polityka bezpieczeństwa starostwa powiatowego w pabianicach

Transkrypt

POLITYKA BEZPIECZE STWA
STAROSTWA POWIATOWEGO
W PABIANICACH
Zał cznik
do Zarz dzenia Nr 25 /08
Starosty Pabianickiego
z dnia 16 czerwca 2008 roku
ROZDZIAŁ I
WST P
Starosta Pabianicki - Administrator Danych, wiadomy wagi zagro e prywatno ci, w tym
zwłaszcza zagro e danych osobowych przetwarzanych w zwi zku z wykonywaniem zada
Administratora Danych, deklaruje podejmowanie wszelkich mo liwych działa koniecznych
do zapobiegania zagro eniom, m. in. takim jak:
1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na
zasoby systemu, jak np. po ar, zalanie pomieszcze , katastrofa budowlana, napad,
kradzie , włamanie, działania terrorystyczne, niepo dana ingerencja ekipy
remontowej;
2) niewła ciwe parametry rodowiska, zakłócaj ce prac urz dze komputerowych
(nadmierna wilgotno
lub bardzo wysoka temperatura, oddziaływanie pola
elektromagnetycznego i inne);
3) awarie sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne naruszenia
ochrony danych, niewła ciwe działanie serwisantów, w tym pozostawienie
4)
5)
6)
7)
serwisantów bez nadzoru, a tak e przyzwolenie na napraw sprz tu zawieraj cego
dane poza siedzib Administratora Danych;
podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania
procedur ochrony danych, np. praca osoby, która nie jest upowa niona do
przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby
upowa nione;
celowe lub przypadkowe rozproszenie danych w internecie z omini ciem
zabezpiecze systemu lub wykorzystaniem bł dów systemu informatycznego
Administratora Danych;
ataki z internetu;
naruszenia zasad i procedur okre lonych w dokumentacji z zakresu ochrony danych
osobowych przez osoby upowa nione do przetwarzania danych osobowych, zwi zane
z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza:
niezgodne z procedurami zako czenie pracy lub opuszczenie stanowiska pracy
(nieprawidłowe wył czenie komputera, niezablokowanie wy wietlenia tre ci pracy
na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy,
pozostawienie po zako czeniu pracy nieschowanych do zamykanych na klucz szaf
dokumentów zawieraj cych dane osobowe, niezamkni cie na klucz pokoju po jego
opuszczeniu, nieoddanie klucza na portierni ),
naruszenie bezpiecze stwa danych przez nieautoryzowane ich przetwarzanie,
ujawnienie osobom nieupowa nionym procedur ochrony danych stosowanych u
Administratora Danych,
ujawnienie osobom nieupowa nionym danych przetwarzanych przez
Administratora Danych, w tym równie nieumy lne ujawnienie danych osobom
postronnym, przebywaj cym bez nadzoru lub niedostatecznie nadzorowanym w
pomieszczeniach Administratora Danych,
niewykonywanie stosownych kopii zapasowych,
przetwarzanie danych osobowych w celach prywatnych,
wprowadzanie zmian do systemu informatycznego Administratora Danych i
instalowanie programów bez zgody Administratora Systemu.
ROZDZIAŁ II
POSTANOWIENIA OGÓLNE
§1
Ilekro w niniejszej Polityce Bezpiecze stwa jest mowa o:
1. Administratorze Bezpiecze stwa Informacji – rozumie si przez to osob , której
Administrator Danych powierzył pełnienie obowi zków Administratora
Bezpiecze stwa Informacji,
2. Administratorze Danych – rozumie si przez Administratora Danych Starostwa
Powiatowego w Pabianicach reprezentowanego przez Starost Pabianickiego,
3. Administratorze Systemu – rozumie si przez to informatyka zatrudnionego w
Biurze Zarz du Powiatu realizuj cego zadania w zakresie zarz dzania i bie cego
nadzoru nad systemem informatycznym Administratora Danych,
4. danych osobowych – rozumie si przez to wszelkie informacje dotycz ce
zidentyfikowanej lub mo liwej do zidentyfikowania osoby fizycznej,
5. ha le - rozumie si przez to ci g znaków literowych, cyfrowych lub innych, znany
jedynie osobie uprawnionej do pracy w systemie informatycznym,
6. identyfikatorze u ytkownika - rozumie si przez to ci g znaków literowych,
cyfrowych lub innych jednoznacznie identyfikuj cy osob upowa nion do
przetwarzania danych osobowych w systemie informatycznym,
7. integralno ci danych – rozumie si przez to wła ciwo zapewniaj c , e dane
osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
8. odbiorcy danych – rozumie si przez to ka dego, komu udost pnia si dane osobowe,
z wył czeniem:
- osoby, której dane dotycz ,
- osoby upowa nionej do przetwarzania danych osobowych,
- przedstawiciela, o którym mowa w art. 31a ustawy,
- podmiotu, o którym mowa w art. 31ustawy,
- organów pa stwowych lub organów samorz du terytorialnego, którym dane s
udost pniane w zwi zku z prowadzonym post powaniem.
9. osobie upowa nionej do przetwarzania danych osobowych – rozumie si przez to
osob , która została upowa niona została do przetwarzania danych osobowych przez
Administratora Danych – Starost Pabianickiego na pi mie,
10. poufno ci danych – rozumie si przez to wła ciwo zapewniaj c , e dane osobowe
nie s udost pniane nieupowa nionym osob i podmiotom,
11. przetwarzaj cym – rozumie si przez to podmiot, któremu zostało powierzone
przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31
ustawy,
12. przetwarzaniu danych – rozumie si przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udost pnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach
informatycznych,
13. raporcie – rozumie si przez to przygotowane przez system informatyczny
zestawienia zakresu i tre ci przetwarzanych danych osobowych,
14. rozliczalno ci - rozumie si przez to wła ciwo zapewniaj c , e działania podmiotu
mog by przypisane w sposób jednoznaczny tylko temu podmiotowi,
15. rozporz dzeniu – rozumie si przez to rozporz dzenie Ministra Spraw
Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do
przetwarzania danych osobowych,
16. sieci publicznej – rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28
ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne,
17. sieci teleinformatycznej – rozumie si przez to słu c do przetwarzania danych
osobowych organizacyjnie i technicznie poł czenie systemów teleinformatycznych
wraz z ł cz cymi je urz dzeniami i liniami,
18. sieci telekomunikacyjnej – rozumie si przez to sie telekomunikacyjn w
rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne,
19. serwisancie – rozumie si przez to firm lub pracownika firmy zajmuj cej si
sprzeda , instalacj , napraw i konserwacj sprz tu komputerowego,
20. systemie informatycznym Administratora Danych – rozumie si przez sprz t
komputerowy, oprogramowanie, dane eksploatowane w zespole współpracuj cych ze
sob
urz dze , programów procedur przetwarzania informacji i narz dzi
programowych; w systemie tym pracuje przynajmniej jeden komputer centralny i
system ten tworzy sie teleinformatyczn Starostwa Powiatowego w Pabianicach,
21. teletransmisji – rozumie si przez to przesyłanie informacji za po rednictwem sieci
telekomunikacyjnej,
22. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych,
23. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich
modyfikacj , która nie pozwoli na ustalenie to samo ci osoby, której dane dotycz ,
24. uwierzytelnianiu – rozumie si przez to działanie, której celem jest weryfikacja
deklarowanej to samo ci podmiotu,
25. u ytkowniku – rozumie si przez to osob upowa nion do dost pu i przetwarzania
danych osobowych, której nadano identyfikator i przyznano hasło,
26. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to
wdro enie i eksploatacj stosownych rodków technicznych i organizacyjnych
zapewniaj cych ochron danych przed ich nieuprawnionym przetwarzaniem,
27. zabezpieczeniu systemu informatycznego – nale y przez to rozumie wdro enie
stosowanych rodków administracyjnych, technicznych oraz ochrony przed
modyfikacj , zniszczeniem, nieuprawnionym dost pem i ujawnieniem lub
pozyskaniem danych osobowych, a tak e ich utrat ,
28. zbiorze danych –rozumie si przez to ka dy posiadaj cy struktur zestaw danych o
charakterze osobowym, dost pnych według okre lonych kryteriów, niezale nie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
§2
1. Polityka Bezpiecze stwa jest rozumiana jako całokształt działa , zmierzaj cych do
uzyskania i utrzymania wymaganego poziomu bezpiecze stwa danych osobowych, tj.
zapewnienie poufno ci, spójno ci i dost pno ci na ka dym etapie tworzenia,
przetwarzania, przechowywania i przesyłania danych osobowych.
