ZARZ¥DZENIE ochrona danych - Zarząd Dróg Powiatowych w

ZARZ DZENIE NR 5/2013
Dyrektora Zarz du Dróg Powiatowych w Biłgoraju
z dnia 14.08.2013 roku
w sprawie ochrony danych osobowych w Zarz dzie Dróg Powiatowych w Biłgoraju
Na podstawie art. 36 ust 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101 poz. 926 z pó n. Zm.) oraz § 3 rozporz dzenia Ministra Spraw
Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024), zarz dzam, co nast puje:
§1
Wprowadzam nast puj c dokumentacj opisuj c sposób przetwarzania danych osobowych
oraz rodki techniczne i organizacyjne zapewniaj ce ochron przetwarzanych danych
osobowych w ZDP w Biłgoraju.:
1. Polityk bezpiecze stwa w zakresie zarz dzania systemami informatycznymi słu cymi
do przetwarzania danych osobowych stanowi c zał cznik Nr 1 do niniejszego
zarz dzenia,
2. Instrukcj zarz dzania systemem informatycznym słu cym do przetwarzanych danych
osobowych stanowi c zał cznik Nr 2 do niniejszego zarz dzenia.
1.
2.
§2
Wyznaczam Pani Iwon Marzec na Administratora Bezpiecze stwa Informacji (ABI)
oraz Administratora Systemów Informatycznych (ASI) w Zarz dzie Dróg Powiatowych
w Biłgoraju.
Zobowi zuj wszystkich pracowników Zarz du Dróg Powiatowych w Biłgoraju (z
wyj tkiem zatrudnionych na stanowiskach: robotnik drogowy oraz robotnik drogowy
wykwalifikowany) do przestrzegania zasad zawartych w niniejszym Zarz dzeniu.
§3
Zarz dzenie wchodzi w ycie z dniem podpisania.
1
Zał cznik Nr 1
do Zarz dzenia Nr 5/2013
z dnia 14.08.2013r.
POLITYKA BEZPIECZE STWA W ZAKRESIE ZARZ DZANIA SYSTEMAMI
INFORMATYCZNYMI SŁU CYMI DO PRZETWARZANIA DANYCH
OSOBOWYCH W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
I. Obszar, w którym przetwarzane s dane osobowe.
1. Obszar przetwarzania danych osobowych stanowi pomieszczenia Zarz du Dróg
Powiatowych w Biłgoraju, w dalszej tre ci dokumentu oznaczone „ZDP”, w których
wykonywane s operacje na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udost pnianie i usuwanie z u yciem
stacjonarnego sprz tu komputerowego lub w formie kartotek, skorowidzów, ksi g,
wykazów i innych zbiorów ewidencyjnych.
2. Pomieszczenia, w których przetwarzane s dane osobowe, powinny by zamykane na czas
nieobecno ci w nich osób zatrudnionych, w sposób uniemo liwiaj cy dost p osób
trzecich. Osoby postronne mog przebywa wewn trz wy ej wymienionego obszaru
jedynie w obecno ci osoby upowa nionej do przetwarzania danych osobowych.
W pomieszczeniach, w których przebywaj osoby postronne, monitory stanowisk dost pu
powinny by ustawione w sposób uniemo liwiaj cy wgl d w dane osobom trzecim.
II. Wykaz zbiorów danych osobowych.
Identyfikacj zbiorów danych osobowych przetwarzanych w ZDP wraz ze wskazaniem
programów zastosowanych do ich przetwarzania zawiera Zał cznik Nr A do niniejszej
Polityki Bezpiecze stwa.
III. Struktura zbiorów danych osobowych.
Opis struktury zbiorów danych wskazuj cy zawarto poszczególnych pól informacyjnych
i powi zania mi dzy nimi zawiera Zał cznik Nr B do niniejszej Polityki Bezpiecze stwa.
IV. Sposób przepływu danych pomi dzy poszczególnymi systemami.
Sposób współpracy pomi dzy ró nymi systemami informatycznymi, stosowanymi w ZDP
okre la Zał cznik Nr C do niniejszej Polityki Bezpiecze stwa.
