POLITYKA BEZPIECZEŃSTWA

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA firmy Dreamtec Sp z o.o.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Załącznik do zarządzenia nr 13/2010/2011 Polityka bezpieczeostwa danych osobowych POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Polityka Bezpieczeństwa Wydawnictwa Interaktywnego Medutools Spółka z ograniczoną odpowiedzialnością

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

OCHRONA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

a) po 11 dodaje się 11a 11g w brzmieniu:

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Lp. Zwartość karty Opis 1 Specyfikacja techniczna / funkcjonalna przedmiotu zamówienia

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

OBOWIĄZKI ADMINISTRATORA DANYCH ORAZ ADMINISTRATORA BEZPIECZEOSTWA

POLITYKA BEZPIECZEŃSTWA

POLITYKA E-BEZPIECZEŃSTWA

BEZPIECZNIE NIEZAWODNIE PROFESJONALNIE.

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Marcin Soczko. Agenda

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

O NASZYM DATA CENTER

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 20

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Bezpieczeństwo teleinformatyczne danych osobowych

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Nasze Centrum zostało zaprojektowane tak, aby zagwarantować ciągłość i niezawodność działania powierzonych systemów informatycznych.

Warszawa, dnia 19 lipca 2012 r. Poz. 49 ZARZĄDZENIE NR 49 MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ. z dnia 19 lipca 2012 r.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania Zielone Sąsiedztwo

Transkrypt:

POLITYKA BEZPIECZEŃSTWA firmy Dreamtec spółka z o.o. 1 Zagadnienia wstępne i definicje 1. Zarząd Dreamtec sp. z o.o. deklaruje zaangażowanie w prawidłowym zarządzaniu bezpieczeostwem informacji w spółce. 2. Dreamtec sp. z o.o. ma podpisane stosowne umowy z innymi firmami, które uczestniczą w procesie zapewnienia bezpieczeostwa danych. 3. Zarząd Dreamtec sp. z o.o. oświadcza, iż dołoży wszelkich starao celem zapewnienia bezpieczeostwa informacji w spółce. 4. Szczegółowy zakres obowiązków i procedur postępowania w przypadku zagrożenia bezpieczeostwa informacji określony zostanie poniżej. 5. Poprzez bezpieczeostwo należy rozumied stan faktyczny uniemożliwiający wykorzystanie, przepływ, modyfikację lub zniszczenie informacji w spółce przez osoby postronne lub nieupoważnione. 6. Niniejszy dokument został przygotowany z myślą o zapewnieniu standardów bezpieczeostwa informacji w spółce ze szczególnym uwzględnieniem zgodności z prawem. 2 Wykaz budynków, pomieszczeo lub części pomieszczeo, tworzących obszar, w którym przetwarzane są dane osobowe 1. Dane osobowe przetwarzane są na serwerach znajdujących się w Centrum przetwarzania i przechowywania danych Sprint Data Center SA w Olsztynie przy ul. Jagielooczyka 26 2. Pomieszczenia firmy Sprint Data Center SA zabezpieczone są przed dostępem osób trzecich. Poziom zabezpieczeo przed fizycznym dostępem osób trzecich i fizyczne zabezpieczenie danych przed kradzieżą i utratą bezpieczeostwa określone jest polityką bezpieczeostwa Sprint Data Center SA. 3. Nośniki informacji są przechowywane w zamkniętej szafie. 3 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 1. Dane osobowe przetwarzane są przy wykorzystaniu systemu platformy serwerowej Linux. 2. Zbiorem danych osobowych objęte są dane osobowe użytkowników systemów: MobiReg mobilny dziennik elektroniczny. 3. Dane osobowe obejmujące system MobiReg dziennik internetowy, przetwarzane są przy użyciu relacyjnego systemu baz danych MySQL. 4. Zbiorem danych osobowych objęte są dane osobowe użytkowników systemów: Testico-Online. 5. Dane osobowe obejmujące system Testico-Online przetwarzane są przy użyciu relacyjnego systemu baz danych MySQL.

