index [] · web viewzablokowaniu lub możliwości zablokowania pracy systemu informatycznego...

Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących im. Marii Curie – Skłodowskiej w JarosławiuZespół Szkół Spożywczych, Chemicznych i Ogólnokształcących im. Marii Curie – Skłodowskiej w Jarosławiu

POLITYKA BEZPIECZEŃSTWA

INFORMACJI

Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcącychw Jarosławiu

Wersja 1.3

Strona 1 z 22


METRYKA

Produkt Polityka Bezpieczeństwa Informacji ZSSChiO w JarosławiuWłaściciel projektu Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu (ZSSChiO)Autor dokumentu ADO - Dorota WIERZBIŃSKA - DUBAJ, ABI – Robert PORCZAKOpis Dokument składowy SZBI w ZSSChiO w JarosławiuWersja dokumentu 1.3Sygnatura dokumentu PBI/ZSSChiO/1.3Status dokumentu

................................................................................................................................................. adnotacja ABI z podpisem

HISTORIA DOKUMENTU

Lp. Data [DD-MM-RRRR] Opis Wersja Autorzy

1. 30-09-2015Edycja dokumentu i konsultacja z Audytorem

Wewnętrznym Starostwa Powiatowego w Jarosławiu Panią Marzeną KACZOR - SHMIDT

1.0 ADO, ABI

2. 02-10-2015Wstępna weryfikacja reedytowanego dokumentu

przez mgr inż. Dorotę WIERZBIŃSKĄ – DUBAJDyrektora ZSSChiO w Jarosławiu

1.1 ADO, ABI

3. 05-10-2015Weryfikacja reedytowanego dokumentu przez

mgr inż. Dorotę WIERZBIŃSKĄ – DUBAJDyrektora ZSSChiO w Jarosławiu

1.2 ADO, ABI

4. 01-09-2016Akceptacja końcowej wersji dokumentu przez

mgr inż. Dorotę WIERZBIŃSKĄ – DUBAJDyrektora ZSSChiO w Jarosławiu

1.3 ADO, ABI

5.6.7.8.9.10.

AKCEPTACJA DOKUMENTU

Lp. Data [DD-MM-RRRR] Osoba akceptująca Zaakceptowana wersja1. 30-09-2015 mgr inż. Dorota Wierzbińska - Dubaj Wersja 1.0 – NIE (korekta)2. 02-10-2015 mgr inż. Dorota Wierzbińska - Dubaj Wersja 1.1 – TAK (weryfikacja)3. 05-10-2015 mgr inż. Dorota Wierzbińska - Dubaj Wersja 1.2 – TAK (weryfikacja)4. 01-09-2016 mgr inż. Dorota Wierzbińska - Dubaj Wersja 1.3 – TAK (akceptacja)5.6.7.8.9.10.

Strona 2 z 22


Spis treści1. Wstęp.......................................................................................................................................................5

2. Cel Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu...............................................................5

3. Deklaracja kierownictwa.........................................................................................................................5

4. Zakres obowiązywania Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu...............................6

5. Organizacja Systemu Zarządzania Bezpieczeństwem Informacji............................................................6

5.1 Procesy zarządzania bezpieczeństwem.................................................................................................7

5.1.1 Zarządzanie ryzykiem......................................................................................................................7

5.1.2 Monitorowanie i przegląd Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).................7

5.1.3 Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji..........................7

5.1.4 Nadzór nad dokumentacją..............................................................................................................8

5.1.5 Zarządzanie dostępem do zasobów................................................................................................8

5.1.6 Zarządzanie incydentem.................................................................................................................8

5.2 Struktura dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji......................................8

5.2.1 Dokumentacja polityk na poziomie Ministerstwa Edukacji...........................................................9

5.2.2 Dokumentacja na poziomie jednostki organizacyjnej - ZSSChiO w Jarosławiu.............................9

5.2.3 Dokumentacja na poziomie systemów teleinformatycznych........................................................9

5.2.4 Dokumentacja na poziomie procedur, instrukcji i regulaminów...................................................9

5.3 Odpowiedzialność za bezpieczeństwo informacji.................................................................................9

5.3.1 Główny Administrator Informacji (GAI)........................................................................................10

5.3.2 Administrator Informacji - AI........................................................................................................10

5.3.3 Administrator Systemów Informatycznych — ASI.......................................................................11

5.3.4 Administrator Bezpieczeństwa Informacji - ABI...........................................................................11

6. Zarządzanie aktywami...........................................................................................................................12

6.1 Autoryzacja nowych informatycznych środków przetwarzania informacji........................................12

7. Zarządzanie aktywami informacyjnymi.................................................................................................12

7.1 Zasady zarządzania aktywami informacyjnymi w ZSSChiO w Jarosławiu...........................................12

7.2 Rodzaje informacji przetwarzanych w ZSSChiO w Jarosławiu i sposób ich ochrony..........................12

7.2.1 Informacje niejawne.....................................................................................................................12

7.2.2 Dane osobowe..............................................................................................................................12

7.2.3 Inne tajemnice ustawowo chronione...........................................................................................13

7.2.4 Informacje publiczne....................................................................................................................13

7.3 Zasady klasyfikacji informacji..............................................................................................................13

7.4 Zasady ochrony informacji klasyfikowanych.......................................................................................14

7.5 Zasady postępowania z informacjami klasyfikowanymi.....................................................................14

Strona 3 z 22


7.5.1 Informacje publiczne....................................................................................................................14

7.5.2 Informacje do użytku służbowego ZSSChiO w Jarosławiu...........................................................14

7.5.3 Informacje do użytku wewnętrznego ZSSChiO w Jarosławiu.......................................................14

7.5.5 Nadrzędność przepisów prawa i umów nad regułami postępowania.........................................15

8. Bezpieczeństwo zasobów ludzkich........................................................................................................15

8.1 Obsada stanowisk odpowiedzialnych za bezpieczeństwo informacji i systemów.............................15

8.2 Szkolenia pracowników.......................................................................................................................16

8.3 Zarządzanie bezpieczeństwem zasobów ludzkich...............................................................................16

8.3.1 Przed zatrudnieniem.....................................................................................................................16

8.3.2 W trakcie zatrudnienia..................................................................................................................16

8.3.3 Zakończenie zatrudnienia.............................................................................................................16

9. Bezpieczeństwo fizyczne i środowiskowe.............................................................................................16

10. Zarządzanie systemami i sieciami......................................................................................................17

11. Kontrola dostępu...............................................................................................................................17

11.1 Kontrola dostępu do pomieszczeń biurowych..................................................................................17

11.2 Kontrola dostępu do obszarów chronionych....................................................................................18

11.3 Kontrola dostępu do sieci..................................................................................................................18

11.4 Kontrola dostępu do systemów teleinformatycznych......................................................................18

11.5 Zasady nadawania uprawnień dla użytkowników............................................................................18

11.6 Zarządzanie hasłami i innymi danymi uwierzytelniającymi..............................................................18

11.7 Polityka czystego biurka....................................................................................................................18

11.8 Polityka czystego ekranu...................................................................................................................19

11.9 Kontrola systemów i aplikacji............................................................................................................19

11.10 Zabezpieczenia kryptograficzne.......................................................................................................19

12. Pozyskiwanie, rozwój i utrzymanie systemów teleinformacyjnych..................................................19

13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.............................................19

14. Zarządzanie ciągłością działania........................................................................................................20

15. Zgodność z przepisami prawa i dokumentami związanymi..............................................................20

16. Zasady rozpowszechniania dokumentu PBI oraz tryb wprowadzania zmian...................................20

17. Postanowienia uzupełniające............................................................................................................20

17.1 Odstępstwa od reguł ochrony...........................................................................................................20

17.2 Nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji...................................................21

18. Lista dokumentów związanych..........................................................................................................21

19. Przepisy prawne i polskie normy.......................................................................................................21

Strona 4 z 22


1. Wstęp.

Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów zapewniających realizacje misji i wizji Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu (skrót: ZSSChiO w Jarosławiu).

W celu zapewnienia bezpieczeństwa informacji Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu wprowadza spójny system zarządzania bezpieczeństwem informacji.

Niniejszy dokument Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu jest jednym z elementów Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w ZSSChiO.

Polityka Bezpieczeństwa informacji ZSSChiO w Jarosławiu jest aktem wewnętrznego stosowania wprowadzanym przez Politykę Bezpieczeństwa Informacji Ministerstwa Edukacji. Dokument jest zgodny z aktami prawnymi oraz polskimi normami wymienionymi w Polityce Bezpieczeństwa Informacji Ministerstwa Edukacji.

Polityka Bezpieczeństwa Informacji ZSSChiO w Jarosławiu opisuje ogólne zasady ochroni informacji obowiązujące w Zespole Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu, zasady zarządzania ryzykiem, role i zadania osób uczestniczących w procesie przetwarzania informacji oraz zarządzani bezpieczeństwem informacji. Polityka określa również warunki, jakie muszą spełniać system informatyczne przetwarzające informacje w ZSSChiO w Jarosławiu.

Z dokumentem polityki powinny się zapoznać wszystkie osoby mające dostęp do informacji - pracownicy ZSSChiO, kadra kierownicza oraz personel firm zewnętrznych. Zasady zawarte w niniejszym dokumencie muszą być przestrzegane przez wszystkie osoby mające dostęp do informacji ZSSChiO w Jarosławiu.

