POLITYKA BEZPIECZENSTWA I ANALIZA PÓL RYZYKA

DLA ZBIORU DANYCH W STOWARZYSZENIU DOM MIŁOSIERDZIA W KOSZALINIE

Lp.

Analiza pól ryzyka według rodzajów czynności przetwarzania danych, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych oraz przygotowane środki interwencyjne

Rodzaje czynności przetwarzania danych

Przykłady okoliczności, w których może wystąpić wysokie ryzyko naruszenia danych

Potencjalne obszary wystąpienia naruszeń oraz obszary zastosowań

Środki ostrożności i interwencji w przypadku wykrycia naruszeń

1.

Obsługa sprzedaży

Włamanie lub sabotaż systemu informatycznego Administratora danych, w tym przez system alarmowy z serwerem kamer video lub serwer internetowy.

Przejęcie poczty elektronicznej lub sabotowanie skrzynek firmowych mailowych na serwerach Administratora danych.

Awaria sprzętu komputerowego, w tym dysków z zachowanymi danymi osobowymi.

Przesyłanie plików (Word lub PDF) pocztą elektroniczną do klientów lub podmiotów zewnętrznych bez ich zabezpieczenia.

Przechowywanie danych w tzw. chmurze.

Omyłkowe wysłanie korespondencji zawierających dane klienta do osoby trzeciej, a nie do adresata.

Kradzież dokumentów papierowych zawierających dane osobowe z siedziby Administratora danych, torby lub z samochodu służbowego.

Bezpieczeństwo przechowywania danych w komputerze lub na nośnikach lokalnych.

Archiwizacja kopii zapasowej danych.

Usługi serwisowe sprzętu komputerowego i aktualizacji oprogramowania.

Obsługa księgowa rozliczeń z klientami.

Poufność  korespondencji i możliwość podsłuchu.

Osoby zatrudnione u Administratora danych zostały zobowiązane do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

Konieczność zobowiązania osób trzecich innych niż pracownicy Administratora danych (np. radca prawny, księgowa, informatyk, operator systemu alarmowego, administrator domeny internetowej), do przestrzegania tajemnicy prawnie chronionej w zakresie nie mniejszym niż ten, w jakim tajemnica wiąże Administratora danych.

Zawarcie umów o powierzeniu przetwarzania danych osobowych z podmiotami trzecimi z określeniem zakresu i celu przetwarzania danych osobowych oraz zobowiązaniem do spełnienia wymogów określonych w przepisach prawa.

Szyfrowanie dołączanych do korespondencji elektronicznej załączników według wytycznych zawartych w dobrych praktykach dotyczących bezpieczeństwa informacji zawartych m.in. w normie PN-ISO/IEC 27002:2013. Korzystanie z technik kryptograficznych zabezpieczających pliki przed otwarciem przez osobę nieuprawnioną.

Tworzenie kopii zapasowej plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych u Administratora danych i zabezpieczenie dysku sieciowego zawierającego dane osobowe klientów przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną.

2. 

Prowadzenie ewidencji pracowniczej i rekrutacji pracowników

Włamanie lub sabotaż systemu informatycznego Administratora danych, w tym przez system alarmowy z serwerem kamer video lub serwer internetowy.

Przejęcie poczty elektronicznej lub sabotowanie skrzynek firmowych mailowych na serwerach Administratora danych.

Awaria sprzętu komputerowego, w tym dysków z zachowanymi danymi osobowymi.

Przesyłanie plików (Word lub PDF) pocztą elektroniczną do pracowników, osób rekrutowanych lub podmiotów zewnętrznych bez ich zabezpieczenia.

Przechowywanie danych w tzw. chmurze.

Omyłkowe wysłanie korespondencji zawierających dane pracowników lub osób rekrutowanych do osoby trzeciej, a nie do adresata.

Kradzież dokumentów papierowych zawierających dane osobowe z siedziby Administratora danych, torby lub z samochodu służbowego.

Bezpieczeństwo przechowywania danych w komputerze lub na nośnikach lokalnych.

Archiwizacja kopii zapasowej danych.

Usługi serwisowe sprzętu komputerowego i aktualizacji oprogramowania.

Obsługa księgowa rozliczeń z pracownikami.

Poufność  korespondencji i możliwość podsłuchu.

