Załącznik 1 - Polityka Bezpieczeństwa
Transkrypt
Załącznik 1 - Polityka Bezpieczeństwa
Zał cznik do Zarz dzenia Nr 20/05 Starosty Pabianickiego z dnia 18 lipca 2005 roku POLITYKA BEZPIECZE STWA ROZDZIAŁ I POSTANOWIENIA OGÓLNE §1 1. Polityka Bezpiecze stwa jest rozumiana jako całokształt działa , zmierzaj cych do uzyskania i utrzymania wymaganego poziomu bezpiecze stwa danych osobowych, tj. zapewnienie poufno ci, spójno ci i dost pno ci na ka dym etapie tworzenia, przetwarzania, przechowywania i przesyłania danych osobowych. 2. Polityka Bezpiecze stwa obejmuje zbiór zasad dotycz cych bezpiecze stwa danych osobowych ustalonych w oparciu o wymagania wynikaj ce z przepisów prawa, z szacowania ryzyka w zwi zku z wykonywaniem okre lonych prawem zada przez Starostwo Powiatowe w Pabianicach oraz wewn trzne wymogi i uwarunkowania lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej „Starostwem”. 3. Polityka Bezpiecze stwa zapewnia: 1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z podstawowymi procedurami zdefiniowanymi w Starostwie, 2) skuteczniejsze działania w odniesieniu do zagro e poufno ci, integralno ci i dost pno ci danych osobowych, 3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno wobec klientów Starostwa, 4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i przesyłanych nie tylko za pomoc systemów informatycznych ale równie w innych obszarach ich przetwarzania i przechowywania (np. papierowej). 4. Celem Polityki Bezpiecze stwa jest wskazanie działa , jakie nale y podejmowa oraz ustanowienie zasad, jakie nale y stosowa , aby prawidłowo były realizowane obowi zki Starosty Pabianickiego jako Administratora Danych w zakresie zabezpieczenia danych osobowych. §2 Ilekro w niniejszej Polityce Bezpiecze stwa jest mowa o: 1. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 2. zbiorze danych –rozumie si przez to ka dy posiadaj cy struktur zestaw danych o charakterze osobowym, dost pnych według okre lonych kryteriów, niezale nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 3. przetwarzaniu danych – rozumie si przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost pnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 4. danych osobowych – rozumie si przez to wszelkie informacje dotycz ce zidentyfikowanej lub mo liwej do zidentyfikowania osoby fizycznej, 5. identyfikatorze u ytkownika - rozumie si przez to ci g znaków literowych, cyfrowych lub innych jednoznacznie identyfikuj cy osob upowa nion do przetwarzania danych osobowych w systemie informatycznym, 6. ha le - rozumie si przez to ci g znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 7. sieci telekomunikacyjnej – rozumie si przez to sie telekomunikacyjn w rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r – Prawo telekomunikacyjne, 8. sieci teleinformatycznej – rozumie si przez to słu c do przetwarzania danych osobowych organizacyjnie i technicznie poł czenie systemów teleinformatycznych wraz z ł cz cymi je urz dzeniami i liniami, 9. sieci publicznej – rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28 ustawy z dnia 16 lipca 2004 r – Prawo telekomunikacyjne, 10. teletransmisji – rozumie si przez to przesyłanie informacji za po rednictwem sieci telekomunikacyjnej, 11. u ytkowniku – rozumie si przez to osob upowa nion do dost pu i przetwarzania danych osobowych, 12. Administratorze Bezpiecze stwa Informacji – rozumie si przez to wyznaczonego przez Starost Pabianickiego, Administratora Bezpiecze stwa Informacji odpowiedzialnego za bezpiecze stwo danych osobowych, 13. systemie informatycznym –, rozumie si przez to zespół współpracuj cych ze sob , programów, procedur przetwarzania informacji i narz dzi programowych zastosowanych w celu przetwarzania danych w Starostwie Powiatowym w Pabianicach, 14. systemie teleinformatycznym – rozumie si przez wszelkie urz dzenia, narz dzia, metody post powania i procedury stosowane przez pracowników Starostwa Powiatowego w Pabianicach w celu tworzenia, przechowywania, przetwarzania lub przekazywania informacji zapisywanych elektronicznie, 15. zabezpieczeniu systemu informatycznego – nale y przez to rozumie wdro enie stosowanych rodków administracyjnych, technicznych oraz ochrony przed modyfikacj , zniszczeniem, nieuprawnionym dost pem i ujawnieniem lub pozyskaniem danych osobowych, a tak e ich utrat , 16. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to wdro enie i eksploatacj stosownych rodków technicznych i organizacyjnych zapewniaj cych ochron danych przed ich nieuprawnionym przetwarzaniem, 17. rozliczalno ci - rozumie si przez to wła ciwo zapewniaj c , e działania podmiotu mog by przypisane w sposób jednoznaczny tylko temu podmiotowi, 18. integralno ci danych - rozumie si przez to wła ciwo zapewniaj c , e dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 19. uwierzytelnianiu - rozumie si przez to działanie, którego celem jest weryfikacja deklarowanej to samo ci podmiotu, 20. poufno ci danych - rozumie si przez to wła ciwo zapewniaj c , e dane nie s udost pniane nieupowa nionym podmiotom, 21. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj , która nie pozwoli na ustalenie to samo ci osoby, której dane dotycz . §3 W Starostwie Powiatowym w Pabianicach z uwagi na fakt, e urz dzenia systemu informatycznego słu cego do przetwarzania danych osobowych poł czone s z sieci publiczn , stosuje si wysoki poziom bezpiecze stwa teleinformatycznego. §4 Bezpiecze stwo teleinformatyczne na poziomie wysokim zapewnia si przez: 1. Ochron fizyczn , 2. Ochron elektromagnetyczn , 3. Ochron kryptograficzn , 4. Bezpiecze stwo teletransmisji, 5. Kontrol dost pu do urz dze systemu lub sieci teleinformatycznej. §5 Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków zabezpieczaj cych pomieszczenia, w którym znajduj si urz dzenia systemu lub sieci teleinformatycznej, w szczególno ci przed: 1. Nieuprawnionym dost pem. 2. Podgl dem. 3. Podsłuchem. §6 Ochrona elektromagnetyczna polega na: 1. Wszelkie urz dzenia systemu i sieci teleinformatycznej winny znajdowa si w odległo ci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mog cej zakłóca prawidłow prac tych urz dze . 2. W trakcie pracy urz dze systemu i sieci teleinformatycznej w strefie bezpiecze stwa nale y wył czy urz dzenia o wysokiej emisyjno ci fal elektromagnetycznych lub stosowa zastosowanie urz dze , poł cze linii o obni onym poziomie emisji lub ich ekranowanie i filtrowanie zewn trznych linii zasilaj cych lub sygnałowych. 3. Komputery na których przetwarzane s dane osobowe powinny spełnia warunek obni onej emisyjno ci. §7 1. Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu metod i rodków zabezpieczaj cych dane osobowe przez ich szyfrowanie oraz stosowanie innych mechanizmów kryptograficznych gwarantuj cych integralno i zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie podmiotów, lub uwierzytelnienie informacji. 2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy przekazywaniu danych osobowych w formie elektronicznej, poza strefy bezpiecze stwa. 3. Przemieszczanie komputerów przeno nych, w których przetwarzane s dane osobowe, poza strefy bezpiecze stwa wymaga stosowania kryptograficznych metod i rodków ochrony tych danych lub innych rodków ochrony, gwarantuj cych ich zabezpieczenie przed nieuprawnionym ujawnieniem. 4. Przepis ust. 3 stosuje si do elektronicznych no ników zawieraj cych dane osobowe, przemieszczanych poza strefy bezpiecze stwa. ROZDZIAŁ II WYKAZ POMIESZCZE TWORZ CYCH OBSZAR, W KTÓRYM PZETWARZANE S DANE OSOBOWE §1 1. Pomieszczeniami tworz cymi obszar, w którym znajduj si przetwarzane dane osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek, rejestrów i innych oraz stacjonarny sprz t komputerowy, w którym s przetwarzane dane osobowe. 2. Przebywanie w pomieszczeniach znajduj cych si wewn trz obszaru, o którym mowa w ust.1, osób nieuprawnionych do dost pu do danych osobowych, jest dopuszczalne tylko w obecno ci osoby zatrudnionej przy przetwarzaniu tych danych. 