V.
rodki techniczne i organizacyjne niezb dne dla zapewnienia bezpiecze stwa
przetwarzanych danych.
1.
rodki ochrony fizycznej.
1) Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych, jest
chroniony przez firm monitoruj c elektroniczne systemy sygnalizacji włamania.
2) Urz dzenia słu ce do przetwarzania danych osobowych znajduj si w zamkni tych
pomieszczeniach.
2.
rodki organizacyjne.
1) Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych
sprawuje wyznaczony pracownik. Wyznaczony pracownik wykonuje zadania
administratora danych osobowych polegaj ce na:
2
a) opracowaniu i aktualizacji „Polityki Bezpiecze stwa”;
b) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w ZDP
c) prowadzeniu ewidencji osób upowa nionych do przetwarzania danych
osobowych, zgodnie z formularzem stanowi cym Zał cznik Nr F do niniejszej
Polityki Bezpiecze stwa;
d) prowadzeniu ewidencji osób zapoznanych z dokumentacj dotycz c ochrony
danych osobowych, zgodnie z formularzem stanowi cym Zał cznik Nr H do
niniejszej Polityki Bezpiecze stwa;
e) realizowaniu procedur zwi zanych ze zgłaszaniem Generalnemu Inspektorowi
Ochrony Danych Osobowych (GIODO)zbiorów danych osobowych podlegaj cych
rejestracji;
f) przeprowadzaniu szkole z zakresu ochrony danych osobowych dla osób
upowa nionych do przetwarzania danych osobowych.
2) Administrator Bezpiecze stwa Informacji nadzoruje zabezpieczenie przetwarzanych
danych osobowych przed ich udost pnieniem osobom nieupowa nionym,
przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz przed
zmian , utrat , uszkodzeniem lub zniszczeniem, a ponadto wykonuje zadania
administratora danych osobowych polegaj ce na:
a) opracowaniu i aktualizacji Instrukcji zarz dzania systemem informatycznym,
słu cym do przetwarzania danych osobowych;
b) dokonywaniu okresowej analizy zagro e dla bezpiecze stwa danych osobowych
oraz wdra aniu zmian w Polityce bezpiecze stwa w celu zapewnienia wła ciwego
poziomu ochrony przetwarzanych danych osobowych.
3) Do przetwarzania danych mog by dopuszczeni pracownicy ZDP posiadaj cy
upowa nienie nadane przez Administratora Danych Osobowych:
a) bezpo redni przeło ony pracownika kieruje do Administratora Bezpiecze stwa
Informacji wniosek o wydanie upowa nienia do przetwarzania danych osobowych
(zał cznik Nr D) okre laj c:
− Dane u ytkownika
− Zbiór danych osobowych
− Zakres przetwarzania danych osobowych.
b) Administrator Bezpiecze stwa Informacji przedkłada Administratorowi Danych
Osobowych do akceptacji wniosek oraz upowa nienie do przetwarzania danych
osobowych – zał cznik Nr E.
c) po zaakceptowaniu przez Administratora Danych Osobowych wniosku i
wystawieniu upowa nienia: Administrator Bezpiecze stwa Informacji zapoznaje
nowego u ytkownika z Polityk Bezpiecze stwa, Instrukcj zarz dzania
systemami informatycznymi, Ustaw i Rozporz dzeniem oraz wprowadza
u ytkownika do ewidencji osób zapoznanych z dokumentacj (zał cznik Nr H)
oraz do ewidencji osób upowa nionych do przetwarzania danych osobowych
(zał cznik Nr F)
d) zapoznanie si
z powy szymi regulacjami pracownik potwierdza
Administratorowi Bezpiecze stwa Informacji na o wiadczeniu, którego wzór
stanowi zał cznik Nr G.
4) Modyfikacja lub odebranie pracownikowi upowa nienia do przetwarzania danych
osobowych nast puje na pisemny wniosek przeło onego pracownika i podlega
analogicznej procedurze jak przy jego nadawaniu.
5) Tymczasowe wydruki z danymi osobowymi po ustaniu ich przydatno ci s niszczone
w niszczarkach .