Osoby zatrudnione u Administratora danych zostały zobowiązane do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

Konieczność zobowiązania osób trzecich innych niż pracownicy Administratora danych (np. radca prawny, księgowa, informatyk, operator systemu alarmowego, administrator domeny internetowej), do przestrzegania tajemnicy prawnie chronionej w zakresie nie mniejszym niż ten, w jakim tajemnica wiąże Administratora danych.

Zawarcie umów o powierzeniu przetwarzania danych osobowych z podmiotami trzecimi z określeniem zakresu i celu przetwarzania danych osobowych oraz zobowiązaniem do spełnienia wymogów określonych w przepisach prawa.

Szyfrowanie dołączanych do korespondencji elektronicznej załączników według wytycznych zawartych w dobrych praktykach dotyczących bezpieczeństwa informacji zawartych m.in. w normie PN-ISO/IEC 27002:2013. Korzystanie z technik kryptograficznych zabezpieczających pliki przed otwarciem przez osobę nieuprawnioną.

Tworzenie kopii zapasowej plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych u Administratora danych i zabezpieczenie dysku sieciowego zawierającego dane osobowe klientów przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną.

3. 

Prowadzenie ewidencji podopiecznych

Włamanie lub sabotaż systemu informatycznego Administratora danych, w tym przez system alarmowy z serwerem kamer video lub serwer internetowy.

Przejęcie poczty elektronicznej lub sabotowanie skrzynek firmowych mailowych na serwerach Administratora danych.

Awaria sprzętu komputerowego, w tym dysków z zachowanymi danymi osobowymi.

Przesyłanie plików (Word lub PDF) pocztą elektroniczną do pracowników, osób rekrutowanych lub podmiotów zewnętrznych bez ich zabezpieczenia.

Przechowywanie danych w tzw. chmurze.

Omyłkowe wysłanie korespondencji zawierających dane pracowników lub osób rekrutowanych do osoby trzeciej, a nie do adresata.

Kradzież dokumentów papierowych zawierających dane osobowe z siedziby Administratora danych, torby lub z samochodu służbowego.

Bezpieczeństwo przechowywania danych w komputerze lub na nośnikach lokalnych.

Archiwizacja kopii zapasowej danych.

Usługi serwisowe sprzętu komputerowego i aktualizacji oprogramowania.

Obsługa księgowa rozliczeń z pracownikami.

Poufność  korespondencji i możliwość podsłuchu.

Osoby zatrudnione u Administratora danych zostały zobowiązane do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

Konieczność zobowiązania osób trzecich innych niż pracownicy Administratora danych (np. radca prawny, księgowa, informatyk, operator systemu alarmowego, administrator domeny internetowej), do przestrzegania tajemnicy prawnie chronionej w zakresie nie mniejszym niż ten, w jakim tajemnica wiąże Administratora danych.

Zawarcie umów o powierzeniu przetwarzania danych osobowych z podmiotami trzecimi z określeniem zakresu i celu przetwarzania danych osobowych oraz zobowiązaniem do spełnienia wymogów określonych w przepisach prawa.

Szyfrowanie dołączanych do korespondencji elektronicznej załączników według wytycznych zawartych w dobrych praktykach dotyczących bezpieczeństwa informacji zawartych m.in. w normie PN-ISO/IEC 27002:2013. Korzystanie z technik kryptograficznych zabezpieczających pliki przed otwarciem przez osobę nieuprawnioną.

Tworzenie kopii zapasowej plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych u Administratora danych i zabezpieczenie dysku sieciowego zawierającego dane osobowe klientów przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną.

  1. Definicja bezpieczeństwa.

Polityka Bezpieczeństwa dla zbioru danych w Stowarzyszeniu Dom Miłosierdziaw Koszalinie, określa zasady i tryb postępowania przy przetwarzaniu danych osobowych w w/w zbiorze.

Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie:

  • Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim).
  • Integralności informacji  (uniknięcie nieautoryzowanych zmian w danych).
  • Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika) 
  • Rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).

Pracownicy Firmy stosują adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w/w.

  1. Użyte w Polityce określenia oznaczają:

1) Administrator Danych – osoba prowadząca działalność pod nazwą Stowarzyszenie Dom Miłosierdzia w Koszalinie(dalej Firma); 

2) ustawa - ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z pózn. zm.); 

3) rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024); 

3a)  rozporządzenie UE –  rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawach swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

4) użytkownik - osobę upoważnioną do przetwarzania danych osobowych w Firmie; 

5) Administrator Bezpieczeństwa Informacji - osobę wyznaczona przez Administratora Danych, odpowiedzialna za nadzór nad zapewnieniem bezpieczeństwa danych osobowych w Firmie; 

6) naruszenie zabezpieczenia - jakiekolwiek naruszenie bezpieczeństwa, niezawodności, integralności lub poufności zbioru danych; 

7) dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; 

8) przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych polegające na: zbieraniu, utrwalaniu, opracowywaniu, zmienianiu, przechowywaniu, analizowaniu, raportowaniu, aktualizowaniu, udostępnianiu lub usuwaniu danych osobowych; 

9) usuwanie danych osobowych - zniszczenie danych osobowych lub taka ich modyfikacje, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; 

10) zbiór danych osobowych - posiadający strukturę zestaw danych o charakterze danych osobowych, które są dostępne według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 

11) zabezpieczenie danych osobowych - środki administracyjne, techniczne i fizyczne wdrożone w celu zabezpieczenia zasobów technicznych oraz ochrony przed zniszczeniem, nieuprawnionym dostępem i modyfikacja, ujawnieniem lub pozyskaniem danych osobowych bądź ich utrata; 

12) Instrukcja - Instrukcje Zarządzania Systemem Informatycznym dla systemu zbiór danych w Stowarzyszeniu Dom Miłosierdzia w Koszalinie; 

16) Pracownik - osobę zatrudniona w Firmie na podstawie stosunku pracy lub innego stosunku prawnego.

  1. Oznaczanie danych

Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się:

  • informacje  o realizowanych kontraktach i obsługiwanych Klientach (zarówno planowane, bieżące jak i historyczne),
  • informacje finansowe Firmy,
  • informacje organizacyjne,
  • dane dostępowe do systemów IT,
  • dane osobowe,
  • informacje stanowiące o przewadze konkurencyjnej Firmy,
  • inne informacje oznaczone jako „informacji poufne” lub „dane poufne”.
  1. Zakres oraz zasady zabezpieczania danych osobowych  

1) Niniejsza politykę stosuje się do zbioru danych osobowych znajdującego się w Stowarzyszeniu Dom Miłosierdzia w Koszalinie.

2) Nadzór ogólny nad realizacja przepisów wynikających z ustawy oraz rozporządzenia pełni Administrator Danych. 

3) Nadzór nad poprawnością realizacji przepisów o ochronie danych osobowych, w szczególności zasad opisanych w Polityce oraz Instrukcji, oraz nad wykonywaniem zadań związanych z ochrona danych osobowych w Firmie, sprawuje Administrator Bezpieczeństwa Informacji. 

4) Dane osobowe przetwarzane w Firmie podlegają ochronie zgodnie z przepisami ustawy. 

5) Przetwarzanie danych osobowych w Firmiejest dopuszczalne wyłącznie w zakresie niezbędnym do udzielenia porad i realizacji udzielonego zlecenia, opiniowania, monitoringu, sprawozdawczości i kontroli, w ramach umów z Klientami. 

6) Przetwarzanie danych osobowych w Firmie nie może naruszać praw i wolności osób, których dane osobowe dotyczą, a w szczególności zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. 

7) W przypadku zbierania jakichkolwiek danych osobowych na potrzeby Firmy bezpośrednio od osoby, której dane dotyczą, osoba zbierająca dane osobowe jest zobowiązana do przekazania tej osobie informacji o:
a) pełnej nazwie Firmy oraz jej adresie;
b) celu zbierania danych osobowych;
c) prawie dostępu do treści swoich danych osobowych oraz ich poprawiania;
d) dobrowolności podania danych osobowych, z zastrzeżeniem, że odmowa zgody na ich przetwarzanie skutkuje niemożnością realizacji zlecenia. 

8) Jakiekolwiek udostępnianie danych osobowych może odbywać się wyłącznie w trybie określonym w ustawie oraz w pełnej zgodności z przepisami prawa. Wnioski o udostępnienie danych osobowych przetwarzanych w Firmie, po wstępnym rozpatrzeniu przez Administratora Bezpieczeństwa Informacji, są rozpatrywane przez Administratora Danych. 