3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i chronione na czas nieobecno ci w nich osób upowa nionych do przetwarzania danych osobowych, w sposób uniemo liwiaj cy dost p do nich osób trzecich. §2 Wykaz pomieszcze tworz cych obszar, w którym przetwarzane s dane osobowe został okre lony w zał czniku Nr 1 do Polityki Bezpiecze stwa. ROZDZIAŁ III WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH §1 Starostwo przetwarza dane osobowe w zbiorach, w zwi zku z wykonywaniem zada wynikaj cych z art. 4 ustawy o samorz dzie powiatowym i stosownych przepisów prawa materialnego i proceduralnego. §2 Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych danych zawiera zał cznik Nr 2 do Polityki Bezpiecze stwa. ROZDZIAŁ IV OPIS STRUKTURY ZBIORÓW DANYCH §1 Zbiory danych osobowych przetwarzanych w Starostwie Powiatowym w Pabianicach maj nast puj ce struktury: 1. W zbiorze danych “Lista wypłat stypendystów” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Kwota stypendium c) Nr rachunku d) Imi i nazwisko opiekuna prawnego/ucznia 2. W zbiorze danych “Dochody Skarbu Pa stwa” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Informacje dodatkowe c) Umowy d) Windykacje 3. W zbiorze danych “Zbiór decyzji w zakresie utrzymania urz dze melioracji wodnych” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Wie c) Kwota d) nr. decyzji 4. W zbiorze danych “Rejestr kart w dkarskich” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Data urodzenia c) nr. karty 5. W zbiorze danych “Rejestr decyzji i dokumentacji wodnoprawnych” przetwarzane s dane osobowe w zakresie: a) Nazwa b) Inwestor c) nr. RWA 6. W zbiorze danych “Rejestr sprz tu pływaj cego do amatorskiego połowu ryb” przetwarzane s dane osobowe w zakresie: a) Data wpisu b) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) c) Dane techniczne d) nr. rejestracyjny e) Data wykre lenia 7. W zbiorze danych “Rejestr gruntów wył czonych z produkcji rolniczej” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Obr b (adres i nr. ewidencyjny działki) c) Decyzja (nr i data) d) Klasa i areał gruntu e) pochodzenie gleby f) sposób zagospodarowania gruntu g) Data (wszcz cia i zako czenia sprawy) h) Uwagi 8. W zbiorze danych “Radni Rady Powiatu Pabianickiego II kadencji” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Nr. telefonu (słu bowy, prywatny) c) Przynale no partyjna 9. W zbiorze danych “Decyzje (wjazdy, kary, decyzje)”, “Wypadki samochodowe”, “Nadzór nad organizacj ruchu”, “Zarz dzanie ruchem BRD”, “Decyzje i postanowienia” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) 10.W zbiorze danych “Dochody Skarbu Pa stwa – opłaty melioracyjne”, “Wieczyste u ytkowanie gruntów”, “Dzier awa nieruchomo ci”, “Przekształcenie wieczystego u ytkowania gruntów” przetwarzane s dane osobowe w zakresie: a) zbioru danych “Dochody Skarbu Pa stwa” b) nr. konta 11.W zbiorze danych “Zakładowy fundusz wiadcze socjalnych”, “Pracownicza kasa zapomogowo-po yczkowa”, “ rodek specjalny-drogi” przetwarzane s dane osobowe w zakresie: a) nr. konta b) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) 12.W zbiorze danych “Decyzje o przekształcaniu prawa u ytkowania wieczystego w prawo własno ci” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Pesel c) Imiona rodziców d) Wypisy 13.W zbiorze danych “Decyzje o zwrocie siedliska i działek do ywotniego u ytkowania” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Imiona rodziców 14.W zbiorze danych “Ewidencja u ytkowników wieczystych, dzier awców, u ytkowników, najemców, nabywców gruntów Skarbu Pa stwa i Powiatu” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Pesel c) NIP d) Warto ci Gruntów 15.W zbiorach danych “Decyzje o wywłaszczaniu nieruchomo ci i ustaleniu odszkodowania”, Decyzje zezwalaj ce na czasowe zaj cie nieruchomo ci”, Ewidencja repatriantów” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) 16.W zbiorze danych “Rejestr niepublicznych placówek o wiatowych – szkoły niepubliczne” oraz “Rejestr niepublicznych placówek o wiatowych – placówki niepubliczne” przetwarzane s dane osobowe w zakresie: a) Kserokopie dyplomów b) Nazwa szkoły/placówki c) Typ szkoły/placówki d) siedziba (adres szkoły/placówki) e) data zgłoszenia wpisu f) Dane adresowe osoby zakładaj cej szkoł /placówk (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) 17.W zbiorze danych “Skierowania do kształcenia specjalnego, decyzje o przyznaniu indywidualnego nauczania, zaj rewalidacyjno-wychowawczych” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Szkoła do której osoba została skierowana c) Imi i nazwisko osoby wnioskuj cej d) Orzeczenie z poradni 18.W zbiorze danych “Listy uczniów kwalifikuj cych si do otrzymania stypendiów wiejskich” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) przynale no do szkoły 19.W zbiorze danych “Wykaz imienny nauczycieli przebywaj cych na urlopach zdrowotnych i w stanach nieczynnych” przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) szkoła c) koszty 20.W zbiorze danych “Zestawienie imienne pracowników administracji i obsługi w szkołach i placówkach o wiatowych” oraz “Zestawienie imienne nauczycieli zatrudnionych w szkołach i placówkach o wiatowych kwalifikuj cych si do zwolnienia lub przej cia na emerytur ” przetwarzane s dane osobowe w zakresie: a) Szkoła b) Imi i nazwisko c) Wymiar etatu d) Nauczany przedmiot e) lata pracy f) wiek g) kwota przysługuj cej odprawy 21.W zbiorze danych “Imienny wykaz aktów mianowania” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Nazwa szkoły c) Data i numer wydanego za wiadczenia d) Data i numer wydanego aktu mianowania e) Numer telefonu 22.W zbiorze danych “Rejestr doskonalenia zawodowego nauczycieli” przetwarzane s dane osobowe w zakresie: a) Imie i nazwisko b) Szkoła c) Data wpływu d) Protokół z posiedzenia komisji e) Nazwa szkoły/kursu na który osoba jest wysyłana f) Koszt dofinansowania g) Numer konta nauczyciela 23.W zbiorze danych “Opinie pracy, nagrody” przetwarzane s dane osobowe w zakresie: a) Opinia pracy b) Imi i nazwisko c) Data i miejsce urodzenia d) Sta pracy pedagogicznej e) Wykształcenie f) Stanowisko g) Nazwa szkoły/placówki h) Stopie awansu zawodowego i) Data rozpocz cia pracy w szkole j) Forma nawi zania stosunku pracy k) Data dokonania poprzedniej oceny l) Dotychczasowe nagrody m) ocena i uzasadnienie 24.W zbiorze danych “Decyzje (wjazdy, kary, decyzje)” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Zaj cia pasa c) Płatno ci d) wnioski 25.W zbiorze danych “Ewidencja pojazdów” przetwarzane s dane osobowe w zakresie: a) Dane o poje dzie (marka, typ i model, rodzaj, numer rejestracyjny, numer identyfikacyjny VIN lub numer nadwozia/podwozia, numer silnika, rok produkcji, data pierwszej rejestracji, termin badania technicznego, zastrze enia, informacje o dodatkowym badaniu technicznym) b) Seria i numer dowodu rejestracyjnego albo pozwolenia czasowego oraz data ich wydania c) Nazwa organu, który dokonał rejestracji pojazdu d) Dane o wła cicielu pojazdu oraz o posiadaczu ( Imie i nazwisko, adres zamieszkania, Pesel, regon) e) Informacje o nadaniu i wybiciu numeru nadwozia (podwozia) lub numeru silnika; kradzie y pojazdu oraz jego odnalezieniu; utracie dowodu rejestracyjnego i tablic rejestracyjnych, pozwolenia czasowego i tablic tymczasowych oraz karty pojazdu, a tak e ich odnalezieniu; zatrzymaniu dowodu rejestracyjnego albo pozwolenia czasowego f) Informacje o zawartej umowie OC (Imie i nazwisko; adres zamieszkania; nazwa zakładu ubezpiecze ; nazwa, seria i numer dokumentu potwierdzaj cego zawarcie umowy; data zawarcia umowy; okres odpowiedzialno ci zakładu ubezpiecze ; data rozwi zania umowy) g) Dane o poje dzie (przeznaczenie, pojemno i moc silnika, dopuszczalna masa całkowita, dopuszczalna ładowno , liczba osi, najwi kszy dopuszczalny nacisk osi, dopuszczalna masa całkowita ci gni tej przyczepy, liczba miejsc, data pierwszej rejestracji za granic , poprzedni numer rejestracyjny i nawa organu który dokonał rejestracji) h) Informacje o dowodzie rejestracyjnym (seria, numer, oraz data wydania wtórnika), pozwoleniu czasowym (data wa no ci, data przedłu enia wa no ci, cel wydania, seria, numer oraz data wydania wtórnika), karcie pojazdu (eria, numer, oraz data wydania wtórnika), nalepce kontrolnej (data wydania wtórnika), znakach legalizacyjnych (seria, numer, oraz data wydania wtórnika), nalepce na tablice tymczasowe (data wydania wtórnika), wyrejestrowaniu pojazdu (data i przyczyna wyrejestrowania), zbyciu pojazdu (dane nowego wła ciciela pojazdu), czasowym wycofaniu pojazdu z ruchu i jego ponownym dopuszczeniu do ruchu po tym wycofaniu, wydanym za wiadczeniu o demonta u pojazdu, inne dane i informacje stanowi ce tre adnotacji urz dowych, identyfikator osoby dokonuj cej wpisu b d zmian w bazie danych. 26.W zbiorze danych “Ewidencja kierowców” przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu) b) Data i miejsce urodzenia c) Pesel d) Rodzaj oraz zakres uzyskanego uprawnienia e) Data uzyskania pierwszego uprawnienia f) Data wa no ci uprawnienia g) Numer dokumentu stwierdzaj cego uprawnienie h) Ograniczenia dotycz ce uprawnienia i) Nazwa organu wydaj cego uprawnienie j) zakres i numer za wiadczenia ADR k) Dane dotycz ce zatrzymania dokumentu oraz jego zwrócenia, cofni cia uprawnienia oraz jego przywrócenia, utraty dokumentu oraz jego odnalezienia, zastosowania rodka karnego w postaci prowadzenia pojazdów. 