Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Instrukcja zarządzania systemem informatycznym Urzędu Miasta Częstochowy z uwzględnieniem przepisów Ustawy o ochronie danych osobowych Część I – Postanowienia ogólne * I.1 Terminologia (słowniczek) I.2 Przepisy ogólne * I.3 Przepisy szczegółowe dotyczące przetwarzania danych komunikacja wewnętrzna i zewnętrzna * I.3.1 Udostępnienie danych Część II - Przedmiot zabezpieczenia * II.1 Kartoteki, skorowidze, księgi, wykazy, wydruki i inne dokumenty w postaci papierowej * II.2 Komputerowe bazy danych * Część III - Sposób zabezpieczenia * III.1 Zabezpieczenia stałe * III.2 Zabezpieczenia okresowe * III.2.1 Procedury rozpoczęcia i zakończenia pracy * III.2.2 Okresowa zmiana haseł * III.2.3 Archiwizacja * III.2.4 Kontrola antywirusowa * III.2.5 Kontrola sprzętu komputerowego * III.2.6 Kontrola nośników archiwizacyjnych * Część I – Postanowienia ogólne I.1 Terminologia (słowniczek): Ilekroć w niniejszej instrukcji i dokumentach pokrewnych jest mowa o: 1. Urzędzie – rozumie się przez to Urząd Miasta Częstochowy; 2. ABI – rozumie się przez to Administratora Bezpieczeństwa Informacji; 3. AD UMC – rozumie się przez to Administratora Danych Urzędu Miasta Częstochowy; 4. Zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 5. Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 1 z 7 6. 7. 8. 9. udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych; Systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; Zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; Pracowniku merytorycznym – rozumie się przez to pracownika wydziału zajmującego się daną sprawą; Formie pisemnej - rozumie się przez to formę dokumentu papierowego opatrzoną własnoręcznym podpisem lub formę dokumentu elektronicznego z podpisem elektronicznym umożliwiającym jednoznaczną identyfikację osoby wnioskującej. I.2 Przepisy ogólne 1. Administratorem Danych Urzędu Miasta Częstochowy jest Prezydent Miasta Częstochowy. 2. Administratorem Bezpieczeństwa Informacji jest osoba wyznaczona imiennie przez Prezydenta Miasta Częstochowy. 3. Obowiązki wynikające z niniejszej instrukcji administrator bezpieczeństwa informacji wykonuje osobiście. 4. Niniejsza instrukcja opiera się na następujących dokumentach: - Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, zm. Dz. U. 2002 r. Nr 153 poz. 1271, Dz. U. 2004 r. Nr 25 poz. 219, Dz. U. 2004 r. Nr 33 poz. 285), - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100 poz. 1024), - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. 2004 r. Nr 94 poz. 923). 5. Instrukcja niniejsza obejmuje obszar Urzędu. 6. Dokumentami pokrewnymi Instrukcji zarządzania systemem informatycznym Urzędu Miasta Częstochowy są: - Ewidencja pracowników Urzędu Miasta Częstochowy, zawierająca imiona, nazwiska i identyfikatory cyfrowe, - Ewidencja użytkowników systemu komputerowego Urzędu Miasta Częstochowy, zawierająca imiona, nazwiska i identyfikatory cyfrowe, Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 2 z 7 - Przydział haseł dla użytkowników systemu komputerowego Urzędu Miasta Częstochowy, - Instrukcja zabezpieczenia archiwalnego danych systemu komputerowego Urzędu Miasta Częstochowy. - Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Urzędu Miasta Częstochowy 7. Elementarnym obowiązkiem administratora bezpieczeństwa informacji jest aktualizacja ewidencji pracowników, ewidencji użytkowników systemu komputerowego oraz obu instrukcji. Dzięki temu instrukcje te zawierają zawsze aktualny, pełny opis stanu rzeczy. 