Załącznik 1 - Polityka Bezpieczeństwa

Transkrypt

Zał cznik
do Zarz dzenia Nr 20/05
Starosty Pabianickiego
z dnia 18 lipca 2005 roku
POLITYKA BEZPIECZE STWA
ROZDZIAŁ I
POSTANOWIENIA OGÓLNE
§1
1. Polityka Bezpiecze stwa jest rozumiana jako całokształt działa , zmierzaj cych do
uzyskania i utrzymania wymaganego poziomu bezpiecze stwa danych osobowych, tj.
zapewnienie poufno ci, spójno ci i dost pno ci na ka dym etapie tworzenia,
przetwarzania, przechowywania i przesyłania danych osobowych.
2. Polityka Bezpiecze stwa obejmuje zbiór zasad dotycz cych bezpiecze stwa danych
osobowych ustalonych w oparciu o wymagania wynikaj ce z przepisów prawa, z
szacowania ryzyka w zwi zku z wykonywaniem okre lonych prawem zada przez
Starostwo Powiatowe w Pabianicach oraz wewn trzne wymogi i uwarunkowania
lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej „Starostwem”.
3. Polityka Bezpiecze stwa zapewnia:
1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z
podstawowymi procedurami zdefiniowanymi w Starostwie,
2) skuteczniejsze działania w odniesieniu do zagro e poufno ci, integralno ci
i dost pno ci danych osobowych,
3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno
wobec klientów Starostwa,
4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i
przesyłanych nie tylko za pomoc systemów informatycznych ale równie w
innych obszarach ich przetwarzania i przechowywania (np. papierowej).
4. Celem Polityki Bezpiecze stwa jest wskazanie działa , jakie nale y podejmowa oraz
ustanowienie zasad, jakie nale y stosowa , aby prawidłowo były realizowane
obowi zki Starosty Pabianickiego jako Administratora Danych w zakresie
zabezpieczenia danych osobowych.
§2
Ilekro w niniejszej Polityce Bezpiecze stwa jest mowa o:
1. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych,
2. zbiorze danych –rozumie si przez to ka dy posiadaj cy struktur zestaw danych o
charakterze osobowym, dost pnych według okre lonych kryteriów, niezale nie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
3. przetwarzaniu danych – rozumie si przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udost pnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach
informatycznych,
4. danych osobowych – rozumie si przez to wszelkie informacje dotycz ce
zidentyfikowanej lub mo liwej do zidentyfikowania osoby fizycznej,
5. identyfikatorze u ytkownika - rozumie si przez to ci g znaków literowych,
cyfrowych lub innych jednoznacznie identyfikuj cy osob upowa nion do
przetwarzania danych osobowych w systemie informatycznym,
6. ha le - rozumie si przez to ci g znaków literowych, cyfrowych lub innych, znany
jedynie osobie uprawnionej do pracy w systemie informatycznym,
7. sieci telekomunikacyjnej – rozumie si przez to sie telekomunikacyjn w
rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r – Prawo telekomunikacyjne,
8. sieci teleinformatycznej – rozumie si przez to słu c do przetwarzania danych
osobowych organizacyjnie i technicznie poł czenie systemów teleinformatycznych
wraz z ł cz cymi je urz dzeniami i liniami,
9. sieci publicznej – rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28
ustawy z dnia 16 lipca 2004 r – Prawo telekomunikacyjne,
10. teletransmisji – rozumie si przez to przesyłanie informacji za po rednictwem sieci
telekomunikacyjnej,
11. u ytkowniku – rozumie si przez to osob upowa nion do dost pu i przetwarzania
danych osobowych,
12. Administratorze Bezpiecze stwa Informacji – rozumie si przez to wyznaczonego
przez Starost
Pabianickiego, Administratora Bezpiecze stwa Informacji
odpowiedzialnego za bezpiecze stwo danych osobowych,
13. systemie informatycznym –, rozumie si przez to zespół współpracuj cych ze sob ,
programów, procedur przetwarzania informacji i narz dzi programowych
zastosowanych w celu przetwarzania danych w Starostwie Powiatowym w
Pabianicach,
14. systemie teleinformatycznym – rozumie si przez wszelkie urz dzenia, narz dzia,
metody post powania i procedury stosowane przez pracowników Starostwa
Powiatowego w Pabianicach w celu tworzenia, przechowywania, przetwarzania lub
przekazywania informacji zapisywanych elektronicznie,
15. zabezpieczeniu systemu informatycznego – nale y przez to rozumie wdro enie
stosowanych rodków administracyjnych, technicznych oraz ochrony przed
modyfikacj , zniszczeniem, nieuprawnionym dost pem i ujawnieniem lub
pozyskaniem danych osobowych, a tak e ich utrat ,
16. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to
wdro enie i eksploatacj stosownych rodków technicznych i organizacyjnych
zapewniaj cych ochron danych przed ich nieuprawnionym przetwarzaniem,
17. rozliczalno ci - rozumie si przez to wła ciwo zapewniaj c , e działania podmiotu
mog by przypisane w sposób jednoznaczny tylko temu podmiotowi,
18. integralno ci danych - rozumie si przez to wła ciwo zapewniaj c , e dane
osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
19. uwierzytelnianiu - rozumie si przez to działanie, którego celem jest weryfikacja
deklarowanej to samo ci podmiotu,
20. poufno ci danych - rozumie si przez to wła ciwo zapewniaj c , e dane nie s
udost pniane nieupowa nionym podmiotom,
21. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich
modyfikacj , która nie pozwoli na ustalenie to samo ci osoby, której dane dotycz .
§3
W Starostwie Powiatowym w Pabianicach z uwagi na fakt, e urz dzenia systemu
informatycznego słu cego do przetwarzania danych osobowych poł czone s z sieci
publiczn , stosuje si wysoki poziom bezpiecze stwa teleinformatycznego.
§4
Bezpiecze stwo teleinformatyczne na poziomie wysokim zapewnia si przez:
1. Ochron fizyczn ,
2. Ochron elektromagnetyczn ,
3. Ochron kryptograficzn ,
4. Bezpiecze stwo teletransmisji,
5. Kontrol dost pu do urz dze systemu lub sieci teleinformatycznej.
§5
Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków
zabezpieczaj cych pomieszczenia, w którym znajduj si urz dzenia systemu lub sieci
teleinformatycznej, w szczególno ci przed:
1. Nieuprawnionym dost pem.
2. Podgl dem.
3. Podsłuchem.
§6
Ochrona elektromagnetyczna polega na:
1. Wszelkie urz dzenia systemu i sieci teleinformatycznej winny znajdowa si w
odległo ci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mog cej
zakłóca prawidłow prac tych urz dze .
2. W trakcie pracy urz dze systemu i sieci teleinformatycznej w strefie bezpiecze stwa
nale y wył czy urz dzenia o wysokiej emisyjno ci fal elektromagnetycznych lub
stosowa zastosowanie urz dze , poł cze linii o obni onym poziomie emisji lub ich
ekranowanie i filtrowanie zewn trznych linii zasilaj cych lub sygnałowych.
3. Komputery na których przetwarzane s dane osobowe powinny spełnia warunek
obni onej emisyjno ci.
§7
1. Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu
metod i rodków zabezpieczaj cych dane osobowe przez ich szyfrowanie oraz
stosowanie innych mechanizmów kryptograficznych gwarantuj cych integralno i
zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie
podmiotów, lub uwierzytelnienie informacji.
2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy
przekazywaniu danych osobowych w formie elektronicznej, poza strefy
bezpiecze stwa.
3. Przemieszczanie komputerów przeno nych, w których przetwarzane s dane osobowe,
poza strefy bezpiecze stwa wymaga stosowania kryptograficznych metod i rodków
ochrony tych danych lub innych rodków ochrony, gwarantuj cych ich zabezpieczenie
przed nieuprawnionym ujawnieniem.
4. Przepis ust. 3 stosuje si do elektronicznych no ników zawieraj cych dane osobowe,
przemieszczanych poza strefy bezpiecze stwa.
ROZDZIAŁ II
WYKAZ POMIESZCZE TWORZ CYCH OBSZAR, W KTÓRYM
PZETWARZANE S DANE OSOBOWE
§1
1. Pomieszczeniami tworz cymi obszar, w którym znajduj si przetwarzane dane
osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek,
rejestrów i innych oraz stacjonarny sprz t komputerowy, w którym s przetwarzane
dane osobowe.
2. Przebywanie w pomieszczeniach znajduj cych si wewn trz obszaru, o którym mowa
w ust.1, osób nieuprawnionych do dost pu do danych osobowych, jest dopuszczalne
tylko w obecno ci osoby zatrudnionej przy przetwarzaniu tych danych.
3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i
chronione na czas nieobecno ci w nich osób upowa nionych do przetwarzania danych
osobowych, w sposób uniemo liwiaj cy dost p do nich osób trzecich.
§2
Wykaz pomieszcze tworz cych obszar, w którym przetwarzane s dane osobowe został
okre lony w zał czniku Nr 1 do Polityki Bezpiecze stwa.
ROZDZIAŁ III
WYKAZ ZBIORÓW DANYCH OSOBOWYCH
ORAZ
PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH
§1
Starostwo przetwarza dane osobowe w zbiorach, w zwi zku z wykonywaniem zada
wynikaj cych z art. 4 ustawy o samorz dzie powiatowym i stosownych przepisów prawa
materialnego i proceduralnego.
§2
Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych
danych zawiera zał cznik Nr 2 do Polityki Bezpiecze stwa.
