ZARZ¥DZENIE ochrona danych - Zarząd Dróg Powiatowych w
Transkrypt
ZARZ¥DZENIE ochrona danych - Zarząd Dróg Powiatowych w
ZARZ DZENIE NR 5/2013 Dyrektora Zarz du Dróg Powiatowych w Biłgoraju z dnia 14.08.2013 roku w sprawie ochrony danych osobowych w Zarz dzie Dróg Powiatowych w Biłgoraju Na podstawie art. 36 ust 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 z pó n. Zm.) oraz § 3 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zarz dzam, co nast puje: §1 Wprowadzam nast puj c dokumentacj opisuj c sposób przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniaj ce ochron przetwarzanych danych osobowych w ZDP w Biłgoraju.: 1. Polityk bezpiecze stwa w zakresie zarz dzania systemami informatycznymi słu cymi do przetwarzania danych osobowych stanowi c zał cznik Nr 1 do niniejszego zarz dzenia, 2. Instrukcj zarz dzania systemem informatycznym słu cym do przetwarzanych danych osobowych stanowi c zał cznik Nr 2 do niniejszego zarz dzenia. 1. 2. §2 Wyznaczam Pani Iwon Marzec na Administratora Bezpiecze stwa Informacji (ABI) oraz Administratora Systemów Informatycznych (ASI) w Zarz dzie Dróg Powiatowych w Biłgoraju. Zobowi zuj wszystkich pracowników Zarz du Dróg Powiatowych w Biłgoraju (z wyj tkiem zatrudnionych na stanowiskach: robotnik drogowy oraz robotnik drogowy wykwalifikowany) do przestrzegania zasad zawartych w niniejszym Zarz dzeniu. §3 Zarz dzenie wchodzi w ycie z dniem podpisania. 1 Zał cznik Nr 1 do Zarz dzenia Nr 5/2013 z dnia 14.08.2013r. POLITYKA BEZPIECZE STWA W ZAKRESIE ZARZ DZANIA SYSTEMAMI INFORMATYCZNYMI SŁU CYMI DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU I. Obszar, w którym przetwarzane s dane osobowe. 1. Obszar przetwarzania danych osobowych stanowi pomieszczenia Zarz du Dróg Powiatowych w Biłgoraju, w dalszej tre ci dokumentu oznaczone „ZDP”, w których wykonywane s operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost pnianie i usuwanie z u yciem stacjonarnego sprz tu komputerowego lub w formie kartotek, skorowidzów, ksi g, wykazów i innych zbiorów ewidencyjnych. 2. Pomieszczenia, w których przetwarzane s dane osobowe, powinny by zamykane na czas nieobecno ci w nich osób zatrudnionych, w sposób uniemo liwiaj cy dost p osób trzecich. Osoby postronne mog przebywa wewn trz wy ej wymienionego obszaru jedynie w obecno ci osoby upowa nionej do przetwarzania danych osobowych. W pomieszczeniach, w których przebywaj osoby postronne, monitory stanowisk dost pu powinny by ustawione w sposób uniemo liwiaj cy wgl d w dane osobom trzecim. II. Wykaz zbiorów danych osobowych. Identyfikacj zbiorów danych osobowych przetwarzanych w ZDP wraz ze wskazaniem programów zastosowanych do ich przetwarzania zawiera Zał cznik Nr A do niniejszej Polityki Bezpiecze stwa. III. Struktura zbiorów danych osobowych. Opis struktury zbiorów danych wskazuj cy zawarto poszczególnych pól informacyjnych i powi zania mi dzy nimi zawiera Zał cznik Nr B do niniejszej Polityki Bezpiecze stwa. IV. Sposób przepływu danych pomi dzy poszczególnymi systemami. Sposób współpracy pomi dzy ró nymi systemami informatycznymi, stosowanymi w ZDP okre la Zał cznik Nr C do niniejszej Polityki Bezpiecze stwa. V. rodki techniczne i organizacyjne niezb dne dla zapewnienia bezpiecze stwa przetwarzanych danych. 1. rodki ochrony fizycznej. 1) Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych, jest chroniony przez firm monitoruj c elektroniczne systemy sygnalizacji włamania. 2) Urz dzenia słu ce do przetwarzania danych osobowych znajduj si w zamkni tych pomieszczeniach. 2. rodki organizacyjne. 1) Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych sprawuje wyznaczony pracownik. Wyznaczony pracownik wykonuje zadania administratora danych osobowych polegaj ce na: 2 a) opracowaniu i aktualizacji „Polityki Bezpiecze stwa”; b) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w ZDP c) prowadzeniu ewidencji osób upowa nionych do przetwarzania danych osobowych, zgodnie z formularzem stanowi cym Zał cznik Nr F do niniejszej Polityki Bezpiecze stwa; d) prowadzeniu ewidencji osób zapoznanych z dokumentacj dotycz c ochrony danych osobowych, zgodnie z formularzem stanowi cym Zał cznik Nr H do niniejszej Polityki Bezpiecze stwa; e) realizowaniu procedur zwi zanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO)zbiorów danych osobowych podlegaj cych rejestracji; f) przeprowadzaniu szkole z zakresu ochrony danych osobowych dla osób upowa nionych do przetwarzania danych osobowych. 