8. Innym pokrewnym dokumentem określającym zakres i sposób ochrony danych księgowych jest Instrukcja w sprawie obiegu i kontroli dokumentów księgowych w Wydziałach oraz równoległych komórkach organizacyjnych Urzędu Miasta Częstochowy. 9. Instrukcja niniejsza zamieszczona jest w intranecie. 10. Rada Miasta może podjąć decyzję o opłacie administracyjnej od udzielanych informacji. Opłata taka może być pobierana od wszystkich podmiotów, które nie są ustawowo zwolnione od tej opłaty. 11. Pośrednio każdy pracownik Urzędu ma dostęp do wszystkich danych z wyłączeniem tajnych i poufnych. Dopuszczalne jest przetwarzanie tych danych na terenie administratora danych przez wszystkich pracowników. 12. Wszyscy pracownicy Urzędu w momencie nawiązania stosunku pracy mają obowiązek podpisać zobowiązanie do przestrzegania tajemnicy służbowej oraz zapoznać się z przepisami ustawy o ochronie danych osobowych. I.3 Przepisy szczegółowe dotyczące przetwarzania danych komunikacja wewnętrzna i zewnętrzna 1. Administrator Bezpieczeństwa Informacji przedstawia raz w roku projekt wydatków na następny okres budżetowy związanych z poprawą ochrony danych osobowych. 2. ABI winien być bezwzględnie informowany przez Referat Kadr o przyjęciu i zwolnieniu pracownika drogą poczty elektronicznej. ABI winien posiadać wgląd w bazę danych programu kadrowo-płacowego z aktualnym stanem zatrudnienia w Urzędzie. Jest to niezbędne dla bezzwłocznego nadania bądź odebrania uprawnień danej osobie, w szczególności uprawnień dostępu do zbiorów danych osobowych. 3. Pracownicy Urzędu zobowiązani są do dbałości o bezpieczeństwo danych do których posiadają dostęp. Przyjęcie do wiadomości obowiązku ochrony danych polega na podpisaniu tzw. „polityki bezpieczeństwa” zamieszczonej w intranecie. 4. Dane w dowolnej postaci docierają do Urzędu, jeżeli: Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 3 z 7 regulują to przepisy i ustawy szczegółowe (USC, Ewidencja Kierowców, Ewidencja Pojazdów, Ewidencja Działalności Gospodarczej, Ewidencja Ludności, etc.), - jest to inna poczta przychodząca na zasadach ogólnych. 5. Na obszarze Urzędu dane mogą przepływać swobodnie przy spełnieniu warunku, że przepływ ten jest ograniczony do danych niezbędnych odbiorcy do wypełnienia nałożonych na niego obowiązków. 6. Przy przekazywaniu danych wewnątrz Urzędu nie pobiera się opłat administracyjnych. - I.3.1 Udostępnienie danych. 1. Udostępnia się gminnym jednostkom organizacyjnym informacje z bazy danych niezbędnych do wykonywania pracy w zakresie ich kompetencji (Ewidencja Ludności, Ewidencja Pojazdów, etc.). Z drugiej strony dostęp ten musi być maksymalnie zawężony jedynie do niezbędnych informacji, jak określono w pkt. I.3 ppkt. 5. 2. Dopuszczalne jest zawarcie porozumienia stron pomiędzy Urzędem a drugą stroną (np. Urzędem Statystycznym, Urzędem Skarbowym, Policją) celem dwustronnej nieodpłatnej wymiany informacji w celu aktualizacji danych. 3. Dopuszczalne jest zawarcie umowy na piśmie pomiędzy Urzędem a Policją o udzielaniu informacji przez telefon po identyfikacji przez podanie hasła. Hasło takie wchodzi wtedy w system zabezpieczeń stałych i podlega okresowej wymianie zgodnie z niniejszą instrukcją. 4. Porozumienie lub umowę, o których mowa wyżej można zawrzeć tylko wtedy, gdy druga strona świadomie realizuje przepisy dotyczące ochrony danych osobowych. 5. Porozumienia, umowy oraz podjęte uchwały, o których mowa w punktach 3, 4 i 6 winny znajdować się w centralnym rejestrze umów. ABI powinien mieć dostęp do rejestru w ww. zakresie. 