Minimalny standard bezpieczeństwa dla systemów informatycznych służących do przetwarzania danych osobowych

1.  Wymagania względem obiektów i obszarów, w których są przetwarzane dane osobowe:

  • Rozbudowany system monitoringu elektronicznego, w którego skład powinny wchodzić niżej wymienione systemy:

a)  system sygnalizacji włamania i napadu (SSWiN), który będzie spełniał poniższe wymagania:

–   co najmniej system stopnia 2 określony w normie PN-EN 50131-1 i zapewniający identyfikację użytkowników włączających i wyłączających system lub jego część,

–   objęcie ochroną miejsc, w których są przechowywane informacje i dane osobowe, a także całej granicy obszaru (okna, drzwi i inne otwory),

–   sygnalizowanie co najmniej:

–   otwarcie drzwi, okien i innych zamknięć chronionego obszaru,

–   poruszanie się w chronionym obszarze (pułapkowo – nadzór nad wybranymi miejscami, w których występuje wysokie prawdopodobieństwo wykrycia),

–   stan systemu, w tym generowane ostrzeżenia i alarmy, jest stale monitorowany przez personel bezpieczeństwa;

b)  elektroniczny system kontroli dostępu (SKD), który będzie współpracował z systemem rejestracji czasu pracy (RCP) oraz spełniał poniższe wymagania:

–   sterowanie trwałymi barierami ograniczającymi dostęp do obiektów administracyjno-biurowych Agencji Mienia Wojskowego, obejmującymi wszystkie wejścia i wyjścia kontrolowanego obszaru chronionego,

–   spełnianie co najmniej wymagania systemu w klasie rozpoznania 2, a w klasie dostępu B – określone w normie PN-EN 50133-1,

c)  system telewizji przemysłowej (CCTV) obejmujący swoim zasięgiem wejścia i wyjścia do i z budynku oraz monitoring przynajmniej pomieszczeń serwerowni, archiwum, który umożliwia rejestrację obrazu w technologii cyfrowej z wykorzystaniem kamer IP o rozdzielczości 2 Mpx i przechowywanie zarejestrowanego zapisu przez czas nie krótszy niż 30 dni;

d)  system sygnalizacji pożarowej (SAP).

  • Ochrona fizyczna budynków administracyjno-biurowych realizowana poprzez jeden z poniższych elementów lub przez stosowanie ich odpowiedniej kombinacji (kompilacji) uzależnionej od organizacji kompleksowego systemu ochrony:

a)  koncesjonowany podmiot ochrony osób i mienia, o którym mowa w ustawie z dnia 22 sierpnia
1997 r. o ochronie osób i mienia (Dz. U. z 2017 r., poz. 2213), który będzie wykonywał zadania ochrony fizycznej w postaci stałych posterunków ochronnych w rejonie obiektów AMW,

b)  grupa interwencyjna z jak najkrótszym czasem dojazdu, wystawiana przez podmiot, o którym mowa w punkcie a,

c)  centrum monitoringu elektronicznych systemów zabezpieczeń spełniające wymagania określone w punkcie a, monitorujące sygnał przesyłany przez system sygnalizacji włamania i napadu i podejmujące właściwe działania na wypadek otrzymania sygnału z SSWiN.

Zainstalowanie pilotów antynapadowych umożliwiających w sytuacjach nadzwyczajnych (zagrożenia) wezwanie ochrony budynku lub grupy interwencyjnej.

  • Zabezpieczenie wyjść dachowych lub innych przejść technicznych umożliwiających przedostanie się do budynków administracyjno-biurowych.
  • Drzwi wejściowe do budynków administracyjno--biurowych z certyfikatami na dwa zamki atestowane.
  • Rozmieszczenie punktów kontroli obchodów on­line pracownika ochrony w obiektach, gdzie znajdują
  • się posterunki ochrony fizycznej wykonujące pa­trole i obchody po terenie obiektu (budynku). Liczba
  • rozmieszczonych punktów kontroli obchodu musi być dostosowana do wielkości obiektu i trasy patrolowania, tak by dawała gwarancję wykonania obchodu po terenie całego chronionego obiektu lub budynku.
  • Jeżeli budynek administracyjno-biurowy nie znajduje się na terenie ogrodzonym i chronionym – zabezpieczenie otworów okiennych w następujący sposób:

a)  otwory okienne w pomieszczeniach zlokalizowanych w piwnicy powinny być zabezpieczone kratami lub folią antywłamaniową,

b)  otwory okienne w pomieszczeniach zlokalizowanych na parterze powinny być wyposażone w czujki ruchu lub folię antywłamaniową, lub kraty, lub roletę antywłamaniową, lub atestowane okna antywłamaniowe.

