Instrukcja zarządzania systemem informatycznym



Pobieranie 81,68 Kb.
Data22.12.2017
Rozmiar81,68 Kb.


INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
SŁUŻĄCYM DO PRZETWARZANIE DANYCH OSOBOWYCH


SPIS TREŚCI


§ 1. Ustalenia ogólne 2

1.1 Podstawy prawne 2

1.2 Definicje 2

1.3 Zasady obowiązywania Instrukcji. 2

1.4 Osoby odpowiedzialne za bezpieczeństwo danych. 3

1.4 Wykaz osób odpowiedzialnych. 4



§2 Ogólne zasady eksploatacji systemu 5

2.1 Określenie systemu 5

2.2 Osoby dopuszczone do pracy w systemie. 5

2.3 Pomieszczenia systemu 7

2.4 Pomieszczenie bezpieczeństwa systemu 8

2.5 Naruszenie pomieszczeń systemu 9



§3 Zarządzanie, administracja i kontrola systemu informatycznego 10

3.1 Ogólne wymagania bezpieczeństwa systemu 10

3.2 Zasady dostępu użytkowników do systemu informatycznego. 11

3.3 Hasła 11

3.4 Kopie zabezpieczające 11

3.5 Zabezpieczenie antywirusowe 13

3.6 Zasady wprowadzania zmian do systemu. 14

3.7 Zasady postępowania z nośnikami zawierającymi dane systemu. 15

3.8 Zasady postępowania w przypadku uszkodzenia lub naruszenie bezpieczeństwa systemu 16

§4 Przetwarzanie danych w systemie 16

4.1 Ogólne ustalenia dotyczące bezpieczeństwa danych przetwarzanych w systemie 16



4.2 Nieprawidłowości systemu informatycznego przy przetwarzaniu danych 17

§5 Dokumentacja Bezpieczeństwa Systemu 17

§ 1. Ustalenia ogólne


Niniejsza Instrukcja reguluje zasady zarządzania zabezpieczeniami systemów informatycznych, wykorzystywanych do zbierania i przetwarzania danych osobowych w Urzędzie Gminy w Kramsku w celu zapewnienia ochrony tych danych.
    1. Podstawy prawne


Instrukcja została sporządzona w oparciu o następujące akty prawne:

      1. Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).

      2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
        w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024).

      3. Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego ( Dz. U. Nr 171, poz. 1433).
    1. Definicje


      1. Dane osobowe – dane podlegające ochronie w myśl Ustawy o ochronie danych osobowych

      2. Oprogramowanie systemu – oprogramowanie systemu informatycznego, w którym przetwarzane są informacje zawierające dane osobowe.

      3. Dane systemu – informacje przetwarzane w systemie informatycznym, zawierające dane osobowe.

      4. Nośnik – urządzenie lub element informatyczny, na którym można trwale lub czasowo zapisać dane systemu, np. dysk twardy, zip, dysk elastyczny, płyta CD-ROM, kaseta z taśmą magnetyczną i inne.
    1. Zasady obowiązywania Instrukcji.


      1. Niniejsza Instrukcja zostaje wprowadzona w życie decyzją Wójta Gminy Kramsk
        i obowiązuje do odwołania. Wprowadzenie zmian do niniejszej Instrukcji odbywa się
        w trybie wydania kolejnej Instrukcji, uchylającej niniejszą. Kolejne wersje Instrukcji winny określać okres obowiązywania poprzednich oraz zawierać syntetyczne określenie wprowadzanych zmian.

      2. Nie dopuszcza się wykonywania innych czynności mających związek z systemem niż te, które przewiduje niniejsza Instrukcja oraz nie dopuszcza się wykonywania czynności przewidzianych niniejszą Instrukcją w sposób odmienny niż to przewidziano. Postanowienia niniejszego punktu nie oznaczają uchylenia w obszarze systemu innych przepisów prawa, regulujących zasady postępowania w Urzędzie Gminy, wynikających ze świadczenia pracy (w tym przepisów przeciwpożarowych, bezpieczeństwa i higieny pracy i innych).

      3. Niniejsza Instrukcja ma status dokumentu przeznaczonego do użytku wewnętrznego i może być udostępniana jedynie osobom upoważnionym (lub określonym) przez Wójta Gminy Kramsk do wglądu do niniejszej Instrukcji z mocy obowiązującego prawa.

      4. Instrukcja po zatwierdzeniu przez Wójta Gminy Kramsk, obowiązuje na terenie tej jednostki i dotyczy każdego systemu informatycznego eksploatowanego w Urzędzie Gminy, przetwarzającego dane osobowe.

1.4 Osoby odpowiedzialne za bezpieczeństwo danych.


      1. Za bezpieczeństwo danych osobowych w Urzędzie Gminy w Kramsku odpowiada Administrator Danych Osobowych.

      2. Za zapewnienie przestrzegania przepisów o ochronie danych osobowych odpowiedzialny jest Administrator Bezpieczeństwa Informacji.

      3. Wójt zatwierdza Wykaz osób odpowiedzialnych, wypełniony według wzoru przedstawionego w punkcie 1.5.

      4. Administrator Danych Osobowych wyznacza osoby zwane dalej Administratorem Systemów Informatycznych oraz Inspektorem Bezpieczeństwa Teleinformatycznego, dla każdego systemu informatycznego przetwarzającego dane osobowe, odpowiedzialnych za bezpieczeństwo tych danych, spełniających wymagania Ustawy o ochronie danych osobowych.

      5. Administrator Systemów Informatycznych odpowiada za poszczególne systemy informatyczne przetwarzające dane osobowe oraz informacje niejawne ściśle współpracując z Inspektorem Bezpieczeństwa Teleinformatycznego w zakresie bezpieczeństwa przetwarzanych danych osobowych i informacji niejawnych.


