PROCEDURY BEZPIECZEŃSTWA INFORMACJI

ZATWIERDZENIE DOKUMENTU

Sporządził Sprawdził Zatwierdził

Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych

Nr dokumentu: P01 Data wydania: 01.06.2016 rok Wydanie: 1

Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.

Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.

Procedura odpowiada wymogom:

Prawnym  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r.

sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. 100 poz. 1024)

PN/ISO 27001:2014 A.6.1; A.8.3; A.12.1; A.12.2; A.12.3; A.12.4; A.13.1; A.13.2; A.14.1; A.14.2; A.15.2 Kontroli Zarządczej C.15

P01-Instrukcja_Zarządzania_SI, wyd. 1 2 z 15

P01-Instrukcja_Zarządzania_SI, wyd. 1 3 z 15

Spis treści

1. POSTANOWIENIA OGÓLNE ...4 2. POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH ...5 3. PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH ...6 4. STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM ...8 5. PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONA DLA UŻYTKOWNIKÓW SYSTEMÓW INFORMATYCZNYCH ...9 6. TWORZENIE KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA ... 10 7. SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH KOPII ZAPASOWYCH ... 11 8. ZABEZPIECZENIE PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO ... 12 9. REALIZACJA WYMOGU UWIERZYTELNIENIA UŻYTKOWNIKA I REJESTRACJI ZDARZEŃ ... 14 10. PRZEGLĄD I KONSERWACJA SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH ... 15 11. HISTORIA DOKUMENTU ... 15

P01-Instrukcja_Zarządzania_SI, wyd. 1 4 z 15 1. POSTANOWIENIA OGÓLNE

1.1. Podstawa dokumentu

 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz.

2135 ze zm.),

 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.),

 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526),

 PN-ISO/IEC 27001.

1.2. Zakres stosowania Instrukcja zarządzania systemami informatycznymi Urzędu Gminy Kęty, zwana dalej instrukcją, opisuje sposoby nadawania uprawnień i powierzania zasobów użytkownikom, określa sposób pracy w systemie informatycznym, procedury zarządzania oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego Urzędu. Instrukcja obowiązuje wszystkie komórki organizacyjne Urzędu oraz wszystkich pracowników.

Instrukcja obejmuje następujące systemy, programy i aplikacje przetwarzające dane, w tym dane osobowe, ujęte w wykazie prowadzonym przez Asystenta Administratora Danych Osobowych.

Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem.

1.3. Definicje Urząd – Urząd Gminy Kęty,

GIODO – Generalny Inspektor Ochrony Danych Osobowych.

Ustawa – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r.

poz. 2135 ze zm),

Rozporządzenie – Rozporządzenie Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U.

2004r. Nr 100 poz. 1024),

Identyfikator – ciąg znaków w sposób jednoznaczny przypisany danemu użytkownikowi systemu teleinformatycznego, użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał; Identyfikator składa się minimalnie z siedmiu znaków; znaki identyfikatora nie są rozdzielone spacjami ani znakami interpunkcyjnymi; identyfikator nie zawiera polskich liter; Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany innej osobie.

Użytkownik, użytkownik systemu teleinformatycznego – osoba upoważniona do pracy w systemie informatycznym Urzędu, pracownik Urzędu lub pracownik innego podmiotu, który świadczy usługi związane z działalnością statutową Urzędu Gminy Kęty,

SZBI – System Zarządzania Bezpieczeństwem Informacji – system organizacji bezpieczeństwa informacji Urzędu Gminy Kęty, oparty o wymogi normy PN-ISO/IEC 27001,

ADO – Administrator Danych Osobowych,

AsADO – Asystent Administratora Danych Osobowych, ASI – Administrator Systemu Informatycznego,

Kierujący – osoba kierująca komórką organizacyjną (kierownik, naczelnik, dyrektor) lub samodzielny pracownik.

PBI – Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych – dokument realizujący wymóg art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.),

Sieć lokalna (LAN) – Local Area Network; połączenie systemów informatycznych Urzędu wyłącznie dla własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych.

1.4. Zarządzanie systemami dziedzinowymi

Zarządzanie systemami dziedzinowymi oraz systemem obiegu dokumentów odbywa się w oparciu o szczegółowe instrukcje dostarczane przez producentów oprogramowania.

