Instrukcja zarządzania system informatycznym
Transkrypt
Instrukcja zarządzania system informatycznym
Zał cznik Nr 1 do Zarz dzenia Nr / 05 Starosty Pabianickiego z dnia 23 maja 2005 roku Instrukcja zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach Rozdział I Procedury nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynno ci §1 1. Uprawnienia do korzystania z systemu informatycznego przetwarzaj cego dane osobowe nadawane s przez Starost Pabianickiego - Administratora Danych na wniosek bezpo redniego przeło onego pracownika, zaopiniowany przez Administratora Bezpiecze stwa Informacji. Wniosek składany jest za po rednictwem Administratora Bezpiecze stwa Informacji. 2. Naczelnik wydziału lub kierownik komórki organizacyjnej wnioskuj cy o zatrudnienie nowego pracownika, obowi zany jest wskaza we wniosku o zatrudnienie czy pracownik ten na zajmowanym stanowisku b dzie i w jakim zakresie przetwarzał dane osobowe w systemie informatycznym. 3. Inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe po uzyskaniu informacji o tym, e nowo zatrudniony pracownik w ramach zajmowanego stanowiska b dzie przetwarzał dane osobowe w systemie informatycznym, odnotowuje ten fakt w odpowiedniej rubryce „Karty obiegowej” pracownika przyjmowanego do pracy. §2 1. Wniosek o nadanie pracownikowi dost pu do systemu informatycznego przetwarzaj cego dane osobowe winien zawiera : 1) Nazwisko i imi pracownika oraz ewentualnie identyfikator słu bowy. 2) Nazw stanowiska pracy. 3) Opis stanowiska lub zakres obowi zków zwi zanych z przetwarzaniem danych osobowych. 4) Okre lenie wnioskowanego zakresu danych osobowych i sposobu ich przetwarzania. 5) Uzasadnienie wnioskowanego zakresu danych osobowych. 2. Wzór wniosku okre la zał cznik nr 1. §3 1. Wniosek, o którym mowa w § 2 jest przekazywany przez przeło onego pracownika Administratorowi Bezpiecze stwa Informacji, który winien wyda stosown opini i przygotowa projekt decyzji – upowa nienia Administratora Danych, w terminie trzech dni roboczych od dnia jego otrzymania. 2. W szczególnych wypadkach termin rozpatrzenia wniosku mo e ulec wydłu eniu. §4 Administrator Bezpiecze stwa Informacji przy rozpatrywaniu wniosku winien wzi pod uwag : 1. Zakres obowi zków pracownika. 2. Zasad wiedzy uzasadnionej 3. Zasad separacji uprawnie , z uwzgl dnieniem: 1) wnioskowanego zakresu uprawnie , 2) zakresu uprawnie posiadanych w danej chwili przez pracownika. 4. Zaufanie do pracownika wynikaj ce z przebiegu jego zatrudnienia i jego ewentualnego współudziału w incydentach zwi zanych z bezpiecze stwem przetwarzanych informacji. §5 1. Administrator Bezpiecze stwa Informacji wydaje opini i przygotowuje projekt decyzji – upowa nienia Administratora Danych, w której mo e: 1) Wyrazi zgod na nadanie uprawnie zgodnie z zakresem wnioskowanym przez przeło onego pracownika. 2) Wyrazi zgod na nadanie ograniczonych uprawnie zawieraj cych si w zakresie wnioskowanym przez przeło onego pracownika. 3) Nie wyrazi zgody na nadanie uprawnie danemu pracownikowi. 2. Wzór decyzji – upowa nienia okre la zał cznik nr 2. 3. Administrator Bezpiecze stwa Informacji przechowuje kopie wydanych decyzji – upowa nie do przetwarzania danych osobowych. §6 1. W ka dym z przypadków okre lonych w § 5, Administrator Danych, po uzyskaniu opinii Administratora Bezpiecze stwa Informacji, przekazuje decyzj - upowa nienie osobie wnioskuj cej o nadanie uprawnie pracownikowi. 2. Od opinii wydanej przez Administratora Bezpiecze stwa Informacji przeło ony pracownika mo e odwoła si do Starosty Pabianickiego. 3. Decyzja Starosty Pabianickiego jest ostateczna. §7 1. Administrator Bezpiecze stwa Informacji informuje o zakresie obowi zków i odpowiedzialno ci pracownika, któremu nadano uprawnienia do dost pu do systemu informatycznego przetwarzaj cego dane osobowe, za ochron danych osobowych. 2. Zakres odpowiedzialno ci, o którym mowa w ust.1 w szczególno ci obejmuje: 1) Zabezpieczenie informacji poprzez nieujawnianie hasła do korzystania z systemu informatycznego oraz wprowadzanie hasła w sposób zabezpieczaj cy je przed podejrzeniem przez inne osoby. 2) Blokowanie stacji roboczej, w czasie gdy pracownik przebywa poza swoim stanowiskiem pracy. 3) Wył cznie aplikacji przetwarzaj cej dane osobowe, w czasie gdy w pomieszczeniu przebywaj osoby nieuprawnione do dost pu do tych danych, a istnieje realne zagro enie podejrzenia wy wietlanych na monitorze komputera danych. 4) Przestrzeganie zasad bezpiecze stwa zwi zanych z korzystaniem z no ników przeno nych, na których zostały zapisane dane osobowe. 5) Przekazywanie danych osobowych wewn trz systemu lub sieci informatycznej zgodnie z wymaganiami w zakresie ich zabezpieczenia. 6) Zabezpieczenie dost pu do obszaru, w którym odbywa si przetwarzanie danych osobowych poprzez zamykanie drzwi i okien oraz niedopuszczanie osób nieupowa nionych do przebywania w tym obszarze. 7) Zachowanie w tajemnicy danych osobowych równie po ustaniu zatrudnienia. 8) Zachowanie w tajemnicy haseł, równie po utracie ich wa no ci. 9) Zachowanie w tajemnicy informacji na temat procesów przetwarzania danych osobowych, równie po ustaniu zatrudnienia. 10) Zachowanie w tajemnicy informacji na temat sposobów zabezpieczenia danych osobowych, równie po ustaniu zatrudnienia. §8 Nadanie pracownikowi uprawnie do korzystania z systemu informatycznego przetwarzaj cego dane osobowe obejmuje: 1. Przeprowadzenie szkolenia w zakresie bezpiecze stwa danych osobowych przetwarzanych w systemie informatycznym oraz prawnych aspektów ochrony tych danych. 2. Poinformowanie o indywidualnym zakresie odpowiedzialno ci pracownika, któremu nadaje si uprawnienia do przetwarzania danych osobowych, za ochron danych przed niepowołanym dost pem, nieuzasadnion modyfikacj lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem oraz 3. Podpisanie przez pracownika aneksu do zakresu obowi zków, uprawnie odpowiedzialno ci i zobowi zanie si do jego przestrzegania – dokument ten sporz dzany jest w 4 egzemplarzach z czego jeden egzemplarz przechowywany jest przez Administratora Bezpiecze stwa Informacji, drugi egzemplarz otrzymuje inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe, trzeci egzemplarz bezpo redni przeło ony pracownika, czwarty za egzemplarz otrzymuje pracownik. Wzór aneksu okre la zał cznik nr 3. 4. Wydanie przez Administratora Bezpiecze stwa Informacji, podpisanego przez Starost Pabianickiego jako Administratora Danych, pisemnego upowa nienia pracownika do obsługi systemu informatycznego oraz urz dze wchodz cych w jego skład, słu cych do przetwarzania danych osobowych. Upowa nienie to okre la zakres uprawnie nadawanych pracownikowi. 5. Przydzielenie u ytkownikowi identyfikatora w postaci DOnnn, gdzie nnn jest numerem ewidencyjnym pracownika, numer ten jest niepowtarzalny – konto w systemie informatycznym jest wprowadzane przez Administratora Bezpiecze stwa Informacji. Identyfikator u ytkownika winien mu by nadany tylko raz i nie powinien by pó niej zmieniany. 