Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja zarządzania systemem informatycznym (IZSI)

służącym do przetwarzania danych osobowych

w Wirtualne Biuro Sp. z o.o. w Warszawie

IZSI została zatwierdzona przez administratora danych osobowych w dniu 15.03.2023

IZSI została wprowadzona w życie z dniem 16.03.2023

WBS/IZSI/2023

(podpis administratora danych osobowych)

WPROWADZENIE

1. Niniejszy dokument stanowi instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Wirtualne Biuro Sp. z o.o., zwaną dalej Instrukcją i jest wypełnieniem obowiązku wynikającego z art. 24 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub RODO).

2. Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

3. W Instrukcji zostały uregulowane procedury:

1) nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych oraz wskazanie osób odpowiedzialnych za te czynności;

2) rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

3) tworzenia kopii zapasowych zbiorów danych oraz określenie programów i narzędzi programowych służących do ich przetwarzania wraz z określeniem sposobu, miejsca i okresu ich przechowywania;

4) wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych; a także

5) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

6) sposoby zabezpieczenia systemu informatycznego przed działalnością oprogramowania szkodliwego oraz dostępem do nich osób nieupoważnionych.

POSTANOWIENIA OGÓLNE

A. Słownik pojęć użytych w Instrukcji

Użyte w Instrukcji określenia oznaczają:

1) administrator danych osobowych – Wirtualne Biuro Sp. z o.o., decydujący o celach i środkach przetwarzania danych osobowych, odpowiedzialny za nadzór nad przestrzeganiem zasad ochrony danych osobowych w jednostce oraz wykonujący zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym, zwany dalej ADO;

2) bezpieczeństwo informacji – stan, w którym informacja jest chroniona przed wieloma różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty i maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym; niezależnie od tego, jaką formę informacja przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zawsze powinna być w odpowiedni sposób chroniona; bezpieczeństwo informacji oznacza w szczególności za chowanie: poufności, integralności, dostępności i rozliczalności;

3) dane osobowe (dane) – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak Jan i Kowalski, 85031201234, ul. Kwiatowa 12, 00-001 Warszawa lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

4) hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi;

5) identyfikator – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

6) integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

7) IZSI – niniejsza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej Instrukcją;

8) kopia bezpieczeństwa – kopie plików danych lub plików programowania tworzone na nośnikach wymiennych lub dysku twardym komputera w celu ich odtworzenia w przypadku utraty lub uszkodzenia danych;

9) odbiorca danych – każdy, komu udostępniane są dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upoważnionej do przetwarzania danych,

c) Prokuratura Rejonowa Warszawa Śródmieście lub Sąd Rejonowy dla m. st. Warszawy w Warszawie, którym dane są udostępniane w związku z prowadzonym postępowaniem;

10) osoba upoważniona do przetwarzania danych osobowych – osoba, która upoważniona została do przetwarzania danych osobowych przez ADO na piśmie;

11) poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom;

12) proces zarządzania bezpieczeństwem systemów informatycznych – całość działań organizacyjno-technicznych i prawnych podejmowanych przez jednostkę mających na celu właściwą ochronę informacji oraz minimalizację skutków w przypadku incydentów bezpieczeństwa;

13) przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

14) przetwarzający dane – podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy, zgodnie z art. 28 RODO;

15) raport – przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych;

16) serwisant – Komputronik S.A. lub Jan Kowalski z firmy PC-Serwis zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;

17) system informatyczny (system) – sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną Wirtualne Biuro Sp. z o.o.;

18) system zarządzania bezpieczeństwem informacji – całościowy i uporządkowany układ, który tworzą następujące procedury i procesy:

a) ustanowienie polityki bezpieczeństwa informacji,

b) określenie zakresu zarządzania bezpieczeństwem informacji,

c) ocena zagrożeń bezpieczeństwa informacji i zarządzanie ryzykiem związanym z zagrożeniami,

d) wprowadzenie standardów bezpieczeństwa informacyjnego,

e) opracowanie planu ciągłości działania,

f) edukacja pracowników w zakresie bezpieczeństwa informacji;