Administrator Systemów Informatycznych jest odpowiedzialny za przechowywanie aktualnych instrukcji, adekwatnych do stosowanego oprogramowania.

P01-Instrukcja_Zarządzania_SI, wyd. 1 5 z 15 2. POSTĘPOWANIE ZE ZBIORAMI DANYCH OSOBOWYCH

Cel procedury Celem procedury jest zapewnienie podstawowych reguł dotyczących zarządzania zbiorami informacji zawierającymi dane osobowe. Procedura określa postępowanie przy rejestracji, ewidencji, zmianie zakresu przetwarzania, aktualizowaniu i wyrejestrowaniu zbiorów informacji zawierających dane osobowe. Zawiera również reguły związane z udostępnianiem danych osobowych.

Zakres procedury Niniejsza instrukcja obowiązuje wszystkie komórki organizacyjne UG Kęty.

Podstawa dokumentu  Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2015 r. poz.

2135 ze zm .),

 PN-ISO/IEC 27001:2014-12 – A.8.3 Działanie / odpowiedzialny Opis działania

2.1.

Zgłoszenie zbioru danych osobowych do rejestru należy złożyć do AsADO nie później niż 14 dni po rozpoczęciu przetwarzania danych w zbiorze. W przypadku danych wrażliwych (art.

27 ustawy) zgłoszenie należy dokonać przed przystąpieniem do przetwarzania danych.

Zgłoszenia dokonuje Kierujący korzystając z formularzy:

 zal_1___P01 - Wniosek ……….. Zgłoszenie przetwarzanego zbioru danych osobowych

 zal_1A__P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych

2.2.

Zaprzestanie

przetwarzania danych w zarejestrowanym zbiorze DO / Kierujący

Zaprzestanie przetwarzania danych w zarejestrowanym zbiorze danych osobowych należy zgłaszać do AsADO nie później niż 14 dni od momentu wystąpienia przesłanki, na podstawie której zaprzestaje się dane przetwarzać.

Zgłoszenia zaprzestania przetwarzania dokonuje Kierujący formularzu:

 zal_1___P01 - Wniosek ……….. Usunięcie zbioru danych osobowych z rejestru 2.3.

Zgłoszenia do GIODO przygotowywane są przez AsADO na podstawie zgłoszeń otrzymanych od Kierujących. Aktualny wykaz zbiorów danych osobowych wraz z systemami prowadzony jest przez AsADO .

Administrator Danych może powierzyć przetwarzanie danych osobie fizycznej lub prawnej będącej pracownikiem lub realizującej zadania na rzecz UG Kęty.

Powierzenie przetwarzania danych osobowych może odbyć się jedynie w oparciu o umowę w formie pisemnej. Umowę przygotowuje dział prawny w oparciu o aktualne wymogi prawa oraz wymogi organizacyjne Urzędu na wniosek Kierującego.

Umowę ze strony Urzędu podpisuje ADO.

Po podpisaniu umowy powierzenia danych osobowych Kierujący w oparciu o wniosek (zal_1___P01) zgłasza AsADO umowę do wpisania do ewidencji umów powierzenia.

AsADO prowadzi ewidencję umów powierzenia danych osobowych (zal__4__P01).

2.5.

Rozwiązanie- umowy powierzenia DO/

/ Kierujący ADO oraz AsADO

Kierujący zgłasza do AsADO fakt ustania podstawy funkcjonowania umowy powierzenia zbioru danych osobowych.

Zgłoszenia dokonuje się na formularzu (zal_1___P01) niezwłocznie po zaistnieniu zdarzenia stanowiącego przesłankę do rozwiązania, wygaszenia umowy powierzenia danych

osobowych .

AsADO usuwa z ewidencji (zal__4__P01) nieobowiązującą umowę powierzenia danych osobowych.

Dokumenty związane  zal_1___P01 - Wniosek o wydanie: sprzętu, zgłoszenie zbioru DO,

 zal_1A__P01 - Zgłoszenie do rejestru Zbioru Danych Osobowych,

 zal_4___P01- Ewidencja umów powierzenia danych osobowych

P01-Instrukcja_Zarządzania_SI, wyd. 1 6 z 15 3. PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH

Zakres procedury  Zarządzanie uprawnieniami do przetwarzania danych, w tym danych osobowych,

 Rejestrowania uprawnień w systemach informatycznych,

 Nadawanie uprawnień i dostępu do zasobów należących do Urzędu,

 Wskazanie osoby odpowiedzialnej za te czynności

 Przegląd uprawnień i zasobów

Podstawa dokumentu  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., Dz. U. z 2004 r. Nr 100, poz. 1024, § 5 ust. 1 rozporządzenia)

 PN-ISO/IEC 27001 : A.9.2.