2. W zwi zku z tym, e w zbiorach Administratora Danych przetwarzane s mi dzy
innymi dane wra liwe, a system informatyczny Administratora Danych posiada
szerokopasmowe poł czenie z Internetem, niniejsza Polityka Bezpiecze stwa słu y
zapewnieniu wysokiego poziomu bezpiecze stwa danych w rozumieniu § 6
rozporz dzenia.
3. Polityka Bezpiecze stwa obejmuje zbiór zasad dotycz cych bezpiecze stwa danych
osobowych ustalonych w oparciu o wymagania wynikaj ce z przepisów prawa, z
szacowania ryzyka w zwi zku z wykonywaniem okre lonych prawem zada przez
Starostwo Powiatowe w Pabianicach oraz wewn trzne wymogi i uwarunkowania
lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej „Starostwem”.
4. Polityka Bezpiecze stwa zapewnia:
1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z
podstawowymi procedurami zdefiniowanymi w Starostwie,
2) skuteczniejsze działania w odniesieniu do zagro e poufno ci, integralno ci i
dost pno ci danych osobowych,
3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno
wobec klientów Starostwa,
4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i
przesyłanych nie tylko za pomoc systemów informatycznych ale równie w
innych obszarach ich przetwarzania i przechowywania (np. papierowej).
5. Celem Polityki Bezpiecze stwa jest wskazanie działa , jakie nale y podejmowa oraz
ustanowienie zasad, jakie nale y stosowa , aby prawidłowo były realizowane
obowi zki Starostwa jako Administratora Danych w zakresie zabezpieczenia danych
osobowych.
6. Niniejsza Polityka Bezpiecze stwa dotyczy zarówno danych osobowych
przetwarzanych w sposób tradycyjny w ksi gach, wykazach i innych zbiorach
ewidencyjnych, jak i w systemach informatycznych.
7. Procedury i zasady okre lone w niniejszym dokumencie stosuje si do wszystkich
osób upowa nionych do przetwarzania danych osobowych, zarówno zatrudnionych w
Starostwie, jak i innych, np. sta ystów, praktykantów, wolontariuszy.
§3
W Starostwie z uwagi na fakt, e urz dzenia systemu informatycznego słu cego do
przetwarzania danych osobowych poł czone s z sieci publiczn , stosuje si wysoki poziom
bezpiecze stwa teleinformatycznego.
§4
Bezpiecze
1)
2)
3)
4)
5)
stwo teleinformatyczne na poziomie wysokim zapewnia si przez:
Ochron fizyczn .
Ochron elektromagnetyczn .
Ochron kryptograficzn .
Bezpiecze stwo teletransmisji.
Kontrol dost pu do urz dze systemu lub sieci teleinformatycznej.
§5
Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków
zabezpieczaj cych pomieszczenia, w którym znajduj si urz dzenia systemu lub sieci
teleinformatycznej, w szczególno ci przed:
1) Nieuprawnionym dost pem.
2) Podgl dem.
3) Podsłuchem.
§6
Ochrona elektromagnetyczna polega na:
1) Wszelkie urz dzenia systemu i sieci teleinformatycznej winny znajdowa si w
odległo ci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mog cej
zakłóca prawidłow prac tych urz dze .
2) W trakcie pracy urz dze systemu i sieci teleinformatycznej w strefie
bezpiecze stwa nale y wył czy urz dzenia o wysokiej emisyjno ci fal
elektromagnetycznych lub stosowa zastosowanie urz dze , poł cze linii o
obni onym poziomie emisji lub ich ekranowanie i filtrowanie zewn trznych linii
zasilaj cych lub sygnałowych.
3) Komputery na których przetwarzane s dane osobowe powinny spełnia warunek
obni onej emisyjno ci.
§7
1. Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu
metod i rodków zabezpieczaj cych dane osobowe przez ich szyfrowanie oraz
stosowanie innych mechanizmów kryptograficznych gwarantuj cych integralno i
zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie
podmiotów, lub uwierzytelnienie informacji.
2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy
przekazywaniu danych osobowych w formie elektronicznej, poza strefy
bezpiecze stwa.
3. Przemieszczanie komputerów przeno nych, w których przetwarzane s dane osobowe,
poza strefy bezpiecze stwa wymaga stosowania kryptograficznych metod i rodków
ochrony tych danych lub innych rodków ochrony, gwarantuj cych ich zabezpieczenie
przed nieuprawnionym ujawnieniem.
4. Przepis ust. 3 stosuje si do elektronicznych no ników zawieraj cych dane osobowe,
przemieszczanych poza strefy bezpiecze stwa.
ROZDZIAŁ III
ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH
§1
Administrator Danych osobowych reprezentowany przez Starost Pabianickiego realizuje
zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:
1. Podejmuje decyzje o celach i rodkach przetwarzania danych osobowych
uwzgl dnieniem przede wszystkim zmian w obowi zuj cym prawie, organizacji
Administratora Danych oraz technik zabezpieczenia danych osobowych;
2. Upowa nia poszczególne osoby do przetwarzania danych osobowych w okre lonym
indywidualnie zakresie, odpowiadaj cym zakresowi jej obowi zków;
3. Wyznacza Administratora Bezpiecze stwa Informacji oraz okre la zakres jego zada i
czynno ci;
4. Wyznacza Administratora Systemu oraz okre la jego zakres zada i czynno ci
5. Wyznacza inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe jako
wła ciwego do prowadzenia ewidencji osób upowa nionych do przetwarzania danych
osobowych oraz pozostałej dokumentacji z zakresu ochrony danych, o ile jako
wła ciwy do jej prowadzenia nie zostanie wskazany w niniejszym dokumencie inny
podmiot;
6. Zleca inspektorowi Biura Zarz du Powiatu do którego obowi zków nale sprawy
zwi zane z zaopatrzeniem, by we współpracy z Administratorem Systemu oraz
Administratorem Bezpiecze stwa Informacji zapewnił u ytkownikom odpowiednie
stanowiska pracy umo liwiaj ce bezpieczne przetwarzanie danych;
7. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
procedur bezpiecznego przetwarzania danych osobowych.
§2
Administrator Bezpiecze stwa Informacji realizuje zadania w zakresie nadzoru nad
przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza:
1. Sprawuje nadzór nad wdro eniem stosownych rodków fizycznych, a tak e
organizacyjnych i technicznych – w celu zapewnienia bezpiecze stwa danych.
2. Sprawuje nadzór nad funkcjonowaniem systemu zabezpiecze , w tym tak e nad
prowadzeniem ewidencji z zakresu ochrony danych osobowych.
3. Koordynuje wewn trzne audyty przestrzegania przepisów o ochronie danych
osobowych.