6. Skonfigurowanie uprawnie u ytkownika w ramach konta zgodnie z zakresem uprawnie zatwierdzonych przez Administratora Bezpiecze stwa Informacji. 7. Wygenerowanie tymczasowego, losowego hasła dla u ytkownika i przekazanie go u ytkownikowi w zamkni tej kopercie. Konto u ytkownika powinno by skonfigurowane w ten sposób, aby przy pierwszym logowaniu si system wymusił zmian hasła. Za wygenerowanie hasła odpowiada Administrator Bezpiecze stwa Informacji, który wydaje pracownikowi kopert z hasłem za pokwitowaniem zawieraj cym klauzul zobowi zuj ca pracownika do zachowania w tajemnicy haseł do systemu informatycznego przetwarzaj cego dane osobowe, równie po upływie okresu ich wa no ci. 8. Zaopatrzenie ekranu monitora komputerowego w wygaszacz z ustawion opcj wymagania hasła, które po upływie maksymalnie 1 minuty nieaktywno ci u ytkownika automatycznie wył cza funkcje eksploatacji ekranu. 9. Administrator Bezpiecze stwa Informacji fakt wykonania czynno ci wymienionych w ust. 1 – 8, 1) w przypadku nowo zatrudnianego pracownika - potwierdza przez zło enie własnor cznego podpisu w odpowiedniej rubryce „Karty obiegowej” nowo zatrudnianego pracownika i dokonuje stosownego zapisu w cz ci II decyzji upowa nienia, o której mowa w § 5 ust.2. 2) w przypadku pozostałych pracowników – dokonuje stosownego zapisu w cz ci II decyzji - upowa nienia, o której mowa w § 5 ust.2. §9 Zmiana uprawnie u ytkownika w systemie informatycznym przetwarzaj cym dane osobowe wymaga przekazania przez przeło onego pracownika Administratorowi Bezpiecze stwa Informacji wniosku zawieraj cego: 1. Nazwisko i imi pracownika oraz ewentualnie identyfikator słu bowy. 2. Nazw stanowiska pracy 3. Opis stanowiska pracy lub zakres obowi zków zwi zanych z przetwarzaniem danych osobowych. 4. Okre lenie wnioskowanego zakresu zmian w uprawnieniach ze szczególnym wskazaniem: 1) uprawnie , które powinny zosta odebrane, 2) uprawnie , które powinny zosta nadane. 5. Uzasadnienie wnioskowanego zakresu danych osobowych. § 10 1. Po zatwierdzeniu zakresu uprawnie przez Administratora Bezpiecze stwa Informacji uprawnienia pracownika s zmieniane. 2. Fakt dokonania zmiany zakresu uprawnie Administrator Bezpiecze stwa Informacji odnotowuje w cz ci III decyzji – upowa nienia, o której mowa w § 5 ust.2. § 11 1. Administrator Bezpiecze stwa Informacji ma prawo ograniczy uprawnienia u ytkownika w systemie informatycznym, w razie gdy posiadany przez u ytkownika zakres uprawnie stanowi zagro enie dla bezpiecze stwa systemu i przetwarzanych w nim danych. 2. W sytuacji, o której mowa w ust.1: 1) Administrator Bezpiecze stwa Informacji dokonuje odebranie okre lonych uprawnie u ytkownikowi 2) Administrator Bezpiecze stwa Informacji informuje o fakcie odebrania uprawnie przeło onego pracownika oraz pracownika. 3) Przeło ony pracownika ma prawo odwoła si od decyzji Administratora Bezpiecze stwa Informacji do Starosty Pabianickiego jako Administratora Danych. Decyzja Starosty Pabianickiego jest ostateczna. § 12 Całkowite odebranie uprawnie pracownikowi do korzystania z systemu informatycznego przetwarzaj cego dane osobowe winno mie miejsce, gdy: 1. Z pracownikiem została rozwi zana umowa o prac , 2. Zakres obowi zków słu bowych pracownika uległ zmianie, która spowodowała utrat potrzeby korzystania z systemu informatycznego przetwarzaj cego dane osobowe. 3. Pracownik spowodował swoim celowym działaniem incydent maj cy negatywny wpływ na bezpiecze stwo systemu informatycznego i przetwarzanych w nim danych osobowych. 4. Istnieje uzasadniona obawa, e korzystanie przez pracownika z systemu informatycznego przetwarzaj cego dane osobowe wi e si z powa nym ryzykiem utraty poufno ci, integralno ci lub dost pno ci tych danych. § 13 Odebranie uprawnie do korzystania z systemu informatycznego przetwarzaj cego dane osobowe mo e nast pi na podstawie: 1. Pisemnego wniosku przeło onego pracownika w zwi zku ze zmian zakresu obowi zków, uprawnie i odpowiedzialno ci pracownika upowa nionego do przetwarzania danych osobowych. 2. „Karty obiegowej wystawionej przez Inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe, w zwi zku z rozwi zaniem stosunku pracy z pracownikiem upowa nionym do przetwarzania danych osobowych. 3. Decyzji Administratora Bezpiecze stwa Informacji w zwi zku z ra cym naruszeniem obowi zuj cych przepisów i procedur obowi zuj cych przy przetwarzaniu danych osobowych. § 14 Proces odebrania uprawnie obejmuje: 1. Przekazanie wniosku o odebranie uprawnie do korzystania z systemu informatycznego przetwarzaj cego dane osobowe do Administratora Bezpiecze stwa Informacji ( za wyj tkiem sytuacji, gdy odebranie uprawnie ma mie miejsce na wniosek Administratora Bezpiecze stwa Informacji) z okre leniem: 1) imienia i nazwiska oraz numeru ewidencyjnego pracownika, 2) przyczyny konieczno ci odebrania uprawnie . 2. Dokonanie przez Administratora Bezpiecze stwa Informacji uniewa nienia hasła, zablokowania konta u ytkownika, odebrania wszelkich uprawnie do zasobów systemu przypisanych do tego konta, wyrejestrowanie identyfikatora oraz likwidacji konta. Czynno ci te powinny zosta wykonane w ci gu 2 godzin od chwili otrzymania wniosku. 3. Potwierdzenie przez Administratora Bezpiecze stwa Informacji wykonania stosownych czynno ci, przez zło enie własnor cznego podpisu w odpowiedniej rubryce „Karty obiegowej” pracownika oraz w cz ci III decyzji – upowa nienia, o której mowa w § 5 ust.2. § 15 1. Administrator Bezpiecze stwa Informacji prowadzi ewidencj osób zatrudnionych przy przetwarzaniu danych osobowych. 2. Ewidencja, o której mowa w ust.1, obejmuje: 1) Lp. 2) Imi i nazwisko pracownika, komórka organizacyjna, stanowisko. 3) Dat nadania upowa nienia dost pu do danych osobowych, nr decyzji. 4) Dat ustania upowa nienia dost pu do danych osobowych. 5) Zakres upowa nienia dost pu do danych osobowych. 6) Identyfikator u ytkownika w systemie informatycznym. 7) Uwagi Wzór ewidencji okre la zał cznik nr 4 4. Zał cznikami do ewidencji s : 1) Wniosek o nadanie, odebranie oraz zmian uprawnie . 2) Decyzja – upowa nienie wydane przez Administratora Danych. 3) Aneks do zakresu obowi zków, uprawnie i odpowiedzialno ci pracownika. 4) Pokwitowanie odebrania hasła tymczasowego przez pracownika. 5) Inne dokumenty zwi zane z procesem zarz dzania uprawnieniami pracowników do dost pu do danych osobowych przetwarzanych w systemie informatycznym. 5. Administrator Bezpiecze stwa Informacji jest zobowi zany do prowadzenia ewidencji na bie co i doło enia wszelkich stara , aby była ona rzetelna i odzwierciedlała istniej cy stan rzeczy. Rozdział II Stosowane metody i rodki uwierzytelnienia oraz procedury zwi zane z ich zarz dzaniem i u ytkowaniem § 16 1. System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizm uwierzytelniaj cy u ytkownika, wykorzystuj cy identyfikator i hasło. 2. System informatyczny musi posiada mechanizm wymuszaj cy zmian hasła po upływie 30 dni od dnia ostatniej zmiany hasła. 