ROZDZIAŁ IV
OPIS STRUKTURY ZBIORÓW DANYCH
§1
Zbiory danych osobowych przetwarzanych w Starostwie Powiatowym w Pabianicach maj
nast puj ce struktury:
1. W zbiorze danych “Lista wypłat stypendystów” przetwarzane s dane osobowe w zakresie:
a) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu)
b) Kwota stypendium
c) Nr rachunku
d) Imi i nazwisko opiekuna prawnego/ucznia
2. W zbiorze danych “Dochody Skarbu Pa stwa” przetwarzane s dane osobowe w zakresie:
b) Informacje dodatkowe
c) Umowy
d) Windykacje
3. W zbiorze danych “Zbiór decyzji w zakresie utrzymania urz dze melioracji wodnych”
przetwarzane s dane osobowe w zakresie:
b) Wie
c) Kwota
d) nr. decyzji
4. W zbiorze danych “Rejestr kart w dkarskich” przetwarzane s dane osobowe w zakresie:
b) Data urodzenia
c) nr. karty
5. W zbiorze danych “Rejestr decyzji i dokumentacji wodnoprawnych” przetwarzane s dane
osobowe w zakresie:
a) Nazwa
b) Inwestor
c) nr. RWA
6. W zbiorze danych “Rejestr sprz tu pływaj cego do amatorskiego połowu ryb”
a) Data wpisu
b) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu)
c) Dane techniczne
d) nr. rejestracyjny
e) Data wykre lenia
7. W zbiorze danych “Rejestr gruntów wył czonych z produkcji rolniczej” przetwarzane s
dane osobowe w zakresie:
b) Obr b (adres i nr. ewidencyjny działki)
c) Decyzja (nr i data)
d) Klasa i areał gruntu
e) pochodzenie gleby
f) sposób zagospodarowania gruntu
g) Data (wszcz cia i zako czenia sprawy)
h) Uwagi
8. W zbiorze danych “Radni Rady Powiatu Pabianickiego II kadencji” przetwarzane s dane
osobowe w zakresie:
b) Nr. telefonu (słu bowy, prywatny)
c) Przynale no partyjna
9. W zbiorze danych “Decyzje (wjazdy, kary, decyzje)”, “Wypadki samochodowe”, “Nadzór
nad organizacj ruchu”, “Zarz dzanie ruchem BRD”, “Decyzje i postanowienia”
10.W zbiorze danych “Dochody Skarbu Pa stwa – opłaty melioracyjne”, “Wieczyste
u ytkowanie gruntów”, “Dzier awa nieruchomo ci”, “Przekształcenie wieczystego
u ytkowania gruntów” przetwarzane s dane osobowe w zakresie:
a) zbioru danych “Dochody Skarbu Pa stwa”
b) nr. konta
11.W zbiorze danych “Zakładowy fundusz wiadcze socjalnych”, “Pracownicza kasa
zapomogowo-po yczkowa”, “ rodek specjalny-drogi” przetwarzane s dane osobowe w
zakresie:
a) nr. konta
b) Dane adresowe (imi , nazwisko, kod pocztowy, miejscowo , ulica, nr domu)
12.W zbiorze danych “Decyzje o przekształcaniu prawa u ytkowania wieczystego w prawo
własno ci” przetwarzane s dane osobowe w zakresie:
b) Pesel
c) Imiona rodziców
d) Wypisy
13.W zbiorze danych “Decyzje o zwrocie siedliska i działek do ywotniego u ytkowania”
b) Imiona rodziców
14.W zbiorze danych “Ewidencja u ytkowników wieczystych, dzier awców, u ytkowników,
najemców, nabywców gruntów Skarbu Pa stwa i Powiatu” przetwarzane s dane osobowe
w zakresie:
b) Pesel
c) NIP
d) Warto ci Gruntów
15.W zbiorach danych “Decyzje o wywłaszczaniu nieruchomo ci i ustaleniu odszkodowania”,
Decyzje zezwalaj ce na czasowe zaj cie nieruchomo ci”, Ewidencja repatriantów”
16.W zbiorze danych “Rejestr niepublicznych placówek o wiatowych – szkoły
niepubliczne” oraz “Rejestr niepublicznych placówek o wiatowych – placówki
niepubliczne” przetwarzane s dane osobowe w zakresie:
a) Kserokopie dyplomów
b) Nazwa szkoły/placówki
c) Typ szkoły/placówki
d) siedziba (adres szkoły/placówki)
e) data zgłoszenia wpisu
f) Dane adresowe osoby zakładaj cej szkoł /placówk (imi , nazwisko, kod pocztowy,
miejscowo , ulica, nr domu)
17.W zbiorze danych “Skierowania do kształcenia specjalnego, decyzje o przyznaniu
indywidualnego nauczania, zaj rewalidacyjno-wychowawczych” przetwarzane s dane
osobowe w zakresie:
b) Szkoła do której osoba została skierowana
c) Imi i nazwisko osoby wnioskuj cej
d) Orzeczenie z poradni
18.W zbiorze danych “Listy uczniów kwalifikuj cych si do otrzymania stypendiów
wiejskich” przetwarzane s dane osobowe w zakresie:
b) przynale no do szkoły
19.W zbiorze danych “Wykaz imienny nauczycieli przebywaj cych na urlopach zdrowotnych
i w stanach nieczynnych” przetwarzane s dane osobowe w zakresie:
a) Imi i nazwisko
b) szkoła
c) koszty
20.W zbiorze danych “Zestawienie imienne pracowników administracji i obsługi w szkołach
i placówkach o wiatowych” oraz “Zestawienie imienne nauczycieli zatrudnionych w
szkołach i placówkach o wiatowych kwalifikuj cych si do zwolnienia lub przej cia na
emerytur ” przetwarzane s dane osobowe w zakresie:
a) Szkoła
b) Imi i nazwisko
c) Wymiar etatu
d) Nauczany przedmiot
e) lata pracy
f) wiek
g) kwota przysługuj cej odprawy
21.W zbiorze danych “Imienny wykaz aktów mianowania” przetwarzane s dane osobowe w
zakresie:
b) Nazwa szkoły
c) Data i numer wydanego za wiadczenia
d) Data i numer wydanego aktu mianowania
e) Numer telefonu
22.W zbiorze danych “Rejestr doskonalenia zawodowego nauczycieli” przetwarzane s dane
osobowe w zakresie:
a) Imie i nazwisko
b) Szkoła
c) Data wpływu
d) Protokół z posiedzenia komisji
e) Nazwa szkoły/kursu na który osoba jest wysyłana
f) Koszt dofinansowania
g) Numer konta nauczyciela
23.W zbiorze danych “Opinie pracy, nagrody” przetwarzane s dane osobowe w zakresie:
a) Opinia pracy
b) Imi i nazwisko
c) Data i miejsce urodzenia
d) Sta pracy pedagogicznej
e) Wykształcenie
f) Stanowisko
g) Nazwa szkoły/placówki
h) Stopie awansu zawodowego
i) Data rozpocz cia pracy w szkole
j) Forma nawi zania stosunku pracy
k) Data dokonania poprzedniej oceny
l) Dotychczasowe nagrody
m) ocena i uzasadnienie
24.W zbiorze danych “Decyzje (wjazdy, kary, decyzje)” przetwarzane s dane osobowe w
zakresie:
b) Zaj cia pasa
c) Płatno ci
d) wnioski
25.W zbiorze danych “Ewidencja pojazdów” przetwarzane s dane osobowe w zakresie:
a) Dane o poje dzie (marka, typ i model, rodzaj, numer rejestracyjny, numer
identyfikacyjny VIN lub numer nadwozia/podwozia, numer silnika, rok produkcji, data
pierwszej rejestracji, termin badania technicznego, zastrze enia, informacje o
dodatkowym badaniu technicznym)
b) Seria i numer dowodu rejestracyjnego albo pozwolenia czasowego oraz data ich
wydania
c) Nazwa organu, który dokonał rejestracji pojazdu
d) Dane o wła cicielu pojazdu oraz o posiadaczu ( Imie i nazwisko, adres zamieszkania,
Pesel, regon)
e) Informacje o nadaniu i wybiciu numeru nadwozia (podwozia) lub numeru silnika;
kradzie y pojazdu oraz jego odnalezieniu; utracie dowodu rejestracyjnego i tablic
rejestracyjnych, pozwolenia czasowego i tablic tymczasowych oraz karty pojazdu, a
tak e ich odnalezieniu; zatrzymaniu dowodu rejestracyjnego albo pozwolenia
czasowego
f) Informacje o zawartej umowie OC (Imie i nazwisko; adres zamieszkania; nazwa zakładu
ubezpiecze ; nazwa, seria i numer dokumentu potwierdzaj cego zawarcie umowy; data
zawarcia umowy; okres odpowiedzialno ci zakładu ubezpiecze ; data rozwi zania
umowy)
g) Dane o poje dzie (przeznaczenie, pojemno i moc silnika, dopuszczalna masa
całkowita, dopuszczalna ładowno , liczba osi, najwi kszy dopuszczalny nacisk osi,
dopuszczalna masa całkowita ci gni tej przyczepy, liczba miejsc, data pierwszej
rejestracji za granic , poprzedni numer rejestracyjny i nawa organu który dokonał
rejestracji)
h) Informacje o dowodzie rejestracyjnym (seria, numer, oraz data wydania wtórnika),
pozwoleniu czasowym (data wa no ci, data przedłu enia wa no ci, cel wydania, seria,
numer oraz data wydania wtórnika), karcie pojazdu (eria, numer, oraz data wydania
wtórnika), nalepce kontrolnej (data wydania wtórnika), znakach legalizacyjnych (seria,
numer, oraz data wydania wtórnika), nalepce na tablice tymczasowe (data wydania
wtórnika), wyrejestrowaniu pojazdu (data i przyczyna wyrejestrowania), zbyciu
pojazdu (dane nowego wła ciciela pojazdu), czasowym wycofaniu pojazdu z ruchu i
jego ponownym dopuszczeniu do ruchu po tym wycofaniu, wydanym za wiadczeniu o
demonta u pojazdu, inne dane i informacje stanowi ce tre adnotacji urz dowych,
identyfikator osoby dokonuj cej wpisu b d zmian w bazie danych.
26.W zbiorze danych “Ewidencja kierowców” przetwarzane s dane osobowe w zakresie:
b) Data i miejsce urodzenia
c) Pesel
d) Rodzaj oraz zakres uzyskanego uprawnienia
e) Data uzyskania pierwszego uprawnienia
f) Data wa no ci uprawnienia
g) Numer dokumentu stwierdzaj cego uprawnienie
h) Ograniczenia dotycz ce uprawnienia
i) Nazwa organu wydaj cego uprawnienie
j) zakres i numer za wiadczenia ADR
k) Dane dotycz ce zatrzymania dokumentu oraz jego zwrócenia, cofni cia uprawnienia
oraz jego przywrócenia, utraty dokumentu oraz jego odnalezienia, zastosowania rodka
karnego w postaci prowadzenia pojazdów.
