Regulamin ochrony danych osobowych Instrukcja zarządzania

Transkrypt

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
ZESPÓŁ SZKÓŁ EKONOMICZNO – GASTRONOMICZNYCH
im. J. PIŁSUDSKIEGO W TARNOWIE
Regulamin
ochrony danych
osobowych
Instrukcja
zarządzania systemem
informatycznym służącym do
przetwarzania danych
osobowych
Tarnów 2012
1
Regulamin
ochrony danych osobowych
I.
POLITYKA BEZPIECZEŃSTWA
Pojęcia podstawowe
1. Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi
w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U.
2002 r. Nr 101 poz. 926, ze zm.) oraz rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz. U.
z 2004 r. Nr 100, poz. 1024. Opracowany dokument jest zgodny z dyrektywą 2002/58/WE
Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych
osób oraz ochrony prywatności w sektorze komunikacji elektronicznej.
2. Regulamin niniejszy określa tryb i zasady ochrony danych osobowych
przetwarzanych w Zespole szkół Ekonomiczno – Gastronomicznych im. J. Piłsudskiego
w Tarnowie, zwanym dalej Jednostką.
3. Ilekroć w regulaminie jest mowa o :
a) Jednostce – rozumie się przez to Zespół Szkół Ekonomiczno – Gastronomicznych
w Tarnowie
b) zbiorze danych osobowych
- rozumie się przez to każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie;
c) danych osobowych
rozumie
się przez to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
d) przetwarzaniu danych
rozumie się przez to jakiekolwiek operacje
wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych;
e) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą
urządzeń,
programów,
procedur przetwarzania
informacji
i
narzędzi
programowych zastosowanych w celu przetwarzania danych osobowych;
f) systemie tradycyjnym - rozumie się przez to zespół procedur organizacyjnych,
związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków
trwałych w celu przetwarzania danych osobowych na papierze;
g) zabezpieczeniu danych w systemie informatycznym rozumie się przez to
wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
h) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
i) administratorze danych osobowych - w świetle art. 3 i 7 pkt 4 ustawy o ochronie
danych osobowych rozumie się przez to Dyrektora Jednostki, który decyduje o celach
i środkach przetwarzania danych osobowych;
j) administratorze bezpieczeństwa informacji- rozumie się przez to osobę wyznaczoną
przez Dyrektora ZSEG, nadzorującą przestrzeganie zasad ochrony danych osobowych,
2
w szczególności zabezpieczenia danych przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
k) administratorze systemu informatycznego rozumie się przez to osobę
zatrudnioną przez Dyrektora ZSEG, upoważnioną do realizacji zadań związanych
z zarządzaniem systemem informatycznym;
l) użytkowniku systemu informatycznego - rozumie się przez to upoważnionego przez
Dyrektora ZSEG, wyznaczonego do przetwarzania danych osobowych w systemie
informatycznym pracownika, który odbył stosowne szkolenie w zakresie ochrony tych
danych;
m) zgodzie osoby, której te dane dotyczą - rozumie się przez to oświadczenie woli,
którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie - zgoda nie może być domniemana lub dorozumiana z oświadczenia woli
o innej treści.
Cele
Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym
dostępem do:
a) systemu informatycznego oraz informacji udostępnianych z jego
wykorzystaniem;
b) informacji zgromadzonych, przetwarzanych w formie tradycyjnej.
Niniejsze opracowanie określa politykę bezpieczeństwa w zakresie przetwarzania
danych osobowych przez pracowników ZSEG a w szczególności pracowników administracji
oraz administratorów systemów informatycznych.
Dane osobowe w ZSEG są gromadzone, przechowywane, edytowane, archiwizowane
w dokumentach papierowych,
jak również
w systemach informatycznych na
elektronicznych nośnikach informacji.
Powyższy dokument wprowadza regulacje w zakresie zasad organizacji procesu
przetwarzania i odnosi się swoją treścią do informacji
a) w formie papierowej - przetwarzanej w ramach SYSTEMU
TRADYCYJNEGO ;
b) w formie elektronicznej - przetwarzanej w ramach SYSTEMU
INFORMATYCZNEGO;
Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawują:
a)
b)
c)
d)
Dyrektor
Wicedyrektorzy
Główna Księgowa
Kierownik gospodarczy
Z zapisanymi w polityce bezpieczeństwa obowiązkowo są zapoznawani wszyscy
użytkownicy systemów informatycznych i tradycyjnych.