3
6) Dokumenty zawieraj ce dane osobowe przekazywane s
kancelaryjn do składnicy akt.
zgodnie z instrukcj
7) Procedury post powania w sytuacji naruszenia ochrony danych osobowych zostały
zdefiniowane w Instrukcji, stanowi cej Zał cznik Nr
do niniejszej Polityki
Bezpiecze stwa.
Wzór
Zał cznik Nr A
WYKAZ
ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW
ZASTOSOWANYCH DO ICH PRZETWARZANIA
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
L.p.
Zbiór danych osobowych
Cel przetwarzania
Wzór
Rodzaj systemu/programu
Zał cznik Nr B
STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
L.p.
Zbiór danych osobowych
Zawarto
poszczególnych pól informacyjnych i powi zania
mi dzy nimi
Wzór
Zał cznik Nr C
SPOSÓB WSPÓŁPRACY POMI DZY RÓ NYMI SYSTEMAMI
INFORMATYCZNYMI, STOSOWANYMI
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
L.p.
Zbiór danych osobowych
Rodzaj systemu/programu
4
Sposób współpracy
Zał cznik Nr D
Wzór
Wniosek
o wydanie / odebranie upowa nienia do przetwarzania danych osobowych
Nazwa zbioru/ów .........................................................................................................................
.......................................................................................................................................................
Imi i nazwisko pracownika ........................................................................................................
Zakres upowa nienia do przetwarzania danych / odebrania cz ci uprawnie ...........................
.......................................................................................................................................................
.......................................................................................................................................................
Data: .............................
....................................................................
Podpis bezpo redniego przeło onego
................................................................................
Podpis Administratora Bezpiecze stwa Informacji
Akceptacja:
......................................................................
Podpis Administratora Danych Osobowych
5
Wzór
Zał cznik Nr E
................................................................
(piecz
nagłówkowa jednostki organizacyjnej)
UPOWA NIENIE NR……………
Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 z pó n. zm.)
upowa niam
Pani /Pana .........................................................................................................
(imi i nazwisko)
Zatrudnion /zatrudnionego w ........................................................................................................
.........................................................................................................................................................
(nazwa komórki organizacyjnej)
do przetwarzania danych osobowych w celach zwi zanych z wykonywaniem obowi zków na
stanowisku:.................................................................................................................................
....................................................................................................................................................
(zajmowane stanowisko)
oraz do obsługi systemu informatycznego i urz dze wchodz cych w jego skład.
Niniejsze upowa nienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej
(kartoteki, ewidencje, rejestry, spisy itp.) i elektronicznej, wg wykazu zbiorów:
.....................................................................................................................................................
.....................................................................................................................................................
....................................................................................................................................................
Upowa nienie wa ne do ............................................................................................................
……………………………………………………
(data i podpis Administratora Danych Osobowych)
Uwaga:
Niniejsze upowa nienie zostało sporz dzone w trzech jednobrzmi cych egzemplarzach – ka dy na
prawach oryginału, które otrzymuj :
1) Osoba upowa niona
2) Do akt osobowych upowa nionego
3) Administrator Bezpiecze stwa Informacji
6
Wzór
Zał cznik Nr F
EWIDENCJA OSÓB UPOWA NIONYCH
DO PRZETWARZANIA DANYCH OSOBOWYCH
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
L.p
Imi i nazwisko
Rodzaj
systemu
Zbiór danych osobowych
7
Data nadania
upowa nienia
Data ustania
upowa nienia
Zał cznik Nr G
Wzór
Biłgoraj, dnia .................................
........................................................
(imi i nazwisko)
........................................................
(Nr upowa nienia)
O WIADCZENIE
O wiadczam,
e w zwi zku z przetwarzaniem danych osobowych wynikaj cych z
wykonywanych przeze mnie czynno ci słu bowych zapoznałam/em si z:
−
Ustaw z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101,
poz.926 z pó n.zm.),
−
Rozporz dzeniem Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia
2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiada
urz dzenia i systemy
informatyczne słu ce do przetwarzania danych osobowych (Dz.U. z 2004r. Nr 100, poz.