27.W zbiorze danych “Ewidencja Szkół Nauki Jazdy” przetwarzane s dane osobowe w
zakresie:
a) Firma przedsi biorcy
b) Numer w rejestrze przedsi biorców albo ewidencji działalno ci gospodarczej oraz
numer NIP o ile przedsi biorca taki numer posiada
c) Adres zamieszkania lub siedziby przedsi biorcy
d) Adres o rodka szkolenia kierowców
e) Zakres prowadzonego szkolenia
f) Imiona i nazwiska instruktorów wraz z numerami ich uprawnie .
28.W zbiorze danych “Ewidencja Instruktorów Nauki Jazdy” przetwarzane s dane osobowe
w zakresie:
a) Imi i nazwisko
b) Pesel
c) Uprawnienia
29.W zbiorze danych “Ewidencja Firm Transportowych i Wła cicieli” przetwarzane s dane
osobowe w zakresie:
a) Nazwa firmy
c) Adres zamieszkania lub siedziby przedsi biorcy
d) Adres stacji kontroli pojazdów przedsi biorcy
e) Zakres bada
f) Imiona i nazwiska zatrudnionych diagnostów wraz z numerami ich uprawnie
30.W zbiorze danych “Ewidencja Firm i Wła cicieli u ytkuj cych pojazdy na potrzeby
własne” przetwarzane s dane osobowe w zakresie:
a) Nazwa firmy
c) Adres Firmy
d) Numery rejestracyjne pojazdów
31.W zbiorze danych “Akta osobowe” przetwarzane s dane osobowe w zakresie:
a) Imi i nazwisko
b) Numer Teczki
c) Adres zamieszkania
d) Wykształcenie
e) Dzie zatrudnienia
32.W zbiorze danych “Kadry i Płace” przetwarzane s dane osobowe w zakresie:
a) Dane kadrowe (Imie, nazwisko, nr. ewidencyjny, wydział)
b) Dane personalne (Dane kadrowe, Data urodzenia, N IP, imiona rodziców, kwalifikacje,
wykształcenie, adres zamieszkania, Pesel)
c) Dane Płacowe (Dane personalne, płace)
d) Dane o zatrudnieniu(Dane personalne, Data zatrudnienia)
33.W zbiorze danych “Kartoteka zasiłków chorobowych, macierzy skich, opieku czych”
a) Imi i nazwisko
b) Zasiłki
34.W zbiorze danych “Rejestry kancelaryjne rzeczowe” przetwarzane s dane osobowe w
zakresie:
a) Nazwa firmy
b) Adres
c) Imi i nazwisko
ROZDZIAŁ V
SPOSÓB PRZEPŁYWU DANYCH POMI DZY POSZCZEGÓLNYMI SYSTEMAMI
§1
W Starostwie Powiatowym w Pabianicach nie istniej
systemami informatycznymi.
adne relacje pomi dzy ró nymi
Rozdział VI
ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENO NYCH
PRZETWARZAJ CYCH DANE OSOBOWE
§1
Przetwarzanie danych osobowych przy u yciu komputerów przeno nych odbywa si mo e
wył cznie za wiedz i zgod Administratora Bezpiecze stwa Informacji.
§2
1. Osoba u ytkuj ca komputer przeno ny, w którym przetwarzane s dane osobowe,
zobowi zana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych
informacji, zwłaszcza przed dost pem do nich osób nieupowa nionych oraz przed
zniszczeniem.
2. Osoba u ytkuj ca komputer przeno ny zawieraj cy dane osobowe stosuje rodki
ochrony kryptograficznej wobec przetwarzanych danych osobowych.
§3
U ytkownik komputera przeno nego zobowi zany jest do:
1. Transportu komputera w sposób minimalizuj cy ryzyko kradzie y lub zniszczenia, a w
szczególno ci :
1) transportowania komputera w baga u podr cznym,
2) niepozostawiania komputera w samochodzie, przechowalni baga u itp.,
3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do
przenoszenia komputerów przeno nych.
2. Korzystania z komputera w sposób minimalizuj cy ryzyko podejrzenia przetwarzania
danych osobowych przez osoby nieupowa nione, w szczególno ci zabrania si
korzystania z komputera w miejscach publicznych i rodkach transportu publicznego.
3. Niezezwalania osobom nieupowa nionym ( w tym równie członkom rodziny i
znajomym) do korzystania z komputera przeno nego, na którym przetwarzane s dane
osobowe.
4. Niepodł cznia komputera przeno nego do Internetu za wyj tkiem podł cze do sieci
informatycznej na stałym stanowisku pracy.
5. Zabezpieczenia komputera przeno nego hasłem zgodnie z ogólnymi zasadami
zarz dzania hasłami przy dost pie do systemów informatycznych przetwarzaj cych
dane osobowe oraz przez jego szyfrowanie.
6. Blokowanie komputera przeno nego w przypadku, gdy nie jest on wykorzystywany
przez pracownika, jak równie stosowania innych mechanizmów zabezpieczaj cych,
zgodnie z zaleceniami Administratora Bezpiecze stwa Informacji.
7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez
przypi cie go do stołu, biurka itp.
8. Kopiowanie danych osobowych przetwarzanych na komputerze przeno nym do
systemu informatycznego w celu umo liwienia wykonania kopii zapasowych tych
danych. Kopiowanie danych winno odbywa si w zale no ci od cz stotliwo ci zmian
w tych danych, jednak e nie rzadziej ni raz na tydzie , z wył czeniem okresów, gdy
komputer przeno ny nie jest u ytkowany.
9. Umo liwienia, poprzez podł czenie komputera przeno nego do sieci informatycznej
Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym.
Podł czenie do sieci informatycznej powinno odbywa si przynajmniej raz w
tygodniu. Je eli komputer przeno ny nie jest u ytkowany przez dłu szy czas (ponad
jeden tydzie ) to rozpoczynaj c prac u ytkownik jest zobowi zany podł czy
komputer przeno ny do sieci informatycznej Starostwa w celu aktualizacji wzorców
wirusów.
§4
U ytkownicy komputerów przeno nych nie mog , bez zgody Administratora Bezpiecze stwa
Informacji, instalowa na u ytkowanych przez siebie komputerach oprogramowania.
§5
1. Administrator Bezpiecze stwa Informacji zobowi zany jest do podj cia działa w
celu zabezpieczenia komputerów przeno nych u ytkowanych do przetwarzania
danych osobowych.
2. W szczególno ci Administrator Bezpiecze stwa Informacji winien:
1) Dokona konfiguracji oprogramowania na komputerach przeno nych w sposób
wymuszaj cy korzystanie z haseł, wykorzystywanie haseł odpowiedniej
jako ci, zgodnie z wymaganiami dla systemu informatycznego
przetwarzaj cego dane osobowe oraz wymuszaj cy okresow zmian haseł
zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane
osobowe,
2) Zabezpieczy dane osobowe przetwarzane na komputerach przeno nych
poprzez zastosowanie oprogramowania szyfruj cego te dane. Dost p do
danych jest mo liwy wył cznie po podaniu wła ciwego hasła. Administrator
Bezpiecze stwa Informacji przechowuje hasła administracyjne umo liwiaj ce
konfiguracj oprogramowania szyfruj cego oraz awaryjne odszyfrowanie
zabezpieczonych informacji. Hasła administracyjne przechowywane s w
postaci listy, do której Administrator Bezpiecze stwa Informacji oraz Starosta
Pabianicki lub Sekretarz Powiatu.
3) Dokona instalacji i konfiguracji oprogramowania antywirusowego na
komputerze przeno nym zgodnie z obowi zuj cymi przepisami w zakresie
ochrony antywirusowej w systemach informatycznych przetwarzaj cych dane
osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z
zasadami zarz dzania systemami antywirusowymi.
4) Rozwa y mo liwo instalacji oprogramowania pozwalaj cego na
szyfrowanie informacji przesyłanych przy u yciu sieci teleinformatycznych, o
ile istnieje uzasadniona potrzeba zdalnego dost pu i przesyłania danych
pomi dzy komputerem przeno nym a systemem informatycznym
przetwarzaj cym dane osobowe. W przypadku zastosowania takiego
oprogramowania dokona jego konfiguracji w sposób gwarantuj cy
bezpieczne i efektywne przesyłanie danych.
5) Rozwa y mo liwo zdalnego dost pu do systemu informatycznego
przetwarzaj cego dane osobowe z wykorzystaniem ł czy komutowanych, o ile
istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne
przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych.
6) W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego
Przetwarzaj cego dane osobowe okre li uprawnienia u ytkownika i zakres
danych.
§6
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie zakresu
danych osobowych, które mog by przetwarzane na komputerach przeno nych.
2. W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego
przetwarzaj cego dane osobowe Administrator Bezpiecze stwa Informacji mo e
ponadto okre li uprawnienia u ytkownika i zakres dost pnych dla niego danych
osobowych przy pracy zdalnej.
3. Administrator Bezpiecze stwa Informacji mo e wprowadzi zasad , i mo liwe jest
wył cznie przesyłanie danych do systemu informatycznego w celu zapewnienia
mo liwo ci wykonania kopii zapasowych.
4. Administrator Bezpiecze stwa Informacji dystrybuuje opis ogranicze , o którym
mowa w ust.3, w ród u ytkowników komputerów przeno nych przetwarzaj cych dane
osobowe oraz kontroluje przestrzeganie tych zasad.
§7
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za prowadzenie
ewidencji komputerów przeno nych wykorzystywanych do przetwarzania danych
osobowych.
2. W szczególno ci ewidencja ta obejmuje:
1) Typ i numer seryjny komputera,
2) Adres IP komputera
3) Imi i nazwisko osoby b d cej u ytkownikiem komputera,
4) Oprogramowanie zainstalowane na komputerze,
5) Rodzaj i zakres danych osobowych przetwarzanych na komputerze
przeno nym.