Do informacji przechowywanych w systemach informatycznych jak i dokumentów
tradycyjnych mają dostęp jedynie upoważnieni pracownicy ZSEG oraz osoby mające imienne
zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania tych
danych w tajemnicy.
Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami
obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności
przetwarzanych danych. Systemy informatyczne oraz tradycyjne, które przechowują dane
osobowe, są chronione odpowiednimi środkami technicznymi. Opracowane procedury
3
określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania z systemów
informatycznych. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać
swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. Użytkownik
systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania
z usług systemów informatycznych.
II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA
Informacje ogólne
Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania
danych osobowych odpowiada administrator danych osobowych. Pracownicy upoważnieni do
przetwarzania danych obowiązani są zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz
kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą utratą uszkodzeniem lub zniszczeniem.
Administrator danych może wyznaczyć administratora bezpieczeństwa informacji,
nadzorującego przestrzeganie zasad ochrony. Prowadzi on dokumentację opisującą sposób
przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych.
Administrator bezpieczeństwa informacji
Administrator Bezpieczeństwa Informacji wykonuje wszystkie prace niezbędne do
efektywnego oraz bezpiecznego zarządzania systemami informatycznymi i tradycyjnymi.
Administrator Bezpieczeństwa Informacji jest zobowiązany do zapewnienia, poprzez
zastosowanie odpowiednich środków i metod kontroli dostępu, iż wyłącznie autoryzowany
personel ma dostęp do systemów informatycznych i tradycyjnych. Ponadto określa warunki
oraz sposób przydzielania użytkownikom kont i haseł. Administrator Bezpieczeństwa
Informacji posiada bieżącą listę osób upoważnionych do przetwarzania danych osobowych.
Szczegółowy zakres odpowiedzialności i obowiązków Administratora Bezpieczeństwa
Informacji jest następujący:
a) nadzoruje bezpieczeństwo systemów informatycznych i tradycyjnych;
b) nadzoruje przestrzeganie przez wszystkich użytkowników stosowanie obowiązujących
procedur;
c) weryfikuje listę autoryzowanych użytkowników systemów informatycznych;
d) doradza użytkownikom w zakresie bezpieczeństwa;
e) zapewnia, aby cały personel posiadający dostęp do systemu posiadał stosowne
zezwolenia oraz był przeszkolony w zakresie obowiązujących regulacji
bezpieczeństwa;
f) przygotowuje i prowadzi „Ewidencja osób biorących udział w przetwarzaniu danych
osobowych";
g) prowadzi kontrole w zakresie bezpieczeństwa;
h) przygotowuje wnioski pokontrolne dla Administratora.
Administrator systemu informatycznego
Administrator systemu informatycznego wykonuje wszystkie prace niezbędne do
efektywnego oraz bezpiecznego zarządzania systemem informatycznym. Jest zobowiązany do
zapewnienia, poprzez zastosowanie odpowiednich środków i metod kontroli dostępu, w taki
sposób, że wyłącznie autoryzowany personel ma dostęp do systemów informatycznych.
Przydziela użytkownikom systemu informatycznego konta i hasła. Ewidencjonuje
użytkowników systemu.
4
Szczegółowy zakres odpowiedzialności i obowiązków Administratora Systemu
Informatycznego jest następujący:
a) odpowiada za bezpieczeństwo systemu informatycznego;
b) zobowiązuje i bieżąco kontroluje stosowanie się użytkowników do obowiązujących
procedur;
c) utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu informatycznego;
d) zapewnia aktualizację dokumentacji technicznej systemu w tym opis struktur zbiorów
i ich zależności.
Użytkownik systemu
Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz
bezpiecznej pracy na stanowisku pracy również z wykorzystaniem stacji roboczej. Jest
odpowiedzialny przed Administratorem Bezpieczeństwa Informacji za nadzór, i utrzymanie
niezbędnych warunków bezpieczeństwa w szczególności do przestrzegania procedur
dostępu do systemu i ochrony danych osobowych.
