Zasady bezpieczeństwa

Zasady bezpiecznego użytkowania sprzętu IT, dysków, programów

  1. W przypadku, gdy użytkownik przetwarzający dane osobowe, zwany dalej: "użytkownikiem", korzysta ze sprzętu IT jest zobowiązany do jego zabezpieczenia przed zniszczeniem lub uszkodzeniem. Za sprzęt IT rozumie się: komputery stacjonarne, monitory, drukarki, skanery, ksera, laptopy, tablety, smartfony oraz inny sprzęt elektroniczny służący do celów służbowych.
  2. Użytkownik jest zobowiązany każdorazowo zgłosić zagubienie, utratę lub zniszczenie powierzonego mu sprzętu IT.
  3. Samowolne instalowanie, odinstalowywanie, otwieranie lub demontaż sprzętu IT, instalowanie dodatkowych urządzeń (np. twardych dysków, pamięci) lub podłączanie jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
  4. Użytkownik jest zobowiązany do uniemożliwienia osobom nieuprawnionym (np. interesantom, klientom, pracownikom innych działów) wglądu do danych wyświetlanych na monitorach komputerowych - tzw. "Polityka czystego ekranu".
  5. Przed czasowym opuszczeniem stanowiska pracy, użytkownik jest zobowiązany wywołać blokowany hasłem wygaszacz ekranu ("WINDOWS" + "L") lub wylogować się z systemu bądź z programu. Jeżeli tego nie uczyni, po upływie 5 minut system automatycznie aktywuje wygaszacz.
  6. Po zakończeniu pracy, użytkownik jest zobowiązany: 1) wylogować się z systemu informatycznego, a jeśli to wymagane - następnie wyłączyć sprzęt komputerowy; 2) zabezpieczyć stanowisko pracy, w szczególności wszelkie nośniki magnetyczne i optyczne, na których znajdują się dane osobowe.
  7. Użytkownik jest zobowiązany do usuwania plików z nośników/dysków, do których mają dostęp inni użytkownicy nieupoważnieni do dostępu do takich plików (np. podczas współużytkownania komputerów).
  8. Jeśli użytkownik jest uprawniony do niszczenia nośników, powinien TRWALE zniszczyć sam nośnik lub trwale usunąć z niego dane (np. poprzez zniszczenie płyt DVD w niszczarce czy zniszczenie twardego dysku/pendrive np. młotkiem).
  9. Użytkownicy komputerów przenośnych, na których znajdują się dane osobowe lub z dostępem do danych osobowych przez Internet są zobowiązani do stosowania przedmiotowych zasad bezpieczeństwa.

Zarządzanie uprawnieniami - procedura rozpoczęcia, zawieszenia i zakończenia pracy

  1. Każdy użytkownik (np. komputera stacjonarnego, laptopa, dysku sieciowego, programów, w których użytkownik pracuje, poczty elektronicznej) musi posiadać swój własny indywidualny identyfikator (login) do logowania się.
  2. Tworzenie kont użytkowników wraz z uprawnieniami (np. komputera stacjonarnego, laptopa, dysku sieciowego, programów, w których użytkownik pracuje, poczty elektronicznej) odbywa się na polecenie przełożonych a wykonywane jest przez informatyków - administratorów.
  3. Użytkownik nie może samodzielnie zmieniać swoich uprawnień (np. zostać administratorem na swoim komputerze).
  4. Każdy użytkownik posiada swój własny indywidualny identyfikator. Zabronione jest umożliwianie innym osobom pracy na koncie innego użytkownika.
  5. Zabrania się pracy wielu użytkowników na wspólnym koncie.
  6. Użytkownik (np. komputera stacjonarnego, laptopa, dysku sieciowego, programów, w których użytkownik pracuje, poczty elektronicznej) rozpoczyna pracę z użyciem identyfikatora i hasła.
  7. Użytkownik jest zobowiązany do powiadomienia informatyków - administratorów o każdorazowych próbach logowania się do systemu osoby nieupoważnionej, jeśli system to sygnalizuje.
  8. W przypadku, gdy użytkownik podczas próby zalogowania się zablokuje system, jest zobowiązany powiadomić o tym informatyków - administratorów.
  9. Zabrania się uruchamiania jakiejkolwiek aplikacji lub programu na prośbę innej osoby, o ile nie została ona zweryfikowana jako pracownik Centrum Informatycznego. Dotyczy to zwłaszcza programów przesłanych za pomocą poczty elektronicznej lub wskazanych w formie odnośnika internetowego.

