Instrukcja zarządzania system informatycznym

Zał cznik Nr 1
do Zarz dzenia Nr / 05
Starosty Pabianickiego
z dnia 23 maja 2005 roku
Instrukcja zarz dzania systemem informatycznym słu cym do
przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach
Rozdział I
Procedury nadawania uprawnie do przetwarzania danych i rejestrowania
tych uprawnie w systemie informatycznym oraz wskazanie osoby
odpowiedzialnej za te czynno ci
§1
1. Uprawnienia do korzystania z systemu informatycznego przetwarzaj cego dane
osobowe nadawane s przez Starost Pabianickiego - Administratora Danych na
wniosek bezpo redniego przeło onego pracownika, zaopiniowany przez
Administratora Bezpiecze stwa Informacji. Wniosek składany jest za po rednictwem
Administratora Bezpiecze stwa Informacji.
2. Naczelnik wydziału lub kierownik komórki organizacyjnej wnioskuj cy o
zatrudnienie nowego pracownika, obowi zany jest wskaza we wniosku o
zatrudnienie czy pracownik ten na zajmowanym stanowisku b dzie i w jakim zakresie
przetwarzał dane osobowe w systemie informatycznym.
3. Inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe po uzyskaniu
informacji o tym, e nowo zatrudniony pracownik w ramach zajmowanego stanowiska
b dzie przetwarzał dane osobowe w systemie informatycznym, odnotowuje ten fakt w
odpowiedniej rubryce „Karty obiegowej” pracownika przyjmowanego do pracy.
§2
1. Wniosek o nadanie pracownikowi dost pu do systemu informatycznego
przetwarzaj cego dane osobowe winien zawiera :
1) Nazwisko i imi pracownika oraz ewentualnie identyfikator słu bowy.
2) Nazw stanowiska pracy.
3) Opis stanowiska lub zakres obowi zków zwi zanych z przetwarzaniem danych
osobowych.
4) Okre lenie wnioskowanego zakresu danych osobowych i sposobu ich
przetwarzania.
5) Uzasadnienie wnioskowanego zakresu danych osobowych.
2. Wzór wniosku okre la zał cznik nr 1.
§3
1. Wniosek, o którym mowa w § 2 jest przekazywany przez przeło onego pracownika
Administratorowi Bezpiecze stwa Informacji, który winien wyda stosown opini i
przygotowa projekt decyzji – upowa nienia Administratora Danych, w terminie
trzech dni roboczych od dnia jego otrzymania.
2. W szczególnych wypadkach termin rozpatrzenia wniosku mo e ulec wydłu eniu.
§4
Administrator Bezpiecze stwa Informacji przy rozpatrywaniu wniosku winien wzi pod
uwag :
1. Zakres obowi zków pracownika.
2. Zasad wiedzy uzasadnionej
3. Zasad separacji uprawnie , z uwzgl dnieniem:
1) wnioskowanego zakresu uprawnie ,
2) zakresu uprawnie posiadanych w danej chwili przez pracownika.
4. Zaufanie do pracownika wynikaj ce z przebiegu jego zatrudnienia i jego
ewentualnego współudziału w incydentach zwi zanych z bezpiecze stwem
przetwarzanych informacji.
§5
1. Administrator Bezpiecze stwa Informacji wydaje opini i przygotowuje projekt
decyzji – upowa nienia Administratora Danych, w której mo e:
1) Wyrazi zgod na nadanie uprawnie zgodnie z zakresem wnioskowanym
przez przeło onego pracownika.
2) Wyrazi zgod na nadanie ograniczonych uprawnie zawieraj cych si w
zakresie wnioskowanym przez przeło onego pracownika.
3) Nie wyrazi zgody na nadanie uprawnie danemu pracownikowi.
2. Wzór decyzji – upowa nienia okre la zał cznik nr 2.
3. Administrator Bezpiecze stwa Informacji przechowuje kopie wydanych decyzji –
upowa nie do przetwarzania danych osobowych.
§6
1. W ka dym z przypadków okre lonych w § 5, Administrator Danych, po uzyskaniu
opinii Administratora Bezpiecze stwa Informacji, przekazuje decyzj - upowa nienie
osobie wnioskuj cej o nadanie uprawnie pracownikowi.
2. Od opinii wydanej przez Administratora Bezpiecze stwa Informacji przeło ony
pracownika mo e odwoła si do Starosty Pabianickiego.
3. Decyzja Starosty Pabianickiego jest ostateczna.
§7
1. Administrator Bezpiecze stwa Informacji informuje o zakresie obowi zków i
odpowiedzialno ci pracownika, któremu nadano uprawnienia do dost pu do systemu
informatycznego przetwarzaj cego dane osobowe, za ochron danych osobowych.
2. Zakres odpowiedzialno ci, o którym mowa w ust.1 w szczególno ci obejmuje:
1) Zabezpieczenie informacji poprzez nieujawnianie hasła do korzystania z
systemu informatycznego oraz wprowadzanie hasła w sposób zabezpieczaj cy
je przed podejrzeniem przez inne osoby.
2) Blokowanie stacji roboczej, w czasie gdy pracownik przebywa poza swoim
stanowiskiem pracy.
3) Wył cznie aplikacji przetwarzaj cej dane osobowe, w czasie gdy w
pomieszczeniu przebywaj osoby nieuprawnione do dost pu do tych danych, a
istnieje realne zagro enie podejrzenia wy wietlanych na monitorze komputera
danych.
4) Przestrzeganie zasad bezpiecze stwa zwi zanych z korzystaniem z no ników
przeno nych, na których zostały zapisane dane osobowe.
5) Przekazywanie danych osobowych wewn trz systemu lub sieci informatycznej
zgodnie z wymaganiami w zakresie ich zabezpieczenia.
6) Zabezpieczenie dost pu do obszaru, w którym odbywa si przetwarzanie
danych osobowych poprzez zamykanie drzwi i okien oraz niedopuszczanie
osób nieupowa nionych do przebywania w tym obszarze.
7) Zachowanie w tajemnicy danych osobowych równie po ustaniu zatrudnienia.
8) Zachowanie w tajemnicy haseł, równie po utracie ich wa no ci.
9) Zachowanie w tajemnicy informacji na temat procesów przetwarzania danych
osobowych, równie po ustaniu zatrudnienia.
10) Zachowanie w tajemnicy informacji na temat sposobów zabezpieczenia
danych osobowych, równie po ustaniu zatrudnienia.
§8
Nadanie pracownikowi uprawnie
do korzystania z systemu informatycznego
przetwarzaj cego dane osobowe obejmuje:
1. Przeprowadzenie szkolenia w zakresie bezpiecze stwa danych osobowych
przetwarzanych w systemie informatycznym oraz prawnych aspektów ochrony tych
danych.
2. Poinformowanie o indywidualnym zakresie odpowiedzialno ci pracownika, któremu
nadaje si uprawnienia do przetwarzania danych osobowych, za ochron danych przed
niepowołanym dost pem, nieuzasadnion modyfikacj lub zniszczeniem, nielegalnym
ujawnieniem lub pozyskaniem oraz
3. Podpisanie przez pracownika aneksu do zakresu obowi zków, uprawnie
odpowiedzialno ci i zobowi zanie si do jego przestrzegania – dokument ten
sporz dzany jest w 4 egzemplarzach z czego jeden egzemplarz przechowywany jest
przez Administratora Bezpiecze stwa Informacji, drugi egzemplarz otrzymuje
inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe, trzeci egzemplarz
bezpo redni przeło ony pracownika, czwarty za egzemplarz otrzymuje pracownik.
Wzór aneksu okre la zał cznik nr 3.
4. Wydanie przez Administratora Bezpiecze stwa Informacji, podpisanego przez
Starost Pabianickiego jako Administratora Danych, pisemnego upowa nienia
pracownika do obsługi systemu informatycznego oraz urz dze wchodz cych w jego
skład, słu cych do przetwarzania danych osobowych. Upowa nienie to okre la
zakres uprawnie nadawanych pracownikowi.
5. Przydzielenie u ytkownikowi identyfikatora w postaci DOnnn, gdzie nnn jest
numerem ewidencyjnym pracownika, numer ten jest niepowtarzalny – konto w
systemie informatycznym jest wprowadzane przez Administratora Bezpiecze stwa
Informacji. Identyfikator u ytkownika winien mu by nadany tylko raz i nie powinien
by pó niej zmieniany.
