Zarządzenie NR 42/2015
Transkrypt
Zarządzenie NR 42/2015
Zarzqdzenie Nr 4212015 Starosty Powiatu Ropczycko - S~dziszowskiego z dnia 26 czerwca 2015r. w sprawie powolania Administratora Bezpieczeiistwa Informacji oraz wyznaczenia Administratora Systemu Informatycznego i Lokalnych Administratorow Bezpieczeiistwa Informacji w Starostwie Powiatowym w Ropczycach Na podstawie art. 34 ust. 1 i art. 35 ust. 2 ustawy z dnia 5 czerwca 1 9 9 8 ~o samorzqdzie powiatowym ( tj. Dz. U. z 2013r, poz. 595 z p6in. zm.) oraz art. 36 a ust. 1 ustawy z dnia 29 sierpnia 1 9 9 7 ~o ochronie danych osobowych (0. Dz. U. z 2 0 1 4 ~poz. , 1182 zp6in. zm.) @ 1. 1. Powolujq Paniq Dorotq Siorek - Glbwnego specjalistq w Wydziale AdministracyjnoOrganizacyjnym i Kadr na Administratora Bezpieczeiistwa Informacji (ABI) w Starostwie Powiatowym w Ropczycach. 2. Zakres powierzonych do wykonywania obowiqzk6w ABI okreila zalqcznik nr 1 do niniejszego zarzqdzenia. 3.W zakresie powierzonych obowiqzkbw ABI podlega bezpoirednio Staroicie. @ 2. 1,Wyznacza siq Pana Adama Kuliga - Podinspektora w Wydziale AdministracyjnoOrganizacyjnym i Kadr na Administratora Systemu Informatycznego (ASI) w Starostwie Powiatowym w Ropczycach 2. Zalrres powierzonych do wykonywania obowiqzk6w AS1 okreSla zalqcznik nr 2 do niniejszegc, zarzqdzenia. @ 3. 1.Wyznacza siq Pana Jana Czarnika - Kierownika Referatu Powiatowego OSrodka Dokumentacji Geodezyjnej i Kartograficznej i ZUD na Lokalnego Administratora Bezpieczenstwa Informacji (LABI) w Wydziale Geodezji i Gospodarki Gruntami oraz Paniq Boienq Daniel - Kierownika Referatu Komunikacji w Sqdziszowie Mlp. na Lokalnego Administratora Bezpieczenstwa Informacji (LABI) w Referacie Komunikacji i Biurze Geodezji i Gospodarki Gruntami w Sqdziszowie Mlp. 2.Zakres powierzonych do wykonywania obowiqzkbw LABI okreSla zalqcznik nr 3 do niniejszego zarzqdzenia. @ 4. Traci moc Zarzqdzenie nr 3/20 12 z dnia 3 1 stycznia 20 12 r. oraz Zarzqdzenie Nr 18/2012 z dnia 30 marca 2012 r. Starosty Powiatu Ropczycko - Sqdziszowskiego. 5 5. Zarzqdzenie wchodzi w zycie z dniem podpisania. Zalqcznik nr 1 do Zarzqdzenie Nr 4212015 Starosty Powiatu Ropczycko - S~dziszowskiego z dnia 26 czerwca 2015r. Zakres dzialania Administratora Bezpieczenstwa Informacji (ABI) Stosowanie Srodkdw technicznych i organizacyjnych zapewniajqcych ochronq przetwarzania danych odpowiedniq do zagrozen oraz kategorii danych objqtych ochronq, a w szczegolnoSci zabezpieczenie danych przed ich udostqpnieniem osobom nieupowaznionym, zabraniem przez osobe nieupowainionq, przetwarzaniem z naruszeniem ustawy, utratq, uszkodzeniem lub zniszczeniem. 1. Zapewnianie przestrzegania przepis6w o ochronie danych osobowych, w szczegolnoici przez: a) sprawdzanie zgodnogci przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tyrn zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokurnentacji, o ktdrej mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej okreSlonych, c) zapewnianie zapoznania os6b upowainionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2. Prowadzenie rejestru zbiorow danych przetwarzanych przez administratora danych, z wyjqtkiem zbior6w, o ktorych mowa w art. 43 ust. 1, zawierajqcego nazwq zbioru oraz informacje, o kt6rych mowa w art. 4.1 ust. 1 pkt 2-4a i 7. 