Strona 1 z 15 Załącznik nr 7 do Instrukcji Zarządzania Systemem
Transkrypt
Strona 1 z 15 Załącznik nr 7 do Instrukcji Zarządzania Systemem
Załącznik Nr 2 do Zarządzenia Nr 191/05/2015 Prezydenta Miasta Starogard Gdański Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Niniejsza instrukcja reguluje postępowanie pracowników Urzędu Miasta zatrudnionych przy przetwarzaniu danych osobowych, definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. §1 Celem niniejszej instrukcji jest określenie zadań pracowników w zakresie: 1) ochrony danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą oraz ochroną zasobów technicznych; 2) prawidłowego reagowania pracowników zatrudnionych przy przetwarzaniu danych osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych lub zabezpieczeń systemu informatycznego; 3) ograniczenia ryzyka powstania zagrożeń oraz minimalizacja skutków wystąpienia zagrożeń. §2 Naruszenie systemu ochrony danych osobowych może zostać stwierdzone na podstawie oceny: 1) stanu urządzeń technicznych; 2) zawartości zbiorów danych osobowych; 3) sposobu działania programu lub jakości komunikacji w sieci teleinformatycznej; 4) metod pracy (w tym obiegu dokumentów). §3 1. Każdy pracownik Urzędu Miasta w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest bezzwłocznie powiadomić ABI lub bezpośredniego przełożonego. 2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych; 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności); Strona 1 z 15 2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników utrata/zagubienie danych); 3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego: 1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki; 2) inicjuje ewentualne działania dyscyplinarne; 3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości; 4) dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych (zał.nr 3), podejmuje działania zapobiegawcze. 5. W przypadku stwierdzenia naruszenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu (zał. nr 2 lub 3) o naruszeniu ochrony danych osobowych wg załączonego wzoru który zawiera co najmniej: 1) kod formy naruszenia danych osobowych wg załączonego katalogu zagrożeń i incydentów bezpieczeństwa danych osobowych (zał. nr 1); 2) ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia, skutki, oraz wielkość szkód które zaistniały; 3) zabezpiecza ewentualne dowody winy; 4) ustala osoby odpowiedzialne za naruszenia; 5) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody); 6) inicjuje działania dyscyplinarne; 7) rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości. 6. ABI sporządzony raport i ewidencjonuje w „Rejestrze incydentów i zagrożeń” (zał. nr 4). §4 Procedura działań korygujących i zapobiegawczych 1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych, wynikających z zaistnienia naruszeń lub zagrożeń bezpieczeństwa danych, oraz zagrożeń systemu ochrony danych osobowych. 2. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych. 3. Osobą odpowiedzialną za nadzór nad procedurą jest ABI. 4. Definicje: 1) incydent – naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność; 2) zagrożenie – potencjalna możliwość wystąpienia incydentu; 3) korekcja – działanie w celu wyeliminowania skutków incydentu; Strona 2 z 15 4) działanie korygujące – jest to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji; 5) działania zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądane; 6) kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarzadzania systemem informatycznym. §5 Opis czynności 1.ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są: 1) zgłoszenia od kierowników komórek organizacyjnych lub pracowników; 2) wyniki kontroli w tym ustalone przyczyny i okoliczności naruszenia bezpieczeństwa danych osobowych. 2.W przypadku, gdy ABI stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: 1) źródło powstania incydentu lub zagrożenia; 2) zakres działań korygujących lub zapobiegawczych; 3) termin realizacji, osobę odpowiedzialną. §6 1. Bezpośredni przełożony pracownika po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, jest zobowiązany niezwłocznie powiadomić ABI, chyba, że zrobił to pracownik, który stwierdził naruszenie. 2. Na stanowisku, na którym stwierdzono naruszenie zabezpieczenia danych ABI lub osoba przełożona pracownika przejmują nadzór nad pracą w systemie odsuwając jednocześnie od stanowiska pracownika, który dotychczas na nim pracował, aż do czasu wydania odmiennej decyzji. §7 1. ABI zobowiązany jest do powiadomienia o zaistniałej sytuacji ADO, który podejmuje decyzje o wykonaniu czynności zmierzających do przywrócenia poprawnej pracy systemu oraz o ponownym przystąpieniu do pracy w systemie. 2. ABI zobowiązany jest do sporządzenia „Raportu z przeglądu incydentów i zdarzeń”, przedstawiając go do zatwierdzenia ADO (zał.nr 5). §8 1. Za naruszanie ochrony danych osobowych obowiązują kary przewidziane przepisami prawa. 