3. System informatyczny musi posiada mechanizm pozwalaj cy na wymuszanie jako ci hasła. 4. System informatyczny powinien posiada mechanizmy automatycznego generowania przez Administratora Bezpiecze stwa Informacji haseł dla u ytkowników, które mog by wł czone przez niego w uzasadnionych przypadkach. 5. System informatyczny słu cy do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach powinien posiada zaimplementowane mechanizmy techniczne pozwalaj ce na: 1) Wymuszanie hasła tymczasowego. 2) Wymuszanie okresowej zmiany hasła. 3) Kontrol jako ci hasła. 4) Sprawdzanie, czy wprowadzone hasło ró ni si od pi ciu ostatnio stosowanych. § 17 1. Dost p do systemu informatycznego jest mo liwy wył cznie po podaniu identyfikatora i wła ciwego hasła. 2. Za przydzielenie identyfikatora u ytkownikowi odpowiada Administrator Bezpiecze stwa Informacji. 3. Identyfikator jest w sposób jednoznaczny przypisany u ytkownikowi i nie mo e by zmieniany. 4. Administrator Bezpiecze stwa Informacji prowadzi wykaz identyfikatorów wraz z nazwiskiem i imieniem, której został on przydzielony. 5. Identyfikator nie mo e by powtórnie przydzielony innej osobie. § 18 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za wygenerowanie dla nowego u ytkownika hasła tymczasowego. 2. Hasło tymczasowe powinno by przekazane u ytkownikowi za pokwitowaniem w zamkni tej kopercie. 3. Przy pierwszym dost pie do systemu informatycznego przetwarzaj cego dane osobowe hasło tymczasowe powinno zosta zmienione. 4. Zapisane hasło tymczasowe u ytkownik winien zniszczy . § 19 Hasło u ywane do dost pu do systemu informatycznego przetwarzaj cego dane osobowe powinno spełnia poni ej opisane warunki: 1. Nie powinno by krótsze ni 8 znaków. 2. Powinno zawiera litery, cyfry i znaki specjalne. 3. Nie powinno by słowem ze słownika, imieniem, nazwiskiem, dat urodzenia, numerem telefonu itp. § 20 1. Hasło jest zmieniane przez u ytkownika co najmniej raz na miesi c. 2. Nowe hasło powinno by ró ne od pi ciu ostatnio u ywanych przez pracownika haseł. § 21 U ytkownik jest zobowi zany do: 1. Nieujawniania hasła innym osobom. 2. Zachowania hasła w tajemnicy równie po wyga ni ciu jego wa no ci. 3. Niezapisywaniu hasła. 4. Przestrzegania zasad dotycz cych jako ci i cz stotliwo ci zmian hasła. 5. Wprowadzania hasła do systemu informatycznego przetwarzaj cego dane osobowe w sposób minimalizuj cy ryzyko podejrzenia go. § 22 1. W przypadku zapomnienia hasła u ytkownik zwraca si do Administratora Bezpiecze stwa Informacji o wygenerowanie nowego hasła tymczasowego. 2. Nowe hasło tymczasowe u ytkownik otrzymuje za pokwitowaniem w zamkni tej kopercie i jest zobowi zany do jego zmiany po zalogowaniu si do systemu informatycznego oraz do zniszczenia zapisanego hasła. 3. Fakt wygenerowania nowego hasła tymczasowego jest odnotowywany przez Administratora Bezpiecze stwa Informacji. § 23 W wypadku wykorzystywania przez u ytkownika w systemie informatycznym przetwarzaj cym dane osobowe kilku ró nych haseł ze wzgl du na wielopoziomowe uwierzytelnienie (np. oddzielnie dla systemu operacyjnego i oddzielnie dla aplikacji) reguły opisane w niniejszym rozdziale odnosz si do wszystkich poziomów uwierzytelnienia. § 24 Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym przetwarzaj cym dane osobowe posiadaj własne konta administracyjne, do których maj przydzielone hasła. Zasady zarz dzania hasłami s analogiczne, jak w przypadku zwykłych haseł u ytkowników. § 25 Administrator Bezpiecze stwa Informacji jest odpowiedzialny za nadzorowanie funkcjonowania mechanizmów uwierzytelniaj cych. Rozdział III Procedury rozpocz cia, zawieszenia i zako czenia pracy przeznaczone dla u ytkowników § 26 Rozpocz cie pracy w systemie informatycznym przetwarzaj cym dane osobowe odbywa si poprzez: 1) Przygotowanie stanowiska pracy. 2) Wł czenie stacji roboczej 3) Wybranie odpowiedniej opcji umo liwiaj cej logowanie do systemu. 4) Zalogowanie si do systemu przez wprowadzenie swojego identyfikatora i hasła. § 27 1. Rozpocz cie pracy u ytkownika w systemie informatycznym obejmuje wprowadzenie identyfikatora i hasła w sposób minimalizuj cy ryzyko podejrzenia przez osoby nieupowa nione oraz ogólne stwierdzenie poprawno ci działania systemu. 2. U ytkownik powinien powiadomi Administratora Bezpiecze stwa Informacji zgodnie z instrukcj post powania w sytuacji naruszenia ochrony danych osobowych, je eli: 1) Wygl d aplikacji odbiega od stanu normalnego. 2) Pewne opcje dost pne u ytkownikowi w normalnej sytuacji, przestały by dost pne lub te pewne opcje, niedost pne w normalnej sytuacji, stały si dost pne. 3) Sposób działania aplikacji znacz co odbiega od normalnego stanu. 4) Zakres danych lub sposobu ich przedstawiania przez aplikacj odbiega od stanu normalnego. § 28 1. 2. System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizmy pozwalaj ce na okre lenie uprawnie u ytkownika do korzystania z przetwarzanych informacji. Uprawnienia, o którym mowa w ust.1, mog w szczególno ci obejmowa : 1) Prawo do odczytu danych. 2) Prawo do odczytu warto ci statystycznych dla okre lonej populacji danych, 3) Prawo do modyfikacji istniej cych danych. 4) Prawo do usuwania danych. 5) Prawo do przekazywania (przesyłania) danych. § 29 1. Precyzja okre lania uprawnie jest uzale niona od specyfiki systemu informatycznego, w którym przetwarzane s dane osobowe i wyników analizy ryzyka. 2. Uprawnienia, o których mowa w ust.1, mog by uzale nione od: 1) Identyfikatora zbioru danych. 2) Semantyki danych. 3) Historii dost pu do danych. 4) Identyfikatora stacji roboczej, z której korzysta u ytkownik. 5) Czasu, w jaki u ytkownik korzysta z danych. 6) Innych u ytkowników korzystaj cych w tym samym czasie z danych. 7) Identyfikatorów ewentualnych odbiorców danych. 8) Przypisanie identyfikatorowi u ytkownika roli, której zostały przypisane przywileje. 9) Wł czenie identyfikatora u ytkownika do grupy, dla której okre lono przywileje. § 30 1. W systemie informatycznym przetwarzaj cym dane osobowe nowo stworzony identyfikator u ytkownika nie powinien posiada adnych praw do korzystania z przetwarzanych zasobów informacyjnych. 2. Nadanie przywilejów odbywa si explicite i odpowiedzialny jest za to Administrator Bezpiecze stwa Informacji. § 31 1. Ka dy dost p u ytkownika do zasobów informacyjnych przetwarzanych w systemie informatycznym musi by poprzedzony weryfikacj uprawnie u ytkownika. 2. System informatyczny powinien posiada mechanizm pozwalaj cy na odebranie u ytkownikowi wszystkich uprawnie do przetwarzanych zasobów informacyjnych. § 32 1. System informatyczny przetwarzaj cy dane osobowe powinien, w miar technicznych mo liwo ci, posiada mechanizmy umo liwiaj ce okre lenie uprawnie do przekazywania informacji innym u ytkownikom, pozwalaj ce na kontrol przepływu informacji. 2. Uprawnienia, o których mowa w ust.1, w szczególno ci powinny okre la : 1) Rodzaj i zakres danych osobowych. 