Opisy zawarte w niniejszym dokumencie zostały utrzymane na takim poziomie ogólności, aby umożliwić zrozumienie zasad działania SZBI w ZSSChiO w Jarosławiu. Szczegóły został opisane w dokumentach związanych.

2. Cel Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu.

Celem Polityki Bezpieczeństwa Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu jest: Zapewnienie właściwej ochrony zasobów w ZSSChiO w Jarosławiu, Ustanowienie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w ZSSChiO w Jarosławiu.

3. Deklaracja kierownictwa

Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu przywiązuje dużą wagę do ochrony informacji tworzonych przetwarzanych i składowanych w ZSSChiO. Szczególną wagę przywiązuje się do ochrony informacji prawnie chronionych. Zabezpieczenia funkcjonujące w ZSSChiO mają na celu zapewnienie, poufności, integralności i dostępności informacji oraz ciągłości działania Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu.

Dyrekcja ZSSChiO nadaje wysoką rangę bezpieczeństwu osób, mienia oraz informacji. Informacje są jednym z kluczowych zasobów ZSSChiO i jako takie wymagają odpowiedniej ochrony. Dyrekcja ZSSChiO jest w pełni zaangażowane i wspiera procesy zmierzające do zapewnienia bezpieczeństwa informacyjnego.

Wszystkie procedury, instrukcje oraz inne regulacje wewnętrzne ZSSChiO w Jarosławiu dotyczące bezpieczeństwa informacji muszą być zgodne z zasadami zawartymi w niniejszym dokumencie.Dyrekcja ZSSChiO w Jarosławiu wprowadzając Politykę Bezpieczeństwa Informacji deklaruje, że wdrożony System Zarządzania Bezpieczeństwem Informacji, którego elementem jest niniejsza polityka, będzie podlegał ciągłemu doskonaleniu. Zakres zarządzania bezpieczeństwem informacji obejmuje wszystkie kluczowe obszary działalności ZSSChiO w Jarosławiu.

Ochrona informacji w Zespole Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu bazuje na trzech kluczowych zasadach:

1. Zapewnienia, że informacja jest udostępniana jedynie osobom upoważnionym (tzw. zasad poufności informacji).

2. Zapewnienia dokładności i kompletności informacji oraz metod jej przetwarzania (tzw. zasada integralności informacji).

3. Zapewnienia, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów tylko wtedy, gdy istnieje taka potrzeba (tzw. zasada dostępności informacji).

Strona 5 z 22


Celem wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

1. Będzie gwarantem właściwej ochrony informacji oraz ciągłości procesu ich przetwarzania. 2. Zapewni zachowanie poufności informacji chronionych, integralności i dostępności informacji chronionych

oraz jawnych.3. Zagwarantuje odpowiedni poziom bezpieczeństwa informacji, bez względu na jej postać.4. Maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź

przypadkowej działalności człowieka oraz ich ewentualne wykorzystanie na szkodę ZSSChiO w Jarosławiu.5. Zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów teleinformatycznych przetwarzających

informację.6. Zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa ZSSChiO w Jarosławiu,

jego interesów oraz posiadanych i powierzonych jemu informacji.

Powyższe cele realizowane są poprzez: 1. Wyznaczenie struktury organizacyjnej zapewniającej optymalny podział i koordynację zadań

i odpowiedzialności związanych z zapewnieniem bezpieczeństwa informacji.2. Wyznaczenie właścicieli dla kluczowych aktywów przetwarzających informację, którzy zobowiązani są do

zapewnienia im możliwie jak najwyższego poziomu bezpieczeństwa.3. Przyjęcie za obowiązujące przez wszystkich pracowników polityk i procedur bezpieczeństwa obowiązujących

w ZSSChiO w Jarosławiu.4. Wdrożenie i utrzymanie niezbędnych zabezpieczeń organizacyjnych i technicznych.5. Przegląd i aktualizację polityk oraz procedur dokonywaną przez odpowiedzialne osoby w celu jak najlepszej

reakcji na zagrożenia i incydenty.6. Ciągle podnoszenie świadomości i kwalifikacji pracowników w obszarze bezpieczeństwa informacji.7. Ciągłe doskonalenie systemu zapewnia bezpieczeństwo informacji funkcjonujące w ZSSChiO w Jarosławiu

zgodnie z ustawowymi wymaganiami i zaleceniami wszystkich zainteresowanych stron.

4. Zakres obowiązywania Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu.

Niniejszy dokument dotyczy wszystkich komórek organizacyjnych ZSSChiO w Jarosławiu oraz wszystkich pracowników (w szczególności w rozumieniu Ustawy o systemie oświaty, oraz przepisów Kodeksu Pracy), a także innych osób mających dostęp do informacji chronionych w jednostce (np. pracowników firm zewnętrznych realizujących prace na rzecz jednostki).

Dokument ma zastosowanie do wszystkich informacji chronionych niezależnie od formy, w jakiej są przechowywane (papierowej, elektronicznej i innej).

Z dokumentem polityki powinny się zapoznać wszystkie osoby mające dostęp do informacji - pracownicy Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu, kadra kierownicza oraz personel firm zewnętrznych. Zasady zawarte w niniejszym dokumencie muszą być przestrzegane przez wszystkie osoby mające dostęp do informacji ZSSChiO w Jarosławiu.

5. Organizacja Systemu Zarządzania Bezpieczeństwem Informacji.

Zarządzanie bezpieczeństwem informacji w Zespole Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu odbywa się na poziomach: Na poziomie strategicznym - prowadzone jest zarządzanie strategią rozwoju i doskonalenia SZBI w odniesieniu do zmieniającego się otoczenia prawnego i technologicznego jak również w oparciu o wyniki analizy ryzyka. W procesy decyzyjne tego poziomu zaangażowana jest ADO – Administrator Danych Osobowych oraz ABI - Administrator Bezpieczeństwa Informacji ZSSChiO w Jarosławiu.

Na poziomie taktycznym - tworzone są standardy bezpieczeństwa informacji oraz zasady kontroli ich wypełniania w stosowanych rozwiązaniach i systemach informatycznych oraz przestrzegania w praktyce używania tych rozwiązań i systemów. W te procesy decyzyjne zaangażowane są osoby funkcyjne odpowiedzialne za prawidłowe funkcjonowanie poszczególnych komórek organizacyjnych związanych bezpieczeństwem informacji.

Strona 6 z 22


Na poziomie operacyjnym - prowadzona jest administracja bezpieczeństwem informacji pod kątem pełnego stosowania standardów bezpieczeństwa oraz rozwiązywania sytuacji zakłóceń wynikających z naruszenia tych standardów.

5.1 Procesy zarządzania bezpieczeństwem.

Zarządzanie bezpieczeństwem informacji w ZSSChiO w Jarosławiu opiera się na następujących podstawowych procesach:

1. Zarządzania ryzykiem.2. Monitorowania i przeglądów SZBI.3. Utrzymania i doskonalenia SZBI.4. Nadzoru nad dokumentacją.5. Zarządzania dostępem do zasobów.6. Zarządzania incydentem.

Opis procesów znajduje się w odpowiednich procedurach.

5.1.1 Zarządzanie ryzykiem.

Strategicznym elementem zarządzania aktywami i bezpieczeństwem informacji ZSSChiO w Jarosławiu jest przeprowadzanie okresowej analizy ryzyka opracowania planów postępowania z ryzykiem. Analiza jej wyników stanowi podstawę podejmowania wszelkich działań w zakresie utrzymania i doskonalenia ochrony zasobów ZSSChiO w Jarosławiu.

Analiza ryzyka prowadzona jest zgodnie z procedurami zarządzania ryzykiem opisanymi w dokumencie Metodyka szacowania i zarządzania ryzykiem w obszarze bezpieczeństwa informacji. Bazuje ona na przyjętej przez ZSSChiO w Jarosławiu uproszczonej metodyce szacowania i analizy ryzyka dla bezpieczeństwa informacji opisanej w wymienionym dokumencie. Proces szacowania ryzyka będzie wspierany poprzez komunikaty odpowiednich instytucji zewnętrznych ( np. poziomy zagrożenia terrorystycznego ALFA, BRAVO, CHARLIE, DELTA) lub poprzez wykorzystanie dedykowanych aplikacji (np. Analizator ryzyka ).

Zarządzanie ryzykiem opiera się na dwóch podstawowych elementach określających wymagany poziom zabezpieczeń a mianowicie na kryterium oceny ryzyk i doborze zabezpieczeń.

Podstawowym kryterium oceny ryzyk jest eliminacja ryzyk o maksymalnej wartości z obszarów o największym ryzyku oraz eliminowanie ryzyk związanych z niezgodnością z regulacjami prawnymi. Na podstawie wyników analizy ryzyka opracowywane są plany postępowania z ryzykiem dla zagrożeń związanych z niezgodnością z przepisami prawa. Analiza ryzyka jest przeprowadzana regularnie, nie rzadziej niż raz do roku, ryzyka są regularnie raportowane do ADO oraz do zainteresowanych stron. Analiza ryzyka przeprowadzana jest również po wprowadzeniu zmian mających wpływ na system bezpieczeństwa informacji.

