Polityka Bezpieczeństwa



Pobieranie 45,02 Kb.
Data18.06.2018
Rozmiar45,02 Kb.

Załącznik

do zarządzenia nr 28/14

Rektora AWF w Poznaniu

z dnia 4 sierpnia 2014r.

Instrukcja zarządzania

systemem informatycznym

Ochrony Danych Osobowych

w Akademii Wychowania Fizycznego

im. Eugeniusza Piaseckiego

w Poznaniu

  1. Wstęp


Instrukcja stanowi zestaw procedur opisujących zasady bezpieczeństwa danych osobowych przetwarzanych w zbiorach papierowych i w systemach informatycznych.
  1. Definicje


ABI Administrator Bezpieczeństwa Informacji

LABI Lokalny Administrator Bezpieczeństwa Informacji

ASI Administrator Systemu Informatycznego

Polityka kluczy



  1. Ogólne zasady

    1. Polityka kluczy obejmuje obszary przetwarzania danych osobowych.

    2. Klucze zapasowe przechowywane są w Dziale Administracyjno – Gospodarczym zabezpieczone w kopertach bezpiecznych.

  2. Nadawanie upoważnień

Upoważnienia do pobierania kluczy do pomieszczeń, w których przetwarzane są dane osobowe mają wyłącznie osoby upoważnione przez kierowników jednostek w których dane te są przetwarzane. Udzielenie/anulowanie upoważnienia wymaga wprowadzenia osoby do ewidencji, prowadzonej w postaci Załącznika nr 1.

  1. Wydawanie i zdawanie kluczy.

    1. Klucze do pomieszczeń, w których przetwarzane są dane osobowe wydawane są przez portiernie za potwierdzeniem. Klucze do pomieszczeń pozostają pod osobistym nadzorem osób upoważnionych. Wydający klucze ma obowiązek weryfikacji tożsamości pobierającego z ewidencją osób upoważnionych.

    2. Klucze do serwerowni wydawane są przez portiernie za potwierdzeniem. Klucze te pozostają pod osobistym nadzorem osób upoważnionych. Wydający klucze ma obowiązek weryfikacji tożsamości pobierającego z ewidencją osób upoważnionych. Dostęp osób trzecich odbywa się pod ścisłym nadzorem pracowników Sekcji IT.

    3. Pracownicy upoważnieni zobowiązani są do odnotowania pobrania i zdania kluczy.

  2. Wydawanie i zdawanie kluczy w trybie nadzwyczajnym

    1. Wydawanie kluczy zapasowych upoważnionym pracownikom może odbywać się tylko w uzasadnionych sytuacjach oraz przypadkach awaryjnych za zgodą bezpośredniego przełożonego.

    2. Klucze zapasowe po ich wykorzystaniu należy niezwłocznie zwrócić do Działu Administracyjno – Gospodarczego.

  3. Bieżące postępowanie w trakcie dnia pracy

    1. Klucze służące do zabezpieczenia biurek i szaf muszą być jednoznacznie opisane

    2. W godzinach pracy klucze pozostają pod nadzorem pracowników, którzy ponoszą pełną odpowiedzialność za ich należyte zabezpieczenie

    3. Zabrania się pozostawiania kluczy w biurkach i szafach podczas chwilowej nieobecności osób upoważnionych w pomieszczeniu

    4. Po zakończeniu pracy, klucze służące do zabezpieczenia biurek i szaf muszą być przechowywane w bezpiecznym miejscu określonym przez Kierownika jednostki organizacyjnej.



    1. Po zakończeniu pracy, pracownicy są zobowiązani do:

- wyłączenia i zabezpieczenia urządzeń elektronicznych oraz elektrycznych

- wyłączenia oświetlenia,

- zabezpieczenia i zamknięcia okien i drzwi


    1. Za przestrzeganie w/w zasad odpowiada kierownik jednostki organizacyjnej.



  1. Zabezpieczenia infrastruktury informatycznej i telekomunikacyjnej





  1. Zabezpieczenia infrastruktury przed skutkami awarii zasilania

Zastosowano: UPS-y podtrzymujące zasilanie serwera i pozostałych kluczowych elementów systemu IT, wydzieloną sieć elektroenergetyczną, oraz listwy przepięciowe.

  1. Zabezpieczenia stanowisk komputerowych wykorzystywanych do przetwarzania danych osobowych

    1. Komputery służące do przetwarzania danych osobowych nie są połączone bezpośrednio z siecią publiczną.

    2. Zbiór danych osobowych przetwarzany przy użyciu komputera przenośnego, wymaga zabezpieczenia w postaci szyfrowania dysku twardego. Przechowywanie komputera przenośnego po zakończeniu pracy wymaga zdeponowania go w bezpiecznym miejscu (szafa pancerna, sejf itp.).

