Zatwierdzam - BUW-u

Zatwierdzam
Dyrektor BUW
SZCZEGÓŁOWA INSTRUKCJA POSTĘPOWANIA
w sytuacji naruszenia ochrony danych osobowych w Bibliotece Uniwersyteckiej
w Warszawie.
Administrator Bezpieczeństwa Informacji Biblioteki Uniwersyteckiej w Warszawie (ABI
BUW), odpowiedzialny za bezpieczeństwo danych osobowych przechowywanych i przetwarzanych
w Bibliotece Uniwersyteckiej, przeciwdziała dostępowi osób niepowołanych zarówno do systemu
informatycznego, w którym przetwarzane są dane osobowe, jak i do wszelkiej dokumentacji
papierowej zawierającej w w/w dane, oraz podejmuje odpowiednie działania w przypadku wykrycia
naruszeń w systemie zabezpieczeń.
KaŜdy, kto ma uzasadnione przypuszczenie o popełnieniu przestępstwa, bądź wykroczenia
przeciw ochronie danych osobowych jest obowiązany do niezwłocznego poinformowania o tym fakcie
Administratora Bezpieczeństwa Informacji BUW i bezpośredniego przełoŜonego. Zatajanie tych
informacji lub utrudnianie postępowania wyjaśniającego stanowi powaŜne naruszenie obowiązków
pracowniczych wraz ze wszelkimi konsekwencjami wynikającymi z obowiązujących unormowań
prawnych.
Niniejsza instrukcja została opracowana przez Administratora Bezpieczeństwa Informacji
BUW a zatwierdzona przez Dyrektora BUW jako uzupełnienie do zaleceń w zakresie podejmowanych
środków bezpieczeństwa, zawartych w obowiązujących instrukcjach (ogólnej instrukcji postępowania
w sytuacji naruszenia ochrony danych osobowych w BUW, instrukcji zarządzania systemem
informatycznym słuŜącym do przetwarzania danych osobowych i procedurach postępowania przy
przetwarzaniu danych osobowych).
Określa ona tryb postępowania w przypadku, gdy:
1. stwierdzono naruszenie zabezpieczeń w systemie informatycznym słuŜącym do przetwarzania
danych osobowych .
2. stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy i sposób
działania programu mogą wskazywać na naruszenie zabezpieczeń tych danych,
3. istnieje podejrzenie naruszenia zabezpieczenia danych osobowych w systemie
informatycznym lub innym zbiorze danych
4. stwierdzono naruszenie zabezpieczeń wszelkich miejsc, gdzie przechowywana jest
dokumentacja zawierająca dane osobowe ( zbiory danych, wykazy, listy, akta osobowe i inne
dokumenty),
1
W przypadkach, o których mowa w punkcie l, 2, 3 osoba przetwarzająca dane osobowe jest
zobowiązana zaprzestać pracy w systemie informatycznym i niezwłocznie powiadomić o tym ABI
BUW i bezpośredniego przełoŜonego.
Ilekroć w instrukcji jest mowa o :
1. danych osobowych — rozumie się przez to kaŜdą informację pozwalającą na jednoznaczną
identyfikację jakiejkolwiek osoby fizycznej,
2. bezpieczeństwie systemu informatycznego — naleŜy przez to rozumieć wdroŜone środki
fizyczne, techniczne i administracyjne słuŜące zabezpieczeniu zasobów technicznych oraz
ochronie przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub
pozyskaniem danych osobowych, a takŜe ich utratą,
3. naruszeniu systemu bezpieczeństwa — jest to zarówno odstępstwo od obowiązujących
procedur postępowania, zawartych we wspomnianych wyŜej dokumentach, jak i bezprawne,
fizyczne naruszenia zasobów i bez względu na skutek jaki te zdarzenia spowodowały,
4. osobach nieupowaŜnionych do korzystania z danych zawartych w zbiorze — są to
wszystkie osoby fizyczne, prawne i jednostki nie posiadające osobowości prawnej, które bez
upowaŜnienia administratora danych miały potencjalną moŜliwość lub faktycznie uzyskały w
jakiejkolwiek formie dostęp do danych,
5. osobach odpowiedzialnych za ochronę zasobów informatycznych — są to osoby
przetwarzające dane, administratorzy systemów, sieci i aplikacji, kierownicy aplikacji,
pracownicy serwisu, pracownicy ochrony, kierownicy i zastępcy kierowników komórek
organizacyjnych, w stopniu określonym w zakresach ich obowiązków.
KaŜda informacja o naruszeniu systemu bezpieczeństwa, pochodząca z jakiegokolwiek źródła,
wymaga od ABI BUW wszczęcia postępowania wyjaśniającego, aby określić:
a)
b)
c)
d)
e)
f)
g)
h)
czas naruszenia systemu zabezpieczeń,
charakter,
miejsce,
sposób,
skutki,
w jaki sposób usunąć i/lub zminimalizować skutki,
jakie dodatkowe środki naleŜy zastosować w celach profilaktycznych,
sprawcę i cel, gdy istnieje ku temu moŜliwość.