Działanie / odpowiedzialny Opis działania 3.1.

Złożenie wniosku o nadanie uprawnień / Kierujący

lub koordynator zadania

Kierujący lub koordynator zadania, na rzecz którego będą wykonywane czynności związane z przetwarzaniem danych – w tym danych osobowych składa do AsADO:

Wniosek (zal_1_P01) o wydanie upoważnienia do przetwarzania danych osobowych i dostępu do systemu informatycznego UG Kęty. Wniosek ten musi zawierać:

 imię, nazwisko i osoby, której upoważnienie zostanie nadane,

 zakres upoważnienia do przetwarzania danych osobowych,

 nazwę systemów informatycznych, do których upoważniony ma mieć dostęp;

 datę, z jaką upoważnienie ma być nadane,

 okres obowiązywania upoważnienia.

Ponadto wniosek (zal_1_P01) wskazuje jaki poziom dostępu powinien mieć upoważniony:

 do pomieszczeń urzędu,

 do systemów i zasobów teleinformatycznych,

 do wyposażenia technicznego (np.: tel. komórkowy, laptop, tablet, pendrive, internet mobilny, aparat fotograficzny).

Wniosek powinien być przygotowany w porozumieniu z ASI, który nadaje identyfikatory użytkownika w systemach i odpowiednie uprawnienia, wskazane przez kierującego lub koordynatora zadania.

Osoba, która ma zostać dopuszczona do przetwarzania danych musi zostać zapoznana z wymogami ustawy o ochronie danych osobowych Polityką Bezpieczeństwa Informacji.

Po zrealizowaniu wniosku (wydanie upoważnień, nadanie uprawnień itp.) co jest potwierdzone podpisami ze strony AsADO oraz ASI wniosek pełni funkcję karty zasobów, uprawnień.

Dopuszcza się możliwość wydania kopii zrealizowanego wniosku osobie upoważnianej.

3.2.

Przygotowanie upoważnienia / AsADO oraz ADO

Na podstawie wniosku AsADO przygotowuje upoważnienie do przetwarzania danych osobowych i dostępu do systemu informatycznego UG Kęty (zal_2__P01), które musi zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania upoważnienia do przetwarzania danych osobowych, 3) datę ustania upoważnienia do przetwarzania danych osobowych, 4) zakres przetwarzania danych osobowych,

5) identyfikatory nadane w systemach,

Upoważnienie do przetwarzania danych osobowych sporządzane jest co najmniej w dwóch egzemplarzach po jednym dla każdej ze stron i zostaje podpisane przez ADO oraz

upoważnionego, następnie wpisane do ewidencji upoważnień (zal__3___P01).

(dopuszczone jest wykonanie kopii, skanów do celów prowadzenia dokumentacji ochrony danych osobowych).

Razem z upoważnieniem do przetwarzania danych osobowych podpisywane jest przez upoważnianego pracownika oświadczenie (zal_2A_P01), zachowaniu tajemnicy, poufności znajomości polityk i innych warunkach związanych z bezpieczeństwem informacji.

(dopuszczone jest wykonanie kopii, skanów do celów prowadzenia dokumentacji ochrony danych osobowych).

P01-Instrukcja_Zarządzania_SI, wyd. 1 7 z 15 3.3.

Realizacja dostępu do zasobów oraz uprawnień / ASI

Na podstawie zrealizowanego wniosku (zal_1_P01) ASI przekazuje upoważnionemu dostęp do wskazanych zasobów.

Upoważniony ma obowiązek potwierdzić przyznanie zasobów w określonym na wniosku zakresie poprzez złożenie podpisu na wniosku.

Upoważniony potwierdza odbiór sprzętu komputerowego zgodnie ze specyfikacją zawartą w karcie stanowiska (zal_5_P01). Za prawidłowość wypełnienia karty stanowiska odpowiada ASI.

3.4.

