ZATWIERDZENIE DOKUMENTU
Sporządził Sprawdził Zatwierdził
Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych
Nr dokumentu: P09 Data wydania: 01.06.2016 rok Wydanie: 1
Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.
Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.
Procedura odpowiada wymogom:
Prawnym
PN/ISO 27001:2014 6.1; 8.1;
Kontroli Zarządczej C.11, C.12,E.19,
P09-Procedury zarządzania SI, wyd.1 2 z 7
P09-Procedury zarządzania SI, wyd.1 3 z 7
Spis treści
1. NADZÓR NAD POŁĄCZENIAMI VPN ... 4
1.1. Dopuszczenie do połączeń zdalnych VPN ... 4
1.2. Nawiązywanie, zamykanie i ewidencja połączeń VPN... 4
1.3. Połączenia VPN na potrzeby zdalnego nadzoru ... 4
1.4. Nawiązywanie połączeń VPN przez ... 4
2. AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ URZĘDU 5 2.1. Autoryzacja nowych urządzeń... 5
2.2. Proces autoryzacji ... 5
2.3. Kontrola specyfikacji urządzenia ... 5
3. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH ... 6
3.1. Zasady ogólne wprowadzania zmian w systemie informatycznym Urzędu ... 6
3.2. Testowanie zmian w aplikacjach i systemach w środowisku zapasowym ... 7
3.3. Warunki odstąpienia od procedury testowania zmian ... 7
3.4. Nadzór nad realizacją oprogramowania dla Urzędu ... 7
4. HISTORIA DOKUMENTU ... 7
P09-Procedury zarządzania SI, wyd.1 4 z 7 1. NADZÓR NAD POŁĄCZENIAMI VPN
Zakres procedury Zasady nadzoru nad połączeniami VPN,
Ewidencja połączeń VPN,
Warunki korzystania z VPN.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem.
Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, § 20 ust. 8 rozporządzenia),
PN-ISO/IEC 27001: A.12.4; A.13.2, A.15.2;
Działanie / odpowiedzialny Opis działania Dopuszczenie do połączeń
zdalnych VPN
Asystent ADO/ASI
Urząd umożliwia jednostkom zewnętrznym - świadcząca usługę nadzoru technicznego nad dostarczoną aplikacją - dostęp do wybranych aplikacji i baz danych systemu
informatycznego przez tunel VPN. Każda z jednostek zewnętrznych, która korzysta z dostępu do zasobów Urzędu poprzez tunel VPN musi zostać zatwierdzona i wpisana do wykazu prowadzonego przez ABI. Wykaz powinien zawierać listę upoważnionych do nawiązywanie połączeń VPN pracowników jednostki zewnętrznej wraz z numerami telefonów. W przypadku zmian kadrowych w firmie zewnętrznej, ma ona obowiązek poinformowania o tym Urzędu. Udostępnianie połączenia w trybie zdalnym może odbywać się jedynie w godzinach wcześniej ustalonych z Urzędem.
Nawiązywanie, zamykanie i ewidencja połączeń VPN
ASI oraz upoważniony pracownik urzędu
Przed każdą próbą nawiązania połączenia Jednostka zewnętrzna świadcząca nadzór nad aplikacją ma obowiązek skontaktowania się z Administratorem Systemu
Informatycznego, celem uzgodnienia dostępu tunelem VPN. ASI wraz z upoważnionym pracownikiem podmiotu zewnętrznego ustalają czas otwarcia tunelu, cel, szyfrowanie i inne elementy zabezpieczenia transmisji.
ASI otwiera tunel VPN na określony przedział czasowy, nie wykraczający po za godziny nadzoru ASI nad systemem IT Urzędu. Każdorazowe uruchomienie tunelu VPN ewidencjonowane jest w dzienniku systemu informatycznego ( zal__6___P01).
Zamknięcie tunelu VPN następuje poprzez zgłoszenie firmy zewnętrznej o zakończeniu prac serwisowych lub po upłynięciu ustalonego czasu. W razie konieczności przedłużenia czasu otwarcia tunelu firma zewnętrzna zobowiązana jest zadzwonić do organizacji, na co najmniej 20 min. przed upływem ustalonego wcześniej czasu zamknięcia tunelu.