2) Identyfikatory odbiorców danych osobowych. § 33 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie efektywnych metod autoryzacji u ytkowników w poszczególnych elementach systemu informatycznego przetwarzaj cego dane osobowe, w sposób zapewniaj cy wła ciwy poziom bezpiecze stwa i wydajno ci systemu, z uwzgl dnieniem pokrywania si zakresów funkcjonalno ci pewnych metod. 2. W szczególno ci Administrator Bezpiecze stwa Informacji winien uwzgl dni mechanizmy autoryzacji u ytkowników w: 1) Systemach operacyjnych. 2) Systemach zarz dzania bazami danych. 3) Aplikacjach. 4) Aktywnych elementach sieciowych i oprogramowaniu wspieraj cym kontrol przepływu danych w sieci informatycznej. § 34 Administrator Bezpiecze stwa Informacji jest odpowiedzialny funkcjonowaniem mechanizmów autoryzacji u ytkowników. za nadzór nad § 35 Zako czenie pracy w systemie informatycznym przetwarzaj cym dane osobowe odbywa si poprzez: 1) Zamkni cie aplikacji. 2) Odł czenie si od zasobów systemowych. 3) Zamkni cie systemu operacyjnego. 4) Wył czenie stacji roboczej. § 36 1. Zabrania si u ytkownikom pracuj cym w systemie informatycznym przetwarzaj cym dane osobowe : 1) Udost pniania stacji roboczej osobom nieupowa nionym. 2) Udost pniana stacji roboczej do konserwacji lub naprawy bez porozumienia z Administratorem Bezpiecze stwa Informacji. 3) U ywania nielicencjonowanego oprogramowania komputerowego. 2. Zasady u ytkowania oprogramowania komputerowego w Starostwie Powiatowym w Pabianicach okre la odr bne zarz dzenie Starosty Pabianickiego. Rozdział IV Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narz dzi programowych słu cych do ich przetwarzania § 37 1. Dane osobowe przetwarzane w systemie informatycznym podlegaj zabezpieczeniu poprzez tworzenie kopii zapasowych. 2. Za proces tworzenia kopii zapasowych odpowiada Administrator Bezpiecze stwa Informacji. 3. W szczególno ci Administrator Bezpiecze stwa Informacji okre la: 1) Cz stotliwo tworzenia kopii zapasowych wynikaj c z cz stotliwo ci wprowadzania zmian do zabezpieczanych danych, 2) Techniczny sposób tworzenia kopii zapasowych, w szczególno ci sprz t, oprogramowanie i no niki, których wykorzystanie uzasadnione jest mo liwo ci współpracy z istniej c w Starostwie Powiatowym w Pabianicach infrastruktur informatyczn oraz wielko ci danych osobowych, które podlegaj zabezpieczeniu poprzez utworzenie kopii, 3) Rodzaj kopii zapasowych (pełne, przyrostowe, ró nicowe). § 38 Administrator Bezpiecze stwa Informacji jest odpowiedzialny za: 1. Wyznaczenie grafiku tworzenia kopii zapasowych, z uwzgl dnieniem wymaga w zakresie cz stotliwo ci ich tworzenia. 2. Proces tworzenia kopii zapasowych. 3. Proces weryfikacji poprawno ci utworzenia kopii zapasowych. 4. Okresowe – z cz stotliwo ci uzale nion od czasu przechowywania kopii – testowanie mo liwo ci odtworzenia danych z kopii zapasowych. 5. Zabezpieczenie dostaw no ników wykorzystywanych do tworzenia kopii zapasowych. 6. Koordynacj procesu odtwarzania danych w razie wyst pienia awarii. § 39 1. No niki kopii zapasowych s przechowywane w pomieszczeniu innym ni to, w którym znajduje si sprz t informatyczny przetwarzaj cy dane osobowe. 2. Pomieszczenie, w którym przechowywane s kopie zapasowe, powinno by zabezpieczone ze wzgl du na: 1) Ochron przed dost pem osób nieupowa nionych. 2) Ochron przed niewła ciwymi warunkami klimatycznymi (temperatura, wilgotno ). 3) Ochron przed promieniowaniem elektromagnetycznym. 4) Ochron przed zalaniem (np. na skutek awarii sieci wodoci gowej). 2. No niki kopii zapasowych powinny by przechowywane w ogniotrwałym sejfie. 3. Przy przenoszeniu no ników kopii zapasowych z miejsca ich tworzenia do miejsca przechowywania nale y zabezpieczy je przed kradzie , zagubieniem lub zniszczeniem. No niki powinny by przenoszone w zamkni tym pojemniku, przez dwie, upowa nione do tego przez Administratora Bezpiecze stwa Informacji, osoby. § 40 1. W Starostwie Powiatowym w Pabianicach wykonywane s kopie zapasowe nast puj cych zbiorów: 1) zawieraj ce dane osobowe, 2) zawieraj ce dane słu ce do prawidłowego funkcjonowania systemu informatycznego Starostwa Powiatowego w Pabianicach, 3) zawieraj ce inne dane wytwarzane przez pracowników Starostwa Powiatowego w Pabianicach i przechowywane na serwerze/ serwerach Starostwa Powiatowego w Pabianicach na podstawie odr bnych przepisów. 2. Kopie zapasowe zawieraj ce tworzy si w nast puj cy sposób: 1) Raz na miesi c wykonywana jest pełna kopia zapasowa wszystkich zbiorów zawieraj cych dane osobowe. Kopie te wykonywane s na no nikach magnetycznych przy pomocy odpowiednich urz dze (streamer). Kopie miesi czne przechowywane s przez okres nie krótszy ni 3 miesi ce i nie dłu szy ni pół roku. O okresie przechowywania tych kopii decyduje Administrator Bezpiecze stwa Informacji. 2) Codziennie wykonywana jest kopia zapasowa wszystkich zbiorów zawieraj cych dane osobowe. Pełny cykl kopii przyrostowej wynosi od pi ciu do siedmiu dni, w zale no ci od decyzji Administratora Bezpiecze stwa Informacji. 3) Kopia zapasowa zbiorów, o których mowa w ust.1 pkt. 2 wykonywana jest przy ka dej zmianie maj cej znaczenie dla prawidłowego funkcjonowania systemu informatycznego Starostwa Powiatowego w Pabianicach. Kopie te nie mog zawiera adnych zbiorów zawieraj cych dane osobowe. Kopie te przechowywane s na no nikach optycznych (płytach CD). Okres przechowywania ka dej kopii okre la za ka dym razem Administrator Bezpiecze stwa Informacji, jednak nie mo e by on krótszy ni 3 miesi ce. Na ka dym no niku musi by wyra nie zapisana data sporz dzenia kopii oraz przewidywana data jej zniszczenia. 4) Raz na 6 miesi cy wykonywana jest pełna kopia zapasowa zbiorów, o których mowa w ust. 1 pkt 1- 3. Kopie wykonywane s na no nikach magnetycznych (kasetach) przy pomocy odpowiednich urz dze (streamer). Kopie te s przechowywane przez okres dwóch lat. 5) Po przekroczeniu okresu przechowywania kopii zapasowych, o których mowa w pkt 1- 4 no niki wykorzystane do ich sporz dzenia s w zale no ci od dalszej przydatno ci no nika wykorzystywane ponownie b d niszczone. § 41 Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzaj cym dane osobowe tworzone s w nast puj cy sposób: 1. Kopia zapasowa aplikacji przetwarzaj cej dane osobowe – pełna kopia wykonywana jest po wprowadzeniu zmian do aplikacji, kopie umieszcza si na no nikach optycznych, kopia wyst puje w dwóch egzemplarzach, przy czym jeden egzemplarz przechowywany jest pomieszczeniu wskazanym w § 4, a drugi w Powiatowym O rodku Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach przy ul. Ko ciuszki 24. 2. Kopia zapasowa danych osobowych przetwarzanych przez aplikacj – pełna kopia wykonywana jest raz w miesi cu w dwóch egzemplarzach, oba s przechowywane w Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w § 4, druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie wykonywana jest kopia przyrostowa lub ró nicowa ( w zale no ci od specyfiki zmian informacji w systemie informatycznym) w jednym egzemplarzu przechowywana w Starostwie Powiatowym w Pabianicach. Rodzaj wykonywanej codziennej kopii okre la Administrator Bezpiecze stwa Informacji. Kopie wykonywane s na no niku magnetycznym (kaseta). 