2) Administrator Bezpiecze stwa Informacji nadzoruje zabezpieczenie przetwarzanych danych osobowych przed ich udost pnieniem osobom nieupowa nionym, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz przed zmian , utrat , uszkodzeniem lub zniszczeniem, a ponadto wykonuje zadania administratora danych osobowych polegaj ce na: a) opracowaniu i aktualizacji Instrukcji zarz dzania systemem informatycznym, słu cym do przetwarzania danych osobowych; b) dokonywaniu okresowej analizy zagro e dla bezpiecze stwa danych osobowych oraz wdra aniu zmian w Polityce bezpiecze stwa w celu zapewnienia wła ciwego poziomu ochrony przetwarzanych danych osobowych. 3) Do przetwarzania danych mog by dopuszczeni pracownicy ZDP posiadaj cy upowa nienie nadane przez Administratora Danych Osobowych: a) bezpo redni przeło ony pracownika kieruje do Administratora Bezpiecze stwa Informacji wniosek o wydanie upowa nienia do przetwarzania danych osobowych (zał cznik Nr D) okre laj c: − Dane u ytkownika − Zbiór danych osobowych − Zakres przetwarzania danych osobowych. b) Administrator Bezpiecze stwa Informacji przedkłada Administratorowi Danych Osobowych do akceptacji wniosek oraz upowa nienie do przetwarzania danych osobowych – zał cznik Nr E. c) po zaakceptowaniu przez Administratora Danych Osobowych wniosku i wystawieniu upowa nienia: Administrator Bezpiecze stwa Informacji zapoznaje nowego u ytkownika z Polityk Bezpiecze stwa, Instrukcj zarz dzania systemami informatycznymi, Ustaw i Rozporz dzeniem oraz wprowadza u ytkownika do ewidencji osób zapoznanych z dokumentacj (zał cznik Nr H) oraz do ewidencji osób upowa nionych do przetwarzania danych osobowych (zał cznik Nr F) d) zapoznanie si z powy szymi regulacjami pracownik potwierdza Administratorowi Bezpiecze stwa Informacji na o wiadczeniu, którego wzór stanowi zał cznik Nr G. 4) Modyfikacja lub odebranie pracownikowi upowa nienia do przetwarzania danych osobowych nast puje na pisemny wniosek przeło onego pracownika i podlega analogicznej procedurze jak przy jego nadawaniu. 5) Tymczasowe wydruki z danymi osobowymi po ustaniu ich przydatno ci s niszczone w niszczarkach . 3 6) Dokumenty zawieraj ce dane osobowe przekazywane s kancelaryjn do składnicy akt. zgodnie z instrukcj 7) Procedury post powania w sytuacji naruszenia ochrony danych osobowych zostały zdefiniowane w Instrukcji, stanowi cej Zał cznik Nr do niniejszej Polityki Bezpiecze stwa. Wzór Zał cznik Nr A WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Cel przetwarzania Wzór Rodzaj systemu/programu Zał cznik Nr B STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Zawarto poszczególnych pól informacyjnych i powi zania mi dzy nimi Wzór Zał cznik Nr C SPOSÓB WSPÓŁPRACY POMI DZY RÓ NYMI SYSTEMAMI INFORMATYCZNYMI, STOSOWANYMI W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Rodzaj systemu/programu 4 Sposób współpracy Zał cznik Nr D Wzór Wniosek o wydanie / odebranie upowa nienia do przetwarzania danych osobowych Nazwa zbioru/ów ......................................................................................................................... ....................................................................................................................................................... Imi i nazwisko pracownika ........................................................................................................ Zakres upowa nienia do przetwarzania danych / odebrania cz ci uprawnie ........................... ....................................................................................................................................................... ....................................................................................................................................................... Data: ............................. .................................................................... Podpis bezpo redniego przeło onego ................................................................................ Podpis Administratora Bezpiecze stwa Informacji Akceptacja: ...................................................................... Podpis Administratora Danych Osobowych 5 Wzór Zał cznik Nr E ................................................................ (piecz nagłówkowa jednostki organizacyjnej) UPOWA NIENIE NR…………… Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pó n. zm.) upowa niam Pani /Pana ......................................................................................................... (imi i nazwisko) Zatrudnion /zatrudnionego w ........................................................................................................ ......................................................................................................................................................... (nazwa komórki organizacyjnej) do przetwarzania danych osobowych w celach zwi zanych z wykonywaniem obowi zków na stanowisku:................................................................................................................................. .................................................................................................................................................... (zajmowane stanowisko) oraz do obsługi systemu informatycznego i urz dze wchodz cych w jego skład. Niniejsze upowa nienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej (kartoteki, ewidencje, rejestry, spisy itp.) i elektronicznej, wg wykazu zbiorów: ..................................................................................................................................................... ..................................................................................................................................................... .................................................................................................................................................... Upowa nienie wa ne do ............................................................................................................ …………………………………………………… (data i podpis Administratora Danych Osobowych) Uwaga: Niniejsze upowa nienie zostało sporz dzone w trzech jednobrzmi cych egzemplarzach – ka dy na prawach oryginału, które otrzymuj : 1) Osoba upowa niona 2) Do akt osobowych upowa nionego 3) Administrator Bezpiecze stwa Informacji 6 Wzór Zał cznik Nr F EWIDENCJA OSÓB UPOWA NIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p Imi i nazwisko Rodzaj systemu Zbiór danych osobowych 7 Data nadania upowa nienia Data ustania upowa nienia Zał cznik Nr G Wzór Biłgoraj, dnia ................................. ........................................................ (imi i nazwisko) ........................................................ (Nr upowa nienia) O WIADCZENIE O wiadczam, e w zwi zku z przetwarzaniem danych osobowych wynikaj cych z wykonywanych przeze mnie czynno ci słu bowych zapoznałam/em si z: − Ustaw z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz.926 z pó n.zm.), − Rozporz dzeniem Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz.U. z 2004r. Nr 100, poz. 1024), − Polityk Bezpiecze stwa w zakresie zarz dzania systemami informatycznymi słu cymi do przetwarzania danych osobowych, − Instrukcj zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych. Jednocze nie zobowi zuj si : − zachowa w tajemnicy dane osobowe, z którymi zetkn łam si /zetkn łem si * w trakcie wykonywania swoich obowi zków słu bowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu, − chroni dane osobowe przed dost pem do nich osób do tego nieupowa nionych, zabezpiecza je przed zniszczeniem i nielegalnym ujawnieniem. Znana jest mi odpowiedzialno karna za naruszenie w/w ustawy (art.49-54). …………………………………………………… (data i podpis pracownika) Uwaga: Niniejsze upowa nienie zostało sporz dzone w trzech jednobrzmi cych egzemplarzach – ka dy na prawach oryginału, które otrzymuj : 4) Osoba upowa niona 5) Do akt osobowych upowa nionego 6) Administrator Bezpiecze stwa Informacji 8 Zał cznik Nr H Wzór Ewidencja osób, które zostały zapoznane z dokumentacj dotycz c ochrony danych osobowych L.p. Imi i nazwisko Data 9 Podpis Zał cznik Nr INSTRUKCJA POST POWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU I. Opis zdarze naruszaj cych ochron danych osobowych 1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to głównie: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na zasoby systemu jak np. wybuch gazu, po ar, zalanie pomieszcze , katastrofa budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy remontowej itp., 2) niewła ciwe parametry rodowiska, np. niewła ciwa wilgotno , temperatura, oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje, 3) awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie w kierunku naruszenia ochrony danych lub sabota , 4) niewła ciwe działanie serwisu, w tym tak e pozostawienie serwisantów bez nadzoru, 5) pojawienie si komunikatu alarmowego pochodz cego od cz ci systemu zapewniaj cej ochron zasobów lub innego komunikatu o podobnym znaczeniu, 6) zła jako danych w systemie lub inne odst pstwo od stanu oczekiwanego, wskazuj ce na zakłócenia systemu lub inn nadzwyczajn i niepo dan modyfikacj w systemie, 7) naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w tym systemie, 8) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych bez upowa nienia, 9) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie informatycznym, 10) ujawnienie osobom nieupowa nionym danych osobowych lub obj tych tajemnic procedur ochrony przetwarzania lub innych chronionych elementów systemu zabezpiecze , 11) funkcjonowanie systemu lub jego sieci komputerowej wykazuj ce odst pstwa od zało onego rytmu pracy, uprawdopodobniaj ce przełamanie lub zaniechanie ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 12) obecno w obszarze bezpiecze stwa osób postronnych bez dozoru pracowników zatrudnionych przy przetwarzaniu danych osobowych, 13) ujawnienie istnienia nieautoryzowanych kont dost pu do danych itp., 14) podmiana lub zniszczenie no ników z danymi osobowymi bez zachowania procedury; skasowanie lub skopiowanie danych osobowych w sposób niedozwolony, 15) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpiecze stwa informacji (np. nie wylogowanie si przed opuszczeniem stanowiska pracy, pozostawienie wydrukowanych danych osobowych w drukarce czy w kserografie, niewykonanie w okre lonym terminie kopii bezpiecze stwa, itp.). 10 16) Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci w zakresie zabezpieczenia fizycznego miejsc przetwarzania danych osobowych, np. pozostawienie otwartego pomieszczenia w obszarze bezpiecze stwa; umo liwienie nieautoryzowanego dost pu do urz dze archiwizuj cych itp. II. Post powanie w przypadku naruszenia ochrony danych osobowych 1. W przypadku stwierdzenia naruszenia: 1) zabezpieczenia systemu informatycznego, 2) stanu urz dze , 3) zawarto ci zbioru danych osobowych, 4) wynikaj cego z ujawnienia metody pracy lub sposobu działania programu, 5) jako ci transmisji danych w sieci telekomunikacyjnej mog cej wskazywa na naruszenie zabezpiecze tych danych, 6) innych zdarze mog cych mie wpływ na naruszenie danych osobowych (np. po ar itp.) ka dy pracownik ZDP w Biłgoraju zatrudniony przy przetwarzaniu danych osobowych jest obowi zany niezwłocznie powiadomi o tym fakcie Administratora Systemu Informatycznego i Administratora Bezpiecze stwa Informacji. (zał cznik Nr J). 2. Pracownicy, którzy stwierdzili naruszenie ochrony danych osobowych, o których mowa w pkt. 4 i 5 w oczekiwaniu na przybycie Administratora Bezpiecze stwa Informacji musz : 1) niezwłocznie podj czynno ci niezb dne dla powstrzymania niepo danych skutków zaistniałego naruszenia, o ile istnieje taka mo liwo , nast pnie uwzgl dni w działaniu równie ustalenie przyczyn lub sprawców, 2) wstrzyma bie c prac w celu zabezpieczenia miejsca zdarzenia, 3) zaniecha dalszych planowanych przedsi wzi , które wi si z zaistniałym naruszeniem i mog utrudni jego udokumentowanie i analiz , 4) podj inne działania przewidziane i okre lone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzysz cych naruszeniu, 5) udokumentowa wst pnie zaistniałe naruszenie, 6) nie opuszcza bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpiecze stwa informacji lub osoby upowa nionej. 3. Administrator Bezpiecze stwa Informacji po przybyciu na miejsce naruszenia ochrony danych osobowych: 1) zapoznaje si z zaistniał sytuacj i dokonuje wyboru metody dalszego post powania maj c na uwadze wnioski z przeprowadzonych wcze niej symulacji zagro e oraz polityk bezpiecze stwa w tym zakresie, 2) da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak równie od ka dej innej osoby, która mo e posiada informacje zwi zane z zaistniałym naruszeniem. 4. Administrator Bezpiecze stwa Informacji dokumentuje zaistniały przypadek naruszenia oraz sporz dza raport (zał cznik Nr K), który powinien w szczególno ci zawiera : 1) wskazanie osoby powiadamiaj cej o naruszeniu oraz innych osób zaanga owanych lub odpytanych w zwi zku z naruszeniem, 2) okre lenie czasu i miejsca naruszenia i powiadomienia, 3) okre lenie rodzaju naruszenia i okoliczno ci towarzysz cych, 4) opis podj tego działania i metody post powania, 5) wst pn ocen przyczyn wyst pienia naruszenia, 6) ocen przeprowadzonego post powania wyja niaj cego i naprawczego. 