  • Wszystkie drzwi w budynkach administracyjno-biurowych muszą mieć możliwość zamykania ich na klucz, a klucze od tych pomieszczeń powinny być deponowane w sposób uniemożliwiający ich użycie przez osoby nieuprawnione, niebędące użytkownikami tych pomieszczeń.

2.  Wymagania dotyczące pomieszczeń archiwum:

  • Pomieszczenia archiwum muszą być zabezpieczone przed włamaniem i dostępem osób postronnych poprzez zastosowanie następujących zabezpieczeń:

a)  elektroniczne systemy zabezpieczeń zgodnie z § 2 ust. 1,

b)  dodatkowo system sygnalizacji włamania i napadu powinien umożliwiać monitoring pomieszczeń archiwum na wypadek ich zalania lub nadmiernego zawilgocenia,

c)  drzwi antywłamaniowe spełniające co najmniej wymagania klasy 3 lub wyższej określone w Polskiej Normie PN-EN 1627, wyposażone w 2 zamki spełniające co najmniej wymagania klasy 4 lub wyższej określone w Polskiej Normie PN-EN 12209,

d)  okna zabezpieczone folią antywłamaniową lub kratą, lub roletą antywłamaniową, lub atestowane okna antywłamaniowe; okna powinny być zabezpieczone przed podglądem wnętrza pomieszczenia za pomocą żaluzji pionowych lub rolet wewnętrznych.

  • Pomieszczenia archiwum powinny być wyposa­żone w:

a)  autonomiczny system gaszenia ognia lub ręczny system gaszenia ognia, lub

b)  podręczny sprzęt ochrony przeciwpożarowej,

c)  dodatkowo drzwi stosowane do zabezpieczenia archiwum powinny spełniać wymogi odporności
ogniowej.

  • Pomieszczenia archiwum powinny być wyposażone w urządzenia kontrolujące temperaturę i wilgotność powietrza (systemy klimatyzacji, wentylacji itp.).

3.  Wymagania dotyczące pomieszczeń serwerowni:

  • Pomieszczenia serwerowni muszą być zabezpieczone przed włamaniem i dostępem osób postronnych poprzez zastosowanie następujących zabezpieczeń:

a)  elektroniczne systemy zabezpieczeń zgodnie z § 2 ust. 1,

b)  dodatkowo system sygnalizacji włamania i napadu powinien umożliwiać monitoring pomieszczeń archiwum na wypadek ich zalania lub nadmiernego zawilgocenia,

c)  drzwi antywłamaniowe spełniające co najmniej wymagania klasy 3 lub wyższej określone w Polskiej Normie PN-EN 1627, wyposażone w 2 zamki spełniające co najmniej wymagania klasy 4 lub wyższej określone w Polskiej Normie PN-EN 12209,

d)  okna zabezpieczone folią antywłamaniową lub kratą, lub roletą antywłamaniową, lub atestowane okna antywłamaniowe; okna powinny być zabezpieczone przed podglądem wnętrza pomieszczenia za pomocą żaluzji lub rolet wewnętrznych.

  • Pomieszczenia serwerowni powinny być wyposażone w:

a)  autonomiczny system gaszenia ognia lub ręczny system gaszenia ognia, lub

b)  podręczny sprzęt ochrony przeciwpożarowej,

c)  dodatkowo drzwi stosowane do zabezpieczenia archiwum powinny spełniać wymogi odporności
ogniowej.

  • Pomieszczenia serwerowni powinny być wyposażone w urządzenia kontrolujące temperaturę i wilgotność powietrza (systemy klimatyzacji, wentylacji itp.).
  • Pomieszczenia służbowe zajmowane przez pracowników administrujących systemy informatyczne w biurze prezesa oraz w oddziałach regionalnych powinny być zabezpieczone przed możliwością nieuprawnionego wejścia do tych pomieszczeń osób postronnych oraz nieuprawnionych pracowników. Wejścia do tych pomieszczeń powinny być wyposażone przynajmniej w samozamykacz, zamek szyf­rowy lub jednostronną kontrolę dostępu.