Poziom bezpieczeństwa przetwarzania danych osobowych w systemie
informatycznym
Do grupy danych osobowych przetwarzanych w Jednostce jako pojedyncze informacje,
w zestawach lub zbiorach w postaci papierowej ustala się zabezpieczenia na poziomie
podstawowym
Do grupy danych osobowych przetwarzanych w systemach informatycznych, ustala się
zabezpieczenia na poziomie podstawowym
Procedury dostępu do systemu
1. Procedury dostępu do systemów tradycyjnych określa „Dokumentacja kancelaryjna” wraz
z obiegiem dokumentów finansowych i instrukcją kancelaryjną
2. Procedury dostępu do systemów informatycznych :
Każdy pracownik mający dostęp do systemu informatycznego z możliwością przetwarzania
danych w tym osobowych musi przejść odpowiednie przeszkolenie oraz posiadać upoważnienie
wydane przez dyrektora szkoły
III. OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ
POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY
NIMI
Dane osobowe są gromadzone, przechowywane i przetwarzane w formie tradycyjnej
oraz elektronicznych takich jak:
Dokumentacja osobowa:
a) Akta osobowe pracowników
b) Dokumentacja kształcenia i wychowania uczniów
c) Dokumentacja medyczna uczniów w gabinecie pielęgniarki
d) Dane dotyczące rodziców lub opiekunów prawnych
e) Protokoły Rady Pedagogicznej i Komisji Przedmiotowych
f) Zarządzenia i decyzje dyrektora
g) Dokumentacja finansowo – księgowa
h) Dokumentacja kadrowa
i) Dokumentacja wychowawcy klasy i pedagogów szkolnych
j) Dokumenty przesyłane przez dyrektora w systemie podpisu cyfrowego
k) Dane dotyczące osiągnięć dydaktyczno – wychowawczych uczniów ZSEG.
l) Wydruki komputerowe
m) Dane uczniów w systemie „OBIEG” Okręgowej Komisji Egzaminacyjnej
5
Do przetwarzania zbiorów danych osobowych w systemie informatycznym
Jednostki, stosowane są następujące programy:
Programy firmy Vulcan OPTIVUM:
a) arkusz organizacyjny
b) plan lekcji
c) księga zastępstw
d) program finansowo – księgowy
e) program placowy
f) kadry
g) inwentarz
h) biblioteka „MOL”
i) magazyn
j) stołówka
Programy biurowe: WORD, EXCEL, POWER POINT,
Program “Płatnik”
Programy funkcjonujące w systemie EDUNET
Program SIO
Zgodnie z postanowieniami art. 40 ustawy o ochronie danych osobowych, z uwagi na
gromadzone kategorie zbiorów danych osobowych Zespołu Szkół Ekonomiczno –
Gastronomicznych w Tarnowie jest zwolniona z obowiązku zgłoszenia i rejestracji tych
zbiorów u Generalnego Inspektora Ochrony Danych Osobowych.
Sposób przepływu danych pomiędzy poszczególnymi systemami
1. Komunikacja tradycyjna:
- obieg dokumentów zawierających dane osobowe, pomiędzy komórkami
organizacyjnymi Jednostki, winien odbywać w sposób zapewniający pełną ochronę
przed ujawnieniem zawartych w tych dokumentach danych (informacji).
2. Komunikacja w sieci komputerowej:
Przekazywanie informacji (danych) w systemie informatycznym poza sieć
lokalną Jednostki odbywa się w relacji:
ZSEG – Urząd Miasta Tarnowa - Zakład Ubezpieczeń Społecznych-Urząd
Skarbowy- Banki- Narodowy Fundusz Ochrony Zdrowia- Okręgowa Komisja
Egzaminacyjna-MEN
IV.
OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH
NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I
ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
Dostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają
jedynie upoważnieni pracownicy oraz administratorzy systemu zapewniający jego prawidłową
eksploatację. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do
zachowania tych danych w tajemnicy.
a) Ochronie podlegają dane osobowe gromadzone i przetwarzane
w dokumentacji tradycyjnej
oraz w urządzeniach i systemie
informatycznym ZSEG
b) Pomieszczenia, w których przetwarza się dane osobowe powinny być
fizycznie zabezpieczone przed dostępem osób nieuprawnionych, to znaczy
posiadać odpowiednie zamki do drzwi, zabezpieczenia w oknach oraz być
wyposażone w środki ochrony ppoż.
