english

Instrukcja zarządzania systemem informatycznym

Artykuł omawia kwestię związaną z ochroną danych osobowych przetwarzanych w systemie informatycznym. Jeżeli mają Państwo pytania dotyczące niżej opisywanego dokumentu lub potrzebują pomocy w jego stworzeniu – zachęcamy do kontaktu: biuro@opclegal.pl, tel.: +48 793 384 396.

Przetwarzając dane osobowe należy zadbać o ich prawidłową ochronę. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, ich administrator musi przygotować i stosować (wdrożyć) dokument o nazwie „instrukcja zarządzania systemem informatycznym”.

Dokument będzie opisywał sposób przetwarzania danych osobowych w systemie informatycznym oraz środki techniczne i organizacyjne, jakie administrator danych osobowych stosuje w celu ochrony danych osobowych. Obowiązek przygotowania instrukcji zarządzania systemem informatycznym wynika z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Treść instrukcji zarządzania systemem informatycznym zależy m.in. od rodzaju przetwarzanych danych osobowych i systemu informatycznego, w którym dane osobowe są przetwarzane (jego budowy, struktury, dostępu do systemu, jego ochrony). Nie da się więc przygotować uniwersalnego wzoru instrukcji zarządzania systemem informatycznym. Żeby ułatwić Państwu przygotowanie takiego dokumentu, stworzyliśmy listę punktów, która musi zostać omówiona w instrukcji zarządzania systemem informatycznym.


Zagadnienia ogólne

⧠ systemy informatyczne, których dotyczy instrukcja
⧠ lokalizacja systemów
⧠ stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej, poprzez sieć telekomunikacyjną)
 

Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

⧠ zasady przyznawania użytkownikowi identyfikatora
⧠ zasady nadawania uprawnień użytkownika do zasobów systemu
⧠ zasady modyfikacji uprawnień użytkownika do zasobów systemu:
– operacje związane z nadawaniem użytkownikowi uprawnień do pracy w systemie, począwszy od utworzenia użytkownikowi konta, poprzez przydzielenie i modyfikację jego uprawnień, aż do momentu usunięcia konta z systemu
⧠ procedura określająca zasady rejestracji użytkowników:
– zasady postępowania z hasłami użytkowników uprzywilejowanych (tzn. użytkowników posiadających uprawnienia na poziomie administratorów systemów informatycznych)
– zasady administrowania systemem w przypadkach awaryjnych (np. nieobecności administratora)
⧠ osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie
 

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

⧠ tryb przydzielania haseł (zaleca się, aby unikać przekazywania haseł przez osoby trzecie lub za pośrednictwem niechronionych wiadomości poczty elektronicznej)
­ – wskazanie czy hasła użytkowników przekazywane mają być w formie ustnej czy pisemnej
­ – wskazanie zaleceń dotyczących stopnia ich złożoności – 6 lub 8 znaków (pkt IV ppkt 2 oraz pkt VIII załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wskazanie osób odpowiedzialnych za przydział haseł (funkcjonalnie lub personalnie)
⧠ zobowiązanie użytkownika do niezwłocznej zmiany hasła po jego otrzymaniu – chyba że system nie umożliwia wykonania takiej operacji
⧠ dodatkowe informacje dotyczące haseł (w zależności od stosowanych rozwiązań):
­ – wymogi dotyczące ich powtarzalności
­ – wymogi dotyczące zestawu tworzących je znaków
⧠ informacja o wymaganej częstotliwości i metodzie zmiany hasła
­ – częstotliwość – nie rzadziej niż co 30 dni (pkt IV ppkt 2 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
­ – informacja czy zmiana hasła wymuszana jest po określonym czasie przez system, czy użytkownik sam musi o tym pamiętać
⧠ wymóg przechowywania haseł w postaci zaszyfrowanej
⧠ sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów oraz sposób odnotowywania ich awaryjnego użycia
⧠ dodatkowo w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika, np. kart mikroprocesorowych lub metod biometrycznych
­ – sposób personalizacji kart
­ – sposób pobierania danych biometrycznych w procesie rejestrowania użytkownika w systemie
­ – sposób przechowywania danych biometrycznych
 