19) trwałe usunięcie informacji – sposób postępowania z nośnikiem informacji mający na celu usunięcie zapisanych na nim informacji tak, aby ich odtworzenie w całości lub w części było niemożliwe;

20) ustawa – ustawę z 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000);

21) uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

22) użytkownik – osoba upoważniona do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

23) zagrożenie – stan faktyczny, który może spowodować naruszenie bezpieczeństwa informacji;

24) zasada wiedzy koniecznej – zasadę, że dostęp osób zatrudnionych w jednostce do zasobów informacyjnych ograniczony jest wyłącznie do informacji, które są im niezbędne do wykonania powierzonych zadań.

B. Zakres przedmiotowy Instrukcji

Instrukcja ma zastosowanie do każdego zbioru danych osobowych:

1) przetwarzanych w systemach informatycznych w jednostce,

2) zapisanych w formie elektronicznej na zewnętrznych nośnikach.

C. Zakres podmiotowy Instrukcji

1. Do stosowania postanowień Instrukcji obowiązani są wszyscy pracownicy i inne osoby, które przetwarzają dane osobowe w systemach informatycznych jednostki.

2. Przed przystąpieniem do pracy przez pracownika lub innej osoby zatrudnionej w jednostce obowiązkowe jest zapoznanie się z regulacjami dotyczącymi przetwarzania danych w jednostce, w szczególności z:

1) Polityką bezpieczeństwa danych osobowych dla jednostki;

2) Instrukcją zarządzania systemem informatycznym dla jednostki;

3) ustawą z 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).

3. Fakt zapoznania się z regulacjami, o których mowa w pkt 2, potwierdzany jest poprzez podpisanie oświadczenia o zachowaniu poufności informacji uzyskiwanych w związku z przetwarzaniem danych osobowych oraz zapoznaniu się z zasadami przetwarzania danych.

4. Oświadczenie, o którym mowa w pkt 3, stanowi załącznik nr 6 do Polityki.

D. System informatyczny

1. Na System informatyczny w jednostce składają się:

1) urządzenia: Dell Optiplex 7090, HP Prodesk 400 G7, Lenovo Thinkpad X1 Carbon,

2) programy: Microsoft Office 365, Asseco WAPRO Mag, Comarch ERP Optima

2. Elementy Systemu opisane w ust. 1 są wykorzystywane do przetwarzania danych w jednostce. Podlegają one regularnej kontroli w celu zapewnienia bezpieczeństwa przetwarzanych danych.

E. Klasyfikacja systemów informatycznych

1. Każdy system informatyczny eksploatowany w jednostce wymaga zaklasyfikowania do określonej kategorii ze względu na poziom poufności, integralności i dostępności przetwarzanych informacji oraz na rodzaj informacji i wagę systemu dla ciągłości świadczenia usług.

2. Poziom wymagań odnośnie do bezpieczeństwa przetwarzanych informacji wyznaczają przepisy prawa oraz wymagania ekonomiczne określane każdorazowo przez ADO.

3. Systemy informatyczne eksploatowane w jednostce kategoryzuje i opisuje IZSI.

4. Za sklasyfikowanie systemów informatycznych eksploatowanych w jednostce odpowiada ADO. Klasyfikacja systemów informatycznych podlega akceptacji ADO.

ZARZĄDZANIE DOSTĘPEM I BEZPIECZEŃSTWEM SYSTEMÓW

A. Zarządzanie dostępem

1. Dostęp do systemów informatycznych musi być zabezpieczony z wykorzystaniem obowiązujących w jednostce mechanizmów bezpieczeństwa w postaci rozwiązań organizacyjno-technicznych i prawnych uwzględniających kategorię systemu oraz wrażliwość informacji przetwarzanych w systemie.