6
c) Dokumenty i nośniki informacji, zawierające dane osobowe powinny
być zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania
danych. Jeśli nie są aktualnie używane powinny być przechowywane w szafach
lub w innych przeznaczonych do tego celu urządzeniach biurowych,
posiadających odpowiednie zabezpieczenia :
Zasady zabezpieczania danych:
a) zbiory dokumentacji tradycyjnej winny znajdować się w pomieszczeniach
zabezpieczonych przed dostępem osób nieupoważnionych;
b) Zbiory dokumentacji elektronicznej będącej na dyskach twardych komputerów lub
innych nośnikach informacji powinny znajdować się w pomieszczeniach
odpowiednio zabezpieczonych a także w szafach z dodatkowym zabezpieczeniem.
Udostępnianie posiadanych w zbiorze danych osobowych
a) Do udostępniania posiadanych w zbiorze danych osobowych upoważniony jest
administrator danych osobowych lub pracownik posiadający wymagane prawem
upoważnienie administratora.
b) W przypadku udostępniania danych osobowych w celach innych niż włączenie do
zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub
podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
V.
BEZPIECZEŃSTWO PERSONELU
Informacje ogólne
Należy mieć świadomość, że każdy, kto ma dostęp do pomieszczenia, w którym
zainstalowano sprzęt systemu informatycznego może spowodować jego uszkodzenie lub
może mieć dostęp do informacji wyświetlanych na monitorze lub wydruków.
Zagrożenia w stosunku do systemu mogą pochodzić również od każdej innej osoby np.
personelu pomocniczego, technicznego, konsultanta itp., posiadającej wystarczające
umiejętności i wiedzę, aby uzyskać dostęp do sieci.
Użytkownicy systemu
Wszyscy użytkownicy systemu muszą stosować się do obowiązujących procedur
bezpieczeństwa.
Hasło podlega szczególnej ochronie. Użytkownik ma obowiązek tworzenia haseł o długości
min. 8 znaków, nie trywialnych, tzn. nie może używać imion, danych identyfikujących
użytkownika oraz jego najbliższych, numerów rejestracyjnych, marek lub typów swoich
samochodów itp., oraz nie może tworzyć haseł przez kombinację tych nazw lub ich zmianę
uporządkowania np. od tyłu. Jest wprowadzony wymóg zabraniający dokonywana zapisów
haseł przez użytkowników. W przypadku, gdy użytkownik zapomni swoje hasło, może on
uzyskać nowe hasło od Administratora Systemu zgodnie z obowiązująca procedurą
VI. BEZPIECZEŃSTWO FIZYCZNE
Informacje ogólne
Informacja przetwarzana i przechowywana w systemie musi być zabezpieczona w szczególny
sposób.
Środki bezpieczeństwa fizycznego są konieczne dla zapobiegania niepowołanemu dostępowi
do informacji, nieautoryzowanym operacjom w systemie, kontroli dostępu do zasobów oraz
w celu zabezpieczenia sprzętu teleinformatycznego.
Ochrona serwera, stacji roboczych i nośników
Pomieszczenia, w których znajdują się stanowiska komputerowe są:
a) zamknięte, jeśli nikt w nich nie przebywa;
b) wyposażone w sejfy lub inne pojemniki umożliwiające przechowywanie dokumentów.
7
Zasady kontroli sprzętu
Instalacja urządzeń systemu i sieci teleinformatycznej odbywa się za wiedzą i pod kontrolą
Dyrektora lub Administratora bezpieczeństwa informacji, który jest również odpowiedzialny
za warunki wprowadzania do użycia, przechowywania, eksploatacji oraz wycofywania
z użycia każdego urządzenia.
VII.
BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA
Informacje ogólne
Sprzęt i oprogramowanie, indywidualnie lub łącznie mają ścisły związek z bezpieczeństwem
systemu i sieci teleinformatycznej. Dlatego, powinny być ściśle przestrzegane procedury
bezpieczeństwa odnoszące się do tych elementów.
Bezpieczeństwo sprzętowe
Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów
teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi.
Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez
wiedzy dyrektora lub Administratora bezpieczeństwa Informacji
Bezpieczeństwo oprogramowania
Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody
Administratora Systemu. Dodatkowe oprogramowanie może być instalowane wyłącznie po
uzyskaniu zezwolenia Administratora Systemu. Kopie oprogramowania operacyjnego,
aplikacyjnego i użytkowego przechowuje się w Sekretariacie Głównym
Używanie oprogramowania prywatnego w sieci jest kategorycznie zabronione. Na stacjach
roboczych powinno być zainstalowane jedynie niezbędne oprogramowanie.