    3. Programy zainstalowane na komputerach obsługujących przetwarzanie danych osobowych są użytkowane z zachowaniem praw autorskich i posiadają licencje.

  2. Zabezpieczenia przed nieuprawnionym dostępem do danych osobowych, w tym środków zapewniających rozliczalność wykonywanych operacji

    1. Lokalizacja urządzeń komputerowych (komputerów, drukarek itp.) uniemożliwia osobom niepowołanym (np. pracownikom lub studentom) dostęp do nich.

    2. Dostęp do zbioru danych osobowych, który przetwarzany jest na komputerze stacjonarnym lub przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS.

    3. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem (identyfikatora użytkownika oraz hasła.

  3. Zabezpieczenia sprzętowe i programowe służące ochronie poufności danych przesyłanych drogą elektroniczną (środków ochrony transmisji),

    1. Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji użyciem VPN

    2. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.



  1. Zabezpieczenia sprzętowe i programowe przed szkodliwym oprogramowaniem i nieuprawnionym dostępem do przetwarzanych danych

    1. Zastosowano programy antywirusowe chroniące przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity

    2. Użyto system Firewall oraz IDS/IPS do ochrony dostępu do sieci .



  1. Zabezpieczenia baz danych i oprogramowania przetwarzającego dane osobowe

Opis technicznych i programowych środków bezpieczeństwa zastosowanych w procedurach, aplikacjach i programach oraz innych narzędziach programowych wykorzystywanych do przetwarzania danych osobowych:




  1. Dostęp do zbioru danych osobowych (do bazy danych i do programu) wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych

  2. Zastosowano mechanizm umożliwiający automatyczną rejestrację identyfikatora użytkownika i datę pierwszego wprowadzenia danych osobowych

  3. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych

  4. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego

  5. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe

  6. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika -automatyczny wygaszacz ekranu

  7. Zastosowano oprogramowanie antywirusowe na stanowiskach, na których przetwarzane są dane osobowe



  1. Procedura dostępu podmiotów zewnętrznych

Celem procedury jest zapewnienie bezpiecznego przetwarzania danych osobowych przez podmioty zewnętrzne.




  1. Administrator Bezpieczeństwa Informacji prowadzi rejestr podmiotów zewnętrznych, którym Administrator udostępnia dane osobowe oraz podmiotów, którym powierzono przetwarzanie danych osobowych w formie usługi zewnętrznej. (Załącznik 2)

  2. Administrator Danych powierza do przetwarzania dane osobowe będące w jego obszarze fizycznym podmiotom zewnętrznym w oparciu o umowę poufności, nakładając obowiązki:

    1. Podmiot zewnętrzny zobowiązany jest do zachowania poufności powierzonych danych i przetwarzania ich zgodnie z celem umowy.




    1. Podmiot zewnętrzny zobowiązany jest do przetwarzania danych zgodnie z zakresem i celem określonym w umowie powierzenia przetwarzania danych osobowych.

    2. Podmiot zewnętrzny zobowiązany jest do stosowania zabezpieczeń określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024).



  1. Procedura korzystania z Internetu





  1. Użytkownik zobowiązany jest do korzystania z Internetu wyłącznie w celach służbowych

  2. Zabrania się zgrywania na dysk twardy komputera oraz uruchamiania jakichkolwiek nielegalnych programów oraz plików pobranych z niewiadomego źródła. Pliki takie powinny być ściągane tylko za każdorazową zgodą Administratora Bezpieczeństwa Informacji i tylko w uzasadnionych przypadkach.

  3. Użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie instalowane z Internetu

  4. Zabrania się wchodzenia na strony, na których prezentowane są informacje o charakterze przestępczym, hakerskim, pornograficznym, lub innym zakazanym przez prawo (na większości stron tego typu jest zainstalowane szkodliwe oprogramowanie, infekujące w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem)

  5. Nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł

  6. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka) oraz adresu www rozpoczynającego się frazą”https:”


  1. Procedura korzystania z poczty elektronicznej





  1. Przesyłanie danych osobowych z użyciem maila poza Uczelnię może odbywać się tylko przez osoby do tego upoważnione

  2. W przypadku przesyłania informacji wrażliwych wewnątrz organizacji bądź wszelkich danych osobowych poza organizację należy wykorzystywać mechanizmy kryptograficzne (hasłowanie wysyłanych plików)

  3. W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 8 znaków: duże i małe litery i cyfry lub znaki specjalne a hasło należy przesłać odrębnym mailem lub inną metodą, np. telefonicznie lub SMS-em.

  4. Użytkownicy powinni zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.

  5. Zaleca się, aby użytkownik podczas przesyłania danych osobowych mailem zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata.