Polityka haseł

  1. Hasła powinny składać się z minimalnie 12 znaków.
  2. Hasła powinny zawierać duże litery + małe litery + cyfry (lub znaki specjalne).
  3. Hasła nie mogą być łatwe do odgadnięcia. Nie powinny być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion i nazwisk osób bliskich, imion zwierząt, popularnych dat, popularnych słów, typowych zestawów np.: "123456", "qwerty".
  4. Hasła nie powinny być ujawnianie innym osobom. Nie należy: zapisywać haseł na kartkach i w notesach, naklejać na monitorze komputera, trzymać pod klawiaturą lub w szufladzie - w miejscach, do których mogą mieć dostęp osoby nieuprawnione.
  5. W przypadku ujawnienia hasła - należy natychmiast go zmienić.
  6. Hasła powinny być zmieniane co 90 dni.
  7. Jeżeli system nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła.
  8. Użytkownik systemu w trakcie pracy w aplikacji może zmienić swoje hasło.
  9. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności.
  10. Zabrania się używania w serwisach internetowych takich samych lub podobnych haseł jak w systemie informatycznym Uniwersytetu.
  11. Zabrania się stosowania tego samego hasła jako zabezpieczenia w dostępie do różnych systemów.
  12. Zabrania się definiowania haseł, w których jeden człon pozostaje niezmienny a drugi zmienia się według przewidywalnego wzorca (np.: "Anna001", "Anna002", "Anna003", itd.). Nie powinno się też stosować haseł, w których któryś z członów stanowi imię, nazwę, numer miesiąca albo inny możliwy do odgadnięcia klucz.

Zasady wynoszenia nośników z danymi osobowymi na zewnątrz

  1. Użytkownicy nie mogą wynosić na zewnątrz Uniwersytetu wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody pracodawcy/zleceniodawcy. Do takich nośników zaliczają się np.: wymienne twarde dyski, pendrive, płyty CD, DVD, pamięci typu Flash.
  2. Dane osobowe wynoszone poza Uniwersytet muszą być zaszyfrowane (np. szyfrowane dyski, zahasłowane pliki).
  3. Należy zapewnić bezpieczne przewożenie dokumentacji papierowej np. w plecakach, teczkach lub torbach.
  4. Należy korzystać ze sprawdzonych firm kurierskich.
  5. W przypadku, gdy dokumenty przewozi pracownik/zleceniobiorca, jest zobowiązany do zabezpieczenia przewożonych dokumentów przed zagubieniem, kradzieżą czy jakimkolwiek uszkodzeniem.
  6. W sytuacji przekazywania nośników z danymi osobowymi poza obszar Uniwersytetu należy stosować następujące zasady bezpieczeństwa:

    1. adresat powinien zostać powiadomiony o przesyłce;
    2. dane osobowe przed wysłaniem powinny zostać zaszyfrowane a hasło podane adresatowi inną drogą;
    3. stosować bezpieczne koperty depozytowe;
    4. przesyłkę należy przesyłać przez kuriera.

Zasady korzystania z Internetu

  1. Użytkownik jest zobowiązany do korzystania z Internetu w celach służbowych.
  2. Zabrania się nagrywania na dysk twardy komputera oraz uruchamiania jakichkolwiek programów nielegalnych oraz plików pobranych z niewiadomego źródła. Pliki takie powinny być zapisywane tylko za każdorazową zgodą osoby upoważnionej do administrowania infrastrukturą IT (np. administrator systemów informatycznych - ASI) i jedynie w uzasadnionych przypadkach.
  3. Użytkownik ponosi odpowiedzialność za szkody spowodowane przez oprogramowanie instalowane z Internetu.
  4. Zabrania się wchodzenia na strony internetowe, na których prezentowane są informacje o charakterze przestępczym, hackerskim, pornograficznym lub innym zakazanym przez obowiązujące prawo (na większości stron internetowych tego typu jest zainstalowane szkodliwe oprogramowanie infekujące w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem).
  5. Nie należy w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł.
  6. W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę internetową, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka) oraz adresu www rozpoczynającego się frazą: "https:". Dla pewności należy "kliknąć" na ikonkę kłódki i sprawdzić, czy właścicielem certyfikatu jest wiarygodny właściciel.
  7. Należy zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę (np. na stronę banku, portalu społecznościowego, e - sklepu, poczty mailowej) lub podania loginów czy haseł, PIN - ów, numerów kart płatniczych przez Internet. Szczególnie dotyczy to żądania podania takich informacji przez rzekomy bank.
  8. Zabrania się samowolnego podłączania do komputerów modemów, telefonów komórkowych i innych urządzeń dostępowych. Zabronione jest też łączenie się przy pomocy takich urządzeń z Internetem w chwili, gdy komputer użytkownika podłączony jest do sieci Uniwersytetu.
  9. O każdorazowym problemie związanym z infrastrukturą IT należy kontaktować się z osobami uprawnionymi z Centrum Informatycznego.