4. Nadzoruje udost pnianie danych osobowych odbiorcom danych i innym podmiotom,
5. Przygotowuje wnioski zgłosze rejestracyjnych i aktualizacyjnych zbiorów danych
oraz prowadzi inn korespondencj z Generalnym Inspektorem Ochrony Danych
Osobowych.
6. Zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotycz cych
ochrony danych osobowych, przygotowywane przez wydziały i pozostałe komórki
organizacyjne Administratora Danych.
7. Nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych
osobowych przez inspektora Biura Zarz du prowadz cego sprawy kadrowe.
8. Prowadzi oraz aktualizuje dokumentacj opisuj c sposób przetwarzania danych
osobowych oraz rodki techniczne i organizacyjne zapewniaj ce ochron
przetwarzanych danych osobowych.
9. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia
systemu informatycznego.
10. Przygotowuje wyci gi z Polityki Bezpiecze stwa, dostosowane do zakresów
obowi zków osób upowa nianych do przetwarzania danych osobowych.
11. Przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i
prowadzi szkolenia osób upowa nianych do przetwarzania danych osobowych.
12. Przeprowadza szkolenie ka dej osoby, która ma zosta upowa niona do przetwarzania
danych osobowych.
13. W porozumieniu z Administratorem Danych osobowych oraz inspektorem Biura
Zarz du Powiatu prowadz cym sprawy kadrowe, na czas nieobecno ci (urlop,
choroba) wyznacza swojego zast pc .
§3
Administrator Systemu realizuje zadania w zakresie zarz dzania i bie cego nadzoru nad
systemem informatycznym administratora danych, w tym zwłaszcza:
1. Zarz dza systemem informatycznym, w którym przetwarzane s dane osobowe,
posługuj c si hasłem dost pu do wszystkich stacji roboczych z pozycji
administratora.
2. Przeciwdziała dost powi osób niepowołanych do systemu informatycznego, w którym
przetwarzane s dane osobowe.
3. Na wniosek inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe
przydziela ka demu u ytkownikowi
identyfikator oraz hasło do systemu
informatycznego oraz dokonuje ewentualnych modyfikacji uprawnie , a tak e usuwa
konta u ytkowników zgodnie z zasadami okre lonymi w instrukcji zarz dzania
systemem informatycznym słu cym do przetwarzania danych osobowych.
4. Prowadzi w systemie elektronicznym ewidencj u ytkowników upowa nionych do
przetwarzania danych osobowych w systemie informatycznym, która powinna
zawiera :
1) nazwisko i imi u ytkownika,
2) identyfikator u ytkownika,
3) stanowisko u ytkownika,
4) wydział lub inn komórk organizacyjn Starostwa, w którym u ytkownik
jest zatrudniony lub odbywa sta , praktyk lub wykonuje zadania jako
wolontariusz,
5) wskazanie zbiorów danych osobowych, do którego u ytkownik ma prawo
dost pu,
6) zakres uprawnie u ytkownika w zakresie przetwarzania danych
osobowych stosownie do postanowie art. 7 pkt 2 ustawy,
7) dat przyznania uprawnie ,
8) dat wyrejestrowania u ytkownika z systemu informatycznego, gdy
upowa nienie utraciło wa no z uwagi na okres na jaki zostało udzielone
lub z uwagi na zako czenie pracy u ytkownika w Starostwie.
5. Nadzoruje działanie mechanizmów uwierzytelniania u ytkowników oraz kontroli
dost pu do danych osobowych.
6. Podejmuje działania w zakresie ustalania i kontroli identyfikatorów dost pu do
systemu informatycznego.
7. Wyrejestrowuje u ytkowników na polecenie Administratora Danych lub inspektora
Biura Zarz du Powiatu prowadz cego sprawy kadrowe.
8. Zmienia w poszczególnych stacjach roboczych hasła dost pu, ujawniaj c je wył cznie
danemu u ytkownikowi oraz, w razie potrzeby, Administratorowi Bezpiecze stwa
Informacji lub Administratorowi Danych,
9. W sytuacji stwierdzenia naruszenia zabezpiecze systemu informatycznego informuje
Administratora Bezpiecze stwa Informacji o naruszeniu i współdziała z nim przy
usuwaniu skutków naruszenia.
10. Prowadzi szczegółow dokumentacj narusze bezpiecze stwa danych osobowych
przetwarzanych w systemie informatycznym.
11. Sprawuje nadzór nad wykonywaniem napraw, konserwacj oraz likwidacj urz dze
komputerowych, na których zapisane s dane osobowe, nad wykonywaniem kopii
zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod k tem ich
dalszej przydatno ci do odtwarzania danych w przypadku awarii systemu
informatycznego.
12. Podejmuje działania słu ce zapewnieniu niezawodno ci zasilania komputerów,
innych urz dze maj cych wpływ na bezpiecze stwo przetwarzania danych oraz
zapewnieniu bezpiecznej wymiany danych w sieci wewn trznej i bezpiecznej
teletransmisji.
§4
Inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe realizuje przede wszystkim
nast puj ce zadania w zakresie ochrony danych osobowych:
1. Prowadzi ewidencj osób upowa nionych do przetwarzania danych osobowych.
2. Wyst puje z wnioskiem do Administratora Bezpiecze stwa Informacji o
przeprowadzenie szkolenia osoby, która ma zosta upowa niona do przetwarzania
danych osobowych
3. Wyst puje z wnioskiem do Administratora Danych o nadanie upowa nienia do
przetwarzania danych osobowych,
4. Wyst puje z wnioskiem do Administratora Systemu o nadanie identyfikatora i
przyznanie hasła osobie upowa nionej do przetwarzania danych osobowych.
5. Wyst puje z wnioskiem o odwołanie upowa nienia do przetwarzania danych
osobowych i/lub wyrejestrowania u ytkownika z systemu informatycznego.
§5
Osoba upowa niona do przetwarzania danych osobowych jest zobowi zana przestrzega
nast puj cych zasad:
1. Mo e przetwarza dane osobowe wył cznie w zakresie ustalonym indywidualnie przez
Administratora Danych w upowa nieniu i tylko w celu wykonywania nało onych na
ni obowi zków. Zakres dost pu do danych przypisany jest do niepowtarzalnego
identyfikatora u ytkownika, niezb dnego do rozpocz cia pracy w systemie.
Rozwi zanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wyga ni cie
upowa nienia do przetwarzania danych osobowych.
2. Musi zachowa tajemnic danych osobowych oraz przestrzega procedur ich
bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowi zuje
przez cały okres zatrudnienia u Administratora Danych, a tak e po ustaniu stosunku
pracy lub odwołaniu z pełnionej funkcji.
3. Zapoznaje si z przepisami prawa w zakresie ochrony danych osobowych oraz
postanowieniami niniejszej Polityki Bezpiecze stwa i instrukcji zarz dzania systemem
informatycznym słu cym do przetwarzania danych osobowych.
4. Stosuje okre lone przez Administratora Danych oraz Administratora Bezpiecze stwa
Informacji procedury oraz wytyczne maj ce na celu zgodne z prawem, w tym
zwłaszcza adekwatne, przetwarzanie danych.
5. Korzysta z systemu informatycznego Administratora Danych w sposób zgodny ze
wskazówkami zawartymi w instrukcjach obsługi urz dze wchodz cych w skład
systemu informatycznego, oprogramowania i no ników.