6. Zbiorem danych osobowych objęte są dane osobowe znajdujące się w centralnej bazie systemu - Repozytorium. 7. Dane osobowe obejmujące system Repozytorium przetwarzane są przy użyciu relacyjnego systemu baz danych PostgreSQL. 4 Opis struktury zbiorów danych wskazujący zawartośd poszczególnych pól informacyjnych i powiązania między nimi 1. W zbiorze danych systemu MobiReg dziennik internetowy dane przetwarzane są w następującym zakresie: a. Ucznia: imię, drugie imię, nazwisko, PESEL, data urodzenia, ulica, miasto, województwo, płed, oceny ucznia, obecności ucznia, numer w dzienniku, numer ewidencyjny, rok w klasie, indywidualny tok nauczania, obwód szkolny, rodzaj niepełnosprawności, informacje o kształceniu specjalnym, eduid b. Rodzica: imię, nazwisko, email, numer telefonu, adres, opieka nad uczniem c. Nauczyciela: imię, nazwisko, tytuł, telefon, email, eduid d. Użytkownik systemu: login, hasło, email 2. W zbiorze danych systemu Testico-Online dane przetwarzane są w następującym zakresie: a. Dane personalne użytkownika: imię, nazwisko, adres e-mail, poziom edukacyjny (szkoła podstawowa, liceum, itp.), płed, data urodzenia, województwo, miasto, numer komunikatora Gadu-Gadu, identyfikator komunikatora Skype), b. Wyniki testów przeprowadzonych przez użytkownika w systemie: nazwa testu, informacja czy test został zdany, ilośd pytao, ilośd poprawnych odpowiedzi, data wykonania testu. 3. W zbiorze danych Repozytorium dane przetwarzane są w następującym zakresie: a. Dane personalne: imię, nazwisko, adres e-mail, data urodzenia, województwo, informacje o klasie do której uczęszcza /uczęszczał użytkownik: poziom, oddział, rok rozpoczęcia, rok zakooczenia, informacje o szkole do której uczęszcza / uczęszczał użytkownik: nazwa, numer, rodzaj (publiczna, prywatna), adres. b. Dane osób rejestrujących szkoły w systemie: dane personalne: imię, nazwisko, adres e-mail, województwo, powiat, gmina, miejscowośd, ulica, numer domu, kod pocztowy, telefon, fax, witryna internetowa, nip, regon 5 Sposób przepływu danych pomiędzy poszczególnymi systemami 1. Administrator dopuszcza wewnętrzny przepływ danych pomiędzy systemami w przyszłości. 2. W przypadku podjęcia decyzji o planowanym przepływie danych pomiędzy systemami niniejszy paragraf zostanie odpowiednio uzupełniony. 6 Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 1. Zgodnie z Ust. O ochronie danych osobowych Art. 36. 1. Administrator danych jest obowiązany zastosowad środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeo oraz kategorii danych objętych ochroną, a w szczególności powinien

zabezpieczyd dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. w celu zabezpieczenia zbioru danych osobowych systemów przed dostępem osób nieupoważnionych wprowadza się odpowiednie rozwiązania techniczne i organizacyjne. a. Bezpieczeostwo na poziomie ogólnym. (zabezpieczenia techniczne i organizacyjne zawarte w Polityce Bezpieczeostwa Sprint Data Center): i. Bezpieczeostwo fizyczne obiektu Obiekt Sprint Data Center podzielony jest na strefy. Każda strefa posiada określone uprawnienia do-stępu. Dostęp do strefy II i III jest ograniczony tylko do osób upoważnionych/uprawnionych oraz jest kontrolowany i monitorowany. Dodatkowo wstęp do strefy II i III obywa się pod nadzorem uprawnionych pracowników Sprint. Strefy Sprint Data Center: 1. Obiekt SDC (będący wyłączną własnością Sprint) otoczenie budynku a. fizycznie ogrodzony b. monitoring wizyjny (24h/7 dni w tygodniu) całej posesji, rejestracja i archiwizacja obrazu z kamer c. stały osobowy nadzór 24h, 7 dni w tygodniu 2. Obiekt SDC strefa I (ogólnie dostępna Recepcja) a. monitoring wizyjny osób wchodzących do budynku (24h/7 dni w tygodniu), rejestracja i archiwizacja obrazu z kamer b. rejestracja osób zewnętrznych /gości c. system alarmowy wykrywający próby włamania do obiektu d. system p.poż. ogólnego przeznaczenia e. stały osobowy nadzór 24h, 7 dni w tygodniu 3. Obiekt SDC strefa II (dostęp ograniczony, bezpośrednie zarządzanie serwerami z SDC) a. monitoring wizyjny osób wchodzących do strefy II (24h/7 dni w tygodniu), rejestracja i archiwizacja obrazu z kamer b. dwustronna elektroniczna kontrola dostępu do strefy II c. rejestracja osób zewnętrznych /gości d. system alarmowy wykrywający próby włamania do obiektu e. system p.poż. ogólnego przeznaczenia f. stały osobowy nadzór 24h, 7 dni w tygodniu 4. Obiekt SDC strefa III (dostęp ograniczony, pomieszczenie serwerownia) a. brak okien, drzwi antywłamaniowe b. monitoring wizyjny osób wchodzących i poruszających się w strefie III (24h/7 dni w tygodniu), rejestracja i archiwizacja obrazu z kamer c. dwustronna elektroniczna kontrola dostępu do strefy III d. rejestracja osób zewnętrznych /gości e. system alarmowy wykrywający próby włamania do obiektu f. koincydencyjny system p.poż. (system punktowy + system liniowy wczesnej detekcji pożaru typu VESDA) g. system gaszenia (bezpieczny dla ludzi i sprzętu komputerowego) oparty o aerozol ii. Bezpieczeostwo energetyczne 1. Układ zasilania gwarantujący ciągłośd zasilania. System automatycznie wykrywa zanik napięcia ze strony Zakładu Energetycznego. W przypadku zaniku System Załączenia Rezerwy dokonuje przełączenia na Wewnętrzne Źródło Zasilania (agregat prądotwórczy). Układ zapewnia autonomię zasilania przez minimum 24h. Czas pracy może byd wydłużony poprzez uzupełnienie paliwa. 2. Elementy systemu zasilania energetycznego