Naruszenie systemu zabezpieczeń moŜe mieć charakter:
a) wewnętrzny lub zewnętrzny,
b) incydentalny lub chroniczny,
c) nieświadomy lub zamierzony.
Miejscem zagroŜenia bezpieczeństwa danych osobowych moŜe być:
a) strefa przetwarzania zasobów w systemie informatycznym,
b) sprzęt komputerowy i inne urządzenia wykorzystywane przy przetwarzaniu,
c) oprogramowanie systemowe, sieciowe i uŜytkowe,
d) zawartość baz, zbiorów danych, rejestrów, akt osobowych i innych dokumentów.
Sposób naruszenia bezpieczeństwa to:
a) osłabienie odporności systemu zabezpieczeń, w szczególności tworzenie potencjalnych
zagroŜeń dla systemu (np. niezamykanie pomieszczeń i/lub sejfów, szaf z aktami,
pozostawianie dokumentacji i/lub dostępu do aplikacji na opuszczonym stanowisku pracy
albo wynoszenie poza teren BUW , samowolna instalacja niedozwolonych programów
2
b)
c)
d)
e)
f)
g)
i/lub sprzętu na lokalnych stanowiskach pracy, udostępnianie swoich identyfikatorów i
haseł dostępu osobom nieupowaŜnionym itp.),
b)nieuprawnione "przeglądanie", sporządzanie notatek, wyciągów, wykazów, kopii, itp.,
zmiana zawartości zgromadzonych danych naruszająca ich integralność i/lub
wiarygodność,
usunięcie części danych lub ich uszkodzenie,
fizyczne zniszczenie zasobów, kradzieŜ sprzętu i/lub oprogramowania,
kradzieŜ dokumentacji papierowej
przekazywanie zgromadzonych danych osobom nieuprawnionym do ich posiadania.
Następstwami naruszenia systemu bezpieczeństwa mogą być:
a)
b)
c)
d)
e)
stworzenie warunków zagroŜenia bezpieczeństwa zasobów,
utrata wiarygodności i spójności informacji zawartych w bazach danych,
utrudnianie lub uniemoŜliwienie realizacji przetwarzania zasobów,
udostępnienie danych osobom nieupowaŜnionym,
wykorzystanie danych osobowych do celów innych niŜ określa ustawa upowaŜniająca do
ich gromadzenia i przetwarzania,
f) naruszenie dóbr osobistych osób, których dane zawarte są w prowadzonych bazach,
W przypadku powaŜnego naruszenia bezpieczeństwa danych osobowych naleŜy niezwłocznie
powołać komisję dla pełnego zbadania przyczyn i skutków przestępstwa, ustalenia, sprawcy i stopnia
jego winy oraz wielkości poniesionych strat. Jest to podstawą zarówno do wszczynania postępowania
wobec winnych jak i minimalizacji i/lub naprawy poniesionych szkód, a takŜe działań eliminujących
tego typu zdarzenia w przyszłości.
Tryb ten obowiązuje równieŜ w razie stwierdzenia świadomego uszkodzenia, zniszczenia bądź
bezzasadnej modyfikacji zasobów, nawet wówczas, gdy nie zostały one udostępnione osobom
nieuprawnionym do ich posiadania. Zakończeniem postępowania wyjaśniającego jest sporządzenie
protokołu podpisanego przez członków komisji (załącznik l ).
Postępowanie w pozostałych wypadkach nie wymaga powoływania komisji. Decyzję w tym
zakresie podejmuje ABI BUW. W razie niewielkich strat wystarczą rutynowe działania słuŜb
informatycznych pozwalające na usunięcie awarii przez serwis, odtworzenie uszkodzonych zasobów,
pouczenie uŜytkownika, ponowna analiza systemu zabezpieczeń i ich poprawienie. Zdarzenie takie
powinno być odnotowane w dzienniku pracy systemu, a po usunięciu winno zostać skontrolowane
przez ABI BUW i fakt ten takŜe powinien zostać odnotowany.
3
Protokół postępowania wyjaśniającego w sprawie stwierdzenia naruszenia ochrony
danych osobowych w Bibliotece Uniwersyteckiej w Warszawie
Protokół nr ............................z dnia............................ sygn. ...............................
sporządzony w .................................................................................................
I. komisja w składzie:
Administrator Bezpieczeństwa Informacji BUW ...........................................................................
Kierownik Oddziału BUW..............................................................................................................