6. Skonfigurowanie uprawnie u ytkownika w ramach konta zgodnie z zakresem
uprawnie zatwierdzonych przez Administratora Bezpiecze stwa Informacji.
7. Wygenerowanie tymczasowego, losowego hasła dla u ytkownika i przekazanie go
u ytkownikowi w zamkni tej kopercie. Konto u ytkownika powinno by
skonfigurowane w ten sposób, aby przy pierwszym logowaniu si system wymusił
zmian hasła. Za wygenerowanie hasła odpowiada Administrator Bezpiecze stwa
Informacji, który wydaje pracownikowi kopert z hasłem za pokwitowaniem
zawieraj cym klauzul zobowi zuj ca pracownika do zachowania w tajemnicy haseł
do systemu informatycznego przetwarzaj cego dane osobowe, równie po upływie
okresu ich wa no ci.
8. Zaopatrzenie ekranu monitora komputerowego w wygaszacz z ustawion opcj
wymagania hasła, które po upływie maksymalnie 1 minuty nieaktywno ci
u ytkownika automatycznie wył cza funkcje eksploatacji ekranu.
9. Administrator Bezpiecze stwa Informacji fakt wykonania czynno ci wymienionych
w ust. 1 – 8,
1) w przypadku nowo zatrudnianego pracownika - potwierdza przez zło enie
własnor cznego podpisu w odpowiedniej rubryce „Karty obiegowej” nowo
zatrudnianego pracownika i dokonuje stosownego zapisu w cz ci II decyzji upowa nienia, o której mowa w § 5 ust.2.
2) w przypadku pozostałych pracowników – dokonuje stosownego zapisu w
cz ci II decyzji - upowa nienia, o której mowa w § 5 ust.2.
§9
Zmiana uprawnie u ytkownika w systemie informatycznym przetwarzaj cym dane osobowe
wymaga przekazania przez przeło onego pracownika Administratorowi Bezpiecze stwa
Informacji wniosku zawieraj cego:
1. Nazwisko i imi pracownika oraz ewentualnie identyfikator słu bowy.
2. Nazw stanowiska pracy
3. Opis stanowiska pracy lub zakres obowi zków zwi zanych z przetwarzaniem danych
osobowych.
4. Okre lenie wnioskowanego zakresu zmian w uprawnieniach ze szczególnym
wskazaniem:
1) uprawnie , które powinny zosta odebrane,
2) uprawnie , które powinny zosta nadane.
5. Uzasadnienie wnioskowanego zakresu danych osobowych.
§ 10
1. Po zatwierdzeniu zakresu uprawnie przez Administratora Bezpiecze stwa Informacji
uprawnienia pracownika s zmieniane.
2. Fakt dokonania zmiany zakresu uprawnie Administrator Bezpiecze stwa Informacji
odnotowuje w cz ci III decyzji – upowa nienia, o której mowa w § 5 ust.2.
§ 11
1. Administrator Bezpiecze stwa Informacji ma prawo ograniczy uprawnienia
u ytkownika w systemie informatycznym, w razie gdy posiadany przez u ytkownika
zakres uprawnie stanowi zagro enie dla bezpiecze stwa systemu i przetwarzanych w
nim danych.
2. W sytuacji, o której mowa w ust.1:
1) Administrator Bezpiecze stwa Informacji dokonuje odebranie okre lonych
uprawnie u ytkownikowi
2) Administrator Bezpiecze stwa Informacji informuje o fakcie odebrania
uprawnie przeło onego pracownika oraz pracownika.
3) Przeło ony pracownika ma prawo odwoła si od decyzji Administratora
Bezpiecze stwa Informacji do Starosty Pabianickiego jako Administratora
Danych. Decyzja Starosty Pabianickiego jest ostateczna.
§ 12
Całkowite odebranie uprawnie pracownikowi do korzystania z systemu informatycznego
przetwarzaj cego dane osobowe winno mie miejsce, gdy:
1. Z pracownikiem została rozwi zana umowa o prac ,
2. Zakres obowi zków słu bowych pracownika uległ zmianie, która spowodowała utrat
potrzeby korzystania z systemu informatycznego przetwarzaj cego dane osobowe.
3. Pracownik spowodował swoim celowym działaniem incydent maj cy negatywny
wpływ na bezpiecze stwo systemu informatycznego i przetwarzanych w nim danych
osobowych.
4. Istnieje uzasadniona obawa, e korzystanie przez pracownika z systemu
informatycznego przetwarzaj cego dane osobowe wi e si z powa nym ryzykiem
utraty poufno ci, integralno ci lub dost pno ci tych danych.
§ 13
Odebranie uprawnie do korzystania z systemu informatycznego przetwarzaj cego dane
osobowe mo e nast pi na podstawie:
1. Pisemnego wniosku przeło onego pracownika w zwi zku ze zmian zakresu
obowi zków, uprawnie i odpowiedzialno ci pracownika upowa nionego do
przetwarzania danych osobowych.
2. „Karty obiegowej wystawionej przez Inspektora Biura Zarz du Powiatu
prowadz cego sprawy kadrowe, w zwi zku z rozwi zaniem stosunku pracy z
pracownikiem upowa nionym do przetwarzania danych osobowych.
3. Decyzji Administratora Bezpiecze stwa Informacji w zwi zku z ra cym naruszeniem
obowi zuj cych przepisów i procedur obowi zuj cych przy przetwarzaniu danych
osobowych.
§ 14
Proces odebrania uprawnie obejmuje:
1. Przekazanie wniosku o odebranie uprawnie
do korzystania z systemu
informatycznego przetwarzaj cego dane osobowe do Administratora Bezpiecze stwa
Informacji ( za wyj tkiem sytuacji, gdy odebranie uprawnie ma mie miejsce na
wniosek Administratora Bezpiecze stwa Informacji) z okre leniem:
1) imienia i nazwiska oraz numeru ewidencyjnego pracownika,
2) przyczyny konieczno ci odebrania uprawnie .
2. Dokonanie przez Administratora Bezpiecze stwa Informacji uniewa nienia hasła,
zablokowania konta u ytkownika, odebrania wszelkich uprawnie do zasobów
systemu przypisanych do tego konta, wyrejestrowanie identyfikatora oraz likwidacji
konta. Czynno ci te powinny zosta wykonane w ci gu 2 godzin od chwili otrzymania
wniosku.
3. Potwierdzenie przez Administratora Bezpiecze stwa Informacji wykonania
stosownych czynno ci, przez zło enie własnor cznego podpisu w odpowiedniej
rubryce „Karty obiegowej” pracownika oraz w cz ci III decyzji – upowa nienia, o
której mowa w § 5 ust.2.
§ 15
1. Administrator Bezpiecze stwa Informacji prowadzi ewidencj osób zatrudnionych
przy przetwarzaniu danych osobowych.
2. Ewidencja, o której mowa w ust.1, obejmuje:
1) Lp.
2) Imi i nazwisko pracownika, komórka organizacyjna, stanowisko.
3) Dat nadania upowa nienia dost pu do danych osobowych, nr decyzji.
4) Dat ustania upowa nienia dost pu do danych osobowych.
5) Zakres upowa nienia dost pu do danych osobowych.
6) Identyfikator u ytkownika w systemie informatycznym.
7) Uwagi
Wzór ewidencji okre la zał cznik nr 4
4. Zał cznikami do ewidencji s :
1) Wniosek o nadanie, odebranie oraz zmian uprawnie .
2) Decyzja – upowa nienie wydane przez Administratora Danych.
3) Aneks do zakresu obowi zków, uprawnie i odpowiedzialno ci pracownika.
4) Pokwitowanie odebrania hasła tymczasowego przez pracownika.
5) Inne dokumenty zwi zane z procesem zarz dzania uprawnieniami
pracowników do dost pu do danych osobowych przetwarzanych w systemie
informatycznym.
5. Administrator Bezpiecze stwa Informacji jest zobowi zany do prowadzenia ewidencji
na bie co i doło enia wszelkich stara , aby była ona rzetelna i odzwierciedlała
istniej cy stan rzeczy.
Rozdział II
Stosowane metody i rodki uwierzytelnienia oraz procedury zwi zane z ich
zarz dzaniem i u ytkowaniem
§ 16
1. System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizm
uwierzytelniaj cy u ytkownika, wykorzystuj cy identyfikator i hasło.