    1. Wykaz osób odpowiedzialnych.


Nazwa jednostki organizacyjnej

Urząd Gminy w Kramsku

Imię i nazwisko Administratora Danych Osobowych

Józef Karmowski




Imię i nazwisko Administratora Bezpieczeństwa Informacji data powołania

Maria Kordyl 07.11.2005




Imię i nazwisko Administratora Systemów Informatycznych

Karol Dolański 11.06.2007




Imię i nazwisko Inspektora Bezpieczeństwa Teleinformatycznego






Pieczęć jednostki organizacyjnej Data i podpis Wójta





  1. Ogólne zasady eksploatacji systemu

    1. Określenie systemu


Przez system rozumie się wszelkie urządzenia techniczne wraz z oprogramowaniem, niezbędne do funkcjonowania systemu informatycznego, w którym wykonywane są zadania związane
z wprowadzaniem i przetwarzaniem danych osobowych lub korzystaniem ze zbiorów zawierających dane osobowe (bazy danych), wraz ze związanymi z nimi ludźmi, pomieszczenia, w których te urządzenia się znajdują oraz pomieszczenia, w których przetwarza się (wykorzystuje się) lub archiwizuje dokumenty papierowe, zawierające dane osobowe.
    1. Osoby dopuszczone do pracy w systemie.


Osoby dopuszczone do pracy w systemie muszą być wpisane do Wykazu Uprawnionych do Pracy w Systemie, zawartego w Polityce Bezpieczeństwa tego systemu.
1.Administrator Bezpieczeństwa Informacji

        1. Administratorem Bezpieczeństwa Informacji powinna być osoba znająca podstawy zagadnień informatycznych i przeszkolona w zakresie zabezpieczania systemów informatycznych.

        2. Administrator Bezpieczeństwa Informacji odpowiada za to, aby każda osoba dopuszczona do pracy przy przetwarzaniu danych osobowych była zaznajomiona z przepisami dotyczącymi ochrony tych danych i została przeszkolona w odpowiednim zakresie.

        3. Administrator Bezpieczeństwa Informacji jest upoważniony do:

          1. w oparciu o niniejszą Instrukcję - prowadzenia kontroli prawidłowości jej przestrzegania w całym obszarze funkcjonowania systemu,

          2. w zakresie niesprzecznym z niniejszą Instrukcją - do wprowadzania zaleceń oraz wydawania poleceń dla wszystkich osób dopuszczonych do systemu,

          3. powoływania oraz odwoływania osób dopuszczonych do pracy w systemie, wraz
            z określeniem prawa dostępu do systemu,

          4. opracowywania oraz przedkładania Wójtowi (albo jego zastępcy) zmian
            w niniejszej Instrukcji w celu zatwierdzenia, o ile wprowadzenie takich zmian jest konieczne, w związku ze zmianami organizacyjno-technicznymi systemu lub uzasadnione bezpieczeństwem systemu,

        4. Administrator Bezpieczeństwa Informacji powinien zapewnić stały kontakt ze sobą (lub
          z osobą przez niego upoważnioną) w godzinach pracy systemu, w celu podejmowania czynności związanych z uszkodzeniem, awarią lub naruszeniem bezpieczeństwa systemu.

2.Administrator Systemu Informatycznego

        1. Administrator Bezpieczeństwa Informacji w porozumieniu z Wójtem powołuje Administratora Systemu Informatycznego. Można powołać więcej niż jednego Administratora Systemu Informatycznego, ze wskazaniem urządzeń oraz elementów systemu, do których jest dopuszczony w tym charakterze. Wówczas należy wyznaczyć Głównego Administratora Systemu Informatycznego.

        2. Obowiązki Administratora Systemu Informatycznego:

          1. wykonywanie czynności wynikających z niniejszej Instrukcji w zakresie zabezpieczenia prawidłowego i bezpiecznego funkcjonowania bazy technicznej
            i programowej systemu,

          2. wykonywanie czynności wynikających z niniejszej Instrukcji, związanych
            z zapewnieniem bezpieczeństwa systemu, w tym:

            1. wprowadzanie lub usuwanie prawa dostępu do systemu informatycznego dla poszczególnych pracowników na wniosek Administratora Bezpieczeństwa Informacji,

            2. opracowanie systemu identyfikatorów i haseł dostępu do poszczególnych obszarów sytemu,

            3. opracowanie sposobu kontroli obecności wirusów w systemie,

            4. zapewnienie konfiguracji systemu uniemożliwiającej wprowadzanie lub uzyskiwanie danych z systemu przez niepowołane osoby,

          3. wykonywanie czynności konserwacyjnych, naprawczych lub nadzór nad tymi czynnościami w obszarze systemu,

          4. czuwanie zgodnie z wytycznymi niniejszej Instrukcji nad prawidłowością postępowania z nośnikami zawierającymi dane systemu,

          5. prowadzenie rzetelnej dokumentacji systemu i czuwanie nad prawidłowością sporządzania tej dokumentacji przez inne osoby,

          6. zapewnienie stałego kontaktu ze sobą, zaś w przypadku wyjazdów lub niemożności wykonywania swoich obowiązków, powiadomienie o tym fakcie Administratora Bezpieczeństwa Informacji.

        3. Administrator Systemu Informatycznego posiada następujące kompetencje:

          1. samodzielne inicjowanie i przeprowadzanie kontroli systemu informatycznego oraz prawidłowości pracy poszczególnych osób dopuszczonych do pracy
            w systemie,

          2. podejmowanie kroków zaradczych, w tym wyłączanie systemu lub częściowe ograniczanie dostępu do niego, jeśli w jego ocenie istnieje zagrożenie dla prawidłowego funkcjonowania systemu lub bezpieczeństwa danych w nim się znajdujących.