1024),
−
Polityk Bezpiecze stwa w zakresie zarz dzania systemami informatycznymi słu cymi
do przetwarzania danych osobowych,
−
Instrukcj zarz dzania systemem informatycznym słu cym do przetwarzania danych
osobowych.
Jednocze nie zobowi zuj si :
−
zachowa w tajemnicy dane osobowe, z którymi zetkn łam si /zetkn łem si * w trakcie
wykonywania swoich obowi zków słu bowych, zarówno w czasie trwania stosunku
pracy, jak i po jego ustaniu,
−
chroni
dane osobowe przed dost pem do nich osób do tego nieupowa nionych,
zabezpiecza je przed zniszczeniem i nielegalnym ujawnieniem.
Znana jest mi odpowiedzialno
karna za naruszenie w/w ustawy (art.49-54).
……………………………………………………
(data i podpis pracownika)
Uwaga:
Niniejsze upowa nienie zostało sporz dzone w trzech jednobrzmi cych egzemplarzach – ka dy na
prawach oryginału, które otrzymuj :
4) Osoba upowa niona
5) Do akt osobowych upowa nionego
6) Administrator Bezpiecze stwa Informacji
8
Zał cznik Nr H
Wzór
Ewidencja osób,
które zostały zapoznane z dokumentacj
dotycz c ochrony danych osobowych
L.p.
Imi i nazwisko
Data
9
Podpis
Zał cznik Nr
INSTRUKCJA POST POWANIA W SYTUACJI NARUSZENIA OCHRONY
DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
I. Opis zdarze naruszaj cych ochron danych osobowych
1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia
zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to
głównie:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na
zasoby systemu jak np. wybuch gazu, po ar, zalanie pomieszcze , katastrofa
budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy
remontowej itp.,
2) niewła ciwe parametry rodowiska, np. niewła ciwa wilgotno , temperatura,
oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje,
3) awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie
w kierunku naruszenia ochrony danych lub sabota ,
4) niewła ciwe działanie serwisu, w tym tak e pozostawienie serwisantów bez
nadzoru,
5) pojawienie si komunikatu alarmowego pochodz cego od cz ci systemu
zapewniaj cej ochron zasobów lub innego komunikatu o podobnym znaczeniu,
6) zła jako danych w systemie lub inne odst pstwo od stanu oczekiwanego,
wskazuj ce na zakłócenia systemu lub inn nadzwyczajn i niepo dan
modyfikacj w systemie,
7) naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w tym
systemie,
8) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze
danych bez upowa nienia,
9) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie
informatycznym,
10) ujawnienie osobom nieupowa nionym danych osobowych lub obj tych tajemnic
procedur ochrony przetwarzania lub innych chronionych elementów systemu
zabezpiecze ,
11) funkcjonowanie systemu lub jego sieci komputerowej wykazuj ce odst pstwa od
zało onego rytmu pracy, uprawdopodobniaj ce przełamanie lub zaniechanie
ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie
jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym
logowaniu, itp.,
12) obecno w obszarze bezpiecze stwa osób postronnych bez dozoru pracowników
zatrudnionych przy przetwarzaniu danych osobowych,
13) ujawnienie istnienia nieautoryzowanych kont dost pu do danych itp.,
14) podmiana lub zniszczenie no ników z danymi osobowymi bez zachowania
procedury; skasowanie lub skopiowanie danych osobowych w sposób
niedozwolony,
15) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpiecze stwa
informacji (np. nie wylogowanie si przed opuszczeniem stanowiska pracy,
pozostawienie wydrukowanych danych osobowych w drukarce czy w kserografie,
niewykonanie w okre lonym terminie kopii bezpiecze stwa, itp.).
10
16) Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci
w zakresie zabezpieczenia fizycznego miejsc przetwarzania danych osobowych, np.
pozostawienie otwartego pomieszczenia w obszarze bezpiecze stwa; umo liwienie
nieautoryzowanego dost pu do urz dze archiwizuj cych itp.