2. System informatyczny musi posiada mechanizm wymuszaj cy zmian hasła po
upływie 30 dni od dnia ostatniej zmiany hasła.
3. System informatyczny musi posiada mechanizm pozwalaj cy na wymuszanie jako ci
hasła.
4. System informatyczny powinien posiada mechanizmy automatycznego generowania
przez Administratora Bezpiecze stwa Informacji haseł dla u ytkowników, które mog
by wł czone przez niego w uzasadnionych przypadkach.
5. System informatyczny słu cy do przetwarzania danych osobowych w Starostwie
Powiatowym w Pabianicach powinien posiada zaimplementowane mechanizmy
techniczne pozwalaj ce na:
1) Wymuszanie hasła tymczasowego.
2) Wymuszanie okresowej zmiany hasła.
3) Kontrol jako ci hasła.
4) Sprawdzanie, czy wprowadzone hasło ró ni si od pi ciu ostatnio
stosowanych.
§ 17
1. Dost p do systemu informatycznego jest mo liwy wył cznie po podaniu
identyfikatora i wła ciwego hasła.
2. Za przydzielenie identyfikatora u ytkownikowi odpowiada Administrator
Bezpiecze stwa Informacji.
3. Identyfikator jest w sposób jednoznaczny przypisany u ytkownikowi i nie mo e by
zmieniany.
4. Administrator Bezpiecze stwa Informacji prowadzi wykaz identyfikatorów wraz z
nazwiskiem i imieniem, której został on przydzielony.
5. Identyfikator nie mo e by powtórnie przydzielony innej osobie.
§ 18
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za wygenerowanie dla
nowego u ytkownika hasła tymczasowego.
2. Hasło tymczasowe powinno by przekazane u ytkownikowi za pokwitowaniem w
zamkni tej kopercie.
3. Przy pierwszym dost pie do systemu informatycznego przetwarzaj cego dane
osobowe hasło tymczasowe powinno zosta zmienione.
4. Zapisane hasło tymczasowe u ytkownik winien zniszczy .
§ 19
Hasło u ywane do dost pu do systemu informatycznego przetwarzaj cego dane osobowe
powinno spełnia poni ej opisane warunki:
1. Nie powinno by krótsze ni 8 znaków.
2. Powinno zawiera litery, cyfry i znaki specjalne.
3. Nie powinno by słowem ze słownika, imieniem, nazwiskiem, dat urodzenia,
numerem telefonu itp.
§ 20
1. Hasło jest zmieniane przez u ytkownika co najmniej raz na miesi c.
2. Nowe hasło powinno by ró ne od pi ciu ostatnio u ywanych przez pracownika haseł.
§ 21
U ytkownik jest zobowi zany do:
1. Nieujawniania hasła innym osobom.
2. Zachowania hasła w tajemnicy równie po wyga ni ciu jego wa no ci.
3. Niezapisywaniu hasła.
4. Przestrzegania zasad dotycz cych jako ci i cz stotliwo ci zmian hasła.
5. Wprowadzania hasła do systemu informatycznego przetwarzaj cego dane osobowe w
sposób minimalizuj cy ryzyko podejrzenia go.
§ 22
1. W przypadku zapomnienia hasła u ytkownik zwraca si do Administratora
Bezpiecze stwa Informacji o wygenerowanie nowego hasła tymczasowego.
2. Nowe hasło tymczasowe u ytkownik otrzymuje za pokwitowaniem w zamkni tej
kopercie i jest zobowi zany do jego zmiany po zalogowaniu si do systemu
informatycznego oraz do zniszczenia zapisanego hasła.
3. Fakt wygenerowania nowego hasła tymczasowego jest odnotowywany przez
Administratora Bezpiecze stwa Informacji.
§ 23
W wypadku wykorzystywania przez u ytkownika w systemie informatycznym
przetwarzaj cym dane osobowe kilku ró nych haseł ze wzgl du na wielopoziomowe
uwierzytelnienie (np. oddzielnie dla systemu operacyjnego i oddzielnie dla aplikacji)
reguły opisane w niniejszym rozdziale odnosz si do wszystkich poziomów
uwierzytelnienia.
§ 24
Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym
przetwarzaj cym dane osobowe posiadaj własne konta administracyjne, do których maj
przydzielone hasła. Zasady zarz dzania hasłami s analogiczne, jak w przypadku
zwykłych haseł u ytkowników.
§ 25
Administrator Bezpiecze stwa Informacji jest odpowiedzialny za nadzorowanie
funkcjonowania mechanizmów uwierzytelniaj cych.
Rozdział III
Procedury rozpocz cia, zawieszenia i zako czenia pracy przeznaczone dla
u ytkowników
§ 26
Rozpocz cie pracy w systemie informatycznym przetwarzaj cym dane osobowe odbywa si
poprzez:
1) Przygotowanie stanowiska pracy.
2) Wł czenie stacji roboczej
3) Wybranie odpowiedniej opcji umo liwiaj cej logowanie do systemu.
4) Zalogowanie si do systemu przez wprowadzenie swojego identyfikatora i hasła.
§ 27
1. Rozpocz cie pracy u ytkownika w systemie informatycznym obejmuje wprowadzenie
identyfikatora i hasła w sposób minimalizuj cy ryzyko podejrzenia przez osoby
nieupowa nione oraz ogólne stwierdzenie poprawno ci działania systemu.
2. U ytkownik powinien powiadomi Administratora Bezpiecze stwa Informacji
zgodnie z instrukcj post powania w sytuacji naruszenia ochrony danych osobowych,
je eli:
1) Wygl d aplikacji odbiega od stanu normalnego.
2) Pewne opcje dost pne u ytkownikowi w normalnej sytuacji, przestały by
dost pne lub te pewne opcje, niedost pne w normalnej sytuacji, stały si
dost pne.
3) Sposób działania aplikacji znacz co odbiega od normalnego stanu.
4) Zakres danych lub sposobu ich przedstawiania przez aplikacj odbiega od
stanu normalnego.
§ 28
1.
2.
System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizmy
pozwalaj ce na okre lenie uprawnie u ytkownika do korzystania z przetwarzanych
informacji.
Uprawnienia, o którym mowa w ust.1, mog w szczególno ci obejmowa :
1)
Prawo do odczytu danych.
2)
Prawo do odczytu warto ci statystycznych dla okre lonej populacji danych,
3)
Prawo do modyfikacji istniej cych danych.
4)
Prawo do usuwania danych.
5)
Prawo do przekazywania (przesyłania) danych.
§ 29
1. Precyzja okre lania uprawnie
jest uzale niona od specyfiki systemu
informatycznego, w którym przetwarzane s dane osobowe i wyników analizy ryzyka.
2. Uprawnienia, o których mowa w ust.1, mog by uzale nione od:
1) Identyfikatora zbioru danych.
2) Semantyki danych.
3) Historii dost pu do danych.
4) Identyfikatora stacji roboczej, z której korzysta u ytkownik.
5) Czasu, w jaki u ytkownik korzysta z danych.
6) Innych u ytkowników korzystaj cych w tym samym czasie z danych.
7) Identyfikatorów ewentualnych odbiorców danych.
8) Przypisanie identyfikatorowi u ytkownika roli, której zostały przypisane
przywileje.
9) Wł czenie identyfikatora u ytkownika do grupy, dla której okre lono
przywileje.
§ 30
1. W systemie informatycznym przetwarzaj cym dane osobowe nowo stworzony
identyfikator u ytkownika nie powinien posiada adnych praw do korzystania z
przetwarzanych zasobów informacyjnych.
2. Nadanie przywilejów odbywa si explicite i odpowiedzialny jest za to Administrator
Bezpiecze stwa Informacji.
§ 31
1. Ka dy dost p u ytkownika do zasobów informacyjnych przetwarzanych w systemie
informatycznym musi by poprzedzony weryfikacj uprawnie u ytkownika.
2. System informatyczny powinien posiada mechanizm pozwalaj cy na odebranie
u ytkownikowi wszystkich uprawnie do przetwarzanych zasobów informacyjnych.
§ 32
1. System informatyczny przetwarzaj cy dane osobowe powinien, w miar technicznych
mo liwo ci, posiada mechanizmy umo liwiaj ce okre lenie uprawnie
do
przekazywania informacji innym u ytkownikom, pozwalaj ce na kontrol przepływu
informacji.