3.Inspektor Bezpieczeństwa Teleinformatycznego

        1. Administrator Bezpieczeństwa Informacji w porozumieniu z Wójtem powołuje Inspektora Bezpieczeństwa Teleinformatycznego

        2. Obowiązki Inspektora Bezpieczeństwa Teleinformatycznego:

          1. wykonywanie czynności wynikających z niniejszej Instrukcji w zakresie zabezpieczenia prawidłowego i bezpiecznego funkcjonowania bazy technicznej
            i programowej systemu,

          2. czuwanie nad zgodnością postępowania z wytycznymi niniejszej Instrukcji oraz nad prawidłowością postępowania z nośnikami zawierającymi dane systemu,

          3. zapewnienie stałego kontaktu ze sobą, zaś w przypadku wyjazdów lub niemożności wykonywania swoich obowiązków, powiadomienie o tym fakcie Administratora Bezpieczeństwa Informacji.

        3. Inspektora Bezpieczeństwa Teleinformatycznego posiada następujące kompetencje:

          1. inicjowanie i przeprowadzanie kontroli systemu informatycznego wraz
            z Administratorem Systemy Informatycznego oraz prawidłowości pracy poszczególnych osób dopuszczonych do pracy w systemie,

          2. podejmowanie kroków zaradczych, w tym częściowe ograniczanie dostępu do niego, jeśli w jego ocenie istnieje zagrożenie dla prawidłowego funkcjonowania systemu lub bezpieczeństwa danych w nim się znajdujących.

4.Operator Systemu

Operatorem Systemu jest osoba zatrudniona do obsługi sytemu w zakresie wprowadzania


i przetwarzania danych. Dopuszczenia operatora do systemu dokonuje Wójt na wniosek Administratora Bezpieczeństwa Informacji poprzez wydanie upoważnienia oraz dokonanie wpisu do Wykazu Uprawnionych do Pracy w Systemie. Operator Systemu wykonuje obowiązki powierzone przez przełożonych zgodnie z niniejszą Instrukcją.

5.Użytkownik Systemu

Użytkownikiem Systemu jest osoba zatrudniona w Urzędzie Gminy, która w ramach swoich obowiązków służbowych korzysta z systemu informatycznego. Dopuszczenia użytkownika do systemu dokonuje Wójt na wniosek Administrator Bezpieczeństwa Informacji poprzez wydanie upoważnienia oraz dokonanie wpisu do Wykazu Uprawnionych do Pracy


w Systemie
.

6.Osoby obsługi

Pracownikami obsługi bezpośrednio nie pracującymi w systemie informatycznym (sprzątaczki, woźni) są osoby zatrudnione lub wynajęte do wykonywania tych zadań przez właściwe służby jednostki organizacyjnej. Dopuszczenia takiej osoby do pomieszczeń, w których eksploatowany jest system dokonuje w porozumieniu z Wójtem Administrator Bezpieczeństwa Informacji lub osoba posiadająca jego pisemne upoważnienie, poprzez dokonanie wpisu do Wykazu Uprawnionych do Pracy w Systemie. Osobie obsługi nie przydziela się identyfikatora użytkownika systemu.


    1. Pomieszczenia systemu


      1. Administrator Bezpieczeństwa Informacji ma obowiązek szczegółowo określić budynki
        i pomieszczenia lub części pomieszczeń, w których eksploatowany jest system informatyczny, przez dokonanie wpisu do tabeli Wykaz pomieszczeń systemu
        w Opisie Systemu, z uwzględnieniem następujących:

  1. pomieszczenie serwerów (w przypadku sieci),

  2. pomieszczenie bezpieczeństwa systemu,

  3. pomieszczenie operatorów systemu,

  4. pomieszczenie obsługi klienta,

  5. inne pomieszczenia, w których zainstalowano komputery z dostępem do systemu informatycznego,

  6. inne pomieszczenia, w których zainstalowano jakiekolwiek urządzenia wchodzące
    w skład systemu.

      1. Samodzielny dostęp do pomieszczeń systemu dopuszcza się jedynie dla osób dopuszczonych wg niniejszej Instrukcji do pracy w systemie. W czasie, gdy
        w pomieszczeniu systemu nie ma żadnej osoby dopuszczonej do pracy w systemie, pomieszczenie to winno zostać zamknięte, co najmniej na zamek typu Yale. Przebywanie osób innych możliwe jest jedynie za zgodą osoby uprawnionej do przebywania w tym pomieszczeniu i tylko wówczas, gdy obecność osoby nieuprawnionej jest związana
        z funkcjonowaniem oraz użytkowaniem systemu.

      2. Klucze do poszczególnych pomieszczeń należy wydawać osobom upoważnionym przez Wójta, wpisanym do tabeli Wykaz Pomieszczeń Systemu. Osoba pobierająca klucz, jest odpowiedzialna za przestrzeganie w tych pomieszczeniach postanowień Instrukcji oraz innych przepisów regulujących zachowanie w pomieszczeniach wykonywania pracy.
        W szczególności osoba pobierająca klucz ponosi odpowiedzialność materialną za eksploatowany w tych pomieszczeniach sprzęt oraz podlega odpowiedzialności karnej
        w wypadku naruszenia w tym czasie przepisów o ochronie danych osobowych. Pobrania
        i zdania kluczy musi dokonać ta sama osoba.

      3. Nie dopuszcza się do:

  1. powierzania pobranych kluczy innym osobom, nawet jeśli są również dopuszczone do pracy w systemie, bez uprzedniego zdania klucza,

  2. wynoszenia kluczy poza pomieszczenia danej jednostki organizacyjnej, chyba, że osoba posiada takie pisemne upoważnienie,

  3. wykonywania kopii kluczy lub ich odcisków,




      1. Każde pomieszczenie systemu powinno być zamykane, co najmniej zamkiem typu Yale. Do każdego zamka winny być trzy egzemplarze kluczy. Dostęp do kluczy regulowany jest zasadami bezpieczeństwa obowiązującymi w danej jednostce, zatwierdzonymi przez Administratora Bezpieczeństwa Informacji.