2. Ewidencja, o której mowa w ust. 1, jest prowadzona niezale nie od metryk
komputerów prowadzonych na podstawie odr bnych przepisów.
§8
W razie zagubienia lub kradzie y komputera przeno nego pracownik zobowi zany jest do
natychmiastowego powiadomienia Administratora Bezpiecze stwa Informacji lub osoby
przez niego upowa nionej zgodnie z zasadami informowania o naruszeniu ochrony danych
osobowych.
§9
W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy
dotycz ce przetwarzania danych osobowych w systemach informatycznych na komputerach
stacjonarnych.
ROZDZIAŁ VII
ZABEZPIECZENIE DANYCH
Cele ochrony
§1
1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych
osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie.
Okre lone ni ej sposoby zabezpiecze dotycz :
a) zabezpiecze przed dost pem do danych osób nieupowa nionych na etapie
eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych,
wy wietlania lub drukowania zestawie ,
b) ochrony danych zarchiwizowanych na no nikach zewn trznych, procedur niszczenia
niepotrzebnych wydruków lub no ników danych.
c) systemu zabezpiecze przed dost pem osób niepowołanych do pomieszcze ,
w których s eksploatowane urz dzenia oraz sposobów dost pu do tych pomieszcze
pracowników, personelu pomocniczego Starostwa oraz serwisu zewn trznego,
d) monitorowania systemu zabezpiecze ,
e) zakresu obowi zków pracowników – w cz ci dotycz cej bezpiecze stwa danych.
2. Strategia ochrony danych osobowych opiera si na nast puj cych zasadach:
a) fizyczny dost p do pomieszcze , w których eksploatowane s systemy informatyczne
blokuj drzwi i systemy alarmowe.
b) podstawowym sposobem zabezpieczenia danych i dost pu do nich jest system
definiowania u ytkowników, grup u ytkowników oraz haseł. S to zabezpieczenia
programowe wmontowane w eksploatowane systemy uniemo liwiaj ce dost p do
systemu osobom nieupowa nionym.
c) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony
danych, jak oferuje system operacyjny.
d) dodatkowe kopie danych zarchiwizowanych na no nikach magnetycznych lub płytach
CD s przechowywane w oddzielnym budynku – chroni w ten sposób dane na
wypadek po aru, kl ski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja
tych no ników,
e) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawieraj ce
bazy danych jest zainstalowany system alarmowy i przeciwpo arowy,
f) zagadnienia zwi zane z ochrona danych i obowi zki st d wynikaj ce s uj te w
zakresach czynno ci pracowników,
g) ka dy pracownik podpisze stosowne o wiadczenie,
h) za cało polityki bezpiecze stwa odpowiada Administrator Bezpiecze stwa
Informacji.
Zabezpieczenia
§2
1. Nale y chroni dokumenty papierowe zawieraj ce dane osobowe przed ich fizycznym
uszkodzeniem lub zniszczeniem co uniemo liwiałoby odczytanie lub odzyskanie
informacji w nich zawartych.
2. Dokumenty papierowe zawieraj ce dane osobowe musz by chronione przed
zagro eniami ze strony otoczenia (ogie , wyciek wody itp.).
3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie , zniszczeniem
lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s
one zamkni te w odpowiednich szafach czy sejfach.
4. Wszystkie dokumenty papierowe zawieraj ce dane osobowe musz by oznaczone dla ich
identyfikacji.
5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach
papierowych bez zgody Administratora Bezpiecze stwa Informacji lub osoby przez niego
upowa nionej.
6. Ka dy dokument papierowy zawieraj cy dane osobowe przeznaczony do usuni cia lub
wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpiecze stwa
Informacji lub upowa nionej przez niego osoby.
7. Utrata i kradzie dokumentów papierowych zawieraj cych dane osobowe powinna by
niezwłocznie zgłoszona Administratorowi Bezpiecze stwa Informacji.
8. Ka dy dokument papierowy zawieraj cy dane osobowe, maj cy charakter dokumentu
roboczego, nale y na koniec pracy zniszczy w niszczarce papieru lub schowa w
odpowiedniej zamykanej szafie.
§3
1. Nale y chroni no niki magnetyczne i optyczne zawieraj ce dane osobowe przed ich
fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiłoby odczytanie lub
odzyskanie informacji w nich zawartych.
2. No niki magnetyczne i optyczne zawieraj ce dane osobowe musz by chronione
przed zagro eniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne,
ogie , wyciek wody itp.).
3. No niki magnetyczne i optyczne zawieraj ce dane osobowe powinny by fizycznie
chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c
stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy
sejfach.
4. Wszystkie no niki magnetyczne i optyczne zawieraj ce dane osobowe musz by
oznaczone dla ich identyfikacji.
5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z no ników
magnetycznych i optycznych bez zgody Administratora Bezpiecze stwa Informacji.
6. No niki magnetyczne i optyczne zawieraj ce dane osobowe nie mog by wynoszone
poza siedzib Starostwa bez wcze niejszej zgody Administratora Bezpiecze stwa
Informacji.
7. Dyski magnetyczne i optyczne zawieraj ce dane osobowe wynoszone poza teren
Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowa nione za zgod
ABI według okre lonej przez niego procedury.
8. Dyski twarde lub inne no niki magnetyczne i optyczne zawieraj ce dane osobowe,
przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania
danych osobowych, pozbawia si wcze niej zapisu tych danych.
9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw
zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowa nionej
przez Administratora Bezpiecze stwa Informacji.
10. Ka dy no nik magnetyczny i optyczny przeznaczony do usuni cia ze Starostwa musi
uzyska odpowiednie pozwolenie Administratora Bezpiecze stwa Informacji.
11. Niszczenia zu ytych lub uszkodzonych no ników magnetycznych i optycznych
zawieraj cych dane osobowe dokonuje Administrator Bezpiecze stwa Informacji
według okre lonej procedury.
12. Utrata lub kradzie no nika magnetycznego i optycznego z danymi osobowymi
powinna by niezwłocznie zgłoszona do Administratora Bezpiecze stwa Informacji.
§4
Wprowadza si nast puj ce zabezpieczenia danych osobowych przetwarzanych w systemie
informatycznym:
1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe
wprowadza si wysoki poziom zabezpiecze .
2. Pomieszczenia, w których stoi serwer i komputery zawieraj ce dane osobowe i
kartoteki osobowe s zabezpieczone poprzez okratowane okna oraz system alarmowy i
przeciwpo arowy.
3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i
stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze
UPS.
4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga
podania hasła BIOS-u.
5. Zalogowanie si do systemu wymaga podania nazwy u ytkownika i hasła. Ka dy
u ytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby
logowania s rejestrowane, a po 3 nieudanych próbach logowania nast puje czasowa
blokada konta. Logowanie do systemu mo liwe jest tylko w godzinach pracy
Starostwa.
6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system
kont (zabezpieczonych hasłami) i uprawnie .
7. Administrator Bezpiecze stwa Informacji ma uprawnienia do definiowania kont
u ytkowników i haseł.
8. Wykorzystany jest system szyfrowania danych (dost pny w systemie operacyjnym)
uniemo liwiaj cy odczyt danych osobom nieupowa nionym.
9. W celu ochrony przed dost pem do danych komputera z sieci publicznej wykorzystuje
si system zapory ogniowej dost pnej w systemie operacyjnym.
10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na ka dym
komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów
odpowiada informatyk.
11. Wydruki zawieraj ce dane osobowe powinny znajdowa si w miejscu, które
uniemo liwia dost p osobom postronnym.
12. Kopie zapasowe na no nikach magnetycznych wykonuje Administrator
Bezpiecze stwa Informacji. Kopie bezpiecze stwa przechowywane s w sejfie
zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i
Le nictwa . Zapasowe kopie bezpiecze stwa s przechowywane równie w budynku
Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w
szafie pancernej. Dost p do no ników zawieraj cych kopie danych maj tylko
uprawnione osoby.
13. Stosuje si nast puj ce zabezpieczenia organizacyjne przed dost pem do danych osób
niepowołanych:
a) dost p do danych maj
wył cznie pracownicy wyznaczeni przez
Administratora Bezpiecze stwa Informacji, który prowadzi cisły rejestr tych
pracowników obejmuj cy list nazwisk u ytkowników posiadaj cych dost p
do danych, ł cznie z ich identyfikatorami w systemie,
b) w pokoju, do którego dost p maj petenci monitory komputerowe ustawione s
w ten sposób, by petenci nie widzieli zapisów na ekranie,
c) w przypadku dłu szej bezczynno ci uruchamiane s tzw. wygaszacie ekranu,
których deaktywacja jest mo liwa po podaniu prawidłowego hasła
u ytkownika,
d) cz stotliwo tworzenia kopii zapasowych okre la instrukcja archiwowania
zasobów. Za wykonanie tych kopii odpowiedzialne s osoby przetwarzaj ce
dane osobowe,
e) tworzeniem kopii bezpiecze stwa na no nikach optycznych (płyty CD-R/CDRW) zajmuje si Administrator Bezpiecze stwa Informacji.
Monitorowanie systemu ochrony i prowadzenie dziennika zdarze
§5
1. System operacyjny serwera powinien prowadzi dzienniki zdarze zawieraj ce opis
wszystkich wa niejszych czynno ci wykonywanych przez u ytkowników. Nale y
okre li zdarzenia, które powinny by rejestrowane, jak równie tryb post powania z
tymi dziennikami (co rejestrowa , w jaki sposób, jak cz sto i na jak długo składowa ).
Nale y unika zbytniego rozszerzenia zakresu rejestrowanych czynno ci ze wzgl du
na obci enie systemu operacyjnego i wielko generowanych zbiorów zawieraj cych
dzienniki zdarze .
2. Do monitorowania systemu zabezpiecze
zobligowany jest Administrator
Bezpiecze stwa Informacji lub osoba przez niego upowa niona.