2. Uprawnienia, o których mowa w ust.1, w szczególno ci powinny okre la :
1) Rodzaj i zakres danych osobowych.
2) Identyfikatory odbiorców danych osobowych.
§ 33
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie
efektywnych metod autoryzacji u ytkowników w poszczególnych elementach systemu
informatycznego przetwarzaj cego dane osobowe, w sposób zapewniaj cy wła ciwy
poziom bezpiecze stwa i wydajno ci systemu, z uwzgl dnieniem pokrywania si
zakresów funkcjonalno ci pewnych metod.
2. W szczególno ci Administrator Bezpiecze stwa Informacji winien uwzgl dni
mechanizmy autoryzacji u ytkowników w:
1) Systemach operacyjnych.
2) Systemach zarz dzania bazami danych.
3) Aplikacjach.
4) Aktywnych elementach sieciowych i oprogramowaniu wspieraj cym kontrol
przepływu danych w sieci informatycznej.
§ 34
Administrator Bezpiecze stwa Informacji jest odpowiedzialny
funkcjonowaniem mechanizmów autoryzacji u ytkowników.
za
nadzór
nad
§ 35
Zako czenie pracy w systemie informatycznym przetwarzaj cym dane osobowe odbywa si
poprzez:
1) Zamkni cie aplikacji.
2) Odł czenie si od zasobów systemowych.
3) Zamkni cie systemu operacyjnego.
4) Wył czenie stacji roboczej.
§ 36
1. Zabrania si u ytkownikom pracuj cym w systemie informatycznym przetwarzaj cym
dane osobowe :
1) Udost pniania stacji roboczej osobom nieupowa nionym.
2) Udost pniana stacji roboczej do konserwacji lub naprawy bez porozumienia z
Administratorem Bezpiecze stwa Informacji.
3) U ywania nielicencjonowanego oprogramowania komputerowego.
2. Zasady u ytkowania oprogramowania komputerowego w Starostwie Powiatowym
w Pabianicach okre la odr bne zarz dzenie Starosty Pabianickiego.
Rozdział IV
Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz
programów i narz dzi programowych słu cych do ich przetwarzania
§ 37
1. Dane osobowe przetwarzane w systemie informatycznym podlegaj zabezpieczeniu
poprzez tworzenie kopii zapasowych.
2. Za proces tworzenia kopii zapasowych odpowiada Administrator Bezpiecze stwa
Informacji.
3. W szczególno ci Administrator Bezpiecze stwa Informacji okre la:
1) Cz stotliwo tworzenia kopii zapasowych wynikaj c z cz stotliwo ci
wprowadzania zmian do zabezpieczanych danych,
2) Techniczny sposób tworzenia kopii zapasowych, w szczególno ci sprz t,
oprogramowanie i no niki, których wykorzystanie uzasadnione jest
mo liwo ci współpracy z istniej c w Starostwie Powiatowym w Pabianicach
infrastruktur informatyczn oraz wielko ci danych osobowych, które
podlegaj zabezpieczeniu poprzez utworzenie kopii,
3) Rodzaj kopii zapasowych (pełne, przyrostowe, ró nicowe).
§ 38
Administrator Bezpiecze stwa Informacji jest odpowiedzialny za:
1. Wyznaczenie grafiku tworzenia kopii zapasowych, z uwzgl dnieniem wymaga w
zakresie cz stotliwo ci ich tworzenia.
2. Proces tworzenia kopii zapasowych.
3. Proces weryfikacji poprawno ci utworzenia kopii zapasowych.
4. Okresowe – z cz stotliwo ci uzale nion od czasu przechowywania kopii –
testowanie mo liwo ci odtworzenia danych z kopii zapasowych.
5. Zabezpieczenie dostaw no ników wykorzystywanych do tworzenia kopii zapasowych.
6. Koordynacj procesu odtwarzania danych w razie wyst pienia awarii.
§ 39
1. No niki kopii zapasowych s przechowywane w pomieszczeniu innym ni to, w
którym znajduje si sprz t informatyczny przetwarzaj cy dane osobowe.
2. Pomieszczenie, w którym przechowywane s kopie zapasowe, powinno by
zabezpieczone ze wzgl du na:
1) Ochron przed dost pem osób nieupowa nionych.
2) Ochron przed niewła ciwymi warunkami klimatycznymi (temperatura,
wilgotno ).
3) Ochron przed promieniowaniem elektromagnetycznym.
4) Ochron przed zalaniem (np. na skutek awarii sieci wodoci gowej).
2. No niki kopii zapasowych powinny by przechowywane w ogniotrwałym sejfie.
3. Przy przenoszeniu no ników kopii zapasowych z miejsca ich tworzenia do miejsca
przechowywania nale y zabezpieczy je przed kradzie , zagubieniem lub
zniszczeniem. No niki powinny by przenoszone w zamkni tym pojemniku, przez
dwie, upowa nione do tego przez Administratora Bezpiecze stwa Informacji, osoby.
§ 40
1. W Starostwie Powiatowym w Pabianicach wykonywane s kopie zapasowe
nast puj cych zbiorów:
1) zawieraj ce dane osobowe,
2) zawieraj ce dane słu ce do prawidłowego funkcjonowania systemu
informatycznego Starostwa Powiatowego w Pabianicach,
3) zawieraj ce inne dane wytwarzane przez pracowników Starostwa
Powiatowego w Pabianicach i przechowywane na serwerze/ serwerach
Starostwa Powiatowego w Pabianicach na podstawie odr bnych przepisów.
2. Kopie zapasowe zawieraj ce tworzy si w nast puj cy sposób:
1) Raz na miesi c wykonywana jest pełna kopia zapasowa wszystkich zbiorów
zawieraj cych dane osobowe. Kopie te wykonywane s na no nikach
magnetycznych przy pomocy odpowiednich urz dze (streamer). Kopie
miesi czne przechowywane s przez okres nie krótszy ni 3 miesi ce i nie
dłu szy ni pół roku. O okresie przechowywania tych kopii decyduje
Administrator Bezpiecze stwa Informacji.
2) Codziennie wykonywana jest kopia zapasowa wszystkich zbiorów
zawieraj cych dane osobowe. Pełny cykl kopii przyrostowej wynosi od pi ciu
do siedmiu dni, w zale no ci od decyzji Administratora Bezpiecze stwa
Informacji.
3) Kopia zapasowa zbiorów, o których mowa w ust.1 pkt. 2 wykonywana jest
przy ka dej zmianie maj cej znaczenie dla prawidłowego funkcjonowania
systemu informatycznego Starostwa Powiatowego w Pabianicach. Kopie te nie
mog zawiera adnych zbiorów zawieraj cych dane osobowe. Kopie te
przechowywane s na no nikach optycznych (płytach CD). Okres
przechowywania ka dej kopii okre la za ka dym razem Administrator
Bezpiecze stwa Informacji, jednak nie mo e by on krótszy ni 3 miesi ce. Na
ka dym no niku musi by wyra nie zapisana data sporz dzenia kopii oraz
przewidywana data jej zniszczenia.
4) Raz na 6 miesi cy wykonywana jest pełna kopia zapasowa zbiorów, o których
mowa w ust. 1 pkt 1- 3. Kopie wykonywane s na no nikach magnetycznych
(kasetach) przy pomocy odpowiednich urz dze (streamer). Kopie te s
przechowywane przez okres dwóch lat.
5) Po przekroczeniu okresu przechowywania kopii zapasowych, o których mowa
w pkt 1- 4 no niki wykorzystane do ich sporz dzenia s w zale no ci od
dalszej przydatno ci no nika wykorzystywane ponownie b d niszczone.
§ 41
Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzaj cym
dane osobowe tworzone s w nast puj cy sposób:
1. Kopia zapasowa aplikacji przetwarzaj cej dane osobowe – pełna kopia wykonywana
jest po wprowadzeniu zmian do aplikacji, kopie umieszcza si na no nikach
optycznych, kopia wyst puje w dwóch egzemplarzach, przy czym jeden egzemplarz
przechowywany jest pomieszczeniu wskazanym w § 4, a drugi w Powiatowym
O rodku Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach przy ul.
Ko ciuszki 24.