      2. W pomieszczeniach, w których przebywają osoby postronne, usytuowanie monitorów stanowisk przetwarzających dane osobowe powinno uniemożliwiać wgląd w te dane, jednocześnie należy uruchomić opcję wygaszania ekranu, jeżeli jest to możliwe.
    1. Pomieszczenie bezpieczeństwa systemu


      1. W obszarze systemu należy wydzielić pomieszczenie bezpieczeństwa systemu,
        w którym mogą być usytuowane szafy pancerne.

      2. Do pomieszczenia bezpieczeństwa systemu wyłączny dostęp mogą mieć następujące osoby:

  1. Administrator Danych Osobowych,

  2. Pełnomocnik Ochrony,

  3. Administrator Bezpieczeństwa Informacji,

  4. Administrator Systemów Informatycznych

  5. Inspektor Bezpieczeństwa Teleinformatycznego.




      1. Zasady dostępu do pomieszczenia bezpieczeństwa:

  1. osoby mające dostęp do pomieszczenia bezpieczeństwa wyznacza Wójt
    w porozumieniu z Administratorem Bezpieczeństwa Informacji,

  2. materiały przeznaczone do zdeponowania w pomieszczeniu bezpieczeństwa, muszą być przechowywane w szafie pancernej pomieszczenia bezpieczeństwa,

  3. deponowanie i pobieranie materiałów z szafy pancernej odbywa się wyłącznie przez osoby upoważnione a fakt ten jest odnotowywany w Ewidencji Dostępu do szafy.




      1. Zasady dostępu do szaf pancernych pomieszczeń bezpieczeństwa systemu:

  1. klucze do szafy pancernej są przechowywane w miejscu i w sposób zatwierdzony przez Administratora Bezpieczeństwa Informacji i mogą być używane jedynie przez osoby wpisane do Ewidencji Dostępu,

  2. dla każdej szafy pancernej należy prowadzić oddzielną Ewidencję Dostępu. Wpisowi do ewidencji podlega każde otwarcie szafy przez osobę upoważnioną,

  3. szafa po zamknięciu musi zostać zaplombowana lub zabezpieczona w inny sposób przez osobę, która dokonywała jej otwarcia. Sposób zabezpieczania szafy określa Wójt.


    1. Naruszenie pomieszczeń systemu


      1. Przez naruszenie pomieszczeń systemu rozumie się:

  1. włamanie do pomieszczeń systemu,

  2. stwierdzenie nieobecności upoważnionych osób w otwartych pomieszczeniach systemu (w tym stwierdzenie w takiej sytuacji obecności osób nieupoważnionych),

  3. stwierdzenie braku urządzeń systemu,

  4. stwierdzenie faktu naruszenia zabezpieczeń szaf pancernych w pomieszczeniach bezpieczeństwa systemu,

  5. stwierdzenie niezgodności stanu szaf pancernych w pomieszczeniach bezpieczeństwa systemu z Ewidencją Dostępu.

      1. Postępowanie w przypadku naruszenia pomieszczeń systemu:

  1. w wypadku stwierdzenia przez kogokolwiek naruszenia pomieszczeń systemu należy:

          1. powiadomić Administratora Bezpieczeństwa Informacji,

          2. powiadomić Wójta,

  1. powiadomione osoby są zobowiązane do wyjaśnienia okoliczności i skutków naruszenia pomieszczeń systemu oraz sporządzenie pisemnej notatki z takiego zdarzenia.
    W szczególności należy:

          1. przeprowadzić szczegółową inwentaryzację obszaru, w którym wykryto naruszenie,

          2. wykonać czynności przeciwdziałające skutkom naruszenia pomieszczeń systemu,

          3. w przypadku stwierdzenia zaniedbań wyciągnąć konsekwencje służbowe wobec winnych,

          4. w przypadku stwierdzenia przestępstwa powiadomić właściwe organy ścigania.

  2. informację o stwierdzeniu naruszenia pomieszczeń systemu i jego skutkach należy przekazać do wiadomości osobom odpowiedzialnym za bezpieczeństwo systemu.
  1. Zarządzanie, administracja i kontrola systemu informatycznego

    1. Ogólne wymagania bezpieczeństwa systemu


      1. System eksploatowany jest na komputerach wolnostojących lub w sieci lokalnej. Niedopuszczalne jest dołączanie do systemu żadnych urządzeń teletransmisyjnych, nie należących do struktury systemu.

      2. Sieć systemu winna być oddzielona od innych sieci teleinformatycznych, np. sieci rozległej Internet oraz innych urządzeń teletransmisyjnych nie należących do systemu.

      3. Dostęp do poszczególnych obszarów systemu należy zabezpieczyć za pomocą haseł według hierarchii dostępu opracowanej przez Administratora Systemu Informatycznego
        i zatwierdzonej przez Administratora Bezpieczeństwa Informacji. W szczególności zabezpieczeniom za pomocą hasła podlega:

  1. dostęp do konfiguracji (setup) stacji roboczych oraz serwerów,

  2. dostęp do serwera systemu,

  3. dostęp do aplikacji dla poszczególnych operatorów systemu.

      1. Operatorzy stacji roboczych nie powinni mieć dostępu do danych systemu za pośrednictwem nośników wymienialnych. Proponuje się następujące rozwiązania:

  1. jako stacje robocze zastosować stacje terminalowe,

  2. zabezpieczyć mechanicznie (np. za pomocą obudowy), lub za pomocą konfiguracji zabezpieczonej hasłem, dostęp do napędów nośników wymienialnych,

  3. zabezpieczyć mechanicznie (np. za pomocą obudowy), lub za pomocą konfiguracji zabezpieczonej hasłem, dostęp do portów szeregowych i równoległych.