Cele stosowania zabezpieczeń i zabezpieczenia dobierane są przez ZSSChiO w Jarosławiu adekwatnie do wymagań prawnych i wyników analizy ryzyka dla bezpieczeństwa informacji. Zabezpieczenia fizyczne, techniczne i organizacyjne dobierane są tak, aby uzupełniać się wzajemnie zapewniając wspólnie wymagany poziom bezpieczeństwa informacji.

W doborze celów stosowania zabezpieczeń i zabezpieczeń ZSSChiO w Jarosławiu kieruje się również odpowiednimi zaleceniami Polskich Norm.

5.1.2 Monitorowanie i przegląd Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

System Zarządzania Bezpieczeństwem Informacji (SZBI) jest monitorowany poprzez podjęcie następujących działań: 1. Wykonywanie audytów wewnętrznych przez ABI (Administratora Bezpieczeństwa Informacji).2. Wykonywanie audytów zewnętrznych (na prośbę zainteresowanych placówek).3. Wykonywanie przeglądów dokonywanych przez ADO (Administratora Danych Osobowych) ZSSChiO w

Jarosławiu.

5.1.3 Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji.

System Zarządzania Bezpieczeństwem Informacji (SZBI) jest udoskonalany poprzez podjęcie następujących działań (prowadzonych są według procedur obowiązujących w ZSSChiO w Jarosławiu):

1. Przeprowadzanie działań korygujących oraz ocena ich skuteczności. 2. Przeprowadzanie działań zapobiegawczych oraz ocena ich skuteczności. 3. Informowanie zainteresowanych stron o działaniach i udoskonaleniach.

Strona 7 z 22


5.1.4 Nadzór nad dokumentacją.

W ramach Systemu Zarządzania Bezpieczeństwem Informacji prowadzony jest nadzór nad dokumentacją obejmujący:1. Prowadzenie i nadzorowanie dokumentacji systemowej. 2. Prowadzenie I nadzorowanie zapisów systemowych.

Działania powyższe prowadzone są według procedur obowiązujących w Sądzie Rejonowym Człuchowie.

5.1.5 Zarządzanie dostępem do zasobów.

Zarządzanie dostępem do zasobów odbywa się w ramach procesu opartego na systemie obiegu wniosków. Procedury przyznawania uprawnień do zasobów w ramach poszczególnych systemów teleinformatycznych tworzone są dla poszczególnych systemów.

5.1.6 Zarządzanie incydentem.

Zarządzanie Incydentem związanym z bezpieczeństwem informacji prowadzone jest w ramach procesu zarządzania incydentem i zostało opisane w rozdziale 13.

5.2 Struktura dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji.

Struktura Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w ZSSChiO przedstawiona jest w formie zadaniowych dokumentów wyodrębnionych polityk bezpieczeństwa. Poszczególne dokumenty składowe opisują wydzielone tematycznie zagadnienia SZBI na różnych poziomach szczegółowości.

Dokumentacja funkcjonuje na następujących poziomach: 1. Szczegółowej informacji o bezpieczeństwie danych w ZSSChiO. 2. Bezpieczeństwa przetwarzania Danych Osobowych. 3. Poziomie zabezpieczeń systemów teleinformatycznych. 4. Poziomu procedur, instrukcji i dokumentacji uzupełniającej.

Strona 8 z 22


5.2.1 Dokumentacja polityk na poziomie Ministerstwa Edukacji.

Na poziomie Ministerstwa Edukacji ustanowiona została Polityka Bezpieczeństwa Informacji Ministerstwa Edukacji. Ustanawia ona podstawę do wdrożenia Systemu Zarządzania Bezpieczeństwem w Ministerstwo Edukacji i określa zasady, które obowiązane są stosować osoby posiadające dostęp dc zasobów informacyjnych w Ministerstwie Edukacji.

5.2.2 Dokumentacja na poziomie jednostki organizacyjnej - ZSSChiO w Jarosławiu.

Niniejszy dokument Polityki Bezpieczeństwa Informacji ZSSChiO w Jarosławiu określa wymagania i zasady bezpieczeństwa informacji obowiązujące w placówce oraz sposób organizacji Systemu Zarządzania Bezpieczeństwem Informacji w ZSSChiO w Jarosławiu.

5.2.3 Dokumentacja na poziomie systemów teleinformatycznych

Polityka bezpieczeństwa systemów teleinformatycznych składa się z dokumentu Polityka Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu oraz zasad bezpieczeństwa poszczególnych systemów teleinformatycznych.

Polityka Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu opisuje wymagania i zasady bezpieczeństwa dla systemów teleinformatycznych.

Zasady bezpieczeństwa poszczególnych Systemów Teleinformatycznych opisują, w jaki sposób zasady i wymagania bezpieczeństwa zawarte w Polityce Bezpieczeństwa Informacji ZSSChiO w Jarosławiu i Polityka Bezpieczeństwa Systemów Teleinformatycznych są realizowane w danym systemie teleinformatycznym.

5.2.4 Dokumentacja na poziomie procedur, instrukcji i regulaminów

Procedury, instrukcje, regulaminy i inne dokumenty SZBI tworzone są w celu uszczegółowienia zasad opisanych w politykach. Dokumenty te są opracowane na podstawie standardów obowiązujących w Ministerstwie Edukacji.

5.3 Odpowiedzialność za bezpieczeństwo informacji

Zarządzanie bezpieczeństwem informacji w ZSSChiO w Jarosławiu opiera się na następującym podziale odpowiedzialności:

1. Dyrekcja ZSSChiO w Jarosławiu odpowiedzialna jest za zapewnienie zasobów niezbędnych dla opracowania, wdrożenia, funkcjonowania, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji oraz poszczególnych zabezpieczeń.

2. Osoby funkcyjne w ZSSChiO odpowiadają za: a. przestrzeganie zasad ochrony informacji przez nich samych jak i przez pracowników w grupach

realizujących wydzielone zadania szkoły, b. identyfikowanie i dokumentowanie zagrożeń dla bezpieczeństwa informacji, c. definiowanie oraz realizację działań zapobiegających zagrożeniom,d. zapoznanie pracowników z obowiązkami związanymi z ochroną informacji na stanowiskach pracy, e. bieżące szkolenie pracowników w zakresie przepisów prawa oraz wewnętrznych zasad ZSSChiO

w Jarosławiu dotyczących ochrony informacji.

3. Odpowiedzialność za bezpieczeństwo informacji w ZSSChiO ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Każdy pracownik obowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania, archiwizowania lub przechowywania informacji zgodnie z obowią-zującymi w ZSSChiO w Jarosławiu przepisami wewnętrznymi w tym m. in.: a. stosować zasady opisane w polityce oraz innych dokumentach wewnętrznych ZSSChiO w Jarosławiu, b. chronić informacje podlegające ochronie przed dostępem do nich osób nieuprawnionych, c. chronić dane przed przypadkowym lub umyślnym zniszczeniem, utratą lub modyfikacją, d. chronić sprzęt, wydruki komputerowe i inne nośniki zawierające dane chronione,

Strona 9 z 22


e. utrzymywać w tajemnicy powierzone hasła, częstotliwość ich zmiany oraz szczegół technologiczne systemów także po ustaniu zatrudnienia w ZSSChiO w Jarosławiu,

f. stosować się do szczegółowych zaleceń w zakresie ochrony antywirusowej, a także do innych zaleceń wynikających z Systemu Zarządzania Bezpieczeństwem Informacji,

g. powiadomić Administratora Bezpieczeństwa Informacji lub Administratora Danych Osobowych o: • ujawnieniu lub możliwości ujawnienia informacji chronionych osobom nieupoważnionym,• nieautoryzowanej zmianie informacji chronionych lub możliwość wprowadzenia nieautoryzowanych

zmian,• zniszczeniu lub możliwości zniszczenia informacji chronionych,• zablokowaniu lub możliwości zablokowania pracy systemu informatycznego przetwarzającego informacje

chronione lub uniemożliwienia innego dostępu do informacji chronionych.

Na potrzeby SZBI w Zespole Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu zdefiniowano role mające szczególne obowiązki w obszarze ochrony informacji. Aby oddzielić funkcje zarządzające i kontrolne od funkcji wykonawczych role zdefiniowane zostały w dwóch pionach: administracyjnym i bezpieczeństwa.

Poniżej opisano obowiązki poszczególnych ról w obszarze zarządzania bezpieczeństwem informacji.

5.3.1 Główny Administrator Informacji (GAI)- w przypadku ZSSChiO jest to Administrator Danych Osobowych (ADO)

Głównym Administratorem Informacji jest Dyrektor ZSSChiO w Jarosławiu. Główny Administrator Informacji w przypadku ZSSChiO Administrator Danych Osobowych: a) wprowadza, zarządza i sprawuje nadzór nad działaniem SZBI, b) określa rodzaje zasobów podlegających ochronie, c) decyduje o celach i środkach przetwarzania danych, d) jest Administratorem Danych Osobowych zgodnie z ustawą o ochronie danych osobowych,e) zatwierdza i wprowadza Politykę Bezpieczeństwa Informacji ZSSChiO w Jarosławiu Politykę Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu, Politykę Bezpieczeństwa Danych Osobowych ZSSChiO w Jarosławiu, f) zatwierdza i wprowadza zasady bezpieczeństwa dla poszczególnych systemów teleinformatycznych, g) zatwierdza i wprowadza procedury, instrukcje i regulaminy, h) zatwierdza i wprowadza plany awaryjne dla systemów teleinformatycznych,i) powołuje Administratorów Systemów Informatycznych, Administratora Bezpieczeństwa Informacji, j) zatwierdza wnioski o założenie użytkownikom konta i nadanie uprawnień w systemie informatycznym, k) zatwierdza wnioski o założenie skrzynki poczty elektronicznej.

