Bezpieczeństwo informatyczne

Zgodnie z art. 24 i 32 RODO Administrator powinien zapewnić odpowiednie środki techniczne oraz organizacyjne gwarantujące bezpieczeństwo przetwarzanych danych. Dla zapewnienia spełnienia powyższych przepisów należy powołać Administratora systemów informatycznych (ASI). Jeśli taka osoba nie zostanie wyznaczona, zakres czynności ASI wykonuje Administrator.

W art. 32 ust. 1d RODO na Administratora zostały nałożone określone obowiązki m.in.: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zgodnie z zasadą rozliczalności wynikającą z RODO, aby móc wykazać spełnienie powyższych wymogów należy przeprowadzać testy penetracyjne, służące do mierzenia odporności systemu informatycznego na ataki. Zalecamy, by taką symulację przeprowadzać (co kwartał lub co pół roku) i sprawozdanie z ich przeprowadzenia przesyłać również do Inspektora Ochrony Danych.

Każda używana aplikacja musi być odporna na zagrożenie dotyczące możliwości przeprowadzenia ataku hackerskiego (przełamania zabezpieczeń, które mogą doprowadzić do naruszenia poufności i/lub integralności i/lub dostępności danych osobowych). Zastosowanie zabezpieczeń tego typu systemów należy rozważyć w warstwie aplikacyjnej, warstwie bazodanowej, warstwie infrastruktury.

Art. 32 RODO wskazuje, że Administrator musi wdrożyć odpowiednie środki organizacyjne i techniczne, aby zapewnić odpowiedni stopień bezpieczeństwa danych w tym m.in. zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania. Należy korzystać z aktualnego oprogramowania zarówno komercyjnego, jak i tego, które można używać na licencji open source.

Zalecenia ogólne:

1. Aktualizację lub wymianę systemu Microsoft Windows 7 (od 15 stycznia 2020 r. Microsoft nie wspiera już wymienionego systemu).
2. Opracowanie planu ciągłości działania wraz z procedurą odtwarzania systemu po awarii np. związanej z systemami komputerowymi, awarią sieci itd. Dokumenty powinny być tworzone przy współpracy z osobą zajmującą się obszarem informatycznym.
3. Dokumentowanie tworzenia kopii zapasowych (dla systemów księgowych, kadrowych, dla innych systemów przetwarzających dane osobowe). Kopie zapasowe należy przechowywać w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. Zalecamy prowadzić rejestr kopii zapasowych oraz rejestr osób uprawnionych do dostępu do kopii.
4. Zabezpieczyć pliki użytkowników poprzez dokonywanie kopii zapasowej na innym urządzeniu w innej lokalizacji.
5. Pouczyć pracowników i zobowiązać do przechowywania danych na dyskach sieciowych. Takie rozwiązanie jest pomocne w sytuacji zastępowania pracownika w czasie jego nieobecności.
6. Nie przechowywać zbędnych nośników informacji zawierających dane oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane. Po upływie okresu ich użyteczności lub przechowywania, dane powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie. Należy sporządzić protokół zniszczenia uszkodzonych nośników.
7. Każdemu użytkownikowi systemu informatycznego nadać indywidualny identyfikator, tak aby, można było w sposób jednoznaczny wskazać użytkownika.
8. Nie stosować współdzielonych kont w systemach informatycznych również w sytuacji logowania do komputera/laptopa.

9. Każdy użytkownik jest zobowiązany do powiadomienia ASI lub jak nie został powołany Administratora o próbach logowania się do systemu osoby nieupoważnionej, jeśli system to sygnalizuje.
10. W przypadku, gdy użytkownik podczas próby zalogowania się zablokuje system, zobowiązany jest powiadomić o tym ASI lub jak nie został powołany Administratora.
11. Stosować indywidualne konta email dla użytkowników.
12. Wprowadzić zindywidualizowane stopki (podpisy)w programach pocztowych.
13. Stosować szyfrowanie danych, w sytuacji, gdy są przesyłane pliki z danymi osobowymi.
14. Jeżeli za zgodą Administratora komputery są wynoszone poza obszar przetwarzania danych dyski twarde komputerów powinny być zaszyfrowane.
15. przy używaniu pendrive zalecamy, by korzystać tylko z takich, które są wyposażone w opcję szyfrowania.
16. Skonfigurować ogólne skrzynki pocztowe (np.: sekretariat@, kadry@, księgowość@, itp.) tak, aby podczas nieobecności pracownika dostęp do wiadomości miała osoba zastępująca bez konieczności logowania na konto nieobecnego pracownika.
17. każdy serwer, sprzęt komputerowy, laptop, tablet, smartfon niezależnie od systemu operacyjnego musi posiadać zainstalowane oprogramowanie antywirusowe, które należy cyklicznie aktualizować.
18. Należy prowadzić okresowe przeglądy systemów informatycznych w celu określania ich poziomu sprawności, biorąc pod uwagę racjonalne wykorzystanie sprzętu oraz bezpieczeństwo danych przetwarzanych z jego wykorzystaniem.
19. Przeglądać i konserwować sprzęt komputerowy oraz nośniki informacji służących do przetwarzania danych w pomieszczeniach stanowiących obszar przetwarzania danych, przez: ASI lub firmy zewnętrzne na podstawie zawartych umów. W umowach powinno znajdować się postanowienie o powierzeniu danych.