II. Post powanie w przypadku naruszenia ochrony danych osobowych
1. W przypadku stwierdzenia naruszenia:
1) zabezpieczenia systemu informatycznego,
2) stanu urz dze ,
3) zawarto ci zbioru danych osobowych,
4) wynikaj cego z ujawnienia metody pracy lub sposobu działania programu,
5) jako ci transmisji danych w sieci telekomunikacyjnej mog cej wskazywa na
naruszenie zabezpiecze tych danych,
6) innych zdarze mog cych mie wpływ na naruszenie danych osobowych (np. po ar
itp.)
ka dy pracownik ZDP w Biłgoraju zatrudniony przy przetwarzaniu danych osobowych
jest obowi zany niezwłocznie powiadomi o tym fakcie Administratora Systemu
Informatycznego i Administratora Bezpiecze stwa Informacji. (zał cznik Nr J).
2. Pracownicy, którzy stwierdzili naruszenie ochrony danych osobowych, o których mowa
w pkt. 4 i 5 w oczekiwaniu na przybycie Administratora Bezpiecze stwa Informacji
musz :
1) niezwłocznie podj czynno ci niezb dne dla powstrzymania niepo danych skutków
zaistniałego naruszenia, o ile istnieje taka mo liwo , nast pnie uwzgl dni
w działaniu równie ustalenie przyczyn lub sprawców,
2) wstrzyma bie c prac w celu zabezpieczenia miejsca zdarzenia,
3) zaniecha dalszych planowanych przedsi wzi , które wi
si z zaistniałym
naruszeniem i mog utrudni jego udokumentowanie i analiz ,
4) podj
inne działania przewidziane i okre lone w instrukcjach technicznych
i technologicznych stosownie do objawów i komunikatów towarzysz cych naruszeniu,
5) udokumentowa wst pnie zaistniałe naruszenie,
6) nie opuszcza bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia
administratora bezpiecze stwa informacji lub osoby upowa nionej.
3. Administrator Bezpiecze stwa Informacji po przybyciu na miejsce naruszenia ochrony
danych osobowych:
1) zapoznaje si z zaistniał sytuacj i dokonuje wyboru metody dalszego post powania
maj c na uwadze wnioski z przeprowadzonych wcze niej symulacji zagro e oraz
polityk bezpiecze stwa w tym zakresie,
2)
da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak
równie od ka dej innej osoby, która mo e posiada informacje zwi zane
z zaistniałym naruszeniem.
4. Administrator Bezpiecze stwa Informacji dokumentuje zaistniały przypadek naruszenia
oraz sporz dza raport (zał cznik Nr K), który powinien w szczególno ci zawiera :
1) wskazanie osoby powiadamiaj cej o naruszeniu oraz innych osób zaanga owanych
lub odpytanych w zwi zku z naruszeniem,
2) okre lenie czasu i miejsca naruszenia i powiadomienia,
3) okre lenie rodzaju naruszenia i okoliczno ci towarzysz cych,
4) opis podj tego działania i metody post powania,
5) wst pn ocen przyczyn wyst pienia naruszenia,
6) ocen przeprowadzonego post powania wyja niaj cego i naprawczego.
11
5. Po wyczerpaniu niezb dnych rodków dora nych po zaistniałym naruszeniu
Administrator Bezpiecze stwa Informacji zasi ga niezb dnych opinii i proponuje
post powanie naprawcze, w tym ustosunkowuje si do kwestii ewentualnego odtworzenia
danych z zabezpiecze oraz terminu wznowienia przetwarzania danych.
6. Zaistniałe naruszenie powinno sta si przedmiotem szczegółowej, zespołowej analizy
z udziałem Dyrektora, stanowisk funkcyjnych , Administratora Bezpiecze stwa
Informacji i Administratora Systemu Informatycznego.
7. Analiza, o której mowa w pkt. 6, powinna zawiera wszechstronn ocen zaistniałego
naruszenia, wskazanie odpowiedzialnych, wnioski, co do ewentualnych przedsi wzi
proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec
podobnym naruszeniom w przyszło ci.
III. Postanowienia ko cowe
1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego
w niniejszej Instrukcji, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie
z okre lonymi zasadami, a tak e, gdy nie zrealizowała stosownego działania
dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne.
2. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszej
procedury mog
by
potraktowane jako ci kie naruszenie obowi zków
pracowniczych, w szczególno ci przez pracownika, który wobec naruszenia
zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego
naruszenia nie powiadomił
o tym Administratora Bezpiecze stwa Informacji.
12
Zał cznik Nr J
Wzór
Zgłoszenie
naruszenia bezpiecze stwa danych osobowych
Data:......................................... .godzina: ............................................
Osoba zgłaszaj ca zdarzenie:........................................................................................................
(imi i nazwisko)
Lokalizacja zdarzenia: ..................................................................................................................
(adres, dział, stanowisko)
.................................................................................................................................................................................................................................
Opis sytuacji, przy której doszło do naruszenia bezpiecze stwa danych osobowych:
.......................................................................................................................................................
.......................................................................................................................................................
................................................................
(podpis zgłaszaj cego)
................................................................................
(data i godzina przyj cia, podpis
Administratora Bezpiecze stwa Informacji)
13
Zał cznik Nr K
Wzór
Raport
ze zgłoszenia naruszenia bezpiecze stwa danych osobowych
Data:......................................... .godzina: ............................................
Osoba zgłaszaj ca zdarzenie:........................................................................................................
(imi i nazwisko)
Lokalizacja zdarzenia: ..................................................................................................................
(adres, dział, stanowisko)
.................................................................................................................................................................................................................................
Rodzaj naruszenia bezpiecze stwa: .............................................................................................
Podj te działania: .........................................................................................................................
Przyczyny wyst pienia: ................................................................................................................
Podj te czynno ci: ........................................................................................................................
.......................................................................................................................................................
...................................................................................
(podpis Administratora Bezpiecze stwa Informacji
14
Zał cznik Nr 2
do Zarz dzenia Nr 5./2013
z dnia 14.08.2013r.
INSTRUKCJA ZARZ DZANIA SYSTEMEM INFORMATYCZNYM
SŁU CYM DO PRZETWARZANIA DANYCH OSOBOWYCH
W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU
1. Definicje
Ilekro mowa w niniejszym dokumencie o:
Administratorze Danych Osobowych (ADO) – nale y przez to rozumie Dyrektora ZDP w
Biłgoraju,
Administratorze Bezpiecze stwa Informacji (ABI) – nale y przez to rozumie pracownika
zatrudnionego w ZDP w Biłgoraju i wyznaczonego przez Dyrektora do pełnienia tej funkcji,
u ytkowniku systemu – nale y przez to rozumie osob upowa nion do przetwarzania
danych osobowych w systemie informatycznym. U ytkownikiem mo e by pracownik ZDP,
osoba wykonuj ca prac na podstawie umowy zlecenia lub innej umowy cywilno-prawnej,
osoba odbywaj ca sta ,
Administratorze Systemu Informatycznego (ASI) – nale y przez to rozumie pracownika
zatrudnionego w ZDP w Biłgoraju i odpowiedzialnego za funkcjonowanie systemu
informatycznego oraz stosowanie technicznych i organizacyjnych rodków ochrony
przewidzianych w tym systemie,
2. Informacje ogólne
Zarz dzanie systemem informatycznym ZDP w Biłgoraju nale y do pracownika
zatrudnionego w ZDP, pełni cego jednocze nie obowi zki Administratora Bezpiecze stwa
Informacji oraz Administratora Systemu Informatycznego, który nadzoruje przestrzeganie
zasad ochrony przetwarzanych danych osobowych, okre lonych ustaw z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pó n. zm.), a w
szczególno ci:
1) czuwa nad wdro eniem niniejszej instrukcji oraz dba o bie c jej aktualizacj
stosownie do zmieniaj cych si technologii informatycznych oraz zagro e
bezpiecze stwa systemów informatycznych;
2) dba o bezpiecze stwo danych osobowych poprzez przeciwdziałanie dost powi osób
niepowołanych do danych i podejmowanie odpowiednich działa w przypadku
wykrycia narusze w zabezpieczeniach;
3) identyfikuje i analizuje zagro enia oraz ryzyko, na które mo e by nara one
przetwarzanie danych osobowych;
4) okre la potrzeby w zakresie zabezpieczenia systemów, w których przetwarzane s
dane osobowe;
5) monitoruje działanie zabezpiecze wdro onych w celu ochrony danych osobowych.