2. Kopia zapasowa danych osobowych przetwarzanych przez aplikacj – pełna kopia
wykonywana jest raz w miesi cu w dwóch egzemplarzach, oba s przechowywane w
Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w § 4,
druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie
wykonywana jest kopia przyrostowa lub ró nicowa ( w zale no ci od specyfiki zmian
informacji w systemie informatycznym) w jednym egzemplarzu przechowywana w
Starostwie Powiatowym w Pabianicach. Rodzaj wykonywanej codziennej kopii
okre la Administrator Bezpiecze stwa Informacji. Kopie wykonywane s na no niku
magnetycznym (kaseta).
3. Kopia
zapasowa
danych
konfiguracyjnych
systemu
informatycznego
przetwarzaj cego dane osobowe, w tym uprawnie systemu – pełna kopia
wykonywana jest raz na miesi c w dwóch egzemplarzach, oba s przechowywane w
Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w § 4,
druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie mo e by
wykonywana kopia ró nicowa w jednym egzemplarzu, o ile dane konfiguracyjne
uległy zmianom. Kopie wykonywane s na no niku magnetycznym (kaseta).
4. Do tworzenia kopii zapasowych wykorzystywane s dedykowane do tego celu
urz dzenia wchodz ce w skład systemu informatycznego.
§ 42
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za tworzenie grafiku
okre laj cego kto, w jakie dni i o jakich godzinach tworzy kopie zapasowe.
2. Grafik, o którym mowa w ust.1, obowi zuje na dany tydzie i jest publikowany
najpó niej w czwartek poprzedniego tygodnia.
3. W razie konieczno ci wprowadzenia zmian w grafiku Administrator Bezpiecze stwa
Informacji wprowadza jak najszybciej stosowne zmiany.
4. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za dostarczanie grafiku
wyznaczonym osobom oraz dopilnowanie jego realizacji.
5. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za dokonywanie
okresowych zakupów no ników kopii zapasowych.
§ 43
Administrator Bezpiecze stwa Informacji jest odpowiedzialny za tworzenie dokumentacji
zarz dzania kopiami zapasowymi obejmuj cej:
1. Zapis faktu utworzenia kopii, z uwzgl dnieniem typu kopii i zakresu danych
dzi ki niej zabezpieczonych.
2. Miejsce składowania kopii.
3. Wykonane testy odtworzeniowe z wykorzystaniem kopii zapasowej.
4. Wykorzystanie kopii zapasowej do odtworzenia danych w wyniku awarii.
5. Zniszczenie danych przechowywanych na no niku.
§ 44
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za prowadzenie
ewidencji no ników u ytych do przechowywania kopii zapasowych
2. Zapisy w ewidencji, o której mowa w ust.1, uwzgl dniaj numery ewidencyjne
no ników. S one zapisywane w postaci:
D1/S/T/D2
gdzie:
D1 – dzie utworzenia kopii,
S–
oznaczenie systemu, z którego dane zostały zapisane na kopii zapasowej lub
zakresu danych,
T - typ kopii zapasowej (pełny, przyrostowy, ró nicowy),
D2 - dzie utworzenia kolejnej kopii.
§ 45
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przeprowadzanie
testów mo liwo ci odtworzenia danych z kopii zapasowych.
2. Administrator Bezpiecze stwa Informacji w celu przeprowadzenia testów, o których
mowa w ust.1, zabezpiecza platform sprz towo – programow .
3. Testy przeprowadzane s raz na pół roku i obejmuj sprawdzanie mo liwo ci
odtworzenia przechowywanych danych osobowych oraz danych konfiguracyjnych.
4. Administrator Bezpiecze stwa Informacji sporz dza protokół potwierdzaj cy
wykonanie testów, uwzgl dniaj cy:
1) Imi i nazwisko osoby przeprowadzaj cej test,
2) Powodzenie lub niepowodzenie odtworzenia danych z kopii zapasowej,
3) Czas potrzebny na odtworzenie danych,
4) Problemy, które pojawiły si w czasie wykonywania testu.
2. Negatywne wyniki testu lub zaistnienie problemów w trakcie odtwarzania danych
mo e sta si podstaw do zmiany sposobu tworzenia kopii zapasowej w Starostwie
Powiatowym w Pabianicach lub zmiany technologii wykorzystywanej do tworzenia
kopii (urz dzenia, no niki).
3. W przypadku wyst pienia negatywnych wyników lub problemów Administrator
Bezpiecze stwa Informacji jest odpowiedzialny za przeprowadzenie analizy przyczyn
i podj cia działa w celu zmniejszenia ryzyka utraty danych poprzez brak mo liwo ci
odtworzenia kopii.
Rozdział V
Sposób, miejsce i okres przechowywania elektronicznych no ników
informacji zawieraj cych dane osobowe oraz kopii zapasowych
§ 46
1. No niki danych osobowych zarówno w postaci elektronicznej, jak i papierowej winny
by zabezpieczone przed dost pem osób nieupowa nionych, nieautoryzowan
modyfikacj i zniszczeniem.
2. Dane osobowe mog by zapisywane na no nikach przeno nych w przypadku
tworzenia kopii zapasowych lub gdy istnieje konieczno przeniesienia tych danych w
postaci elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest
nieuzasadnione, niemo liwe lub zbyt niebezpieczne.
3. Administrator Bezpiecze stwa Informacji prowadzi ewidencj no ników przeno nych
u ywanych do zapisu danych osobowych z uwzgl dnieniem:
1) Numeru ewidencyjnego no nika,
2) Rodzaju informacji zapisanych na no niku,
3) Nazwiska lub identyfikatora osoby, na której wniosek zapisano no nik,
4) Nazwiska lub identyfikatora osoby, która pierwotnie zapisała dane na no niku,
5) Daty pierwotnego zapisania danych na no niku,
6) Celu, w jakim dane te zostały zapisane,
7) Nazwisk lub identyfikatorów osób, które odczytywały lub modyfikowały dane
zapisane na no niku, oraz dat, kiedy operacje te miały miejsce,
8) Miejsca przechowywania no nika,
9) Adnotacji o zniszczeniu no nika lub zapisanych na nim danych.
§ 47
1. No niki przeno ne (takie jak dyskietki, CD- ROMy itp.), na których przechowywane
s dane osobowe podlegaj cisłej ewidencji i kontroli.
2. Ka dy no nik posiada numer ewidencyjny, postaci DO – XXX - YYY, gdzie XXX
oznacza nazw komórki organizacyjnej, w której zapisano dane na no niku, za YYY –
kolejny numer no nika w tej komórce organizacyjnej.
§ 48
Administrator Bezpiecze stwa Informacji sprawuje kontrol nad miejscem przechowywania
no ników przeno nych zawieraj cych dane osobowe oraz dost pem do nich pracowników
Starostwa Powiatowego w Pabianicach lub innych osób.
§ 49
Zapisanie danych osobowych na no niku przeno nym mo e nast pi tylko w sytuacji, gdy
operacja taka jest uzasadniona, w szczególno ci ze wzgl du na:
1. Tworzenie kopii zapasowych danych osobowych przetwarzanych w systemie
informatycznym.
2. Przenoszenie danych osobowych, je eli przesyłanie ich z wykorzystaniem sieci
informatycznych jest zbyt niebezpieczne, niemo liwe lub zbyt skomplikowane ze
wzgl dów technicznych lub organizacyjnych.
§ 50
1. No nik przeno ny mo e by wykorzystany do przenoszenia danych osobowych pod
warunkiem zabezpieczenia go przed kradzie lub utrat .
2. No nik mo e by przekazywany tylko pomi dzy osobami upowa nionymi do
przetwarzania danych osobowych.
3. No nik podlega szyfrowaniu, w szczególno ci gdy jest u ywany do przenoszenia
danych osobowych poza terenem Starostwa Powiatowego w Pabianicach.
4. W przypadkach uzasadnionych wynikami analizy ryzyka stosuje si podział danych
pomi dzy kilka no ników w taki sposób, aby niemo liwe było odczytanie danych w
sytuacji posiadania tylko jednego z nich.
5. Administrator Bezpiecze stwa Informacji zapewni odpowiednie mechanizmy
techniczne pozwalaj ce na wła ciwe zabezpieczenie no ników przeno nych.
§ 51
No nik przeno ny mo e znajdowa si poza terenem Starostwa Powiatowego w
Pabianicach w sytuacji gdy:
1) Jest to kopia zapasowa, któr zgodnie z obowi zuj cymi przepisami
przechowuje si poza terenem Starostwa Powiatowego w Pabianicach.