Połączenia VPN na potrzeby zdalnego nadzoru
Asystent ADO/ASI
Administrator Systemu Informatycznego może wykorzystywać tunele VPN do nadzorowania systemu informatycznego po godzinach pracy z dogodnej dla siebie lokalizacji, pod warunkiem, że logowanie nie odbędzie się z publicznych punktów dostępu do sieci Internet. Połączenie musi być odpowiednio zabezpieczone, a parametry dostępowe (loginy i hasła) zmieniane nie rzadziej niż co 30 dni i wykorzystywany system tokenowy do dodatkowej weryfikacji. Każde takie połączenie musi zostać zanotowane w dzienniku systemu informatycznego, nie później niż w następnym dniu roboczym po jego nawiązaniu.
Nawiązywanie połączeń VPN przez
wszyscy pracownicy Urzędu
Pracownikom Urzędu zakazuje się samodzielnego (poza procedurą) uruchamiania programów i aplikacji, które nawiązują połączenia typu VPN.
Dokumenty związane zal__7___P01 - Dziennik systemu informatycznego.
P09-Procedury zarządzania SI, wyd.1 5 z 7 2. AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ
Zakres procedury Autoryzacja nowych urządzeń służących do przetwarzania informacji w systemie informatycznym Urzędu.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, § 20 ust. 7 pkt. c) rozporządzenia),
PN-ISO/IEC 27001: A.11.2; A.12.4; A.13.1;
Działanie / odpowiedzialny Opis działania Autoryzacja nowych
urządzeń
Autoryzacji podlegają wszystkie nowe modele urządzeń mające być użyte w sieci teleinformatycznej Urzędu. Autoryzacji podlega również sprzęt nie będący własnością Urzędu, służący do przetwarzania danych związanych z działalnością urzędu (sprzęt osobisty, powierzony przez podmioty zewnętrzne).
Proces autoryzacji Kontrola specyfikacji urządzenia,
O ile zachodzi taka konieczność - testy urządzenia.
Kontrola specyfikacji urządzenia
ASI
Sprawdzenie, czy urządzenie posiada certyfikaty i homologacje wymagane na terenie kraju.
Sprawdzenie, czy urządzenie spełnia wymagania techniczne dotyczące podłączenia go do infrastruktury urzędu (interfejsy sieciowe).
Sprawdzenie, czy urządzenie spełnia wymagania bezpieczeństwa systemów oraz wymagania Polityki Bezpieczeństwa Informacji, zwłaszcza w zakresie sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, mającego na celu uzyskanie nieuprawnionego dostępu do systemu informatycznego
Sprawdzenie, czy urządzenie posiada funkcjonalność umożliwiającą zastosowanie odpowiednich polityk dostępu.
P09-Procedury zarządzania SI, wyd.1 6 z 7 3. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH
Zakres procedury Wprowadzanie i nadzorowanie zmian wprowadzanych do systemów informatycznych,
Zmiana konfiguracji, funkcjonalności, kluczowych komponentów systemu informatycznego.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, § 15 ust. 1 rozporządzenia),
PN-ISO/IEC 27001:2013 : A.12.5; A.12.6; A.14.2;
Działanie / odpowiedzialny Opis działania Zasady ogólne
wprowadzania zmian w systemie informatycznym Urzędu
Nie dopuszcza się zmian w aplikacjach / systemach operacyjnych, które nie są uwarunkowane względami bezpieczeństwa bądź istotną dla organizacji modyfikacją funkcjonalności.
W sytuacji, gdy dokonywanie zmian stanowi czynność należącą do zakresu obowiązków pracownika i ma charakter powtarzalny (np. aktualizacja systemu operacyjnego serwera), pracownik samodzielnie podejmuje decyzję o wprowadzeniu zmiany, dokumentując czynności wpisem do dziennika SI (zal__6___P01),
W przypadku stwierdzenia niekorzystnego wpływu zmian na funkcjonowanie systemów informatycznych, Administrator Systemu Informatycznego w porozumieniu z
Administratorem Bezpieczeństwa Informacji niezwłocznie zarządza podjęcie działań mających na celu wyeliminowanie bądź minimalizację negatywnych skutków zmiany.
Efektywność tych działań podlega bieżącemu monitorowaniu.
Zapisy w dziennikach aplikacji/systemów, dotyczące wprowadzania zmian należy sporządzać w sposób umożliwiający łatwe i jednoznaczne ich powiązanie w ramach konkretnej zmiany.
