Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym – jak zapoznać z nimi pracowników

Opis procedur rozpoczęcia, zawieszenia i zakończenia pracy dla użytkownika systemu informatycznego to jeden ze środków organizacyjnych podejmowanych przez administratora danych w celu ochrony danych osobowych, a dokładniej w celu zachowania ich rozliczalności, integralności i poufności. Mówiąc prościej, procedury służą temu, by minimalizować ryzyko jakichkolwiek działań związanych z przetwarzaniem danych w systemie informatycznym przez osoby do tego nieuprawnione. Obowiązek opracowania tych procedur wynika z przepisów prawa. Jest to obligatoryjny element instrukcji zarządzania systemem informatycznym.

W procedurze rozpoczęcia pracy w systemie informatycznym należy wskazać, aby użytkownik przed rozpoczęciem pracy zwrócił uwagę, czy jego stanowisko pracy nie nosi oznak wskazujących na wystąpienie incydentu naruszenia bezpieczeństwa danych w postaci fizycznej ingerencji w urządzenia (np. śladów na sprzęcie komputerowym wskazujących na fizyczną próbę uzyskania dostępu do dysku twardego). Pracownik powinien też sprawdzić, czy nie ma oznak wskazujących na wystąpienie losowych zdarzeń, które mogą doprowadzić do utraty integralności danych, takich jak np. zalanie sprzętu wodą czy uszkodzenie przewodów zasilających.

Rozpoczęcie pracy w systemie wiąże się z włączeniem komputera oraz wpisaniem identyfikatora i hasła użytkownika. Niezmiernie istotne jest tu, szczególnie w obszarze przetwarzania, do którego dostęp mają osoby z zewnątrz (np. punkty obsługi klienta/interesanta), aby logowanie przeprowadzone zostało w sposób uniemożliwiający podejrzenie hasła przez osoby nieuprawnione. Ponadto użytkownik nie powinien odchodzić od komputera w trakcie uruchamiania systemu operacyjnego. W procedurze tej powinien być wpisany również, wspomniany wyżej, zakaz przechowywania haseł do systemu w miejscu dostępnym dla innych osób. Wszelkie problemy związane z logowaniem się do systemu powinny zostać zgłoszone ASI lub ABI.

Procedura zawieszenia pracy w systemie informatycznym dotyczy sytuacji przerw w pracy w systemie. Krótkotrwałe przerwy, które nie sprawiają, że pracownik traci z pola widzenia swoje stanowisko pracy, nie muszą wiązać się z koniecznością blokowania komputera /wylogowania się z systemu czy nawet uruchamiania samego wygaszacza ekranu (chyba że szczególne warunki, w których odbywa się przetwarzanie danych, za tym przemawiają).

Przerwy w pracy, w których dochodzi do opuszczenia stanowiska pracy przez użytkownika, powinny wiązać z zablokowaniem komputera lub wylogowaniem się z systemu. Z punktu widzenia ochrony danych osobowych oba działania należy ocenić na równi – uniemożliwiają one dokonywanie operacji na koncie użytkownika, a powrót do pracy wymaga wpisania hasła. Jednakże wylogowanie wiążę się z koniecznością zapisu danych, na których pracuje użytkownik, ponieważ zamknięte zostaną wszystkie programy na koncie użytkownika. Choć to wydaje się oczywiste warto, by w procedurze opisany był sposób blokowania komputera lub wylogowania z systemu (np. poprzez jednoczesne naciśnięcie klawiszy Ctrl + Alt + Delete i wybranie odpowiedniej opcji). Bardzo użytecznym rozwiązaniem, o którym można wspomnieć w procedurze dotyczącej zawieszenia pracy, jest automatyczne uruchamianie wygaszacza ekranu przy bezczynności pracownika przekraczającej określony limit czasu (np. 10 minut).

Zakończenie pracy w systemie polega na wylogowaniu się użytkownika ze swojego konta oraz wyłączeniu urządzenia. Wcześniej użytkownik powinien bezwzględnie zapisać wszystkie dane, które przetwarzał, oraz zakończyć pracę uruchomionych programów. W procedurze warto podkreślić, że niedopuszczalne jest wyłączenie urządzenia przed wyłączeniem programów i wylogowaniem się z konta. Podobnie jak przy uruchamianiu, użytkownik nie powinien oddalać od komputera przed jego całkowitym wyłączeniem.