      1. Sposób konfiguracji serwera oraz konstrukcja aplikacji muszą być odporne na zanik zasilania energetycznego lub inne przypadkowe uszkodzenia poszczególnych stacji roboczych. W szczególności:

  1. zabrania się użytkowania systemu w wypadku uszkodzenia serwera systemu, należy zatrzymać system i usunąć usterkę,

  2. serwery mogą być zasilane wyłącznie poprzez urządzenia zasilające UPS,

  3. konfiguracja serwerów musi zapewniać automatyczne bezpieczne wyłączenie serwera
    w wypadku zaniku zasilania energetycznego,

  4. konstrukcja serwera musi zapewniać redundancyjny układ zasilania,

  5. w przypadku stacji roboczych, jakiekolwiek uszkodzenie aplikacji w dowolnym momencie nie może powodować uszkodzenia danych systemu.

      1. Administrator Bezpieczeństwa Informacji odpowiedzialny jest za prawidłowe przetestowanie konfiguracji systemu oraz aplikacji użytkowych w celu zabezpieczenia poprawności i rzetelności danych przetwarzanych w systemie.

      2. Konfiguracja systemu musi zapewniać odnotowanie w systemie fakt rozpoczęcia pracy przez każdego z użytkowników, o ile jest to możliwe technicznie. Wykaz taki podlega zabezpieczeniu łącznie z danymi systemu.
    1. Zasady dostępu użytkowników do systemu informatycznego.


      1. Każdy użytkownik systemu musi posiadać indywidualny identyfikator oraz hasło dostępu do systemu. Identyfikator użytkownika jest tworzony z chwilą wpisu nowego użytkownika do Wykazu Uprawnionych do Pracy w Systemie przez Administratora Bezpieczeństwa Informacji lub osobę posiadającą jego pisemne upoważnienie, w porozumieniu
        z Administratorem Systemu Informatycznego. Identyfikator nadany użytkownikowi jest tworzony na podstawie jego nazwiska i nie może być nadany innemu użytkownikowi.

      2. Nowy użytkownik jest wprowadzany do systemu po wpisaniu do Wykazu Uprawnionych do Pracy w Systemie oraz po podpisaniu oświadczenia o znajomości przepisów dotyczących niniejszej Instrukcji.

      3. Przy wprowadzaniu nowego użytkownika do systemu informatycznego, Administrator Systemu Informatycznego konfiguruje jego konto, nadając mu uprawnienia do pracy
        w systemie, wynikające z wpisu w Wykazie Uprawnionych do Pracy w Systemie.

      4. Nie dopuszcza się usuwania danych o użytkowniku, któremu zostało odebrane prawo dostępu do systemu.
    2. Hasła


      1. Wszystkie hasła, jakie występują w systemie i są związane z eksploatacją podlegają okresowej zmianie, nie rzadziej niż raz w miesiącu. Hasła podlegające zmianie:

  1. hasła Administratora Systemu Informatycznego dostępu do serwera systemu,

  2. hasła Operatorów Systemu dostępu do aplikacji,

  3. hasła zabezpieczające dostęp do konfiguracji (setup) stacji roboczych i serwera systemu,

      1. Zmiana haseł określonych w punktach a i b poprzedniego ustępu powinna być wymuszana poprzez konfigurację kont użytkowników lub przez aplikację użytkową.

      2. Hasło powinno zawierać, co najmniej 6 znaków a jego treść nie powinna umożliwiać identyfikacji użytkownika systemu i musi być utajniona.

      3. Hasła dostępu do konfiguracji stacji roboczych i serwera są zmieniane nie rzadziej niż raz
        w miesiącu, w sposób identyczny dla wszystkich stacji przez Administratora Systemu Informatycznego. Ustalone hasło winno zostać zdeponowane w dwóch zalakowanych kopertach w szafie pancernej pomieszczenia bezpieczeństwa.
    1. Kopie zabezpieczające


      1. Zabezpieczenie danych systemu polega na stworzeniu kopii zabezpieczających plików zawierających dane osobowe, na wymienialnym nośniku, w stacji posiadającej dostęp do danych systemu. Kopie zabezpieczające danych systemu można wykonywać na nośnikach dopuszczonych przez Administratora Systemu Informatycznego.

      2. Kopie oprogramowania systemu wykonuje się niezależnie dla wszystkich serwerów systemu.

      3. Zasady oznaczania kopii zabezpieczających:

  1. każdemu nośnikowi, na którym wykonuje się kopie zabezpieczające, należy
    w sposób trwały (np. flamastrem na etykiecie) nadać kolejny numer,

  2. po wykonaniu kopii zabezpieczającej każdy nośnik musi być opisany na obudowie lub opakowaniu i przechowywany w opakowaniu,

  3. fakt wykonania każdej kolejnej kopii na kasecie należy umieścić w opisie kasety,

      1. Ewidencja wykonywania kopii zabezpieczających:

Fakt wykonania każdej kopii zabezpieczającej, względnie potwierdzenie automatycznego wykonania kopii przez system, należy umieścić w Wykazie Wykonywania Kopii Zabezpieczających.