2. Za naruszenie ochrony danych osobowych ADO może stosować kary porządkowe, niezależnie od zastosowania kar, o których mowa wyżej. Strona 3 z 15 Zał. nr 1 Katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych Sposób postępowania Nr (kod) naruszeń Formy naruszeń Kierownika komórki organizacyjnej Administratora Bezpieczeństwa Informacji A Formy naruszenia danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 A.1.1 A.1.2 A.1.3 A.2 A.2.1 A.2.2 W zakresie wiedzy Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Powiadomić ABI. Ujawnienie informacji o Natychmiast przerwać sprzęcie i pozostałej infra- rozmowę lub inną czynność strukturze informatycznej. prowadzącą do ujawnienia informacji. Powiadomić ABI. Dopuszczenie i stwarzanie Natychmiast przerwać warunków, aby ktokolczynność prowadzącą do wiek mógł pozyskać inujawnienia informacji. Poformację o sprzęcie i powiadomić ABI. zostałej infrastrukturze informatycznej np. z obserwacji lub dokumentacji. Ujawnienie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym. Sporządza raport z opisem, jaka informacja została ujawniona. Sporządza raport z opisem, jaka informacja została ujawniona. Sporządza raport z opisem, jaka informacja została ujawniona. W zakresie sprzętu i oprogramowania Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Niezwłocznie zakończyć działanie aplikacji. Pouczyć osobę, która dopuściła do takiej sytuacji. Przekazać informacje do ABI. Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła się do takiej sytuacji. Sporządzić raport. Przyjmuje informacje od kierownika komórki organizacyjnej i sporządza raport. Przyjmuje raport od kierownika komórki organizacyjnej. Strona 4 z 15 A.2.3 A.2.4 A.2.5 A.2.6 A.2.7 A.2.8 A.2.9 A.3 Pozostawienie w jakimkolwiek niezabezpieczonym a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami. Samodzielne instalowanie i wykorzystanie nielegalnego oprogramowania oraz narzędzi służących do obchodzenia zabezpieczeń w systemach informatycznych. Zmiana konfiguracji sprzętowej oraz programowej systemów oraz stacji roboczych przez niepowołane osoby. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczyta- Sporządza raport. nie. Niezwłocznie powiadomić ABI. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Niezwłocznie powiadomić ABI. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Sporządza raport. Odczytywanie nośników przed sprawdzeniem ich programem antywirusowym. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wzywa administratora systemu informatycznego w celu wykonania kontroli antywirusowej. Sporządza raport. Wykorzystanie ogólnodostępnych serwisów pocztowych (np. Wirtualna Polska, Onet.pl, o2.pl)w celach służbowych. Wykorzystanie służbowej poczty elektronicznej do celów prywatnych. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Niezwłocznie Sporządza raport. powiadomić ABI. Wezwać osobę nieuprawnioną do opuszczenia stanowiska pracy. Ustalić jakie czynności zostały wykonane przez osobę nieuprawnioną Niezwłocznie powiadomić ABI. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Niezwłocznie powiadomić ABI. Sporządza raport. Wzywa administratora systemu informatycznego w celu odinstalowania programów. Sporządza raport. Wezwać osobę popełniającą wymienioną czynność, aby Sporządza raport. jej zaniechała. Niezwłocznie powiadomić ABI. W zakresie dokumentów i obrazów zawierające dane osobowe Strona 5 z 15 Pozostawienie dokumen- Zabezpieczyć dokumenty. tów w otwartych pomiesz- Przekazać informację do czeniach bez nadzoru. ABI. Przyjmuje informację od kierownika komórki organizacyjnej Spowodować poprawienie zabezpieczeń. Przekazać informacje do ABI. Przyjmuje raport od kierownika komórki organizacyjnej. A.3.1 A.3.2 . A.3.3 A.3.4 A.3.5 A.3.6 A.3.7 A.4 A.4.1 Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Dopuszczenie do kopiowania dokumentów i utraty kontroli nad kopią. Dopuszczenie aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Sporządzanie kopii danych na nośnikach danych w sytuacji nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Zabezpieczyć niewłaściwie Przyjmuje raport od zniszczone dokumenty. Spo- kierownika komórki rządzić raport. organizacyjnej. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. powiadomić ABI. Sporządzić raport. Wezwać nieuprawniona osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane – sporządzić raport. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić ABI. Podjąć próbę odzyskania kopii. Powiadomić ABI. Przyjmuje raport od kierownika komórki organizacyjnej. Przyjmuje raport od kierownika komórki organizacyjnej. Przyjmuje informacje od kierownika jednostki organizacyjnej. Przyjmuje informacje raport od kierownika komórki organizacyjnej. W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych Opuszczenie i pozosta- Zabezpieczyć (zamknąć) wienie bez dozoru nieza- pomieszczenie. Sporządzić mkniętego pomieszczenia, raport. w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Przyjmuje raport od kierownika komórki organizacyjnej. Strona 6 z 15 A.4.2 A.4.3 A.4.4 Wpuszczenie do pomieszczenia osób nieznanych i dopuszczenie ich do kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie Przyjmuje raport od przebywające w pomiesz- kierownika komórki czeniach do ich opuszczenia, organizacyjnej. próbować ustalić ich tożsamość. ABI. Sporządzić raport. Dopuszczenie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakiejkolwiek urządzenia do sieci komputerowej, demontowały elementy obudów do gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące Przyjmuje raport od zakazanych czynności do kierownika komórki ich zaprzestania. Postarać organizacyjnej. się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Sporządzić raport. Pozostawienie otwartych Zabezpieczyć (zamknąć) okien, drzwi po zakończe- pomieszczenie. Sporządzić niu pracy. raport. Pożar, zalanie. A.4.5 A.4.6 A.4.7 A.4.8 A.4.9 A.4.10 Nieprzestrzeganie polityki czystego biurka oraz czystego ekranu Pozostawienie dokumentów w koszu na śmieci. Pozostawienie wydruków na ogólnodostępne drukarce. Nieautoryzowane wykonanie kopii klucza do pomieszczeń biurowych. Wyniesienie kluczy od pomieszczeń biurowych po zakończonej pracy. Przyjmuje raport od kierownika komórki organizacyjnej. Podjąć próbę odzyskania Przyjmuje informadokumentacji i sprzętu. Po- cje od kierownika wiadomić ABI. jednostki organizacyjnej. Wezwać osobę popełniającą Sporządza raport. wymienioną czynność, aby jej zaniechała. Niezwłocznie powiadomić ABI. Zabezpieczyć dokumenty. Przyjmuje informaPrzekazać informację do cję od kierownika ABI. komórki organizacyjnej. Zabezpieczyć dokumenty. Przyjmuje informaPrzekazać informację do cję od kierownika ABI. komórki organizacyjnej. Wezwać osobę popełniającą wymienioną czynność, aby Sporządza raport. jej zaniechała. Niezwłocznie powiadomić ABI Wezwać osobę popełniającą wymienioną czynność, aby Sporządza raport. jej zaniechała. Niezwłocznie powiadomić ABI Strona 7 z 15 A.5 A.5.1 A.5.2 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakiejkolwiek manipulacji przy urządzeniach lub okablowaniach sieci komputerowej w miejscach publicznych (hole, korytarze, itp) Dopuszczenie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu . Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Przyjmuje informacje od kierownika komórki organizacyjnej. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Przyjmuje informacje od kierownika komórki organizacyjnej. B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych B.1 B.2 B.3 B.4 Ślady manipulacji przy Powiadomić niezwłocznie układach sieci kompute- ABI oraz służby informatyczrowej lub komputerach. ne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Obecność nowych kabli o Powiadomić niezwłocznie nieznanym przeznaczeniu ABI oraz służby informatyczlub pochodzeniu. ne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Niezapowiedziane zmiany Powiadomić niezwłocznie w wyglądzie lub zacho- ABI oraz służby informatyczwaniu aplikacji służącej ne. Nie używać sprzętu ani do przetwarzania danych oprogramowania do czasu osobowych. wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Nieoczekiwane, nie dające Powiadomić niezwłocznie się wyjaśnić, zmiany za- służby informatyczne. Nie wartości bazy danych. używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Strona 8 z 15 B.5 B.6 . Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania Powiadomić niezwłocznie ABI oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Ślady włamania do po- Postępować zgodnie z włamieszczeń, w których ściwymi przepisami. Powiaprzetwarzane są dane oso- domić niezwłocznie ABI. bowe Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. B.7 Zidentyfikowano środek przetwarzający informacje nieznanego pochodzenia (sprzęt, nośnik.) Powiadomić niezwłocznie ABI oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. B.8 Wykorzystano niezinwentaryzowany środek przetwarzania informacji (nie będący własnością pracodawcy). Przechowywanie haseł w niewłaściwy sposób. Powiadomić niezwłocznie ABI oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Niezwłocznie powiadomić ABI. B.9 B.10 Przekazywanie haseł in- Wezwać osobę popełniającą nym osobom. wymienioną czynność, aby jej zaniechała. Niezwłocznie powiadomić ABI. B.11 Pojawienie się nieautory- Powiadomić niezwłocznie zowanej informacji na służby informatyczne. Nie stronie internetowej. używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Niewłaściwe niszczenie Wezwać osobę popełniającą nośników z danymi po- wymienioną czynność, aby jej zwalającymi na ich od- zaniechała. Niezwłocznie czyt. powiadomić ABI B.12 B.13 Wykorzystanie służbowych środków przetwarzania informacji do celów prywatnych. Powiadomić niezwłocznie ABI oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Sporządza raport Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Sporządza raport. Przyjmuje informacje od kierownika komórki organizacyjnej. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Sporządza raport. Sporządza raport. Strona 9 z 15 Nadmierne uprawnienia w Powiadomić niezwłocznie systemach w stosunku do ABI oraz służby informatyczwykonywanej pracy. ne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Nieuprawniona zmiana Wezwać osobę popełniającą danych lub ich uszkodze- wymienioną czynność, aby jej nie. zaniechała. Niezwłocznie powiadomić ABI. Fizyczne zniszczenie lub Powiadomić niezwłocznie uszkodzenie sprzętu oraz ABI oraz służby informatycznośników przetwarzająne. Nie używać sprzętu ani cych informacje oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. Sporządza raport. B.17 Kradzież sprzętu przetwarzającego informacje. Niezwłocznie powiadomić ABI oraz służby informatyczne. Przyjmuje informacje od kierownika komórki organizacyjnej. B.18 Błędy w obsłudze i konserwacji sprzętu komputerowego służącego do przetwarzania informacji. Powiadomić niezwłocznie ABI oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. B.19 W wyniku rozwiązania umowy z pracownikiem nie podjęto działań związanych z odebraniem uprawnień Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. B.20 Nieuprawniony dostęp do strefy administracyjnej. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Sporządzić raport. Przyjmuje raport od kierownika komórki organizacyjnej. B.14 B.15 B.16 Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport. C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem C.1 Próba uzyskania hasła Powiadomić ABI. uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej. Przyjmuje informacje od kierownika komórki organizacyjnej. Strona 10 z 15 C.2 C.3 C.4 Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. Nie wykonanie kopii zapasowych Powiadomić ABI. Sporządzić Przyjmuje raport raport. od kierownika komórki organizacyjnej. Powiadomić ABI. Sporządzić Przyjmuje raport raport. od kierownika komórki organizacyjnej. Nie zweryfikowanie Powiadomić ABI. Sporządzić Przyjmuje raport możliwości odtwo- raport. od kierownika korzenia danych z kopii mórki organizacyjzapasowych. nej. Strona 11 z 15 Zał. nr 2 Raport z incydentu naruszającego bezpieczeństwo danych osobowych ze względu na poufność, dostępność i integralność Sporządzający raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy naruszenia ochrony danych .............. (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 3) Osoby , które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 4) Informacje o danych, które zostały lub mogły zostać ujawnione: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania korekcyjne, korygujące, zapobiegawcze): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. Data:............................. Podpis: Strona 12 z 15 Zał. nr 3 Raport z zagrożenia bezpieczeństwo danych osobowych Sporządzający raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy zagrożenia ochrony danych .............. (wg tabeli) 1) Miejsce, dokładny czas i data stwierdzenia zagrożenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do zagrożenia ochrony danych osobowych): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 3) Osoby , które uczestniczyły w zdarzeniu związanym z zagrożeniem ochrony danych osobowych: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 4) Informacje o danych, które mogły zostać ujawnione: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. 6) Krótki opis wydarzenia związanego z zagrożeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania zapobiegawcze): ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. ……………………………………………………………………………………………………….. Data:............................. Podpis: Strona 13 z 15 Zał. nr 4 Rejestr incydentów i zagrożeń Nr raportu Zagrożenia/incyde ntu Kod formy naruszenia Osoba zgłaszająca Powodująca naruszenie Podjęte działania zapobiegawcze korygujące Wyniki podjętych działań korekcyjne Data zamknięcia zagrożenia/ incydentu Uwagi Strona 14 z 15 Zał. nr 5 Raport z przeglądu zagrożeń/incydentów bezpieczeństwa danych osobowych Nr przeglądu RAPORT Z PRZEGLĄDU ZAGROŻEŃ/INCYDENTÓW Data sporządzenia raportu Data przeprowadzenia przeglądu Podsumowanie wyników przeglądu: …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… Spostrzeżenia służące doskonaleniu: …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………. Załączniki do raportu: …………………………………….. Sporządził ………………………………………. Zatwierdził Strona 15 z 15