3. W ramach monitoringu nale y przeprowadza nast puj ce działania:
a) okresowe sprawdzanie kopii bezpiecze stwa pod wzgl dem przydatno ci do
odtworzenia danych,
b) kontrola ewidencji no ników magnetycznych i optycznych,
c) sprawdzanie cz stotliwo ci zmian haseł,
4. Administrator Bezpiecze stwa Informacji sporz dza roczne plany kontroli
zatwierdzone przez Administratora Danych i zgodnie z nimi przeprowadza kontrole
oraz dokonuje kwartalnych ocen stanu bezpiecze stwa danych osobowych.
5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4. Administrator
Bezpiecze stwa Informacji sporz dza roczne sprawozdanie i przedstawia
Administratorowi Danych.
Szkolenia
§6
1. Ka dy u ytkownik systemu informatycznego przetwarzaj cego dane osobowe
powinien mie wiadomo zagro e wpływaj cych na bezpiecze stwo systemu
informatycznego, z którego korzysta.
2. Nowy pracownik powinien by zapoznany z ogólnymi zasadami i przepisami
dotycz cymi bezpiecze stwa systemów teleinformatycznych, a szczególnie
wynikaj cych z ustawy o ochronie danych osobowych.
3. Raz w roku nale y przeprowadza szkolenia z udziałem wszystkich pracowników
Starostwa omawiaj ce problematyk bezpiecze stwa teleinformatycznego, ze
szczególnym uwzgl dnieniem nowych uregulowa prawnych. Szkolenie to powinno
uzmysłowi pracownikom skal zagro e oraz rang zabezpiecze , zwłaszcza
stosowanych na poziomie u ytkownika.
4. Szkolenie dotycz ce bezpiecze stwa danych osobowych obejmuje wszystkich
pracowników Starostwa.
5. System szkole szczegółowych obejmuje pracowników zatrudnionych bezpo rednio
przy przetwarzaniu danych, w tym danych osobowych.
6. Tematyka szkole obejmuje:
a) przepisy i instrukcje wewn trzne dotycz ce ochrony danych archiwizacji
zasobów i
b) przechowywania no ników, niszczenie wydruków i zapisów na no nikach
magnetycznych i optycznych,
c) zakresy
obowi zków
pracowników
zwi zanych
bezpo rednio
z
bezpiecze stwem danych osobowych i ochron systemów na poszczególnych
stanowiskach.
Archiwowanie danych
§7
1. Dane systemów kopiowane s w trybie tygodniowym. Kopie zapasowe danych
osobowych zapisywanych w programach wykonywane s codziennie Odpowiedzialnym
za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługuj cy dany program
przetwarzaj cy dane.
2. Dodatkowo na koniec ka dego miesi ca wykonywane s kopie zapasowe z całego
programu przetwarzaj cego dane. No niki z kopiami bezpiecze stwa przekazywane do
sejfu zlokalizowanego w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i
Le nictwa.
3. Kopie zapasowe s przechowywane w szafie pancernej w budynku Powiatowego O rodka
Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. Osob odpowiedzialn za
wymian kopii awaryjnych na aktualne jest Administrator Bezpiecze stwa Informacji.
4. Dyskietki, na których zapisywane s kopie zapasowe s ka dorazowo wymazywane i
formatowane, w taki sposób, aby nie mo na było odtworzy ich zawarto ci. Płyty CD, na
których przechowuje si kopie awaryjne niszczy si trwale w sposób mechaniczny.
5. Okresow weryfikacj kopii zapasowych pod k tem ich przydatno ci do odtworzenia
danych przeprowadza Administrator Bezpiecze stwa Informacji lub osoba przez niego
upowa niona.
Niszczenie wydruków i zapisów na no nikach magnetycznych
§8
1. No niki magnetyczne przekazywane na zewn trz powinny by pozbawione zapisów
zawieraj cych dane osobowe. Niszczenie poprzednich zapisów powinno odbywa si
poprzez wymazywanie informacji oraz formatowanie no nika.
2. Poprawno przygotowania no nika magnetycznego powinna by sprawdzona przez
Administratora Bezpiecze stwa Informacji.
3. Uszkodzone no niki magnetyczne przed ich wyrzuceniem nale y fizycznie zniszczy
(przeci , przełama itp.).
4. Po wykorzystaniu wydruki zawieraj ce dane osobowe powinny by niszczone w
niszczarce papieru zlokalizowanej w pomieszczeniu, w którym znajduj si wydruki.
ROZDZIAŁ VIII
RODKI TECHNICZNE I ORGANIZACYJNE SŁU CE ZAPEWNIENIU
POUFNO CI, INTEGRALNO CI I ROZLICZALNO CI PRZETWARZANYCH
DANYCH OSOBOWYCH
§1
System informatyczny Starostwa, ze wzgl du na poł czenie z sieci publiczn , musi
zapewnia
rodki bezpiecze stwa okre lone dla wysokiego poziomu bezpiecze stwa
zgodnie z § 6 ust. 4 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29
kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy
informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).
Bezpiecze stwo fizyczne
§2
1. Gwarancj
zapewnienia
bezpiecze stwa
systemu
informatycznego oraz
przetwarzanych i przechowywanych danych osobowych jest zapewnienie
bezpiecze stwa fizycznego.
2. Warunkiem zapewnienia bezpiecze stwa fizycznego systemu jest kontrola dost pu do
wszystkich stacji roboczych. W zwi zku z tym szczególn ochron obejmuje si
pomieszczenia, w których znajduj si serwery i w zły sieci oraz te, w których
przechowywane s składowane dane osobowe. Wy ej wymienione pomieszczenia
powinny by stale zamkni te, a dost p do nich powinni mie tylko Administrator
Bezpiecze stwa Informacji i osoby przez niego upowa nione. Pomieszczenia powinny
by wyposa one w elektroniczny system antywłamaniowy z całodobowym
monitoringiem sygnału alarmu.
3. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki
okresowo sprawdzane.
4. Szczególnie newralgiczne dla działania Starostwa systemy informatyczne takie jak
systemy finansowo-kadrowe powinny (w ramach mo liwo ci organizacyjnotechnicznych i finansowych) zosta wydzielone z pozostałej cz ci Starostwa
Powiatowego w Pabianicach. Sie komputerowa tych wydziałów i komórek
organizacyjnych Starostwa (w ramach mo liwo ci technicznych i finansowych)
powinna zosta wydzielona z sieci obsługuj cej pozostał cz
Starostwa i obj ta
dodatkowymi zabezpieczeniami.
5. Obowi zkiem osoby u ytkuj cej komputer przeno ny zawieraj cy dane osobowe jest
zachowanie szczególnej ostro no ci podczas jego transportu, przechowywania i
u ytkowania poza pomieszczeniami tworz cymi obszar, w którym przetwarzane s
dane osobowe. Nale y d y do powszechnego stosowania ochrony kryptograficznej
w takich przypadkach.
§3
1. Ochron fizyczn budynków Starostwa Powiatowego w Pabianicach przy ul.
Piłsudskiego 2 stanowi zamki drzwiowe, okratowania okien oraz całodobowy 24
godzinny elektroniczny system alarmowy poł czony ze stacj monitoruj c Agencji
Ochrony Mienia i Osób „ARGUS” w Pabianicach.
2. Ochron fizyczn
budynków Starostwa Powiatowego w Pabianicach przy ul.
Piłsudskiego 2 zapewnia system monitoringu wizyjnego składaj cy si z 4 kamer i
stacji rejestruj cej wszelkie ruchy osób i pojazdów przez 24 godziny na dob .
3. Ochron fizyczn budynku „A” Starostwa Powiatowego w Pabianicach przy ul.
Piłsudskiego 2 w godzinach 16.00 – 20.00 zapewnia stra nik Agencji Ochrony Mienia
i Osób „ROKA” w Piotrkowie Trybunalskim.
§4
1. Przebywanie pracowników
na terenie budynków Starostwa Powiatowego w
Pabianicach po godzinach pracy reguluje odr bne zarz dzenie Starosty Pabianickiego.
2. Godzin pobrania i zdania kluczy od poszczególnych pomieszcze odnotowuje si w
specjalnie do tego przeznaczonym zeszycie, w którym odnotowuje si w
szczególno ci: dat , godzin pobrania kluczy, numer pokoju, imi i nazwisko osoby
pobieraj cej klucze oraz godzin zdania kluczy.
3. Klucze od pomieszcze serwerowni głównej zlokalizowanej w budynku „A” mog
pobiera wył cznie w nast puj cej kolejno ci:
a) Administrator Bezpiecze stwa Informacji,
b) Pozostali informatycy zatrudnieni w Starostwie Powiatowym w Pabianicach,
c) Naczelnik Wydziału Organizacyjnego,
4. Klucze od pomieszcze serwerowni Wydziału Komunikacji i Transportu
zlokalizowanej w budynku „D” s w dyspozycji Naczelnika Wydziału Komunikacji
i Transportu oraz pracownika wyznaczonego przez tego Naczelnika.
5. Klucze od serwerowni, o których mowa w ust. 3 i 4, przechowywane s :
a) klucz od serwerowni w budynku „A” przechowywany jest w zamykane szafce
zamontowanej w pokoju „Informacji”
b) klucz od serwerowni w budynku „D” przechowywany jest w szafie metalowej
ustawionej w pokoju Naczelnika Wydziału Komunikacji i Transportu.
6. Pomieszczenia serwerowni w budynku „A” i w budynku „D” po zako czeniu pracy s
plombowane przez osoby, które s upowa nione do pobierania do nich kluczy.
Wykorzystanie mechanizmów systemu operacyjnego
§5
1. System operacyjny Microsoft Windows NT/2000 posiada rozbudowane mechanizmy
nadawania uprawnie i praw dost pu. Dla pełnego wykorzystania tych mechanizmów
nale y stosowa system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony
plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku
lub awarii systemu.
2. Dla zwi kszenia efektywno ci centralnego zarz dzania i ledzenia zdarze w sieci
nale y wykorzystywa mechanizmy Active Directory i oprogramowanie do
zarz dzania i analizy sieci z centralnym punktem zarz dzania usytuowanym w
Starostwie.
3. Nale y d y do zast pienia systemów operacyjnych Microsoft Windows 95/98 (nie
maj wbudowanych wystarczaj cych mechanizmów bezpiecze stwa) systemem
operacyjnym Microsoft Windows NT/2000, jako zapewniaj cego minimalne
bezpiecze stwo dla serwerów i stacji roboczych systemu informatycznego.
Zarz dzanie oprogramowaniem
§6
1. Najwy sze uprawnienia w systemie informatycznym posiada Administrator
Bezpiecze stwa Informacji. Tylko administrator jest osob uprawnion do
instalowania i usuwania oprogramowania systemowego i narz dziowego.
2. Dopuszcza si instalowanie tylko legalnie pozyskanych programów, niezb dnych do
wykonywania ustawowych zada Starostwa
i posiadaj cych wa n licencj
u ytkowania.
Uwierzytelnianie u ytkowników
§7
1. Dost p do systemu informatycznego słu cego do przetwarzania danych osobowych,
mo e uzyska wył cznie osoba (u ytkownik) zarejestrowana w tym systemie przez
Administratora Bezpiecze stwa Informacji na wniosek bezpo redniego przeło onego
lub/i inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe.
2. Dost p do systemów operacyjnych serwerów i stacji roboczych powinien by
chroniony przez nazw u ytkownika i hasło. Zespół ten tworzy jedn z głównych linii
obrony przed intruzami. Dlatego nale y u wiadamia u ytkownikom rol , jak w
systemie ochrony odgrywa dobrze wybrane „trudne” hasło o odpowiednio dobranym
czasie ycia. Jednocze nie nale y wdro y mechanizmy systemowe kontroluj ce
składni i czas ycia haseł. System ma wbudowane mechanizmy ograniczaj ce liczb
bł dnych prób logowania oraz umo liwia wskazanie stacji roboczych, na których dany
u ytkownik mo e pracowa . Zalecane jest ustawienie blokady konta u ytkownika na 3
do 5 prób logowania.
3. Identyfikator u ytkownika składa si z sze ciu znaków, z których dwa pierwsze
odpowiadaj dwóm pierwszym literom imienia u ytkownika, a cztery kolejne
odpowiadaj czterem pierwszym literom jego nazwiska. W identyfikatorze pomija si
polskie znaki diakrytyczne.
4. Hasło powinno składa si z unikalnego zestawu co najmniej o miu znaków, zawiera
małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie mo e by identyczne z
identyfikatorem u ytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia si
nie rzadziej ni co 30 dni.
5. U ytkownikom systemu nie wolno udost pnia swojego identyfikatora i hasła innym
osobom.
Redundancja sprz towa i programowa
§8
1. Dla zapewnienia wysokiej niezawodno ci systemu Administrator Bezpiecze stwa
Informacji
opracowuje i wprowadzi procedury awaryjne (np. na wypadek
uszkodzenia głównego serwera).
2. Nale y rygorystycznie przestrzega
wymogu przechowywania no ników
zawieraj cych awaryjne kopie danych i systemów w pomieszczeniach innych ni
pomieszczenia, w których przechowywane s dane przeznaczone do bie cego u ytku.
Jednocze nie dane te musz by odpowiednio zabezpieczone fizycznie (sejf, najlepiej
ognioodporny, w zabezpieczonym pomieszczeniu).
Zapewnienie stałego zasilania energi
§9
1. Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS.
2. W przypadku stacji roboczych, UPS stosuje si w zale no ci od potrzeb i mo liwo ci
finansowych.
Procedury przeciwpo arowe
§ 10
1. Pomieszczenia, w których systemy komputerowe pracuj bez nadzoru, szczególnie
pomieszczenia z serwerami pracuj cymi w systemie pracy ci głej powinny by
wyposa one w elektroniczny system wykrywania po aru (czujki reaguj ce na ogie ,
dym, temperatur ). Sygnalizacja alarmu powinna by obj ta całodobowym
monitoringiem.
2. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki
okresowo sprawdzane.
3. System wykrywania po aru powinien obejmowa pomieszczenia, w których
przechowywane s awaryjne kopie danych.
Procedury awaryjne i procedury na wypadek kl sk ywiołowych i ewakuacji
§ 11
1. Zapewnieniu ci głej dost pno ci informacji słu
procedury post powania w
przypadku wydarze losowych (np. awaria serwera, zalanie pomieszczenia itp.).
2. Procedury, o których mowa w ust.1 powinny obejmowa uruchomienie systemu w
minimalnej konfiguracji udost pniaj cej zasoby systemu.
3. Komputery przewidywane na awaryjne serwery powinny sta w pomieszczeniach
innych ni serwery bie co eksploatowane.
4. W przypadku gdyby doszło do ewakuacji nale y w pierwszej kolejno ci zapewni
bezpiecze stwo danym.
Profilaktyka antywirusowa
§ 12
1. Wszystkie serwery i stacje robocze musz posiada zainstalowany program
antywirusowy, z mo liwie cz sto aktualizowan baz wykrywanych wirusów,
sprawdzaj cy w trybie rzeczywistym wszystkie przychodz ce i wychodz ce pliki.
Zabronione jest blokowanie pracy tego programu.
2. Dla zapewnienia ochrony przed wirusami i innymi niepo danymi kodami sprawdza
si wszystkie zbiory przychodz ce z sieci rozległej i Internetu.
3. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje si , co
najmniej raz w tygodniu, cało ciowym testem antywirusowym.
Przeciwdziałanie nowym technikom łamania zabezpiecze
wykrytych w zabezpieczeniach systemów
oraz eliminacja luk
§ 13
W zwi zku z dynamicznym rozwojem technik słu cych do atakowania systemów
informatycznych Administrator Bezpiecze stwa Informacji powinien na bie co ledzi
informacje na temat wykrytych luk i wprowadza zalecane zabezpieczenia.
Procedury tworzenia kopii zapasowych ich przechowywania i ochrony
§ 14
1. Dla systemów finansowo-kadrowych kopie bezpiecze stwa wykonuje si codziennie.
2. Dla pozostałych danych o cz stotliwo ci składowania decyduje Administrator
Bezpiecze stwa Informacji, w zale no ci od liczby wprowadzanych zmian, nie
rzadziej jednak ni raz w miesi cu.
3. Kopie zapasowe przechowuje si w ognioodpornym sejfie umieszczonym w
pomieszczeniu innym, ni dane przetwarzane na bie co.
4. Kopie awaryjne podlegaj takiej samej ochronie jak serwery zawieraj ce dane bie co
przetwarzane. Pomieszczenie, w którym s przechowywane kopie awaryjne, powinno
by obj te elektroniczn kontrol dost pu i elektronicznym systemem wykrywania
po aru
Procedury post powania z no nikami informacji i wydrukami (wytwarzanie,
rejestrowanie, kasowanie, niszczenie)
§ 15
1. Dla zachowania wysokiego poziomu bezpiecze stwa informacji w systemie
informatycznym okre la si procedury post powania z no nikami (dyskietki, kasety,
kr ki CD, no niki papierowe) zawieraj cymi informacje od chwili wytworzenia do
chwili skasowania lub zniszczenia.
2. Powinno si d y - dla zapewnienia szczelno ci systemu - aby no niki były opisane i
ewidencjonowane.
Testy okresowe systemu ochrony
§ 16
1. System ochrony powinien by w sposób ci gły nadzorowany i mo liwie cz sto
aktualizowany.
2. Kontrole i testy powinny obejmowa zarówno dost p do zasobów systemu, jak i
profile oraz uprawnienia poszczególnych u ytkowników.
3. Zapisy logów systemowych powinny by przegl dane codziennie oraz ka dorazowo
po wykryciu naruszenia zasad bezpiecze stwa.
Zabezpieczanie przetwarzania niejawnych informacji
§ 17
W systemach informatycznych Starostwa informacje niejawne mog by przetwarzane tylko
na wydzielonych komputerach dopuszczonych przez wła ciw słu b ochrony pa stwa, po
uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o
ochronie informacji niejawnych (Dz. U. Nr 11 poz. 95, z pó . zm.).
Zabezpieczenia medium transmisyjnego
§ 18
1. Poł czenia z sieci wewn trznej (Intranet) z sieci zewn trzn (Internet) mog by
wykonywane tylko za po rednictwem systemów firewall o odpowiednich parametrach
zainstalowanych w Starostwie. Jednocze nie zabrania si dokonywania jakichkolwiek
innych przył cze sieci Starostwa do sieci Internet.
2. Do przesyłania danych przy poł czeniach w sieci publicznej (Internet), z uwagi na
przetwarzane dane osobowe, powinny by wykorzystywane tylko kanały transmisji
udost pniane przez pracowników Starostwa. Kanały te powinny zawiera ochron
kryptograficzn .
3. Komputery przeno ne pracowników
podczas poł cze z sieci Internet,
wykonywanych poza sieci wewn trzn Starostwa, powinny by chronione swoimi
autonomicznymi systemami firewall.
4. Zasad konfigurowania systemów firewall powinno by blokowanie wszystkich usług,
które s zb dne dla statutowej działalno ci Starostwa.
Konserwacja i naprawy sprz tu i oprogramowania
§ 19
1. Wszelkie naprawy i konserwacje sprz tu i oprogramowania mog odbywa si tylko w
obecno ci osób uprawnionych.
2. Urz dzenia informatyczne słu ce do przetwarzania danych osobowych mo na
przekaza do naprawy dopiero po uzyskaniu zgody Administratora Bezpiecze stwa
Informacji.
ROZDZIAŁ IX
OPIS ZDARZE NARUSZAJ CYCH OCHRON DANYCH OSOBOWYCH
§1
Zagro enia naruszaj ce ochron danych osobowych s nast puj ce:
1. Zagro enia losowe zewn trzne – w szczególno ci kl ski ywiołowe, przerwy w
zasilaniu – ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich
wyst powanie mo e prowadzi do utraty integralno ci danych, ich zniszczenia i
uszkodzenia infrastruktury technicznej systemu, ci gło systemu zostaje zakłócona,
nie dochodzi do naruszenia poufno ci danych,
2. Zagro enia losowe wewn trzne – w szczególno ci
niezamierzone pomyłki
operatorów, administratora systemu, awarie sprz towe, bł dy oprogramowania - mo e
doj do zniszczenia danych, mo e zosta zakłócona ci gło pracy systemu, mo e
nast pi naruszenie poufno ci danych,
3. Zagro enia zamierzone, wiadome i celowe - najpowa niejsze zagro enia,
naruszenia poufno ci danych, (zazwyczaj nie nast puje uszkodzenie infrastruktury
technicznej i zakłócenie ci gło ci pracy), zagro enia te mo emy podzieli na:
a) nieuprawniony dost p do systemu z zewn trz (włamanie do systemu),
b) nieuprawniony dost p do systemu z jego wn trza,
c) nieuprawniony przekaz danych,
d) pogorszenie jako ci sprz tu i oprogramowania,
e) bezpo rednie zagro enie materialnych składników systemu.