VIII. KONSERWACJE I NAPRAWY
Konserwacja sprzętu
Każde urządzenie użytkowane w systemie informatycznym, powinno podlegać rutynowym
czynnościom konserwacyjnym oraz przeglądom wykonywanym przez uprawnione osoby.
Konserwacja oprogramowania
Za konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu
informatycznego odpowiedzialny jest Administrator Systemu. Konserwacja ww.
oprogramowania obejmuje także jego aktualizację.
Naprawa sprzętu
Administrator Systemu przed rozpoczęciem naprawy urządzenia przez zewnętrzne firmy
sprawdza, czy spełnione są następujące wymagania:
a) w przypadku awarii serwera i konieczności oddania sprzętu do serwisu, nośniki
magnetyczne zawierające dane osobowe powinny być wymontowane i do czasu
naprawy serwera przechowywane w szafie metalowej znajdującej się w strefie
o ograniczonym dostępie;
b) w przypadku uszkodzenia nośnika magnetycznego zawierającego dane osobowe
należy komisyjnie dokonać jego zniszczenia.
IX.
PLANY AWARYJNE I ZAPOBIEGAWCZE
Zasilanie
Serwer systemu oraz poszczególne stacje robocze (opcjonalnie) powinny być zabezpieczone
urządzeniami podtrzymującymi zasilanie (UPS), co umożliwi funkcjonowanie systemu
w przypadku awarii zasilania.
Kopie zapasowe
W celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana w systemie
podlega codziennej, przyrostowej archiwizacji (opcjonalnie) oraz pełnej archiwizacji
przeprowadzanej nie rzadziej niż raz na dwa tygodnie. Kopie archiwalne danych są
wykonywane na nośnikach magnetooptycznych, i przechowywane są przez Administratora
8
Systemu. Użycie kopii zapasowych następuje na polecenie Administratora Systemu
w przypadku odtwarzania systemu po awarii.
Polityka antywirusowa
W zakresie ochrony antywirusowej wprowadza się następujące zalecenia:
a) nie należy używać oprogramowania na stacji roboczej innego niż zaleca administrator
systemu;
b) nie wolno instalować oprogramowania typu freeware czy shareware;
c) regularnie
uaktualniać
bazę
wirusów
zainstalowanego
oprogramowania
antywirusowego;
d) przed użyciem nośnika danych sprawdzić czy nie jest zainfekowany wirusem
komputerowym.
X. LISTA ZAŁĄCZNIKÓW
a) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
b) Upoważnienia osób, którym administrator danych pozwolił przetwarzać dane
osobowe
c) Oświadczenia pracowników związanych z przetwarzaniem danych osobowych.
9
Załącznik nr 1
Instrukcja
zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych
1. Dane podstawowe:
Instrukcja zarządzania w systemie informatycznym, służącym do przetwarzania danych
osobowych w Zespole Szkół Ekonomiczno - Gastronomicznych zwaną dalej instrukcjąokreśla sposób zarządzania oraz zasady administrowania systemem informatycznym
służącym do przetwarzania danych osobowych.
2. Niniejsza Instrukcja zarządzania systemem informatycznym określa:
1) Określenie poziomu bezpieczeństwa przetwarzania danych osobowych
w systemie informatycznym;
2) Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym;
3) Stosowane metody i środki ochrony danych
4) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby
odpowiedzialne za te czynności;
5) Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
6) Metoda i częstotliwość tworzenia kopii awaryjnych.
7) Metoda i częstotliwość sprawdzania obecności wirusów komputerowych oraz
metoda ich usuwania;
8) Sposób, miejsce i okres przechowywania :
a. elektronicznych nośników informacji zawierających dane osobowe;
b. kopii zapasowych;
9) Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych
osobowych;
10) Sposób postępowania w zakresie komunikacji w sieci komputerowej;
11) Procedury wykonywania przeglądów i konserwacji systemu oraz nośników
informacji służących do przetwarzania danych.
3. Określenie poziomu bezpieczeństwa przetwarzania danych osobowych
w systemie informatycznym ZSEG
1) Z analizy zagrożeń wynika, że w ZSEG - miejscami najbardziej zagrożonymi są
pomieszczenia budynku, w których znajdują się zbiory danych osobowych
gromadzone w dokumentacji tradycyjnej oraz urządzeniach służących do
przetwarzania tych danych w formie elektronicznej,
do których mogą
mieć
nieuprawniony dostęp osoby nieupoważnione spoza ZSEG.
2) Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych
należy zaliczyć:
 Przesyłanie danych w systemie „EDUNET’
 Przesyłanie danych w systemie SIO
 Przesyłanie danych w systemie OBIEG Okręgowej Komisji
egzaminacyjnej
4. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym.
10
1)
2)
3)
4)
5)
Administratorem Danych Osobowych w ZSEG jest dyrektor szkoły
Dyrektor szkoły nadaje upoważnienia pracownikom do przetwarzania danych
w ZSEG (załącznik nr 2)
Administratorem Bezpieczeństwa Informacji jest Kierownik Gospodarczy ZSEG
Administrator bezpieczeństwa informacji prowadzi ewidencję wszystkich
pracowników ZSEG upoważnionych do przetwarzaniu danych osobowych.
Powyższa ewidencja uwzględnia:
a) dane personalne pracownika (imię i nazwisko),
b) oznaczenie komórki organizacyjnej,
c) nazwę użytkowanego programu (aplikacji),
d) datę wprowadzenia do rejestru,
e) datę usunięcia z rejestru,
f) ważność upoważnienia.
Jakakolwiek
zmiana
informacji
wyszczególnionej
natychmiastowemu odnotowaniu.
w
ewidencji
podlega
6) Każdy pracownik, który korzysta ze sprzętu informatycznego
podpisuje
odpowiednie oświadczenie ( załącznik nr 3)
5. Stosowane metody i środki ochrony danych
Administrator Bezpieczeństwa Informacji zapewnia zastosowanie środków technicznych
i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych.
1) Środki ochrony, zastosowane przez Administratora Bezpieczeństwa Informacji dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
obejmują:
a) środki fizyczne;
b) środki osobowe;
c) środki techniczne.
2) Środki ochrony fizycznej obejmują:
a) Zastosowanie elektronicznego systemu monitoringu w celu kontroli ruchu osób
na terenie szkoły;
b) nadzorowanie pobytu osób nie będących pracownikami Szkoły w obszarach
bezpiecznych, chyba że ich dostęp został wcześniej zaakceptowany;
c) lokalizację miejsc przetwarzania danych osobowych w pomieszczeniach
o ograniczonym i kontrolowanym dostępie;
d) ustalenie zasad pobierania kluczy do pomieszczeń i szaf;
e) składowanie zbiorów danych osobowych (w tym nośników wymiennych
i nośników kopii zapasowych) w odpowiednio zabezpieczonych
pomieszczeniach i szafach.
3) Środki ochrony osobowej obejmują:
a) dopuszczenie do przetwarzania danych osobowych wyłącznie osób
posiadających upoważnienie wydane przez Administratora Bezpieczeństwa
Informacji;
b) zapoznanie tych osób z zasadami przetwarzania danych osobowych oraz
obsługą systemu służącego do przetwarzania danych;
c) odebranie stosownych zobowiązań i oświadczeń; tj.: zobowiązania do
zachowania w tajemnicy danych i sposobów ich zabezpieczenia oraz
oświadczenia o zapoznaniu z treścią przepisów określających zasady
11
postępowania przy przetwarzaniu danych osobowych, a także z dokumentacją
opisującą sposób przetwarzania danych osobowych oraz środki techniczne
i organizacyjne zapewniające ich ochronę.
4) Środki ochrony technicznej obejmują:
a) mechanizmy kontroli dostępu do systemów i zasobów;
b) zastosowanie odpowiednich i regularnie aktualizowanych informatycznych
narzędzi ochronnych;
c) regularne tworzenie kopii zapasowych zbiorów danych przetwarzanych
w systemach informatycznych;
5) Zbiory nieinformatyczne powinny być odpowiednio zabezpieczone przed
nieuprawnionym dostępem i zniszczeniem.
a) Dokumenty i wydruki, zawierające dane osobowe, należy przechowywać
w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione
osoby.
b) Na czas nieużytkowania, dokumenty i wydruki zawierające dane osobowe
powinny być zamykane w szafach biurowych lub zamykanych szufladach.
c) Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie
niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający
skuteczne ich usunięcie lub zanonimizowanie.
1) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby
odpowiedzialne za te czynności;
1) Każdy użytkownik upoważniony do pracy w systemie informatycznym,
w którym przetwarzane są dane osobowe, winien posiadać własny odrębny
identyfikator i hasło dostępu.