2) Jest on przenoszony, a charakter transportu wymaga, aby znalazł si poza
terenem Starostwa Powiatowego w Pabianicach.
3) Został on przekazany innemu podmiotowi, któremu Starosta Pabianicki jako
Administrator Danych, był obowi zany lub uprawniony przekaza dane
osobowe. Przekazanie no nika innemu podmiotowi wymaga zgody Starosty
Pabianickiego z uwzgl dnieniem:
a) wskazania osoby przekazuj cej no nik,
b) wskazania osoby odbieraj cej no nik,
c) potwierdzenia faktu przekazania no nika wraz z opisem jego
zawarto ci. Za przechowywanie potwierdze przekazania no nika
odpowiada Administrator Bezpiecze stwa Informacji.
§ 52
1. Wydruki z danymi osobowymi oznaczane s numerami ewidencyjnymi w postaci DO
– W – XXX - YYY, gdzie XXX oznacza nazw komórki organizacyjnej Starostwa
Powiatowego w Pabianicach, w której stworzono wydruk, za YYY – kolejny numer
wydruku stworzonego w tej komórce organizacyjnej.
2. Administrator Bezpiecze stwa Informacji prowadzi ewidencj wydruków danych
osobowych ze szczególnym uwzgl dnieniem faktu przekazania wydruku poza teren
Starostwa Powiatowego w Pabianicach.
3. Ewidencja, o której mowa w ust.2, winna obejmowa :
1) Numer ewidencyjny wydruku,
2) Rodzaj informacji na wydruku,
3) Nazwisko lub identyfikator osoby, która sporz dziła wydruk,
4) Dat pierwotnego zapisania danych na no niku,
5) Cel, w jakim wydruk został sporz dzony,
6) Miejsce przechowywania no nika,
7) Adnotacj o przekazaniu wydruku poza teren Starostwa Powiatowego w
Pabianicach lub zniszczenia wydruku.
2. Ewidencja wydruków sporz dzana jest w celu rozliczalno ci procesów przetwarzania
informacji w systemie informatycznym przetwarzaj cym dane osobowe.
§ 53
1. No niki danych osobowych oraz wydruki powinny by przechowywane w
zamkni tych szafkach wewn trz obszaru przeznaczonego do przetwarzania danych
osobowych i nie powinny by bez uzasadnionej potrzeby wynoszone poza ten obszar.
2. Przekazywanie no ników danych osobowych i wydruków poza teren Starostwa
Powiatowego w Pabianicach mo e odbywa si zgodnie z obowi zuj cymi
przepisami.
§ 54
1. Kopie zapasowe przechowywane s na terenie Starostwa Powiatowego w Pabianicach
w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska,
Rolnictwa i Le nictwa Starostwa Powiatowego w Pabianicach, przeznaczonym tylko i
wył cznie do przechowywania kopii zapasowych. Klucze od tego sejfu posiadaj
Administrator Bezpiecze stwa Informacji i Sekretarz Powiatu.
2. Je eli obowi zuj ce przepisy zobowi zuj do sporz dzania dwóch kopii zapasowych,
druga kopia przechowywana jest w Powiatowym O rodku Dokumentacji Geodezyjnej
i Kartograficznej w Pabianicach przy ul. Ko ciuszki 25. Klucze od szafy posiadaj
Administrator Bezpiecze stwa Informacji i Dyrektor Powiatowego O rodka
Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach.
3. Kopie zapasowe danych osobowych przetwarzanych w budynkach A, B i C Starostwa
Powiatowego w Pabianicach, mog by przechowywane w pomieszczeniach w szafie
metalowej umieszczonej w pokoju Naczelnika Wydziału Komunikacji i Transportu.
Klucze od szafy posiadaj Administrator Bezpiecze stwa Informacji i Naczelnik
Wydziału Komunikacji.
§ 55
1. Je eli odr bne przepisy nie stanowi inaczej, w zale no ci od rodzaju
przechowywanych informacji Administrator Bezpiecze stwa Informacji jest
odpowiedzialny za indywidualne okre lenie wymaganego czasu przechowywania
no ników danych osobowych, wydruków, jak równie danych osobowych w systemie
informatycznym.
2. Administrator Bezpiecze stwa Informacji okresowo publikuje list rodzajów
informacji wraz z wymaganym czasem przechowywania danych osobowych.
3. Lista, o której mowa w ust.2, dystrybuowana jest w ród wszystkich pracowników
upowa nionych do przetwarzania danych osobowych w systemie informatycznym.
4. W przypadku gdy informacje zawarte w wytworzonym dokumencie nie znajduj si
na li cie, o której mowa w ust. 2, lub istniej w tpliwo ci co do ich zakwalifikowania,
osoba, na której wniosek sporz dzono dokument, zobowi zana jest zwróci si w
przeci gu 3 dni roboczych do Administratora Bezpiecze stwa Informacji celem
okre lenia wymaganego czasu przechowywania dokumentu.
§ 56
1. Dane osobowe przechowywane na no nikach przeno nych, je eli nie s dłu ej
potrzebne, podlegaj procesowi bezpiecznego niszczenia.
2. Je eli charakter no nika nie pozwala na usuni cie z niego danych, no nik podlega
trwałemu zniszczeniu.
3. Trwałe zniszczenie danych lub no nika odbywa si na zlecenie osoby, na której
wniosek no nik zapisano, lub na zlecenie Administratora Bezpiecze stwa Informacji.
Rozdział VI
Sposób zabezpieczenia systemu informatycznego przed działalno ci
oprogramowania, którego celem jest uzyskanie nieuprawnionego dost pu
do systemu informatycznego
§ 57
1. System informatyczny przetwarzaj cy dane osobowe powinien by wyposa ony w
mechanizmy ochrony antywirusowej, o ile:
1) System operacyjny wykorzystywany do przetwarzania danych osobowych lub
aplikacje bior ce udział w ich przetwarzaniu s nara one na wyst powanie
wirusów.
2) Istnieje mo liwo wprowadzenia do systemu informatycznego wirusów z
zewn trz – za po rednictwem sieci informatycznej lub no ników przeno nych.
2. System informatyczny w Starostwie Powiatowym w Pabianicach chroniony b dzie
przed działaniem wirusów komputerowych aktualnym oprogramowaniem
antywirusowym aktualizowanym na bie co.
3. W celu przeciwdziałania wirusom i atakom zainfekowanych plików system
Informatyczny b dzie skanowany przez Administratora Bezpiecze stwa Informacji co
24 godziny pod k tem obecno ci w systemie wirusów i innych zagro e .
§ 58
Mechanizmy ochrony antywirusowej wykorzystywane w systemie informatycznym
przetwarzaj cym dane osobowe winny cechowa si :
1. Mo liwo ci analizy danych wprowadzanych do systemu informatycznego za
po rednictwem sieci informatycznej poprzez analiz ruchu sieciowego i/lub integracj
z aplikacjami słu cymi do wymiany danych przy pomocy sieci informatycznej.
2. Mo liwo ci analizy no ników danych u ywanych do przenoszenia danych do
systemu informatycznego.
3. Mo liwo ci przeprowadzania analizy wybranych katalogów z zapisanymi plikami
pod k tem istnienia zagro enia ze strony wirusów.
4. Mechanizmowi pozwalaj cemu na centralne zarz dzanie systemem antywirusowym.
5. Uaktualnianiem wzorców wirusów we wszystkich modułach systemu antywirusowego
z jednego centralnego punktu.
6. Mo liwo ci automatycznego uruchamiania si modułów analizuj cych zapisane dane
pod k tem istnienia wirusów w zale no ci od czasu lub zaistniałego zdarzenia.
Posiadaniem przez moduły systemu antywirusowego, w szczególno ci zainstalowane
na stacjach roboczych u ytkowników, cech uniemo liwiaj cych wył czenie ich
funkcjonowania przez osob inn ni upowa nion przez Administratora
Bezpiecze stwa Informacji.
7. Zarówno lokalnym, jak i centralnym zapisem wyników analizy, w szczególno ci faktu
wykrycia wirusa, jego specyfiki i usuni cia (o ile było ono mo liwe).
§ 59
1. W celu zapewnienia ochrony antywirusowej Administrator Bezpiecze stwa
Informacji jest odpowiedzialny za zarz dzanie systemem wykrywaj cym i
usuwaj cym wirusy i inne niebezpieczne kody.