      1. Wykonywanie kopii zabezpieczających w systemie informatycznym:

  1. zakres wykonywania kopii zabezpieczających:

          1. wykonywanie kopii danych systemu obejmuje wszystkie pliki znajdujące się
            w katalogach określonych w Opisie Systemu jako dane systemu,

          2. wykonywanie kopii oprogramowania systemu obejmuje wykonanie fizycznej kopii wszystkich elementów oprogramowania systemu informatycznego, w sposób umożliwiający odtworzenie aktualnego stanu systemu,

  1. częstotliwość i sposób wykonywania i okres przechowywania kopii zabezpieczających określi Administrator Systemu Informatycznego i dołączy do Wykazu Wykonywania Kopii Zabezpieczających, w szczególności należy przestrzegać następujących zasad:

          1. kopie oprogramowania systemu i danych systemu powinny być wykonywane
            w dwóch jednakowych egzemplarzach,

          1. kopie zabezpieczające dane systemu powinny być w szczególności wykonywane:

            1. przed wprowadzeniem nowej wersji oprogramowania,

            2. przed wykonaniem niestandardowych czynności związanych z bazą danych (np. uruchomienie oprogramowania sprawdzającego lub przywracającego integralność bazy danych, itd.),

          2. kopie zabezpieczające oprogramowanie systemu powinny być w szczególności wykonywane:

            1. po zainstalowaniu i skonfigurowaniu systemu,

            2. po każdorazowej zmianie w konfiguracji systemu.

      1. Zasady określające sposoby deponowania i wykorzystywania kopii zabezpieczających:

  1. nośniki zawierające kopie zabezpieczające podlegają zdeponowaniu w opakowaniu zapieczętowanym przez Administratora Systemu Informatycznego, wraz z numerem oraz wykazem kopii, które zawierają. Dopuszcza się inny sposób zdeponowania kopii, zatwierdzony przez Administratora Bezpieczeństwa Informacji.

  2. kopie zabezpieczające należy deponować w ognioodpornych szafach pancernych pomieszczenia bezpieczeństwa, przeznaczonych do przechowywania nośników magnetycznych,

  3. w wypadku konieczności wykorzystania kopii zabezpieczającej do odtworzenia oprogramowania systemu lub danych systemu należy:

          1. pobrać stosowną kopię,

          2. po zakończeniu odtwarzania oprogramowania systemu lub danych systemu należy przekazać kopię zabezpieczającą do miejsca zdeponowania wraz z protokołem stwierdzającym jej użycie.

  1. dopuszcza się wielokrotne użycie nośnika do wykonywania kopii zabezpieczających. Administrator Systemu Informatycznego zobowiązany jest zachować następujący tryb postępowania:

          1. należy wyselekcjonować nośniki, które mogą podlegać ponownemu użyciu
            z uwzględnieniem minimalnego okresu przechowywania kopii,

          2. należy skasować poprzednią zawartość nośnika w sposób uniemożliwiający odtworzenie – nośnik od chwili skasowania jest traktowany jako nowy,

  1. w wypadku otwarcia opakowania, w którym zdeponowano kopię zabezpieczającą, należy po zamknięciu ponownie go zapieczętować. Fakt każdorazowego otwarcia opakowania należy opisać na opakowaniu,

  2. za poprawne wykonanie czynności Administratora Systemu Informatycznego,
    w związku z odtwarzaniem oprogramowania systemu z kopii zabezpieczających, odpowiada Administrator Bezpieczeństwa Informacji.



      1. Przechowywanie nośników oprogramowania, dyskietek startowych itp.

  1. Oryginały nośników oprogramowania i dyskietek startowych wraz z dokumentacją należy deponować w szafie pancernej pomieszczenia bezpieczeństwa. Zaleca się wykonanie kopii awaryjnych tych nośników do stosowania w celach użytkowych.

  2. Oprogramowanie i dyskietki startowe należy przechowywać zgodnie z zasadami przechowywania kopii zabezpieczających, z następującymi zastrzeżeniami:

          1. opakowanie, w którym przechowuje się oprogramowanie winno zawierać:

            1. dokładny opis nośników – rodzaj, ilość i nazwy jeśli występują,

            2. dokładny opis dokumentacji – tytuły, ilość pozycji,

      1. Licencje na używane w systemie oprogramowanie należy przechowywać w szafie pancernej pomieszczenia bezpieczeństwa w sposób uporządkowany oraz pozwalający na łatwe określenie ilości oprogramowania licencyjnego oraz sposobu (miejsca) jego użytkowania.

      2. Nośniki zawierające kopie zabezpieczające nie nadające się do kolejnego użycia należy poddać likwidacji, dokonywanej w sposób określony w dalszej części Instrukcji, dołączając do Wykazu Nośników Zawierających Dane Systemu, przeznaczonych do likwidacji pisemne zarządzenie Administratora Bezpieczeństwa Danych o likwidacji kopii zabezpieczających. Zarządzenie to musi w sposób jawny określać kopie oraz numery nośników, które przekazano do likwidacji.
    1. Zabezpieczenie antywirusowe


      1. System Informatyczny należy kontrolować pod kątem obecności wirusów komputerowych.

      2. Za politykę antywirusową odpowiedzialny jest Administrator Systemu Informatycznego.

      3. Zaleca się, aby program antywirusowy i konfiguracja systemu zapewniały kontrolę systemu:

  1. na bieżąco,

  2. przynajmniej raz dziennie, jeżeli kontrola bieżąca jest niemożliwa z przyczyn technicznych,

  3. każdorazowo, przy korzystaniu z nośników wymienialnych.

      1. Dopuszcza się inne zasady kontroli antywirusowej systemu opracowane przez Administratora Systemu Informatycznego i dołączone do Opisu Systemu.