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

⧠ kolejne czynności, jakie należy wykonać w celu uruchomienia systemu, w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu)
⧠ metody postępowania w sytuacji tymczasowego zaprzestania pracy na skutek opuszczenia stanowiska pracy
⧠ metody postępowania, kiedy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba
⧠ informacja o konieczności wykonania operacji wyrejestrowania się z systemu przed wyłączeniem stacji komputerowej oraz o czynnościach, jakie w tym celu należy wykonać
⧠ sposób postępowania w sytuacji podejrzenia naruszenia bezpieczeństwa systemu, np. w przypadku braku możliwości zalogowania się użytkownika na jego konto, czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane albo użytkowane narzędzia programowe lub sprzętowe
 

Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania

⧠ metody i częstotliwość tworzenia kopii zapasowych danych oraz kopii zapasowych systemu używanego do ich przetwarzania:
­ – informacja, dla jakich danych wykonywane będą kopie zapasowe
­ – typ nośników, na których kopie będą wykonywane
­ – narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane
­ – harmonogram wykonywania kopii zapasowych dla poszczególnych zbiorów danych wraz ze wskazaniem odpowiedniej metody sporządzania kopii (kopia przyrostowa, kopia całościowa)
⧠ okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych
⧠ procedury likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia
­ – wymóg wcześniejszego pozbawienia przeznaczonych do likwidacji urządzeń, dysków lub innych nośników zawierających dane osobowe zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzenia w sposób uniemożliwiający ich odczytanie (pkt VI załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
 

Sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne itp.)
b) kopii zapasowych

⧠ wskazanie pomieszczeń przeznaczonych do przechowywania nośników informacji
⧠ sposób zabezpieczenia nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem
– ­wymóg przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem (pkt IV ppkt 4a załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wymóg usuwania kopii zapasowych niezwłocznie po ustaniu ich użyteczności (pkt IV ppkt 4b załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ w przypadku przekazywania nośników informacji podmiotom zewnętrznym w celu bezpiecznego ich przechowywania (np. deponowanie kopii zapasowych w skarbcach bankowych)
­ – procedury przekazywania nośników tym podmiotom
­ – metody zabezpieczania przekazywanych nośników przed dostępem osób nieuprawnionych podczas ich transportu/przekazywania
 

Sposób zabezpieczania systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu

⧠ określenie obszarów systemu narażonych na ingerencję wirusów komputerowych oraz wszelkiego innego szkodliwego oprogramowania
⧠ wskazanie możliwych źródeł przedostania się szkodliwego oprogramowania do systemu
⧠ wskazanie działań, jakie należy podejmować, aby minimalizować możliwość zainstalowania się szkodliwego oprogramowania
⧠ wskazanie zastosowanych narzędzi programowych, których zadaniem jest przeciwdziałanie skutkom szkodliwego działania oprogramowania
­ – wskazanie oprogramowania antywirusowego, które zostało zainstalowane
­ – określenie metody i częstotliwości aktualizacji definicji wirusów
­ – wskazanie osób odpowiedzialnych za zarządzane oprogramowaniem
⧠ procedury postępowania użytkowników na okoliczność zidentyfikowania określonego typu zagrożeń – informacja o czynnościach, które użytkownik powinien wykonać
⧠ w przypadku, gdy stosowane są inne niż oprogramowanie antywirusowe metody ochrony – wskazanie tych metod i procedur związanych z ich stosowaniem
 

Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia z dnia 29 kwietnia 2004 r.

⧠ opis sposobu oraz formy odnotowania informacji o odbiorcach (art. 7 pkt 6 ustawy o ochronie danych osobowych), którym dane osobowe zostały udostępnione oraz dacie i zakresie tego udostępnienia (nie jest wystarczające odnotowanie w formie papierowej) – nie dotyczy sytuacji, kiedy system informatyczny jest używany do przetwarzania danych zawartych w zbiorach jawnych
 

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

⧠ cel procedur
⧠ zakres procedur
⧠ częstotliwość procedur
⧠ opis procedur
­ – podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji
­ – określenie sposobu, w jaki administrator danych nadzoruje czynności konserwacyjne systemu wykonywane przez osoby nieposiadające upoważnień do przetwarzania danych (np. specjalistów z firm zewnętrznych)
­ – określenie sposobu usuwania danych osobowych z nośników informatycznych w przypadku przekazywania ich do naprawy – wymóg, aby urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, pozbawić przed oddaniem do naprawy zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawiać je pod nadzorem osoby upoważnionej przez administratora danych (pkt VI ppkt 3 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

opublikowano: 13/04/2017, autor: Natalia Łaski