3. Własna stacja SN/NN 15kV zasilana dwutorowo z ringu ZE 4. Agregat prądotwórczy 730kVA jako źródło zasilania awaryjnego 5. System zasilaczy UPS pracujących w trybie pracy równoległej, układ redundantny N+1 6. Zasilanie szafy rack z dwóch różnych obwodów iii. Bezpieczeostwo środowiskowe 1. Zapewnienie właściwych parametrów środowiskowych (temperatura i wilgotnośd powietrza w serwerowni). Temperatura powietrza 23 C ± 2 C; wilgotnośd względna powietrza 50% ± 10% 2. Systemu klimatyzacji precyzyjnej i wentylacji 3. Klimatyzacja pracująca w układzie redundantnym N+1 4. Kontrola temperatury i wilgotności w pomieszczeniu serwerowni 5. Agregaty chłodnicze pracujące w układzie redundantnym 6. Redundantne tory czynnika chłodniczego 7. Wentylacja pomieszczenia iv. Bezpieczeostwo infrastruktury informatycznej 1. Zapewnienie wysokiego poziomu dostępności w transmisji danych informatycznych dla świadczonych usług. Brak pojedynczego punktu awarii dla transmisji wewnętrznej i zewnętrznej. Infrastruktura informatyczna zapewnia możliwośd monitorowania ruchu sieciowego. v. Łącza dostępowe SDC 1. 3 niezależne łącza światłowodowe, różne trasy kablowe, różne punkty wejścia do budynku 2. Dostęp do punktu wymiany ruchu (ponad 100 krajowych operatorów) 3. Zdublowane routery brzegowe vi. Wewnętrzna sied komputerowa SDC 1. Warstwa szkieletowa 10Gb/s oparta na światłowodach, 2. Wszystkie połączenia w warstwie szkieletowej są zdublowane 3. Wszystkie urządzenia przełączające w warstwie szkieletowej są zdublowane 4. Warstwa dystrybucyjna 1Gb/s oparta na światłowodach, 5. Wszystkie połączenia w warstwie szkieletowej są zdublowane 6. Wszystkie urządzenia przełączające w warstwie szkieletowej są zdublowane 7. Warstwa dostępowa (dotyczy pojedynczej szafy rack) oparta o okablowanie miedziane 1Gb/s vii. Bezpieczeostwo sieciowe 1. Systemy bezpieczeostwa typu firewall urządzenia zdublowane 2. System wykrywania potencjalnych zagrożenia IDS/IPS b. Bezpieczeostwo na poziomie jednostki serwerowej i. Zabezpieczenia warstwy fizycznej. 1. Stopieo zabezpieczeo wg rozp. MSWiA z dnia 29 kwietnia 2004 r.: wysoki 2. Zarządzanie warstwą sprzętową (serwery, obudowa, przełączniki serwera DELL m1000, macierz VESSRaid) zabezpieczone odbywa przy użyciu szyfrowanego protokołu zabezpieczonego certyfikatem SSL. 3. Warstwa sprzętowa (przełączniki łączące serwery z internetem) wyposażona jest w firewall zabezpieczający przed atakami typu DDoS. 4. Konta do zarządzania zabezpieczone hasłem spełniającym wymogi wysokiego stopnia zabezpieczeo. 5. Wykaz osób upoważnionych i kont w załączniku nr 1. ii. Zabezpieczenia warstwy programowej (środowiskowej).

