Wybory
Solidarni z Ukrainą - ми з Вами

Wytyczne

Wytyczne dla pracowników administracyjnych pracujących z systemem USOS

Zarządzenie UMK Z/13/2008 (por. Regulacje prawne) wprowadza obowiązek prowadzenia dokumentacji przebiegu studiów w systemie USOS. USOS staje się więc jednym z najważniejszych i niezbędnych systemów informacyjnych Uczelni. Skutkiem takiego stanu rzeczy jest powstanie uzależnienia Uczelni od poprawności jego działania, a w szczególności jego bezpieczeństwa.

USOS jest również zbiorem danych osobowych i z tego powodu podlega rygorom ustawy o ochronie danych osobowych (UODO) oraz rozporządzenia MSWiA 1024/2004, które nakładają na administratora zbioru obowiązek dbałości o jego bezpieczeństwo.

Systemy i usługi informacyjne są podatne na zagrożenia utraty bezpieczeństwa i nie jest możliwe uzyskanie ich bezpieczeństwa wyłącznie za pomocą środków technicznych. Działania zmierzające do uzyskania bezpieczeństwa muszą być wspierane przez wszystkich pracowników obsługujących system poprzez przestrzeganie omówionych poniżej zasad postępowania.

Zasady te mają na celu zapewnienie bezpieczeństwa informacji, tzn.

  • zapewnienie poufności danych, czyli zapewnienia dostępu do informacji tylko osobom upoważnionym,
  • zapewnienie integralności, czyli zapewnienia dokładności i kompletności informacji oraz metod jej przetwarzania,
  • zapewnienie upoważnionym osobom dostępu do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

Regulacje prawne

Normami prawnymi regulującymi zasady postępowania w pracy z USOS są:

  1. [UMK Z/13/2008] zarządzenie Nr 13 Rektora Uniwersytetu Mikołaja Kopernika w Toruniu z dnia 28 stycznia 2008 r. w sprawie prowadzenia dokumentacji przebiegu studiów z wykorzystaniem Uniwersyteckiego Systemu Obsługi Studiów,
  2. [UMK Z/58/2004] zarządzenie Nr 58 Rektora Uniwersytetu Mikołaja Kopernika w Toruniu z dnia 15 grudnia 2004 r. w sprawie ochrony danych osobowych w systemach informatycznych,
  3. [UMK Z/54/2005] zarządzenie Nr 54 Rektora Uniwersytetu Mikołaja Kopernika w Toruniu z dnia 19 lipca 2005 r. w sprawie używania oprogramowania komputerowego,
  4. [MNiSzW 224/1634Uwaga 1] rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 2 listopada 2006 r. w sprawie dokumentacji przebiegu studiów (Dz. U. Nr 224 poz. 1634),
  5. [UODOUwaga 1] ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133 poz. 883 z późn. zm.),
  6. [MSWiA 1024/2004Uwaga 1] rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).

Zasady pracy z systemem

Dostęp do USOS

W systemie USOS mogą pracować jedynie te osoby, którym zgodnie z zasadami określonymi w zarządzeniu UMK Z/58/2004, kierownik odpowiedniej jednostki organizacyjnej udzielił pisemnego upoważnienia do pracy z USOS i które podpisały zobowiązanie, będące częścią tego upoważnienia. Upoważnienie wskazuje osobę, której ono dotyczy, określa zakres jej uprawnień poprzez podanie roli w systemie zgodnej z katalogiem ról w nim zdefiniowanych oraz określa okres ważności upoważnienia.

Zgodnie z art. 39 ust. 2 UODO, osoby które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.

Wszelkie zauważone przypadki naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu należy zgłaszać administratorowi USOS.

Podobnie należy postępować przy zauważeniu słabości bezpieczeństwa systemu lub stwierdzeniu jego niewłaściwego lub nietypowego działania.

Konto i hasło

Na podstawie upoważnienia administrator systemu USOS przydziela osobie upoważnionej konto systemu. Przydział konta obejmuje ustalenie:

  • unikatowego identyfikatora osoby w systemie (tzn. identyfikatora, którego nie można użyć dla żadnej innej osoby),
  • hasła pierwszego dostępu do systemu,
  • roli, czyli zakresu uprawnień związanych z kontem.

Informację o przydziale konta administrator systemu wysyła w sposób bezpieczny, w zamkniętej kopercie, na adres upoważnionej osoby. Hasło nie może być przekazywane telefonicznie ani pocztą elektroniczną. Jeśli koperta zawierająca hasło dostępu wydaje się być naruszona, należy niezwłocznie powiadomić o tym administratora systemu USOS w Uczelnianym Centrum Informatycznym.