5.3.2 Administrator Informacji - AI- w przypadku ZSSChiO funkcja ta w obecnej chwili nie występuje.

Role pełnią Przewodniczący Wydziałów/Kierownik Sekcji/kierownicy pozostałych komórek organizacyjnych. Administrator Informacji jest właścicielem zasobów, za które odpowiada.

Administrator Informacji: a) sprawuje stały nadzór nad całokształtem pracy podległej komórki organizacyjnej w szczególności nad stanem funkcjonowania systemów informatycznych działających w komórce organizacyjnej, b) odpowiada za poprawność merytoryczną danych gromadzonych w zbiorach danych podległej komórki organizacyjnej, c) odpowiada za bezpieczeństwo przetwarzania danych osobowych i innych informacji, d) wnioskuje o nadanie, modyfikację lub odebranie uprawnień użytkownikom w systemie informatycznym (SI), nad którym sprawuje nadzór, e) wyznacza pracownika odpowiedzialnego do prowadzenie ewidencji nadanych uprawnień do SI, nad którym sprawuje nadzór,f) wyznacza pracownika odpowiedzialnego za prowadzenie ewidencji zasobów komórki organizacyjnej i nadzoruje prowadzenie tejże ewidencji, g) czuwa nad wprowadzeniem zabezpieczeń dla zasobów, nad którymi sprawuje nadzór stosownie do wymagań wynikających z dokumentów SZBI, h) określa wrażliwość zasobów ze względu na ich poufność, integralność i dostępność, i) ocenia pracę systemów teleinformatycznych w celu wykrycia potencjalnych zagrożeń, szczególności identyfikacji wszelkich nieprawidłowości w pracy systemów, j) podejmuje odpowiednie działania w przypadku wykrycia naruszeń bezpieczeństwa, k) odpowiada za szkolenia podległych pracowników w zakresie przepisów prawa oraz wewnętrznych zasad dotyczących ochrony informacji, l) nadzoruje przestrzeganie przez podległych sobie pracowników przepisów prawa oraz wewnętrznych zasad dotyczących ochrony informacji, m) współpracuje z osobami pełniącymi role odpowiedzialne za bezpieczeństwo informacji w SZB oraz innymi Al w zakresie realizacji zadań dotyczących bezpieczeństwa informacji, n) opiniuje polityki bezpieczeństwa systemów teleinformatycznych nad którymi sprawuje nadzór oraz inne wewnętrzne dokumenty dotyczące ochrony informacji,

Strona 10 z 22


o) wnioskuje o dokonanie zmian i przedstawia propozycje rozwiązań w politykach bezpieczeństwa systemów teleinformatycznych nad którymi sprawuje nadzór oraz w innych wewnętrznych dokumentach dotyczących ochron informacji (w tym zakresie współpracuje z Administratorem Systemów Informatycznych).

5.3.3 Administrator Systemów Informatycznych — ASI- w przypadku ZSSChiO funkcja ta w obecnej chwili nie występuje.

Rolę pełni pracownik pełniący funkcję Administratora Systemu Informatycznego. Administrator Systemów Informatycznych jest powoływany przez Głównego Administratora Informacji.

Administrator Systemów Informatycznych: a) monitoruje oraz zapewnia ciągłość działania systemu teleinformatycznego, b) utrzymuje konfigurację i wydajność systemu teleinformatycznego, c) instaluje i konfiguruje sprzęt, systemy i aplikacje, d) autoryzuje informatyczne środki przetwarzania dopuszczone w placówce, e) odpowiada za administrację oprogramowaniem systemowym w stopniu umożliwiającym zachowanie bezpieczeństwa systemu i zabezpieczenie danych przed nieupoważnionym dostępem, f) nadaje użytkownikom identyfikatory, tworzy konta w systemach informatycznych oraz wprowadza uprawnienia do SI - zgodnie z zatwierdzonym przez GAI wnioskiem AI, g) zakłada użytkownikom skrzynki poczty elektronicznej — zgodnie z zatwierdzonym przez GAI wnioskiem AI, h) przydziela użytkownikom hasła startowe do SI i skrzynek poczty elektronicznej, i) współpracuje z dostawcami aplikacji, j) nadzoruje wdrożone aplikacje, k) zarządza kopiami awaryjnymi danych, w tym danych osobowych zgodnie z otrzymanym upoważnieniem, l) opracowuje dokumenty dla systemów teleinformatycznych (procedury, standardy dokumenty wymagań bezpieczeństwa itp.), m) prowadzi dokumentację systemów teleinformatycznych i aplikacji, którymi administruje, n) nadzoruje bezpieczeństwo systemów teleinformatycznych, o) podejmuje odpowiednie działania w przypadku wykrycia naruszeń bezpieczeństwa, p) analizuje podatności systemów teleinformatycznych, q) ocenia pracę systemów teleinformatycznych w celu wykrycia potencjalnych zagrożeń, w szczególności identyfikacji wszelkich nieprawidłowości w pracy systemów, r) opracowuje plany awaryjne dla systemów teleinformatycznych, którymi administruje, s) współpracuje z osobami pełniącymi role odpowiedzialne za bezpieczeństwo informacji w SZBI w zakresie realizacji zadań dotyczących bezpieczeństwa informacji, t) opiniuje wewnętrzne dokumenty dotyczące ochrony informacji, u) wnioskuje o dokonanie zmian i przedstawia propozycje rozwiązań w wewnętrznych dokumentach ZSSChiO w Jarosławiu dotyczących ochrony informacji.

5.3.4 Administrator Bezpieczeństwa Informacji - ABI

Rolę pełni wyznaczony pracownik o doświadczeniu w zakresie ochrony danych (Lidera Oddziału Administracyjnego). Administrator Bezpieczeństwa Informacji jest powoływany przez Głównego Administratora Informacji w przypadku ZSSChiO przez ADO.

Administrator Bezpieczeństwa Informacji: a) opiniuje wewnętrzne dokumenty ZSSChiO w Jarosławiu dotyczące ochrony informacji, b) wnioskuje o dokonanie zmian i przedstawia propozycje rozwiązań w wewnętrznych dokumentach ZSSChiO w Jarosławiu dotyczących ochrony informacji c) przygotowuje dokumenty wymagań bezpieczeństwa dla przetwarzania danych osobowych, ci) prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych, e) sprawuje kontrolę nad procesem przyznawania praw dostępu, f) prowadzi zbiór i ewidencję wniosków: o nadanie identyfikatora, założenie konta w SI i nadanie uprawnień, założenie skrzynki pocztowej, g) utrzymuje rejestr ważnych aktywów, h) przygotowuje procedury awaryjne związane z incydentami bezpieczeństwa, i) monitoruje zachowanie właściwego poziomu bezpieczeństwa informacji, j) analizuje raporty z wszelkich zdarzeń związanych z bezpieczeństwem wszystkich zasobów chronionych, k) przedstawia okresowe raporty o stanie bezpieczeństwa informacji, l) sprawuje nadzór naci przestrzeganiem zasad ochrony w ZSSChiO w Jarosławiu, m) analizuje ryzyko bezpieczeństwa informacji dla danych osobowych, n) jest administratorem bezpieczeństwa informacji zgodnie z ustawą o ochronie danych osobowych. o) szkoli pracowników z zakresu bezpieczeństwa informacji.

Strona 11 z 22


6. Zarządzanie aktywami.

Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu zarządza swoimi aktywami (zasobami) w celu zapewnienia im wymaganego poziomu bezpieczeństwa.

Do chronionych aktywów zalicza się: 1. Aktywa fizyczne — sprzęt teleinformatyczny oraz nośniki danych. 2. Usługi — usługi przetwarzania informacji, przesyłania informacji, usługi ogólne np. klimatyzacja, zasilanie. 3. Informacje — bazy danych i pliki z danymi, polityki, regulaminy, instrukcje, umowy z dostawcami, dokumentacje systemów, plany ciągłości działania, plany odzyskiwania po awarii, logi systemowe i aplikacyjne, materiały szkoleniowe oraz informacje przechowywane w kopiach zapasowych. 4. Oprogramowanie — aplikacje, systemy operacyjne. 5. Ludzi — kapitał wiedzy jaki reprezentują. 6. Wartości niematerialne — dobre imię jednostki organizacyjnej, reputacja.

Aktywa chronione są ze względu na przepisy prawa oraz wartość materialną i intelektualną. Aktywa mogą być chronione na mocy: 1. Przepisów prawa (np. dane osobowe, informacje niejawne, prawo autorskie, tajemnica pracodawcy). 2. Warunków licencji. 3. Zapisów umów pomiędzy jednostką organizacyjną a firmami zewnętrznymi. 4. Innych aktów mających wpływ na ochronę aktywów.