      2. Po zasygnalizowaniu przez program wystąpienia wirusa należy natychmiast powiadomić Administratora Systemu Informatycznego, który musi podjąć odpowiednie kroki:

  1. zidentyfikować wirus i określić obszar występowania,

  2. odseparować część systemu objętą wirusem od całości,

  3. dokonać wpisu w Dzienniku Systemu,

  4. powiadomić Administratora Bezpieczeństwa Informacji o zaistniałej sytuacji,

  5. w razie konieczności przerwać pracę w porozumieniu z Kierownikiem komórki organizacyjnej,

  6. przystąpić do usuwania wirusa, zgodnie z wymaganiami zastosowanego programu antywirusowego,

  7. w razie konieczności, należy ponownie wgrać oprogramowanie systemu i dane systemu z ostatnich aktualnych kopii, przetestować poprawność systemu i ponownie wykonać wszystkie operacje z okresu zagrożonego utratą danych.

      1. Ponowne dopuszczenie systemu do pracy może nastąpić jedynie na polecenie Administratora Bezpieczeństwa Informacji.
    1. Zasady wprowadzania zmian do systemu.


      1. Wprowadzanie zmian do oprogramowania użytkowego.

  1. Wprowadzenie kolejnych wersji oprogramowania do eksploatacji może odbywać się wyłącznie na pisemne polecenie Wójta, przygotowane i zatwierdzone przez Administratora Bezpieczeństwa Danych, które precyzuje:

          1. rodzaj wprowadzanego oprogramowania i jego wersję,

          2. uwagi i zalecenia dotyczące eksploatacji nowej wersji oprogramowania,

          3. zmiany w dokumentacji systemu (w szczególności w niniejszej Instrukcji), które wymagają aktualizacji w związku z wdrażaniem oprogramowania.
            W szczególności, o ile wymagana jest zmiana niniejszej Instrukcji, wdrożenie oprogramowania może zostać wykonane wyłącznie po akceptacji nowej wersji Instrukcji.

  1. Wprowadzanie do użytkowania oprogramowania dodatkowego lub zmodyfikowanego jest dopuszczalne wg następującej procedury:

          1. instalacji oprogramowania dokonuje Administrator Systemu Informatycznego na wniosek Administratora Bezpieczeństwa Informacji upewniwszy się,
            że oprogramowanie nie spowoduje żadnych negatywnych skutków dla już funkcjonującego systemu. Za prawidłowe przeprowadzenie testów, zatwierdzonych przez Administratora Systemu Informatycznego oraz odbiór od wytwórców (dostawców) wdrażanego oprogramowania, odpowiada Administrator Bezpieczeństwa Informacji,

          2. w związku z wdrażaną nową wersją oprogramowania należy przeszkolić Operatorów oraz Użytkowników Systemu,

          3. instalacja oprogramowania przeprowadzana przez osobę nie będącą Administratorem Systemu Informatycznego musi odbywać się w obecności
            i pod nadzorem Administratora Systemu Informatycznego,

          4. po zakończeniu prac należy odnotować w Dzienniku Systemu (oraz o ile to konieczne w Opisie Systemu) wszelkie informacje dotyczące faktu wdrożenia nowego oprogramowania, a w szczególności wzmianki o osobach zewnętrznych uczestniczących w pracach instalacyjnych.

  2. Wprowadzanie oprogramowania winno odbywać się w sposób zapewniający ciągłą
    i stabilną pracę Operatorów Systemu. W wypadku, gdy wprowadzanie oprogramowania wymaga zatrzymania pracy Systemu, można to przeprowadzić wyłącznie w porozumieniu z Wójtem.

      1. Wprowadzanie zmian do konfiguracji systemu.

  1. Wprowadzanie zmian do konfiguracji systemu wymaga procedury analogicznej do obowiązującej przy wprowadzaniu zmian do oprogramowania użytkowego
    i stosuje się w przypadku:

          1. zmian w oprogramowaniu systemowym,

          2. zmiany ilości lub modernizacji poszczególnych stacji roboczych,

          3. zmian w sposobie użytkowania serwera (w tym zmian konfiguracyjnych),

          4. zmian w topologii sieci.
    1. Zasady postępowania z nośnikami zawierającymi dane systemu.


      1. Przekazanie nośnika - w przypadku, gdy z dowolnego urządzenia systemu został wymontowany nośnik zawierający dane systemu, przeznaczony do użycia lub zmagazynowania poza systemem (zbycie, zwrot lub innego rodzaju trwałe przekazanie), Administrator Systemu Informatycznego zobowiązany jest usunąć dane z nośnika w sposób trwały, uniemożliwiający ich odtworzenie. W przypadku, gdy jest to niemożliwe, należy nośnik przekazać do likwidacji.

      2. Likwidacja nośnika - w przypadku, gdy z dowolnego urządzenia systemu został wymontowany nośnik zawierający dane systemu, przeznaczony do likwidacji, Administrator Systemu Informatycznego zobowiązany jest usunąć dane w sposób trwały, uniemożliwiający ich odtworzenie lub uszkodzić trwale nośnik.

      3. Naprawa nośnika - w przypadku, gdy z dowolnego urządzenia systemu został wymontowany nośnik zawierający dane systemu przeznaczony do naprawy (konserwacji) lub, gdy naprawie podlega całe urządzenie zawierające taki nośnik:

  1. Administrator Systemu Informatycznego, zobowiązany jest usunąć dane
    z nośnika w sposób trwały, uniemożliwiający odtworzenie, przed przekazaniem do naprawy,

  2. w przypadku, gdy usunięcie danych nie jest możliwe, Administrator Systemu Informatycznego zobowiązany jest zgłosić ten fakt Administratorowi Bezpieczeństwa Informacji, następnie podjąć następujące działania:

          1. dostarczyć za pokwitowaniem uszkodzony nośnik (urządzenie) Podmiotowi wykonującemu naprawę, jeżeli jest z nim zawarta umowa, której kopia znajduje się w Polityce Bezpieczeństwa Systemu, zawierająca co najmniej następujące elementy:

            1. upoważnienie Administratora Danych Osobowych i Pełnomocnika Ochrony do dostępu do danych systemu,