2) Hasła nadaje dyrektor szkoły lub Administrator Bezpieczeństwa Informacji
3) Nadane hasła nie mogą być zapisywane przez użytkowników systemu
informatycznego
4) Zbiór nadanych haseł użytkownikom posiada w jednym egzemplarzu
odpowiednio zabezpieczonym dyrektor szkoły. W przypadku zapomnienia
pracownik otrzymuje od dyrektora dane hasło. Może być także nadane nowe
hasło dostępu.
5) Użytkownicy nie mogą korzystać z innych loginów (nazw użytkownika) niż te,
do których są upoważnieni.
6) Szczególnej ochronie podlegają hasła administratorów systemu.
6. Zasady
rejestrowania
i
wyrejestrowania
użytkowników
systemu
informatycznego, zakres odpowiedzialności administratora systemu
Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do
zbierania lub przetwarzania danych osobowych, mogą być dopuszczeni wyłącznie pracownicy
posiadający aktualne, ważne upoważnienia. Administrator zapoznaje pracowników
z przepisami o ochronie danych osobowych oraz wykazem akt i wiadomości stanowiących
tajemnicę służbową (w zakresie ochrony danych osobowych).
a) Rejestracji i wyrejestrowania użytkownika systemu informatycznego dokonuje
Administrator Bezpieczeństwa Informacji
b) Za zarejestrowanie i wyrejestrowanie użytkownika odpowiedzialny jest dyrektor
szkoły
12
c) Rozwiązanie stosunku pracy, bądź zmiana zakresu obowiązków powoduje utratę
dostępu do przetwarzania danych i natychmiastowe wyrejestrowanie użytkownika
z systemu oraz wykreślenie z ewidencji.
7. Procedury rozpoczęcia, kontynuowania i zakończenia pracy z systemem
Informatycznym
1) Użytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które
mają na celu sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są
dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego, a w
szczególności:
a. Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie
wymagają zamykania aplikacji.
b. Przed opuszczeniem stanowiska pracy,
użytkownik obowiązany jest
zamknąć aplikację i wylogować się (logout) z pracy w sieci.
c. Pomieszczenia, w których przetwarzane są dane osobowe po zakończeniu
pracy zamyka się.
8. Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz
programów i urządzeń programowych służących do ich przetwarzania
1) Zasady tworzenia kopii awaryjnych
a) Kopie awaryjne z każdej aplikacji powinny być sporządzane na
dyskach magnetycznych, w cyklu miesięcznego przetwarzania.
b) Dodatkowo należy sporządzać kopie roczne, bilansowe.
Zasady przechowywania nośników informacji ze zbiorami danych (w tym danych
osobowych) oraz kopii bezpieczeństwa
9. Sposób, miejsce i okres przechowywania :
1) Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny
się charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu
przechowywania na nich danych.
2) Czas przechowywania kopii zapasowych zbiorów lokalnych ustala się na:
a) kopia codzienna (jeżeli wymagana)
- 1 tydzień
b) kopia tygodniowa (piątkowa – jeżeli wymagana)) - 1 miesiąc
c) kopia miesięczna
- 1 rok
d) kopia roczna (ostatni dzień okresu bilansowego) - 5 lat
e) kopia protokołów Rady Pedagogiczne
-bezterminowo
3) Kopie roczne lub dłuższe tworzy się także na przenośnym dysku twardym
Administratora Bezpieczeństwa Informacji jako dodatkowe zabezpieczenie Miejsca
przechowywania kopii bezpieczeństwa muszą podlegać szczególnej ochronie.
4) Zasady niszczenia i sposoby dokumentowania procesu niszczenia nośników informacji
zawierających dane osobowe
a) Jeżeli usunięcie danych osobowych z nośników magnetycznych nie jest
możliwe wówczas nośniki zostają uszkodzone w sposób uniemożliwiający ich
odczytanie.
b) Nośniki papierowe (wydruki) nie przeznaczone do ponownego użytku oraz nie
archiwizowane powinny być natychmiast niszczone.
10. Określenie zasad zabezpieczania oraz wykonywania przeglądów i konserwacji
systemów służących do przetwarzania danych
13
a) We wszystkich komputerach zainstalowanych w Jednostce mogą być
instalowane wyłącznie legalne oprogramowanie posiadające licencję, certyfikat
legalności itp.
b) Za legalność użytkowanego oprogramowania specjalistycznego odpowiada
użytkownik systemu.
c) Do usuwania wirusów należy używać programów antywirusowych,
pozostających w dyspozycji Jednostki.