11 5. Po wyczerpaniu niezb dnych rodków dora nych po zaistniałym naruszeniu Administrator Bezpiecze stwa Informacji zasi ga niezb dnych opinii i proponuje post powanie naprawcze, w tym ustosunkowuje si do kwestii ewentualnego odtworzenia danych z zabezpiecze oraz terminu wznowienia przetwarzania danych. 6. Zaistniałe naruszenie powinno sta si przedmiotem szczegółowej, zespołowej analizy z udziałem Dyrektora, stanowisk funkcyjnych , Administratora Bezpiecze stwa Informacji i Administratora Systemu Informatycznego. 7. Analiza, o której mowa w pkt. 6, powinna zawiera wszechstronn ocen zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski, co do ewentualnych przedsi wzi proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszło ci. III. Postanowienia ko cowe 1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego w niniejszej Instrukcji, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie z okre lonymi zasadami, a tak e, gdy nie zrealizowała stosownego działania dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne. 2. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszej procedury mog by potraktowane jako ci kie naruszenie obowi zków pracowniczych, w szczególno ci przez pracownika, który wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomił o tym Administratora Bezpiecze stwa Informacji. 12 Zał cznik Nr J Wzór Zgłoszenie naruszenia bezpiecze stwa danych osobowych Data:......................................... .godzina: ............................................ Osoba zgłaszaj ca zdarzenie:........................................................................................................ (imi i nazwisko) Lokalizacja zdarzenia: .................................................................................................................. (adres, dział, stanowisko) ................................................................................................................................................................................................................................. Opis sytuacji, przy której doszło do naruszenia bezpiecze stwa danych osobowych: ....................................................................................................................................................... ....................................................................................................................................................... ................................................................ (podpis zgłaszaj cego) ................................................................................ (data i godzina przyj cia, podpis Administratora Bezpiecze stwa Informacji) 13 Zał cznik Nr K Wzór Raport ze zgłoszenia naruszenia bezpiecze stwa danych osobowych Data:......................................... .godzina: ............................................ Osoba zgłaszaj ca zdarzenie:........................................................................................................ (imi i nazwisko) Lokalizacja zdarzenia: .................................................................................................................. (adres, dział, stanowisko) ................................................................................................................................................................................................................................. Rodzaj naruszenia bezpiecze stwa: ............................................................................................. Podj te działania: ......................................................................................................................... Przyczyny wyst pienia: ................................................................................................................ Podj te czynno ci: ........................................................................................................................ ....................................................................................................................................................... ................................................................................... (podpis