Zasady korzystania z poczty elektronicznej

  1. Przesyłanie danych osobowych z użyciem maila poza Uniwersytet może odbywać się tylko przez osoby do tego upoważnione.
  2. W przypadku przesyłania danych osobowych poza Uniwersytet należy wysyłać pliki zaszyfrowane/spakowane (np. programem 7 zip) i zahasłowane, gdzie hasło powinno być przesłane do odbiorcy telefonicznie, SMS lub w innej właściwej formie.
  3. W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 12 znaków, tj.: duże i małe litery, cyfry lub znaki specjalne.
  4. Użytkownicy powinni każdorazowo zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.
  5. Zaleca się, aby użytkownik podczas przesyłania danych osobowych mailem zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata.
  6. Użytkownicy nie powinni rozsyłać "niezawodowych" maili w formie "łańcuszków szczęścia", np. życzenia świąteczne adresowane do 230 osób.
  7. Podczas wysyłania maili do wielu adresatów zewnętrznych jednocześnie, należy użyć metody: "Ukryte do wiadomości - UDW". Wysyłanie maili w takiej sytuacji z użyciem opcji: "Do wiadomości" stanowi naruszenie zasad ochrony danych osobowych.
  8. Użytkownicy powinni okresowo kasować niepotrzebne maile.
  9. Konta pocztowe służbowe są odseparowane od poczty prywatnej.
  10. Mail służbowy jest przeznaczony do wykonywania obowiązków służbowych i jest własnością pracodawcy/zleceniodawcy, który może korzystać z narządzi kontrolnych w tym zakresie.
  11. Zakazuje się wysyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób, za wyjątkiem realizacji obowiązków służbowych.
  12. Użytkownicy mają prawo korzystać z poczty mailowej dla celów prywatnych wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum - w uzasadnionych przypadkach.
  13. Korzystanie z maila dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych.
  14. Zabrania się użytkownikom poczty elektronicznej konfigurowania swoich kont pocztowych do automatycznego przekierowywania wiadomości na adres prywatny.
  15. Przy korzystaniu z maila, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.
  16. Użytkownicy nie mają prawa korzystać z maila w celu rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec powszechnie obowiązujących zasad postępowania.
  17. Użytkownik bez zgody pracodawcy/zleceniodawcy nie ma prawa wysyłać wiadomości zawierających dane osobowe dotyczące pracodawcy/zleceniodawcy, jego pracowników, interesantów, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.

Ochrona antywirusowa

  1. Użytkownicy są zobowiązani do skanowania plików wprowadzanych z zewnętrznych nośników programem antywirusowym, jeśli system antywirusowy taką funkcję posiada.
  2. Zakazane jest wyłączanie systemu antywirusowego podczas pracy systemu informatycznego przetwarzającego dane osobowe.
  3. W przypadku stwierdzenia zainfekowania systemu lub pojawienia się komunikatów np.: "Twój system jest zainfekowany!", "zainstaluj program antywirusowy", użytkownik jest zobowiązany poinformować niezwłocznie o tym fakcie osobę upoważnioną z Centrum Informatycznego.

Udostępnianie danych na dysku google

  1. Przesyłanie danych osobowych z użyciem dysku Google poza Uniwersytet może odbywać się tylko przez osoby do tego upoważnione.
  2. W przypadku przesyłania danych osobowych poza Uniwersytet należy wysyłać pliki zaszyfrowane/spakowane (np. programem 7 zip,) i zahasłowane, gdzie hasło powinno być przesłane do odbiorcy telefonicznie, SMS lub w innej właściwej formie.
  3. W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 12 znaków, tj.: duże i małe litery, cyfry lub znaki specjalne.
  4. Użytkownicy powinni każdorazowo zwracać szczególną uwagę na poprawność adresu odbiorcy dokumentu.
  5. Przy korzystaniu z udostępniania plików, użytkownicy mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.
  6. Użytkownicy nie mają prawa korzystać z dysku Google w celu rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec powszechnie obowiązujących zasad postępowania.