20. W przypadku konieczności dokonania naprawy elementu infrastruktury systemu informatycznego przez osobę nieupoważnioną (np. zewnętrzny serwis informatyczny) w obszarze przetwarzania danych, wszelkie czynności powinny być dokonywane pod bezpośrednim nadzorem osób upoważnionych lub Administratora.
21. Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego pełni Administrator.
22. Należy przeprowadzić audyt systemów teleinformatycznych KRI (nie dotyczy podmiotów prywatnych), wymóg ten wynika z Rozporządzenia Rady Ministrów z 12.04. 2012 r. w sprawie Krajowych Ram Interoperacyjności minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz ustawy z 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Zgodnie z art. 2 ust. 1 pkt 2 ustawy z 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne – przepisy tej ustawy stosuje się m.in. do jednostek budżetowych realizujących zadania publiczne określone przez ustawę. W Rozdziale IV Minimalne wymagania dla systemów teleinformatycznych powyższego rozporządzenia jest informacja o zapewnieniu okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

23. 21.1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wskazuje, że podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

24. Strona internetowa oraz strona internetowa BIP powinny być zgodne z wymogami rozporządzenia KRI oraz WCAG 2.1. (nie dotyczy podmiotów prywatnych).  5 ustawy z dnia 4 kwietnia 2019 r. o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych wskazuje, że:
    • podmioty publiczne zapewniają dostępność cyfrową przez spełnienie przez ich stronę internetową lub aplikację mobilną wymagań określonych w załączniku do ustawy.
    • dostępność cyfrowa strony internetowej i aplikacji mobilnej polega na zapewnieniu ich funkcjonalności, kompatybilności, postrzegalności i zrozumiałości.
    • wymagania określone w załączniku do ustawy uznaje się za spełnione, gdy podmiot publiczny zapewnia dostępność cyfrową z uwzględnieniem wymagań określonych w pkt 9, 10 i 11 normy EN 301 549 V2.1.2.
25. Zalecamy uruchamianie dwóch sieci bezprzewodowych – pierwszej, przeznaczonej do użytku wewnętrznego i podłączonej do sieci lokalnej (a przez nią do Internetu), oraz drugiej dla gości. Ta ostatnia jest podłączona do internetu, ale już nie do sieci lokalnej. W przypadku sieci bezprzewodowych mających połączenie z siecią lokalną zalecane jest podłączanie ich przez zaporę sieciową (ang. firewall) oraz wykorzystanie indywidualnych danych do logowania (nazwa użytkownika i hasło) dla każdego użytkownika. Sieć dla gości (np. osób korzystających z pomieszczeń wynajmowanych) nie powinna mieć żadnego połączenia z siecią lokalną – daje ona po prostu dostęp do internetu. Powinna być ona również szyfrowana a wspólne dla wszystkich hasło można udostępniać uprawnionym osobom np. za pośrednictwem tablicy ogłoszeń, informacji na recepcji itp.