2. Mechanizmy bezpieczeństwa muszą zapewniać rozliczalność w stopniu uwzględniającym kategorię systemu oraz wymagania wynikające z przepisów prawa i przepisów wewnętrznych jednostki. W szczególności każdemu użytkownikowi systemu informatycznego musi być przydzielony niepowtarzalny identyfikator.

3. Każdy użytkownik systemu informatycznego zobowiązany jest do eksploatowania systemów informatycznych zgodnie z procedurami opisanymi w IZSI.

4. Dostęp do zasobów informatycznych oraz działania wykonywane z kont użytkowników, kont administratorów systemu, muszą być monitorowane w stopniu uwzględniającym poziom uprawnień przypisany do tych kont oraz kategorię systemu.

5. Monitoringowi podlegają w szczególności działania, których wykonanie jest krytyczne dla bezpieczeństwa systemu i bezpieczeństwa przetwarzanych informacji.

6. Osoba pełniąca funkcję administratora systemu powinna posiadać dodatkowo odrębne konto służące tylko i wyłącznie do administracji danym systemem informatycznym, o ile dany system udostępnia taką funkcjonalność.

7. Dostęp do systemów informatycznych wygasa:

1) zgodnie z zasadą wiedzy koniecznej,

2) po upływie 1 roku, na który został przyznany,

3) w przypadku zawinionego naruszenia bezpieczeństwa systemu lub bezpieczeństwa przetwarzanych danych.

8. Zasady fizycznego dostępu do ul. Polna 1, 00-002 Warszawa, w których zlokalizowane są zasoby informatyczne, określa IZSI.

9. Zasady szczegółowe:

1) poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela się konta opatrzone niepowtarzalnym identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania;

2) administrator danych osobowych przydziela pracownikowi upoważnionemu do przetwarzania danych konto w systemie informatycznym, dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem;

3) w razie potrzeby ADO może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych, nieposiadającej statusu pracownika;

4) pierwsze hasło wymagane do uwierzytelnienia się w systemie przydzielane jest przez ADO po odebraniu od osoby upoważnionej do przetwarzania danych oświadczenia zawierającego zobowiązanie do zachowania w tajemnicy pierwszego i następnych haseł oraz potwierdzenie odbioru pierwszego hasła;

5) do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń administratora bezpieczeństwa informacji.

B. Analiza i zarządzanie ryzykiem

1. Podstawowe zagrożenia dla poprawnego funkcjonowania systemów informatycznych mogą wynikać z awarii sprzętu komputerowego, oprogramowania, pracowników oraz działań cyberprzestępców.

2. Skutkiem wystąpienia zagrożenia zasobów informatycznych może być:

1) zniszczenie części lub całości systemu informatycznego,

2) utrata danych,

3) utrata poufności, integralności, dostępności, rozliczalności lub autentyczności danych,

4) wyciek danych,

5) utrata wiarygodności i dobrego imienia firmy.

3. Za proces analizy i zarządzania ryzykiem odpowiedzialny jest ADO.

4. Proces analizy ryzyka obejmuje analizę zagrożeń, analizę podatności, analizę skutków wystąpienia zagrożeń oraz analizę istniejących zabezpieczeń i jest realizowany w ramach procesu samooceny ryzyka w jednostce.

5. Wyniki analizy ryzyka stanowią podstawę wyboru odpowiednich zabezpieczeń dla systemów informatycznych eksploatowanych w jednostce.

6. Wdrażane zabezpieczenia powinny zapewniać efektywność ekonomiczną oraz skutkować akceptowalnym ryzykiem szczątkowym.

7. Kryteria akceptowalności ryzyka szczątkowego wdrażanych zabezpieczeń powinny stanowić pisemne załączniki do dokumentacji wdrażanych zabezpieczeń.