9) Każdej osobie, której dane osobowe są przetwarzane w Firmieprzysługuje prawo do kontroli przetwarzania jej danych osobowych, a w szczególności prawo do:
a) uzyskania wyczerpującej informacji, czy jej dane osobowe są przetwarzane oraz do otrzymania informacji o pełnej nazwie i adresie siedziby Administratora Danych;
b) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych osobowych;
c) uzyskania informacji, od kiedy są przetwarzane jej dane osobowe, oraz podania w powszechnie zrozumiałej formie treści tych danych;
d) uzyskania informacji o źródle, z którego pochodzą dane osobowe jej dotyczące;
e) uzyskania informacji o sposobie udostępniania danych osobowych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe są udostępniane;
f) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.  

  1. Zasada minimalnych uprawnień

W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.

Przykładowo:  pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).

  1. Zasada wielowarstwowych zabezpieczeń

System IT Firmy powinien być chroniony równolegle na wielu poziomach.  Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych.

Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. 

  1.  Zasada ograniczania dostępu

Domyślnymi uprawnieniami w systemach IT powinno być zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia.

Przykładowo: domyślnie dostęp do bazy przechowującej dane klientów jest zabroniony. Stosowny dostęp zostaje przyznany osobie, której zajmowane stanowisko wiąże się z koniecznością pracy w tego typu systemie.

  1. Dostęp do danych poufnych na stacjach PC. 
  • Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.
  • Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Lista systemów objętych tego typu działaniami dostępna jest w osobnym dokumencie.
  • Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego - FDE).
  • Dostęp do danych poufnych z zewnątrz firmy powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany).
  • Dostęp do danych poufnych poprzez firmową sieć WiFi powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN).
  1. Zabezpieczenie stacji roboczych
  • Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich.
  • Minimalne środki ochrony to:
    • zainstalowane na stacjach systemy typu: firewall oraz antywirus,
    • wdrożony system aktualizacji systemu operacyjnego oraz jego składników,
    • wymaganie podania hasła przed uzyskaniem dostępu do stacji,
    • niepozostawianie niezablokowanych stacji PC bez nadzoru,
    • bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
  • Szczegółowe informacje dotyczące korzystania ze stacji roboczych można znaleźć w stosownym dokumencie.
  1. Wykorzystanie haseł
  • Hasła powinny być okresowo zmieniane.
  • Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej).
  • Hasła nie powinny być łatwe do odgadnięcia, to znaczy:
    • powinny składać się z minimum 9 znaków, w tym jeden znak specjalny
    • nie mogą przybierać prostych form, np. 123456789, stanislaw, dom99, haslo, Magda8, itp. 
  • Hasła mogą być tworzone według łączenia "losowych" (tj. nie istniejących w popularnych słownikach) sylab/słów, np.: mal-tra-laza-#topa. W ten sposób można uzyskać długie hasło stosunkowo proste do zapamiętania.
  1. Odpowiedzialność pracowników za dane poufne

Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony.

  1. Przetwarzanie danych osobowych  

1) Do przetwarzania danych osobowych w Firmie mogą być dopuszczeni jedynie pracownicy posiadający odpowiednie upoważnienie wydane przez upoważniona do tego osobę. 

2) Każdy pracownik, przed dopuszczeniem go do przetwarzania danych osobowych w Firmie, musi być zapoznany z przepisami dotyczącymi ochrony danych osobowych oraz Polityką i Instrukcją. 

3) Pracownik potwierdza zapoznanie się z przepisami dotyczącymi ochrony danych osobowych oraz Polityką i Instrukcją przez złożenie czytelnego podpisu na liście prowadzonej przez Administratora Bezpieczeństwa Informacji. 

4) Każdy pracownik mający dostęp do danych osobowych w Firmie jest wpisywany do rejestru osób upoważnionych do przetwarzania danych osobowych, prowadzonego przez Administratora Bezpieczeństwa Informacji. 

5) Rejestr, o którym mowa w pkt. 4, zawiera:
a) imię i nazwisko pracownika;
b) jego identyfikator w systemie informatycznym służącym przetwarzaniu danych w Firmie;
c) zakres przydzielonego uprawnienia;
d) datę przyznania uprawnień;
e) podpis Administratora Bezpieczeństwa Informacji potwierdzający przyznanie uprawnień;
f) datę odebrania uprawnień;
g) podpis Administratora Bezpieczeństwa Informacji potwierdzający odebranie uprawnień. 