27.W zbiorze danych “Ewidencja Szkół Nauki Jazdy” przetwarzane s dane osobowe w zakresie: a) Firma przedsi biorcy b) Numer w rejestrze przedsi biorców albo ewidencji działalno ci gospodarczej oraz numer NIP o ile przedsi biorca taki numer posiada c) Adres zamieszkania lub siedziby przedsi biorcy d) Adres o rodka szkolenia kierowców e) Zakres prowadzonego szkolenia f) Imiona i nazwiska instruktorów wraz z numerami ich uprawnie . 28.W zbiorze danych “Ewidencja Instruktorów Nauki Jazdy” przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Pesel c) Uprawnienia 29.W zbiorze danych “Ewidencja Firm Transportowych i Wła cicieli” przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Numer w rejestrze przedsi biorców albo ewidencji działalno ci gospodarczej oraz numer NIP o ile przedsi biorca taki numer posiada c) Adres zamieszkania lub siedziby przedsi biorcy d) Adres stacji kontroli pojazdów przedsi biorcy e) Zakres bada f) Imiona i nazwiska zatrudnionych diagnostów wraz z numerami ich uprawnie 30.W zbiorze danych “Ewidencja Firm i Wła cicieli u ytkuj cych pojazdy na potrzeby własne” przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Numer w rejestrze przedsi biorców albo ewidencji działalno ci gospodarczej oraz numer NIP o ile przedsi biorca taki numer posiada c) Adres Firmy d) Numery rejestracyjne pojazdów 31.W zbiorze danych “Akta osobowe” przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Numer Teczki c) Adres zamieszkania d) Wykształcenie e) Dzie zatrudnienia 32.W zbiorze danych “Kadry i Płace” przetwarzane s dane osobowe w zakresie: a) Dane kadrowe (Imie, nazwisko, nr. ewidencyjny, wydział) b) Dane personalne (Dane kadrowe, Data urodzenia, N IP, imiona rodziców, kwalifikacje, wykształcenie, adres zamieszkania, Pesel) c) Dane Płacowe (Dane personalne, płace) d) Dane o zatrudnieniu(Dane personalne, Data zatrudnienia) 33.W zbiorze danych “Kartoteka zasiłków chorobowych, macierzy skich, opieku czych” przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Zasiłki 34.W zbiorze danych “Rejestry kancelaryjne rzeczowe” przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Adres c) Imi i nazwisko ROZDZIAŁ V SPOSÓB PRZEPŁYWU DANYCH POMI DZY POSZCZEGÓLNYMI SYSTEMAMI §1 W Starostwie Powiatowym w Pabianicach nie istniej systemami informatycznymi. adne relacje pomi dzy ró nymi Rozdział VI ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENO NYCH PRZETWARZAJ CYCH DANE OSOBOWE §1 Przetwarzanie danych osobowych przy u yciu komputerów przeno nych odbywa si mo e wył cznie za wiedz i zgod Administratora Bezpiecze stwa Informacji. §2 1. Osoba u ytkuj ca komputer przeno ny, w którym przetwarzane s dane osobowe, zobowi zana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dost pem do nich osób nieupowa nionych oraz przed zniszczeniem. 2. Osoba u ytkuj ca komputer przeno ny zawieraj cy dane osobowe stosuje rodki ochrony kryptograficznej wobec przetwarzanych danych osobowych. §3 U ytkownik komputera przeno nego zobowi zany jest do: 1. Transportu komputera w sposób minimalizuj cy ryzyko kradzie y lub zniszczenia, a w szczególno ci : 1) transportowania komputera w baga u podr cznym, 2) niepozostawiania komputera w samochodzie, przechowalni baga u itp., 3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do przenoszenia komputerów przeno nych. 2. Korzystania z komputera w sposób minimalizuj cy ryzyko podejrzenia przetwarzania danych osobowych przez osoby nieupowa nione, w szczególno ci zabrania si korzystania z komputera w miejscach publicznych i rodkach transportu publicznego. 3. Niezezwalania osobom nieupowa nionym ( w tym równie członkom rodziny i znajomym) do korzystania z komputera przeno nego, na którym przetwarzane s dane osobowe. 4. Niepodł cznia komputera przeno nego do Internetu za wyj tkiem podł cze do sieci informatycznej na stałym stanowisku pracy. 5. Zabezpieczenia komputera przeno nego hasłem zgodnie z ogólnymi zasadami zarz dzania hasłami przy dost pie do systemów informatycznych przetwarzaj cych dane osobowe oraz przez jego szyfrowanie. 6. Blokowanie komputera przeno nego w przypadku, gdy nie jest on wykorzystywany przez pracownika, jak równie stosowania innych mechanizmów zabezpieczaj cych, zgodnie z zaleceniami Administratora Bezpiecze stwa Informacji. 7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez przypi cie go do stołu, biurka itp. 8. Kopiowanie danych osobowych przetwarzanych na komputerze przeno nym do systemu informatycznego w celu umo liwienia wykonania kopii zapasowych tych danych. Kopiowanie danych winno odbywa si w zale no ci od cz stotliwo ci zmian w tych danych, jednak e nie rzadziej ni raz na tydzie , z wył czeniem okresów, gdy komputer przeno ny nie jest u ytkowany. 9. Umo liwienia, poprzez podł czenie komputera przeno nego do sieci informatycznej Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym. Podł czenie do sieci informatycznej powinno odbywa si przynajmniej raz w tygodniu. Je eli komputer przeno ny nie jest u ytkowany przez dłu szy czas (ponad jeden tydzie ) to rozpoczynaj c prac u ytkownik jest zobowi zany podł czy komputer przeno ny do sieci informatycznej Starostwa w celu aktualizacji wzorców wirusów. §4 U ytkownicy komputerów przeno nych nie mog , bez zgody Administratora Bezpiecze stwa Informacji, instalowa na u ytkowanych przez siebie komputerach oprogramowania. §5 1. Administrator Bezpiecze stwa Informacji zobowi zany jest do podj cia działa w celu zabezpieczenia komputerów przeno nych u ytkowanych do przetwarzania danych osobowych. 2. W szczególno ci Administrator Bezpiecze stwa Informacji winien: 1) Dokona konfiguracji oprogramowania na komputerach przeno nych w sposób wymuszaj cy korzystanie z haseł, wykorzystywanie haseł odpowiedniej jako ci, zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane osobowe oraz wymuszaj cy okresow zmian haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane osobowe, 2) Zabezpieczy dane osobowe przetwarzane na komputerach przeno nych poprzez zastosowanie oprogramowania szyfruj cego te dane. Dost p do danych jest mo liwy wył cznie po podaniu wła ciwego hasła. Administrator Bezpiecze stwa Informacji przechowuje hasła administracyjne umo liwiaj ce konfiguracj oprogramowania szyfruj cego oraz awaryjne odszyfrowanie zabezpieczonych informacji. Hasła administracyjne przechowywane s w postaci listy, do której Administrator Bezpiecze stwa Informacji oraz Starosta Pabianicki lub Sekretarz Powiatu. 3) Dokona instalacji i konfiguracji oprogramowania antywirusowego na komputerze przeno nym zgodnie z obowi zuj cymi przepisami w zakresie ochrony antywirusowej w systemach informatycznych przetwarzaj cych dane osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z zasadami zarz dzania systemami antywirusowymi. 4) Rozwa y mo liwo instalacji oprogramowania pozwalaj cego na szyfrowanie informacji przesyłanych przy u yciu sieci teleinformatycznych, o ile istnieje uzasadniona potrzeba zdalnego dost pu i przesyłania danych pomi dzy komputerem przeno nym a systemem informatycznym przetwarzaj cym dane osobowe. W przypadku zastosowania takiego oprogramowania dokona jego konfiguracji w sposób gwarantuj cy bezpieczne i efektywne przesyłanie danych. 5) Rozwa y mo liwo zdalnego dost pu do systemu informatycznego przetwarzaj cego dane osobowe z wykorzystaniem ł czy komutowanych, o ile istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych. 6) W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego Przetwarzaj cego dane osobowe okre li uprawnienia u ytkownika i zakres danych. §6 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie zakresu danych osobowych, które mog by przetwarzane na komputerach przeno nych. 2. W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego przetwarzaj cego dane osobowe Administrator Bezpiecze stwa Informacji mo e ponadto okre li uprawnienia u ytkownika i zakres dost pnych dla niego danych osobowych przy pracy zdalnej. 3. Administrator Bezpiecze stwa Informacji mo e wprowadzi zasad , i mo liwe jest wył cznie przesyłanie danych do systemu informatycznego w celu zapewnienia mo liwo ci wykonania kopii zapasowych. 4. Administrator Bezpiecze stwa Informacji dystrybuuje opis ogranicze , o którym mowa w ust.3, w ród u ytkowników komputerów przeno nych przetwarzaj cych dane osobowe oraz kontroluje przestrzeganie tych zasad. §7 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za prowadzenie ewidencji komputerów przeno nych wykorzystywanych do przetwarzania danych osobowych. 