1. Na serwerach zainstalowane jest środowisko wirtualizacyjne oparte na systemie operacyjnym Linux i hypervisorze KVM. 2. Środowisko wirtualizacyjne zabezpieczone jest przy pomocy programowego firewall-a chroniącego samo środowisko jak i serwery wirtualne. 3. Zarządzanie środowiskiem odbywa się odbywa przy użyciu szyfrowanego protokołu zabezpieczonego certyfikatem SSL. 4. Konta do zarządzania zabezpieczone hasłem spełniającym wymogi wysokiego stopnia zabezpieczeo. 5. Stosowane są odpowiednie polityki systemowe wymuszające zgodnośd haseł z poziomem zabezpieczeo: wysoki 6. System rejestruje czas i login-y dostępu do systemu, rejestrowane są zarówno połączenia udane jak i nieudane. 7. Wykaz osób upoważnionych i kont w załączniku nr 1. iii. Zabezpieczenia warstwy programowej (systemowej). 1. W środowisku wirtualizacyjnym osadzone są serwery wirtualne zrealizowane na bazie dystrybucji DEBIAN systemu operacyjnego LINUX stanowiące podstawę systemową oprogramowania MobiReg dziennik internetowy. 2. Zarządzanie serwerami odbywa się odbywa przy użyciu szyfrowanego protokołu zabezpieczonego certyfikatem SSL. 3. Konta do zarządzania zabezpieczone zabezpieczone hasłem spełniającym wymogi wysokiego stopnia zabezpieczeo. 4. Stosowane są odpowiednie polityki systemowe wymuszające zgodnośd haseł z poziomem zabezpieczeo: wysoki 5. System rejestruje czas i login-y dostępu do systemu, rejestrowane są zarówno połączenia udane jak i nieudane. 6. Wykaz osób upoważnionych i kont w załączniku nr 1. iv. Zabezpieczenia warstwy programowej (aplikacji). 1. Zbiór danych osobowych chroniony jest nowoczesnymi mechanizmami szyfrowania. 2. W celu zabezpieczenia systemu i ochrony danych osobowych wprowadza się zabezpieczenie firewall system izolacji i selekcji połączeo z siecią zewnętrzną. 3. Dla zabezpieczenia zbioru danych osobowych wprowadza się system uwierzytelniania użytkowników zabezpieczony co najmniej 8-znakowym hasłem, zgodnie z postanowieniami ustawy i aktów wykonawczych. 4. Mechanizm zabezpieczania i uwierzytelniania użytkowników oraz procedury postępowania zostały szczegółowo opisane w Instrukcji określającej sposób zarządzania systemem informatycznym w Dreamtec sp. z o.o., służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeostwa informacji. v. Zabezpieczenia przed utratą danych (back-up) 1. Wykonywane są automatyczne kopie bezpieczeostwa (backup) serwera wirtualnego zawierającego system MobiReg dziennik internetowy. 2. Wykonywane są niezależne kopie bezpieczeostwa baz danych programu MobiReg dziennik internetowy. W/w kopie wykonywane są w trybie: a. kopie pełne: raz na miesiąc, okres przechowywania kopii 5 lat b. kopie pełne: raz na tydzieo, okres przechowywania kopii 1 rok c. kopia pełne: raz na dzieo, okres przechowywania kopii 2 miesiące d. kopia różnicowa: co godzinę, okres przechowywanie kopii 2 tygodnie e. kopie przechowywane są na macierzy dyskowej w SDC

7 Zgodnośd z przepisami prawa 1. Administratorem bezpieczeostwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w Ust. O ochronie danych osobowych ust. 1 jest pan Maciej Bojanowski (PESEL: 80120904158). 2. Zgodnie z Ust. O ochronie danych osobowych Art. 37. Do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Wykaz osób wraz z poziomem dostępu stanowi załącznik nr. 1 3. Zgodnie z Ust. O ochronie danych osobowych Art. 38. Administrator danych zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W tym celu system rejestruje czas i login-y dostępu do systemu, rejestrowane są zarówno połączenia udane jak i nieudane na poziomie: a. warstwy programowej środowiskowej, b. warstwy programowej systemowej, c. warstwy programowej aplikacji. 4. Zgodnie z Ust. O ochronie danych osobowych Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która zawiera: a. imię i nazwisko osoby upoważnionej, b. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, c. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 5. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachowad w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Osoby te pisemnie potwierdzają, że zachowają poufnośd powierzonych danych dostępowych do systemu. Wykaz osób wraz z podpisami potwierdzającymi zachowanie poufności danych stanowi załącznik nr 1. 6. Na podstawie dokumentu Sprint S.A. wykaz posiadanych certyfikatów, koncesji i uprawnieo stwierdza się iż sposób prowadzenia i zakres dokumentacji, o której mowa w art. 39a ustawy o ochronie danych oraz środki organizacyjne i techniczne zastosowane w celu zapewnienia ochrony przetwarzanych danych są zgodne z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadad urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 8 Zmiany i udostępnienie tekstu Polityki bezpieczeostwa 1. Dopuszcza się dokonywanie zmian w niniejszym dokumencie. 2. Tekst Polityki bezpieczeostwa zostanie udostępniony użytkownikom w taki sposób, aby mogli się z nim zapoznad i wdrożyd w życie jej postanowienia. 30 sierpnia 2011r. Maciej Bojanowski (data) (administrator danych osobowych)

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres