POLECENIE SŁUŻBOWE Nr 27/08 DYREKTORA URZĘDU z dnia 13 listopada 2008 roku w sprawie przyjęcia Deklaracji stosowania w Krakowie Na podstawie Uchwały Nr 412/05 Zarządu Województwa Małopolskiego z dnia 19 maja 2005 r. w sprawie wdrożenia w Województwa Małopolskiego w Krakowie Zintegrowanego Systemu Zarządzania poprzez rozbudowę istniejącego Systemu Zarządzania Jakością z późn. zm., w związku z Zarządzeniem Nr 91/08 Marszałka Województwa z dnia 12 listopada 2008 roku w sprawie przyjęcia "Księgi Zintegrowanego Systemu Zarządzania Małopolskiego", Zarządzeniem Nr 125/06 Marszałka Województwa Małopolskiego z dnia 11 września 2006 roku w sprawie Regulaminu przeprowadzania audytów Zintegrowanego Systemu Zarządzania oraz działań korygujących i zapobiegawczych w Urzędzie Marszałkowskim Województwa Małopolskiego, Zarządzeniem Nr 86/2008 Marszałka Województwa Małopolskiego z dnia 30 września 2008 roku w sprawie przyjęcia Polityki Zintegrowanego Systemu Zarządzania wynikającej z wdrożenia Systemu Zarządzania Jakością, Systemu Zarządzania Środowiskowego, Systemu Zarządzania Bezpieczeństwem i Higieną Pracy oraz Systemu Zarządzania Bezpieczeństwem Informacji, Poleceniem Służbowym Nr 23/07 Dyrektora z dnia 10 lipca 2007 roku w sprawie prac Zespołu ds. utrzymania i rozwoju Zintegrowanego Systemu Zarządzania (ZSZ) w Urzędzie Marszałkowskim Województwa Małopolskiego, Krakowie oraz Zarządzeniem Nr 81/05 Marszałka Województwa Małopolskiego z dnia 5 sierpnia 2005 r. w sprawie zasad opracowywania i przekazywania do realizacji zarządzeń, poleceń służbowych i upoważnień polecam, co następuje: 1 Zatwierdzam Deklarację stosowania w Województwa Małopolskiego w Krakowie w brzmieniu niniejszego polecenia. 2 1. Deklaracja stosowania jest dokumentem, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w Systemie Zarządzania Bezpieczeństwem Informacji w Urzędzie Marszałkowskim Województwa Małopolskiego. Została stworzona celem weryfikacji kompletności i adekwatności tego systemu. Jest zestawieniem zabezpieczeń oraz celów stosowania tych zabezpieczeń w Urzędzie w odniesieniu do załącznika A (normatywnego) normy PN-ISO/IEC 27001:2007. 2. System Zarządzania Bezpieczeństwem Informacji zgodny z normą PN-ISO/IEC 27001:2007 i funkcjonujący w ramach Zintegrowanego Systemu Strona 1 z 29
Zarządzania, w swoim zakresie obejmuje realizację działań ustawowych i własnych na rzecz rozwoju Małopolski, we wszystkich miejscach przetwarzania, należących do Małopolskiego, w których te działania są realizowane. 3. Zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007, po etapie wdrożenia zabezpieczeń, należy zapewnić, że wdrożone zabezpieczenia spełniają funkcje, do której zostały powołane poprzez pomiar ich efektywności należy określić mierniki skuteczności dla funkcjonujących zabezpieczeń, zdefiniować zasady i odpowiedzialności związane ze zbieraniem tych danych i ich analizą. W Tabeli 1 wskazano mierniki dla najważniejszych zabezpieczeń wdrożonych w Województwa Małopolskiego oraz wskazano sposób pomiaru ich efektywności. Dane te będą analizowane podczas audytów wewnętrznych oraz będą brane pod uwagę podczas przeprowadzania analizy ryzyka. Tabela 1. Mierniki skuteczności dla funkcjonujących zabezpieczeń. Lp. Zabezpieczenie Miernik Pożądana wartość Źródło i częstotliwość pomiaru Osoba odpowiedzialna za pomiar 1 A.6.1.2 Koordynacja Liczba spotkań w ramach narad dyrektorów, alternatywnie liczba spotkań Forum Rozwoju UMWM Raz w tygodniu (piątek godz. 8:30) Wnioski z narady dyrektorów Koordynator ZSZ ds. 2 A.8.2.2 Uświadomienie, kształcenie i szkolenia z zakresu 3 A.8.3.3 Odebranie praw dostępu 4 A.9.2.2 Systemy wspomagające Liczba nowo zatrudnionych pracowników, praktykantów, stażystów i wolontariuszy nieprzeszkolonych z zakresu Liczba aktywnych kont w wybranych systemach komputerowych osób niebędących już pracownikami, praktykantami, stażystami lub wolontariuszami. Liczba awarii zasilania, które doprowadziły do przerwania pracy urządzeń dedykowanych systemom informatycznym Wartość zerowa Wartość zerowa Nie więcej niż 1 raz w miesiącu - Analiza list obecności ze szkoleń i listy zatrudnionych pracowników, praktykantów, stażystów, - Analiza listy zatrudnionych pracowników, praktykantów, stażystów, wolontariuszy i aktywnych kont w wybranych systemach. - pomiary w cyklu półrocznym - Dziennik zdarzeń generowanych przez urządzenia wspomagające - Raz na kwartał Koordynator ds. ZSZ Koordynator ds. ZSZ Osoba odpowiedzialna za monitorowanie stanu urządzeń wspomagających Strona 2 z 29
5 A.10.4 Ochrona przed kodem złośliwym i kodem mobilnym 6 A.10.5.1 Zapasowe kopie Liczba wirusów i innego szkodliwego oprogramowania zidentyfikowana i zgłoszona przez użytkowników na stacjach roboczych Liczba nieudanych odtworzeń danych z kopii zapasowych dla wybranych systemów. Nie więcej niż 10 w ciągu miesiąca Wartość zerowa - Rejestr naruszeń - Raz na kwartał - testowanie odtworzenia kopii zapasowych przez administratorów wybranych systemów. - zgodnie z częstotliwością testowania odtwarzania określoną w dokumencie Zasady zarządzania infrastrukturą IT. Administrator Bezpieczeństwa Informacji Administratorzy w cyklu rocznym dokonują zestawienia i przekazują do Koordynatora ds. ZSZ. 3 Tabela 2. Sposoby realizacji wymagań normy PN-ISO/IEC 27001:2007. Wymaganie Sposób realizacji A.5 Polityka A.5.1 Polityka A.5.1.1 Zdefiniowano Politykę Dokument polityki Zintegrowanego Systemu Zarządzania, określającą cele wdrożenia między innymi systemu w Województwa Małopolskiego, a także wyrażającą zaangażowanie w jej realizowanie najwyższego kierownictwa. Dokument PBI został zatwierdzony przez Kierownictwo, opublikowany i poddany do wiadomości wszystkim pracownikom. A.5.1.2 Przegląd polityki W Urzędzie funkcjonuje proces ZSZ/Z02 Monitorowanie i rozwój Zintegrowanego Systemu Zarządzania określające zasady przeglądu ZSZ, którego elementem jest przegląd Polityki Bezpieczeństwa Informacji. Zarządzenie Nr 86/2008 Marszałka Województwa Małopolskiego z dnia 30 września 2008 roku w sprawie przyjęcia Polityki Zintegrowanego Systemu Zarządzania wynikającej z wdrożenia Systemu Zarządzania Jakością, Systemu Zarządzania Środowiskowego, Systemu Zarządzania Bezpieczeństwem i Higieną Pracy oraz Systemu Zarządzania Bezpieczeństwem Informacji. Zarządzenie Nr 125/06 Marszałka WM z dnia 11 września 2006 r. w sprawie regulaminu przeprowadzania audytów ZSZ oraz działań korygujących i zapobiegawczych w UMWM. Zarządzenie Nr 91/08 Marszałka WM z dnia 12 listopada 2008 r. w sprawie przyjęcia Księgi Zintegrowanego Systemu Zarządzania UMWM. Polecenie Służbowe Nr 35/06 Dyrektora z dnia 4 października 2006 r. w sprawie przyjęcia Księgi Procesów Strona 3 z 29
6 Organizacja 6.1 Organizacja wewnętrzna Kierownictwo A.6.1.1 Zaangażowanie kierownictwa dla A.6.1.2 Koordynacja A.6.1.3 Przypisanie odpowiedzialności w zakresie Małopolskiego aktywnie angażuje się w bezpieczeństwo między innymi poprzez udział w formułowaniu celów, zapewnianie odpowiednich zasobów, w formułowaniu i zatwierdzaniu polityk, udziale w przeglądach zarządzania. Aspekty związane z bezpieczeństwem są również poruszane na cotygodniowych spotkaniach Dyrektorów organizowanych w Urzędzie. Powołano strukturę ZSZ i określono role w niej występujące, które są odpowiedzialne za zarządzanie bezpieczeństwem. Główną funkcję w systemie pełni Pełnomocnik Zarządu Województwa Małopolskiego ds. Zintegrowanego Systemu Zarządzania. W ramach koordynowania działań operacyjnych związanych z utrzymaniem systemu powołano rolę Koordynatora ds. Zintegrowanego Zarządzania. Systemu W dokumentacji ZSZ przypisane są odpowiedzialności za poszczególne procesy w tym za procesy związane z bezpieczeństwem. Dodatkowo dokument Klasyfikacji określa indywidualną odpowiedzialność za ochronę poszczególnych zasobów. Zgodnie z wymaganiami zatrudnienia w Urzędzie obowiązkiem jest przypisywanie indywidualnych odpowiedzialności dla osób mających obowiązki w zakresie, w szczególności w zarządzaniu infrastrukturą IT w urzędzie. W dokumencie Zasady Małopolskiego w Krakowie Zintegrowanego Systemu Zarządzania z późn. zm. Zarządzenie Nr 86/2008 Marszałka Województwa Małopolskiego z dnia 30 września 2008 roku w sprawie przyjęcia Polityki Zintegrowanego Systemu Zarządzania wynikającej z wdrożenia Systemu Zarządzania Jakością, Systemu Zarządzania Środowiskowego, Systemu Zarządzania Bezpieczeństwem i Higieną Pracy oraz Systemu Zarządzania Bezpieczeństwem Informacji. Na podstawie Uchwały Nr 412/05 Zarządu Województwa Małopolskiego z dnia 19 maja 2005 r. w sprawie wdrożenia w Województwa Małopolskiego w Krakowie Zintegrowanego Systemu Zarządzania poprzez rozbudowę istniejącego Systemu Zarządzania Jakością z późn. zm. Polecenie Służbowe Nr 35/06 Dyrektora z dnia 4 października 2006 r. w sprawie przyjęcia Księgi Procesów Zintegrowanego Systemu Zarządzania z późn. zm. Strona 4 z 29
A.6.1.4 Proces autoryzacji środków przetwarzania A.6.1.5 Umowy o zachowaniu poufności A.6.1.6 Kontakty z organami władzy A.6.1.7 Kontakty z grupami zainteresowania bezpieczeństwem A.6.1.8 Niezależny przegląd zdefiniowano podział ról i odpowiedzialności za zarządzanie. Obowiązujące zapisy dotyczące wdrażania nowych rozwiązań teleinformatycznych w dokumencie Zasady zarządzania Marszałkowskiego Krakowie gwarantują prawidłowy przebieg wdrażania nowych rozwiązań przetwarzających informacje. Dodatkowo proces ZSZ/R04 Udzielanie zamówień publicznych, zawierania umów oraz dokonywania zakupów określa obowiązki w tym zakresie. Pracownicy podpisują oświadczenie o zachowaniu poufności. Zgodnie z dokumentacją opisującą procesy kadrowe występuje obowiązek podpisania oświadczenia o zachowaniu poufności zarówno dla praktykantów, stażystów, wolontariuszy oraz pracowników. Urząd w przypadku naruszeń współpracuje z Policją oraz firmami, których rozwiązania informatyczne są wykorzystywane. Pozwala to na szybkie zapewnienie stosownych działań w przypadku naruszeń. Podczas projektu wdrożeniowego Urząd korzystał z pomocy firmy doradczej specjalizującej się we wdrażaniu systemów zarządzania bezpieczeństwem. W ramach współpracy został przeprowadzony między innymi audyt na zgodność z normą PN- ISO/IEC 27001:2007. W ramach współpracy z innymi firmami zostały przeprowadzone audyty systemów teleinformatycznych w Urzędzie. Utrzymywana jest stała współpraca z firmami dostarczającymi rozwiązania teleinformatyczne, która gwarantuje odpowiednią reakcje na występujące problemy w zakresie. Podczas projektu wdrożeniowego Urząd korzystał z pomocy firmy doradczej specjalizującej się we wdrażaniu systemów zarządzania Strona 5 z 29 7/08) Polecenie Służbowe Nr 35/06 Dyrektora z dnia 4 października 2006 r. w sprawie przyjęcia Księgi Procesów Zintegrowanego Systemu Zarządzania z późn. zm. Zarządzenie Nr 146/06 Marszałka Województwa Małopolskiego z dnia 6 grudnia 2006 roku w sprawie wprowadzenia: Systemu zatrudniania pracowników w Województwa Małopolskiego. Umowy z firmami, które świadczą usługi konserwacji oprogramowania w ramach aplikacji wspomagających funkcjonowanie i zarządzanie Urzędem. Umowa nr I/164/OR/475/08 z firmą WTF Paweł Tworek świadczenie usług pomocy technicznej w ramach technologii IT. Umowa nr I/164/OR/475/08 z firmą WTF Paweł Tworek świadczenie usług pomocy technicznej w ramach technologii IT
A.6.2 A.6.2.1 Określenie ryzyk związanych ze stronami zewnętrznymi A.6.2.2 Bezpieczeństwo w kontaktach z klientami A.6.2.3 Bezpieczeństwo w umowach ze stroną trzecią bezpieczeństwem. W ramach współpracy przeprowadzone zostały audyty na zgodność z założeniami normy ISO/IEC 27001. W ramach współpracy z innymi firmami zostały przeprowadzone audyty systemów teleinformatycznych w Urzędzie. Strony zewnętrzne W ramach Generalnego Rejestru Umów i Zleceń w Urzędzie Marszałkowskim Województwa Małopolskiego uwzględniono umiejscowienie odpowiednich zapisów chroniących interesy w ramach współpracy z podmiotami zewnętrznymi. W ramach Generalnego Rejestru Umów i Zleceń w Urzędzie Marszałkowskim Województwa Małopolskiego uwzględniono umiejscowienie odpowiednich zapisów chroniących interesy w ramach współpracy z podmiotami zewnętrznymi. Interesantom udzielane są informacje dopiero po identyfikacji tożsamości. W ramach Generalnego Rejestru Umów i Zleceń w Urzędzie Marszałkowskim Województwa Małopolskiego uwzględniono umiejscowienie odpowiednich zapisów chroniących interesy w umowach z podmiotami zewnętrznymi. A.7 Zarządzanie aktywami A.7.1 Odpowiedzialność za aktywa A.7.1.1 Inwentaryzacja aktywów A.7.1.2 Własność aktywów Wszystkie aktywa służące do przetwarzania są zidentyfikowane w ramach zarządzania wyposażeniem. Zidentyfikowane zostały również aktywa informacyjne, które przydzielone zostały do grup w ramach dokumentu Klasyfikacja. Własność aktywów informacyjnych została zdefiniowana w dokumencie Klasyfikacji Informacji (przypisanie własności do Właściciela grupy ). Własność aktywów materialnych przypisana jest do poszczególnych osób dysponujących tymi aktywami. Zostały opisane w dokumencie Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w Województwa Małopolskiego z późn. zm. Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w Województwa Małopolskiego z późn. zm. Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w Województwa Małopolskiego z późn. zm. Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08). Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08). Strona 6 z 29
A.7.1.3 Akceptowalne użycie aktywów A.7.2 A.7.2.1 Zalecenia do klasyfikacji A.7.2.2 Oznaczanie i postępowanie z informacjami Zasady zarządzania infrastrukturą IT odpowiedzialności w zakresie systemów teleinformatycznych. Zasady akceptowalnego użycia aktywów informacyjnych określone zostały w dokumencie Klasyfikacji Informacji. Określono zasady wykorzystania stacji roboczych i systemów teleinformatycznych w dokumencie Zasady związane z bezpieczeństwem w Województwa Małopolskiego Klasyfikacja Wykonano klasyfikację uwzględniając ich wartość, wrażliwość i krytyczność, jak również wymagania prawne w dokumencie Klasyfikacja Informacji oraz wyznaczono Właścicieli grup. W dokumencie Klasyfikacja zdefiniowano sposób postępowania z informacją. Dodatkowo w instrukcji kancelaryjnej opisano sposób oznaczania, rejestrowania i obiegu wszystkich dokumentów występujących w Urzędzie. A.8 Bezpieczeństwo zasobów ludzkich A.8.1 Przed zatrudnieniem A.8.1.1 Role i odpowiedzialności A.8.1.2 Postępowanie sprawdzające A.8.1.3 Zasady i warunki zatrudnienia Dokumentacja ZSZ określa role i zakresy odpowiedzialności dla osób bezpośrednio związanych z danym procesem, a w dokumentacji opisującej proces zatrudniania uwzględniono zamieszczanie stosownych zapisów w zakresie obowiązków tych osób. Zdefiniowano System zatrudniania pracowników w Województwa Małopolskiego, który określa elementy związane ze sprawdzaniem kandydatów oraz realizacją celów w obszarze osobowego. Standardowym elementem procedury rekrutacyjnej jest opracowanie zakresu obowiązków zawierającego wymagania związane Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08). Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08). Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08) Zarządzenie Nr 46/07 Marszałka WM z dnia kwietnia 2007 r. w sprawie zmiany Zarządzenia Nr 43/206 Marszałka WM z dnia 6 lutego 2006 r. w sprawie Instrukcji Kancelaryjnej dla Marszałkowskiego WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM Strona 7 z 29
A.8.2 A.8.2.1 Odpowiedzialność kierownictwa A.8.2.2 Uświadomienie, kształcenie i szkolenia z zakresu A.8.2.3 Postępowanie dyscyplinarne z bezpieczeństwem. Podczas zatrudnienia Zapisy umów o pracę i umów ze stronami trzecimi, jak i określone obowiązki i odpowiedzialności dla pracowników zawierają zapisy odnośnie. Wszyscy nowo zatrudnieni pracownicy muszą przejść obowiązkowe szkolenie z zakresu ZSZ. Dodatkowo, w Urzędzie przeprowadzono serię szkoleń dla wszystkich pracowników dotyczących. Pracownicy przechodzą cykliczne szkolenia z zakresu. Pracownicy w miarę potrzeb mają również możliwość odbywania dodatkowych szkoleń zewnętrznych. Reguły zarządzania zasobami ludzkimi w Urzędzie definiują również postępowanie dyscyplinarne. A.8.3 Zakończenie lub zmiana zatrudnienia A.8.3.1 Odpowiedzialności związane z zakończeniem zatrudnienia A.8.3.2 Zwrot aktywów A.8.3.3 Odebranie praw dostępu Odpowiedzialności związane z zakończeniem zatrudnienia zostały określone w regułach zarządzania zasobami ludzkimi w Urzędzie. Zasady dotyczące zwrotu aktywów po zakończeniu zatrudnienia są stosowane zgodnie z regułami obowiązującymi w Urzędzie. Odebranie praw dostępu w wyniku zakończenia zatrudnienia lub zmiany stanowiska określone zostały w Zarządzeniu nr 136/07 Marszałka Województwa Małopolskiego z 9 listopada 2007 r. w sprawie wprowadzenia w Województwa Małopolskiego systemów informatycznych wspomagających funkcjonowanie i zarządzanie Urzędem Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Polecenie Służbowe Nr 35/06 Dyrektora z dnia 4 października 2006 r. w sprawie przyjęcia Księgi Procesów Zintegrowanego Systemu Zarządzania z późn. zm. Zarządzenie Nr 128/06 Marszałka WM z dnia 29 września 2006 r. w sprawie wprowadzenia Systemu rozwoju zasobów ludzkich Marszałkowskiego WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. A.9 Bezpieczeństwo fizyczne i Strona 8 z 29
A.9.1 A.9.1.1 Fizyczna granica obszaru A.9.1.2 Fizyczne zabezpieczenie wejścia A.9.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń A.9.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi środowiskowe Obszary bezpieczne Granice obszaru bezpiecznego wyznaczone są przez konstrukcję budynków będących siedzibami organizacji. Każde z wejść jest nadzorowane. Standaryzacja zagadnień związanych z bezpieczeństwem fizycznym w Województwa Małopolskiego jest przedmiotem procedur fizycznego w Urzędzie. Ustanowiono stanowiska recepcyjne oraz ustalono zasady dotyczące w miejscu pracy, dostępu do kluczowych pomieszczeń. Standaryzacja zagadnień związanych z bezpieczeństwem fizycznym w Województwa Małopolskiego jest przedmiotem procedur fizycznego w Urzędzie. Zabezpieczenie biur, pomieszczeń i urządzeń realizowane jest w następujący sposób: 1.Ustalono zasady dostępu do najważniejszych zasobów i pomieszczeń w organizacji. 2.W organizacji obowiązują: reguła własnego klucza, reguła zamkniętego pomieszczenia, reguła zabezpieczenia dokumentów, reguła czystego biurka, reguła zablokowanego komputera, reguła wolnej drukarki, reguła czystego kosza, reguła legalności przebywania w obiektach po godzinach pracy i w dni wolne od pracy, reguła zabezpieczania pieczęci, reguła zabezpieczania ruchomego majątku. 3.Standaryzacja zagadnień związanych z bezpieczeństwem fizycznym w Urzędzie Marszałkowskim Województwa Małopolskiego jest przedmiotem procedur fizycznego w Urzędzie. Zasady ochrony przed zagrożeniami zewnętrznymi i środowiskowymi. Większość pomieszczeń wyposażona została w czujki przeciwpożarowe oraz gaśnice. Strona 9 z 29 Krakowie
A.9.1.5 Praca w obszarach bezpiecznych A.9.1.6 Obszary publicznie dostępne, dostaw i załadunku A.9.2 A.9.2.1 Lokalizacja i ochrona sprzętu A.9.2.2 Systemy wspomagające A.9.2.3 Bezpieczeństwo okablowania A.9.2.4 Konserwacja sprzętu A.9.2.5 Bezpieczeństwo sprzętu poza siedzibą Polecenie Służbowe Nr 26/08 Dyrektora z dnia 7 listopada 2008 r. w sprawie obowiązujących pracowników Marszałkowskiego Krakowie Dokument ten formalizuje też sposoby dostępu do pomieszczeń biurowych dla osób trzecich. Osoby przebywające w obszarach biurowych traktowane są zgodnie z zasadami przyjmowania gości w Urzędzie. Bezpieczeństwo sprzętu Systemy przetwarzające dane są rozmieszczone w obiektach i pomieszczeniach zamkniętych, oddzielonych od części ogólnodostępnej, z ograniczonym dostępem liczby osób. Określono zasady dostępu do kluczowych zasobów i lokalizacji. Dokument Zasady zarządzania Marszałkowskiego Krakowie określa minimalne wymagania dotyczące zasilania awaryjnego. Pomieszczenia, w których znajdują się urządzenia systemów informatycznych posiadają zasilanie rezerwowe. Pomieszczenia, w których znajdują się urządzenia systemów informatycznych posiadają pojedyncze lub redundantne systemy klimatyzacji. Okablowanie strukturalne lokalnych sieci komputerowych zostało położone w sposób minimalizujący ryzyko nieautoryzowanego dostępu (przewody prowadzone w listwach maskujących). Serwery i stacje robocze serwisowane są zgodnie z umowami gwarancyjnymi oraz przez pracowników Zespołu ds. Informatyki i Zespołu Geodezji i Baz Danych. Określono zasady wykorzystania komputerów przenośnych w Urzędzie oraz opracowano metody zabezpieczenia danych Strona 10 z 29 Instrukcje
A.9.2.6 Bezpieczne zbywanie lub przekazywanie do ponownego użycia A.9.2.7 Wynoszenie mienia na twardych dyskach tych komputerów. W zakresie bezpiecznego niszczenia nośników, wymagania zostały określone w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. Obowiązujące w Urzędzie praktyki dotyczące wynoszenia mienia i dokumentów (zgodnie z dokumentem Klasyfikacja Informacji) poza obszar wymagają zgody odpowiedniej osoby. Dodatkowo dokumentacja SZBI określa sposoby przechowywania poszczególnych zasobów informacyjnych. Pracownicy podpisują dokumenty wydania środka trwałego oraz są zobowiązani do zadbania o bezpieczeństwo aktywów. powierzonych A.10 Zarządzanie systemami i sieciami A.10.1 Procedury eksploatacyjne i zakresy odpowiedzialności A.10.1.1 Dokumentowanie procedur eksploatacyjnych A.10.1.2 Zarządzanie zmianami A.10.1.3 Podział obowiązków Wszystkie procedury eksploatacyjne dotyczące administrowania systemami informatycznymi są znane osobom wykonującym te czynności i są zamieszczone w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. W dokumencie Zasady Małopolskiego w Krakowie określono reguły kontroli zmian w eksploatacji systemów. Za bezpieczeństwo informatyczne odpowiedzialni są pracownicy Zespołu ds. Informatyki Departamentu Organizacyjnego, pracownicy Zespołu Informacji Publicznej Departamentu Społeczeństwa Informacyjnego, pracownicy Zespołu Geodezji i Baz Danych Departamentu Geodezji i Kartografii oraz wszyscy użytkownicy systemu informatycznego. Szczegółowy wykaz obowiązków został zawarty 6/08). Strona 11 z 29
A.10.1.4 Oddzielenie urządzeń rozwojowych, testowych i eksploatacyjnych w dokumencie Zasady Małopolskiego w Krakowie. Zgodnie z dokumentem Zasady Małopolskiego w Krakowie każde rozwiązanie stworzone poza Urzędem, przed zastosowaniem go w środowisku produkcyjnym, wymaga badań w środowisku testowym. Zasady dotyczące prac rozwojowych, testowania i eksploatacji rozwiązań informatycznych są zawarte w powyższym dokumencie. A.10.2 Zarządzanie usługami dostarczanymi przez strony trzecie A.10.2.1 Dostarczanie usług A.10.2.2 Monitorowanie i przegląd usług strony trzeciej A.10.2.3 Zarządzanie zmianami usług Podpisywanie umów na dostarczanie usług odbywa się zgodnie z zarządzeniem Marszałka Województwa Małopolskiego w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w Województwa Małopolskiego. Zostały tam zawarte wymagania wobec zawierania umów z dostawcami. Ponadto wymagania wobec zarządzania usługami dostarczonymi przez strony trzecie jest przedmiotem dokumentu Zasady zarządzania Marszałkowskiego Krakowie. Wymagania wobec stron trzecich dostarczających rozwiązania informatyczne są przedmiotem oceny dostawców oraz nadzorowania wykonania umów w Województwa Małopolskiego. Wymagania wobec zarządzania zmianami usług strony trzeciej są Strona 12 z 29 Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w WM z późn. zm.. Zarządzenie Nr 87/07 Marszałka WM z dnia 11 czerwca 2007 r. w sprawie udzielania zamówień publicznych w Urzędzie Marszałkowskim WM. Polecenie Służbowe Nr 35/06 Dyrektora z dnia 4 października 2006 r. w sprawie przyjęcia Księgi Procesów Zintegrowanego Systemu Zarządzania z późn. zm. Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w WM z późn. zm..
strony trzeciej A.10.3 A.10.3.1 Zarządzanie pojemnością systemów A.10.3.2 Odbiór systemu A.10.4 A.10.4.1 Zabezpieczenia przed kodem złośliwym A.10.4.2 Zabezpieczenia przed kodem mobilnym przedmiotem dokumentu Zasady Małopolskiego w Krakowie. Planowanie i odbiór systemów Podział odpowiedzialności i realizacja wymagań dokumentu Zasady zarządzania Marszałkowskiego Krakowie, rejestrowanie informatycznych incydentów oraz tworzenie dzienników systemowych eksploatowanych systemów gwarantuje prawidłowy proces planowania pojemności systemów. Za prawidłowy odbiór systemu odpowiedzialny jest pracownik Zespołu ds. Informatyki, Zespołu ds. Informacji Publicznej lub Zespołu Geodezji i Baz Danych w ramach wymagań zawartych w dokumencie Zasady Małopolskiego w Krakowie. Ochrona przed kodem złośliwym i kodem mobilnym Wdrożono systemy antywirusowe działające na poszczególnych stacjach roboczych oraz skanujące zawartość poczty elektronicznej. Określono reguły bezpiecznego wykorzystania zasobów informatycznych, minimalizujące szkodliwość szkodliwego oprogramowania. Wdrożono szereg zabezpieczeń technicznych zabezpieczających Urząd przed kodem mobilnym kontrolę dostępu i ograniczanie praw użytkowników w systemach, mechanizmy antywirusowe na stacjach roboczych i serwerach Proxy oraz oprogramowanie typu anty spam na serwerach poczty. Sieć chroniona jest przez zastosowanie urządzeń firewall o odpowiednio skonfigurowanych politykach ruchu. Określono reguły bezpiecznego wykorzystania zasobów informatycznych, minimalizujące szkodliwość szkodliwego Strona 13 z 29 Plan Minimalizacji Ryzyka w Urzędzie Marszałkowskim WM (dokument o 4/08). Umowa nr I/951/OR/3636/07 z firmą Comarch zarządzanie, monitorowanie i serwisowanie sieci rozleglej UMWM.
oprogramowania. A.10.5 A.10.5.1 Zapasowe kopie Kopie zapasowe Zdefiniowano formalne obowiązki i wymagania tworzenia, odtwarzania, przechowywania i testowania kopii zapasowych w ramach dokumentu Zasady Małopolskiego w Krakowie. A.10.6 Zarządzanie bezpieczeństwem sieci A.10.6.1 Zarządzanie bezpieczeństwem Zabezpieczenia sieci zawiera się w sieci odpowiedzialności pracowników Zespołu Informatyki i Zespołu Geodezji i Baz danych w Urzędzie i podlega zasadom opisanym w Zasady zarządzania Marszałkowskiego Krakowie A.10.6.2 Bezpieczeństwo usług sieciowych Zarządzanie bezpieczeństwem usług sieciowych zawiera się w odpowiedzialności pracowników zespołu teleinformatyki i zespołu Geodezji i Baz Danych w Urzędzie i podlega zasadom opisanym w Zasady zarządzania Marszałkowskiego Krakowie A.10.7 A.10.7.1 Zarządzanie wymiennymi nośnikami komputerowymi A.10.7.2 Niszczenie nośników A.10.7.3 Procedury postępowania z informacjami Obsługa nośników Opracowano i wdrożono zasady oznaczania nośników danych w instrukcjach wykonywania kopii zapasowych oraz Zasadach klasyfikacji. Niszczenie nośników odbywa się zgodnie z regułami opisanymi w ramach dokumentu Zasady Małopolskiego w Krakowie. W dokumencie Klasyfikacji Informacji określono reguły postępowania z informacjami. Postępowanie z nośnikami o szczególnym znaczeniu (kopie zapasowe) zostało opisane w dokumencie Zasady Strona 14 z 29 Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08). Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08).
A.10.7.4 Bezpieczeństwo dokumentacji systemowej A.10.8 A.10.8.1 Polityki i procedury wymiany A.10.8.2 Umowy wymiany A.10.8.3 Transportowanie nośników fizycznych A.10.8.4 Wiadomości Małopolskiego w Krakowie. Pracownicy odbyli szkolenie z zakresu podstawowych wymagań w Urzędzie i została im przedstawiona klasyfikacja. Dokumentacja systemów informatycznych jest przechowywana przez pracowników zajmujących się administracją systemu w sposób zabezpieczający przed nieuprawnionym dostępem. Wymiana Elementem dokumentu Zasady Małopolskiego w Krakowie oraz Zasady związane z bezpieczeństwem dla pracowników Marszałkowskiego są określenie polityki korzystania z usług sieciowych dla użytkowników systemów. Pracownicy zostali poinformowani, o ryzyku ujawnienia chronionych, występującego podczas prowadzenia rozmów w miejscach publicznych. W dokumencie Klasyfikacja Informacji określono sposób udostępniania wewnątrz oraz na zewnątrz. Zapisy dotyczące, zachowania poufności wobec stron trzecich zostały wprowadzone zarządzeniem Marszałka Województwa Małopolskiego w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w Województwa Małopolskiego. Zagadnienia te zostały opisane w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. Każdy z pracowników został przeszklony i jest zobowiązany do zapewnienia wykorzystywanych nośników fizycznych. Wdrożono systemy antywirusowe na stacjach roboczych oraz Strona 15 z 29 7/08) Klasyfikacja Informacji w Urzędzie Marszałkowskim WM (dokument o ograniczonym dostępie - OR.I.0195/2-2/08) Zarządzenie Nr 18/2008 Marszałka Województwa Małopolskiego z dnia 13 lutego 2008 r. w sprawie wprowadzenia Generalnego Rejestru Umów i Zleceń w WM z póżn. zm..
elektroniczne A.10.8.5 Biznesowe systemy informacyjne A.10.9 A.10.9.1 Handel elektroniczny A.10.9.2 Transakcje on-line A.10.9.3 Informacje publicznie dostępne na serwerze poczty, dzięki czemu wiadomości w tym także załączniki sprawdzane są pod kątem zawartości oprogramowania szkodliwego. Dodatkowo opracowano dokument Zasady związane z bezpieczeństwem dla pracowników Marszałkowskiego regulujący sposoby bezpiecznego wykorzystania poczty elektronicznej. Wdrożono system antyspamowy eliminujący niechcianą pocztę elektroniczną. Zasady dotyczące systemów informacyjnych wykorzystywanych przez pracowników opisane są w dokumencie Zasady związane z bezpieczeństwem dla pracowników Marszałkowskiego, z których pracownicy zostali przeszkoleni. Usługi handlu elektronicznego Handel elektroniczny prowadzony jest w zakresie tematycznym Zespołu Geodezji i Baz Danych. Bezpieczne oprogramowanie realizowane jest przez firmę zewnętrzną. Wyznaczono również osobę, która odpowiada za obsługę transakcji. Systemy wykorzystywane przy transakcjach on-line podlegają zasadom administrowania zgodnym z zasadami zarządzania systemami informatycznymi, co gwarantuje ich prawidłowe funkcjonowanie i bezpieczeństwo. W urzędzie funkcjonują zasady i odpowiedzialności określające postępowanie w przypadku tworzenia i publikowania na oficjalnych stronach urzędu. A.10.10 A.10.10.1 Dziennik audytu Monitorowanie Rejestrowanie zdarzeń odbywa się zgodnie z domyślnymi ustawieniami systemów audytu na poszczególnych serwerach. Zgodnie z dokumentem Zasady Strona 16 z 29
A.10.10.2 Monitorowanie użycia systemu A.10.10.3 Ochrona zawartych w dziennikach A.10.10.4 Dzienniki administratora i operatora A.10.10.5 Rejestrowanie błędów A.10.10.6 Synchronizacja zegarów Małopolskiego w Krakowie wyznaczono odpowiedzialności oraz wymagania dotyczące dokonywania wpisów w dziennikach systemowych dla każdego systemu. Na serwerach włączone są dzienniki zdarzeń aplikacji i systemu. Dostęp do logów systemowych i dzienników zdarzeń jest ograniczany do poszczególnych Administratorów Systemów. Administratorzy poszczególnych systemów informacyjnych prowadzą rejestry czynności dla utrzymywanych systemów informatycznych. W ramach uzupełniania dzienników systemowych realizuje się adnotacje o błędach dotyczących każdego utrzymywanego systemu informatycznego. Systemy informatyczne w mają zapewnioną synchronizacje zegarów. Stosowana jest synchronizacja wszystkich zegarów stacji roboczych wewnątrz domen. Logi systemowe. Instrukcja WM (dokument o ograniczonym dostępie OR.I.0195/2-6/08). Instrukcja WM (dokument o ograniczonym dostępie OR.I.0195/2-6/08). A.11 Kontrola dostępu A.11.1 Wymagania biznesowe wobec kontroli dostępu A.11.1.1 Zarządzanie dostępem oraz Polityka kontroli sposób przydzielania uprawnień dostępu realizowane jest przez wyznaczonych pracowników Zespołu ds. Informatyki zgodnie z dokumentem Zasady Małopolskiego w Krakowie. A.11.2 Zarządzanie dostępem użytkowników A.11.2.1 Rejestracja użytkowników A.11.2.2 Zarządzanie przywilejami Uprawnienia do systemów informatycznych są nadawane według dokumentu Zasady Małopolskiego w Krakowie. Zarządzanie przywilejami jest realizowane w oparciu dokument Zasady zarządzania Strona 17 z 29
A.11.2.3 Zarządzanie hasłami użytkowników A.11.2.4 Przegląd praw dostępu użytkowników A.11.3 A.11.3.1 Używanie haseł A.11.3.2 Pozostawienie sprzętu użytkownika bez opieki A.11.3.3 Polityka czystego biurka i czystego ekranu A.11.4 A.11.4.1 Polityka Marszałkowskiego Krakowie. Zarządzanie i wykorzystanie haseł użytkowników opisane jest dokumencie Zasady zarządzania Marszałkowskiego Krakowie oraz Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Zgodnie z wymaganiami w dokumencie Zasady zarządzania Marszałkowskiego Krakowie poszczególni administratorzy są odpowiedzialni za proces zarządzania uprawnieniami, w szczególności za okresowe przeglądanie uprawnień. Odpowiedzialność użytkowników W ramach dokumentacji SZBI została zdefiniowana polityka haseł w stosunku do wszystkich systemów informatycznych. Pracownicy są zobowiązani do zachowania w poufności haseł i identyfikatorów. Użytkownicy zostali poinformowani, o konieczności zabezpieczania sprzętu komputerowego przed nieupoważnionym dostępem, w przypadku zawieszenia pracy. Stanowią to wymagania dotyczące procedur fizycznego oraz dokumentu Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Polityka czystego biurka i czystego ekranu stanowi wymagania dotyczące procedur fizycznego oraz dokumentu Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Kontrola dostępu do sieci Użytkownicy mają dostęp jedynie do usług podstawowych Strona 18 z 29 7/08)
korzystania z usług sieciowych A.11.4.2 Uwierzytelnianie użytkowników przy połączeniach zewnętrznych A.11.4.3 Identyfikacja urządzeń w sieciach A.11.4.4 Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A.11.4.5 Rozdzielenie sieci A.11.4.6 Kontrola połączeń sieciowych A.11.4.7 Kontrola rutingu w sieciach A.11.5 wymaganych do pracy. Zasady te określone zostały w dokumentacji systemowej. Pracownicy zostali przeszkoleni z zakresu bezpiecznego wykorzystania usług sieciowych, a wymagania dla pracowników zostały zamieszczone w dokumencie Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Agendy zamiejscowe UMWM są uwierzytelniane za pomocą hasła i identyfikatora. Połączenia zewnętrzne realizowane są wyłącznie przy pomocy tuneli szyfrowanych (VPN). Użytkownik korzystając z VPN musi uwierzytelnić się przy pomocy loginu i hasła. Dokumentacja techniczna i wymagania stawiane systemom określają rozwiązania, w których jest wymagana automatyczna identyfikacja terminalu. Urządzenia sieciowe umieszczone są w odpowiednio chronionych miejscach. Dostęp logiczny do konfiguracji urządzeń sieciowych został zabezpieczony poprzez wymuszenie zalogowania się. Kluczowe systemy informatyczne są oddzielone od ogólnej sieci informatycznej dla zwiększenia. Kluczowe systemy informatyczne Departamentu Geodezji i Kartografii są oddzielone od sieci użytkowników przez zastosowanie VLAN-ów dla zwiększenia. Sieć informatyczna i Departamentu Geodezji i Kartografii nie jest współdzielona pomiędzy wieloma organizacjami. Ruch przychodzący i wychodzący jest filtrowany. Adresy w sieci lokalnej nie są adresami rutowalnymi. W Urzędzie stosuje się translację adresów. Ruting pomiędzy VLAN-ami w sieci Departamentu Geodezji i Kartografii jest kontrolowany cyklicznie przez Administrator Systemu Departamentu Geodezji i Kartografii. Kontrola dostępu do systemów Strona 19 z 29 Instrukcja WM (dokument o ograniczonym dostępie OR.I.0195/2-6/08). Instrukcja WM (dokument o ograniczonym dostępie OR.I.0195/2-6/08).