Administratora Bezpiecze stwa Informacji 14 Zał cznik Nr 2 do Zarz dzenia Nr 5./2013 z dnia 14.08.2013r. INSTRUKCJA ZARZ DZANIA SYSTEMEM INFORMATYCZNYM SŁU CYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZ DZIE DRÓG POWIATOWYCH W BIŁGORAJU 1. Definicje Ilekro mowa w niniejszym dokumencie o: Administratorze Danych Osobowych (ADO) – nale y przez to rozumie Dyrektora ZDP w Biłgoraju, Administratorze Bezpiecze stwa Informacji (ABI) – nale y przez to rozumie pracownika zatrudnionego w ZDP w Biłgoraju i wyznaczonego przez Dyrektora do pełnienia tej funkcji, u ytkowniku systemu – nale y przez to rozumie osob upowa nion do przetwarzania danych osobowych w systemie informatycznym. U ytkownikiem mo e by pracownik ZDP, osoba wykonuj ca prac na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywaj ca sta , Administratorze Systemu Informatycznego (ASI) – nale y przez to rozumie pracownika zatrudnionego w ZDP w Biłgoraju i odpowiedzialnego za funkcjonowanie systemu informatycznego oraz stosowanie technicznych i organizacyjnych rodków ochrony przewidzianych w tym systemie, 2. Informacje ogólne Zarz dzanie systemem informatycznym ZDP w Biłgoraju nale y do pracownika zatrudnionego w ZDP, pełni cego jednocze nie obowi zki Administratora Bezpiecze stwa Informacji oraz Administratora Systemu Informatycznego, który nadzoruje przestrzeganie zasad ochrony przetwarzanych danych osobowych, okre lonych ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pó n. zm.), a w szczególno ci: 1) czuwa nad wdro eniem niniejszej instrukcji oraz dba o bie c jej aktualizacj stosownie do zmieniaj cych si technologii informatycznych oraz zagro e bezpiecze stwa systemów informatycznych; 2) dba o bezpiecze stwo danych osobowych poprzez przeciwdziałanie dost powi osób niepowołanych do danych i podejmowanie odpowiednich działa w przypadku wykrycia narusze w zabezpieczeniach; 3) identyfikuje i analizuje zagro enia oraz ryzyko, na które mo e by nara one przetwarzanie danych osobowych; 4) okre la potrzeby w zakresie zabezpieczenia systemów, w których przetwarzane s dane osobowe; 5) monitoruje działanie zabezpiecze wdro onych w celu ochrony danych osobowych. 6) nadaje uprawnienia dost pu do systemów informatycznych, w tym login i hasło pierwszego logowania, 7) archiwizuje oraz zabezpiecza kopie zbiorów danych systemów informatycznych, 8) nadzoruje zabezpieczenie systemów informatycznych przed działalno ci zło liwego oprogramowania, którego celem jest uzyskanie nieuprawnionego dost pu do zarz dzanych systemów informatycznych, 15 9) zabezpiecza urz dzenia komputerowe przed nieprawidłowym działaniem sieci energetycznej. 3. utrat danych spowodowan Procedura nadawania i zmiany uprawnie 1) Upowa nienie do przetwarzania danych osobowych osobie, która w zwi zku z wykonywanymi przez siebie obowi zkami b dzie miała dost p do danych osobowych nadaje Administrator Danych Osobowych. 2) Procedur nadania uprawnie do przetwarzania danych osobowych w systemie nale y stosowa odpowiednio w przypadku zmiany uprawnie w systemie albo odebrania uprawnie w systemie. Osoba pełni ca rol ASI prowadzi ewidencj osób upowa nionych do przetwarzania danych osobowych w systemie informatycznym. Ewidencja osób upowa nionych mo e przyjmowa form elektroniczn , w takim wypadku nale y jednak zapewni ograniczenie dost pu do ewidencji do ABI/ASI. 4. Stosowane metody i rodki uwierzytelnienia. 1) W ZDP w Biłgoraju , zgodnie z § 6 ust. 2 rozporz dzenia, stosuje si podstawowy poziom bezpiecze stwa przetwarzania danych osobowych. 2) Pomieszczenia zabezpiecza si przed dost pem osób nieuprawnionych na czas nieobecno ci w nim osób upowa nionych do przetwarzania danych osobowych. 3) Je eli dost p do danych przetwarzanych w systemie informatycznym posiadaj , co najmniej dwie osoby, wówczas zapewnia si , aby w systemie tym rejestrowany był dla ka dego u ytkownika odr bny identyfikator. 4) W przypadku, gdy do uwierzytelnienia u ytkowników u ywa si hasła, jego zmiana nast puje nie rzadziej, ni co 30 dni. Hasło składa si , co najmniej z 6 znaków. 5) Hasła nie mog by powszechnie u ywanymi słowami. W szczególno ci nie nale y jako haseł wykorzystywa : dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów. 6) Hasło nie mo e by ujawnione nawet po utracie przez nie wa no ci. 7) Dane osobowe zabezpiecza si przez wykonywanie kopii zapasowych. 