3. Kopia zapasowa danych konfiguracyjnych systemu informatycznego przetwarzaj cego dane osobowe, w tym uprawnie systemu – pełna kopia wykonywana jest raz na miesi c w dwóch egzemplarzach, oba s przechowywane w Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w § 4, druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie mo e by wykonywana kopia ró nicowa w jednym egzemplarzu, o ile dane konfiguracyjne uległy zmianom. Kopie wykonywane s na no niku magnetycznym (kaseta). 4. Do tworzenia kopii zapasowych wykorzystywane s dedykowane do tego celu urz dzenia wchodz ce w skład systemu informatycznego. § 42 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za tworzenie grafiku okre laj cego kto, w jakie dni i o jakich godzinach tworzy kopie zapasowe. 2. Grafik, o którym mowa w ust.1, obowi zuje na dany tydzie i jest publikowany najpó niej w czwartek poprzedniego tygodnia. 3. W razie konieczno ci wprowadzenia zmian w grafiku Administrator Bezpiecze stwa Informacji wprowadza jak najszybciej stosowne zmiany. 4. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za dostarczanie grafiku wyznaczonym osobom oraz dopilnowanie jego realizacji. 5. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za dokonywanie okresowych zakupów no ników kopii zapasowych. § 43 Administrator Bezpiecze stwa Informacji jest odpowiedzialny za tworzenie dokumentacji zarz dzania kopiami zapasowymi obejmuj cej: 1. Zapis faktu utworzenia kopii, z uwzgl dnieniem typu kopii i zakresu danych dzi ki niej zabezpieczonych. 2. Miejsce składowania kopii. 3. Wykonane testy odtworzeniowe z wykorzystaniem kopii zapasowej. 4. Wykorzystanie kopii zapasowej do odtworzenia danych w wyniku awarii. 5. Zniszczenie danych przechowywanych na no niku. § 44 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za prowadzenie ewidencji no ników u ytych do przechowywania kopii zapasowych 2. Zapisy w ewidencji, o której mowa w ust.1, uwzgl dniaj numery ewidencyjne no ników. S one zapisywane w postaci: D1/S/T/D2 gdzie: D1 – dzie utworzenia kopii, S– oznaczenie systemu, z którego dane zostały zapisane na kopii zapasowej lub zakresu danych, T - typ kopii zapasowej (pełny, przyrostowy, ró nicowy), D2 - dzie utworzenia kolejnej kopii. § 45 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przeprowadzanie testów mo liwo ci odtworzenia danych z kopii zapasowych. 2. Administrator Bezpiecze stwa Informacji w celu przeprowadzenia testów, o których mowa w ust.1, zabezpiecza platform sprz towo – programow . 3. Testy przeprowadzane s raz na pół roku i obejmuj sprawdzanie mo liwo ci odtworzenia przechowywanych danych osobowych oraz danych konfiguracyjnych. 4. Administrator Bezpiecze stwa Informacji sporz dza protokół potwierdzaj cy wykonanie testów, uwzgl dniaj cy: 1) Imi i nazwisko osoby przeprowadzaj cej test, 2) Powodzenie lub niepowodzenie odtworzenia danych z kopii zapasowej, 3) Czas potrzebny na odtworzenie danych, 4) Problemy, które pojawiły si w czasie wykonywania testu. 2. Negatywne wyniki testu lub zaistnienie problemów w trakcie odtwarzania danych mo e sta si podstaw do zmiany sposobu tworzenia kopii zapasowej w Starostwie Powiatowym w Pabianicach lub zmiany technologii wykorzystywanej do tworzenia kopii (urz dzenia, no niki). 3. W przypadku wyst pienia negatywnych wyników lub problemów Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przeprowadzenie analizy przyczyn i podj cia działa w celu zmniejszenia ryzyka utraty danych poprzez brak mo liwo ci odtworzenia kopii. Rozdział V Sposób, miejsce i okres przechowywania elektronicznych no ników informacji zawieraj cych dane osobowe oraz kopii zapasowych § 46 1. No niki danych osobowych zarówno w postaci elektronicznej, jak i papierowej winny by zabezpieczone przed dost pem osób nieupowa nionych, nieautoryzowan modyfikacj i zniszczeniem. 2. Dane osobowe mog by zapisywane na no nikach przeno nych w przypadku tworzenia kopii zapasowych lub gdy istnieje konieczno przeniesienia tych danych w postaci elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione, niemo liwe lub zbyt niebezpieczne. 3. Administrator Bezpiecze stwa Informacji prowadzi ewidencj no ników przeno nych u ywanych do zapisu danych osobowych z uwzgl dnieniem: 1) Numeru ewidencyjnego no nika, 2) Rodzaju informacji zapisanych na no niku, 3) Nazwiska lub identyfikatora osoby, na której wniosek zapisano no nik, 4) Nazwiska lub identyfikatora osoby, która pierwotnie zapisała dane na no niku, 5) Daty pierwotnego zapisania danych na no niku, 6) Celu, w jakim dane te zostały zapisane, 7) Nazwisk lub identyfikatorów osób, które odczytywały lub modyfikowały dane zapisane na no niku, oraz dat, kiedy operacje te miały miejsce, 8) Miejsca przechowywania no nika, 9) Adnotacji o zniszczeniu no nika lub zapisanych na nim danych. § 47 1. No niki przeno ne (takie jak dyskietki, CD- ROMy itp.), na których przechowywane s dane osobowe podlegaj cisłej ewidencji i kontroli. 2. Ka dy no nik posiada numer ewidencyjny, postaci DO – XXX - YYY, gdzie XXX oznacza nazw komórki organizacyjnej, w której zapisano dane na no niku, za YYY – kolejny numer no nika w tej komórce organizacyjnej. § 48 Administrator Bezpiecze stwa Informacji sprawuje kontrol nad miejscem przechowywania no ników przeno nych zawieraj cych dane osobowe oraz dost pem do nich pracowników Starostwa Powiatowego w Pabianicach lub innych osób. § 49 Zapisanie danych osobowych na no niku przeno nym mo e nast pi tylko w sytuacji, gdy operacja taka jest uzasadniona, w szczególno ci ze wzgl du na: 1. Tworzenie kopii zapasowych danych osobowych przetwarzanych w systemie informatycznym. 2. Przenoszenie danych osobowych, je eli przesyłanie ich z wykorzystaniem sieci informatycznych jest zbyt niebezpieczne, niemo liwe lub zbyt skomplikowane ze wzgl dów technicznych lub organizacyjnych. § 50 1. No nik przeno ny mo e by wykorzystany do przenoszenia danych osobowych pod warunkiem zabezpieczenia go przed kradzie lub utrat . 2. No nik mo e by przekazywany tylko pomi dzy osobami upowa nionymi do przetwarzania danych osobowych. 3. No nik podlega szyfrowaniu, w szczególno ci gdy jest u ywany do przenoszenia danych osobowych poza terenem Starostwa Powiatowego w Pabianicach. 4. W przypadkach uzasadnionych wynikami analizy ryzyka stosuje si podział danych pomi dzy kilka no ników w taki sposób, aby niemo liwe było odczytanie danych w sytuacji posiadania tylko jednego z nich. 5. Administrator Bezpiecze stwa Informacji zapewni odpowiednie mechanizmy techniczne pozwalaj ce na wła ciwe zabezpieczenie no ników przeno nych. § 51 No nik przeno ny mo e znajdowa si poza terenem Starostwa Powiatowego w Pabianicach w sytuacji gdy: 1) Jest to kopia zapasowa, któr zgodnie z obowi zuj cymi przepisami przechowuje si poza terenem Starostwa Powiatowego w Pabianicach. 2) Jest on przenoszony, a charakter transportu wymaga, aby znalazł si poza terenem Starostwa Powiatowego w Pabianicach. 