6. Dane w postaci wydruków, skorowidzów, zestawień oraz w postaci elektronicznej (cyfrowej) mogą być udostępnione również innym podmiotom jeżeli: 1) zostanie złożony Wniosek o udostępnienie danych osobowych stanowiący załącznik do niniejszej instrukcji (wg art. 29 ust. 3 ustawy o ochronie danych osobowych) zawierający niezbędny zakres informacji (wnioskodawca, podstawa prawna wniosku, zakres danych jaki go interesuje, w jakim celu ubiega się o te dane i wreszcie, co stanie się z tymi danymi w przyszłości). a) wnioskodawcy mogą pobrać ww. formularz w Biurze Obsługi Interesanta Urzędu Miasta Częstochowy, z Poradnika Interesanta zamieszczonego na stronie internetowej Urzędu Miasta Częstochowy (http://www.czestochowa.pl) lub ze strony BIP Gminy Miasta Częstochowa ( http://czestochowa.bip-gov.pl ) Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 4 z 7 b) wnioski należy składać w Kancelarii Urzędu Miasta Częstochowy w godzinach pracy Urzędu lub przesyłać pocztą elektroniczną na główny adres e-mailowy Urzędu: [email protected]. c) wniosek zostanie przyjęty przez AD i następnie przekazany ABI, a po akceptacji zadekretowany pracownikowi merytorycznemu odpowiedzialnemu za odpowiedni zakres danych 2) Regulują to przepisy szczególne. 7. ABI może sprawdzić, czy wniosek wymieniony w pkt. 6 ppkt. 1) został poprawnie wypełniony. 8. Pracownik merytoryczny stwierdza prawo strony wnioskującej do pozyskania informacji i jeżeli prawo takie stwierdzi, potwierdza ten fakt podpisem. Przypadki budzące wątpliwości rozstrzyga radca prawny i jego podpis winien w takim wypadku znaleźć się jako drugi podpis pod przyjętym wnioskiem. Część II - Przedmiot zabezpieczenia II.1 Kartoteki, skorowidze, księgi, wykazy, wydruki i inne dokumenty. Szczegółowy wykaz pracowników znajduje się w dokumencie pokrewnym do niniejszej instrukcji znajdującym się w intranecie pod nazwą Ewidencja pracowników Urzędu Miasta Częstochowy. Ewidencja ta powinna zawierać następujące informacje: - budynek, - numer pomieszczenia, - piętro, - nazwę wydziału (komórki równoległej), - stanowisko pracownika, - imię i nazwisko pracownika, - identyfikator pracownika. II.2 Komputerowe bazy danych System komputerowy Urzędu Miasta Częstochowy tworzą: - sieci komputerowe stanowiące zintegrowane osobne systemy działające w znacznym stopniu niezależnie od siebie, - pojedyncze komputery pracujące w trybie pracy lokalnej (nie sieciowej), - serwery plikowe i bazodanowe. Ewidencję użytkowników logicznych zawiera dokument pokrewny do niniejszej instrukcji znajdujący się w intranecie pod nazwą Ewidencja użytkowników systemu komputerowego Urzędu Miasta Częstochowy. Ewidencja ta jest baza danych, do której dostęp mają wyłącznie: AD, ABI, Dyrektor Urzędu oraz Informatyk Miejski. Zawiera ona następujące informacje: Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 5 z 7 - identyfikator pracownika, nazwę użytkownika logicznego (lub użytkowników logicznych, jeżeli system wymaga wielologowania, np. i w sieci i w programie), budynek, numer pomieszczenia, piętro, nazwę wydziału (komórki równoległej), stanowisko pracownika, imię i nazwisko pracownika, na jakim komputerze/terminalu pracuje, do jakich baz danych ma dostęp w trybie pracy lokalnej, do jakich baz danych ma dostęp w trybie pracy sieciowej, na jakim poziomie uprawnień posiada ten dostęp. Część III - Sposób zabezpieczenia III.1 Zabezpieczenia stałe Zabezpieczenia stałe obejmują: - system bezprzerwowych zasilaczy