2. System antywirusowy powinien by skonfigurowany w nast puj cy sposób:
1) Skanowanie dysków zawieraj cych potencjalnie niebezpieczne kody przy
wł czeniu komputera lub raz dziennie,
2) Skanowanie informacji przesyłanych do systemu informatycznego pod k tem
pojawienia si niebezpiecznych kodów – na bie co.
2. Administrator Bezpiecze stwa Informacji ponadto powinien wydzieli obszary
przestrzeni dyskowej, w której przechowywane s dane w formacie niepodlegaj cym
infekcji. Cz stotliwo skanowania tych obszarów jest uzale niona od ich rozmiaru, w
szczególno ci mo e by ona ograniczona do sprawdzenia, czy format wyst puj cych
tam danych nie pozwala na ich zainfekowanie.
§ 60
Administrator Bezpiecze stwa Informacji jest odpowiedzialny za:
1. Instalacj i konfiguracj systemu antywirusowego na wszystkich elementach systemu
informatycznego przetwarzaj cego dane osobowe, na których instalacja jest
uzasadniona wynikami analizy ryzyka.
2. Uaktualnianie wzorców wirusów.
3. Analiz wyników działania systemu antywirusowego i reagowanie na fakt wykrycia
wirusa poprzez:
1) Okre lenie ródła infekcji,
2) Usuni cie wirusa, o ile nie zostało automatycznie wykonane przez system
antywirusowy,
3) Podj cie kroków minimalizuj cych ryzyko rozprzestrzeniania si wirusa,
4) Podj cie działa zmierzaj cych do zapobie enia tego rodzaju wypadkom w
przyszło ci.
2. Zarz dzanie systemem antywirusowym, w tym okre lenie warunków działania
systemu, aby zapewni jego maksymaln efektywno przy jednoczesnej mo liwie
najwi kszej minimalizacji negatywnego wpływu działania systemu antywirusowego
na korzystanie przez u ytkowników z systemu antywirusowego.
§ 61
Systemy antywirusowe zainstalowane na stacjach roboczych powinny by skonfigurowane w
nast puj cy sposób:
1. Zablokowanie mo liwo ci ingerencji u ytkownika w ustawienia w ustawienia
oprogramowania antywirusowego.
2. Mo liwo centralnego uaktualniania wzorców wirusów.
3. Mo liwo centralnego zbierania informacji o wynikach pracy oprogramowania.
4. Mo liwo centralnej konfiguracji oprogramowania.
§ 62
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za aktualizacj
wzorców wirusów.
2. System antywirusowy powinien by aktualizowany na podstawie materiałów
publikowanych przez producenta oprogramowania.
§ 63
1. W przypadku wyst pienia infekcji i braku mo liwo ci automatycznego usuwania
wirusów przez system antywirusowy, Administrator Bezpiecze stwa Informacji
winien podj działania zmierzaj ce do usuni cia zagro enia.
2. Działania, o których mowa w ust.1, w szczególno ci mog obejmowa :
1) Usuni cie zainfekowanych plików, o ile jest to akceptowane ze wzgl du na
prawidłowe funkcjonowanie systemu informatycznego,
2) Odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane
zapisane na kopiach nie s zainfekowane,
3) Samodzieln ingerencj w zawarto pliku – w zale no ci od posiadanych
kwalifikacji lub skonsultowanie si z zewn trznymi ekspertami.
Rozdział VII
Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4
rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29
kwietnia 2004 r
§ 64
1. System informatyczny przetwarzaj cy dane osobowe musi posiada mechanizmy
pozwalaj ce na odnotowanie faktu wykonania operacji na danych.
2. Zapis, o którym mowa w ust.1, powinien w szczególno ci obejmowa :
1) rozpocz cie i zako czenie pracy przez u ytkownika w systemie
informatycznym.
2) Operacje wykonywane na przetwarzanych danych, w szczególno ci:
a) odczyt, w tym odczyt danych statystycznych,
b) modyfikacj lub zapis,
c) udost pnianie,
d) usuni cie.
3) Przesyłanie danych przetwarzanych w systemie informatycznym innym
u ytkownikom lub podmiotom.
4) Nieudane próby dost pu do systemu informatycznego przetwarzaj cego dane
osobowe oraz nieudane próby wykonania operacji na danych osobowych
przetwarzanych w systemie informatycznym.
5) Bł dy w działaniu systemu informatycznego podczas pracy danego
u ytkownika.
§ 65
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okre lenie i
przypisanie poszczególnym zdarzeniom stopnia krytyczno ci, odzwierciedlaj cego
znaczenie operacji wykonanej przez u ytkownika lub zaistniałego zdarzenia dla
bezpiecze stwa przetwarzanych danych osobowych.
2. Stosuje si nast puj ce stopnie krytyczno ci:
1) krytyczne – operacja lub zdarzenie mo e mie krytyczne znaczenie dla
bezpiecze stwa przetwarzanych danych osobowych lub prawidłowego
funkcjonowania systemu informatycznego przetwarzaj cego dane osobowe.
2) Istotne – operacja lub zdarzenie w istotny sposób wpływa na dane osobowe i
mo liwo ich poprawnego i bezpiecznego przetwarzania.
3) Normalne – operacja lub zdarzenie wyst puje normalnie w przypadku
przetwarzania w systemie informatycznym danych osobowych i nie ma
specjalnego wpływu na ich bezpiecze stwo.
§ 66
Zapis działa u ytkowników uwzgl dnia:
1. Identyfikator u ytkownika.
2. Dat i czas, w jakim zdarzenie miało miejsce.
3. Identyfikator stacji roboczej, z której korzysta u ytkownik.
4. Rodzaj zdarzenia.
5. Okre lenie informacji, których zdarzenie dotyczy – w zale no ci od mo liwo ci
technicznych okre lenie to mo e obejmowa zbiór danych, rekordy, które u ytkownik
przetwarzał lub poszczególne atrybuty w rekordach, które u ytkownik przetwarzał.
6. Okre lenie stopnia krytyczno ci zdarzenia.
§ 67
1. Zapis działa u ytkowników powinien by prowadzony w taki sposób, aby mo liwe
było łatwe przeanalizowanie zapisanych operacji lub zdarze ze wzgl du na ich
stopie krytyczno ci
2. System informatyczny powinien posiada mechanizmy automatyczne powiadomienia
Administratora Bezpiecze stwa Informacji o zaistnieniu zdarzenia krytycznego.
3. Mechanizmy, o których mowa w ust.2, mog obejmowa wy wietlanie komunikatu na
stacji roboczej Administratora Bezpiecze stwa Informacji, przesyłanie wiadomo ci
poczt elektroniczn itp.
§ 68
1. Zapis operacji uwzgl dnia równie odnotowywanie wprowadzenia danych osobowych
dla ka dej osoby, której dane s przetwarzane w systemie informatycznym.
2. Zapis operacji, o którym mowa w ust.1 obejmuje:
1) Okre lenie danych osobowych.
2) Dat i czas wprowadzenia danych osobowych.
3) ródło pochodzenia danych osobowych, je eli mog one pochodzi z ró nych
ródeł.
4) Identyfikator u ytkownika wprowadzaj cego dane osobowe.
5) Identyfikator stacji roboczej, z której dane te zostały wprowadzone.
§ 69
Zapis operacji i zdarze powinien by prowadzony z uwzgl dnieniem:
1. Ochrony przed dost pem do niego osób nieupowa nionych.
2. Ochrony przed wprowadzaniem nieautoryzowanych zmian w zapisie zdarze .
3. Zabezpieczenia integralno ci przechowywanych w zapisie operacji i zdarze
informacji oraz wprowadzenia mechanizmów pozwalaj cych wykrycie zafałszowania
we wprowadzonych danych.
4. Zabezpieczenia mechanizmów zapisu operacji i zdarze przed przypadkowym lub
celowym zablokowaniem ich działania.
5. Ochrony zapisu operacji lub zdarze przed przypadkowym lub celowym usuni ciem
zapisu.
6. Okresowej archiwizacji zapisanych operacji i zdarze i przechowywania kopii
zapasowych z uwzgl dnieniem zabezpieczenia ich poufno ci, integralno ci i
dost pno ci.
7. Mo liwo ci wydruku zapisu zdarze w formie czytelnej.
§ 70
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okresowe
przeprowadzanie analizy zapisu operacji i zdarze w celu:
1) Wykrycia potencjalnych narusze bezpiecze stwa danych osobowych
przetwarzanych w systemie informatycznym.