C. Cele i zasady bezpieczeństwa systemu

1. Stosowanie zabezpieczeń ma na celu zapewnienie optymalnego poziomu bezpieczeństwa przetwarzanych w systemie danych, stosownie do ich rodzaju oraz ewentualnych zagrożeń.

2. Zapewnienie odpowiedniego poziomu bezpieczeństwa następuje poprzez stosowanie zasad, zgodnie z którymi:

1) osoby nieupoważnione nie mają dostępu do systemu;

2) użytkownicy mają ograniczony dostęp do systemu, zgodnie z postanowieniami niniejszej Instrukcji;

3) użytkownicy wykorzystują oddane im do dyspozycji narzędzia zgodnie z zaleceniami, zachowując wymogi należytej staranności.

D. Poziom bezpieczeństwa

1. Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z internetem, wprowadza się „wysoki” bezpieczeństwa.

2. Zastosowanymi środkami bezpieczeństwa są:

1) środki ochrony organizacyjne,

2) środki ochrony fizyczne,

3) środki ochrony techniczne.

E. Nadawanie uprawnień w systemach informatycznych

1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych zarejestrowana jako użytkownik w tym systemie przez ADO.

2. W jednostce przetwarzać dane mogą jedynie osoby posiadające ww. upoważnienie, które złożyły oświadczenia o zachowaniu poufności przetwarzanych danych oraz odbyły obowiązkowe szkolenie z zakresu ochrony danych osobowych.

3. Administrator danych osobowych jest obowiązany upoważnić co najmniej jednego pracownika do rejestracji użytkowników w systemie informatycznym w czasie swojej nieobecności dłuższej niż 2 tygodnie.

4. Administrator danych osobowych prowadzi wykaz osób dopuszczonych do przetwarzania danych osobowych.

5. Rejestr osób upoważnionych do przetwarzania danych osobowych, o którym mowa w pkt 4, stanowi załącznik nr 7 do Polityki.

6. Rejestracja użytkownika polega na nadaniu identyfikatora i przydzieleniu hasła, zakresu przetwarzania danych oraz wprowadzeniu tych danych do bazy użytkowników systemu.

7. Konto użytkownika na serwerze zakłada ADO na podstawie upoważnienia do przetwarzania danych osobowych, nadając unikalną nazwę użytkownika i hasło.

8. Przydzielone użytkownikowi hasło przekazywane jest w formie zaszyfrowanej, ulega zmianie przez użytkownika po pierwszym zalogowaniu się do systemu.

9. Użytkownik obowiązany jest do zachowania w tajemnicy hasła, w szczególności nieudostępniania go innym użytkownikom, niezapisywania w powszechnie dostępnych miejscach.

10. Upoważnienie do przetwarzania danych osobowych w systemach informatycznych nadawane jest na określony czas, który nie może przekroczyć okresu trwania stosunku pracy osoby będącej użytkownikiem.

11. W przypadku przedłużenia upoważnienia do przetwarzania danych, przedłużeniu na taki sam czas ulega ważność konta dostępu użytkownika.

F. Usunięcie konta

1. Usuwanie kont z systemu informatycznego dokonywane jest przez ADO.

2. Usunięcie konta następuje w przypadku:

1) rozwiązania stosunku pracy;

2) wygaśnięcia stosunku pracy;

3) ustania innego stosunku cywilnoprawnego, w ramach którego pracownik był użytkownik;

4) przeniesienia użytkownika do innej jednostki organizacyjnej;

5) cofnięcia upoważnienia do przetwarzania danych osobowych.

3. Usunięcie konta ma charakter definitywny, co oznacza, że niedopuszczalne jest jego ponowne wykorzystywanie przez tego samego albo innego użytkownika.

4. Postanowień działu X nie stosuje się w sytuacji zmiany postanowień lub rodzaju umowy, na podstawie której użytkownik zatrudniony jest w jednostce, o ile zachowana jest ciągłość zatrudnienia.