6.1 Autoryzacja nowych informatycznych środków przetwarzania informacji.

Każde nowe lub zmienione urządzenie służące do przetwarzania informacji lub mogące w jakikoIwiek inny sposób wpływać na bezpieczeństwo informacji musi zostać zweryfikowane na zgodność z wymaganiami systemu bezpieczeństwa informacji i zaakceptowane przez upoważnioną osobę. Za dopuszczenie do użytkowania nowych urządzeń odpowiada ASI lub ABI.

7. Zarządzanie aktywami informacyjnymi.

Aktywa informacyjne są identyfikowane i klasyfikowane zgodnie ze stawianymi im wymaganiami w zakresie ochrony. Dla poszczególnych rodzajów informacji określone są szczegółowe zasady postępowania oraz grupy pracowników posiadające do nich dostęp.

7.1 Zasady zarządzania aktywami informacyjnymi w ZSSChiO w Jarosławiu.

1. Wszystkie aktywa informacyjne w ZSSChiO w Jarosławiu powinny mieć swojego właściciela pełniącego rolę Administratora Lokalnego Informacji. 2. Rejestr ważnych aktywów jest utrzymywany przez Administratora Bezpieczeństwa Informacji.

7.2 Rodzaje informacji przetwarzanych w ZSSChiO w Jarosławiu i sposób ich ochrony

W oparciu o wymagania prawne wszystkie przetwarzane w ZSSChiO w Jarosławiu informacje podzielone zostały na grupy odpowiadające wydzielonym funkcjom SZBI.

7.2.1 Informacje niejawne

Ochrona informacji niejawnych opiera się o wymagania prawne ustawy o ochronie informacji niejawnych. Za organizację systemu ochrony informacji niejawnych w ZSSChiO w Jarosławiu odpowiada Pełnomocnik ds. ochrony informacji niejawnych, który posiada uprawnienia oraz realizuje zadania określone w przepisach o ochronie informacji niejawnych i w sprawach merytorycznych podlega bezpośrednio Kuratorowi Oświaty w Rzeszowie.

Informacje niejawne posiadają własny, niezależny od definiowanego przez niniejszą politykę system ochrony zgodny z wymaganiami ustawy o ochronie informacji niejawnych.

7.2.2 Dane osobowe

Strona 12 z 22


Dane osobowe (DO) to informacje, które ustawa o ochronie danych osobowych definiuje, jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Za organizację systemu ochrony danych osobowych odpowiada Administrator Danych Osobowych.

Ochrona danych osobowych w ZSSChiO w Jarosławiu opiera się na:

1. Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. 2016 r. poz. 922 z późn. zm.). 2. Rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzani danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Polityce Bezpieczeństwa Danych Osobowych ZSSChiO w Jarosławiu. 4. Polityce Bezpieczeństwa Systemów Teleinformatycznych przetwarzającego dane osobowe stanowiącej zestawienie instrukcji zarządzania systemami teleinformatycznymi służącymi do przetwarzania danych osobowych.

Systemy teleinformatyczne przetwarzające dane osobowe powinny spełniać wymagania opisane w Rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i system informatyczne służące do przetwarzania danych osobowych.

Dane osobowe chronione są w ramach systemu definiowanego przez niniejszą politykę.

7.2.3 Inne tajemnice ustawowo chronione

Do tej grupy przypisane zostały między innymi: 1. Tajemnice pracodawcy na podstawie Kodeksu pracy art. 100. 2. Tajemnica skarbowa, którą objęte są indywidualne dane zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów na podstawie ustawi o kontroli skarbowej art. 34 oraz ordynacji podatkowej Dział VII. 3. Tajemnice przedsiębiorstwa, którą objęte są nieujawnione do wiadomości publiczne informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności na podstawie ustawy o zwalczaniu nieuczciwej konkurencji art. 11 ust. 4 oraz ustawy o ochronie konkurencji i konsumentów art. 63.

7.2.4 Informacje publiczne.

Informacje publiczne to informacje, o których mówi ustawa o dostępie do informacji publicznej z dnia 6 września 2001 roku o dostępie do informacji publicznych (Dz. U. Nr 112, poz. 1198 z późniejszym zmianami).

7.3 Zasady klasyfikacji informacji.

Wszelkie informacje tworzone, przekazywane i przetwarzane w ZSSChiO w Jarosławiu nie oznaczone jako należące do osób trzecich, stanowią własność ZSSChiO w Jarosławiu i podlegają ochronie. Informacje w ZSSChiO w Jarosławiu podzielone są na publiczne i chronione.

Informacje chronione klasyfikowane są jako: 1. Do użytku służbowego. 2. Do użytku wewnętrznego.

- Informacje do użytku służbowego można przetwarzać i przekazywać w ramach wykonywanie obowiązków służbowych. - Informacje do użytku wewnętrznego nie powinny być udostępniane poza ZSSChiO w Jarosławiu.

Wszelkie informacje niesklasyfikowane powinny być traktowane jako chronione do użytku służbowego. Szczegółowe zasady postępowania z informacjami klasyfikowanymi zostały opisane poniżej.

Strona 13 z 22


7.4 Zasady ochrony informacji klasyfikowanych.

1. Informacje publiczne chronione są ze względu na ich integralność i dostępność. 2. Informacje chronione, chronione są ze względu na ich poufność, integralność i dostępność.

7.5 Zasady postępowania z informacjami klasyfikowanymi.

1. Klauzulę nadaje właściciel dokumentu. 2. Klauzulę można zmienić wyłącznie w porozumieniu z właścicielem dokumentu.

7.5.1 Informacje publiczne.

1. Informacja publiczna nie musi być oznaczona klauzulą. 2. Dokumenty zawierające informacje publiczne udostępniane przez ZSSChiO w Jarosławiu są oznaczone etykietą (napisem) Zespół Szkół Spożywczych Chemicznych i Ogólnokształcących w Jarosławiu. 3. Informacja publiczna, która nie została udostępniona w Biuletynie Informacji Publicznej, jest udostępniana na wniosek. 4. Informacja publiczna, która może być niezwłocznie udostępniona, jest udostępniana w formie ustnej lub pisemnej bez pisemnego wniosku. 5. Wszelkie informacje dla mediów może rozpowszechniać Dyrekcja placówki lub osoba upoważniona przez Dyrektora ZSSChiO w Jarosławiu. 6. Informacja publiczna może być przechowywana na dowolnym nośniku i w dowolnym systemie teleinformatycznym oraz może być przesyłana w sieci pod warunkiem że zapewniona jest dostępność i integralność informacji.

7.5.2 Informacje do użytku służbowego ZSSChiO w Jarosławiu.

1. Dokumenty należy oznaczyć etykietą (napisem) Do użytku służbowego Zespołu Szkół Spożywczych Chemicznych i Ogólnokształcących w Jarosławiu. 2. Rozpowszechnianie dozwolone tylko w ramach wykonywania obowiązków służbowych. 3. Rozpowszechnianie dozwolone tylko wewnątrz ZSSChiO w Jarosławiu oraz do instytucji, osób, firm i organizacji współpracujących z ZSSChiO w Jarosławiu. 4. Nie wolno udostępniać informacji osobom z zewnątrz bez podpisania odpowiednich umów o poufności. 5. Dobór metod zabezpieczeń - transmisji i składowania informacji należy dostosować do rodzaju informacji, wymagań prawnych i treści zobowiązań zawartych w umowach. 6. Informacje mogą być przekazywane przez telefon i inne środki komunikacji głosowej, pod warunkiem, że zachowane zostaną powyższe zasady. 7. Dokumenty papierowe należy niszczyć w niszczarce.

7.5.3 Informacje do użytku wewnętrznego ZSSChiO w Jarosławiu.

1. Dokumenty należy oznaczyć etykietą (napisem) Do użytku wewnętrznego Zespołu Szkół Spożywczych Chemicznych i Ogólnokształcących w Jarosławiu. 2. Rozpowszechniane dozwolone wyłącznie wśród wyznaczonych przez właściciela informacji pracowników ZSSChiO w Jarosławiu. 3. Kopiowanie jest dozwolone po upoważnieniu przez właściciela informacji. 4. Dokumenty papierowe przekazuje się w zaklejonych kopertach uniemożliwiających podejrzenie, z napisem „Do rąk własnych”. 5. Transmisja dokumentów zarówno wewnątrz jak i na zewnątrz sieci ZSSChiO w Jarosławiu musi być szyfrowana. 6. Do przechowywania informacji w urządzeniach przenośnych należy zastosować mechanizm\ szyfrujące. 7. Nie wolno zostawiać dokumentów papierowych w miejscach dostępnych dla osób trzecich. 8. Przechowywanie informacji w sieci wewnętrznej możliwe jest wyłącznie w strefie chronionej. 9. Dokumenty papierowe należy niszczyć w niszczarce. 10. Informacje w formie elektronicznej można kasować normalnie pod warunkiem, że nie jest możliwy dostęp osób nieuprawnionych do urządzeń przechowujących informacje. 11. Nośniki danych należy kasować w sposób uniemożliwiający odtworzenie lub niszczyć. 12. Przebywając w miejscach publicznych należy unikać przekazywania informacji przez telefon i inne środki komunikacji głosowej.