UPS (centralnych i lokalnych), - maksymalne zawężenie systemu uprawnień w ramach systemu komputerowego, - bezpieczne pomieszczenia serwerowni zabezpieczone kontrolą dostępu i alarmem, - drzwi, - szafy, - zamki, - wzmocnienia, - kraty, - balustrady, - alarmy, - sejfy, - szafy metalowe, - inne zabezpieczenia nie zmieniające się w czasie. III.2 Zabezpieczenia okresowe Zabezpieczenia okresowe dotyczą baz informatycznych i obejmują: - procedury rozpoczęcia i zakończenia pracy - okresową zmianę haseł - archiwizację - stałą kontrolę antywirusową - kontrolę sprzętu komputerowego - kontrolę nośników archiwizacyjnych. III.2.1 Procedury rozpoczęcia i zakończenia pracy W przypadku komputerów wolnostojących, o rozpoczęciu i zakończeniu pracy decydują sami użytkownicy sprzętu komputerowego. Serwery sieciowe włączają i wyłączają jedynie administratorzy systemu informatycznego (sieci komputerowej) lub osoby przez nich upoważnione. Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 6 z 7 Użytkownicy komputerów/terminali pracujących w sieci samodzielnie o rozpoczęciu i zakończeniu pracy sieciowej. decydują III.2.2 Okresowa zmiana haseł System haseł opisany jest w załączniku Przydział haseł dla użytkowników systemu komputerowego Urzędu Miasta Częstochowy. Administrator bezpieczeństwa informacji zobowiązany jest do egzekwowania co najmniej raz na miesiąc zmiany haseł w systemie komputerowym. Egzekwowanie winno być powodowane przez odpowiednie ustawienia systemu zabezpieczenia sieci. III.2.3 Archiwizacja Bazy danych powinny podlegać okresowej archiwizacji. Procedura archiwizacji danych opisana jest w załączniku nr 3 pod nazwą Instrukcja zabezpieczenia archiwalnego danych systemu komputerowego Urzędu Miasta Częstochowy. Kopie archiwizacyjne powinny być przechowywane w pomieszczeniu pancernym wysoce odpornym na ogień i na zmiany pola magnetycznego, i co najważniejsze – oddalonym od samych serwerów. Nie przewiduje się centralnie sterowanej archiwizacji zawartości dysków lokalnych. Za ochronę danych na dyskach lokalnych odpowiedzialny jest pracownik pracujący na danym stanowisku pracy – zgodnie z podpisanym oświadczeniem. Dane o istotnym znaczeniu przechowywane są na dyskach sieciowych. III.2.4 Okresowa kontrola antywirusowa Administrator bezpieczeństwa informacji zobowiązany jest dopilnować, by przynajmniej raz w miesiącu, dokonana została kontrola zawartości dysków sieciowych przy pomocy programu antywirusowego. Kontrola antywirusowa dokonywana jest w momencie uruchamiania każdego komputera. Urząd wykupuje rokrocznie abonament wiodących programów antywirusowych – uaktualnianie odbywa się systematycznie. Zabrania się używania dyskietek i jakichkolwiek nośników niepoddanych kontroli antywirusowej. III.2.5 Kontrola sprzętu komputerowego Kontrola sprzętu komputerowego dokonywana jest zgodnie z procedurą przeglądu raz na trzy lata – prowadzony jest rejestr przeglądu obejmujący daty przeglądu konkretnych urządzeń, a oprócz tego każda instalacja oprogramowania obejmuje standardowy przegląd techniczny. Na sprzęcie w widocznym miejscu umieszczone są nalepki informujące o dacie kolejnego obowiązkowego przeglądu. III.2.6 Kontrola nośników archiwizacyjnych Raz na rok administratorzy odpowiednich systemów informatycznych mają obowiązek skontrolować stan nośników archiwizacyjnych. W przypadku stwierdzenia ich uszkodzenia nie należy ich dłużej używać i należy zastąpić je nośnikami w pełni sprawnymi. Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r. Strona 7 z 7