2. W szczególno ci ewidencja ta obejmuje: 1) Typ i numer seryjny komputera, 2) Adres IP komputera 3) Imi i nazwisko osoby b d cej u ytkownikiem komputera, 4) Oprogramowanie zainstalowane na komputerze, 5) Rodzaj i zakres danych osobowych przetwarzanych na komputerze przeno nym. 2. Ewidencja, o której mowa w ust. 1, jest prowadzona niezale nie od metryk komputerów prowadzonych na podstawie odr bnych przepisów. §8 W razie zagubienia lub kradzie y komputera przeno nego pracownik zobowi zany jest do natychmiastowego powiadomienia Administratora Bezpiecze stwa Informacji lub osoby przez niego upowa nionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych. §9 W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy dotycz ce przetwarzania danych osobowych w systemach informatycznych na komputerach stacjonarnych. ROZDZIAŁ VII ZABEZPIECZENIE DANYCH Cele ochrony §1 1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie. Okre lone ni ej sposoby zabezpiecze dotycz : a) zabezpiecze przed dost pem do danych osób nieupowa nionych na etapie eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych, wy wietlania lub drukowania zestawie , b) ochrony danych zarchiwizowanych na no nikach zewn trznych, procedur niszczenia niepotrzebnych wydruków lub no ników danych. c) systemu zabezpiecze przed dost pem osób niepowołanych do pomieszcze , w których s eksploatowane urz dzenia oraz sposobów dost pu do tych pomieszcze pracowników, personelu pomocniczego Starostwa oraz serwisu zewn trznego, d) monitorowania systemu zabezpiecze , e) zakresu obowi zków pracowników – w cz ci dotycz cej bezpiecze stwa danych. 2. Strategia ochrony danych osobowych opiera si na nast puj cych zasadach: a) fizyczny dost p do pomieszcze , w których eksploatowane s systemy informatyczne blokuj drzwi i systemy alarmowe. b) podstawowym sposobem zabezpieczenia danych i dost pu do nich jest system definiowania u ytkowników, grup u ytkowników oraz haseł. S to zabezpieczenia programowe wmontowane w eksploatowane systemy uniemo liwiaj ce dost p do systemu osobom nieupowa nionym. c) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony danych, jak oferuje system operacyjny. d) dodatkowe kopie danych zarchiwizowanych na no nikach magnetycznych lub płytach CD s przechowywane w oddzielnym budynku – chroni w ten sposób dane na wypadek po aru, kl ski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja tych no ników, e) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawieraj ce bazy danych jest zainstalowany system alarmowy i przeciwpo arowy, f) zagadnienia zwi zane z ochrona danych i obowi zki st d wynikaj ce s uj te w zakresach czynno ci pracowników, g) ka dy pracownik podpisze stosowne o wiadczenie, h) za cało polityki bezpiecze stwa odpowiada Administrator Bezpiecze stwa Informacji. Zabezpieczenia §2 1. Nale y chroni dokumenty papierowe zawieraj ce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiałoby odczytanie lub odzyskanie informacji w nich zawartych. 2. Dokumenty papierowe zawieraj ce dane osobowe musz by chronione przed zagro eniami ze strony otoczenia (ogie , wyciek wody itp.). 3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy sejfach. 4. Wszystkie dokumenty papierowe zawieraj ce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach papierowych bez zgody Administratora Bezpiecze stwa Informacji lub osoby przez niego upowa nionej. 6. Ka dy dokument papierowy zawieraj cy dane osobowe przeznaczony do usuni cia lub wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpiecze stwa Informacji lub upowa nionej przez niego osoby. 7. Utrata i kradzie dokumentów papierowych zawieraj cych dane osobowe powinna by niezwłocznie zgłoszona Administratorowi Bezpiecze stwa Informacji. 8. Ka dy dokument papierowy zawieraj cy dane osobowe, maj cy charakter dokumentu roboczego, nale y na koniec pracy zniszczy w niszczarce papieru lub schowa w odpowiedniej zamykanej szafie. §3 1. Nale y chroni no niki magnetyczne i optyczne zawieraj ce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiłoby odczytanie lub odzyskanie informacji w nich zawartych. 2. No niki magnetyczne i optyczne zawieraj ce dane osobowe musz by chronione przed zagro eniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne, ogie , wyciek wody itp.). 3. No niki magnetyczne i optyczne zawieraj ce dane osobowe powinny by fizycznie chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy sejfach. 4. Wszystkie no niki magnetyczne i optyczne zawieraj ce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z no ników magnetycznych i optycznych bez zgody Administratora Bezpiecze stwa Informacji. 6. No niki magnetyczne i optyczne zawieraj ce dane osobowe nie mog by wynoszone poza siedzib Starostwa bez wcze niejszej zgody Administratora Bezpiecze stwa Informacji. 7. Dyski magnetyczne i optyczne zawieraj ce dane osobowe wynoszone poza teren Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowa nione za zgod ABI według okre lonej przez niego procedury. 8. Dyski twarde lub inne no niki magnetyczne i optyczne zawieraj ce dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia si wcze niej zapisu tych danych. 9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowa nionej przez Administratora Bezpiecze stwa Informacji. 10. Ka dy no nik magnetyczny i optyczny przeznaczony do usuni cia ze Starostwa musi uzyska odpowiednie pozwolenie Administratora Bezpiecze stwa Informacji. 11. Niszczenia zu ytych lub uszkodzonych no ników magnetycznych i optycznych zawieraj cych dane osobowe dokonuje Administrator Bezpiecze stwa Informacji według okre lonej procedury. 12. Utrata lub kradzie no nika magnetycznego i optycznego z danymi osobowymi powinna by niezwłocznie zgłoszona do Administratora Bezpiecze stwa Informacji. §4 Wprowadza si nast puj ce zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym: 1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe wprowadza si wysoki poziom zabezpiecze . 2. Pomieszczenia, w których stoi serwer i komputery zawieraj ce dane osobowe i kartoteki osobowe s zabezpieczone poprzez okratowane okna oraz system alarmowy i przeciwpo arowy. 3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze UPS. 4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga podania hasła BIOS-u. 5. Zalogowanie si do systemu wymaga podania nazwy u ytkownika i hasła. Ka dy u ytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania s rejestrowane, a po 3 nieudanych próbach logowania nast puje czasowa blokada konta. Logowanie do systemu mo liwe jest tylko w godzinach pracy Starostwa. 6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnie . 7. Administrator Bezpiecze stwa Informacji ma uprawnienia do definiowania kont u ytkowników i haseł. 8. Wykorzystany jest system szyfrowania danych (dost pny w systemie operacyjnym) uniemo liwiaj cy odczyt danych osobom nieupowa nionym. 9. W celu ochrony przed dost pem do danych komputera z sieci publicznej wykorzystuje si system zapory ogniowej dost pnej w systemie operacyjnym. 10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na ka dym komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów odpowiada informatyk. 11. Wydruki zawieraj ce dane osobowe powinny znajdowa si w miejscu, które uniemo liwia dost p osobom postronnym. 12. Kopie zapasowe na no nikach magnetycznych wykonuje Administrator Bezpiecze stwa Informacji. Kopie bezpiecze stwa przechowywane s w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa . Zapasowe kopie bezpiecze stwa s przechowywane równie w budynku Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w szafie pancernej. Dost p do no ników zawieraj cych kopie danych maj tylko uprawnione osoby. 13. Stosuje si nast puj ce zabezpieczenia organizacyjne przed dost pem do danych osób niepowołanych: a) dost p do danych maj wył cznie pracownicy wyznaczeni przez Administratora Bezpiecze stwa Informacji, który prowadzi cisły rejestr tych pracowników obejmuj cy list nazwisk u ytkowników posiadaj cych dost p do danych, ł cznie z ich identyfikatorami w systemie, b) w pokoju, do którego dost p maj petenci monitory komputerowe ustawione s w ten sposób, by petenci nie widzieli zapisów na ekranie, c) w przypadku dłu szej bezczynno ci uruchamiane s tzw. wygaszacie ekranu, których deaktywacja jest mo liwa po podaniu prawidłowego hasła u ytkownika, d) cz stotliwo tworzenia kopii zapasowych okre la instrukcja archiwowania zasobów. Za wykonanie tych kopii odpowiedzialne s osoby przetwarzaj ce dane osobowe, e) tworzeniem kopii bezpiecze stwa na no nikach optycznych (płyty CD-R/CDRW) zajmuje si Administrator Bezpiecze stwa Informacji. Monitorowanie systemu ochrony i prowadzenie dziennika zdarze §5 1. System operacyjny serwera powinien prowadzi dzienniki zdarze zawieraj ce opis wszystkich wa niejszych czynno ci wykonywanych przez u ytkowników. Nale y okre li zdarzenia, które powinny by rejestrowane, jak równie tryb post powania z tymi dziennikami (co rejestrowa , w jaki sposób, jak cz sto i na jak długo składowa ). Nale y unika zbytniego rozszerzenia zakresu rejestrowanych czynno ci ze wzgl du na obci enie systemu operacyjnego i wielko generowanych zbiorów zawieraj cych dzienniki zdarze . 