6) Dopuszczenie do przetwarzania danych osobowych znajdujących się w Firmie przez osoby niebędące pracownikami, jest możliwe tylko w wyjątkowych przypadkach, po uzyskaniu pozytywnej opinii Administratora Bezpieczeństwa Informacji oraz podpisaniu z tą osobą umowy zapewniającej przestrzeganie przepisów dotyczących ochrony danych osobowych. W takim przypadku pkt. 4 i 5 stosuje się odpowiednio. 

7) Osoby trzecie mogą przebywać na obszarze, w którym są przetwarzane dane osobowe jedynie w obecności co najmniej jednego użytkownika odpowiedzialnego za te osoby. 

8) Wszyscy pracownicy oraz osoby, o których mowa w pkt. 7, pod groźbą sankcji dyscyplinarnych, mają obowiązek zachowania tajemnicy o przetwarzanych w Firmie danych osobowych oraz o stosowanych sposobach zabezpieczeń danych osobowych. Obowiązek zachowania tajemnicy istnieje również po ustaniu zatrudnienia lub współpracy. 

9) Użytkownicy są w szczególności zobowiązani do:
a) bezwzględnego przestrzegania zasad bezpieczeństwa przetwarzania informacji w Firmie, określonych w Polityce, Instrukcji i innych procedurach;
b) przetwarzania danych osobowych tylko w wyznaczonych do tego celu pomieszczeniach służbowych (lub wyznaczonych ich częściach);
c) zabezpieczania zbioru danych osobowych oraz dokumentów zawierających dane osobowe przed dostępem osób nieupoważnionych za pomocą środków określonych w Polityce, Instrukcji i innych procedurach dotyczących zarządzania Firmą oraz jej obsługi;
d) niszczenia wszystkich zbędnych nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie;
e) nieudzielania informacji o danych osobowych przetwarzanych w Firmie innym podmiotom, chyba że obowiązek taki wynika wprost z przepisów prawa i tylko w sytuacji, gdy przesłanki określone w tych przepisach zostały spełnione;
f) bezzwłocznego zawiadamiania Administratora Bezpieczeństwa Informacji o wszelkich przypadkach naruszenia bezpieczeństwa danych osobowych w Firmie, a także o przypadkach utraty lub kradzieży dokumentów lub innych nośników zawierających te dane osobowe. 

  1. Monitoring bezpieczeństwa

W celu zapewnienia ochrony informacji Firma może stosować monitoring wykorzystania infrastruktury informatycznej, w szczególności obejmujący następujące elementy:

  • analiza oprogramowania wykorzystanego na stacjach roboczych,
  • analiza stacji roboczych pod względem wykorzystania nielegalnego oprogramowania / plików multimedialnych oraz innych elementów naruszających Prawo Autorskie,
  • analiza odwiedzanych stron WWW,
  • analiza godzin pracy na stanowiskach komputerowych,
  • analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych) do systemów IT będących w posiadaniu Firmy,
  • Analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych Firmy.

Monitoring bezpieczeństwa musi odbywać się z zachowaniem obowiązującego prawa.

  1.   Edukacja pracowników w zakresie bezpieczeństwa

Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu:

  • ochrony Danych Osobowych,
  • świadomości istnienia problemów bezpieczeństwa,
  • szczegółowych aspektów bezpieczeństwa.
  1. Odpowiedzialność pracowników za dane dostępowe do systemów

Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:

  • hasła dostępowe,
  • klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
  • inne mechanizmy umożliwiające dostęp do systemów IT.

Przykłady ochrony danych dostępowych:

  • nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
  •  nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
  • Ochrona danych dostępowych przed kradzieżą przez osoby trzecie.
  1. Transport danych poufnych przez pracowników

Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren Firmy. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Firmy.

  1. Korzystanie z firmowej infrastruktury IT w celach prywatnych

Zabrania się korzystania firmowej infrastruktury IT w celach prywatnych.

  1. Sieć lokalna (LAN).

Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, przykładowo:

  • istotne serwery muszą być odseparowywane od sieci klienckich,
  • gniazdka sieciowe dostępne publiczne muszą być nieaktywne,
  • goście nie mogą uzyskiwać dostępu do sieci LAN.
  1. Systemy IT / serwery
  • Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone.
  • W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach.
  1.   Publiczne udostępnianie infrastruktury IT

Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona. Przykładowe środki bezpieczeństwa:

  • Separacja od sieci LAN (np. z wykorzystaniem strefy DMZ)
  • Wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system)
  • Wewnętrzna lub zewnętrzna weryfikacja bezpieczeństwa systemu (np. poprzez realizację testów penetracyjnych)
  1. Kopie zapasowe.
  • Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT.
  • Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. 
  • Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych.
  1. Dostęp do systemów IT po rozwiązaniu umowy o pracę

W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT.