6. Zabezpiecza dane przed ich udost pnianiem osobom nieupowa nionym.
§6
W ramach struktury organizacyjnej Administratora Danych prowadzone s nast puj ce
ewidencje wchodz ce w skład dokumentacji z zakresu ochrony danych osobowych:
1. inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe prowadzi ewidencj
osób upowa nionych do przetwarzania danych osobowych,
2. Administrator Bezpiecze stwa Informacji prowadzi ewidencj udost pnie danych
odbiorcom danych oraz innym podmiotom,
3. Administrator Systemu prowadzi przechowywan w kasie pancernej ewidencj
haseł do stanowisk roboczych poszczególnych u ytkowników oraz ich
identyfikatorów, a tak e ewidencje:
1) komputerów przeno nych,
2) no ników przeno nych, oraz
3) kluczy kryptograficznych.
ROZDZIAŁ IV
WYKAZ POMIESZCZE TWORZ CYCH OBSZAR, W KTÓRYM
PZETWARZANE S DANE OSOBOWE
§1
1. Pomieszczeniami tworz cymi obszar, w którym znajduj si przetwarzane dane
osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek,
rejestrów i innych oraz stacjonarny sprz t komputerowy, w którym s przetwarzane
dane osobowe.
2. Przebywanie w pomieszczeniach znajduj cych si wewn trz obszaru, o którym mowa
w ust.1, osób nieuprawnionych do dost pu do danych osobowych, jest dopuszczalne
tylko w obecno ci osoby zatrudnionej przy przetwarzaniu tych danych.
3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i
chronione na czas nieobecno ci w nich osób upowa nionych do przetwarzania danych
osobowych, w sposób uniemo liwiaj cy dost p do nich osób trzecich.
§2
Wykaz pomieszcze tworz cych obszar, w którym przetwarzane s dane osobowe został
okre lony w zał czniku Nr 1 do niniejszej Polityki Bezpiecze stwa.
ROZDZIAŁ V
WYKAZ ZBIORÓW DANYCH OSOBOWYCH
ORAZ
PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH
§1
Starostwo przetwarza dane osobowe w zbiorach, w zwi zku z wykonywaniem zada
wynikaj cych z art. 4 ustawy o samorz dzie powiatowym i stosownych przepisów prawa
materialnego i proceduralnego.
§2
Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych
danych zawiera zał cznik Nr 2 do Polityki Bezpiecze stwa.
ROZDZIAŁ VI
OPIS STRUKTURY ZBIORÓW DANYCH
§1
Zbiory danych osobowych przetwarzanych w Starostwie maj nast puj ce struktury:
1. W zbiorze danych „Rejestr stowarzysze i fundacji” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Data urodzenia
c)
Miejsce urodzenia
d) Adres zamieszkania lub pobytu
e)
Numer ewidencyjny PESEL
f)
Seria i numer dowodu osobistego
g) Numer telefonu
2. W zbiorze danych „Zbiór zezwole na sprowadzenie zwłok i szcz tków z zagranicy” przetwarzane
s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Adres zamieszkania lub pobytu
c)
d) Numer telefonu
3. W zbiorze danych „Rejestr zwierz t podlegaj cych ograniczeniom na podstawie przepisów UE”
przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
4. W zbiorze danych „Ewidencja kart w dkarskich” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b)
c)
d)
e)
Data urodzenia
Miejsce urodzenia
Adres zamieszkania lub pobytu
5. W zbiorze danych „Ewidencja sprz tu pływaj cego do amatorskiego połowu ryb” przetwarzane s
dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
6. W zbiorze danych „System obiegu dokumentów INTRADOK” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
d) Miejsce urodzenia
e)
f)
g) Miejsce pracy
h) Zawód
i)
Wykształcenie
j)
k) Stan zdrowia
l)
Nałogi
m)
ycie seksualne
7. W zbiorze danych „Stypendia z EFS – Uczniowie” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Numer Identyfikacji Podatkowej
h) Miejsce pracy
i)
Zawód
j)
Wykształcenie
k) Seria i numer dowodu osobistego
l)
Numer telefonu
m) Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym
8. W zbiorze danych „Stypendia z EFS – Studenci” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
h) Miejsce pracy
i)
Zawód
j)
Wykształcenie
l)
Numer telefonu
m)
Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym
9. W zbiorze danych „Zbiór zezwole na przeprowadzenie zbiórki publicznej” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
c)
d) Seria i numer dowodu osobistego
e)
Numer telefonu
10. W zbiorze danych „Ewidencja pozwole wodnoprawnych” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
11. W zbiorze danych „Ewidencja decyzji w zakresie utrzymania urz dze melioracji wodnych”
a)
Nazwiska i imiona
12. W zbiorze danych „Ewidencja osób posiadaj cych uprawnienia do kierowania pojazdami”
a)
Nazwiska i imiona
b) Data urodzenia
c)
Miejsce urodzenia
d) Adres zamieszkania lub pobytu
e)
f)
Numer telefonu
g) Stan zdrowia
h) Skazania
i)
Mandaty karne
j)
Orzeczenia o ukaraniu
k) Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym
13. W zbiorze danych „Ewidencja szkół nauki jazdy i instruktorów” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Wykształcenie
h) Numer telefonu
i)
Skazania
j)
14. W zbiorze danych „Ewidencja stacji kontroli pojazdów i diagnostów” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g)
h)
i)
j)
k)
Numer Identyfikacji Podatkowej
Zawód
Wykształcenie
Numer telefonu
15. W zbiorze danych „Ewidencja przedsi biorców wykonuj cych krajowy transport drogowy,
transport rzeczy osób i przewozy drogowe na potrzeby własne” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
c)
16. W zbiorze danych „Krajowy system ewidencji pojazdów” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
c)
17. W zbiorze danych „System Informacji O wiatowej” przetwarzane s dane osobowe w zakresie:
a) Nazwiska i imiona
b) Miejsce pracy
c) Zawód
d) Wykształcenie
18. W zbiorze danych „Rejestr skierowa uczniów do kształcenia specjalnego” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
Numer telefonu
g) Stan zdrowia
19. W zbiorze danych „Rejestr decyzji o przyznaniu godzin indywidualnego nauczania” przetwarzane
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
Numer telefonu
g) Stan zdrowia
20. W zbiorze danych „Skierowania do o rodków socjoterapeutycznych i młodzie owych o rodków
Wychowawczych” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Wykształcenie
h)
i)
j)
k)
l)
m)
Stan zdrowia
Nałogi
ycie seksualne
Skazania
Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym
21. W zbiorze danych „Rejestr decyzji o przyznaniu godzin rewalidacyjno – wychowawczych”
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
Wykształcenie
g) Numer telefonu
h) Stan zdrowia
22. W zbiorze danych „Rejestr skierowa uczniów do kształcenia specjalnego w systemie kształcenia
Integracyjnego” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
Numer telefonu
g) Stan zdrowia
23. W zbiorze danych „Ewidencja nakazów płatniczych za wył czenie gruntów z produkcji rolniczej”
a)
Nazwiska i imiona
24. W zbiorze danych „Ewidencja gruntów wył czonych z produkcji rolniczej” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
25. W zbiorze danych „Ewidencja zezwole na posiadanie i hodowl psów rasy chart polski”
a)
Nazwiska i imiona
26. W zbiorze danych „Inwentaryzacja lasów nie stanowi cych własno ci Skarbu Pa stwa i decyzje
okre laj ce zadania z zakresu gospodarki le nej” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
27. W zbiorze danych „Ewidencja wniosków i decyzji zwi zanych z zalesieniami gruntów rolnych
oraz wypłat ekwiwalentów z tego tytułu” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
28. W zbiorze danych „Plany urz dzania lasów nie stanowi cych własno ci Skarbu Pa stwa”