§2
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia
zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to w
szczególno ci:
1. Sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na
zasoby systemu jak np.: wybuch gazu, po ar, zalanie pomieszcze , katastrofa
budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy remontowej
itp.,
2. Niewła ciwe parametry rodowiska, jak np. nadmierna wilgotno
lub wysoka
temperatura, oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje
pochodz ce od urz dze przemysłowych,
3. Awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie w
kierunku naruszenia ochrony danych lub wr cz sabota , a tak e niewła ciwe działanie
serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
4. Pojawienie si odpowiedniego komunikatu alarmowego od tej cz ci systemu, która
zapewnia ochron zasobów lub inny komunikat o podobnym znaczeniu,
5. Jako danych w systemie lub inne odst pstwo od stanu oczekiwanego wskazuj ce na
zakłócenia systemu lub inn nadzwyczajn i niepo dan modyfikacj w systemie,
6. Nast piło naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w
tym systemie,
7. Stwierdzono prób lub modyfikacj danych lub zmian w strukturze danych bez
odpowiedniego upowa nienia (autoryzacji),
8. Nast piła niedopuszczalna manipulacja danymi osobowymi w systemie,
9. Ujawniono osobom nieupowa nionym dane osobowe lub obj te tajemnic procedury
ochrony przetwarzania albo inne strze one elementy systemu zabezpiecze ,
10. Praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odst pstwa
od zało onego rytmu pracy wskazuj ce na przełamanie lub zaniechanie ochrony
danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest
formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym
logowaniu, itp.,
11. Ujawniono istnienie nieautoryzowanych kont dost pu do danych lub tzw. „bocznej
furtki”, itp.,
12. Podmieniono lub zniszczono no niki z danymi osobowymi bez odpowiedniego
upowa nienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe,
13. Ra co naruszono dyscyplin
pracy w zakresie przestrzegania procedur
bezpiecze stwa informacji (nie wylogowanie si przed opuszczeniem stanowiska
pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamkni cie
pomieszczenia z komputerem, nie wykonanie w okre lonym terminie kopii
14. Bezpiecze stwa, prace na danych osobowych w celach prywatnych, itp.).
§3
Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci w zakresie
zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały,
urz dzenia archiwalne i inne) na no nikach tradycyjnych tj. na papierze (wydrukach), kliszy,
folii, zdj ciach, dyskietkach w formie niezabezpieczonej itp.
ROZDZIAŁ X
ZASADY POST POWANIA W SYTUACJI NARUSZENIA SYSTEMU
OCHRONY DANYCH OSOBOWYCH
§1
Niniejsze zasady okre laj
tryb post powania w przypadku gdy:
1. Stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie
zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie,
2. Stan urz dzenia, zawarto zbioru danych osobowych, ujawnione metody pracy,
sposób działania programu lub jako komunikacji w sieci telekomunikacyjnej, mog
wskazywa na naruszenie zabezpiecze tych danych.
§2
O naruszeniu ochrony danych osobowych mog wiadczy w szczególno ci nast puj ce
symptomy:
1. Brak mo liwo ci uruchomienia przez u ytkownika aplikacji pozwalaj cej na dost p
do danych osobowych.
2. Brak mo liwo ci zalogowania si do tej aplikacji.
3. Ograniczone, w stosunku do normalnej sytuacji, uprawnienia u ytkownika aplikacji
(np. brak mo liwo ci wykonywania pewnych operacji normalnie dost pnych
u ytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji.
4. Wygl d aplikacji inny ni normalnie.
5. Inny zakres danych ni normalnie dost pny dla u ytkownika – du o wi cej lub du o
mniej danych.
6. Znaczne spowolnienie działania systemu informatycznego.
7. Pojawienie si niestandardowych komunikatów generowanych przez system
informatyczny.
8. lady włamania lub prób włamania do obszaru, w którym przetwarzane s dane
osobowe.
9. lady włamania lub prób włamania do pomieszcze , w których odbywa si
przetwarzanie danych osobowych, w szczególno ci do serwerowni oraz do
pomieszcze , w których przechowywane s no niki kopii awaryjnych.
10. Włamanie lub próby włamania do szafek, w których przechowywane s w postaci
elektronicznej lub papierowej – no niki danych osobowych.
11. Zagubienie lub kradzie no nika danych osobowych.
12. Zagubienie lub kradzie
no nika materiału krypotograficznego (karty
mikroprocesorowej, dyskietki itp).
13. Kradzie sprz tu informatycznego, w którym przechowywane były dane osobowe.
14. Informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego
wirusami.
15. Fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu
informatycznego przetwarzaj cego dane osobowe na skutek przypadkowych lub
celowych działa albo zaistnienia siły wy szej.
16. Podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w
systemie informatycznym.
§3
1. Dane osobowe zostaj ujawnione, gdy staj si znane w cało ci lub cz ci
pozwalaj cej na okre lenie osobom nie uprawnionym to samo ci osoby, której dane
dotycz .
2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza
obszarem bezpiecze stwa nale y przeprowadzi post powanie wyja niaj ce, czy dane
osobowe nale y uzna za ujawnione.
§4
1. Ka dy pracownik Starostwa bior cy udział w przetwarzaniu danych osobowych w
systemie informatycznym jest odpowiedzialny za bezpiecze stwo tych danych. W
szczególno ci osoba, która zauwa yła zdarzenie mog ce by przyczyn naruszenia
ochrony danych osobowych lub mog cych spowodowa naruszenie bezpiecze stwa
danych, zobowi zana jest do natychmiastowego poinformowania Administratora
Bezpiecze stwa Informacji lub innej osoby wskazanej przez niego.
2. Ka da osoba zatrudniona w Starostwie , która stwierdzi lub podejrzewa naruszenie
zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub
przetwarzanych w inny sposób), powinna niezwłocznie poinformowa o tym osob
zatrudnion przy przetwarzaniu danych osobowych lub Administratora
Bezpiecze stwa Informacji, albo inna upowa nion przez niego osob .
3. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przygotowanie i
opublikowanie wykazu osób, które mog by informowane w przypadku wyst pienia
zagro enia danych osobowych.
4. W przypadku niemo liwo ci zawiadomienia Administratora Bezpiecze stwa
Informacji lub osób przez niego upowa nionych, pracownik winien powiadomi
bezpo redniego przeło onego.
§5
1. Informacja o pojawieniu si zagro enia lub wyst pieniu zagro enia danych
osobowych przekazywana jest przez pracownika osobi cie, telefonicznie lub poczt
elektroniczn .
2. Informacja, o której mowa w ust. 1 powinna zawiera imi i nazwisko osoby
zgłaszaj cej oraz zauwa one symptomy zagro enia.
3. W przypadku gdy zgłoszenie o podejrzeniu zaistnienia incydentu otrzyma osoba inna
ni Administrator Bezpiecze stwa Informacji, jest ona obowi zana poinformowa o
tym fakcie Administratora Bezpiecze stwa Informacji.
4. Pracownik mo e zosta poproszony przez Administratora Bezpiecze stwa Informacji
o potwierdzenie zauwa onego faktu na pi mie.
§6
1. Do czasu przybycia Administratora Bezpiecze stwa Informacji lub upowa nionej
przez niego osoby, zgłaszaj cy:
1) niezwłocznie podejmuje czynno ci niezb dne do powstrzymania
niepo danych skutków zaistniałego naruszenia, o ile istnieje taka mo liwo ,
a nast pnie uwzgl dnia w działaniu równie ustalenie przyczyn lub sprawców,
2) zabezpiecza dost p do miejsca lub urz dzenia przez osoby trzecie,
3) wstrzymuje prac na komputerze na którym zaistniało naruszenie ochrony oraz
nie uruchamia bez koniecznej potrzeby komputerów i innych urz dze ,
których funkcjonowanie w zwi zku naruszeniem ochrony zostało
wstrzymane,
4) nie zmienia poło enia przedmiotów, które pozwalaj stwierdzi naruszenie
ochrony lub odtworzy jej okoliczno ci,
5) podejmuje, stosownie do zaistniałej sytuacji, inne niezb dne działania celem
zapobie enia dalszym zagro eniom, które mog skutkowa utrat danych
osobowych,
6) podejmuje inne działania przewidziane i okre lone w instrukcjach
technicznych i technologicznych stosownie do objawów i komunikatów
towarzysz cych naruszeniu,
7) wst pnie udokumentowa zaistniałe naruszenie.
3. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne je eli zachodzi
konieczno ratowania osób lub mienia albo zapobie enia gro cemu
niebezpiecze stwu.
§7
Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona, niezwłocznie
po uzyskaniu sygnału o naruszeniu danych osobowych, powinien :
1. Zapozna si z zaistniał sytuacj i dokona wyboru metody dalszego post powania
maj c na uwadze ewentualne zagro enia dla prawidłowo ci pracy Starostwa.
2. Zapisa wszelkie informacje zwi zane z danym zdarzeniem.
3. Na bie co wygenerowa i wydrukowa wszystkie mo liwe dokumenty i raporty,
które mog pomóc w ustaleniu okoliczno ci zdarzenia.
4. Przyst pi do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do
okre lenia skali zniszcze i metody dost pu do danych osoby niepowołanej.
5. Dokona fizycznego odł czenia urz dze i segmentów sieci, które mogły umo liwi
dost p do bazy danych osobie nie uprawnionej.
6. Wylogowa u ytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych.
7. Dokona zmiany hasła na konto Administratora Bezpiecze stwa Informacji i
u ytkownika, poprzez które uzyskano nielegalny dost p w celu unikni cia ponownej
próby włamania.