A.11.5.1 Procedury bezpiecznego logowania się A.11.5.2 Identyfikacja i uwierzytelnianie użytkowników A.11.5.3 System zarządzania hasłami A.11.5.4 Użycie systemowych programów narzędziowych A.11.5.5 Zamykanie sesji po określonym czasie A.11.5.6 Ograniczenie czasu trwania połączenia operacyjnych Sposób logowania został zaprojektowany tak, aby nie wyświetlać mogących ułatwić dostęp do zasobów elektronicznych. W szczególności: 1. blokuje wyświetlanie komunikatów pomocniczych w trakcie trwania procedury rejestrowania; 2. zatwierdzane są jedynie kompletne informacje wejściowe; 3. ograniczona została liczba nieudanych prób logowania. Każdy użytkownik sieci posiada własny, niepowtarzalny identyfikator oraz indywidualne hasło, chronione zgodnie z dokumentacją Systemu Zarządzania Bezpieczeństwem Informacji. W Urzędzie stacje robocze zarządzane są w sposób odpowiedni poprzez wspólne wymagania haseł w poszczególnych domenach. Obowiązujące w dokumentacji Systemu Bezpieczeństwa reguły zarządzania hasłami dostępu gwarantują bezpieczeństwo tego rozwiązania. Dostęp do programów narzędziowych jest ograniczony poprzez nadawanie użytkownikom odpowiednich uprawnień. Pracownicy są zobowiązani do niewykorzystywania oprogramowania pozwalającego na ominięcie bądź identyfikację mechanizmów. Zgodnie z procedurami fizycznego dla pracowników, pracownicy są zobowiązani do blokowania komputera przy odejściu od stanowiska pracy. Komputery zostały skonfigurowane w ten sposób, by po określonym czasie uruchamiał się wygaszasz ekranu zabezpieczony hasłem. W połączeniach zewnętrznych VPN jest stosowane ograniczenie czasu trwania połączenia. Strona 20 z 29
A.11.6 A.11.6.1 Ograniczenie dostępu do A.11.6.2 Izolowanie systemów wrażliwych A.11.7 A.11.7.1 Przetwarzanie i komunikacja mobilna A.11.7.2 Praca na odległość Kontrola dostępu do aplikacji Dostęp do w poszczególnych systemach jest realizowany poprzez przydzielanie uprawnień zgodnie z dokumentem Zasady zarządzania Marszałkowskiego Krakowie. Systemy szczególnie istotne dla funkcjonowania znajdują się w oddzielnych segmentach sieci teleinformatycznej. Przetwarzanie mobilne i praca na odległość Opracowano zasady postępowania i ochrony komputerów przenośnych w dokumencie Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Wszyscy pracownicy zostali przeszkoleni w zakresie ochrony komputerów przenośnych oraz innych urządzeń mobilnych. Regulacje dotyczące pracy zdalnej są przedmiotem dokumentu Zasady zarządzania Marszałkowskiego Krakowie. Z pracy zdalnej korzystają pracownicy Zespołu ds. Informatyki (Administrator Bezpieczeństwa Informacji, Administrator Bezpieczeństwa Systemu Informatycznego, Administrator Systemu i Sieci) w celu zarządzania systemem Informatycznym oraz Administrator Systemu Departamentu Geodezji i Kartografii celem zarządzania siecią Departamentu Geodezji i Kartografii oraz czterech pracowników Zespołu ds. Informacji Publicznej w celu zarządzania portalem Wrota Małopolski oraz stroną urzędową. Ww. pracownicy wykorzystują do pracy zdalnej sesje VPN z Urzędem. Po nawiązaniu połączenia VPN, korzystanie z sieci publicznej jest chronione przez firewall. A.12 Pozyskiwanie, rozwój i utrzymanie systemów Analiza Ryzyka Utraty Informacji w UMWM (dokument o ograniczonym dostępie OR.I.0195/2-3/08) Strona 21 z 29
informatycznych A.12.1 Wymagania systemów informatycznych A.12.1.1 Analiza i opis wymagań Role i odpowiedzialności oraz wymagania dla procesu wdrażania nowych systemów definiują zapisy dokumentu Zasady zarządzania Marszałkowskiego Krakowie. A.12.2 Poprawne przetwarzanie w aplikacjach A.12.2.1 Potwierdzenie poprawności danych wejściowych A.12.2.2 Kontrola wewnętrznego przetwarzania A.12.2.3 Integralność wiadomości A.12.2.4 Potwierdzenie ważności danych wyjściowych A.12.3 A.12.3.1 Polityka zabezpieczeń kryptograficznych Każda aplikacja wspomagająca zarządzanie i funkcjonowanie ma przypisanego opiekuna, który jest odpowiedzialny merytorycznie za aplikacje i znajdujące się tam dane. Każda aplikacja wspomagająca zarządzanie i funkcjonowanie ma przypisanego opiekuna, który jest odpowiedzialny merytorycznie za aplikacje i znajdujące się tam dane. Obecnie wykorzystywane aplikacje wymagające uwierzytelniania wiadomości stosują firmowe rozwiązania twórców oprogramowania (systemy bankowości elektronicznej). Nie ma potrzeby implementacji tego rodzaju technik w innych elementach pracy. Urząd w chwili obecnej nie tworzy samodzielnie oprogramowania. Wszystkie obowiązki wynikające z niniejszego punktu przeniesione są na wykonawcę tego oprogramowania, który zapewnia zgodność rozwiązań ze specyfikacją oraz wymaganiami SZBI. Zabezpieczenia kryptograficzne Stosowanie zabezpieczeń kryptograficznych, podlega takim samym obowiązkom określenia funkcjonalności i dokumentowania jak inne wdrażane rozwiązania zgodnie z dokumentem Zasady Małopolskiego w Krakowie. A.12.3.2 Zarządzanie kluczami kryptograficznymi realizowane jest Strona 22 z 29 Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM. Zarządzenie Nr 146/06 Marszałka WM z dnia 6 grudnia 2006 r. w sprawie wprowadzenia: Systemu zatrudniania pracowników w WM.
Zarządzanie kluczami z uwzględnieniem wymagań poszczególnych systemów. A.12.4 Bezpieczeństwo plików systemowych A.12.4.1 Kontrola eksploatowanego oprogramowania A.12.4.2 Ochrona systemowych danych testowych A.12.4.3 Kontrola dostępu do kodu źródłowego Reguły kontroli zmian w eksploatowanym oprogramowaniu opisano w dokumencie Zasady Małopolskiego w Krakowie. Wymagania w zakresie testowania poprawek i aktualizacji w środowiskach testowych, zostały określone w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. Dane testowe podlegają takiej samej ochronie jak dane produkcyjne. Wszystkie prace nad tworzeniem oprogramowania realizowane są przez firmy zewnętrzne i tylko one posiadają aktualne kody źródłowe. W przypadku aplikacji opartych na PHP lub podobnych dostęp do uaktualnienia kodu mają tylko administratorzy systemu. A.12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej A.12.5.1 Procedury kontroli Proces wdrażania zmian, został zawarty w dokumencie Zasady zmian Małopolskiego w Krakowie. A.12.5.2 Czynności wykonywane okresowo Techniczny w ramach procesu zarządzania przegląd aplikacji systemami informatycznymi, po zmianach w zostały określone w dokumencie systemie Zasady zarządzania operacyjnym Marszałkowskiego Krakowie. A.12.5.3 Ograniczenia dotyczące zmian w pakietach oprogramowania A.12.5.4 Wyciek Proces wdrażania zmian, został opisany w dokumencie Zasady Małopolskiego w Krakowie. Urząd dokonuje zakupu oprogramowania tylko ze sprawdzonych źródeł. Procedura przetargowa oraz testowanie Strona 23 z 29
