instrukcjazarzadzaniasystememinformatycz - IFMSA

Instrukcja zarządzania systemem
informatycznym służącym do przetwarzania
danych osobowych
Międzynarodowego Stowarzyszenia
Studentów Medycyny
IFMSA-Poland
Przyjęta przez Zarząd Główny IFMSA-Poland
30 sierpnia 2010 r.
Spis treści:
PREAMBUŁA
3
ROZDZIAŁ 1.
Regulacje ogólne
3
ROZDZIAŁ 2.
Procedury nadawania uprawnień…
3
ROZDZIAŁ 3.
Stosowane metody i środki…
4
ROZDZIAŁ 4.
Procedury rozpoczęcia, zawieszenia i…
4
ROZDZIAŁ 5.
Procedury tworzenia kopii zapasowych
5
ROZDZIAŁ 6.
Sposoby zabezpieczenia systemu…
5
ROZDZIAŁ 7.
Sposoby realizacji wymogów…
5
ROZDZIAŁ 8.
Przeglądy i konserwacja systemu
6
ROZDZIAŁ 9.
Lista Administratorów bezpieczeństwa danych
6
ROZDZIAŁ 10.
Postanowienia końcowe
6
2
Preambuła
Niniejszą instrukcję wprowadza się w oparciu o wymogi bezpieczeństwa
informacji określone w rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji
przetwarzania
danych
osobowych
oraz
warunków
technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100,
poz. 1024).
Rozdział 1
Regulacje Ogólne
1.1
1.2
1.3
1.4
1.5
1.6
Regulacje
dotyczą
użytkowania
systemu
w
Międzynarodowym
Stowarzyszeniu
Studentów
Medycyny
IFMSA-Poland,
z
siedzibą
w Warszawie, 02-007, ul. Oczki 1A, zwanego dalej IFMSA-Poland.
Regulacje zawarte w niniejszym dokumencie są zgodne z regulacjami
przyjętymi w „Polityce bezpieczeństwa IFMSA-Poland” oraz z ustawą z dnia
29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniem
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych.
Niniejszy dokument stanowi załącznik do „Polityki bezpieczeństwa
IFMSA-Poland”.
Systemem,
na
którym
pracują
użytkownicy
jest
system
Intranet IFMSA-Poland.
System Intranet IFMSA-Poland zbudowany jest w oparciu o technologie
bazy danych MySQL oraz język programowania PHP 4.0 i nowszy.
Za zabezpieczenie fizycznych nośników informacji odpowiada dostawca
usług serwerowych wskazany w „Polityce bezpieczeństwa IFMSA-Poland”.
Rozdział 2
Procedury nadawania uprawnień do przetwarzania danych
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
Użytkownikowi zostaje przyznany unikalny identyfikator wraz z poufnym
hasłem.
O przyznaniu identyfikatora decyduje Administrator bezpieczeństwa
danych.
Identyfikator wraz z prawidłowym hasłem umożliwia użytkownikowi dostęp
do systemu.
Każdy użytkownik otrzymujący dostęp do systemu umożliwiający
przetwarzanie danych osobowych zapoznaje się z treścią niniejszego
dokumentu, dokumentu „Polityki bezpieczeństwa IFMSA-Poland” oraz
zostaje
pouczony
przez
swojego
bezpośredniego
zwierzchnika
o wdrożonych procedurach bezpieczeństwa.
Zapoznanie się z wymienionymi z punkcie 2.4 dokumentami użytkownik
potwierdza elektronicznie w czasie pierwszego logowania się do systemu
umożliwiającego przetwarzanie danych osobowych.
Administratorowi bezpieczeństwa danych przysługuje prawo zablokowania
konta użytkownika w dowolnym momencie.
Administrator w razie zablokowania dostępu do konta zobowiązany jest
poinformować użytkownika o przyczynach blokady, pisemnie na drodze
elektronicznej.
Po zakończeniu operacji w systemie użytkownik zobligowany jest
wylogować się.
3
2.9
2.10
2.11
2.12
Użytkownik
zobligowany
jest
przechowywać
hasło
w
sposób
uniemożliwiający dostęp do konta osobom trzecim, w szczególności zaś
zabronione jest zapamiętywanie hasła przy użyciu elektronicznych
systemów cookies.
W przypadku awarii, zagubienia hasła lub innych nieprzewidzianych
okoliczności zagrażających bezpieczeństwu danych każdy użytkownik
zobowiązany jest niezwłocznie zawiadomić Administratora bezpieczeństwa
danych.
Użytkownikom przysługuje prawo dostępu do systemu na podstawowym
poziomie bezpieczeństwa, z zastrzeżeniem punktu 2.12.
Użytkownikom mającym dostęp do danych osobowych przysługuje dostęp
do systemu na wysokim poziomie bezpieczeństwa.
Rozdział 3
Stosowane metody i środki uwierzytelniania
Procedury związane z ich zarządzaniem i użytkowaniem
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
Użytkownicy sami nadają sobie hasło do systemu, przy czym musi ono
spełniać wymogi punktu 3.6.
Hasło ma charakter poufny, użytkownik zobowiązany jest zachować je
w tajemnicy. Zabronione jest udostępnianie hasła innym osobom, w tym
innym użytkownikom.
W wypadku konieczności nadania użytkownikowi hasła tymczasowego,
użytkownik zobowiązany jest zmienić to hasło na nowe po pierwszym
udanym logowaniu do systemu.
System wymusi zmianę hasła, o którym mowa w punkcie 3.3
Użytkownik w razie zagubienia hasła lub udostępnienia go osobom
postronnym zobowiązany jest niezwłocznie poinformować o tym fakcie
Administratora bezpieczeństwa danych. Do czasu przyznania nowego hasła
przez Administratora bezpieczeństwa danych konto użytkownika zostaje
zablokowane.