2) Weryfikacji zgodno ci sposobu wykorzystania przez u ytkowników systemu
informatycznego przetwarzaj cego dane osobowe z okre lonymi, w procesie
nadawania uprawnie do korzystania z tego systemu, celami.
3) Wykrycia potencjalnych niesprawno ci w funkcjonowaniu systemu
informatycznego.
4) Optymalizacji działania systemu informatycznego przetwarzaj cego dane
osobowe.
5) Wykrycia potencjalnych podatno ci na zagro enia zwi zane z przetwarzaniem
danych osobowych oraz podj cia działa w celu wzmocnienia mechanizmów
zabezpieczaj cych.
2. Mechanizm zapisu operacji i zdarze powinien by wyposa ony w narz dzia
umo liwiaj ce efektywne przeprowadzanie analiz, o których mowa w ust.1, w tym
równie bada statystycznych.
Rozdział VIII
Procedury wykonywania przegl dów i konserwacji systemów oraz
no ników informacji słu cych do przetwarzania danych
§ 71
1. Wszelkie prace zwi zane z naprawami i konserwacj systemu informatycznego
przetwarzaj cego dane osobowe musz uwzgl dnia zachowanie wymaganego
wysokiego poziomu bezpiecze stwa tych danych przed dost pem do nich osób
nieupowa nionych.
2. Decyzje o przeprowadzeniu naprawy lub/i konserwacji systemu informatycznego
przetwarzaj cego dane osobowe, podejmowa mo e Administrator Bezpiecze stwa
Informacji lub osoba przez niego upowa niona.
§ 72
1. Prace serwisowe mog by wykonywane wył cznie przez firmy, z którymi została
podpisana stosowna umowa normuj ca w szczególno ci zasady ochrony danych
osobowych.
2. Umowa, o której mowa w ust. 1 powinna okre la :
1) Zakres prac, które mog by realizowane w ramach serwisu,
2) Dni i godziny dost pno ci serwisu, gwarantowany czas reakcji (od chwili
zgłoszenia do chwili pojawienia si serwisanta), gwarantowany czas naprawy
(lub podstawienia pełnosprawnego zamiennika) liczony od chwili zgłoszenia
do momentu przywrócenia pełnej funkcjonalno ci,
3) Warunki wynagrodzenia firmy serwisowej,
4) Sposób zgłaszania konieczno ci wykonania prac serwisowych (numer telefonu
lub faksu, adres poczty elektronicznej, nazwiska osób upowa nionych do
przyjmowania zgłosze ) oraz sposób potwierdzenia przyj cia zgłoszenia wraz
z podaniem nazwisk serwisantów, którzy b d przeprowadzali prace,
5) Sposób stwierdzenia to samo ci osób przeprowadzaj cych prace serwisowe (w
szczególno ci sprawdzania zgodno ci ich to samo ci z danymi podanymi
przez osob potwierdzaj c przyj cie zgłoszenia),
6) Zasady nadzorowania przez upowa nionych pracowników Starostwa
Powiatowego w Pabianicach pracy serwisantów i sposobu wykonywania
naprawy,
7) Sporz dzenie i podpisanie protokołu wykonania naprawy,
8) Zasady przeprowadzania napraw sprz tu informatycznego przetwarzaj cego
i/lub przechowuj cego dane osobowe,
9) Cz stotliwo wykonywania prac konserwacyjnych (np. odkurzanie sprz tu),
zasady ustalania prac i osób bior cych w nich udział.
§ 73
1. Osob upowa nion do zgłaszania firmie serwisowej usterki systemu i konieczno ci
jego naprawy jest Administrator Bezpiecze stwa Informacji.
2. Pracownicy winni zgłasza niesprawno ci systemu informatycznego zgodnie z
przepisami „Polityki Bezpiecze stwa”.
3. Administrator Bezpiecze stwa Informacji wyznacza kwalifikowan
osob ,
posiadaj c uprawnienia do dost pu do danych osobowych przetwarzanych przez
naprawiane komponenty, do nadzorowania prac serwisowych prowadzonych w
systemach informatycznych lub samodzielnie dokonuje nadzoru.
4. Osoba nadzoruj ca dokonuje odbioru przeprowadzanych prac i podpisania protokołu
wykonania naprawy.
5. Administrator Bezpiecze stwa Informacji mo e wyznaczy osoby upowa nione do
nadzorowania wszystkich napraw systemu informatycznego lub do nadzorowania
wszystkich napraw okre lonych komponentów systemu.
§ 74
1. W sytuacji gdy naprawa dotyczy komponentu, na którym nie s przechowywane dane
osobowe i który nie jest podł czony do systemu informatycznego, a serwisant nie jest
w stanie podł czy go do systemu, wówczas nie jest wymagany nadzór nad
przebiegiem prac serwisowych.
2. W sytuacji, o której mowa w ust.1, odbioru prac dokonuje po sprawdzeniu
poprawno ci ich wykonania, Administrator Bezpiecze stwa Informacji.
§ 75
Przed rozpocz ciem prac serwisowych konieczne jest potwierdzenie to samo ci serwisantów.
§ 76
1. W przypadku konieczno ci przeprowadzania prac serwisowych poza siedzib
Starostwa Powiatowego w Pabianicach dane z naprawianego urz dzenia musz zosta
usuni te zgodnie z obowi zuj cymi w tym zakresie przepisami.
2. Od wymagania, o którym mowa w ust.1, mo liwe jest odst pstwo, je eli urz dzenie,
podczas przechowywania poza siedzib Starostwa Powiatowego w Pabianicach,
b dzie pod stałym nadzorem osoby upowa nionej do dost pu danych na nim
przetwarzanych, wskazanej przez Administratora Bezpiecze stwa Informacji.
§ 77
1. Administrator Bezpiecze stwa Informacji prowadzi rejestr prac serwisowych i
konserwacyjnych wykonywanych w zakresie systemu informatycznego
przetwarzaj cego dane osobowe.
2. Rejestr, o którym mowa w ust. 1, jest raz w roku analizowany w celu stwierdzenia
punktów w systemie informatycznym, w którym wyst piło najwi cej awarii.
3. Wyniki analizy wraz z ewentualnymi sugestiami działa zmierzaj cych do
zmniejszenia cz stotliwo ci awarii w systemie informatycznym Administrator
Bezpiecze stwa Informacji przekazuje Sekretarzowi Powiatu.
§ 78
1. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za okresowy przegl d
zbioru danych osobowych oraz usuni cie danych, których przechowywanie jest dłu ej
nieuzasadnione.
2. Administrator Bezpiecze stwa Informacji sporz dza protokół zniszczenia informacji
zawieraj cy:
1) Nazw zbioru danych osobowych,
2) Zakres zniszczonych danych,
3) Uzasadnienie wykonania operacji,
4) Dat i czas wykonania operacji.
§ 79
1. Urz dzenia, dyski lub inne no niki zawieraj ce dane osobowe przeznaczone do likwidacji,
pozbawia si wcze niej zapisu tych danych lub uszkadza w sposób uniemo liwiaj cy ich
odczytanie.
2. Wydruki z danymi osobowymi przeznaczone do likwidacji nale y likwidowa przy
pomocy specjalnego urz dzenia ( niszczarki dokumentów) w sposób uniemo liwiaj cy
ich odczytanie.
3. Urz dzenia, dyski, wydruki lub inne informatyczne no niki, zawieraj ce dane osobowe
likwiduje si pod nadzorem osoby upowa nionej przez Administratora Bezpiecze stwa
Informacji.
4. Trwałego zniszczenia zb dnych no ników i wydruków komputerowych dokonuje si na
bie co w czasie pracy, nie pó niej jednak ni przed opuszczeniem stanowiska pracy.
§ 80
1. Urz dzenia, dyski lub inne informatyczne no niki, zawieraj ce dane osobowe,
przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania
danych osobowych, pozbawia si wcze niej zapisu tych danych.
2. Urz dzenia, dyski lub inne informatyczne no niki danych, przeznaczone do naprawy,
pozbawia si przed napraw zapisu tych danych albo naprawia si je pod nadzorem
Administratora Bezpiecze stwa Informacji,
3 Administrator Bezpiecze stwa Informacji wykonuje pozostałe czynno ci, o których
mowa w ust. 1 i 2.