Strona 14 z 22


7.5.4 Automatyczne nadawanie klauzul

Wszystkie informacje tworzone, przekazywane i przetwarzane w ZSSChiO w Jarosławiu nie oznaczone jako należące do osób trzecich, posiadają odpowiednią klasę i muszą być adekwatnie chronione nawet jeśli nie zostały odpowiednio oznaczone. Przynależność do odpowiednich klas została opisana poniżej.

Informacje Publiczne: 1. Wszystkie informacje tworzone, przekazywane i przetwarzane w ZSSChiO w Jarosławiu nieoznaczone jako należące do osób trzecich i niesklasyfikowane jako chronione. 2. Każda informacja o sprawach publicznych. 3. Publikacje na stronie internetowej ZSSChiO w Jarosławiu.

Informacje do użytku służbowego ZSSChiO w Jarosławiu: 1. Wewnętrzna komunikacja, korespondencja, poczta elektroniczna. 2. Wewnętrzne dokumenty takie jak: wytyczne, instrukcje, plany organizacji. 3. Dane wewnętrzne takie jak: oferty, raporty, ceny. 4. Fragmenty umów zawierające chronione informacje oferenta. 5. Publikacje w intranecie ZSSChiO w Jarosławiu. 6. Dokumentacja projektowa. 7. Informacje powierzone przez strony trzecie. 8. Dane osobowe interesanta.

Informacje do użytku wewnętrznego ZSSChiO w Jarosławiu: 1. Poufna poczta elektroniczna. 2. Wszelkie informacje związane z dokonywanymi operacjami bankowymi. 3. Dane strzegące konkurencyjności, dane przetargowe przed publikacją. 4. Dane pracowników, np. ich ocena, zarobki itp. 5. Dane osobowe z zasobów ZSSChiO w Jarosławiu. 6. Dane dotyczące innych firm w tym umowy o zachowaniu poufności. 7. Dane o środkach bezpieczeństwa, podatnościach, konfiguracji sieci. 8. Kopie zapasowe i archiwalne zawierające chronione informacje. 9. Hasła, kody dostępu, klucze szyfrujące stosowane w systemach informatycznych ZSSChiO w Jarosławiu.

7.5.5 Nadrzędność przepisów prawa i umów nad regułami postępowania.

Przepisy prawa i umowy z podmiotami mogą narzucać bardziej restrykcyjne wymagania dla ochron formacji. W takim przypadku należy zastosować reguły spełniające te wymagania w uzupełnieniu opisanych powyżej.

8. Bezpieczeństwo zasobów ludzkich.

Zespół Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu dba o zapewnienie kompetentnych pracowników do realizacji wyznaczonych w procesach zadań. Celem takiego postępowania jest ograniczenie ryzyka błędu ludzkiego, kradzieży, nadużycia lub niewłaściwego użytkowania zasobów.

Skuteczna realizacja postawionego celu możliwa jest dzięki ustanowionym procedurom i podziałowi odpowiedzialności związanemu z weryfikacją kandydatów do pracy podczas naboru, zasadom zatrudniania pracowników oraz ustalonym procedurom rozwiązywania umów o pracę.

Zasoby ludzkie są ważnym czynnikiem analizowanym podczas przeprowadzania okresowej analiz ryzyka.

8.1 Obsada stanowisk odpowiedzialnych za bezpieczeństwo informacji i systemów.

Stanowiska odpowiadające za bezpieczeństwo informacji i systemów teleinformatycznych należą do grupy szczególnie wrażliwych. Osoby mające za zadanie monitorować bezpieczeństwo informacji systemów teleinformatycznych powinny posiadać w swoim doświadczeniu zawodowym minimum: 1. Roczne doświadczenie w zarządzaniu sieciami teleinformatycznymi. 2. Roczne doświadczenie w zarządzaniu serwerami. 3. Roczne doświadczenie w audycie systemów informatycznych i prowadzeniu dokumentacji SZBI. 4. Doświadczenie w zakresie prowadzenia szkoleń i prezentacji.

Strona 15 z 22


8.2 Szkolenia pracowników.

Każdy nowozatrudniony pracownik zobowiązany jest do odbycia szkolenia ze stosowania zasad bezpieczeństwa informacji. Pracownicy są okresowo szkoleni z zagadnień bezpieczeństwa informacji i oceniani ze znajomości tematyki bezpieczeństwa informacji. Szczegóły opisane są w wewnętrznych zasadach przeprowadzania instruktaży stanowiskowych.

8.3 Zarządzanie bezpieczeństwem zasobów ludzkich.

Zasoby ludzkie są jednym z najważniejszych źródeł zagrożeń dla organizacji. W celu zapewnieni odpowiedniej ochrony zasobów ludzkich zabezpieczenie tego obszaru zostało podzielone na następujące sekcje czasowe: 1. Przed zatrudnieniem. 2. W trakcie zatrudnienia. 3. Zakończenie zatrudnienia.

8.3.1 Przed zatrudnieniem

W trakcie procesu zatrudniania należy postępować zgodnie z obowiązującymi przepisami Zaproszenie kandydata na rozmowę kwalifikacyjną, odbywa się po weryfikacji zgodności nadesłanych kopii dokumentów z życiorysem oraz wymaganiami ogłoszenia. Kandydat przebywając na terenie ZSSChiO w Jarosławiu nie powinien pozostawać bez opieki pracownika, a w szczególności podczas pisania testów kwalifikacyjnych.

Kandydat przed przystąpieniem do pracy powinien: 1. Przejść stosowne procedury podczas rozpoczęcia zatrudnienia (np. sprawdzić stan zdrowi u lekarza medycyny pracy, przejść szkolenie BHP, szkolenie z zakresu bezpieczeństw informacji itp.). 2. Zapoznać się z obowiązującymi regulacjami wewnętrznymi, a w szczególności z Polityką Bezpieczeństwa Informacji ZSSChiO w Jarosławiu oraz jeśli posiada dostęp do systemów teleinformatycznych, Polityką Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu. Fakt zapoznania się z dokumentami powinien zostać potwierdzony własnoręcznym podpisem pracownika np. na Upoważnieniu do przetwarzania danych osobowych, oświadczeniu bądź bezpośrednio na dokumencie np. na zakresie obowiązków.

8.3.2 W trakcie zatrudnienia

Proces nadawania nowych uprawnień, modyfikacji lub odbierania uprawnień realizowany jest poprzez odpowiednią procedurę. Pracownicy powinni być regularnie szkoleni i uświadamiani w zakresie bezpieczeństwa informacji.

Szkolenie dla pracowników z zakresu bezpieczeństwa informacji należy przeprowadzić każdorazowo po: 1. Zmianie przepisów dotyczących bezpieczeństwa informacji. 2. Wprowadzeniu istotnych zmian w Polityce Bezpieczeństwa Informacji oraz dokumentach z nią związanych. 3. Na wniosek kierownika komórki organizacyjnej.

Szkolenie może zostać przeprowadzone w dowolnej formie (np. w formie szkolenia e-learningowego), jednak każde powinno się kończy testem sprawdzającym wiedzę uczestnika.

8.3.3 Zakończenie zatrudnienia

Kończenie pracy przez pracownika może być związane z ryzykiem: kradzieży, przejęcia i wykorzystania informacji chronionej. W związku z wymienionymi zagrożeniami należy minimalizować ryzyko z nimi związane. Odebranie uprawnień do informacji chronionych powinno nastąpić jak najszybciej po podjęciu decyzji o zakończeniu zatrudnienia.

Proces odbierania uprawnień do systemów informatycznych powinien przebiegać zgodnie z odpowiednimi procedurami. Komórka organizacyjna odpowiedzialna za sprawy kadrowe jest zobowiązana niezwłocznie poinformować Administratora Systemów Informatycznych o rozwiązaniu bądź nieprzedłużeniu umowy z pracownikiem.

9. Bezpieczeństwo fizyczne i środowiskowe.Strona 16 z 22


ZSSChiO w Jarosławiu dba o zapewnienie wysokiego poziomu bezpieczeństwa fizycznego i środowiskowego. Celem takiego postępowania jest zapewnienie bezpieczeństwa informacji przed dostępem osób niepowołanych, uszkodzeniem lub innymi zakłóceniami w siedzibie ZSSChiO w Jarosławiu w odniesieniu do informacji.

W przypadku danych należących do podmiotów trzecich najistotniejsze jest zapewnienie wszystkich trzech podstawowych aspektów bezpieczeństwa poufności danych oraz ich dostępności i integralności.

Skuteczna realizacja postawionego celu możliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z wyznaczeniem stref bezpieczeństwa, zasadami pracy oraz administrowaniem prawami dostępu do nich.

Kluczowe systemy techniczne i teleinformatyczne wyposażone są w systemy utrzymujące optymalne warunki środowiskowe i podtrzymujące zasilanie. Szczegóły opisane są w wewnętrznych zasadach bezpieczeństwa tych systemów.

10. Zarządzanie systemami i sieciami.

ZSSChiO w Jarosławiu dba o przestrzeganie zasad bezpieczeństwa związanych z utrzymywaniem i użytkowaniem systemów informatycznych i sieci. Celem takiego postępowania jest zapewnienie poufności, integralności i dostępności przetwarzanej przez nie informacji.

