Wprowadzenie Polityki Bezpieczeństwa Systemów Informatycznych w Głównym Inspektoracie Transportu Drogowego.
Dz.Urz.GITD.2015.8
Akt obowiązującyZARZĄDZENIE Nr 8/2015
GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO
z dnia 12 lutego 2015 r.
w sprawie wprowadzenia Polityki Bezpieczeństwa Systemów Informatycznych w Głównym Inspektoracie Transportu Drogowego *
ZAŁĄCZNIK
POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH W GŁÓWNYM INSPEKTORACIE TRANSPORTU DROGOWEGO
POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH W GŁÓWNYM INSPEKTORACIE TRANSPORTU DROGOWEGO
Rozdział 1 Postanowienia ogólne
Rozdział 2 Zasady użytkowania systemów informatycznych
Zasady korzystania ze sprzętu informatycznego i zasobów informatycznych
Zasady korzystania z haseł
Zasady korzystania z usług internetowych i poczty elektronicznej
Rozpoczęcie, zakończenie, zawieszenie pracy w systemach informatycznych
Zasady użytkowania komputerów przenośnych
Zasady pracy zdalnej
Zgłaszanie incydentów i podatności
Odpowiedzialność użytkownika
Rozdział 3 Zarządzanie sprzętem i oprogramowaniem
Rozdział 4 Zarządzanie dokumentacją systemów informatycznych
Rozdział 5 Analiza ryzyka i dobór zabezpieczeń dla systemów informatycznych
Rozdział 6 Podstawowy poziom zabezpieczeń infrastruktury informatycznej GITD
Zabezpieczenia sieci informatycznej
Zabezpieczenia serwerów
Zabezpieczenia stacji roboczych
Zabezpieczenia komputerów przenośnych
Zabezpieczenia elektronicznych nośników danych
Systemy wspomagające
Rozdział 7 Zarządzanie kopiami bezpieczeństwa
Rozdział 8 Zarządzanie uprawnieniami użytkowników
Nadawanie uprawnień
Zmiana i odbieranie uprawnień
Dostęp podmiotów zewnętrznych
Zdalny dostęp do zasobów sieci wewnętrznej GITD
Przegląd uprawnień
Rozdział 9 Pozyskiwanie i rozwój systemów informatycznych
Umowy dotyczące systemów informatycznych
Planowanie systemów
Dopuszczenie systemów informatycznych do eksploatacji
Zarządzanie podatnościami
Przeglądy i konserwacja systemów informatycznych
Rozdział 10 Monitorowanie bezpieczeństwa systemów informatycznych
Rozdział 11 Audyty bezpieczeństwa systemów informatycznych
Rozdział 12 Szkolenia dla pracowników
Rozdział 13 Reakcja na incydenty
Załączniki:
Załącznik Nr 1.
Oświadczenie podmiotu zewnętrznego w związku uzyskaniem zdalnego dostępu do zasobów GITD
Załącznik Nr 2. Rejestr awarii i naruszeń bezpieczeństwa
Rozdział 1
Postanowienia ogólne
Postanowienia ogólne
Rozdział 2
Zasady użytkowania systemów informatycznych
Zasady użytkowania systemów informatycznych
Umyślne lub nieumyślne naruszenie przedstawionych zasad bezpieczeństwa systemów informatycznych lub niestosowanie się do poleceń służbowych w tym zakresie może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych.
Rozdział 3
Zarządzanie sprzętem i oprogramowaniem
Zarządzanie sprzętem i oprogramowaniem
Rozdział 4
Zarządzanie dokumentacją systemów informatycznych
Zarządzanie dokumentacją systemów informatycznych
Rozdział 5
Analiza ryzyka i dobór zabezpieczeń dla systemów informatycznych
Analiza ryzyka i dobór zabezpieczeń dla systemów informatycznych
Za określenie skutków utraty poufności, dostępności i integralności danych przetwarzanych w systemach informatycznych oraz akceptowalnego poziomu ryzyka odpowiadają KKO.
Rozdział 6
Podstawowy poziom zabezpieczeń infrastruktury informatycznej GITD
Podstawowy poziom zabezpieczeń infrastruktury informatycznej GITD
Obowiązują zabezpieczenia jak dla stacji roboczych. Dodatkowo wymagane jest:
Rozdział 7
Zarządzanie kopiami bezpieczeństwa
Zarządzanie kopiami bezpieczeństwa
Rozdział 8
Zarządzanie uprawnieniami użytkowników
Zarządzanie uprawnieniami użytkowników
Rozdział 9
Pozyskiwanie i rozwój systemów informatycznych
Pozyskiwanie i rozwój systemów informatycznych
Wymagania funkcjonalne nowego systemu informatycznego muszą być sformułowane przez właściwych KKO i przekazane do komórki organizacyjnej właściwej do spraw pomocy prawnej GITD.