a)
b)
Nazwiska i imiona
29. W zbiorze danych „Ewidencja decyzji na wykonanie rekultywacji” przetwarzane s dane osobowe
w zakresie:
a)
Nazwiska i imiona
30. W zbiorze danych „Ewidencja decyzji zatwierdzaj cych projekty prac geologicznych”
a)
Nazwiska i imiona
31. W zbiorze danych „Ewidencja zawiadomie o przyj ciu dokumentacji geologicznej” przetwarzane
a)
Nazwiska i imiona
32. W zbiorze danych „Ewidencja wydanych koncesji na wydobywanie kopalin pospolitych”
a)
Nazwiska i imiona
c)
33. W zbiorze danych „Ewidencja zatwierdze organizacji ruchu na drogach powiatowych i
gminnych” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
Numer telefonu
34. W zbiorze danych „Rejestr wniosków pozwolenia na budow /rozbiórk ” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Numer telefonu
35. W zbiorze danych „Rejestr decyzji o pozwolenie na budow /rozbiórk ” przetwarzane s dane
osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
36. W zbiorze danych „Rejestr wszystkich decyzji administracyjnych” przetwarzane s dane osobowe
w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
37. W zbiorze danych „Rejestr zgłosze budowy/rozbiórki/wykonania robót budowlanych nie
wymagaj cych uzyskania pozwolenia na budow ” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b)
38. W zbiorze danych „Ewidencja decyzji o zwrocie wywłaszczonych nieruchomo ci” przetwarzane
a)
Nazwiska i imiona
c)
39. W zbiorze danych „Ewidencja decyzji o wywłaszczeniu nieruchomo ci i ustaleniu
odszkodowania” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
40. W zbiorze danych „Ewidencja decyzji dotycz cych zaj cia pasa drogowego na cele niezwi zane z
budow , przebudow , remontem, utrzymaniem i ochron dróg” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
c)
Numer telefonu
41. W zbiorze danych „Ewidencja decyzji karnych dotycz cych zaj cia pasa drogowego”
a)
Nazwiska i imiona
c)
Numer telefonu
42. W zbiorze danych „Ewidencja zezwole na umieszczenie urz dzenia obcego w pasie drogowym
(uzgodnienia)” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
Numer telefonu
43. W zbiorze danych „Ewidencja repatriantów” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Seria i numer dowodu osobistego
44. W zbiorze danych „Ewidencja decyzji o przekształceniu prawa u ytkowania wieczystego w prawo
własno ci” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
45. W zbiorze danych „Ewidencja o zwrocie siedliska i działek do ywotniego u ytkowania”
a)
Nazwiska i imiona
c)
46. W zbiorze danych „Ewidencja u ytkowników wieczystych, dzier awców, u ytkowników,
najemców, nabywców gruntów Skarbu Pa stwa i Powiatu” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
d) Numer ewidencyjny PESEL
e)
f)
47. W zbiorze danych „Ewidencja decyzji zezwalaj cych na czasowe zaj cie nieruchomo ci
(wywłaszczenie polegaj ce na ograniczeniu prawa własno ci)” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
c)
48. W zbiorze danych „Ewidencja gruntów i budynków” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
d) Numer ewidencyjny PESEL
49. W zbiorze danych „Ewidencja za ale konsumentów” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
50. W zbiorze danych „Ewidencja poborowych” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
g) Seria i numer dowodu osobistego
h) Stan zdrowia
51. W zbiorze danych „Ewidencja postanowie ” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
52. W zbiorze danych „Rejestr wydawanych dzienników budów” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
53. W zbiorze danych „Ewidencja za wiadcze ” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
54. W zbiorze danych „Ewidencja spraw ró nych” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
c)
Numer telefonu
55. W zbiorze danych „Rejestr analiz i studium zagospodarowania przestrzennego” przetwarzane s
a)
Nazwiska i imiona
56. W zbiorze danych „Rejestr pracowników Starostwa Powiatowego w Pabianicach oraz
kierowników powiatowych jednostek organizacyjnych” przetwarzane s dane osobowe w
zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
h) Wykształcenie
i)
j)
Numer telefonu
57. W zbiorze danych „Wykaz osób ubezpieczonych” przetwarzane s dane osobowe w zakresie:
a)
Nazwiska i imiona
b) Imiona rodziców
c)
Data urodzenia
e)
f)
h) Miejsce pracy
i)
Zawód
j)
Wykształcenie
l)
Numer telefonu
m) Stan zdrowia
58. W zbiorze danych „Wykaz pracowników pobieraj cych wiadczenia z ZF S” przetwarzane s
a)
Nazwiska i imiona
b) Data urodzenia
c)
Miejsce pracy
ROZDZIAŁ VII
SPOSÓB PRZEPŁYWU DANYCH POMI DZY POSZCZEGÓLNYMI SYSTEMAMI
§1
W Starostwie nie istniej
adne relacje pomi dzy ró nymi systemami informatycznymi.
Rozdział VIII
ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENO NYCH
PRZETWARZAJ CYCH DANE OSOBOWE
§1
Przetwarzanie danych osobowych przy u yciu komputerów przeno nych odbywa si mo e
wył cznie za wiedz i zgod Administratora Bezpiecze stwa Informacji.
§2
1. Osoba u ytkuj ca komputer przeno ny, w którym przetwarzane s dane osobowe,
zobowi zana jest do zwrócenia szczególnej uwagi na zabezpieczenie
przetwarzanych informacji, zwłaszcza przed dost pem do nich osób
nieupowa nionych oraz przed zniszczeniem.
2. Osoba u ytkuj ca komputer przeno ny zawieraj cy dane osobowe stosuje rodki
ochrony kryptograficznej wobec przetwarzanych danych osobowych.
§3
U ytkownik komputera przeno nego zobowi zany jest do:
1. Transportu komputera w sposób minimalizuj cy ryzyko kradzie y lub zniszczenia, a
w szczególno ci :
1) transportowania komputera w baga u podr cznym,
2) niepozostawiania komputera w samochodzie, przechowalni baga u itp.,
3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do
przenoszenia komputerów przeno nych.
2. Korzystania z komputera w sposób minimalizuj cy ryzyko podejrzenia przetwarzania
danych osobowych przez osoby nieupowa nione, w szczególno ci zabrania si
korzystania z komputera w miejscach publicznych i rodkach transportu publicznego.
3. Niezezwalania osobom nieupowa nionym ( w tym równie członkom rodziny i
znajomym) do korzystania z komputera przeno nego, na którym przetwarzane s dane
osobowe. U ytkownik powinien zachowa w tajemnicy wobec domowników
identyfikator i hasło, których podanie jest konieczne do rozpocz cia pracy na
komputerze przeno nym Administratora Danych.
4. Niepodł cznia komputera przeno nego do Internetu za wyj tkiem podł cze do sieci
informatycznej na stałym stanowisku pracy.
5. Zabezpieczenia komputera przeno nego hasłem zgodnie z ogólnymi zasadami
zarz dzania hasłami przy dost pie do systemów informatycznych przetwarzaj cych
dane osobowe oraz przez jego szyfrowanie.
6. Blokowanie komputera przeno nego w przypadku, gdy nie jest on wykorzystywany
przez pracownika, jak równie stosowania innych mechanizmów zabezpieczaj cych,
zgodnie z zaleceniami Administratora Bezpiecze stwa Informacji.
7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez
przypi cie go do stołu, biurka itp.
8. Kopiowanie danych osobowych przetwarzanych na komputerze przeno nym do
systemu informatycznego w celu umo liwienia wykonania kopii zapasowych tych
danych. Kopiowanie danych winno odbywa si w zale no ci od cz stotliwo ci zmian
w tych danych, jednak e nie rzadziej ni raz na tydzie , z wył czeniem okresów, gdy
komputer przeno ny nie jest u ytkowany.