  1. Podczas wysyłania maili do wielu adresatów jednocześnie, należy użyć metody „Ukryte do wiadomości – UDW”.
  1. Procedura nadawania uprawnień do przetwarzania danych osobowych.


Procedura opisuje zasady: przyznawania, modyfikacji i usuwania uprawnień użytkownika do przetwarzania zbiorów w systemie informatycznym lub w wersji papierowej. Celem procedury jest minimalizacja ryzyka nieuprawnionego dostępu do danych osobowych i utraty poufności przez osoby nieupoważnione.

    1. Zarządzane uprawnieniami użytkowników





  1. Przyznanie, anulowanie upoważnienia do przetwarzania danych osobowych w systemie informatycznym lub w zbiorze papierowym realizowane jest na podstawie Upoważnienia przygotowanego przez Administratora Bezpieczeństwa Informacji (Załącznik 3).

  2. Przed nadaniem upoważnienia, ABI zobowiązany jest do sprawdzenia, czy osoba upoważniona:

    1. Odbyła szkolenie z zakresu przestrzegania zasad bezpieczeństwa danych osobowych lub została zapoznana z polityką ODO.

    2. Podpisała oświadczenie o zachowaniu poufności.

    3. Będzie przetwarzać dane osobowe w zakresie i celu określonym upoważnieniem.

  3. ABI jest zobowiązany do aktualizacji upoważnień i ich zakresu (np. z powodu zatrudnienia, urlopu, dostępu do zbiorów lub zmiany stanowiska pracy).

  4. Zakres uprawnień w systemach informatycznych dla danej osoby określa Załącznik 4.

  5. Po akceptacji upoważnienia, ABI przekazuje go ASI celem nadania identyfikatora oraz uprawnień użytkownika w systemach informatycznych i aplikacjach

  6. Identyfikator użytkownika po wyrejestrowaniu z systemu informatycznego nie może być przydzielany innej osobie

  7. ASI zobowiązany jest po realizacji zlecenia przekazać uzupełniony formularz Upoważnienia do ABI

  8. ABI odpowiada za przechowywanie i aktualizację wszystkich Upoważnień

  9. ABI opowiada za prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (Załącznik 5).



    1. Zarządzanie uprawnieniami administratorów


  1. Administratorów systemów informatycznych (ASI) powołuje Rektor lub Koordynator Sekcji IT z upoważnienia Rektora.

  2. Hasło znane jest tylko administratorowi odpowiedzialnemu za dany system i zdeponowane jest w bezpiecznej kopercie w Sekcji IT.

  3. W przypadkach awaryjnych (np. nieobecność administratora) hasło może być przekazane osobie zastępującej administratora za zgodą i wiedzą ABI.

  1. Metody i środki uwierzytelnienia


Celem procedury jest zapewnienie, że do systemów informatycznych przetwarzających dane osobowe mają dostęp jedynie osoby do tego upoważnione.

    1. Ogólne zasady postępowania z hasłami


  1. ASI informuje mailem lub ustnie użytkownika o nadaniu pierwszego hasła do systemu.

  2. Użytkownik systemu zobowiązany jest do niezwłocznej zmiany tego hasła.

  3. Użytkownik systemu w trakcie pracy w aplikacji może zmienić swoje hasło.

  4. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów.

  5. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności.

  6. Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom.



    1. Hasła do programów przetwarzających dane osobowe




  1. Hasło dostępu do programów składają się co najmniej z co najmniej 8 znaków.

  2. Hasło składa się z dużych i małych liter oraz z cyfr lub znaków specjalnych.

  3. Zaleca się zmianę hasła raz na 30 dni lub zmianę hasła wymusza system.



  1. Procedura rozpoczęcia, zawieszenia i zakończenia pracy


Celem procedury jest zabezpieczenie danych osobowych przed nieuprawnionym dostępem i utratą poufności w sytuacji, gdy użytkownik rozpoczyna, przerywa lub kończy pracę w systemie informatycznym przetwarzającym dane osobowe.


  1. Użytkownik rozpoczyna pracę z systemem informatycznym przetwarzającym dane osobowe z użyciem identyfikatora i hasła.

  2. Użytkownik jest zobowiązany do powiadomienia ABI o próbach logowania się do systemu osoby nieupoważnionej, jeśli system to sygnalizuje.

  3. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym (np. pracownikom innych działów, studentom) wglądu do danych wyświetlanych na monitorach komputerowych.

  4. Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest wylogować się z systemu.

  5. Po zakończeniu pracy, użytkownik zobowiązany jest:

  1. wylogować się z systemu, a następnie wyłączyć sprzęt komputerowy,

  2. zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację oraz nośniki elektroniczne i tradycyjne, na których znajdują się dane osobowe.