3) Został on przekazany innemu podmiotowi, któremu Starosta Pabianicki jako Administrator Danych, był obowi zany lub uprawniony przekaza dane osobowe. Przekazanie no nika innemu podmiotowi wymaga zgody Starosty Pabianickiego z uwzgl dnieniem: a) wskazania osoby przekazuj cej no nik, b) wskazania osoby odbieraj cej no nik, c) potwierdzenia faktu przekazania no nika wraz z opisem jego zawarto ci. Za przechowywanie potwierdze przekazania no nika odpowiada Administrator Bezpiecze stwa Informacji. § 52 1. Wydruki z danymi osobowymi oznaczane s numerami ewidencyjnymi w postaci DO – W – XXX - YYY, gdzie XXX oznacza nazw komórki organizacyjnej Starostwa Powiatowego w Pabianicach, w której stworzono wydruk, za YYY – kolejny numer wydruku stworzonego w tej komórce organizacyjnej. 2. Administrator Bezpiecze stwa Informacji prowadzi ewidencj wydruków danych osobowych ze szczególnym uwzgl dnieniem faktu przekazania wydruku poza teren Starostwa Powiatowego w Pabianicach. 3. Ewidencja, o której mowa w ust.2, winna obejmowa : 1) Numer ewidencyjny wydruku, 2) Rodzaj informacji na wydruku, 3) Nazwisko lub identyfikator osoby, która sporz dziła wydruk, 4) Dat pierwotnego zapisania danych na no niku, 5) Cel, w jakim wydruk został sporz dzony, 6) Miejsce przechowywania no nika, 7) Adnotacj o przekazaniu wydruku poza teren Starostwa Powiatowego w Pabianicach lub zniszczenia wydruku. 2. Ewidencja wydruków sporz dzana jest w celu rozliczalno ci procesów przetwarzania informacji w systemie informatycznym przetwarzaj cym dane osobowe. § 53 1. No niki danych osobowych oraz wydruki powinny by przechowywane w zamkni tych szafkach wewn trz obszaru przeznaczonego do przetwarzania danych osobowych i nie powinny by bez uzasadnionej potrzeby wynoszone poza ten obszar. 2. Przekazywanie no ników danych osobowych i wydruków poza teren Starostwa Powiatowego w Pabianicach mo e odbywa si zgodnie z obowi zuj cymi przepisami. § 54 1. Kopie zapasowe przechowywane s na terenie Starostwa Powiatowego w Pabianicach w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa Starostwa Powiatowego w Pabianicach, przeznaczonym tylko i wył cznie do przechowywania kopii zapasowych. Klucze od tego sejfu posiadaj Administrator Bezpiecze stwa Informacji i Sekretarz Powiatu. 2. Je eli obowi zuj ce przepisy zobowi zuj do sporz dzania dwóch kopii zapasowych, druga kopia przechowywana jest w Powiatowym O rodku Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach przy ul. Ko ciuszki 25. Klucze od szafy posiadaj Administrator Bezpiecze stwa Informacji i Dyrektor Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. 3. Kopie zapasowe danych osobowych przetwarzanych w budynkach A, B i C Starostwa Powiatowego w Pabianicach, mog by przechowywane w pomieszczeniach w szafie metalowej umieszczonej w pokoju Naczelnika Wydziału Komunikacji i Transportu. Klucze od szafy posiadaj Administrator Bezpiecze stwa Informacji i Naczelnik Wydziału Komunikacji. § 55 1. Je eli odr bne przepisy nie stanowi inaczej, w zale no ci od rodzaju przechowywanych informacji Administrator Bezpiecze stwa Informacji jest odpowiedzialny za indywidualne okre lenie wymaganego czasu przechowywania no ników danych osobowych, wydruków, jak równie danych osobowych w systemie informatycznym. 2. Administrator Bezpiecze stwa Informacji okresowo publikuje list rodzajów informacji wraz z wymaganym czasem przechowywania danych osobowych. 3. Lista, o której mowa w ust.2, dystrybuowana jest w ród wszystkich pracowników upowa nionych do przetwarzania danych osobowych w systemie informatycznym. 4. W przypadku gdy informacje zawarte w wytworzonym dokumencie nie znajduj si na li cie, o której mowa w ust. 2, lub istniej w tpliwo ci co do ich zakwalifikowania, osoba, na której wniosek sporz dzono dokument, zobowi zana jest zwróci si w przeci gu 3 dni roboczych do Administratora Bezpiecze stwa Informacji celem okre lenia wymaganego czasu przechowywania dokumentu. § 56 1. Dane osobowe przechowywane na no nikach przeno nych, je eli nie s dłu ej potrzebne, podlegaj procesowi bezpiecznego niszczenia. 2. Je eli charakter no nika nie pozwala na usuni cie z niego danych, no nik podlega trwałemu zniszczeniu. 3. Trwałe zniszczenie danych lub no nika odbywa si na zlecenie osoby, na której wniosek no nik zapisano, lub na zlecenie Administratora Bezpiecze stwa Informacji. Rozdział VI Sposób zabezpieczenia systemu informatycznego przed działalno ci oprogramowania, którego celem jest uzyskanie nieuprawnionego dost pu do systemu informatycznego § 57 1. System informatyczny przetwarzaj cy dane osobowe powinien by wyposa ony w mechanizmy ochrony antywirusowej, o ile: 1) System operacyjny wykorzystywany do przetwarzania danych osobowych lub aplikacje bior ce udział w ich przetwarzaniu s nara one na wyst powanie wirusów. 2) Istnieje mo liwo wprowadzenia do systemu informatycznego wirusów z zewn trz – za po rednictwem sieci informatycznej lub no ników przeno nych. 2. System informatyczny w Starostwie Powiatowym w Pabianicach chroniony b dzie przed działaniem wirusów komputerowych aktualnym oprogramowaniem antywirusowym aktualizowanym na bie co. 3. W celu przeciwdziałania wirusom i atakom zainfekowanych plików system Informatyczny b dzie skanowany przez Administratora Bezpiecze stwa Informacji co 24 godziny pod k tem obecno ci w systemie wirusów i innych zagro e . § 58 Mechanizmy ochrony antywirusowej wykorzystywane w systemie informatycznym przetwarzaj cym dane osobowe winny cechowa si : 1. Mo liwo ci analizy danych wprowadzanych do systemu informatycznego za po rednictwem sieci informatycznej poprzez analiz ruchu sieciowego i/lub integracj z aplikacjami słu cymi do wymiany danych przy pomocy sieci informatycznej. 2. Mo liwo ci analizy no ników danych u ywanych do przenoszenia danych do systemu informatycznego. 3. Mo liwo ci przeprowadzania analizy wybranych katalogów z zapisanymi plikami pod k tem istnienia zagro enia ze strony wirusów. 4. Mechanizmowi pozwalaj cemu na centralne zarz dzanie systemem antywirusowym. 5. Uaktualnianiem wzorców wirusów we wszystkich modułach systemu antywirusowego z jednego centralnego punktu. 6. Mo liwo ci automatycznego uruchamiania si modułów analizuj cych zapisane dane pod k tem istnienia wirusów w zale no ci od czasu lub zaistniałego zdarzenia. Posiadaniem przez moduły systemu antywirusowego, w szczególno ci zainstalowane na stacjach roboczych u ytkowników, cech uniemo liwiaj cych wył czenie ich funkcjonowania przez osob inn ni upowa nion przez Administratora Bezpiecze stwa Informacji. 