2. Do monitorowania systemu zabezpiecze zobligowany jest Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. 3. W ramach monitoringu nale y przeprowadza nast puj ce działania: a) okresowe sprawdzanie kopii bezpiecze stwa pod wzgl dem przydatno ci do odtworzenia danych, b) kontrola ewidencji no ników magnetycznych i optycznych, c) sprawdzanie cz stotliwo ci zmian haseł, 4. Administrator Bezpiecze stwa Informacji sporz dza roczne plany kontroli zatwierdzone przez Administratora Danych i zgodnie z nimi przeprowadza kontrole oraz dokonuje kwartalnych ocen stanu bezpiecze stwa danych osobowych. 5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4. Administrator Bezpiecze stwa Informacji sporz dza roczne sprawozdanie i przedstawia Administratorowi Danych. Szkolenia §6 1. Ka dy u ytkownik systemu informatycznego przetwarzaj cego dane osobowe powinien mie wiadomo zagro e wpływaj cych na bezpiecze stwo systemu informatycznego, z którego korzysta. 2. Nowy pracownik powinien by zapoznany z ogólnymi zasadami i przepisami dotycz cymi bezpiecze stwa systemów teleinformatycznych, a szczególnie wynikaj cych z ustawy o ochronie danych osobowych. 3. Raz w roku nale y przeprowadza szkolenia z udziałem wszystkich pracowników Starostwa omawiaj ce problematyk bezpiecze stwa teleinformatycznego, ze szczególnym uwzgl dnieniem nowych uregulowa prawnych. Szkolenie to powinno uzmysłowi pracownikom skal zagro e oraz rang zabezpiecze , zwłaszcza stosowanych na poziomie u ytkownika. 4. Szkolenie dotycz ce bezpiecze stwa danych osobowych obejmuje wszystkich pracowników Starostwa. 5. System szkole szczegółowych obejmuje pracowników zatrudnionych bezpo rednio przy przetwarzaniu danych, w tym danych osobowych. 6. Tematyka szkole obejmuje: a) przepisy i instrukcje wewn trzne dotycz ce ochrony danych archiwizacji zasobów i b) przechowywania no ników, niszczenie wydruków i zapisów na no nikach magnetycznych i optycznych, c) zakresy obowi zków pracowników zwi zanych bezpo rednio z bezpiecze stwem danych osobowych i ochron systemów na poszczególnych stanowiskach. Archiwowanie danych §7 1. Dane systemów kopiowane s w trybie tygodniowym. Kopie zapasowe danych osobowych zapisywanych w programach wykonywane s codziennie Odpowiedzialnym za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługuj cy dany program przetwarzaj cy dane. 2. Dodatkowo na koniec ka dego miesi ca wykonywane s kopie zapasowe z całego programu przetwarzaj cego dane. No niki z kopiami bezpiecze stwa przekazywane do sejfu zlokalizowanego w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa. 3. Kopie zapasowe s przechowywane w szafie pancernej w budynku Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. Osob odpowiedzialn za wymian kopii awaryjnych na aktualne jest Administrator Bezpiecze stwa Informacji. 4. Dyskietki, na których zapisywane s kopie zapasowe s ka dorazowo wymazywane i formatowane, w taki sposób, aby nie mo na było odtworzy ich zawarto ci. Płyty CD, na których przechowuje si kopie awaryjne niszczy si trwale w sposób mechaniczny. 5. Okresow weryfikacj kopii zapasowych pod k tem ich przydatno ci do odtworzenia danych przeprowadza Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. Niszczenie wydruków i zapisów na no nikach magnetycznych §8 1. No niki magnetyczne przekazywane na zewn trz powinny by pozbawione zapisów zawieraj cych dane osobowe. Niszczenie poprzednich zapisów powinno odbywa si poprzez wymazywanie informacji oraz formatowanie no nika. 2. Poprawno przygotowania no nika magnetycznego powinna by sprawdzona przez Administratora Bezpiecze stwa Informacji. 3. Uszkodzone no niki magnetyczne przed ich wyrzuceniem nale y fizycznie zniszczy (przeci , przełama itp.). 4. Po wykorzystaniu wydruki zawieraj ce dane osobowe powinny by niszczone w niszczarce papieru zlokalizowanej w pomieszczeniu, w którym znajduj si wydruki. ROZDZIAŁ VIII RODKI TECHNICZNE I ORGANIZACYJNE SŁU CE ZAPEWNIENIU POUFNO CI, INTEGRALNO CI I ROZLICZALNO CI PRZETWARZANYCH DANYCH OSOBOWYCH §1 System informatyczny Starostwa, ze wzgl du na poł czenie z sieci publiczn , musi zapewnia rodki bezpiecze stwa okre lone dla wysokiego poziomu bezpiecze stwa zgodnie z § 6 ust. 4 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024). Bezpiecze stwo fizyczne §2 1. Gwarancj zapewnienia bezpiecze stwa systemu informatycznego oraz przetwarzanych i przechowywanych danych osobowych jest zapewnienie bezpiecze stwa fizycznego. 2. Warunkiem zapewnienia bezpiecze stwa fizycznego systemu jest kontrola dost pu do wszystkich stacji roboczych. W zwi zku z tym szczególn ochron obejmuje si pomieszczenia, w których znajduj si serwery i w zły sieci oraz te, w których przechowywane s składowane dane osobowe. Wy ej wymienione pomieszczenia powinny by stale zamkni te, a dost p do nich powinni mie tylko Administrator Bezpiecze stwa Informacji i osoby przez niego upowa nione. Pomieszczenia powinny by wyposa one w elektroniczny system antywłamaniowy z całodobowym monitoringiem sygnału alarmu. 3. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 4. Szczególnie newralgiczne dla działania Starostwa systemy informatyczne takie jak systemy finansowo-kadrowe powinny (w ramach mo liwo ci organizacyjnotechnicznych i finansowych) zosta wydzielone z pozostałej cz ci Starostwa Powiatowego w Pabianicach. Sie komputerowa tych wydziałów i komórek organizacyjnych Starostwa (w ramach mo liwo ci technicznych i finansowych) powinna zosta wydzielona z sieci obsługuj cej pozostał cz Starostwa i obj ta dodatkowymi zabezpieczeniami. 5. Obowi zkiem osoby u ytkuj cej komputer przeno ny zawieraj cy dane osobowe jest zachowanie szczególnej ostro no ci podczas jego transportu, przechowywania i u ytkowania poza pomieszczeniami tworz cymi obszar, w którym przetwarzane s dane osobowe. Nale y d y do powszechnego stosowania ochrony kryptograficznej w takich przypadkach. §3 1. Ochron fizyczn budynków Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 stanowi zamki drzwiowe, okratowania okien oraz całodobowy 24 godzinny elektroniczny system alarmowy poł czony ze stacj monitoruj c Agencji Ochrony Mienia i Osób „ARGUS” w Pabianicach. 2. Ochron fizyczn budynków Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 zapewnia system monitoringu wizyjnego składaj cy si z 4 kamer i stacji rejestruj cej wszelkie ruchy osób i pojazdów przez 24 godziny na dob . 3. Ochron fizyczn budynku „A” Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 w godzinach 16.00 – 20.00 zapewnia stra nik Agencji Ochrony Mienia i Osób „ROKA” w Piotrkowie Trybunalskim. §4 1. Przebywanie pracowników na terenie budynków Starostwa Powiatowego w Pabianicach po godzinach pracy reguluje odr bne zarz dzenie Starosty Pabianickiego. 2. Godzin pobrania i zdania kluczy od poszczególnych pomieszcze odnotowuje si w specjalnie do tego przeznaczonym zeszycie, w którym odnotowuje si w szczególno ci: dat , godzin pobrania kluczy, numer pokoju, imi i nazwisko osoby pobieraj cej klucze oraz godzin zdania kluczy. 3. Klucze od pomieszcze serwerowni głównej zlokalizowanej w budynku „A” mog pobiera wył cznie w nast puj cej kolejno ci: a) Administrator Bezpiecze stwa Informacji, b) Pozostali informatycy zatrudnieni w Starostwie Powiatowym w Pabianicach, c) Naczelnik Wydziału Organizacyjnego, 4. Klucze od pomieszcze serwerowni Wydziału Komunikacji i Transportu zlokalizowanej w budynku „D” s w dyspozycji Naczelnika Wydziału Komunikacji i Transportu oraz pracownika wyznaczonego przez tego Naczelnika. 5. Klucze od serwerowni, o których mowa w ust. 3 i 4, przechowywane s : a) klucz od serwerowni w budynku „A” przechowywany jest w zamykane szafce zamontowanej w pokoju „Informacji” b) klucz od serwerowni w budynku „D” przechowywany jest w szafie metalowej ustawionej w pokoju Naczelnika Wydziału Komunikacji i Transportu. 6. Pomieszczenia serwerowni w budynku „A” i w budynku „D” po zako czeniu pracy s plombowane przez osoby, które s upowa nione do pobierania do nich kluczy. Wykorzystanie mechanizmów systemu operacyjnego §5 1. System operacyjny Microsoft Windows NT/2000 posiada rozbudowane mechanizmy nadawania uprawnie i praw dost pu. Dla pełnego wykorzystania tych mechanizmów nale y stosowa system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku lub awarii systemu. 2. Dla zwi kszenia efektywno ci centralnego zarz dzania i ledzenia zdarze w sieci nale y wykorzystywa mechanizmy Active Directory i oprogramowanie do zarz dzania i analizy sieci z centralnym punktem zarz dzania usytuowanym w Starostwie. 