionych do stanowiska roboczego po uwierzytelnieniu w systemie. Raz przypisany urzędnikowi login nie może być przydzielony innemu użytkownikowi lub po przerwie (przerwa w zatrudnieniu) w pracy temu samemu pracownikowi. W przypadku gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła. Nowo przyjęty pracownik po przydzieleniu loginu i hasła pierwszego logowania zobowiązany jest do jego zmienienia przy pierwszym logowaniu się do systemu. 3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu). Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu operacyjnego opcji jego zamknięcia. Niedopuszczalne jest zakończenie pracy w systemie bez wykonania wylogowania się z aplikacji. Monitory stanowisk komputerowych, na których przetwarzane są dane osobowe, znajdujące się w pomieszczeniach, gdzie mogą przebywać osoby nieupoważnione do przetwarzania danych osobowych, należy ustawić w taki sposób, aby uniemożliwić im wgląd w monitor komputera. Użytkownik ma obowiązek wylogowania się w przypadku zawieszenia pracy. Stanowisko komputerowe nie może pozostać z włączonym i dostępnym systemem bez nadzoru pracującego na nim pracownika. Wygaszacze monitorów są tak ustawione, że po 10 min bezczynności się włączają i następuje blokada ekranu, którą można odblokować tylko przez wprowadzenie hasła użytkownika. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania. 3
Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać na czas nieobecności osób zatrudnionych w sposób uniemożliwiający dostęp do nich osobom trzecim. Użytkownik niezwłocznie powiadamia administratora bezpieczeństwa informacji w przypadku podejrzenia ingerencji w przetwarzane dane osobowe lub użytkowane narzędzia programowe bądź sprzętowe. Wówczas użytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu. 4. Postępowanie z wydrukami Wydruki zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym do nich dostęp osobom postronnym. Wydruki niepotrzebne należy zniszczyć w niszczarce dokumentów. Drukarki należy ustawić w pomieszczeniu, do którego nie będzie miała dostępu osoba nieuprawniona. 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi służących do ich przetwarzania Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą: urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej, sporządzania kopii zapasowych zbiorów danych (wykonywanie kopii pełnych). Za tworzenie kopii bezpieczeństwa systemu informatycznego odpowiedzialny jest ASI (lub informatyk). Pełne kopie zapasowe zbiorów danych są tworzone co najmniej raz w miesiącu. W przypadku aktualizacji lub dokonywania zmian w systemie należy obowiązkowo wykonać kopię zapasową systemu. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia. Za przeprowadzanie tej procedury odpowiedzialny jest ASI (lub informatyk). Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. 6. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Okresowe kopie zapasowe wykonywane są na zewnętrznym dysku twardym. Kopie zapasowe przechowuje się w kasie pancernej w pomieszczeniu sekretariatu szkoły, w sposób uniemożliwiający nieuprawnione ich zabranie, modyfikacje, uszkodzenie lub zniszczenie. Dodatkowe kopie przechowywane są w budynku urzędu gminy. Kopie te wymienia się na nowe wersje raz na miesiąc. 4
Dostęp do nośników z kopiami danych osobowych ma wyłącznie administrator bezpieczeństwa informacji. Kopie miesięczne przechowuje się przez okres 6 miesięcy. Wykonywane co 2 miesiące kopie systemu kadrowego przechowuje się przez 50 lat. Kopie zapasowe należy bezzwłocznie usuwać po ustaniu ich użyteczności. W przypadku kopii zapasowych sporządzanych indywidualnie przez użytkownika odpowiedzialny za ich zniszczenie jest użytkownik. Przez zniszczenie nośników informacji rozumie się ich trwałe i nieodwracalne zniszczenie do stanu niedającego możliwości ich rekonstrukcji i odzyskania danych. Nie tworzy się kopii programów komputerowych i systemów operacyjnych. W razie potrzeby pozyskuje się ze strony internetowej producenta odpowiednią wersję potrzebnego oprogramowania i instaluje się je na stanowisku komputerowym. 7. Sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego W związku z istnieniem zagrożenia dla zbiorów danych osobowych ze strony złośliwego oprogramowania, którego celem jest m.in. uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych w szkole. Każdy użytkownik pracuje na stanowisku komputerowym, logując się koncie z ograniczonymi uprawnieniami (konto użytkownika), na którym nie może dokonać samodzielnie instalacji oprogramowania. Konto z uprawnieniami administratora przysługuje tylko ASI (lub informatykowi) zatrudnionemu w szkole. Wirusy komputerowe mogą rozpowszechniać się w systemach szkoły przez: Internet (poczta elektroniczna i strony internetowe, pobrane pliki), nośniki informacji takie jak: dyskietki, płyty CD i DVD, pendrive y itp. Przeciwdziałanie zagrożeniom ze strony złośliwego oprogramowania realizowane jest w następujący sposób: Komputery muszą mieć zainstalowany program antywirusowy, a w przypadku komputerów z dostępem do Internetu również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci (firewall). Zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz dziennie dokonywał aktualizacji bazy wirusów oraz co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych. Elektroniczne nośniki danych takie jak dyskietki, dyski przenośne, pendrive y należy każdorazowo sprawdzać programem antywirusowym przed ich użyciem. Czynność powyższą realizuje użytkownik. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do ASI (lub informatyka). W przypadku gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania antywirusowego lub zapory wskazujący na możliwość zaistnienia 5
zagrożenia, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie skontaktować się z ASI (lub informatykiem). Przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania załączników od nieznanych nadawców. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer (skaner antywirusowy, firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. Zabrania się ściągania na komputery i nośniki danych oprogramowania z Internetu. Zabrania się nieautoryzowanego instalowania własnego oprogramowania na służbowych komputerach. 8. Wykonywanie przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych Przeglądy i konserwacje systemu oraz zbiorów danych wykonuje na bieżąco administrator bezpieczeństwa informacji wraz z administratorem systemu informatycznego (ASI) (lub informatyk). Umowy dotyczące instalacji i konserwacji sprzętu należy zawierać z podmiotami, które gwarantują wykonanie prawidłowo usług. Naprawy sprzętu należy zlecać podmiotom, które gwarantują właściwe wykonanie usług. Naprawa sprzętu, na którym mogą znajdować się dane osobowe, powinna odbywać się pod nadzorem administratora bezpieczeństwa informacji lub ASI (bądź informatyka) w miejscu jego użytkowania. W przypadku konieczności naprawy w serwisie sprzęt komputerowy przed oddaniem do serwisu powinien być odpowiednio przygotowany. Dane należy zarchiwizować na zewnętrzne nośniki danych, a dyski twarde bezwzględnie wymontować na czas naprawy lub trwale usunąć z nich dane. Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe, lub zmiana jego lokalizacji może być dokonana tylko za wiedzą i zgodą administratora bezpieczeństwa informacji. 9. Ustalenia końcowe Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole, zabrania się: - ujawniania loginu i hasła współpracownikom i osobom z zewnątrz, - pozostawiania haseł w miejscach widocznych dla innych osób, - udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, - przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne bez zgody ASI (lub informatyka), - kopiowania danych na nośniki informacji, kopiowania na prywatne komputery celem wynoszenia ich poza szkołę, 6
- samowolnego instalowania i używania jakichkolwiek programów komputerowych, w tym również programów do użytku prywatnego; programy komputerowe instalowane są przez ASI (lub informatyka), - używania nośników danych udostępnionych przez osoby postronne, - przesyłania dokumentów i danych z wykorzystaniem prywatnej poczty elektronicznej, - otwierania załączników i wiadomości poczty elektronicznej od nieznanych nadawców, - używania nośników danych prywatnych, niesprawdzonych, niewiadomego pochodzenia. W sytuacji gdy zaistniała konieczności użycia niesprawdzonych przenośnych nośników danych, należy przeskanować je programem antywirusowym, a w razie jakichś ostrzeżeń wyświetlonych przez program antywirusowy zgłosić to ASI (lub informatykowi). Użytkownikowi nie wolno: - wyrzucać wydruków zawierających dane osobowe do ogólnie dostępnych koszów na śmieci (wydruki zawierające dane osobowe mogą być niszczone tylko w niszczarce), - pozostawiać wydruków, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach, - pozostawiać dokumentów na biurku po zakończonej pracy, pozostawiać otwartych dokumentów na ekranie monitora bez blokady klawiatury. Użytkownik zobowiązany jest do: - posługiwania się własnym loginem i hasłem w celu uzyskania dostępu do systemów informatycznych, - tworzenia haseł trudnych do odgadnięcia dla innych, - używania konta służbowego tylko w celach służbowych, - nieprzerywania procesu skanowania przez program antywirusowy na komputerze, - wykonywania kopii zapasowych danych przetwarzanych na stanowisku komputerowym (pliki MS Office), - zabezpieczenia sprzętu komputerowego przenośnego (laptopy) przed kradzieżą zniszczeniem lub nieuprawnionym dostępem do danych. Wszelkie przypadki naruszenia niniejszej Instrukcji należy zgłaszać administratorowi bezpieczeństwa informacji lub bezpośredniemu przełożonemu. Dane kontaktowe: Administrator systemu informatycznego (lub informatyk): Krzysztof Król nr tel.: 608-799-465, e-mail: informatyk@szkolaprzyszpitalna.pl Opracował: Krzysztof Król 7