  1. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i wydruków


Procedura określa sposób postępowania z nośnikami: twardymi dyskami, płytami CD/DVD, pamięciami typu „flash” na których znajdują się dane osobowe, celem zabezpieczenia ich przez zniszczeniem, kradzieżą, dostępem osób nieupoważnionych.
    1. Zabezpieczenie elektronicznych nośników informacji


  1. Nośniki danych są przechowywane w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, jak również zabezpieczający je przed zagrożeniami środowiskowymi (zalanie, pożar, wpływ pól elektromagnetycznych

  2. Zabrania się wynoszenia poza obszar Uczelni wymiennych nośników informacji a w szczególności twardych dysków z zapisanymi danymi osobowymi bez zgody ABI.

  3. W sytuacji przekazywania nośników z danymi osobowymi poza obszar organizacji należy stosować następujące zasady bezpieczeństwa:

    1. adresat powinien zostać powiadomiony o przesyłce,

    2. nadawca powinien sporządzić kopię przesyłanych danych,

    3. dane przed wysłaniem powinny zostać zaszyfrowane a hasło podane adresatowi inną drogą,

    4. stosować bezpieczne koperty depozytowe,

    5. adresat powinien powiadomić nadawcę o otrzymaniu przesyłki.

  4. Użytkownicy są zobowiązani do niezwłocznego i trwałego usuwania/kasowania danych osobowych z nośników informacji po ustaniu powodu ich przechowywania.

  5. Podlegające likwidacji uszkodzone lub przestarzałe nośniki ,w szczególności twarde dyski z danymi osobowymi są komisyjnie niszczone w sposób fizyczny (Załącznik 6).

  6. Nośniki informacji zamontowane w sprzęcie IT a w szczególności twarde dyski z danymi osobowymi powinny być wymontowane lub wyczyszczone specjalistycznym oprogramowaniem, zanim zostaną przekazane poza obszar Uczelni.
    1. Zabezpieczenie dokumentów i wydruków


  1. Dokumenty i wydruki trwałe z danymi osobowymi przechowuje się w archiwum lub w zabezpieczonych fizycznie pomieszczeniach, biurkach i szafach.

  2. Pracownicy są zobowiązani do zabezpieczania dokumentów (np. Zamykanie dokumentów na klucz w szafach, biurkach) przed dostępem osób nieupoważnionych podczas swojej nieobecności w pomieszczeniach lub po zakończeniu pracy (tzw. Polityka czystego biurka).

  3. Zabrania się pozostawiania wydruków oraz ksero na drukarkach, skanerach i kserokopiarkach.

  4. Pracownicy są zobowiązani do niszczenia dokumentów i tymczasowych wydruków w niszczarkach niezwłocznie po ustaniu celu ich przetwarzania.

  5. Za zapewnienie bezpieczeństwa dokumentów i wydruków odpowiedzialni są kierownicy jednostek organizacyjnych oraz podległe im osoby przetwarzające dane osobowe.
  1. Procedura zabezpieczenia systemu informatycznego, w tym przed wirusami komputerowymi




    1. Ochrona antywirusowa


Celem procedury jest zabezpieczenie systemów informatycznych przed szkodliwym oprogramowaniem (np. typu robaki, wirusy, konie trojańskie, rootkity) oraz nieautoryzowanym dostępem do systemów przetwarzających dane osobowe.


  1. System antywirusowy zainstalowano na stacjach roboczych

  2. System antywirusowy zapewnia ochronę: systemu operacyjnego, przechowywanych plików, poczty elektronicznej

  3. Użytkownicy zobowiązani są do skanowania plików programem antywirusowym

  4. LABI zapewniają stałą aktywność programu antywirusowego. Tzn. program antywirusowy musi być aktywny podczas pracy systemu informatycznego przetwarzającego dane osobowe

  5. Aktualizacja definicji wirusów odbywa się automatycznie

  6. W przypadku stwierdzenia pojawienia się wirusa, każdy użytkownik winien powiadomić LABI lub ABI.



    1. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej


Stosowane zabezpieczenia mają na celu zabezpieczenie systemów informatycznych przed nieautoryzowanym dostępem do sieci.



  1. Stosowany jest Firewall sprzętowy.

  2. Zastosowano mechanizmy kontroli dostępu do sieci oraz technikę NAT.



    1. Aktualizacje oprogramowania

Sekcja IT odpowiada za aktualizację oprogramowania zgodnie z zaleceniami producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji (np. aktualizacje, service pack-i, łatki) oraz odpowiada za zapewnienie licencjonowanego oprogramowania do przetwarzania danych osobowych.











©operacji.org 2017
wyślij wiadomość

    Strona główna