3. Nale y d y do zast pienia systemów operacyjnych Microsoft Windows 95/98 (nie maj wbudowanych wystarczaj cych mechanizmów bezpiecze stwa) systemem operacyjnym Microsoft Windows NT/2000, jako zapewniaj cego minimalne bezpiecze stwo dla serwerów i stacji roboczych systemu informatycznego. Zarz dzanie oprogramowaniem §6 1. Najwy sze uprawnienia w systemie informatycznym posiada Administrator Bezpiecze stwa Informacji. Tylko administrator jest osob uprawnion do instalowania i usuwania oprogramowania systemowego i narz dziowego. 2. Dopuszcza si instalowanie tylko legalnie pozyskanych programów, niezb dnych do wykonywania ustawowych zada Starostwa i posiadaj cych wa n licencj u ytkowania. Uwierzytelnianie u ytkowników §7 1. Dost p do systemu informatycznego słu cego do przetwarzania danych osobowych, mo e uzyska wył cznie osoba (u ytkownik) zarejestrowana w tym systemie przez Administratora Bezpiecze stwa Informacji na wniosek bezpo redniego przeło onego lub/i inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe. 2. Dost p do systemów operacyjnych serwerów i stacji roboczych powinien by chroniony przez nazw u ytkownika i hasło. Zespół ten tworzy jedn z głównych linii obrony przed intruzami. Dlatego nale y u wiadamia u ytkownikom rol , jak w systemie ochrony odgrywa dobrze wybrane „trudne” hasło o odpowiednio dobranym czasie ycia. Jednocze nie nale y wdro y mechanizmy systemowe kontroluj ce składni i czas ycia haseł. System ma wbudowane mechanizmy ograniczaj ce liczb bł dnych prób logowania oraz umo liwia wskazanie stacji roboczych, na których dany u ytkownik mo e pracowa . Zalecane jest ustawienie blokady konta u ytkownika na 3 do 5 prób logowania. 3. Identyfikator u ytkownika składa si z sze ciu znaków, z których dwa pierwsze odpowiadaj dwóm pierwszym literom imienia u ytkownika, a cztery kolejne odpowiadaj czterem pierwszym literom jego nazwiska. W identyfikatorze pomija si polskie znaki diakrytyczne. 4. Hasło powinno składa si z unikalnego zestawu co najmniej o miu znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie mo e by identyczne z identyfikatorem u ytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia si nie rzadziej ni co 30 dni. 5. U ytkownikom systemu nie wolno udost pnia swojego identyfikatora i hasła innym osobom. Redundancja sprz towa i programowa §8 1. Dla zapewnienia wysokiej niezawodno ci systemu Administrator Bezpiecze stwa Informacji opracowuje i wprowadzi procedury awaryjne (np. na wypadek uszkodzenia głównego serwera). 2. Nale y rygorystycznie przestrzega wymogu przechowywania no ników zawieraj cych awaryjne kopie danych i systemów w pomieszczeniach innych ni pomieszczenia, w których przechowywane s dane przeznaczone do bie cego u ytku. Jednocze nie dane te musz by odpowiednio zabezpieczone fizycznie (sejf, najlepiej ognioodporny, w zabezpieczonym pomieszczeniu). Zapewnienie stałego zasilania energi §9 1. Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS. 2. W przypadku stacji roboczych, UPS stosuje si w zale no ci od potrzeb i mo liwo ci finansowych. Procedury przeciwpo arowe § 10 1. Pomieszczenia, w których systemy komputerowe pracuj bez nadzoru, szczególnie pomieszczenia z serwerami pracuj cymi w systemie pracy ci głej powinny by wyposa one w elektroniczny system wykrywania po aru (czujki reaguj ce na ogie , dym, temperatur ). Sygnalizacja alarmu powinna by obj ta całodobowym monitoringiem. 2. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 3. System wykrywania po aru powinien obejmowa pomieszczenia, w których przechowywane s awaryjne kopie danych. Procedury awaryjne i procedury na wypadek kl sk ywiołowych i ewakuacji § 11 1. Zapewnieniu ci głej dost pno ci informacji słu procedury post powania w przypadku wydarze losowych (np. awaria serwera, zalanie pomieszczenia itp.). 2. Procedury, o których mowa w ust.1 powinny obejmowa uruchomienie systemu w minimalnej konfiguracji udost pniaj cej zasoby systemu. 3. Komputery przewidywane na awaryjne serwery powinny sta w pomieszczeniach innych ni serwery bie co eksploatowane. 4. W przypadku gdyby doszło do ewakuacji nale y w pierwszej kolejno ci zapewni bezpiecze stwo danym. Profilaktyka antywirusowa § 12 1. Wszystkie serwery i stacje robocze musz posiada zainstalowany program antywirusowy, z mo liwie cz sto aktualizowan baz wykrywanych wirusów, sprawdzaj cy w trybie rzeczywistym wszystkie przychodz ce i wychodz ce pliki. Zabronione jest blokowanie pracy tego programu. 2. Dla zapewnienia ochrony przed wirusami i innymi niepo danymi kodami sprawdza si wszystkie zbiory przychodz ce z sieci rozległej i Internetu. 3. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje si , co najmniej raz w tygodniu, cało ciowym testem antywirusowym. Przeciwdziałanie nowym technikom łamania zabezpiecze wykrytych w zabezpieczeniach systemów oraz eliminacja luk § 13 W zwi zku z dynamicznym rozwojem technik słu cych do atakowania systemów informatycznych Administrator Bezpiecze stwa Informacji powinien na bie co ledzi informacje na temat wykrytych luk i wprowadza zalecane zabezpieczenia. Procedury tworzenia kopii zapasowych ich przechowywania i ochrony § 14 1. Dla systemów finansowo-kadrowych kopie bezpiecze stwa wykonuje si codziennie. 2. Dla pozostałych danych o cz stotliwo ci składowania decyduje Administrator Bezpiecze stwa Informacji, w zale no ci od liczby wprowadzanych zmian, nie rzadziej jednak ni raz w miesi cu. 3. Kopie zapasowe przechowuje si w ognioodpornym sejfie umieszczonym w pomieszczeniu innym, ni dane przetwarzane na bie co. 4. Kopie awaryjne podlegaj takiej samej ochronie jak serwery zawieraj ce dane bie co przetwarzane. Pomieszczenie, w którym s przechowywane kopie awaryjne, powinno by obj te elektroniczn kontrol dost pu i elektronicznym systemem wykrywania po aru Procedury post powania z no nikami informacji i wydrukami (wytwarzanie, rejestrowanie, kasowanie, niszczenie) § 15 1. Dla zachowania wysokiego poziomu bezpiecze stwa informacji w systemie informatycznym okre la si procedury post powania z no nikami (dyskietki, kasety, kr ki CD, no niki papierowe) zawieraj cymi informacje od chwili wytworzenia do chwili skasowania lub zniszczenia. 2. Powinno si d y - dla zapewnienia szczelno ci systemu - aby no niki były opisane i ewidencjonowane. Testy okresowe systemu ochrony § 16 1. System ochrony powinien by w sposób ci gły nadzorowany i mo liwie cz sto aktualizowany. 2. Kontrole i testy powinny obejmowa zarówno dost p do zasobów systemu, jak i profile oraz uprawnienia poszczególnych u ytkowników. 3. Zapisy logów systemowych powinny by przegl dane codziennie oraz ka dorazowo po wykryciu naruszenia zasad bezpiecze stwa. Zabezpieczanie przetwarzania niejawnych informacji § 17 W systemach informatycznych Starostwa informacje niejawne mog by przetwarzane tylko na wydzielonych komputerach dopuszczonych przez wła ciw słu b ochrony pa stwa, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11 poz. 95, z pó . zm.). Zabezpieczenia medium transmisyjnego § 18 1. Poł czenia z sieci wewn trznej (Intranet) z sieci zewn trzn (Internet) mog by wykonywane tylko za po rednictwem systemów firewall o odpowiednich parametrach zainstalowanych w Starostwie. Jednocze nie zabrania si dokonywania jakichkolwiek innych przył cze sieci Starostwa do sieci Internet. 2. Do przesyłania danych przy poł czeniach w sieci publicznej (Internet), z uwagi na przetwarzane dane osobowe, powinny by wykorzystywane tylko kanały transmisji udost pniane przez pracowników Starostwa. Kanały te powinny zawiera ochron kryptograficzn . 3. Komputery przeno ne pracowników podczas poł cze z sieci Internet, wykonywanych poza sieci wewn trzn Starostwa, powinny by chronione swoimi autonomicznymi systemami firewall. 4. Zasad konfigurowania systemów firewall powinno by blokowanie wszystkich usług, które s zb dne dla statutowej działalno ci Starostwa. Konserwacja i naprawy sprz tu i oprogramowania § 19 1. Wszelkie naprawy i konserwacje sprz tu i oprogramowania mog odbywa si tylko w obecno ci osób uprawnionych. 