Zmiana uprawnień AsADO oraz ASI

W przypadku zmiany poziomu uprawnień i/lub powierzonych zasobów należy realizować w oparciu o wniosek (zal_1_P01).

Wniosek musi zawierać informacje o komplecie upoważnień i uprawnień niezbędnych do prawidłowego funkcjonowania danego pracownika.

ASI w oparciu o przedstawiony wniosek dostosowuje dostęp do zasobów, systemów i aplikacji dla wskazanego użytkownika – postępuje zgodnie z punktem 3.3.

AsADO w oparciu o przedstawiony wniosek przygotowuje nowe upoważnienie do przetwarzania zbiorów danych osobowych – postępuje zgodnie z punktem 3.2.

Zaktualizować ewidencję upoważnień do przetwarzania zbiorów DO (zal__3___P01).

Jeżeli pracownik ma podpisany załącznik (zal_2A_P01), to jest on nadal aktualny.

3.5.

Zgłoszenie, wniosek do AsADO oraz ASI dokonuje:

1) Dział Kadr w formie pisemnej w sytuacji rozwiązania stosunku pracy lub rozwiązaniem umowy między upoważnionym a Urzędem,

2) Kierujący lub koordynator zadania, na rzecz którego były wykonywane czynności związane z przetwarzaniem danych zgłasza fakt zakończenia umowy.

Zgłoszenie, wniosek (zal_1_P01) powinno uwzględniać przyczynę ustania uprawnień.

AsADO w oparciu o zgłoszenie, wniosek unieważnia upoważnienie do przetwarzania danych osobowych oraz aktualizuje ewidencję do przetwarzania zbiorów danych osobowych.

ASI w oparciu o zgłoszenie, wniosek wyrejestrowuje użytkownika z systemów, likwiduje dostęp do zasobów (w oparciu aktualną kartę zasobów – zrealizowany wniosek o nadanie uprawnień). Odbiera od wyrejestrowanego pracownika sprzęt komputerowy zgodnie z kartą stanowiskową oraz jeżeli istnieje listą wydanych aktywów.

3.6.

Przegląd uprawnień / Kierujący, AsADO lub Audytor wewnętrzny

Przegląd uprawnień i zasobów odbywa się w ramach audytu wewnętrznego SZBI lub w oparciu o plan przeglądów uprawnień.

W uzasadnionych przypadkach niezgodność w zakresie uprawnień i zasobów może stanowić incydent bezpieczeństwa informacji.

Dokumenty związane  zal_1___P01 – Wniosek o upoważnienie do przetwarzania danych osobowych

 zal_2___P01 – Upoważnienie imienne uprawniające do przetwarzania DO,

 zal_2A__P01 - Oświadczenie o zachowaniu tajemnicy

 zal_3___P01 - Ewidencja upoważnionych do przetwarzania DO

 zal_5___P01 – Karta stanowiska

P01-Instrukcja_Zarządzania_SI, wyd. 1 8 z 15 4. STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH

ZARZĄDZANIEM I UŻYTKOWANIEM

Zakres procedury  Nadawania haseł do systemów informatycznych Urzędu,

 Utrzymanie haseł do kont administracyjnych,

 Awaryjne użycie haseł administracyjnych do systemów informatycznych.

Podstawa dokumentu  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., Dz. U. z 2004 r. Nr 100, poz. 1024, § 5 ust. 2 rozporządzenia)

 PN-ISO/IEC 27001: A.9.1, A.9.4.

Działanie / odpowiedzialny Opis działania 4.1.

Identyfikator i hasło/ ASI

Dostęp do zasobów informacyjnych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła.

System informatyczny przetwarzający dane osobowe jest konfigurowany w sposób wymagający bezpieczne zarządzanie hasłami użytkowników:

a) hasło przydzielone użytkownikowi musi być zmienione po pierwszym udanym zalogowaniu się do systemu informatycznego,

b) hasła są zmieniane przez użytkownika,

c) system informatyczny wyposażony jest w mechanizmy wymuszające zmianę hasła po upływie 30 dni od dnia ostatniej zmiany hasła,

d) system informatyczny wyposażony jest w mechanizm pozwalający na wymuszenie jakości hasła,

e) hasło powinno składać się z co najmniej 8 znaków. Hasło powinno zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,

f) Użytkownik nie może nadać hasła, z którego korzystał wcześniej w danym systemie informatycznym.

Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym posiadają własne konta administracyjne, do których mają przydzielone hasło.

Hasła do kont administracyjnych posiadających pełny pakiet uprawnień (tzw. root dla systemów Unix, administrator dla systemów Windows) podlegają obowiązkowi zmian jedynie w momencie zmian kadrowych na stanowiskach informatyków. Ze względu na konieczność utrzymania ciągłości działania kluczowych systemów informatycznych nazwy i hasła użytkowników posiadających uprawnienia administratorów przechowywane są w bezpiecznej lokalizacji, do której dostęp jest w pełni kontrolowany, a dostęp do niej mają wyłącznie uprawnione osoby.

Nazwy użytkowników posiadających uprawnienia administratorów oraz hasła powinny być przechowywane w opieczętowanej kopercie, opatrzonej podpisem AsADO, ASI oraz użytkownika konta administracyjnego.

W przypadku konieczności awaryjnego użycia nazw i haseł użytkowników pracujących na kontach administracyjnych konieczny jest wpis ilustrujący zaistniałą sytuację w Dzienniku Systemu Informatycznego (zal_6_P01). Wpisów w dzienniku systemów informatycznych dokonuje ASI.

Wpis powinien zawierać następujące informacje:

 imię i nazwisko oraz stanowisko osoby upoważnionej udostępniającej dostęp do szafy, w której znajdują się hasła,

 imię i nazwisko oraz stanowisko osoby, która pobiera nazwy użytkowników i hasła,

 krótki opis sytuacji, która zmusiła do awaryjnego wykorzystania haseł.

O konieczności i okolicznościach awaryjnego użycia nazw i haseł musi niezwłocznie zostać powiadomiony AsADO lub ADO.

Koperta i hasło muszą zostać zmienione po wykorzystaniu uprzednich przez użytkownika konta administracyjnego.

Dokumenty związane  zal_6___P01-Dziennik systemu informatycznego

P01-Instrukcja_Zarządzania_SI, wyd. 1 9 z 15 5. PROCEDURA ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONA DLA

UŻYTKOWNIKÓW SYSTEMÓW INFORMATYCZNYCH

Zakres procedury  Bezpieczne logowanie do systemów informatycznych,

 Ograniczenia prób logowania do systemów informatycznych,

 Zmiana użytkownika stacji roboczej,

 Zablokowanie czasowe stacji roboczej pracownika,

 Automatyczne blokowanie stacji roboczych,

 Wylogowanie użytkownika.

Podstawa dokumentu  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., Dz. U. z 2004 r. Nr 100, poz. 1024, § 5 ust. 3 rozporządzenia)

 PN-ISO/IEC 27001: A.9.1, A.9.3; A.9.4, . Działanie / odpowiedzialny Opis działania

5.1.

Kontrola stanowiska pracy/ użytkownik

Przed rozpoczęciem pracy oraz w trakcie pracy przy komputerze użytkownik zobowiązany jest do zwrócenia uwagi, czy nie wystąpiły objawy mogące świadczyć o naruszeniu bezpieczeństwa danych. Opis potencjalnych zdarzeń oraz sposób postępowania w przypadku ich wykrycia został opisany w dokumencie „Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty”.

5.2.

Rozpoczęcie pracy poprzez logowanie do stacji roboczej/

użytkownik

Rozpoczęcie pracy użytkownika obejmuje wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu operacyjnego stacji roboczej i aplikacji przetwarzającej właściwe dane.

5.3.

Ograniczenie prób logowania/ ASI

Maksymalna ilość prób wprowadzenia hasła przy logowaniu się do systemu wynosi trzy.

5.4.

Zawieszenie systemu logowania/ użytkownik

Po przekroczeniu określonej dla wybranego systemu liczby prób logowania, określonej w pkt 5.3, system blokuje dostęp do zbioru danych na poziomie danego użytkownika.

Odblokowanie konta dokonuje się samoczynnie po upływie 15 minut.

5.5.

Automatyczne zamknięcie sesji użytkownika / blokowanie stacji roboczej / ASI

W przypadku bezczynności użytkownika na stacji roboczej przez okres dłuższy niż 15 minut automatycznie włączany jest wygaszasz ekranu. Wznowienie pracy po wygaszeniu ekranu wymagać musi ponownego podania hasła użytkownika.