Zalecenia strona internetowa:

1. Zakładając domenę strony internetowej nie należy korzystać z bezpłatnych kont pocztowych. Dane kontaktowe abonenta domeny strony internetowej nie powinny należeć do osoby fizycznej.
2. Adres, pod którym utrzymywana jest strona (tzw. domena internetowa), powinien być zarejestrowany na podmiot.
3. Należy regularnie aktualizować systemy zarządzania treścią, ich wtyczki oraz skórki. Jeśli strona nie jest oparta o tego typu system, aktualizować jej komponenty, jak np. biblioteki JavaScript.
4. Należy zadbać o poprawne wystawienie i ważność certyfikatów. Konfigurować automatyczne przekierowanie strony z protokołu http:// na https://.
5. Zwracać szczególną uwagę na pliki wystawione publicznie (przez serwer HTTP czy FTP), zwłaszcza na to, czy nie zawierają wrażliwych informacji, takich jak dane osobowe czy dane logowania.
6. Zapewnić odpowiednią izolację usług od Internetu i nie pozwalać na dostęp z zewnątrz do usług, do których nie jest to niezbędne (np. baz danych).
7. Uczulić wszystkie osoby, mające dostęp do wprowadzania zmian na stronie, na używanie silnych haseł.
8. Zadbać o poprawność i aktualność danych w rejestrze domen.
9. Należy na stronie internetowej oraz BIP (BIP nie dotyczy podmiotów prywatnych) umieścić certyfikat SSL. Nieumieszczenie certyfikatu SSL powoduje, że:
   • dane logowania do CMS strony nie są zabezpieczone, co daje łatwą możliwość przejęcia tych informacji, zalogowania się na stronie (w szczególności z uprawnieniami Administratora) i wstrzyknięcia złośliwego oprogramowania,
   • jeżeli strona jest powiązana z bazami danych, do których są przesyłane dane z formularzy kontaktowych, w przypadku braku certyfikatu SSL, drastycznie wzrasta ryzyko kradzieży tych danych.
10. Na stronie internetowej należy umieścić politykę prywatności, jeżeli za pośrednictwem strony BIP (BIP nie dotyczy podmiotów prywatnych) są zbierane dane osobowe, politykę prywatności należy umieścić również na stronie BIP.
11. Po wejściu na stronę internetową lub stronę BIP (BIP nie dotyczy podmiotów prywatnych) powinien się wyświetlać komunikat o plikach cookies.

Wybór firmy – dostawca, hostingodawca strony internetowej.

Zgodnie z zapisami RODO, Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Obowiązek ten został wyjaśniony bardziej szczegółowo w motywie 81 do RODO, w którym wskazano, że Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje co do wiedzy fachowej, wiarygodności i zasobów. Administrator powinien sprawdzić powyższe gwarancje przed powierzeniem podmiotowi przetwarzającemu czynności przetwarzania.  W tym celu można zastosować udostępnioną Państwu kartę oceny podmiotu przetwarzającego.

1. Zalecamy, by w umowie głównej z hostingodawcą strony internetowej umieścić zapisy wskazujące kto odpowiada za tworzenie kopii zapasowych oprogramowania serwera, aplikacji i bazy danych, jaka jest częstotliwość ich tworzenia, kto odpowiada za odtworzenie kopii zapasowych w razie awarii, za wykonywanie aktualizacji systemów,  za tworzenie i zapisywane logów systemowych  oraz za ich przechowywanie od dnia ich zapisu, przez okres wskazany w przepisach odrębnych, a w przypadku braku przepisów odrębnych przez dwa lata. Umowa powinna określać również gwarancje jakie daje dostawca odnośnie bezpieczeństwa fizycznego serwerów.
2. Zalecamy wyznaczenie osoby odpowiedzialnej za utrzymanie serwera i strony.
3. Oprogramowanie serwera obsługującego stronę musi być bezwzględnie aktualizowane – co najmniej w cyklu miesięcznym.
4. Zalecamy przeprowadzanie testowania bezpieczeństwa strony internetowej.

Wytyczne dla pracowników

(prosimy o przekazanie poniższych zaleceń pracownikom.)