Skuteczna realizacja postawionego celu możliwa jest dzięki: 1. Kompetencjom i świadomości pracowników oraz podpisanym umowom ze specjalistycznym firmami wspomagającymi ZSSChiO w Jarosławiu. 2. Wszystkie systemy i sieci ZSSChiO w Jarosławiu przed dopuszczeniem do wykorzystania muszą spełniać minimalne wymagania bezpieczeństwa. 3. Wszystkie systemy i sieci ZSSChiO w Jarosławiu przed dopuszczeniem do wykorzystania muszą być zgodne ze standardami obowiązującymi ZSSChiO w Jarosławiu. 4. Obowiązującym zasadom konserwacji urządzeń w celu zapewnienia ich ciągłej pracy. 5. Kontrolowaniu wprowadzania zmian do infrastruktury technicznej. 6. Zapewnieniu bezpieczeństwa systemów działalności podstawowej, poprzez prowadzenie prac rozwojowych i testowych na oddzielnych urządzeniach lub środowiskach. 7. Nadzorowaniu usług dostarczanych przez strony trzecie, a w szczególności wszelkim wprowadzanym do nich zmianom. Po zakupie, lub wprowadzeniu zmiany do systemu jest on odbierany i akceptowany w sposób świadomy, uwzględniający jego wpływ na istniejąc system bezpieczeństwa. 8. Wdrożonym zabezpieczeniom chroniącym przed złośliwym oprogramowaniem i złośliwym kodem mobilnym. 9. Usystematyzowanemu tworzeniu i testowaniu kopii bezpieczeństwa. 10. Przestrzeganiu opracowanych zasad postępowania z nośnikami. 11. Bieżącemu monitorowaniu aktywów informacyjnych, w tym informatycznych, pod kątem wcześniejszego wykrycia wszelkich niebezpieczeństw mogących zagrozić bezpieczeństw systemów. 12. ZSSChiO w Jarosławiu monitoruje poziom incydentów w systemach informatycznych i posiada mechanizmy reagowania w przypadkach ich wystąpienia.

Szczegółowe zasady zarządzania systemami i sieciami opisane zostały w dokumencie Polityka Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu.

11. Kontrola dostępu.

ZSSChiO w Jarosławiu zarządza kontrolą dostępu. Celem takiego postępowania jest zapewnienie, że dostęp do informacji, miejsc, urządzeń lub systemów ich przetwarzania mają tylko osoby uprawnione. Skuteczna realizacja postawionego celu możliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z nadzorowaniem ruchu osobowego w wyznaczonych strefach bezpieczeństwa.

Szczegóły opisane są w wewnętrznych zasadach dostępu do wymienionych stref i powiązanych informacji.

11.1 Kontrola dostępu do pomieszczeń biurowych.

Pomieszczenia biurowe ZSSChiO w Jarosławiu zamykane są na klucz. Każdy pracownik odpowiada za swój klucz. W przypadku zagubienia klucza należy niezwłocznie poinformować o tym fakcie przełożonego.

Szczegóły opisane są w wewnętrznych zasadach dostępu do wymienionych pomieszczeń.

Strona 17 z 22


11.2 Kontrola dostępu do obszarów chronionych.

Na terenie ZSSChiO w Jarosławiu znajdują się obszary wydzielone z uwagi na informacje chronione w szczególny sposób. Dostęp do tych obszarów chroniony jest przez system kontroli dostępu, system alarmowy i osobny zestaw zamków. Przebywanie w tym obszarze możliwe jest tylko w obecności upoważnionych pracowników.

Szczegóły opisane są w wewnętrznych zasadach dostępu do wymienionych obszarów.

11.3 Kontrola dostępu do sieci

W celu ochrony usług sieciowych przed nieautoryzowanym dostępem ZSSChiO w Jarosławiu sprawuje kontrolę nad wszystkimi urządzeniami i systemami podłączanymi do sieci. Każde podłączane do sieci urządzenie lub system musi spełniać minimalne wymagania bezpieczeństwa określone przez ZSSChiO w Jarosławiu.

Szczegółowe wymagania opisane zostały w dokumencie Polityka Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu.

11.4 Kontrola dostępu do systemów teleinformatycznych

W celu ochrony poufności informacji chronionych przetwarzanych w systemach teleinformatycznych, wszystkie osoby uzyskujące dostęp do systemów i muszą być zobowiązane do zachowania w tajemnicy informacji chronionych.

Pracownicy ZSSChiO w Jarosławiu zobowiązani są do zachowania w tajemnicy informacji chronionych. Pracownicy firm trzecich i inne osoby niebędące pracownikami ZSSChiO w Jarosławiu starające się o dostęp do informacji chronionych ZSSChiO w Jarosławiu, powinny zostać zobowiązane do zachowania w tajemnicy informacji chronionych przed uzyskaniem dostępu do systemów teleinformatycznych ZSSChiO w Jarosławiu. Zobowiązanie to zawarte jest w umowie o poufności podpisywanej przed udostępnieniem informacji chronionych.

11.5 Zasady nadawania uprawnień dla użytkowników

Udzielanie, zmiana i odbiór uprawnień użytkowników jest wykonywany na wniosek właściciela aktywu. Po ustaniu zatrudnienia pracownika ABI ma obowiązek niezwłocznie złożyć wniosek o odebranie uprawnień.

Każdy z systemów teleinformatycznych ma określone procedury nadawania odbierania uprawnień. Nadawanie i odbieranie uprawnień odbywa się w ramach procesu zarządzania dostępem do zasobów.

Szczegóły opisane zostały w Polityce Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu.

11.6 Zarządzanie hasłami i innymi danymi uwierzytelniającymi

Dostęp do systemów informatycznych przetwarzających chronione dane możliwy jest wyłącznie dla uwierzytelnionych użytkowników. Do uwierzytelniania wykorzystywane są certyfikaty klucza publicznego, hasła jednorazowe lub identyfikatory użytkowników i hasła. Identyfikator jest unikalny dla każdego użytkownika systemu i tworzony jest na podstawie konwencji nazewniczej (czyli przyjęte reguły tworzenia jednakowo loginów dla wszystkich użytkowników, np. pierwsza litera imienia i całe nazwisko lub trzy pierwsze litery imienia i pięć pierwszych liter nazwiska).

Hasło jest znane tylko przez użytkownika, z wyjątkiem hasła tymczasowego nadawanego przez Administratora Systemu Informatycznego. Dane uwierzytelniające zapewniające dostęp istotnych elementów systemów teleinformatycznych są chronione w szczególny sposób zgodnie ze standardowymi zasadami ochrony haseł administracyjnych.

Szczegóły opisane zostały w Polityce Bezpieczeństwa Systemów Teleinformatycznych ZSSChiO w Jarosławiu.

11.7 Polityka czystego biurka

W celu zapobiegania nieautoryzowanemu dostępowi do informacji lub kradzieży informacji i środków jej przetwarzania ZSSChiO w Jarosławiu stosuje politykę czystego biurka.

Ważne dokumenty i nośniki danych nie powinny pozostać niezabezpieczone w czasie nawet chwilowej nieobecności w pokoju. Pokój należy zamknąć w sposób uniemożliwiający dostęp dla osób nieuprawnionych. Po

Strona 18 z 22


zakończeniu pracy ważne dokumenty i komputerowe nośniki z danymi powinny być przechowywane w szafach, a pokoje powinno się zamykać. Wyjątek stanowią specjalnie chronione pomieszczenia technologiczne, w których instrukcja przetwarzania przewiduje inny sposób postępowania.

Szczególną uwagę należy zwrócić na drukarki sieciowe i kserokopiarki dostępne dla większej liczby pracowników. Pracownicy powinni odbierać dokumenty natychmiast po wykonaniu przez urządzenie zleconego zadania. Nie powinny one pozostawać dostępne ani dla obcych osób ani dla pracowników nieposiadających stosownych uprawnień.

11.8 Polityka czystego ekranu

Polityka czystego ekranu ma na celu zabezpieczenie przed nieautoryzowanym dostępem do systemów teleinformatycznych i zabezpieczenie przez ujawnieniem informacji chronionych. Każdorazowe odejście od stanowiska pracy powinno zostać poprzedzone wylogowaniem się lub zablokowaniem dostępu do systemu tak, aby niemożliwe było uzyskanie nieautoryzowanego dostępu do systemu. Po zakończeniu pracy należy zamknąć aktywne aplikacje oraz wyrejestrować się (wylogować się z systemu lub też zablokować dostęp do systemu).

11.9 Kontrola systemów i aplikacji

W celu ochrony systemów i aplikacji przed nieautoryzowanym dostępem ZSSChiO w Jarosławiu sprawuje kontrolę nad wszystkimi systemami i aplikacjami wykorzystywanymi w ZSSChiO w Jarosławiu. Każdy system i wykorzystywana aplikacja musi spełniać minimalne wymagania bezpieczeństwa określone przez Zespół Szkół Spożywczych Chemicznych i Ogólnokształcących w Jarosławiu.