9. Umo liwienia, poprzez podł czenie komputera przeno nego do sieci informatycznej
Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym.
Podł czenie do sieci informatycznej powinno odbywa si przynajmniej raz w
tygodniu. Je eli komputer przeno ny nie jest u ytkowany przez dłu szy czas (ponad
jeden tydzie ) to rozpoczynaj c prac u ytkownik jest zobowi zany podł czy
komputer przeno ny do sieci informatycznej Starostwa w celu aktualizacji wzorców
wirusów.
§4
U ytkownicy komputerów przeno nych nie mog , bez zgody Administratora Systemu,
instalowa na u ytkowanych przez siebie komputerach oprogramowania.
§5
1. Administrator Systemu zobowi zany jest do podj cia działa w celu zabezpieczenia
komputerów przeno nych u ytkowanych do przetwarzania danych osobowych.
2. W szczególno ci Administrator Systemu winien:
1) dokona konfiguracji oprogramowania na komputerach przeno nych w sposób
wymuszaj cy korzystanie z haseł, wykorzystywanie haseł odpowiedniej
jako ci, zgodnie z wymaganiami dla systemu informatycznego
przetwarzaj cego dane osobowe oraz wymuszaj cy okresow zmian haseł
zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane
osobowe,
2) zabezpieczy dane osobowe przetwarzane na komputerach przeno nych
poprzez zastosowanie oprogramowania szyfruj cego te dane. Dost p do
danych jest mo liwy wył cznie po podaniu wła ciwego hasła. Administrator
Systemu przechowuje hasła administracyjne umo liwiaj ce konfiguracj
oprogramowania szyfruj cego oraz awaryjne odszyfrowanie zabezpieczonych
informacji. Hasła administracyjne przechowywane s w postaci listy, do której
wgl d ma Administrator Bezpiecze stwa Informacji oraz Starosta Pabianicki
lub Sekretarz Powiatu,
3) dokona instalacji i konfiguracji oprogramowania antywirusowego na
komputerze przeno nym zgodnie z obowi zuj cymi przepisami w zakresie
ochrony antywirusowej w systemach informatycznych przetwarzaj cych dane
osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z
zasadami zarz dzania systemami antywirusowymi,
4) rozwa y mo liwo instalacji oprogramowania pozwalaj cego na
szyfrowanie informacji przesyłanych przy u yciu sieci teleinformatycznych, o
ile istnieje uzasadniona potrzeba zdalnego dost pu i przesyłania danych
pomi dzy komputerem przeno nym a systemem informatycznym
przetwarzaj cym dane osobowe. W przypadku zastosowania takiego
oprogramowania dokona jego konfiguracji w sposób gwarantuj cy
bezpieczne i efektywne przesyłanie danych,
5) rozwa y mo liwo zdalnego dost pu do systemu informatycznego
przetwarzaj cego dane osobowe z wykorzystaniem ł czy komutowanych, o ile
istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne
przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych.
6) w przypadku mo liwo ci zdalnego dost pu do systemu informatycznego
przetwarzaj cego dane osobowe okre li uprawnienia u ytkownika i zakres
danych.
§6
1. Administrator Systemu jest odpowiedzialny za okre lenie zakresu danych osobowych,
które mog by przetwarzane na komputerach przeno nych.
2. W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego
przetwarzaj cego dane osobowe Administrator Systemu mo e ponadto okre li
uprawnienia u ytkownika i zakres dost pnych dla niego danych osobowych przy
pracy zdalnej.
3. Administrator Systemu mo e wprowadzi zasad , i mo liwe jest wył cznie
przesyłanie danych do systemu informatycznego w celu zapewnienia mo liwo ci
wykonania kopii zapasowych.
4. Administrator Systemu dystrybuuje opis ogranicze , o którym mowa w ust.3, w ród
u ytkowników komputerów przeno nych przetwarzaj cych dane osobowe oraz
kontroluje przestrzeganie tych zasad.
§7
1. Administrator Systemu jest odpowiedzialny za prowadzenie w systemie
elektronicznym ewidencji komputerów przeno nych wykorzystywanych do
przetwarzania danych osobowych.
2. W szczególno ci ewidencja ta obejmuje:
1) typ i numer seryjny komputera,
2) adres IP komputera
3) imi i nazwisko osoby b d cej u ytkownikiem komputera,
4) oprogramowanie zainstalowane na komputerze,
5) rodzaj i zakres danych osobowych przetwarzanych na komputerze
przeno nym.
3. Administrator Systemu w razie potrzeby wskazuje w dokumencie komputera
przeno nego osobie upowa nionej do przetwarzania danych osobowych konieczno i
cz stotliwo sporz dzania kopii zapasowych danych przetwarzanych na komputerze
przeno nym oraz okre la zasady:
1) post powania w razie nieobecno ci w pracy dłu ej ni 5 dni. Je li komputer
przeno ny nie mo e by zwrócony przed okresem nieobecno ci, to u ytkownik
tego komputera powinien niezwłocznie powiadomi o tym Administratora
Bezpiecze stwa Informacji i uzgodni z nim zwrot komputera przeno nego
Administratorowi Danych;
2) zwrotu sprz tu w razie zako czenia pracy u Administratora Danych.
4. Ewidencja, o której mowa w ust. 1, jest prowadzona niezale nie od metryk
komputerów prowadzonych na podstawie odr bnych przepisów.
§8
W razie zagubienia lub kradzie y komputera przeno nego pracownik zobowi zany jest do
natychmiastowego powiadomienia Administratora Bezpiecze stwa Informacji lub osoby
przez niego upowa nionej zgodnie z zasadami informowania o naruszeniu ochrony danych
osobowych.
§9
W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy
dotycz ce przetwarzania danych osobowych w systemach informatycznych na komputerach
stacjonarnych.
ROZDZIAŁ IX
STRATEGIA ZABEZPIECZENIE DANYCH OSOBOWYCH
(DZIAŁANIA NIEZB DNE DO ZAPEWNIENIA POUFNO CI, INTEGRALNO CI
I ROZLICZALNO CI PRZETAWARZANYCH DANYCH OSOBOWYCH)
Cele ochrony
§1
1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych
osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie.
Okre lone ni ej sposoby zabezpiecze dotycz :
1) zabezpiecze przed dost pem do danych osób nieupowa nionych na etapie
eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych,
wy wietlania lub drukowania zestawie ,
2) ochrony danych zarchiwizowanych na no nikach zewn trznych, procedur niszczenia
niepotrzebnych wydruków lub no ników danych,
3) systemu zabezpiecze przed dost pem osób niepowołanych do pomieszcze ,
w których s eksploatowane urz dzenia oraz sposobów dost pu do tych pomieszcze
pracowników, personelu pomocniczego Starostwa oraz serwisu zewn trznego,
4) monitorowania systemu zabezpiecze ,
5) zakresu obowi zków pracowników – w cz ci dotycz cej bezpiecze stwa danych.
2. Strategia ochrony danych osobowych opiera si na nast puj cych zasadach:
1) fizyczny dost p do pomieszcze , w których eksploatowane s systemy informatyczne
blokuj drzwi i systemy alarmowe,
2) podstawowym sposobem zabezpieczenia danych i dost pu do nich jest system
definiowania u ytkowników, grup u ytkowników oraz haseł. S to zabezpieczenia
programowe wmontowane w eksploatowane systemy uniemo liwiaj ce dost p do
systemu osobom nieupowa nionym,
3) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony
danych, jak oferuje system operacyjny,
4) dodatkowe kopie danych zarchiwizowanych na no nikach magnetycznych lub płytach
CD s przechowywane w oddzielnym budynku – chroni w ten sposób dane na
wypadek po aru, kl ski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja
tych no ników,
5) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawieraj ce
bazy danych jest zainstalowany system alarmowy i przeciwpo arowy,
6) zagadnienia zwi zane z ochrona danych i obowi zki st d wynikaj ce s uj te w
zakresach czynno ci pracowników,
7) ka dy pracownik podpisze stosowne o wiadczenie,
8) za cało polityki bezpiecze stwa odpowiada Administrator Bezpiecze stwa
Informacji.