8. Za da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak
równie od ka dej innej osoby, która mo e posiada informacje zwi zane z
zaistniałym naruszeniem.
9. Rozwa y mo liwo i potrzeb powiadomienia o zaistniałym naruszeniu Starosty
Pabianickiego – Administratora Danych lub Sekretarza Powiatu.
10. Nawi za bezpo redni kontakt, je eli zachodzi taka potrzeba, ze specjalistami spoza
Starostwa.
11. Zamkn i opiecz towa urz dze , w których przechowywane s dane osobowe w
formie analogowej.
§8
Administrator Bezpiecze stwa Informacji podejmuje działania zmierzaj ce do wyja nienia
zgłoszonego zdarzenia. W szczególno ci mo e on dokonywa , w zale no ci od zgłoszonego
zdarzenia:
1. Wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia.
2. Przeprowadzenia wywiadów z pracownikami w celu ustalenia zaistniałych faktów.
3. Przeprowadzenia analizy poprawno ci funkcjonowania systemu informatycznego,
je eli zgłoszone zdarzenie było zwi zane z nieprawidłowym jego funkcjonowaniem.
4. Przeprowadzenia analizy zapisu zdarze
w systemie informatycznym z
uwzgl dnieniem zapisu operacji realizowanych przez u ytkowników.
5. Przeprowadzenia analizy danych przetwarzanych w systemie informatycznym, je eli
zgłoszone zdarzenie mogło by spowodowane utrat dost pno ci lub integralno ci
przetwarzanych danych.
6. Sporz dzenia dokumentacji fotograficznej.
7. Zabezpieczenia danych przetwarzanych w systemie informatycznym dotkni tym
incydentem, w szczególno ci danych konfiguracyjnych tego systemu.
8. Zebrania innych materiałów pozwalaj cych na wyja nienie przyczyn zaistnienia
incydentu, jego charakteru i potencjalnych skutków.
§9
Po wykonaniu czynno ci, o których mowa w § 7 i w § 8, Administrator Bezpiecze stwa
Informacji jest zobowi zany do podj cia kroków w celu:
1. Wyja nienia zdarzenia – w szczególno ci czy miało miejsce naruszenie ochrony
danych osobowych.
2. Wyja nienia przyczyn naruszenia bezpiecze stwa danych osobowych i zebranie
ewentualnych dowodów – w szczególno ci, gdy zdarzenie było zwi zane z celowym
działaniem pracowników b d osób trzecich.
3. Zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem si
zagro enia.
4. Usuni cie skutków incydentu i przywrócenie pierwotnego stanu systemu
informatycznego ( to jest sprzed incydentu).
5. Ewentualnego ukarania sprawców incydentu.
§ 10
Administrator Bezpiecze stwa Informacji przyst puje do usuwania skutków incydentu i
przywrócenia prawidłowego przebiegu procesu przetwarzania danych osobowych. W
szczególno ci działania zwi zane z usuwaniem skutków incydentu mog obejmowa :
1. Przeprowadzenie naprawy sprz tu informatycznego.
2. Rekonfiguracj sprz tu informatycznego.
3. Wprowadzenie poprawek do oprogramowania.
4. Rekonfiguracj oprogramowania.
5. Odtworzenie danych z kopii awaryjnych.
6. Modyfikacj danych w celu odtworzenia ich integralno ci.
7. Wycofanie z u ycia materiału kryptograficznego.
8. Inne naprawy urz dze wchodz cych w skład infrastruktury informatycznej i
wspomagaj cych lub zabezpieczaj cych działanie systemu informatycznego.
§ 11
Administrator Bezpiecze stwa Informacji mo e odst pi od usuwania skutków incydentu,
je eli został on spowodowany działaniem celowym, a całkowite wyja nienie zdarzenia i
wyci gni cie konsekwencji wobec sprawców jest istotniejsze ni przerwa w działaniu
systemu. Istniej cy stan systemu informatycznego jest niezmieniany w celach dowodowych
do czasu wyja nienia sprawy.
§ 12
Przy usuwaniu skutków incydentu z wykorzystaniem odtwarzania danych z kopii awaryjnych
Administrator Bezpiecze stwa Informacji obowi zany jest upewni si , e odtworzone dane
zostały zapisane przed wyst pieniem incydentu – w szczególno ci dotyczy to przypadków
odtwarzania systemu po infekcji wirusowej.
§ 13
1. W sytuacjach wyj tkowych wszystkie powy ej opisane działania zwi zane z
usuwaniem skutków incydentu i wyja nianiem jego przyczyn mog by realizowane
przez osoby upowa nione przez Administratora Bezpiecze stwa Informacji.
2. Administrator Bezpiecze stwa Informacji odpowiada za sporz dzenie listy
pracowników maj cych prawo do podejmowania odpowiednich kroków w razie
wyst pienia incydentu w sytuacji, gdy nie mog one by wykonane osobi cie przez
niego.
§ 14
1. Administrator Bezpiecze stwa Informacji okre la, na podstawie przeprowadzonych
wyja nie , przyczyny zaistnienia incydentu.
2. Je eli incydent był spowodowany celowym działaniem, Administrator Bezpiecze stwa
Informacji
jest
zobowi zany
do
pisemnego
powiadomienia
Starosty
Pabianickiego - Administratora Danych lub Sekretarza Powiatu.
3. Starosta Pabianicki - Administrator Danych lub Sekretarz Powiatu, bior c pod uwag
charakter zdarzenia, mo e poinformowa organy uprawnione do cigania przest pstw
o fakcie celowego naruszenia bezpiecze stwa danych osobowych przetwarzanych w
systemie informatycznym.
§ 15
Zgod na uruchomienie komputerów i innych urz dze lub dokonanie zmian w miejscu
naruszenia ochrony wyra a Administrator Bezpiecze stwa Informacji lub osoba przez niego
upowa niona.
§ 16
1. System informatyczny, którego prawidłowe działanie zostało odtworzone, powinien
zosta poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usuni cia
symptomów incydentu. W czasie jej trwania u ytkowanie systemu informatycznego
powinno by ograniczone do niezb dnego minimum.
2. Okres kwarantanny, o którym mowa w ust.1, jest uzale niony charakterem incydentu i
specyfik systemu informatycznego – jest on ka dorazowo okre lany przez
Administratora Bezpiecze stwa Informacji.
§ 17
1. Administrator Bezpiecze stwa Informacji dokumentuje w raporcie ka dy zaistniały
przypadek naruszenia ochrony danych osobowych.
2. Dokumentacja , o której mowa w ust.1, obejmuje nast puj ce informacje:
1) imi i nazwisko osoby zgłaszaj cej incydent,
2) imi i nazwisko osoby przyjmuj cej zgłoszenie incydentu,
3) dat i godzin przyj cia zgłoszenia incydentu,
4) okre lenie czasu i miejsca incydentu,
5) opis zgłoszonego incydentu oraz okoliczno ci towarzysz ce,
7) przyczyny wyst pienia naruszenia,
8) opis podj tych działa naprawczych,
9) wyniki przeprowadzonego badania wyja niaj cego,
10) ocen skuteczno ci przeprowadzonego post powania naprawczego,
11) podj te rodki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania
w przyszło ci naruszenia ochrony danych osobowych.
2. Wzór raportu, o którym mowa w ust.1, okre la zał cznik nr 3 do Polityki
Bezpiecze stwa
§ 18
Administrator Bezpiecze stwa Informacji w oparciu o posiadan
dokumentacj ,
odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych
incydentów w celu:
1. Okre lenia skuteczno ci podejmowanych działa wyja niaj cych i naprawczych.
2. Okre lenia
wymaga
działa
zwi kszaj cych
bezpiecze stwo
systemu
informatycznego i minimalizuj cych ryzyko zaistnienia incydentów.
3. Okre lenia potrzeb w zakresie szkole u ytkowników systemu informatycznego
przetwarzaj cego dane osobowe.
ROZDZIAŁ XI
POSTANOWIENIA KO COWE
§1
1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego w
niniejszym dokumencie, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie z
okre lonymi zasadami, a tak e gdy nie zrealizowała stosownego działania
dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne.
2. Administrator Bezpiecze stwa Informacji zobowi zany jest prowadzi ewidencj osób,
które zostały zapoznane z niniejszym dokumentem i zobowi zuj si do stosowania zasad
w nim zawartych wg wzoru stanowi cego zał cznik Nr 4 do Polityki Bezpiecze stwa.
§2
1. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszego
dokumentu mog by potraktowane jako ci kie naruszenie obowi zków pracowniczych,
w szczególno ci przez osob , która wobec naruszenia zabezpieczenia systemu
informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o
tym Administratora Bezpiecze stwa Informacji.
2. Orzeczona kara dyscyplinarna, wobec osoby uchylaj cej si od powiadomienia
Administratora Bezpiecze stwa Informacji nie wyklucza odpowiedzialno ci karnej tej
osoby zgodnie z ustaw z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz.
U. z 2002 r. Nr 101, póz. 926) oraz mo liwo ci wniesienia wobec niej sprawy z
powództwa cywilnego przez pracodawc o zrekompensowanie poniesionych strat.
§3
W sprawach nie uregulowanych niniejszym dokumentem maj zastosowanie przepisy
1) ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z
2002 r. Nr 101, poz. 926 z pó . zm.),
2) rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada
urz dzenia i systemy informatyczne słu ce do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024)
3) rozporz dzenie Ministra Sprawiedliwo ci z dnia 28 kwietnia 2004 r. w sprawie
sposobu technicznego przygotowania systemów i sieci do przekazywania
informacji - do gromadzenia wykazów poł cze telefonicznych i innych
przekazów informacji oraz sposobów zabezpieczenia danych informatycznych
(Dz. U. Nr 100, poz. 1023).

Załącznik 1 - Polityka Bezpieczeństwa

Transkrypt

Podobne dokumenty

POSŁOWIE

15 marca 1948 r. - wyrok dla rtm. Witolda Pileckiego

Bezpieczeństwo i higiena pracy

załączonej informacji prasowej

Pobierz jako plik PDF