Rozdział 10
Monitorowanie bezpieczeństwa systemów informatycznych
Monitorowanie bezpieczeństwa systemów informatycznych
Rozdział 11
Audyty bezpieczeństwa systemów informatycznych
Audyty bezpieczeństwa systemów informatycznych
Rozdział 12
Szkolenia dla pracowników
Szkolenia dla pracowników
Rozdział 13
Reakcja na incydenty
Reakcja na incydenty
Załącznik Nr 1
Oświadczenie podmiotu zewnętrznego w związku uzyskaniem zdalnego dostępu do zasobów GITD
Oświadczenie podmiotu zewnętrznego w związku uzyskaniem zdalnego dostępu do zasobów GITD
imię i nazwisko
.............................................
nazwa przedsiębiorcy
OŚWIADCZENIE
W związku z zawartą z Głównym Inspektoratem Transportu Drogowego umową nr ............, w imieniu przedsiębiorcy działającego pod firmą .....................................................................
z siedzibą w .........................................................., pod adresem ...............................................
.....................................................................................................................................................
NIP ............................................ Regon ........................................... oświadczam, że:
1. pracownikami, którzy prowadzić będą zdalne prace wynikające z umowy nr są:
1) ............................................................
2) ............................................................
2. wymienione wyżej osoby, które z racji wykonywania obowiązków wynikających z powołanej umowy dokonywać będą zdalnych prac w sieci wewnętrznej Głównego Inspektoratu Transportu Drogowego zostały zapoznane z obowiązującymi w Głównym Inspektoracie Transportu Drogowego zasadami pracy zdalnej I.
W załączeniu wypełnione przez wyżej wymienione osoby oświadczenia zawierające zobowiązanie do przestrzegania zasad pracy zdalnej w Głównym Inspektoracie Transportu Drogowego zgodnie z obowiązującym w Głównym Inspektoracie Transportu Drogowego wzorem.
Przedsiębiorca ponosi wszelką i nieograniczoną odpowiedzialność, w tym za wszelkie szkody lub starty faktyczne lub prawne jakie poniesie Główny Inspektorat Transportu Drogowego w przypadku naruszenia przez wymienione wyżej osoby lub jakichkolwiek naszych innych pracowników lub współpracowników obowiązujących w Głównym Inspektoracie Transportu Drogowego zasad pracy zdalnej.
............................., dnia ............................ ...............................................
(miejsce) (data) (pieczęć i podpis)
Załącznik Nr 2
Rejestr awarii i naruszeń bezpieczeństwa
Rejestr awarii i naruszeń bezpieczeństwa
Rejestr awarii i naruszeń bezpieczeństwa /Przykład/ | |||||||
data zdarzenia w formacie dd:mm:rr | czas wystąpienia zdarzenia zdarzenia hh:mm | kod zdarzenia: A - awaria, N - naruszenie bezpieczeństwa , | nazwa urządzenia/ adres IР | opis zdarzenia | poziom istotności zdarzenia | opis podjętych działań | Osoby zaangażowane w obsługę zdarzenia |
12.01.2014 | 10:20 | N | stacje robocze LAN | rozprzestrzenianie się wirusa | poważny | usunięcie wirusa, aktualizacja programów antywirusowych | |
19.01.2014 | 10:00 | A | serwer bazy danych | brak miejsca na dysku | krytyczny | usunięcie starych kopii danych, przywrócenie funkcjonalności |
- KRYTYCZNY - trwały brak możliwości prawidłowego funkcjonowania systemu informatycznego w wyniku katastrofy, awarii lub naruszenia bezpieczeństwa, w konsekwencji uniemożliwiający realizowanie procesów biznesowych, uzależnionych od usług właściwych dla danego systemu
- POWAŻNY - awaria komponentu pomocniczego systemu mogąca mieć wpływ na prawidłową realizację procesów biznesowych
- NISKI - faktyczne zakłócenie lub podejrzenie zagrożenia niemające bezpośredniego wpływu na prawidłowe działanie systemu, bezpieczeństwo przetwarzanych informacji lub poprawność wykonywania czynności/procesów, uzależnionych od usług właściwych dla danego systemu
Poziom istotności naruszenia bezpieczeństwa:
- KRYTYCZNY - jeżeli przewidywane skutki zdarzenia mogą uniemożliwić działanie procesów biznesowych GITD, lub doprowadzić do utraty poufności, dostępności lub integralności danych (w szczególności danych osobowych)
- POWAŻNY - jeżeli przewidywane skutki zdarzenia mogą w istotny sposób utrudnić realizację procesów biznesowych GITD w związku z obniżoną jakością usług dostarczanych przez systemy informatyczne
- NISKI - jeżeli przewidywane skutki zdarzenia są ograniczone w skali i zasięgu oraz jest mało prawdopodobne, aby negatywnie wpływały na działalność GITD