2. Urz dzenia informatyczne słu ce do przetwarzania danych osobowych mo na przekaza do naprawy dopiero po uzyskaniu zgody Administratora Bezpiecze stwa Informacji. ROZDZIAŁ IX OPIS ZDARZE NARUSZAJ CYCH OCHRON DANYCH OSOBOWYCH §1 Zagro enia naruszaj ce ochron danych osobowych s nast puj ce: 1. Zagro enia losowe zewn trzne – w szczególno ci kl ski ywiołowe, przerwy w zasilaniu – ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ci gło systemu zostaje zakłócona, nie dochodzi do naruszenia poufno ci danych, 2. Zagro enia losowe wewn trzne – w szczególno ci niezamierzone pomyłki operatorów, administratora systemu, awarie sprz towe, bł dy oprogramowania - mo e doj do zniszczenia danych, mo e zosta zakłócona ci gło pracy systemu, mo e nast pi naruszenie poufno ci danych, 3. Zagro enia zamierzone, wiadome i celowe - najpowa niejsze zagro enia, naruszenia poufno ci danych, (zazwyczaj nie nast puje uszkodzenie infrastruktury technicznej i zakłócenie ci gło ci pracy), zagro enia te mo emy podzieli na: a) nieuprawniony dost p do systemu z zewn trz (włamanie do systemu), b) nieuprawniony dost p do systemu z jego wn trza, c) nieuprawniony przekaz danych, d) pogorszenie jako ci sprz tu i oprogramowania, e) bezpo rednie zagro enie materialnych składników systemu. §2 Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to w szczególno ci: 1. Sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na zasoby systemu jak np.: wybuch gazu, po ar, zalanie pomieszcze , katastrofa budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy remontowej itp., 2. Niewła ciwe parametry rodowiska, jak np. nadmierna wilgotno lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje pochodz ce od urz dze przemysłowych, 3. Awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie w kierunku naruszenia ochrony danych lub wr cz sabota , a tak e niewła ciwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru, 4. Pojawienie si odpowiedniego komunikatu alarmowego od tej cz ci systemu, która zapewnia ochron zasobów lub inny komunikat o podobnym znaczeniu, 5. Jako danych w systemie lub inne odst pstwo od stanu oczekiwanego wskazuj ce na zakłócenia systemu lub inn nadzwyczajn i niepo dan modyfikacj w systemie, 6. Nast piło naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w tym systemie, 7. Stwierdzono prób lub modyfikacj danych lub zmian w strukturze danych bez odpowiedniego upowa nienia (autoryzacji), 8. Nast piła niedopuszczalna manipulacja danymi osobowymi w systemie, 9. Ujawniono osobom nieupowa nionym dane osobowe lub obj te tajemnic procedury ochrony przetwarzania albo inne strze one elementy systemu zabezpiecze , 10. Praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odst pstwa od zało onego rytmu pracy wskazuj ce na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 11. Ujawniono istnienie nieautoryzowanych kont dost pu do danych lub tzw. „bocznej furtki”, itp., 12. Podmieniono lub zniszczono no niki z danymi osobowymi bez odpowiedniego upowa nienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe, 13. Ra co naruszono dyscyplin pracy w zakresie przestrzegania procedur bezpiecze stwa informacji (nie wylogowanie si przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamkni cie pomieszczenia z komputerem, nie wykonanie w okre lonym terminie kopii 14. Bezpiecze stwa, prace na danych osobowych w celach prywatnych, itp.). §3 Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urz dzenia archiwalne i inne) na no nikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdj ciach, dyskietkach w formie niezabezpieczonej itp. ROZDZIAŁ X ZASADY POST POWANIA W SYTUACJI NARUSZENIA SYSTEMU OCHRONY DANYCH OSOBOWYCH §1 Niniejsze zasady okre laj tryb post powania w przypadku gdy: 1. Stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie, 2. Stan urz dzenia, zawarto zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jako komunikacji w sieci telekomunikacyjnej, mog wskazywa na naruszenie zabezpiecze tych danych. §2 O naruszeniu ochrony danych osobowych mog wiadczy w szczególno ci nast puj ce symptomy: 1. Brak mo liwo ci uruchomienia przez u ytkownika aplikacji pozwalaj cej na dost p do danych osobowych. 2. Brak mo liwo ci zalogowania si do tej aplikacji. 3. Ograniczone, w stosunku do normalnej sytuacji, uprawnienia u ytkownika aplikacji (np. brak mo liwo ci wykonywania pewnych operacji normalnie dost pnych u ytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji. 4. Wygl d aplikacji inny ni normalnie. 5. Inny zakres danych ni normalnie dost pny dla u ytkownika – du o wi cej lub du o mniej danych. 6. Znaczne spowolnienie działania systemu informatycznego. 7. Pojawienie si niestandardowych komunikatów generowanych przez system informatyczny. 8. lady włamania lub prób włamania do obszaru, w którym przetwarzane s dane osobowe. 9. lady włamania lub prób włamania do pomieszcze , w których odbywa si przetwarzanie danych osobowych, w szczególno ci do serwerowni oraz do pomieszcze , w których przechowywane s no niki kopii awaryjnych. 10. Włamanie lub próby włamania do szafek, w których przechowywane s w postaci elektronicznej lub papierowej – no niki danych osobowych. 11. Zagubienie lub kradzie no nika danych osobowych. 12. Zagubienie lub kradzie no nika materiału krypotograficznego (karty mikroprocesorowej, dyskietki itp). 13. Kradzie sprz tu informatycznego, w którym przechowywane były dane osobowe. 14. Informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego wirusami. 15. Fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego przetwarzaj cego dane osobowe na skutek przypadkowych lub celowych działa albo zaistnienia siły wy szej. 16. Podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w systemie informatycznym. §3 1. Dane osobowe zostaj ujawnione, gdy staj si znane w cało ci lub cz ci pozwalaj cej na okre lenie osobom nie uprawnionym to samo ci osoby, której dane dotycz . 2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpiecze stwa nale y przeprowadzi post powanie wyja niaj ce, czy dane osobowe nale y uzna za ujawnione. §4 1. Ka dy pracownik Starostwa bior cy udział w przetwarzaniu danych osobowych w systemie informatycznym jest odpowiedzialny za bezpiecze stwo tych danych. W szczególno ci osoba, która zauwa yła zdarzenie mog ce by przyczyn naruszenia ochrony danych osobowych lub mog cych spowodowa naruszenie bezpiecze stwa danych, zobowi zana jest do natychmiastowego poinformowania Administratora Bezpiecze stwa Informacji lub innej osoby wskazanej przez niego. 2. Ka da osoba zatrudniona w Starostwie , która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób), powinna niezwłocznie poinformowa o tym osob zatrudnion przy przetwarzaniu danych osobowych lub Administratora Bezpiecze stwa Informacji, albo inna upowa nion przez niego osob . 3. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przygotowanie i opublikowanie wykazu osób, które mog by informowane w przypadku wyst pienia zagro enia danych osobowych. 4. W przypadku niemo liwo ci zawiadomienia Administratora Bezpiecze stwa Informacji lub osób przez niego upowa nionych, pracownik winien powiadomi bezpo redniego przeło onego. §5 1. Informacja o pojawieniu si zagro enia lub wyst pieniu zagro enia danych osobowych przekazywana jest przez pracownika osobi cie, telefonicznie lub poczt elektroniczn . 2. Informacja, o której mowa w ust. 1 powinna zawiera imi i nazwisko osoby zgłaszaj cej oraz zauwa one symptomy zagro enia. 3. W przypadku gdy zgłoszenie o podejrzeniu zaistnienia incydentu otrzyma osoba inna ni Administrator Bezpiecze stwa Informacji, jest ona obowi zana poinformowa o tym fakcie Administratora Bezpiecze stwa Informacji. 4. Pracownik mo e zosta poproszony przez Administratora Bezpiecze stwa Informacji o potwierdzenie zauwa onego faktu na pi mie. §6 1. Do czasu przybycia Administratora Bezpiecze stwa Informacji lub upowa nionej przez niego osoby, zgłaszaj cy: 1) niezwłocznie podejmuje czynno ci niezb dne do powstrzymania niepo danych skutków zaistniałego naruszenia, o ile istnieje taka mo liwo , a nast pnie uwzgl dnia w działaniu równie ustalenie przyczyn lub sprawców, 2) zabezpiecza dost p do miejsca lub urz dzenia przez osoby trzecie, 3) wstrzymuje prac na komputerze na którym zaistniało naruszenie ochrony oraz nie uruchamia bez koniecznej potrzeby komputerów i innych urz dze , których funkcjonowanie w zwi zku naruszeniem ochrony zostało wstrzymane, 4) nie zmienia poło enia przedmiotów, które pozwalaj stwierdzi naruszenie ochrony lub odtworzy jej okoliczno ci, 5) podejmuje, stosownie do zaistniałej sytuacji, inne niezb dne działania celem zapobie enia dalszym zagro eniom, które mog skutkowa utrat danych osobowych, 6) podejmuje inne działania przewidziane i okre lone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzysz cych naruszeniu, 7) wst pnie udokumentowa zaistniałe naruszenie. 3. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne je eli zachodzi konieczno ratowania osób lub mienia albo zapobie enia gro cemu niebezpiecze stwu. §7 Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona, niezwłocznie po uzyskaniu sygnału o naruszeniu danych osobowych, powinien : 1. Zapozna si z zaistniał sytuacj i dokona wyboru metody dalszego post powania maj c na uwadze ewentualne zagro enia dla prawidłowo ci pracy Starostwa. 2. Zapisa wszelkie informacje zwi zane z danym zdarzeniem. 3. Na bie co wygenerowa i wydrukowa wszystkie mo liwe dokumenty i raporty, które mog pomóc w ustaleniu okoliczno ci zdarzenia. 4. Przyst pi do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do okre lenia skali zniszcze i metody dost pu do danych osoby niepowołanej. 