6) nadaje uprawnienia dost pu do systemów informatycznych, w tym login i hasło
pierwszego logowania,
7) archiwizuje oraz zabezpiecza kopie zbiorów danych systemów informatycznych,
8) nadzoruje zabezpieczenie systemów informatycznych przed działalno ci zło liwego
oprogramowania, którego celem jest uzyskanie nieuprawnionego dost pu do
zarz dzanych systemów informatycznych,
15
9) zabezpiecza urz dzenia komputerowe przed
nieprawidłowym działaniem sieci energetycznej.
3.
utrat
danych
spowodowan
Procedura nadawania i zmiany uprawnie
1) Upowa nienie do przetwarzania danych osobowych osobie, która w zwi zku
z wykonywanymi przez siebie obowi zkami b dzie miała dost p do danych
osobowych nadaje Administrator Danych Osobowych.
2) Procedur nadania uprawnie do przetwarzania danych osobowych w systemie nale y
stosowa odpowiednio w przypadku zmiany uprawnie w systemie albo odebrania
uprawnie w systemie. Osoba pełni ca rol ASI prowadzi ewidencj osób
upowa nionych do przetwarzania danych osobowych w systemie informatycznym.
Ewidencja osób upowa nionych mo e przyjmowa form elektroniczn , w takim
wypadku nale y jednak zapewni ograniczenie dost pu do ewidencji do ABI/ASI.
4. Stosowane metody i rodki uwierzytelnienia.
1) W ZDP w Biłgoraju , zgodnie z § 6 ust. 2 rozporz dzenia, stosuje si podstawowy
poziom bezpiecze stwa przetwarzania danych osobowych.
2) Pomieszczenia zabezpiecza si przed dost pem osób nieuprawnionych na czas
nieobecno ci w nim osób upowa nionych do przetwarzania danych osobowych.
3) Je eli dost p do danych przetwarzanych w systemie informatycznym posiadaj , co
najmniej dwie osoby, wówczas zapewnia si , aby w systemie tym rejestrowany był dla
ka dego u ytkownika odr bny identyfikator.
4) W przypadku, gdy do uwierzytelnienia u ytkowników u ywa si hasła, jego zmiana
nast puje nie rzadziej, ni co 30 dni. Hasło składa si , co najmniej z 6 znaków.
5) Hasła nie mog by powszechnie u ywanymi słowami. W szczególno ci nie nale y
jako haseł wykorzystywa : dat, imion, nazwisk, inicjałów, numerów rejestracyjnych
samochodów, numerów telefonów.
6) Hasło nie mo e by ujawnione nawet po utracie przez nie wa no ci.
7) Dane osobowe zabezpiecza si przez wykonywanie kopii zapasowych.
8) Kopie zapasowe przechowuje si w miejscach zabezpieczaj cych je przed
nieuprawnionym przej ciem, modyfikacj , uszkodzeniem lub zniszczeniem oraz
usuwa si niezwłocznie po ustaniu ich u yteczno ci.
9) Urz dzenia, dyski lub inne no niki informacji zawieraj ce dane osobowe,
przeznaczone do likwidacji, przekazania podmiotowi nieuprawnionemu lub naprawy
pozbawia si wcze niej zapisu tych danych, lub uszkadza.
5.
Procedury zarz dzania rodkami uwierzytelniania
1) ASI nadaje hasło dost pu do aplikacji lub sieci dla nowego u ytkownika albo dla
u ytkownika, który zapomniał swojego ostatniego hasła,
2) U ytkownik systemu niezwłocznie ustala swoje, znane tylko jemu hasło, po nadaniu
hasła przez ASI. Zaleca si , aby system automatycznie wymuszał na u ytkowniku
zmian nadanego przez administratora hasła przy pierwszej autoryzacji (logowaniu),
3) U ytkownik systemu w trakcie pracy w aplikacji mo e zmieni swoje hasło dost pu,
16
4) Obowi zuje bezwzgl dny zakaz notowania w jakiejkolwiek formie obecnych oraz
wygasłych haseł dost pu.