            2. pełny wykaz osób wskazanych przez Podmiot, które będą brały udział
              w naprawie (konserwacji) sprzętu,

          2. jeżeli z Podmiotem naprawiającym nie zawarto umowy, naprawa nośnika powinna odbywać się pod kontrolą osoby upoważnionej. Decyzję w tej sprawie podejmuje Administrator Bezpieczeństwa Informacji.
    1. Zasady postępowania w przypadku uszkodzenia lub naruszenie bezpieczeństwa systemu


      1. W wypadku wystąpienia symptomów świadczących o uszkodzeniu systemu, awarii lub naruszeniu bezpieczeństwa, osoba upoważniona do pracy w systemie obowiązana jest:

  1. powiadomić Administratora Bezpieczeństwa Informacji lub Administratora Systemu Informatycznego o zaistniałej sytuacji,

  2. w przypadku niemożności poinformowania osób wskazanych w punkcie poprzednim, należy zgłosić zaistniałą sytuację Administratorowi Danych Osobowych
    i Pełnomocnikowi Ochrony oraz podjąć kroki w celu zatrzymania systemu informatycznego.

      1. W przypadku konieczności awaryjnego wyłączenia systemu dokonuje się tego przez odcięcie zasilania serwerów systemu a następnie wyłączenie poszczególnych stacji roboczych. Awaryjnego wyłączania systemu może dokonać:

  1. Administrator Systemu Informatycznego,

  2. pracownik upoważniony przez Administratora Systemu Informatycznego
    w obecności osoby wpisanej do Wykazu osób odpowiedzialnych, w przypadku niemożności skontaktowania się z Administratorem Systemu Informatycznego.

      1. Ponowne włączenie systemu po awaryjnym wyłączeniu może nastąpić jedynie przez Administratora Systemu Informatycznego na polecenie Administratora Bezpieczeństwa Informacji. Przed dopuszczeniem do pracy Operatorów Systemu, Administrator Systemu Informatycznego obowiązany jest przetestować poprawność działania systemu.

      2. W razie konieczności, należy ponownie wgrać oprogramowanie systemu i dane systemu
        z ostatnich aktualnych kopii, przetestować poprawność działania systemu i ponownie wykonać wszystkie operacje z okresu zagrożonego utratą danych.

      3. Każde takie zdarzenie należy wpisać do Dziennika Systemu.
  1. Przetwarzanie danych w systemie

    1. Ogólne ustalenia dotyczące bezpieczeństwa danych przetwarzanych
      w systemie


      1. Zasady postępowania z dokumentami źródłowymi oraz wydrukami z systemu zawierającymi dane osobowe.

  1. Dane źródłowe w postaci dokumentów papierowych oraz wydruki należy poddać ewidencjonowaniu,

  2. Dokumenty papierowe należy przesyłać do miejsca przeznaczenia w sposób gwarantujący ich bezpieczeństwo,

  3. Makulaturę powstałą w trakcie drukowania dokumentów wynikowych należy niszczyć, zgodnie z obowiązującymi przepisami,

  4. Dostęp do dokumentów źródłowych i wynikowych mogą mieć wyłącznie upoważnieni pracownicy.

  5. Dokumenty źródłowe po wykorzystaniu oraz kopie wydruków należy złożyć
    w Archiwum i tam poddać ewidencji. Kontroli poprawności wpisu do ewidencji dokonuje Administrator Bezpieczeństwa Informacji.

      1. Zasady przekazywania dokumentów zawierających dane osobowe poza Urząd Gminy.

  1. Dokumenty zawierające dane osobowe można przekazywać za pośrednictwem Poczty Polskiej, resortowej Poczty Kurierskiej lub innego uprawnionego przewoźnika.

  2. W szczególności dokumenty zawierające dane zastrzeżone należy przekazywać zgodnie z przepisami o przekazywaniu materiałów stanowiących tajemnicę służbową.

  3. Dokumenty przekazywane powinny podlegać ewidencji. Kontroli poprawności wpisu do ewidencji dokonuje Administrator Bezpieczeństwa Danych dla dokumentów zawierających dane osobowe, Pełnomocnik Ochrony dla dokumentów zawierających dane zastrzeżone.

  4. Przekazywanie dokumentów drogą elektroniczną powinno zapewniać ich bezpieczeństwo, fakt przekazania powinien być rejestrowany przez system informatyczny.
    1. Nieprawidłowości systemu informatycznego przy przetwarzaniu danych


      1. Przez nieprawidłowości systemu przy przetwarzaniu danych rozumie się wystąpienie wszelkich objawów nieprawidłowej reakcji systemu na wykonywane czynności, nieprawidłowości danych w systemie w stosunku do oczekiwanych (np. wynikających z dokumentów źródłowych) oraz wszelkie przejawy nietypowego funkcjonowania sprzętu, na którym eksploatowany jest system.

      2. Operator systemu po zaobserwowaniu nieprawidłowości obowiązany jest:

  1. powiadomić przełożonego oraz Administratora Systemu Informatycznego,

  2. zawiesić pracę w systemie po konsultacji z przełożonym, do czasu wyjaśnienia problemu, o ile nie jest możliwe kontynuowanie pracy poza obszarem wystąpienia awarii.
  1. Dokumentacja Bezpieczeństwa Systemu


      1. Każdy system przetwarzający dane osobowe musi mieć utworzoną Dokumentację Bezpieczeństwa.

      2. Dokumentację Bezpieczeństwa Systemu tworzą: niniejsza Instrukcja i Polityka Bezpieczeństwa Systemu.

      3. Za założenia Polityki Bezpieczeństwa Systemu odpowiedzialny jest Administrator Bezpieczeństwa Informacji tego systemu.










©operacji.org 2019
wyślij wiadomość

    Strona główna