G. Wyrejestrowanie użytkownika

1. Wyrejestrowania użytkownika z systemu informatycznego dokonuje ADO.

2. Wyrejestrowanie, o którym mowa w pkt 1, ma charakter tymczasowy.

3. Wyrejestrowanie następuje poprzez zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę.

4. Czasowe wyrejestrowanie użytkownika z systemu informatycznego musi nastąpić w razie:

1) nieobecności użytkownika w pracy trwającej dłużej niż 2 tygodnie;

2) zawieszenia w pełnieniu obowiązków służbowych.

5. Przyczyną wyrejestrowania użytkownika z systemu informatycznego jest w szczególności:

1) wypowiedzenie umowy o pracę;

2) wszczęcie postępowania dyscyplinarnego względem osoby upoważnionej do przetwarzania danych osobowych.

H. Użytkownik uprzywilejowany

1. Administrator danych osobowych jest użytkownikiem uprzywilejowanym, posiadającym najwyższe uprawnienia w systemie informatycznym.

2. Konto użytkownika uprzywilejowanego jest używane tylko w uzasadnionych przypadkach.

3. Hasło ADO jest przechowywane w sejfie, posiadającej zabezpieczenia w gabinecie ADO.

I. Kontrola bezpieczeństwa

1. Bieżąca kontrola bezpieczeństwa jest wykonywana przez użytkowników i polega w szczególności na sprawdzeniu, czy nie doszło do:

1) próby nieautoryzowanego dostępu do systemu;

2) próby nieautoryzowanej zmiany oprogramowania;

3) próby nieautoryzowanej modyfikacji danych;

4) ujawnienia lub udostępnienia innym osobom loginu lub hasła;

5) uszkodzenia lub zniszczenia urządzeń systemu.

2. W razie stwierdzenia nieprawidłowości w zakresie bezpieczeństwa użytkownik powiadamia niezwłocznie ADO.

3. Okresowa kontrola bezpieczeństwa jest wykonywana przez ADO.

UTRZYMANIE, ROZWÓJ I WYCOFANIE SYSTEMÓW INFORMATYCZNYCH

A. Rozwój systemów informatycznych

1. Rozwój systemów informatycznych dotyczy wdrożenia nowych lub modernizacji aktualnie eksploatowanych systemów informatycznych, a w szczególności zmiany architektury systemów lub ich funkcjonalności.

2. Rozwój systemów informatycznych obejmuje w szczególności następujące działania:

1) określenie kategorii systemu informatycznego;

2) analizę wymagań biznesowych;

3) analizę zagrożeń związanych z wdrożeniem nowego systemu informatycznego lub jego modernizacji, projektowanie architektury i funkcjonalności systemów informatycznych z uwzględnieniem aspektów bezpieczeństwa;

4) implementację mechanizmów bezpieczeństwa zgodnych z wymaganiami biznesowymi;

5) testowanie systemu informatycznego przed jego wdrożeniem do eksploatacji;

6) opracowanie dokumentacji bezpieczeństwa dla systemu informatycznego;

7) szkolenie użytkowników systemu informatycznego.

3. Za rozwój systemów informatycznych w jednostce odpowiada ADO.

4. Testowanie systemów informatycznych powinno odbywać się wyłącznie z wykorzystaniem danych testowych w odseparowanym środowisku.

5. Rozpoczęcie eksploatacji systemu informatycznego wymaga decyzji ADO.

6. Administrator danych osobowych sprawuje nadzór ciągły nad wdrożeniem mechanizmów bezpieczeństwa właściwych dla kategorii systemu informatycznego.

B. Utrzymanie systemów informatycznych

1. Utrzymanie systemów informatycznych obejmuje następujące działania:

1) analizę ryzyka związanego z funkcjonowaniem systemu informatycznego;

2) instalację, konfigurację, administrację oraz zarządzanie zasobami sprzętowymi i oprogramowaniem wchodzącym w skład systemu informatycznego z uwzględnieniem aspektów bezpieczeństwa.