  1. Naruszenie bezpieczeństwa

Wszelakie podejrzenia naruszenia bezpieczeństwa danych w Firmie należy zgłaszać  w formie ustnej lub za pośrednictwem poczty elektronicznej do Administratora Danych. 

Każdy incydent jest odnotowywany w stosownej bazie danych, a Administrator Danych podejmuje stosowne kroki zaradcze.

  1. Postępowanie w przypadku naruszenia ochrony danych osobowych  

1) Za naruszenie ochrony danych osobowych uznaje się w szczególności przypadki, gdy: a) stwierdzono naruszenie zabezpieczenia Firmy; b) stan sprzętu komputerowego, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych; c) inne okoliczności wskazują, że mogło nastąpić nieuprawnione udostępnienie danych osobowych przetwarzanych w Firmie. 

2) Każdy użytkownik, w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych w Firmie, jest zobowiązany do niezwłocznego poinformowania o tym bezpośredniego przełożonego oraz Administratora Bezpieczeństwa Informacji. 

3) Administrator Bezpieczeństwa Informacji, który stwierdził lub uzyskał informacje wskazującą na naruszenie ochrony danych osobowych jest zobowiązany niezwłocznie: a) poinformować pisemnie o zaistniałym zdarzeniu Administratora Bezpieczeństwa Informacji i stosować się do jego zaleceń; b) zapisać wszelkie informacje i okoliczności związane z danym zdarzeniem, a w szczególności dokładny czas uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnego wykrycia tego faktu. 

4) Administrator Bezpieczeństwa Informacji, który stwierdził lub uzyskał informacje wskazującą na naruszenie zabezpieczenia systemu informatycznego służącego przetwarzaniu danych osobowych w Firmie jest zobowiązany niezwłocznie:
a) wygenerować i wydrukować wszystkie dokumenty i raporty, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzyć je data i podpisać;
b) przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym określić skale zniszczeń, metody dostępu osoby niepowołanej do danych osobowych w systemie informatycznym służącym przetwarzaniu danych osobowych w Firmie;
c) podjąć odpowiednie kroki w celu powstrzymania lub ograniczenia dostępu osoby nieuprawnionej do danych osobowych, zminimalizować szkody i zabezpieczyć przed usunięciem ślady naruszenia ochrony danych osobowych, w szczególności przez fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do danych osobowych osobie niepowołanej, wylogowanie użytkownika podejrzanego o naruszenie ochrony danych osobowych, zmianę hasła użytkownika, przez którego uzyskano nielegalny dostęp do danych osobowych w celu uniknięcia ponownej próby uzyskania takiego dostępu;
d) szczegółowo analizować stan systemu informatycznego służącego przetwarzaniu danych osobowych w Firmie w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych;
e) przywrócić normalne działanie systemu informatycznego służącego przetwarzaniu danych osobowych w Firmie. 

5) Po przywróceniu normalnego stanu w Firmie należy przeprowadzić szczegółowa analizę, w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. 

6) Jeżeli przyczyną zdarzenia był błąd użytkownika, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych osobowych w Firmie. 

7) Jeżeli przyczyna zdarzenia była infekcja wirusem lub innym niebezpiecznym oprogramowaniem, należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne, wykluczające powtórzenie się podobnego zdarzenia w przyszłości. 

8) Jeżeli przyczyna zdarzenia było zaniedbanie ze strony użytkownika należy wyciągnąć konsekwencje dyscyplinarne wynikające z przepisów prawa pracy oraz wewnętrznych uregulowań, a w przypadku gdy użytkownik nie jest pracownikiem, konsekwencje wynikające z umowy łączącej go z Administratorem Danych

  1. Weryfikacja przestrzegania polityki bezpieczeństwa.

Administrator Danych okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.

  1.  Postanowienia końcowe 

1) Polityka jest dokumentem wewnętrznym Firmy i jest objęta obowiązkiem zachowania w poufności przez wszystkie osoby, którym zostanie ujawniona. 

2) Do spraw nieuregulowanych w Polityce stosuje się przepisy ustawy o ochronie danych osobowych