Administrator systemu informatycznego słuŜącego do przetwarzania danych osobowych
..........................................................................................................................................................
na podstawie :
a) zgłoszenia dokonanego przez ..............................................................................................
b) analizy raportu systemowego ...............................................................................................
c) zapisu z dziennika (nazwa) ..................................................................................................
d) inna podstawa . ....................................................................................................................
stwierdza, iŜ w dniu .............. w .......................................................................................................
(nazwa oddziału BUW, którego dotyczy zgłoszenie naruszenia ochrony danych osobowych przetwarzanych w zbiorze danych osobowych )
nie doszło / doszło* do naruszenia ochrony danych osobowych przetwarzanych w zbiorze danych
osobowych
*niepotrzebne skreślić
II W trakcie postępowania wyjaśniającego ustalono :
A. Naruszenie systemów bezpieczeństwa nastąpiło :
-z poza strefy chronionej,
-wewnątrz strefy chronionej,
Krótko scharakteryzować
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
-jednokrotnie,
-wielokrotnie,
2
JeŜeli zjawisko wystąpiło wielokrotnie podać częstotliwość i inne charakterystyki
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
-w sposób przypadkowy,
-w sposób zamierzony,
Opisać fakty o tym świadczące
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
B. Miejsce naruszenia zabezpieczeń:
-zamknięta strefa przetwarzania — pomieszczenia, sejfy , szafy
-sprzęt komputerowy i sieciowy, urządzenia komunikacyjne, sprzęt powielający, archiwa,
kopie zapasowe i bezpieczeństwa,
-oprogramowanie,
-zawartość baz danych ,
Szczegółowy opis konsekwencji:
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
C. Naruszenie bezpieczeństwa polegało na:
-
-
osłabieniu odporności systemu zabezpieczeń poprzez:
zaniedbania w zakresie ochrony pomieszczeń, sejfów,
opuszczanie stanowiska pracy bez naleŜytego zabezpieczenia dostępu do komputera i
dokumentów,
wynoszenie dokumentów, kopii, raportów lub sprzętu poza strefę chronioną,
niedozwolone instalowanie gier, programów i narzędzi programistycznych
instalowanie niedozwolonego sprzętu i innych urządzeń, zwłaszcza komunikacyjnych
celowe wprowadzanie wirusów komputerowych,
udostępnienie stanowiska pracy osobom nieupowaŜnionym,
udostępnianie przydzielonych identyfikatorów i haseł dostępu osobom
nieupowaŜnionym
nieuprawnionym "przeglądaniu" danych osobowych,
nieuzasadnionym sporządzaniu notatek, kopii, wyciągów, wydruków, raportów itp.
modyfikacji zawartości zasobów z pominięciem wymaganych procedur, prowadzącej w
konsekwencji do utraty spójności bądź wiarygodności tych danych,
usunięciu części zasobów lub ich trwałym uszkodzeniu,
trwałym usunięciu bazy,
kradzieŜy sprzętu lub oprogramowania,
3
-
niedozwolonej transmisji danych, dopuszczeniu do pracy na stanowisku osób
nieupowaŜnionych, przekazywaniu całości lub części danych osobom nieuprawnionym do ich
posiadania w dowolnej formie.
Krótki opis, gdy zachodzi potrzeba:
.............................................................................................................................................................
.............................................................................................................................................................
.............................................................................................................................................................
D, W następstwie naruszenia bezpieczeństwa doszło do:
- stworzenia warunków osłabiających bezpieczeństwo systemu,
- naruszenia integralności danych,
- utraty wiarygodności bazy,
- utraty zbioru danych.................................................................................................................
- wyraźnego utrudnienia pozyskiwania informacji z bazy,
- uniemoŜliwienia przetwarzania bazy,
- wykorzystywania do celów niedozwolonych ustawą o ...........................................................
- rozpowszechnienia danych osobowych podmiotu naraŜając jego dobra osobiste,
uniemoŜliwienia prawidłowego wykorzystania danych dla realizacji......................................
Szczegółowy opis konsekwencji:
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
..................................
E, Zalecenia w zakresie eliminacji poniesionych szkód:
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
..................................
F, W celu zapobieŜenia kolejnym naruszeniom ochrony danych osobowych Komisja nakazała:
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
4
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
....................................................................................................................................................................
..................................
III. Po przeprowadzeniu analizy zdarzenia Komisja ustaliła, Ŝe:
sprawca jest nieznany
naruszenie ochrony nastąpiło z winy błędu aplikacji,
winnym zdarzenia
jest:....................................................................................................................
(nazwisko i imię, oddział BUW)
i po wysłuchaniu wyjaśnień postanawia:
-
udzielić pouczenia
udzielić upomnienia,
udzielić nagany
wszcząć postępowanie dyscyplinarne
skierować wniosek do organów ścigania
Podpisy członków komisji
...........................................
...........................................
...........................................
...........................................
5