11.
Metoda i częstotliwość sprawdzania obecności wirusów komputerowych
oraz metoda ich usuwania;
Dla potrzeb systemu informatycznego w ZSEG stosowane jest zabezpieczenie antywirusowe:
W zakresie ochrony antywirusowej
a) Ochrona poczty
b) Skanowanie ruchu internetowego.
c) Ochrona systemów plików..
d) Kontrola zmian w systemie plików.
e) Monitorowanie procesów w pamięci.
f) Monitorowanie zmian w rejestrze systemowym.
g) Przywracanie systemu.
12.
Sposób postępowania w zakresie komunikacji w sieci komputerowej;
a) Przeglądarka Internet Explorer powinna mieć ustawione opcje tak, by nie
zapamiętywała nazwy użytkownika oraz hasła.
b) Komunikacja w sieci komputerowej dozwolona jest tylko po odpowiednim
zalogowaniu się i podaniu indywidualnego hasła użytkownika
c) Przekazywanie danych osobowych za pomocą komunikacji internetowej
jest możliwe każdorazowo po uzyskaniu zgody Administratora danych
Osobowych.
d) Dotyczy to także danych zamieszczanych na stronie szkoły, którą
adminisy=trują Administratorzy Systemu Informatycznego
13.
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
1) Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:
a) stwierdzono naruszenie zabezpieczenia systemu informatycznego, lub
b) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody
pracy, sposób działania programu lub jakość komunikacji w sieci
telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych
danych.
2) Każdy pracownik ZSEG, który stwierdzi lub podejrzewa naruszenie ochrony
danych osobowych w systemie informatycznym bowiązany jest do niezwłocznego
poinformowania o tym administratora bezpieczeństwa informacji.
3) Administrator lub użytkownik bazy danych osobowych, który stwierdził lub
uzyskał informację wskazującą na naruszenie ochrony tej bazy danych
zobowiązany jest do niezwłocznego:
a. fizycznego odłączenia urządzeń i segmentów sieci które mogły umożliwić
dostęp do bazy danych osobie niepowołanej,
b. wylogowania użytkownika podejrzanego o naruszenie ochrony danych,
14
4)
5)
6)
7)
8)
c. zmianę hasła na konto administratora i użytkownika poprzez którego uzyskano
nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego
dostępu.
d. szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub
wykluczenia faktu naruszenia ochrony danych osobowych,
e. przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło
uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej
z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie
ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.
Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić
szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych
osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające
na celu wyeliminowanie podobnych zdarzeń w przyszłości.
Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy
przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu
danych.
Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego
pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne
wykluczające powtórzenie się podobnego zdarzenia w przyszłości.
Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu
należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz
ustawy o ochronie danych osobowych.
Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony
danych osobowych, w porozumieniu administratorem bezpieczeństwa danych
osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu
i wnioskach ze zdarzenia w terminie 14 dni od daty jego zaistnienia.
14. Postanowienia końcowe
1) Każda osoba wpisana do ewidencji zobowiązana jest do odbycia stosownego
przeszkolenia w zakresie ochrony danych osobowych oraz zapoznania się z :
- treścią ustawy oraz rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania
danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych;
- polityką bezpieczeństwa - regulaminem ochrony danych osobowych;
- instrukcją zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych;
- uregulowaniami wewnętrznymi obowiązującymi w tym zakresie.
2) Wykonanie powyższych zobowiązań pracownik potwierdza własnoręcznym
podpisem.
3) Wszelkie zagadnienia dotyczące ochrony danych osobowych nie ujęte
w niniejszej „Instrukcji" należy rozpatrywać zgodnie z treścią aktów prawnych
wymienionych w regulaminie ochrony danych osobowych", z uwzględnieniem
późniejszych zmian i uzupełnień.
15

Regulamin ochrony danych osobowych Instrukcja zarządzania

Transkrypt

Podobne dokumenty

Rozporządzenie Ministra Spraw Wewnętrznych i

POLITYKA PRYWATNOŚCI 1. Administratorem danych osobowych

Załącznik do zarządzenia Nr 52/2008

Polityka prywatności dla aplikacji

Program szkolenia

Co sprawia, że nasi uczniowie są zadowoleni

Ankieta Ocena jakości usług administratora i zarządcy