W przypadku, gdy zmiana skutkuje odmienną niż dotychczasowa konfiguracją stacji roboczej lub serwera, osoba odpowiedzialna za wprowadzenie zmiany niezwłocznie przekazuje informacje niezbędne dla aktualizacji dokumentacji stacji roboczej lub serwera.
W przypadku, gdy zmiana skutkuje ingerencją w prawa dostępu do zasobów informacji, pracownik odpowiedzialny za zmianę uzgadnia możliwość jej wprowadzenia z właścicielami tych zasobów.
P09-Procedury zarządzania SI, wyd.1 7 z 7 4. HISTORIA DOKUMENTU
Testowanie zmian w aplikacjach i systemach w środowisku zapasowym
ASI
Wprowadzanie zmian w aplikacjach oraz systemach operacyjnych powinno być
poprzedzone próbną na maszynie testowej, na której odtworzono środowisko pracy stacji docelowej w niezbędnym zakresie.
Funkcję stacji testowej może pełnić dowolna dostępna jednostka, po zapewnieniu bezpiecznego usunięcia z niej informacji i aplikacji po zrealizowanym teście. W przypadku, gdy z dostępnej wiedzy i doświadczenia przeprowadzającego test wynika, że ewentualny wpływ zmiany na środowisko pracy nie spowoduje utraty kontroli nad przebiegiem testu i nie wygeneruje innych zagrożeń dla bezpieczeństwa aktywów organizacji,
przeprowadzający test może wykorzystać własną lub udostępnioną przez innego użytkownika stację roboczą, pod warunkiem uprzedniego zabezpieczenia
przechowywanych na niej danych (backup), a jeśli wymagają tego względy zapewnienia ciągłości działania, wykonania obrazu systemu wraz z niezbędnymi aplikacjami, celem pełnego odtworzenia środowiska pracy w razie takiej konieczności.
Wprowadzenie zmian jest dopuszczalne wyłącznie po wykluczeniu negatywnego wpływu zmiany zarówno na system/aplikację, jak i środowisko, na funkcjonowanie którego wpływa system/aplikacja poddana procesowi zmiany. W przypadku zmiany systemu operacyjnego serwera aplikacji/plików wymagane jest uprzednie przetestowanie współpracy tych aplikacji z nowym systemem. Dotyczy to także podniesienia aplikacji lub systemu do wyższej wersji.
Wprowadzanie zmian do systemu informatycznego powinno być realizowane w sposób umożliwiający przywrócenie stanu wyjściowego przed zmianą.
Warunki odstąpienia od procedury testowania zmian
ASI
Od przeprowadzenia testu można odstąpić jedynie w przypadku, gdy autor zmiany dysponuje zapisem posiadającej odpowiednie kompetencje strony trzeciej, z którego jednoznacznie wynika, że wprowadzenie zmiany nie pociąga za sobą jakichkolwiek zagrożeń dla środowiska pracy, lub że wprowadzenie zmiany jest niezbędne ze względów
bezpieczeństwa, a ewentualne zakłócenia w funkcjonowaniu systemu / aplikacji są zidentyfikowane i zagrożenia wynikające z nich są mniejsze niż koszty zaniechania wprowadzenia zmiany (dotyczy np. poprawek krytycznych systemów operacyjnych).
Nadzór nad realizacją oprogramowania dla Urzędu ASI
Jeżeli wprowadzenie zmiany wiąże się z opracowaniem przez firmę zewnętrzną dedykowanego oprogramowania, Administrator Systemu Informatycznego zgodnie z odpowiednimi zapisami umowy wiążącej strony nadzoruje proces tworzenia
oprogramowania. Nadzór nad pracami ma zapewnić, że zostały podjęte wszelkie niezbędne środki przewidziane umową, mające wpływ na zachowanie poufności w trakcie realizacji umowy, w szczególności w zakresie postępowania z informacjami istotnymi dla bezpieczeństwa organizacji.
Data / wydanie Opis zmiany
01.06.2016 / wyd. 1 Utworzenie dokumentu.
Urząd Gminy Kęty
Dokument Systemu Zarządzania Bezpieczeństwem Informacji
P10-Raporty i wskaźniki stanu bezp. wyd. 1 1 z 3