8) Kopie zapasowe przechowuje si w miejscach zabezpieczaj cych je przed nieuprawnionym przej ciem, modyfikacj , uszkodzeniem lub zniszczeniem oraz usuwa si niezwłocznie po ustaniu ich u yteczno ci. 9) Urz dzenia, dyski lub inne no niki informacji zawieraj ce dane osobowe, przeznaczone do likwidacji, przekazania podmiotowi nieuprawnionemu lub naprawy pozbawia si wcze niej zapisu tych danych, lub uszkadza. 5. Procedury zarz dzania rodkami uwierzytelniania 1) ASI nadaje hasło dost pu do aplikacji lub sieci dla nowego u ytkownika albo dla u ytkownika, który zapomniał swojego ostatniego hasła, 2) U ytkownik systemu niezwłocznie ustala swoje, znane tylko jemu hasło, po nadaniu hasła przez ASI. Zaleca si , aby system automatycznie wymuszał na u ytkowniku zmian nadanego przez administratora hasła przy pierwszej autoryzacji (logowaniu), 3) U ytkownik systemu w trakcie pracy w aplikacji mo e zmieni swoje hasło dost pu, 16 4) Obowi zuje bezwzgl dny zakaz notowania w jakiejkolwiek formie obecnych oraz wygasłych haseł dost pu. 5) ASI zapisuje swój identyfikator i hasła dost pu po ka dej ich zmianie i umieszcza je w wyznaczonym do tego celu miejscu. 6. Procedury rozpocz cia zawieszenia i zako czenia pracy przeznaczone dla u ytkowników systemu 1) Procedura rozpocz cia pracy a) uruchomi komputer wchodz cy w skład systemu informatycznego, podł czony fizycznie do sieci lokalnej i zalogowa si podaj c identyfikator i hasło dost pu, b) uruchomi wybran aplikacj (w szczególno ci aplikacj przetwarzaj c dane osobowe), c) zalogowa si do aplikacji wylosowa sposób analogiczny do przedstawionego wy ej. 2) Procedura zawieszenia pracy w systemie a) w trakcie pracy, przy ka dorazowym opuszczeniu stanowiska komputerowego, dopilnowa , aby na ekranie nie były wy wietlane dane osobowe, b) przy opuszczaniu pokoju na dłu szy czas ustawi r cznie blokad klawiatury i wygaszacz ekranu. 3) Procedura zako czenia pracy w systemie a) zamkn aplikacj , b) zamkn system, c) wył czy monitor i ew. drukark po zresetowaniu pami ci. 7. Tworzenie kopii zapasowych zbiorów danych oraz programów i narz dzi programowych słu cych do ich przetwarzania Kopie zapasowe baz danych oraz aplikacji bazodanowych zlokalizowanych na serwerach i stanowiskach komputerowych wykonywane s w cyklu miesi cznym, tworzone „r cznie”, natomiast pełny backup systemu (ł cznie z kopi systemu operacyjnego serwera) wykonywany jest w cyklu rocznym, tworzony r cznie. ASI sprawuje nadzór nad wykonywaniem kopii zapasowych oraz weryfikuje ich poprawno . 8. Sposób zabezpieczania systemu informatycznego. 1) Za ochron antywirusow odpowiada ABI. 2) Czynno ci zwi zane z ochron antywirusow systemu informatycznego wykonuje ABI, wykorzystuj c w trakcie pracy systemu informatycznego moduły programu antywirusowego w aktualnej wersji, sprawdzaj cego na bie co zasoby systemu informatycznego. 3) Oprogramowanie antywirusowe pracuje na serwerach oraz stanowiskach komputerowych podł czonych do sieci publicznej. na wszystkich 4) Aktualizacja oprogramowania antywirusowego odbywa si w sposób automatyczny. 5) U ytkownik systemu na stanowisku komputerowym, importuj cy dane osobowe do systemu informatycznego jest odpowiedzialny za sprawdzenie tych danych pod k tem mo liwo ci wyst powania wirusów. 17 9. Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporz dzenia. ASI obowi zany jest dopilnowa , aby systemy/programy u ywane w ZDP w Biłgoraju posiadały moduł automatycznego odnotowywania informacji, o których mowa w ust.1 pkt 1 i 2, po zatwierdzeniu przez u ytkownika operacji wprowadzenia danych. 10. Procedury wykonywania przegl dów i konserwacji systemów oraz no ników informacji słu cych do przetwarzania danych. 1) Przegl dy i konserwacja urz dze wchodz cych w skład systemu informatycznego powinny by wykonywane w terminach okre lonym przez producenta sprz tu. 2) Je li producent nie przewidział dla danego urz dzenia potrzeby dokonywania przegl dów eksploatacyjnych, lub te nie okre lił ich cz stotliwo ci, to o dokonaniu przegl du oraz sposobie jego przeprowadzenia decyduje ASI. 3) Nieprawidłowo ci ujawnione w trakcie przegl dów b d konserwacji powinny by niezwłocznie usuni te, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowo ci nale y zawiadomi ABI. 4) Za terminowo przeprowadzenia przegl dów i konserwacji oraz ich prawidłowy przebieg odpowiada Administrator Bezpiecze stwa Informacji. 18