1. Poczta elektroniczna powinna służyć wyłącznie do wykonywania obowiązków pracowniczych/służbowych.
2. Wysyłając email prosimy zwracać szczególną uwagę na poprawność adresu odbiorcy. Jeżeli za pośrednictwem poczty będą wysyłane pliki zawierające dane osobowe do podmiotów zewnętrznych, należy pouczyć pracowników i obowiązać do ich spakowania i opatrzenia hasłem. Hasło należy przesłać odrębnym środkiem komunikacji (np. SMS).
3. Wskazujemy na konieczność stosowania szyfrowania, w tym np. szyfrowania plików załączonych do email (oczywiście nie w każdym przypadku, ale gdy drogą email są wysyłane dane osobowe np. dane pracowników, uczniów, rodziców, ,wnioskodawców, kontrahentów, informacje dotyczące wynagrodzeń, informacje dotyczące danych wrażliwych itd.). Należy pamiętać, żeby hasło pozwalające odszyfrować dany plik, przesłać do osoby zainteresowanej innym kanałem komunikacji (np. przez SMS lub przekazać przez telefon).
4. W sytuacji wysyłania wiadomości email do wielu adresatów jednocześnie, należy używać metody „Ukryte do wiadomości” – UDW/BCC (ang. blind carbon copy).
5. Należy zadbać o unikalność hasła stosowanego do uwierzytelnienia użytkownika w systemie informatycznym. Nie należy stosować jednego hasła w kilku miejscach. Hasło nie może być tożsame z identyfikatorem użytkownika.

6. Należy pouczyć pracowników, by nie zostawiali haseł, identyfikatorów w miejscach dostępnych dla osób nieuprawnionych.
7. Osoba korzystająca z systemu informatycznego jest zobowiązana do zachowania polityki czystego ekranu, tj. zapewnienia, by osoby nieupoważnione nie miały wglądu w treści wyświetlane na monitorach lub ekranach komputerów.
8. Osoba korzystająca z systemu informatycznego jest zobowiązana do manualnego uruchamiania wygaszacza ekranu chronionego hasłem w każdej sytuacji, gdy pozostawia system informatyczny bez nadzoru.
9. Należy pouczyć pracownika, iż w sytuacji, gdy na skrzynkę email otrzyma podejrzany załącznik np. z fakturą VAT, wezwaniem do zapłaty, informacją o aktualizacji danych do serwisu internetowego np. banku i link do aktualizacji, informację o wszczęciu kontroli przez Urząd Skarbowy lub ZUS powinien:
   • nie otwierać podejrzanego załącznika, nie klikać w niepewny link,
   • przeanalizować, czy oczekuje na fakturę, email z danej firmy lub instytucji,
   • z dużą ostrożnością podchodzić do wiadomości, których adresat nie jest znany danej osobie.
10. Należy wskazać osobie korzystającej ze sprzętu teleinformatycznego, że:
    • jest zobowiązana do użytku sprzętu w sposób zgodny z jego przeznaczeniem oraz do ochrony sprzętu przed zniszczeniem, utratą lub uszkodzeniem,
    • jest zobowiązana do informowania Administratora tego systemu o każdej sytuacji zniszczenia, utraty lub uszkodzenia powierzonego sprzętu,
    • nie może instalować samowolnie żadnego oprogramowania w systemie informatycznym ani próbować złamać lub uzyskać uprawnienia administracyjne w tym systemie,
    • nie może samowolnie otwierać (demontować) sprzętu, instalować dodatkowych urządzeń (np. twardych dysków, pamięci) lub podłączać jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego (w tym prywatnych urządzeń, nawet jedynie w celu ładowania baterii tych urządzeń),
    • jest zobowiązana do usuwania plików z nośników/dysków, do których mają dostęp inni użytkownicy nieupoważnieni do dostępu do takich plików,
    • nie może samodzielnie podłączać jakichkolwiek urządzeń do portów komputera, w szczególności portów USB.
11. Zalecamy, by nie przesyłać korespondencji służbowej na prywatne skrzynki pocztowe użytkownika lub innych osób.
12. W naszej opinii zabroniona powinna być zmiana konfiguracji poczty lub programu pocztowego do automatycznego przekierowywania wiadomości email na adres zewnętrzny.
13. Należy zobowiązać użytkowników do niezwłocznego poinformowania ASI lub Administratora o każdym przypadku powiadomienia o konieczności aktualizacji oprogramowania.
14. Zalecamy, by wskazać pracownikom, że zabronione jest wyłączanie oprogramowania antywirusowego lub zapory w systemie informatycznym.
15. Należy pouczyć osoby przetwarzające dane, że są one uprawnione do korzystania z dostępu do sieci internet jedynie w celu wykonywania obowiązków służbowych.
16. Zalecamy, by nie pobierać na dysk twardy komputera oraz nie instalować i nie uruchamiać jakichkolwiek plików programów.
17. Nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł.
18. Należy zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę (np. na stronę banku, portalu społecznościowego, e-sklepu, poczty email) lub podania naszych loginów i haseł, PIN-ów, numerów kart płatniczych przez internet.