§2
Zabezpieczenia
1. Nale y chroni dokumenty papierowe zawieraj ce dane osobowe przed ich fizycznym
uszkodzeniem lub zniszczeniem co uniemo liwiałoby odczytanie lub odzyskanie
informacji w nich zawartych.
2. Dokumenty papierowe zawieraj ce dane osobowe musz by chronione przed
zagro eniami ze strony otoczenia (ogie , wyciek wody itp.).
3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie , zniszczeniem
lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s
one zamkni te w odpowiednich szafach czy sejfach.
4. Wszystkie dokumenty papierowe zawieraj ce dane osobowe musz by oznaczone dla ich
identyfikacji.
5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach
papierowych bez zgody Administratora Bezpiecze stwa Informacji lub osoby przez niego
upowa nionej.
6. Ka dy dokument papierowy zawieraj cy dane osobowe przeznaczony do usuni cia lub
wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpiecze stwa
Informacji lub upowa nionej przez niego osoby.
7. Utrata i kradzie dokumentów papierowych zawieraj cych dane osobowe powinna by
niezwłocznie zgłoszona Administratorowi Bezpiecze stwa Informacji.
8. Ka dy dokument papierowy zawieraj cy dane osobowe, maj cy charakter dokumentu
roboczego, nale y na koniec pracy zniszczy w niszczarce papieru lub schowa w
odpowiedniej zamykanej szafie.
§3
1. Nale y chroni no niki magnetyczne i optyczne zawieraj ce dane osobowe przed ich
fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiłoby odczytanie lub
odzyskanie informacji w nich zawartych.
2. No niki magnetyczne i optyczne zawieraj ce dane osobowe musz by chronione
przed zagro eniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne,
ogie , wyciek wody itp.).
3. No niki magnetyczne i optyczne zawieraj ce dane osobowe powinny by fizycznie
chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c
stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy
sejfach.
4. Wszystkie no niki magnetyczne i optyczne zawieraj ce dane osobowe musz by
oznaczone dla ich identyfikacji.
5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z no ników
magnetycznych i optycznych bez zgody Administratora Bezpiecze stwa Informacji.
6. No niki magnetyczne i optyczne zawieraj ce dane osobowe nie mog by wynoszone
poza siedzib Starostwa bez wcze niejszej zgody Administratora Bezpiecze stwa
Informacji.
7. Dyski magnetyczne i optyczne zawieraj ce dane osobowe wynoszone poza teren
Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowa nione za zgod
ABI według okre lonej przez niego procedury.
8. Dyski twarde lub inne no niki magnetyczne i optyczne zawieraj ce dane osobowe,
przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania
danych osobowych, pozbawia si wcze niej zapisu tych danych.
9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw
zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowa nionej
przez Administratora Bezpiecze stwa Informacji.
10. Ka dy no nik magnetyczny i optyczny przeznaczony do usuni cia ze Starostwa musi
uzyska odpowiednie pozwolenie Administratora Bezpiecze stwa Informacji.
11. Niszczenia zu ytych lub uszkodzonych no ników magnetycznych i optycznych
zawieraj cych dane osobowe dokonuje Administrator Bezpiecze stwa Informacji
według okre lonej procedury.
12. Utrata lub kradzie no nika magnetycznego i optycznego z danymi osobowymi
powinna by niezwłocznie zgłoszona do Administratora Bezpiecze stwa Informacji.
§4
Wprowadza si nast puj ce zabezpieczenia danych osobowych przetwarzanych w systemie
informatycznym:
1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe
wprowadza si wysoki poziom zabezpiecze .
2. Pomieszczenia, w których stoi serwer i komputery zawieraj ce dane osobowe i
kartoteki osobowe s zabezpieczone poprzez okna zabezpieczone przez system
alarmowy i przeciwpo arowy.
3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i
stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze
UPS.
4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga
podania hasła BIOS-u.
5. Zalogowanie si do systemu wymaga podania nazwy u ytkownika i hasła. Ka dy
u ytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby
logowania s rejestrowane, a po 3 nieudanych próbach logowania nast puje czasowa
blokada konta. Logowanie do systemu mo liwe jest tylko w godzinach pracy
Starostwa.
6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system
kont (zabezpieczonych hasłami) i uprawnie .
7. Administrator Systemu ma uprawnienia do definiowania identyfikatorów
u ytkowników i haseł.
8. Wykorzystany jest system szyfrowania danych (dost pny w systemie operacyjnym)
uniemo liwiaj cy odczyt danych osobom nieupowa nionym.
9. W celu ochrony przed dost pem do danych komputera z sieci publicznej wykorzystuje
si system zapory ogniowej dost pnej w systemie operacyjnym.
10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na ka dym
komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów
odpowiada upowa niony informatyk Biura Zarz du Powiatu.
11. Wydruki zawieraj ce dane osobowe powinny znajdowa si w miejscu, które
uniemo liwia dost p osobom postronnym.
12. Kopie zapasowe na no nikach magnetycznych wykonuje Administrator Systemu.
Kopie bezpiecze stwa przechowywane s
w sejfie zlokalizowanym w
pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa . Zapasowe
kopie bezpiecze stwa s przechowywane równie w budynku Powiatowego O rodka
Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w szafie pancernej.
Dost p do no ników zawieraj cych kopie danych maj tylko uprawnione osoby.
13. Stosuje si nast puj ce zabezpieczenia organizacyjne przed dost pem do danych osób
niepowołanych:
1) dost p do danych maj
wył cznie pracownicy upowa nieni przez
Administratora Danych,
2) w pokoju, do którego dost p maj petenci monitory komputerowe ustawione s
w ten sposób, by petenci nie widzieli zapisów na ekranie,
3) w przypadku dłu szej bezczynno ci uruchamiane s tzw. wygaszacie ekranu,
których deaktywacja jest mo liwa po podaniu prawidłowego hasła
u ytkownika,
4) cz stotliwo tworzenia kopii zapasowych okre la instrukcja archiwowania
zasobów. Za wykonanie tych kopii odpowiedzialne s osoby przetwarzaj ce
dane osobowe,
5) tworzeniem kopii bezpiecze stwa na no nikach optycznych (płyty CD-R/CDRW) zajmuje si Administrator Systemu.
§5
Bezpiecze stwo osobowe
1. Administrator Danych przeprowadza nabór na wolne stanowiska w drodze konkursu.
Kandydaci na pracowników s dobierani z uwzgl dnieniem ich kompetencji
merytorycznych, a tak e kwalifikacji moralnych. Zwraca si uwag na takie cechy
kandydata, jak uczciwo , odpowiedzialno , przewidywalno zachowa .
2. Ryzyko utraty bezpiecze stwa danych przetwarzanych przez administratora danych
pojawiaj ce si ze strony osób trzecich, które maj dost p do danych osobowych (np.
serwisanci), jest minimalizowane przez podpisanie umów powierzenia przetwarzania
danych osobowych.