5.6.

Zmiana użytkownika stacji roboczej/ użytkownik

Zmianę użytkownika stacji roboczej każdorazowo musi poprzedzać wylogowanie się poprzedniego użytkownika. Niedopuszczalne jest aby dwóch lub większa ilość użytkowników wykorzystywała wspólnie jedno konto użytkownika.

5.7.

Zakończenie pracy w systemie informatycznym/

użytkownik

Zakończenie pracy w systemie informatycznym dokonuje się poprzez wylogowanie użytkownika ze wszystkich aplikacji oraz systemu operacyjnego komputera.

5.8.

Zablokowanie stacji roboczej / użytkownik

W przypadku, gdy użytkownik opuszcza czasowo stanowisko pracy obowiązany jest zablokować stację roboczą lub wylogować się z aplikacji i systemu stacji roboczej, na której pracuje oraz sprawdzić czy nie zostały pozostawione bez nadzoru nośniki informacji zawierające chronione dane. Wznowienie pracy w systemach operacyjnych oraz systemach przetwarzających dane może nastąpić jedynie po poprawnym logowaniu do systemu.

5.9.

Ograniczenia techniczne systemu zabezpieczeń/

ADO/AsADO/ASI/Kierujący

Jeżeli system informatyczny nie udostępnia mechanizmów ujętych w punkcie 5.3 i 5.4, dalsze użytkowanie jest dopuszczalne po przeprowadzeniu analizy ryzyka i ewentualnym wdrożeniu zabezpieczeń wynikających z analizy, zapewniających odpowiedni poziom bezpieczeństwa przetwarzanych danych.

P01-Instrukcja_Zarządzania_SI, wyd. 1 10 z 15 6. TWORZENIE KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI

PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA Zakres procedury  Tworzenie kopii zapasowych zbiorów danych,

 Określenie metod i narzędzi do sporządzania i weryfikacji przydatności kopii zapasowych,

 Zabezpieczanie oraz wycofywanie nośników danych.

Podstawa dokumentu  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., Dz. U. z 2004 r. Nr 100, poz. 1024, § 5 ust. 4 rozporządzenia)

 PN-ISO/IEC 27001: A.8.2; A.8.3; A.12.3.

Działanie / odpowiedzialny Opis działania 6.1.

Ochrona danych/ ASI

Dane przetwarzane w systemach informatycznych UG Kęty, podlegają zabezpieczeniu poprzez tworzenie kopii zapasowych. Za proces tworzenia kopii zapasowych odpowiada Administrator Systemu Informatycznego lub osoba specjalnie do tego celu wyznaczona.

6.2.

Przetwarzanie danych zapisywanych na lokalnych stacjach roboczych/ ASI

Dane przetwarzane lokalnie na stacjach roboczych pracowników urzędu zapisywane są na wyznaczonym do tego celu udziale sieciowym. Celem jest zabezpieczenie ich dostępności poprzez wykonanie kopii zapasowych.

6.3.

Schemat tworzenia kopii zapasowych danych/ ASI

Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzającym dane tworzone są według schematu opisanego w dokumencie „Schemat tworzenia kopii danych” (zal_7___P01) , którego wzór stanowi załącznik do niniejszej instrukcji.

Maksymalny czas przechowywania kopii zapasowych wynosi 3 tygodnie.

6.4.

Sprawdzenie przydatności kopii zapasowej danych/ ASI

Każdorazowo po wykonaniu kopii bezpieczeństwa Administrator Systemu Informatycznego weryfikuje poprawność jej wykonania – odczytując raport który generuje program do backupu (logi w systemie backup). W przypadku komunikatu błędu przeprowadzana jest analiza przyczyn i wykonanie ponowne backupu.

Raz na pół roku przeprowadzany jest test odtworzeniowy prawidłowości wykonania kopii bezpieczeństwa. Poprawność przeprowadzenia testu jest potwierdzana jest w dokumencie

„Lista kontrolna kopii zapasowych” (zal_8___P01), której wzór stanowi załącznik do niniejszej instrukcji.

Dokumenty związane  zal_7___P01 - Schemat tworzenia kopii danych,

 zal_8___P01 – Lista kontrolna poprawności kopii.

W dokumencie ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r. (Stron 27-42)