5. Dokona fizycznego odł czenia urz dze i segmentów sieci, które mogły umo liwi dost p do bazy danych osobie nie uprawnionej. 6. Wylogowa u ytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych. 7. Dokona zmiany hasła na konto Administratora Bezpiecze stwa Informacji i u ytkownika, poprzez które uzyskano nielegalny dost p w celu unikni cia ponownej próby włamania. 8. Za da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak równie od ka dej innej osoby, która mo e posiada informacje zwi zane z zaistniałym naruszeniem. 9. Rozwa y mo liwo i potrzeb powiadomienia o zaistniałym naruszeniu Starosty Pabianickiego – Administratora Danych lub Sekretarza Powiatu. 10. Nawi za bezpo redni kontakt, je eli zachodzi taka potrzeba, ze specjalistami spoza Starostwa. 11. Zamkn i opiecz towa urz dze , w których przechowywane s dane osobowe w formie analogowej. §8 Administrator Bezpiecze stwa Informacji podejmuje działania zmierzaj ce do wyja nienia zgłoszonego zdarzenia. W szczególno ci mo e on dokonywa , w zale no ci od zgłoszonego zdarzenia: 1. Wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia. 2. Przeprowadzenia wywiadów z pracownikami w celu ustalenia zaistniałych faktów. 3. Przeprowadzenia analizy poprawno ci funkcjonowania systemu informatycznego, je eli zgłoszone zdarzenie było zwi zane z nieprawidłowym jego funkcjonowaniem. 4. Przeprowadzenia analizy zapisu zdarze w systemie informatycznym z uwzgl dnieniem zapisu operacji realizowanych przez u ytkowników. 5. Przeprowadzenia analizy danych przetwarzanych w systemie informatycznym, je eli zgłoszone zdarzenie mogło by spowodowane utrat dost pno ci lub integralno ci przetwarzanych danych. 6. Sporz dzenia dokumentacji fotograficznej. 7. Zabezpieczenia danych przetwarzanych w systemie informatycznym dotkni tym incydentem, w szczególno ci danych konfiguracyjnych tego systemu. 8. Zebrania innych materiałów pozwalaj cych na wyja nienie przyczyn zaistnienia incydentu, jego charakteru i potencjalnych skutków. §9 Po wykonaniu czynno ci, o których mowa w § 7 i w § 8, Administrator Bezpiecze stwa Informacji jest zobowi zany do podj cia kroków w celu: 1. Wyja nienia zdarzenia – w szczególno ci czy miało miejsce naruszenie ochrony danych osobowych. 2. Wyja nienia przyczyn naruszenia bezpiecze stwa danych osobowych i zebranie ewentualnych dowodów – w szczególno ci, gdy zdarzenie było zwi zane z celowym działaniem pracowników b d osób trzecich. 3. Zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem si zagro enia. 4. Usuni cie skutków incydentu i przywrócenie pierwotnego stanu systemu informatycznego ( to jest sprzed incydentu). 5. Ewentualnego ukarania sprawców incydentu. § 10 Administrator Bezpiecze stwa Informacji przyst puje do usuwania skutków incydentu i przywrócenia prawidłowego przebiegu procesu przetwarzania danych osobowych. W szczególno ci działania zwi zane z usuwaniem skutków incydentu mog obejmowa : 1. Przeprowadzenie naprawy sprz tu informatycznego. 2. Rekonfiguracj sprz tu informatycznego. 3. Wprowadzenie poprawek do oprogramowania. 4. Rekonfiguracj oprogramowania. 5. Odtworzenie danych z kopii awaryjnych. 6. Modyfikacj danych w celu odtworzenia ich integralno ci. 7. Wycofanie z u ycia materiału kryptograficznego. 8. Inne naprawy urz dze wchodz cych w skład infrastruktury informatycznej i wspomagaj cych lub zabezpieczaj cych działanie systemu informatycznego. § 11 Administrator Bezpiecze stwa Informacji mo e odst pi od usuwania skutków incydentu, je eli został on spowodowany działaniem celowym, a całkowite wyja nienie zdarzenia i wyci gni cie konsekwencji wobec sprawców jest istotniejsze ni przerwa w działaniu systemu. Istniej cy stan systemu informatycznego jest niezmieniany w celach dowodowych do czasu wyja nienia sprawy. § 12 Przy usuwaniu skutków incydentu z wykorzystaniem odtwarzania danych z kopii awaryjnych Administrator Bezpiecze stwa Informacji obowi zany jest upewni si , e odtworzone dane zostały zapisane przed wyst pieniem incydentu – w szczególno ci dotyczy to przypadków odtwarzania systemu po infekcji wirusowej. § 13 1. W sytuacjach wyj tkowych wszystkie powy ej opisane działania zwi zane z usuwaniem skutków incydentu i wyja nianiem jego przyczyn mog by realizowane przez osoby upowa nione przez Administratora Bezpiecze stwa Informacji. 2. Administrator Bezpiecze stwa Informacji odpowiada za sporz dzenie listy pracowników maj cych prawo do podejmowania odpowiednich kroków w razie wyst pienia incydentu w sytuacji, gdy nie mog one by wykonane osobi cie przez niego. § 14 1. Administrator Bezpiecze stwa Informacji okre la, na podstawie przeprowadzonych wyja nie , przyczyny zaistnienia incydentu. 2. Je eli incydent był spowodowany celowym działaniem, Administrator Bezpiecze stwa Informacji jest zobowi zany do pisemnego powiadomienia Starosty Pabianickiego - Administratora Danych lub Sekretarza Powiatu. 3. Starosta Pabianicki - Administrator Danych lub Sekretarz Powiatu, bior c pod uwag charakter zdarzenia, mo e poinformowa organy uprawnione do cigania przest pstw o fakcie celowego naruszenia bezpiecze stwa danych osobowych przetwarzanych w systemie informatycznym. § 15 Zgod na uruchomienie komputerów i innych urz dze lub dokonanie zmian w miejscu naruszenia ochrony wyra a Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. § 16 1. System informatyczny, którego prawidłowe działanie zostało odtworzone, powinien zosta poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usuni cia symptomów incydentu. W czasie jej trwania u ytkowanie systemu informatycznego powinno by ograniczone do niezb dnego minimum. 2. Okres kwarantanny, o którym mowa w ust.1, jest uzale niony charakterem incydentu i specyfik systemu informatycznego – jest on ka dorazowo okre lany przez Administratora Bezpiecze stwa Informacji. § 17 1. Administrator Bezpiecze stwa Informacji dokumentuje w raporcie ka dy zaistniały przypadek naruszenia ochrony danych osobowych. 2. Dokumentacja , o której mowa w ust.1, obejmuje nast puj ce informacje: 1) imi i nazwisko osoby zgłaszaj cej incydent, 2) imi i nazwisko osoby przyjmuj cej zgłoszenie incydentu, 3) dat i godzin przyj cia zgłoszenia incydentu, 4) okre lenie czasu i miejsca incydentu, 5) opis zgłoszonego incydentu oraz okoliczno ci towarzysz ce, 7) przyczyny wyst pienia naruszenia, 8) opis podj tych działa naprawczych, 9) wyniki przeprowadzonego badania wyja niaj cego, 10) ocen skuteczno ci przeprowadzonego post powania naprawczego, 11) podj te rodki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania w przyszło ci naruszenia ochrony danych osobowych. 2. Wzór raportu, o którym mowa w ust.1, okre la zał cznik nr 3 do Polityki Bezpiecze stwa § 18 Administrator Bezpiecze stwa Informacji w oparciu o posiadan dokumentacj , odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych incydentów w celu: 1. Okre lenia skuteczno ci podejmowanych działa wyja niaj cych i naprawczych. 2. Okre lenia wymaga działa zwi kszaj cych bezpiecze stwo systemu informatycznego i minimalizuj cych ryzyko zaistnienia incydentów. 3. Okre lenia potrzeb w zakresie szkole u ytkowników systemu informatycznego przetwarzaj cego dane osobowe. ROZDZIAŁ XI POSTANOWIENIA KO COWE §1 1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego w niniejszym dokumencie, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie z okre lonymi zasadami, a tak e gdy nie zrealizowała stosownego działania dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne. 2. Administrator Bezpiecze stwa Informacji zobowi zany jest prowadzi ewidencj osób, które zostały zapoznane z niniejszym dokumentem i zobowi zuj si do stosowania zasad w nim zawartych wg wzoru stanowi cego zał cznik Nr 4 do Polityki Bezpiecze stwa. §2 1. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszego dokumentu mog by potraktowane jako ci kie naruszenie obowi zków pracowniczych, w szczególno ci przez osob , która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora Bezpiecze stwa Informacji. 2. Orzeczona kara dyscyplinarna, wobec osoby uchylaj cej si od powiadomienia Administratora Bezpiecze stwa Informacji nie wyklucza odpowiedzialno ci karnej tej osoby zgodnie z ustaw z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, póz. 926) oraz mo liwo ci wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawc o zrekompensowanie poniesionych strat. §3 W sprawach nie uregulowanych niniejszym dokumentem maj zastosowanie przepisy 1) ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z pó . zm.), 2) rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) 3) rozporz dzenie Ministra Sprawiedliwo ci z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci do przekazywania informacji - do gromadzenia wykazów poł cze telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz. U. Nr 100, poz. 1023).