5) ASI zapisuje swój identyfikator i hasła dost pu po ka dej ich zmianie i umieszcza je w
wyznaczonym do tego celu miejscu.
6.
Procedury rozpocz cia zawieszenia i zako czenia pracy przeznaczone dla
u ytkowników systemu
1) Procedura rozpocz cia pracy
a) uruchomi komputer wchodz cy w skład systemu informatycznego, podł czony
fizycznie do sieci lokalnej i zalogowa si podaj c identyfikator i hasło dost pu,
b) uruchomi wybran aplikacj (w szczególno ci aplikacj przetwarzaj c dane
osobowe),
c) zalogowa si do aplikacji wylosowa sposób analogiczny do przedstawionego
wy ej.
2) Procedura zawieszenia pracy w systemie
a) w trakcie pracy, przy ka dorazowym opuszczeniu stanowiska komputerowego,
dopilnowa , aby na ekranie nie były wy wietlane dane osobowe,
b) przy opuszczaniu pokoju na dłu szy czas ustawi r cznie blokad klawiatury
i wygaszacz ekranu.
3) Procedura zako czenia pracy w systemie
a) zamkn aplikacj ,
b) zamkn system,
c) wył czy monitor i ew. drukark po zresetowaniu pami ci.
7.
Tworzenie kopii zapasowych zbiorów danych oraz programów i narz dzi
programowych słu cych do ich przetwarzania
Kopie zapasowe baz danych oraz aplikacji bazodanowych zlokalizowanych na serwerach i
stanowiskach komputerowych wykonywane s w cyklu miesi cznym, tworzone „r cznie”,
natomiast pełny backup systemu (ł cznie z kopi systemu operacyjnego serwera)
wykonywany jest w cyklu rocznym, tworzony r cznie.
ASI sprawuje nadzór nad wykonywaniem kopii zapasowych oraz weryfikuje ich poprawno .
8.
Sposób zabezpieczania systemu informatycznego.
1) Za ochron antywirusow odpowiada ABI.
2) Czynno ci zwi zane z ochron antywirusow systemu informatycznego wykonuje
ABI, wykorzystuj c w trakcie pracy systemu informatycznego moduły programu
antywirusowego w aktualnej wersji, sprawdzaj cego na bie co zasoby systemu
informatycznego.
3) Oprogramowanie antywirusowe pracuje na serwerach oraz
stanowiskach komputerowych podł czonych do sieci publicznej.
na
wszystkich
4) Aktualizacja oprogramowania antywirusowego odbywa si w sposób automatyczny.
5) U ytkownik systemu na stanowisku komputerowym, importuj cy dane osobowe do
systemu informatycznego jest odpowiedzialny za sprawdzenie tych danych pod k tem
mo liwo ci wyst powania wirusów.
17
9.
Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporz dzenia.
ASI obowi zany jest dopilnowa , aby systemy/programy u ywane w ZDP w Biłgoraju
posiadały moduł automatycznego odnotowywania informacji, o których mowa w ust.1 pkt
1 i 2, po zatwierdzeniu przez u ytkownika operacji wprowadzenia danych.
10. Procedury wykonywania przegl dów i konserwacji systemów oraz no ników
informacji słu cych do przetwarzania danych.
1) Przegl dy i konserwacja urz dze wchodz cych w skład systemu informatycznego
powinny by wykonywane w terminach okre lonym przez producenta sprz tu.
2) Je li producent nie przewidział dla danego urz dzenia potrzeby dokonywania
przegl dów eksploatacyjnych, lub te nie okre lił ich cz stotliwo ci, to o dokonaniu
przegl du oraz sposobie jego przeprowadzenia decyduje ASI.
3) Nieprawidłowo ci ujawnione w trakcie przegl dów b d konserwacji powinny by
niezwłocznie usuni te, a ich przyczyny przeanalizowane. O fakcie ujawnienia
nieprawidłowo ci nale y zawiadomi ABI.
4) Za terminowo przeprowadzenia przegl dów i konserwacji oraz ich prawidłowy
przebieg odpowiada Administrator Bezpiecze stwa Informacji.
18