3. Prowadzenie ewidencji os6b upowainionych do przetwarzania danych osobowych. Zaiqcznik nr 2 do Zarzqdzenie Nr 4212015 Starosty Powiatu Ropczycko - Sqdziszowskiego z dnia 26 czenvca 2015r. Zakres dzialania Administratora Systemu Informatycznego (ASI) Administrator Systemu Informatycznego, w zakresie zadan wykonywanych dla zapewnienia systemom bezpieczenstwa, zgodnego z celami i metodologiq wdrozonej polityki bezpieczenstwa informacji, wspdlpracuje bezpoirednio z Administratorem Bezpieczenstwa Informacji (ABT). Do zadan Administratora Systemu Informatycznego naleiy: 1. Formulowanie, w uzgodnieniu z administratorem danych illub osobami, kt6rym administrator delegowal uprawnienia oraz ABI, sposobu okreilania uprawnien w systemach informatycznych. 2.Realizacja decyzji Administratora Danych Osobowych (Iinnych) odnoSnie nadania osobom uprawnien dostqpu do danych i wybranych hnkcji narzqdzi sluzqcych do ich przetwarzania, w Brodowisku IT Starostwa tj.: 1) tworzenie kont uzytkownikbw w systemach informatycznych, 2) przypisywanie, do kont, startowych hasel uwierzytelniajqcych uzytkownikow tych kont, 3) przypisywanie do zalozonych kont polityk odnoinie jakoSci hasel i czqstotliwoSci ich zmiany, 4) resetowanie utraconych hasef, 5) usuwanie kont i uprawnien dla kont osdb, ktdre zakonczyfy pracq w Starostwie, 6) dostarczanie ABI informacji potrzebnych do oceny prawidlowoSci funkcjonowania sprzqtowoprogramowych. 3.Planowanie inwestycji oraz dostaw i uslug niezbqdnych dla utrzymania i rozwoju Srodowiska IT w Starostwie; 4. Planowanie i wykonywanie zadah zwiqzanych z tworzeniem kopii bezpieczenstwa system6w i danych; 5.Zapewnienie awaryjnego zasilania komputerdw oraz innych urzqdzen majqcych wpfyw na bezpieczenstwo przetwarzania danych osobowych; 6.Automatyzacja zadah konsenvacyjnych w systemie - w tym wykonywania kopii zapasowych oprogramowania i danych; 7. Nadzor nad naprawami, konsenvacjq oraz likwidacjq urzqdzen komputerowych na kt6rych zapisywane sq dane osobowe; 8. Monitorowanie stanu Srodowiska IT, stanu sprzqtu IT i wykorzystywanego oprogramowania oraz aktywnoici sieciowej uiytkownikdw; 9. Monitorowanie 1egalnoSci oprogramowania wykorzystywanego na stacjach roboczych; 10.Zapewnienie senverom i stacjom roboczym niezbqdnych licencji programowych; 11. Systematyczne aktualizowanie oprogramowania systemowego, aplikacyjnego i ochronnego; 12.Zapewnienie eksploatowanym systemom opieki serwisowej producenta - zawieranie urndw regulujqcych formy tej opieki; 13.Rozwiqzywanie, samodzielnie i we wspdlpracy z pozostalym personelem IT, problemow towarzyszqcych eksploatacji systemdw informatycznych; 14.Monitorowanie zabezpieczen wdrozonych w celu ochrony danych osobowych; 15. Podejmowanie odpowiednich dzialan w przypadku wykrycia naruszen lub podejrzenia naruszenia zabezpieczen; 16.PrzygotowywanieY we wspdlpracy z ABI instrukcji dla uiytkownikdw system6w informatycznych zgodnych z celami i metodologiq wdrozonej polityki bezpieczenstwa informacji. 