A.12.5.5 Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej nowo wdrażanych rozwiązań gwarantuje bezpieczeństwo wdrażanego oprogramowania. Na stacjach roboczych zainstalowano oprogramowanie antywirusowe, które chroni przed oprogramowaniem powodującym wycieki np. trojany. Obecnie w Urzędzie rozwijane są liczne aplikacje przez firmy zewnętrzne. Odbiorowi oprogramowania towarzyszy kontrola jakości wykonania aplikacji. Przedmiotem umów z firmami zewnętrznymi są zapisy mówiące o: - zapewnienia o zachowaniu poufności wszelkich zdobytych podczas świadczenia usług, - określenia osób do kontaktu z obu stron, - precyzyjnego wskazania formy wymiany danych z firmą zewnętrzną. Aplikacje wdrażane są w środowisku testowym a po przeprowadzeniu pomyślnych testów są uruchamiane na serwerach produkcyjnych. A.12.6 Zarządzanie podatnościami technicznymi A.12.6.1 Nadzór nad podatnościami technicznymi Zasady postępowania w odniesieniu do podatności technicznych określone zostały w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. A.13 Zarządzanie incydentami związanymi z bezpieczeństwem A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem i słabości A.13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem Wszyscy pracownicy zostali zobowiązani do informowania o zauważonych incydentach zgodnie z wymaganiami dokumentu Zasady związane z bezpieczeństwem w Województwa Małopolskiego. Wszystkie incydenty są rejestrowane w systemie helpdesk. Strona 24 z 29 A.13.1.2 Wszyscy pracownicy zostali
Zgłaszanie słabości systemu zobowiązani do informowania, o zauważonych słabościach zgodnie z wymaganiami dokumentu Zasady związane z bezpieczeństwem w Województwa Małopolskiego. A.13.2 Zarządzanie incydentami związanymi z bezpieczeństwem i udoskonalenia A.13.2.1 Role i odpowiedzialności Odpowiedzialność dotyczące naruszeń i procedury zostały przypisane w dokumencie Zasady zarządzania Marszałkowskiego Krakowie. Dodatkowo rejestrowane są wszelkie nieprawidłowości w dziennikach systemowych zgodnie z powyższym dokumentem. Wymagania odnośnie zgłaszania naruszeń zawarte zostały w dokumencie Zasady związane z bezpieczeństwem w Województwa Małopolskiego. A.13.2.2 Zidentyfikowane incydenty Nauka płynąca z są występowania odnotowywane incydentów w odpowiednich rejestrach i są przedmiotem okresowych przeglądów i analiz. A.13.2.3 Gromadzenie materiału dowodowego Wymagania dotyczące gromadzenia materiału dowodowego naruszeń zostały zamieszczone w dokumencie Zasady związane z bezpieczeństwem w Województwa Małopolskiego. A.14 Zarządzanie ciągłością działania A.14.1 Aspekty w zarządzaniu ciągłością działania A.14.1.1 Włączanie do procesu zarządzania ciągłością działania 7/08) OR.IV.0725/11-./06 OR.IV.0725/2-../07 OR.IV.0725-16/08 Proces zarządzania ciągłością Strategia Ciągłości Działania w Urzędzie działania jest przedmiotem Marszałkowskim Województwa dokumentu Strategia ciągłości Małopolskiego (dokument o ograniczonym działania i opiera się o okresowo dostępie OR.I.0195/2-5/08). aktualizowaną analizę ciągłości działania. W dokumencie określono najważniejsze zagrożenia dla ciągłości procesów biznesowych, kluczowe Strona 25 z 29
A.14.1.2 Ciągłość działania i szacowanie ryzyka A.14.1.3 Opracowanie i wdrożenie planów ciągłości uwzględniających bezpieczeństwo A.14.1.4 Struktura planowania ciągłości działania A.14.1.5 Testowanie, utrzymywanie i ponowna ocena planów ciągłości działania zasoby oraz zabezpieczenia. Dodatkowo opracowano zasady tworzenia, testowania i wykonywania planów awaryjnych. Zdefiniowano dokument Strategia ciągłości działania. Dokument podlega okresowym przeglądom w celu zapewnienia jego aktualności. Opracowano zasady tworzenia, testowania i wykonywania planów awaryjnych. Wynikają one z dokumentu Strategia ciągłości działania. Wymagania definiują że wszystkie plany ciągłości działania muszą określać warunki uruchomienia (początkowe) oraz osoby odpowiedzialne za opracowanie i aktualność tych planów. Opracowano zasady tworzenia, testowania i wykonywania planów awaryjnych. Wynikają one z dokumentu Strategia ciągłości działania. A.15 Zgodność A.15.1 Zgodność z przepisami prawnymi A.15.1.1 W ramach Zintegrowanego Określenie Systemu Zarządzania odpowiednich obowiązującego przepisów w Urzędzie definiuje się prawnych wymagania prawne dla. A.15.1.2 Prawo do własności intelektualnej A.15.1.3 Ochrona zapisów organizacji Zgodnie z dokumentem Zasady związane z bezpieczeństwem w Województwa Małopolskiego pracownicy odpowiedzialni za oprogramowanie systemów informatycznych zostali zobowiązani do przestrzegania prawa w zakresie ochrony praw autorskich. Wprowadzono ograniczone uprawnienia na stacjach roboczych w celu uniemożliwienia instalowania oprogramowania przez użytkowników. W dokumentacji SZBI określono zasady odnośnie czasu i sposobu przechowywania zapisów. Dla zapisów regulowanych prawnie jak np. zapisy księgowe, stosuje się zasady określone w odpowiednich ustawach. Strategia Ciągłości Działania w Urzędzie Marszałkowskim Województwa Małopolskiego (dokument o ograniczonym dostępie OR.I.0195/2-5/08). Strategia Ciągłości Działania w Urzędzie Marszałkowskim Województwa Małopolskiego (dokument o ograniczonym dostępie OR.I.0195/2-5/08). Strategia Ciągłości Działania w Urzędzie Marszałkowskim Województwa Małopolskiego (dokument o ograniczonym dostępie OR.I.0195/2-5/08). Strategia Ciągłości Działania w Urzędzie Marszałkowskim Województwa Małopolskiego (dokument o ograniczonym dostępie OR.I.0195/2-5/08). Strona 26 z 29
A.15.1.4 Ochrona danych osobowych i prywatność dotyczących osób fizycznych A.15.1.5 Zapobieganie nadużywaniu środków przetwarzania A.15.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych W Urzędzie opracowano i wdrożono dokumenty związane z ochroną danych osobowych. Wszystkie osoby mające dostęp do danych osobowych mają upoważnienie Administratora Bezpieczeństwa Informacji do przetwarzania danych osobowych oraz odbyły stosowne szkolenie. Pracownicy nie powinni wykorzystywać środków przetwarzania w nieautoryzowanych celach bez stosownego pozwolenia. Wykorzystywane środki kryptograficzne nie wymagają certyfikacji. Jedynie podczas wdrażania rozwiązań kryptograficznych w urządzeniach aktywnych sieci, są składane oświadczenia w zakresie wykorzystywania tych rozwiązań. Systemy bankowe wymagające istnienia kluczy kryptograficznych nadzorowane są przez osoby merytoryczne w danej dziedzinie. A.15.2 Zgodność z politykami i normami oraz zgodność techniczna A.15.2.1 Zgodność z politykami i standardami Zgodnie z Księgą ZSZ, wdrożony Zintegrowany System Zarządzania został ustanowiony w sposób, który winien zagwarantować jego ciągłość w czasie, pomimo możliwych zmian w polityce systemu jak i jej celów. System podlega systematycznym okresowym przeglądom i audytom wewnętrznym, które służą stałemu jego doskonaleniu. A.15.2.2 Sprawdzanie zgodności technicznej Administratorzy systemów informatycznych są odpowiedzialni za nadzorowanie stanu technicznego systemów informatycznych. Strona 27 z 29 Zarządzenie Nr 91/08 Marszałka WM z dnia 12 listopada 2008 r. w sprawie przyjęcia Księgi Zintegrowanego Systemu Zarządzania UMWM. Zarządzenie Nr 86/2008 Marszałka WM z dnia 30 września 2008 roku w sprawie przyjęcia polityki Systemu Zarządzania Jakością, Systemu Zarządzania Środowiskiem, Systemu Zarządzania Bezpieczeństwem i Higieną Pracy oraz Systemu Zarządzania Bezpieczeństwem Informacji. Zarządzenie Nr 125/06 Marszałka WM z dnia 11 września 2006 r. w sprawie regulaminu przeprowadzania audytów ZSZ oraz działań korygujących i zapobiegawczych w UMWM. Opisy stanowisk pracowników Zespołu OR.IV. A.15.3 Rozwiązania dotyczące audytu systemów informacyjnych A.15.3.1 Narzędzia audytowe Klasyfikacja Informacji w Urzędzie