Hasło pierwszego dostępu do systemu pozwala na jednokrotne zarejestrowanie się w USOS i musi zostać natychmiast zmienione na hasło docelowe. Reguły, jakie musi spełnić docelowe hasło określają reguły systemu USOS i obejmują:

  • liczbę znaków (nie mniej niż 8),
  • repertuar znaków (jakie rodzaje znaków muszą wchodzić w jego skład),
  • czas ważności (nie dłużej niż 30 dni).

Hasło w żadnych warunkach nie może być udostępniane innym osobom, również administratorowi USOS. Powinno zostać tak wybrane, aby było łatwe do zapamiętania i trudne do odgadnięcia. Nie należy go przechowywać na kartkach, w zeszytach i temu podobnych miejscach.

Udostępnianie danych

Zgodnie z art. 51 ust. 1 UODO, nie można udostępniać przechowywanych w systemie danych osobowych osobom nieupoważnionym. Przez udostępnianie danych należy rozumieć ich przekazywanie ustne, za pośrednictwem poczty elektronicznej, na jakichkolwiek nośnikach elektronicznych bądź w postaci dokumentów drukowanych.

W szczególności zakaz udostępniania dotyczy wymienionych w art. 27 UODO danych wrażliwych – dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Członkowie rodzin studentów nie są upoważnieni do otrzymywania informacji z systemu.

W wątpliwych przypadkach decyzję o udostępnieniu danych podejmuje kierownik jednostki organizacyjnej.

Procedury

Podczas pracy z USOS należy stosować się do następujących zaleceń:

  • stanowisko pracy powinno być tak zorganizowane, aby uniemożliwić osobom nieuprawnionym podgląd danych a w szczególności podgląd wprowadzanego hasła;
  • przed każdym czasowym opuszczeniem stanowiska pracy należy uniemożliwić dostęp do przetwarzania danych poprzez wstrzymanie pracy systemu operacyjnego lub zamknięcie aplikacji;
  • po zakończeniu pracy z USOS należy przed wyłączeniem komputera wyrejestrować się z systemu.

Ochrona fizyczna

Jako podstawową zasadę należy stosować regułę czystego biurka, tzn. niepozostawianie na nim po zakończeniu pracy z systemem żadnych materiałów związanych z tą pracą.

Wszelkie dokumenty zawierające dane z USOS winny być przechowywane w szafach opatrzonych w zamki.

Sporządzanie dokumentów drukowanych zawierających dane osobowe z systemu USOS należy ograniczyć do tych, które są wymagane przez rozporządzenie MNiSzW 224/1634.

Sporządzenie innych druków a także kopiowanie danych osobowych z USOS na nośniki elektroniczne (CDROM i podobne) jest możliwe jedynie za zgodą kierownika jednostki.

Wydruki i jednorazowe nośniki elektroniczne (np. CDROM-y) z danymi osobowymi z systemu USOS należy po ich wykorzystaniu niszczyć w sposób uniemożliwiający odczytanie danych, na przykład przy pomocy niszczarki.

W przypadku uszkodzenia lub innej awarii dysku komputera używanego do pracy z USOS, jego wymiana na nowy, naprawa lub odesłanie do naprawy mogą być wykonane jedynie za pośrednictwem Uczelnianego Centrum Informatycznego.

Zabezpieczenie przed złośliwym oprogramowaniem

Na komputerach używanych do pracy z USOS musi być zainstalowanie i regularnie aktualizowane, najlepiej w sposób automatyczny, oprogramowanie antywirusowe rekomendowane przez Uczelniane Centrum Informatyczne.

Na komputerach używanych do pracy z USOS nie można:

  • używać oprogramowania nielicencjonowanego (UMK Z/54/2005) i oprogramowania niezwiązanego z realizacją zadań służbowych,
  • pobierać za pośrednictwem sieci komputerowej (poczty elektronicznej, stron WWW lub innych mechanizmów) plików z niewiarygodnych źródeł,
  • używać dyskietek, płyt CD i DVD, urządzeń pendrive, kart pamięci i innych nośników danych pochodzących z niewiarygodnych źródeł.

W przypadku kiedy komputer ulegnie atakowi złośliwego oprogramowania, odtworzenie jego stanu i inne działania naprawcze mogą być wykonane jedynie przez służby Uczelnianego Centrum Informatycznego. Działania te muszą być połączone ze zgromadzeniem informacji umożliwiających określenie skutków ataku dla bezpieczeństwa systemu.

Uwagi końcowe

Wszelkie wątpliwości i pytania, również dotyczące omówionych wyżej reguł postępowania, nie wyłączając formy ich prezentacji, należy zgłaszać do administratora bezpieczeństwa informacji telefonicznie pod nr 2742 lub pocztą elektroniczną na adres abi@umk.pl.

Uwaga 1: Dostęp do treści aktu prawnego może wymagać uprzedniego zalogowania się do systemu informacji prawnej LEX.