11.10 Zabezpieczenia kryptograficzne

ZSSChiO w Jarosławiu wykorzystuje zabezpieczenia kryptograficzne wszędzie tam, gdzie istnieje konieczność ich stosowania. Dobór dodatkowych zabezpieczeń kryptograficznych odbywa się na podstawie analizy ryzyka.

Ze względu na ryzyko utraty dostępności informacji wszystkie zabezpieczenia kryptograficzne muszą być autoryzowane przez ADO lub ABI. Zabezpieczenia kryptograficzne stosowane w ZSSChiO w Jarosławiu muszą być zgodne ze standardami zabezpieczeń obowiązujących placówki edukacyjne.


12.Pozyskiwanie, rozwój i utrzymanie systemów teleinformacyjnych.

ZSSChiO w Jarosławiu zapewnia, że wszystkie procesy związane z pozyskaniem, rozwojem bądź utrzymaniem systemów informacyjnych, w tym systemów i aplikacji informatycznych własnych i/lub Wykonawców, wykorzystywanych wewnętrznie lub oferowanych Obywatelom, prowadzone jest w sposób nadzorowany, gwarantujący utrzymanie odpowiedniego poziomu bezpieczeństwa.

Pozyskiwanie, rozwój i utrzymanie systemów teleinformacyjnych obejmuje: 1. Uwzględnianie wymogów bezpieczeństwa podczas zakupu lub budowy nowych systemów

teleinformatycznych. 2. Dopuszczenie nowego systemu do eksploatacji poprzedzone jest zawsze fazą testów funkcjonalnych i testów

bezpieczeństwa. 3. Nadzorowanie dostępu do kodów źródłowych oprogramowania, 4. Wdrożenie mechanizmów aktualizacji oprogramowania. 5. Wdrożenie procedur kontroli zmian oprogramowania.

Za zapewnienie właściwego przebiegu procesu pozyskiwania, rozwoju i utrzymania systemów teleinformacyjnych odpowiedzialny jest Administrator Informacji lub - w przypadku ZSSChio - ADO.

13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.

Strona 19 z 22


ZSSChiO w Jarosławiu zarządza zdarzeniami i incydentami związanymi z bezpieczeństwem informacji. Zarządzanie zdarzeniami i incydentami odbywa się w ramach standardowego procesu zarządzania incydentem.

Poniżej opisano ogólne zasady przebiegu procesu zarządzania incydentem: 1. Każdy zauważony incydent powinien zostać zgłoszony zarejestrowany oraz obsłużony.2. Incydenty związane z bezpieczeństwem informacji należy zgłaszać zgodnie z ich źródłem.3. W przypadku wystąpienia klęski żywiołowej lub aktu terroru w pierwszej kolejności powiadamiane są

właściwe służby a następnie, Dyrektor ZSSChiO oraz Administrator Bezpieczeństwa Informacji.4. W przypadku zauważenia próby włamania, kradzieży dokumentów lub sprzętu oraz wszelkich innych prób

niszczenia mienia powiadamiana jest Dyrektor ZSSChiO oraz Administrator Bezpieczeństwa Informacji. 5. Jeżeli zostanie wykryty incydent związany z naruszeniem bezpieczeństwa informacji chronionej należy

bezzwłocznie poinformować o tym fakcie Administratora Bezpieczeństwa Informacji lub osobę zastępującą.6. Incydenty są rejestrowane w formie elektronicznej przez Administratora Bezpieczeństwa Informacji.

Szczegółowe omówienie zarządzania incydentami prezentowane jest na dedykowanych okresowych szkoleniach ABI lub w szkoleniach stanowiskowych na danym stanowisku pracy w Zespole Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu.

14. Zarządzanie ciągłością działania.

ZSSChiO w Jarosławiu dba o zapewnienie ciągłości funkcjonowania usług związanych z przetwarzaniem informacji. Dla poszczególnych obszarów i systemów krytycznych tworzone są plany postępowania w sytuacjach awaryjnych i kryzysowych. Celem takiego postępowania jest przeciwdziałanie przerwom w działalności ZSSChiO w Jarosławiu oraz ochrona krytycznych procesów przed rozległymi awariami lub katastrofami.

Powyższe cele realizowane są dzięki: 1. Podziałowi odpowiedzialności związanemu z zarządzeniem ciągłością działania. 2. Wdrożeniu planów ciągłości działania dla krytycznych systemów teleinformatycznych.

O konieczności tworzenia planu ciągłości działania dla konkretnego z systemu decyduje Administrator Lokalny SI na podstawie analizy ryzyka.

Za zapewnienie ciągłości działania, a zatem za tworzenie, przegląd, testowanie planów ciągłości działania odpowiada Administrator Informacji lub - w przypadku ZSSChio - ADO.

15. Zgodność z przepisami prawa i dokumentami związanymi.

ZSSChiO w Jarosławiu o zapewnienie zgodności zasad postępowania z przepisami obowiązującego prawa, przyjętych uwarunkowań umownych i normatywnych oraz wypracowanych własnych standardów. Celem takiego postępowania jest unikanie naruszania jakichkolwiek przepisów prawa karnego lub cywilnego, zobowiązań wynikających z ustaw, zarządzeń lub umów i jakichkolwiek wymagań bezpieczeństwa.

Skuteczna realizacja postawionego celu możliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z identyfikacją wymagań prawnych w zakresie bezpieczeństwa informacji. Prowadzony jest nadzór nad komplementarnością stosowanych techniczną urządzeń oraz prowadzone są audyty wewnętrzne funkcjonowania systemu.

16. Zasady rozpowszechniania dokumentu PBI oraz tryb wprowadzania zmian.

Z Polityką Bezpieczeństwa Informacji Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu i dokumentami związanym powinna się zapoznać Kadra kierownicza oraz pracownicy ZSSChiO w Jarosławiu.

Niniejszy dokument może być udostępniony uprawnionym podmiotom zewnętrznym w celu zapoznania się i prawidłowego postępowania.

Zmiany w niniejszym dokumencie wprowadzane są zgodnie z procedurą zarządzania dokumentacją SZBI w ZSSChiO w Jarosławiu.

17. Postanowienia uzupełniające.

17.1 Odstępstwa od reguł ochrony Strona 20 z 22


Dopuszcza się odstąpienie od przyjętych zasad SZBI. Aby postępować inaczej niż przewidują reguły ochrony należy:

1. Postępować zgodnie z wymogami obowiązującego prawa. 2. Ustalić osobistą odpowiedzialność osoby, niestosującej się do przyjętych zasad bezpieczeństwa. 3. Uzasadnić pisemnie powód odstąpienia od przyjętych zasad bezpieczeństwa. 4. Odstępując od przyjętych zasad starać się zachować możliwie jak najwięcej z obowiązujących.

Zabrania się stosowania precedensu w celu zmiany przyjętych reguł. O odstąpieniu od przewidzianych reguł bezpieczeństwa decydować może jedynie Dyrektor Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu.

17.2 Nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji

Nadzór nad przestrzeganiem zasad SZBI oraz dokumentów związanych pełni Administrator Informacji lub - w przypadku ZSSChio - ADO.

Bieżący nadzór nad wypełnianiem zaleceń bezpieczeństwa pełni Administrator Bezpieczeństwa Informacji oraz Administratorzy Lokalnych Systemów Teleinformatycznych.

Postępowanie niezgodne z niniejszą Polityką Bezpieczeństwa Informacji wiąże się ze skutkami prawymi przewidzianymi w Regulaminie Pracy.

18. Lista dokumentów związanych.

1. Polityka Bezpieczeństwa Informacji w ZSSChiO (PBI). 2. Polityka Bezpieczeństwa Danych Osobowych w ZSSChiO (PBDO). 3. Zasady postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych w ZSSChiO (element

składowy PBDO). 4. Polityka Bezpieczeństwa Systemów Teleinformatycznych w ZSSChiO (PBST).

19. Przepisy prawne i polskie normy.

Zespołu Szkół Spożywczych, Chemicznych i Ogólnokształcących w Jarosławiu informacje podlegają ochronie zgodnie z następującymi wymogami prawa:

1. Ustawa z dnia 23 kwietnia 1964r. — Kodeks cywilny (Dz. U. Nr 16, poz. 93, z późn. zm.).

2. Ustawa z dnia 26 czerwca 1974r. — Kodeks pracy (Dz. U. z 1998r. Nr 21, poz. 94, z późn. zm.).

3. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014r. poz.1182 z późn. zm.).

4. Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010r. Nr 182, poz. 1228, z późn. zm.,).

5. Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2005 r. Nr 145, poz. 1221, z późn. zm.).

6. Ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2009 r. Nr 152, poz. 1223, z późn. zm.).

7. Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198, z późn. zm.).

8. Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.).

9. Ustawa z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub podlegających na dostępie warunkowym (Dz. U. Nr 126, poz. 1068, z późn. zm.).

10. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.).

11. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402, z późn. zm.).

Strona 21 z 22


12. Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108).

13. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

14. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie określenia podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 159, poz. 948).

15. Rozporządzenie Rady Ministrów z dnia z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526).

16. Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (Dz. U. Nr 148, poz. 973, z późn. zm.).

.............................................................. .....................................................................

Miejsce, Data i Podpis ABI Podpis i Pieczęć ADO

Strona 22 z 22

index [] · web viewzablokowaniu lub możliwości zablokowania pracy systemu informatycznego...

Documents