2. Eksploatacja systemów informatycznych obejmuje działania związane z:

1) obsługą systemu,

2) okresowym testowaniem i kontrolą zaimplementowanych mechanizmów bezpieczeństwa oraz odpowiednim dokumentowaniem tych działań.

3. Za utrzymanie systemów informatycznych odpowiada ADO.

4. Administrator danych osobowych sprawuje nadzór ciągły nad eksploatacją i utrzymaniem właściwych mechanizmów bezpieczeństwa wszystkich systemów informatycznych eksploatowanych w jednostce.

C. Wycofanie systemów informatycznych

1. Systemy informatyczne, nośniki informacji lub inne zasoby informacyjne, które przestały być używane, wycofuje się z eksploatacji w sposób opisany w IZSI.

2. Wycofanie systemu informatycznego z eksploatacji wymaga przestrzegania właściwych procedur bezpieczeństwa obejmujących w szczególności zasady postępowania:

1) z informacją przetwarzaną w systemie informatycznym i nośnikami informacji,

2) z dokumentacją bezpieczeństwa zasobu informatycznego.

METODY I ŚRODKI UWIERZYTELNIANIA

Login i hasło użytkownika

1. Uwierzytelnienie użytkownika w Systemie informatycznym następuje po podaniu loginu użytkownika i hasła.

2. Login użytkownika stanowi identyfikator, który w sposób jednoznaczny przypisany został konkretnemu użytkownikowi.

3. Identyfikator składa się z ciągu przynajmniej 8 znaków.

4. Niedopuszczalne jest funkcjonowanie kilku takich samych loginów użytkowników. Raz przypisana login nie podlega zmianie i nie może zostać wykorzystana w przyszłości przez innego użytkownika.

5. W przypadku zbieżności nadawanego identyfikatora z identyfikatorem wcześniej zarejestrowanego użytkownika ADO nadaje inny identyfikator, odstępując od zasady określonej w pkt 4.

6. Hasło powinno składać się z unikalnego zestawu co najmniej 12 znaków, zawierać małe i duże litery oraz cyfry lub znaki specjalne.

7. Hasło nie może być:

1) identyczne z identyfikatorem użytkownika;

2) identyczne z imieniem lub nazwiskiem użytkownika;

3) odnosić się do innych cech osobistych użytkownika;

4) powtórzeniem hasła stosowanego wcześniej, jeżeli od ostatniego zastosowania danej kombinacji nie upłynął 1 rok.

8. Niedopuszczalne jest zapamiętywanie haseł w systemie.

9. Pierwsze nadane hasło ulega zmianie przez użytkownika.

10. W przypadku, gdy system umożliwia limitowanie wprowadzenia błędnego hasła, należy przyjąć próg liczby wprowadzonych błędnych haseł na 3. Po przekroczeniu limitu powinna nastąpić automatyczna blokada konta.

11. Użytkownik odpowiada za działania wykonywane w systemie przy użyciu jego loginu oraz za zachowanie hasła w tajemnicy.

12. Użytkownik ma obowiązek zmieniać hasło nie rzadziej niż co 3 miesiące.

13. Wszelkie zmiany hasła są wykonywane osobiście przez użytkownika.

PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE INFORMATYCZNYM

A. Zasady korzystania ze stacji roboczej

1. Przed rozpoczęciem pracy użytkownik obowiązany jest sprawdzić stan urządzeń oraz dokonać oględzin swojego stanowiska pracy w celu wykrycia ewentualnych nieprawidłowości mogących świadczyć o naruszeniu bezpieczeństwa danych osobowych.

2. W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko za zgodą i w towarzystwie użytkownika lub ADO.

3. Przed opuszczeniem stanowiska pracy należy chronić ekrany komputerów (ustawienie monitora powinno uniemożliwiać podgląd), a także dokumenty leżące na biurkach oraz w otwartych szafach.

4. Rozpoczęcie pracy