7. Zarówno lokalnym, jak i centralnym zapisem wyników analizy, w szczególno ci faktu wykrycia wirusa, jego specyfiki i usuni cia (o ile było ono mo liwe). § 59 1. W celu zapewnienia ochrony antywirusowej Administrator Bezpiecze stwa Informacji jest odpowiedzialny za zarz dzanie systemem wykrywaj cym i usuwaj cym wirusy i inne niebezpieczne kody. 2. System antywirusowy powinien by skonfigurowany w nast puj cy sposób: 1) Skanowanie dysków zawieraj cych potencjalnie niebezpieczne kody przy wł czeniu komputera lub raz dziennie, 2) Skanowanie informacji przesyłanych do systemu informatycznego pod k tem pojawienia si niebezpiecznych kodów – na bie co. 2. Administrator Bezpiecze stwa Informacji ponadto powinien wydzieli obszary przestrzeni dyskowej, w której przechowywane s dane w formacie niepodlegaj cym infekcji. Cz stotliwo skanowania tych obszarów jest uzale niona od ich rozmiaru, w szczególno ci mo e by ona ograniczona do sprawdzenia, czy format wyst puj cych tam danych nie pozwala na ich zainfekowanie. § 60 Administrator Bezpiecze stwa Informacji jest odpowiedzialny za: 1. Instalacj i konfiguracj systemu antywirusowego na wszystkich elementach systemu informatycznego przetwarzaj cego dane osobowe, na których instalacja jest uzasadniona wynikami analizy ryzyka. 2. Uaktualnianie wzorców wirusów. 3. Analiz wyników działania systemu antywirusowego i reagowanie na fakt wykrycia wirusa poprzez: 1) Okre lenie ródła infekcji, 2) Usuni cie wirusa, o ile nie zostało automatycznie wykonane przez system antywirusowy, 3) Podj cie kroków minimalizuj cych ryzyko rozprzestrzeniania si wirusa, 4) Podj cie działa zmierzaj cych do zapobie enia tego rodzaju wypadkom w przyszło ci. 2. Zarz dzanie systemem antywirusowym, w tym okre lenie warunków działania systemu, aby zapewni jego maksymaln efektywno przy jednoczesnej mo liwie najwi kszej minimalizacji negatywnego wpływu działania systemu antywirusowego na korzystanie przez u ytkowników z systemu antywirusowego. § 61 Systemy antywirusowe zainstalowane na stacjach roboczych powinny by skonfigurowane w nast puj cy sposób: 1. Zablokowanie mo liwo ci ingerencji u ytkownika w ustawienia w ustawienia oprogramowania antywirusowego. 2. Mo liwo centralnego uaktualniania wzorców wirusów. 3. Mo liwo centralnego zbierania informacji o wynikach pracy oprogramowania. 4. Mo liwo centralnej konfiguracji oprogramowania. § 62 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za aktualizacj wzorców wirusów. 2. System antywirusowy powinien by aktualizowany na podstawie materiałów publikowanych przez producenta oprogramowania. § 63 1. W przypadku wyst pienia infekcji i braku mo liwo ci automatycznego usuwania wirusów przez system antywirusowy, Administrator Bezpiecze stwa Informacji winien podj działania zmierzaj ce do usuni cia zagro enia. 2. Działania, o których mowa w ust.1, w szczególno ci mog obejmowa : 1) Usuni cie zainfekowanych plików, o ile jest to akceptowane ze wzgl du na prawidłowe funkcjonowanie systemu informatycznego, 2) Odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane zapisane na kopiach nie s zainfekowane, 3) Samodzieln ingerencj w zawarto pliku – w zale no ci od posiadanych kwalifikacji lub skonsultowanie si z zewn trznymi ekspertami. Rozdział VII Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r § 64 1. System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizmy pozwalaj ce na odnotowanie faktu wykonania operacji na danych. 2. Zapis, o którym mowa w ust.1, powinien w szczególno ci obejmowa : 1) rozpocz cie i zako czenie pracy przez u ytkownika w systemie informatycznym. 2) Operacje wykonywane na przetwarzanych danych, w szczególno ci: a) odczyt, w tym odczyt danych statystycznych, b) modyfikacj lub zapis, c) udost pnianie, d) usuni cie. 3) Przesyłanie danych przetwarzanych w systemie informatycznym innym u ytkownikom lub podmiotom. 4) Nieudane próby dost pu do systemu informatycznego przetwarzaj cego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych przetwarzanych w systemie informatycznym. 5) Bł dy w działaniu systemu informatycznego podczas pracy danego u ytkownika. § 65 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie i przypisanie poszczególnym zdarzeniom stopnia krytyczno ci, odzwierciedlaj cego znaczenie operacji wykonanej przez u ytkownika lub zaistniałego zdarzenia dla bezpiecze stwa przetwarzanych danych osobowych. 2. Stosuje si nast puj ce stopnie krytyczno ci: 1) krytyczne – operacja lub zdarzenie mo e mie krytyczne znaczenie dla bezpiecze stwa przetwarzanych danych osobowych lub prawidłowego funkcjonowania systemu informatycznego przetwarzaj cego dane osobowe. 2) Istotne – operacja lub zdarzenie w istotny sposób wpływa na dane osobowe i mo liwo ich poprawnego i bezpiecznego przetwarzania. 3) Normalne – operacja lub zdarzenie wyst puje normalnie w przypadku przetwarzania w systemie informatycznym danych osobowych i nie ma specjalnego wpływu na ich bezpiecze stwo. § 66 Zapis działa u ytkowników uwzgl dnia: 1. Identyfikator u ytkownika. 2. Dat i czas, w jakim zdarzenie miało miejsce. 3. Identyfikator stacji roboczej, z której korzysta u ytkownik. 4. Rodzaj zdarzenia. 5. Okre lenie informacji, których zdarzenie dotyczy – w zale no ci od mo liwo ci technicznych okre lenie to mo e obejmowa zbiór danych, rekordy, które u ytkownik przetwarzał lub poszczególne atrybuty w rekordach, które u ytkownik przetwarzał. 6. Okre lenie stopnia krytyczno ci zdarzenia. § 67 1. Zapis działa u ytkowników powinien by prowadzony w taki sposób, aby mo liwe było łatwe przeanalizowanie zapisanych operacji lub zdarze ze wzgl du na ich stopie krytyczno ci 2. System informatyczny powinien posiada mechanizmy automatyczne powiadomienia Administratora Bezpiecze stwa Informacji o zaistnieniu zdarzenia krytycznego. 3. Mechanizmy, o których mowa w ust.2, mog obejmowa wy wietlanie komunikatu na stacji roboczej Administratora Bezpiecze stwa Informacji, przesyłanie wiadomo ci poczt elektroniczn itp. § 68 1. Zapis operacji uwzgl dnia równie odnotowywanie wprowadzenia danych osobowych dla ka dej osoby, której dane s przetwarzane w systemie informatycznym. 2. Zapis operacji, o którym mowa w ust.1 obejmuje: 1) Okre lenie danych osobowych. 2) Dat i czas wprowadzenia danych osobowych. 3) ródło pochodzenia danych osobowych, je eli mog one pochodzi z ró nych ródeł. 4) Identyfikator u ytkownika wprowadzaj cego dane osobowe. 5) Identyfikator stacji roboczej, z której dane te zostały wprowadzone. § 69 Zapis operacji i zdarze powinien by prowadzony z uwzgl dnieniem: 1. Ochrony przed dost pem do niego osób nieupowa nionych. 2. Ochrony przed wprowadzaniem nieautoryzowanych zmian w zapisie zdarze . 3. Zabezpieczenia integralno ci przechowywanych w zapisie operacji i zdarze informacji oraz wprowadzenia mechanizmów pozwalaj cych wykrycie zafałszowania we wprowadzonych danych. 4. Zabezpieczenia mechanizmów zapisu operacji i zdarze przed przypadkowym lub celowym zablokowaniem ich działania. 5. Ochrony zapisu operacji lub zdarze przed przypadkowym lub celowym usuni ciem zapisu. 6. Okresowej archiwizacji zapisanych operacji i zdarze i przechowywania kopii zapasowych z uwzgl dnieniem zabezpieczenia ich poufno ci, integralno ci i dost pno ci. 7. Mo liwo ci wydruku zapisu zdarze w formie czytelnej. § 70 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okresowe przeprowadzanie analizy zapisu operacji i zdarze w celu: 1) Wykrycia potencjalnych narusze bezpiecze stwa danych osobowych przetwarzanych w systemie informatycznym. 