17.Prowadzenie szkolen na temat bezpiecznych zachowah uzytkownikdw w Srodowisku systemdw IT; 18.Nadzdr nad systemem komunikacji w sieci komputerowej; (j?lJ$ Zatqcznik nr 3 do Zarzqdzenie Nr 4212015 Starosty Powiatu Ropczycko - Sedziszowskiego z dnia 26 czerwca 2015r. Zakres dzialania Lokalnych Administratordw Bezpieczenstwa Informacji (LABI) Lokalni Administratorzy Bezpieczenstwa Informacji, w zakresie zadah wykonywanych d.la zapewnienia systemom bezpieczenstwa, zgodnego z celami i metodologiq wdrozonej polityki bezpieczenstwa informacji, wsp6lpracuje bezpodrednio z Administratorem Bezpieczenstwa Informacji Do zadan Lokalnych Administratordw Bezpieczenstwa Informacji naleiy : 1. Nadzorowanie przestrzegania zasad okredlonych w polityce bezpieczenstwa oraz instrukcjach zarzqdzania systemem informatycznym sluiqcym do przetwarzania danych osobowych oraz wspblpraca z ABI w tym zakresie; 2.Nadzorowanie procesu udostqpniania dokumentbw zawierajqcych dane osobowe; 3.0piniowanie wzor6w dokument6w, w tyrn w szczeg6lnodci odpowiednich klauzul w dokumentach dotyczqcych ochrony danych osobowych, przygotowywanych przez Wydzial Geodezji i Gospodarki Gruntami, Referat Komunikacji i Biuro Geodezji; 4. Wspolpraca z AS1 w zakresie tych obszar6w IT, kt6re Scidle wiqzq siq z ochronq danych osobowych; 5.Nadzorowanie biezqcych procesow przetwarzania danych osobowych przetwarzanych w Wydziale Geodezji i Gospodarki Gruntami, Referacie Komunikacji i Biurze Geodezji w Sqdziszowie Mlp.; 6.NadzQ nad fizycznym za'bezpieczeniem pomieszczen, w kt6rych pszetwarzane sq dane osobowe oraz kontrola przebywajqcych w nich osob; 7.Przeciwdzialanie dostqpowi os6b niepowolanych do przetwarzania danych osobowych; 8.Kontrola nad danymi osobowymi wprowadzonymi do zbior6w (przez kogo zostaly wprowadzone, komu sq przekazywane); 9.Podejmowanie odpowiednich dziatah w przypadku wykrycia naruszen lub podejrzenia naruszenia zabezpieczen; 1O.Nadz6r nad obiegiem oraz przechowywaniem dokument6w zawierajqcych dane osobowe; 11.Wspblpraca z ABI i AS1 w zakresie nadawania, zmieniania i odbierania uprawnien do przetwarzania danych osobowych w systemie informatycznym; 12.Nadzor nad prawidtowoSciq archiwizacji oraz usuwania danych osobowych; 13.Nadzbr nad zarzqdzaniem haslarni uzytkownik6w i przestrzeganiem procedur okredlajqcych czqstotliwodC ich zmiany; 14.Nadz6r nad systemem komunikacji w sieci komputerowej; 15.Monitorowanie zabezpieczen wdrozonych w celu ochrony danych osobowych; 16.RaportowanieAdministratorowi Danych lub ABI o kaidym stwierdzonym incydencie naruszenia zasad ochrony bezpieczenstwa informacji, wraz z przedstawieniem propozycji naprawczych; 17.Wnioskowanie do ABI oraz realizacja w uzgodnieniu z ABI drodk6w technicznych i organizacyjnych zapewniajqcych ochronq przetwarzanych danych osobowych odpowiednich do zagroieh oraz kategorii danych objqtych ochronq; 18.Wykonywanie zalecen ABI; 19. Realizowanie w uzgodnieniu z ABI innych prawnie okredlonych zasad postqpowania przy przetwarzaniu danych osobowych oraz zasad ochrony danych osobowych, obowiqzujqcych w Starostwie .