Hasło jest minimum 8 znakowym ciągiem znaków o właściwościach
określonych w odpowiednim rozporządzeniu.
Hasło przechowywane jest w systemie w postaci zaszyfrowanej.
Hasło i nazwa użytkownika przyznane jednemu użytkownikowi nie mogą
być powtórnie użyte.
Użytkownik mający dostęp do danych osobowych zobowiązany jest
zmieniać swoje hasło nie rzadziej niż co 30 dni.
W przypadku braku zmiany hasła w wyznaczonym w punkcie 3.9 terminie
system wymusi na użytkowniku zmianę hasła po najbliższym logowaniu
następującym po upływie wskazanego terminu.
Osobą odpowiedzialną za hasła i nazwy użytkowników w systemie jest
Administrator bezpieczeństwa danych.
Rozdział 4
Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie
4.1
4.2
W celu uruchomienia i zalogowania się do systemu użytkownik powinien
uruchomić przeglądarkę internetową.
Użytkownik mający dostęp do danych osobowych zobowiązany jest
korzystać z przeglądarek internetowych: Internet Explorer w wersji nie
niższej nić 7.0 lub Mozilla Firefox w wersji nie niższej niż 3.6 lub Opera
w wersji nie niższej niż 10.
4
4.3
4.4
4.5
4.6
Użytkownik podczas logowania nie może ujawniać hasła osobom trzecim,
w tym innym użytkownikom, ani pozostawiać hasła zapisanego w pobliżu
systemu lub innych osób.
Użytkownik zobligowany jest do skutecznego wylogowania się z systemu za
każdym razem, gdy zamierza przerwać pracę, niezależnie od tego na jak
długo zamierza odejść od komputera.
Wylogowanie następuje poprzez wybranie opcji „wyloguj” w systemie.
W przypadku stwierdzenia fizycznej ingerencji w systemie lub innych
podejrzeń dotyczących możliwości naruszenia bezpieczeństwa systemu
użytkownik niezwłocznie zawiadamia o rzeczonym fakcie Administratora
bezpieczeństwa danych.
Rozdział 5
Procedury tworzenia kopii zapasowych
5.1
5.2
5.3
Kopie zapasowe danych tworzone są przez system automatycznie
co 24 godziny.
Administrator bezpieczeństwa danych dokonuje zapisu kopii zapasowych na
dyskach CD według potrzeb, nie rzadziej jednak niż co 30 dni.
Kopie przechowywane są zgodnie z zasadami „Polityki bezpieczeństwa
IFMSA-Poland” oraz odpowiednimi aktami prawnymi.
Rozdział 6
Sposoby zabezpieczenia systemu przed działalnością oprogramowania
wskazanego w punkcie III podpunkt 1 załącznika do rozporządzenia
przedmiotowego oraz przed dostępem nieuprawnionym
6.1
6.2
6.3
6.4
6.5
System chroniony jest na bieżąco przed działaniem wirusów i innego
oprogramowania komputerowego przez całodobowe oprogramowanie
antywirusowowe dostarczane i aktualizowane przez dostawcę usług
serwerowych, wymienionego w „Polityce bezpieczeństwa IFMSA-Poland”.
W celu przeciwdziałania atakom system jest skanowany w poszukiwaniu
wirusów nie rzadziej niż co 24 godziny.
W przypadku wykrycia jakiegokolwiek zagrożenia dostawca usług
serwerowych niezwłocznie powiadamia Administratora bezpieczeństwa
danych.
Dostawca usług serwerowych zapewnia monitoring działań inicjowanych
z sieci publicznej.
Do ochrony danych osobowych oraz haseł i nazw użytkowników stosowane
są zabezpieczenia kryptograficzne zgodne z protokołem SSL.
Rozdział 7
Sposoby realizacji wymogów § 7 ust. 1 pkt 4 rozporządzenia przedmiotowego
7.1
7.2
System informatyczny zapewnia odnotowywanie informacji o dostępie
użytkowników do danych osobowych, dacie i zakresie tego dostępu.
Odnotowanie następuje automatycznie przez system.
5
Rozdział 8
Przeglądy i konserwacja systemu
8.1
8.2
Przeglądu i konserwacji systemu dokonuje Administrator bezpieczeństwa
danych.
Jeśli wystąpi konieczność przekazania całości lub części systemu do
naprawy podmiotowi zewnętrznemu, dane osobowe z systemu zostaną
usunięte przed przekazaniem systemu do naprawy.
Rozdział 9
Lista Administratorów bezpieczeństwa danych
9.1
9.2
9.3
Niniejsza lista prowadzona jest w zgodnie z bieżącymi składem osobowym
Zarządu Głównego IFMSA-Poland oraz uchwałami podejmowanymi przez
Zarząd Główny IFMSA-Poland.
Lista uaktualniania jest przez Sekretarza Generalnego IFMSA-Poland na
drodze uchwały Zarządu Głównego.
Lista Administratorów bezpieczeństwa danych stanowi załącznik do
niniejszego dokumentu.
Rozdział 10
Postanowienia końcowe
10.1
10.2
Wszelkie zmiany w niniejszym dokumencie są dokonywane zgodnie
z zapisami „Polityki bezpieczeństwa IFMSA-Poland”, a w szczególności
poprzez uchwałę Zarządu Głównego.
Instrukcja udostępniana jest użytkownikom w sposób umożliwiający
zapoznanie się z nią i wdrożenie jej zapisów w życie.
6