2) Weryfikacji zgodno ci sposobu wykorzystania przez u ytkowników systemu informatycznego przetwarzaj cego dane osobowe z okre lonymi, w procesie nadawania uprawnie do korzystania z tego systemu, celami. 3) Wykrycia potencjalnych niesprawno ci w funkcjonowaniu systemu informatycznego. 4) Optymalizacji działania systemu informatycznego przetwarzaj cego dane osobowe. 5) Wykrycia potencjalnych podatno ci na zagro enia zwi zane z przetwarzaniem danych osobowych oraz podj cia działa w celu wzmocnienia mechanizmów zabezpieczaj cych. 2. Mechanizm zapisu operacji i zdarze powinien by wyposa ony w narz dzia umo liwiaj ce efektywne przeprowadzanie analiz, o których mowa w ust.1, w tym równie bada statystycznych. Rozdział VIII Procedury wykonywania przegl dów i konserwacji systemów oraz no ników informacji słu cych do przetwarzania danych § 71 1. Wszelkie prace zwi zane z naprawami i konserwacj systemu informatycznego przetwarzaj cego dane osobowe musz uwzgl dnia zachowanie wymaganego wysokiego poziomu bezpiecze stwa tych danych przed dost pem do nich osób nieupowa nionych. 2. Decyzje o przeprowadzeniu naprawy lub/i konserwacji systemu informatycznego przetwarzaj cego dane osobowe, podejmowa mo e Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. § 72 1. Prace serwisowe mog by wykonywane wył cznie przez firmy, z którymi została podpisana stosowna umowa normuj ca w szczególno ci zasady ochrony danych osobowych. 2. Umowa, o której mowa w ust. 1 powinna okre la : 1) Zakres prac, które mog by realizowane w ramach serwisu, 2) Dni i godziny dost pno ci serwisu, gwarantowany czas reakcji (od chwili zgłoszenia do chwili pojawienia si serwisanta), gwarantowany czas naprawy (lub podstawienia pełnosprawnego zamiennika) liczony od chwili zgłoszenia do momentu przywrócenia pełnej funkcjonalno ci, 3) Warunki wynagrodzenia firmy serwisowej, 4) Sposób zgłaszania konieczno ci wykonania prac serwisowych (numer telefonu lub faksu, adres poczty elektronicznej, nazwiska osób upowa nionych do przyjmowania zgłosze ) oraz sposób potwierdzenia przyj cia zgłoszenia wraz z podaniem nazwisk serwisantów, którzy b d przeprowadzali prace, 5) Sposób stwierdzenia to samo ci osób przeprowadzaj cych prace serwisowe (w szczególno ci sprawdzania zgodno ci ich to samo ci z danymi podanymi przez osob potwierdzaj c przyj cie zgłoszenia), 6) Zasady nadzorowania przez upowa nionych pracowników Starostwa Powiatowego w Pabianicach pracy serwisantów i sposobu wykonywania naprawy, 7) Sporz dzenie i podpisanie protokołu wykonania naprawy, 8) Zasady przeprowadzania napraw sprz tu informatycznego przetwarzaj cego i/lub przechowuj cego dane osobowe, 9) Cz stotliwo wykonywania prac konserwacyjnych (np. odkurzanie sprz tu), zasady ustalania prac i osób bior cych w nich udział. § 73 1. Osob upowa nion do zgłaszania firmie serwisowej usterki systemu i konieczno ci jego naprawy jest Administrator Bezpiecze stwa Informacji. 2. Pracownicy winni zgłasza niesprawno ci systemu informatycznego zgodnie z przepisami „Polityki Bezpiecze stwa”. 3. Administrator Bezpiecze stwa Informacji wyznacza kwalifikowan osob , posiadaj c uprawnienia do dost pu do danych osobowych przetwarzanych przez naprawiane komponenty, do nadzorowania prac serwisowych prowadzonych w systemach informatycznych lub samodzielnie dokonuje nadzoru. 4. Osoba nadzoruj ca dokonuje odbioru przeprowadzanych prac i podpisania protokołu wykonania naprawy. 5. Administrator Bezpiecze stwa Informacji mo e wyznaczy osoby upowa nione do nadzorowania wszystkich napraw systemu informatycznego lub do nadzorowania wszystkich napraw okre lonych komponentów systemu. § 74 1. W sytuacji gdy naprawa dotyczy komponentu, na którym nie s przechowywane dane osobowe i który nie jest podł czony do systemu informatycznego, a serwisant nie jest w stanie podł czy go do systemu, wówczas nie jest wymagany nadzór nad przebiegiem prac serwisowych. 2. W sytuacji, o której mowa w ust.1, odbioru prac dokonuje po sprawdzeniu poprawno ci ich wykonania, Administrator Bezpiecze stwa Informacji. § 75 Przed rozpocz ciem prac serwisowych konieczne jest potwierdzenie to samo ci serwisantów. § 76 1. W przypadku konieczno ci przeprowadzania prac serwisowych poza siedzib Starostwa Powiatowego w Pabianicach dane z naprawianego urz dzenia musz zosta usuni te zgodnie z obowi zuj cymi w tym zakresie przepisami. 2. Od wymagania, o którym mowa w ust.1, mo liwe jest odst pstwo, je eli urz dzenie, podczas przechowywania poza siedzib Starostwa Powiatowego w Pabianicach, b dzie pod stałym nadzorem osoby upowa nionej do dost pu danych na nim przetwarzanych, wskazanej przez Administratora Bezpiecze stwa Informacji. § 77 1. Administrator Bezpiecze stwa Informacji prowadzi rejestr prac serwisowych i konserwacyjnych wykonywanych w zakresie systemu informatycznego przetwarzaj cego dane osobowe. 2. Rejestr, o którym mowa w ust. 1, jest raz w roku analizowany w celu stwierdzenia punktów w systemie informatycznym, w którym wyst piło najwi cej awarii. 3. Wyniki analizy wraz z ewentualnymi sugestiami działa zmierzaj cych do zmniejszenia cz stotliwo ci awarii w systemie informatycznym Administrator Bezpiecze stwa Informacji przekazuje Sekretarzowi Powiatu. § 78 1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okresowy przegl d zbioru danych osobowych oraz usuni cie danych, których przechowywanie jest dłu ej nieuzasadnione. 2. Administrator Bezpiecze stwa Informacji sporz dza protokół zniszczenia informacji zawieraj cy: 1) Nazw zbioru danych osobowych, 2) Zakres zniszczonych danych, 3) Uzasadnienie wykonania operacji, 4) Dat i czas wykonania operacji. § 79 1. Urz dzenia, dyski lub inne no niki zawieraj ce dane osobowe przeznaczone do likwidacji, pozbawia si wcze niej zapisu tych danych lub uszkadza w sposób uniemo liwiaj cy ich odczytanie. 2. Wydruki z danymi osobowymi przeznaczone do likwidacji nale y likwidowa przy pomocy specjalnego urz dzenia ( niszczarki dokumentów) w sposób uniemo liwiaj cy ich odczytanie. 3. Urz dzenia, dyski, wydruki lub inne informatyczne no niki, zawieraj ce dane osobowe likwiduje si pod nadzorem osoby upowa nionej przez Administratora Bezpiecze stwa Informacji. 4. Trwałego zniszczenia zb dnych no ników i wydruków komputerowych dokonuje si na bie co w czasie pracy, nie pó niej jednak ni przed opuszczeniem stanowiska pracy. § 80 1. Urz dzenia, dyski lub inne informatyczne no niki, zawieraj ce dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia si wcze niej zapisu tych danych. 2. Urz dzenia, dyski lub inne informatyczne no niki danych, przeznaczone do naprawy, pozbawia si przed napraw zapisu tych danych albo naprawia si je pod nadzorem Administratora Bezpiecze stwa Informacji, 3 Administrator Bezpiecze stwa Informacji wykonuje pozostałe czynno ci, o których mowa w ust. 1 i 2.