3. Ryzyko ze strony osób, które potencjalnie mog w łatwiejszy sposób uzyska dost p
do danych osobowych (np. osoby sprz taj ce pomieszczenia administratora danych),
jest minimalizowane przez zobowi zywanie ich do zachowania tajemnicy na
podstawie odr bnych, pisemnych o wiadcze .
§6
Strefy bezpiecze stwa
1. W siedzibie Administratora Danych wydzielono stref bezpiecze stwa klasy I, w której
dost p do informacji zabezpieczony jest wewn trznymi rodkami kontroli. W skład tej
strefy wchodz :
1) pomieszczenie z serwerem (pokój nr 11), w którym mog przebywa wył cznie
informatycy Biura Zarz du Powiatu, inne osoby upowa nione do przetwarzania tylko
w towarzystwie tych pracowników, a osoby postronne w ogóle nie maj dost pu;
zło ony na portierni klucz do tego pokoju jest przechowywany w woreczku
zalakowanym referentk ;
2) pomieszczenie Wydziału Finansowego z kas pancern (pokój nr 31a), w którym mog
przebywa pracownicy tego Wydziału, inni u ytkownicy danych tylko w towarzystwie
tych pracowników , a osoby postronne w ogóle nie maj dost pu; zło ony na portierni
klucz do tego pokoju jest przechowywany w woreczku zalakowanym referentk .
2. W strefie bezpiecze stwa klasy II do danych osobowych maj dost p wszystkie osoby
upowa nione do przetwarzania danych osobowych zgodnie z zakresami upowa nie do ich
przetwarzania, a osoby postronne mog w niej przebywa tylko w obecno ci pracownika
upowa nionego do przetwarzania danych osobowych. Strefa ta obejmuje wszystkie
pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie
Administratora Danych.
§7
Zabezpieczenie sprz tu
1. Serwer jest zlokalizowany w odr bnym, klimatyzowanym pomieszczeniu,
zamykanym drzwiami antywłamaniowymi klasy C (pokój nr 13 ). Okno tego
pomieszczenia zabezpieczone jest foli antywłamaniow . W pokoju nr mog
przebywa wył cznie informatycy Biura Zarz du Powiatu, inne osoby upowa nione
do przetwarzania tylko w ich towarzystwie, a osoby postronne w ogóle nie maj
dost pu.
2. Informatycy Biura Zarz du Powiatu wskazuj u ytkownikom, jak post powa , aby
zapewni prawidłow eksploatacj systemu informatycznego, a zwłaszcza:
1) ochron no ników przeno nych – w tym tak e no ników danych, na których
przechowywane s kopie zapasowe,
2) prawidłow lokalizacj komputerów.
3. Wszystkie urz dzenia systemu informatycznego Administratora Danych s zasilane
za po rednictwem zasilaczy awaryjnych (UPS).
4. Okablowanie sieciowe zostało zaprojektowane w ten sposób, e dost p do linii
teletransmisyjnych jest mo liwy tylko z pomieszcze zamykanych na klucz. Ponadto
kable sieciowe nie krzy uj si z okablowaniem zasilaj cym, co zapobiega
interferencjom.
5. Bie ca konserwacja sprz tu wykorzystywanego przez Administratora Danych do
przetwarzania danych prowadzona jest tylko przez jego pracowników, przede
wszystkim informatyków zatrudnionych w Biurze Zarz du Powiatu . Natomiast
powa ne naprawy wykonywane przez serwisantów realizowane s w siedzibie
Administratora Danych po zawarciu z podmiotem wykonuj cym napraw umowy o
Powierzenie przetwarzania danych osobowych, okre laj cej kary umowne za
naruszenie bezpiecze stwa danych.
6. Administrator Systemu dopuszcza konserwowanie i napraw sprz tu poza siedzib
Administratora Danych jedynie po trwałym usuni ciu danych osobowych. Zu yty
sprz t słu cy do przetwarzania danych osobowych mo e by zbywany dopiero po
trwałym usuni ciu danych, a urz dzenia uszkodzone mog by przekazywane w celu
utylizacji (je li trwałe usuni cie danych wymagałoby nadmiernych nakładów ze
strony administratora) wła ciwym podmiotom, z którymi tak e zawiera si umowy
powierzenia przetwarzania danych.
7. Wszystkie awarie, działania konserwacyjne i naprawy systemu informatycznego s
opisywane w stosownych protokołach, podpisywanych przez osoby w tych
działaniach uczestnicz ce, a tak e przez Administratora Bezpiecze stwa Informacji.
§8
Zabezpieczenia we własnym zakresie przez osob upowa nion do przetwarzania
danych osobowych
Niezwykle wa ne dla bezpiecze stwa danych jest wyrobienie przez ka d osob
upowa nion do przetwarzania danych lub u ytkownika nawyku:
1) ustawiania ekranów komputerowych tak, by osoby niepowołane nie mogły ogl da ich
zawarto ci, a zwłaszcza nie naprzeciwko wej cia do pomieszczenia,
2) niepozostawiania bez kontroli dokumentów, no ników danych i sprz tu w hotelach i
innych miejscach publicznych oraz w samochodach,
3) dbania o prawidłow wentylacj komputerów (nie mo na zasłania kratek
wentylatorów meblami, zasłonami lub stawia komputerów tu przy cianie),
4) niepodł czania do listew podtrzymuj cych napi cie przeznaczonych dla sprz tu
komputerowego innych urz dze , szczególnie tych łatwo powoduj cych spi cia (np.
grzejniki, czajniki, wentylatory),
5)
6)
7)
8)
pilnego strze enia akt, dyskietek, pami ci przeno nych i komputerów przeno nych,
kasowania po wykorzystaniu danych na dyskach przeno nych,
nieu ywania powtórnie dokumentów zadrukowanych jednostronnie,
niezapisywania hasła wymaganego do uwierzytelnienia si w systemie na papierze
lub innym no niku,
9) powstrzymywania si przez osoby upowa nione do przetwarzania danych osobowych
od samodzielnej ingerencji w oprogramowanie i konfiguracj powierzonego sprz tu
(szczególnie komputerów przeno nych), nawet gdy z pozoru mogłoby to usprawni
prac lub podnie poziom bezpiecze stwa danych,
10) przestrzegania przez osoby upowa nione do przetwarzania danych osobowych
swoich uprawnie w systemie, tj. wła ciwego korzystania z baz danych, u ywania
tylko własnego identyfikatora i hasła oraz stosowania si do zalece administratora
bezpiecze stwa informacji,
11) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po
zablokowaniu stacji roboczej w inny sposób,
12) kopiowania tylko jednostkowych danych (pojedynczych plików). Obowi zuje zakaz
robienia kopii całych zbiorów danych lub takich ich cz ci, które nie s konieczne do
wykonywania obowi zków przez pracownika. Jednostkowe dane mog by
kopiowane na no niki magnetyczne, optyczne i inne po ich zaszyfrowaniu i
przechowywane w zamkni tych na klucz szafach. Po ustaniu przydatno ci tych kopii
dane nale y trwale skasowa lub fizycznie zniszczy no niki, na których s
przechowywane,
13) udost pniania danych osobowych poczt
elektroniczn
tylko w postaci
zaszyfrowanej,
14) niewynoszenia na jakichkolwiek no nikach całych zbiorów danych oraz szerokich z
nich wypisów, nawet w postaci zaszyfrowanej,
15) wykonywania kopii roboczych danych, na których si wła nie pracuje, tak cz sto, aby
zapobiec ich utracie,
16) ko czenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego
dnia w odpowiednie obszary serwera, a nast pnie prawidłowym wylogowaniu si
u ytkownika i wył czeniu komputera oraz odci ciu napi cia w UPS i listwie,
17) niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich
wydruków zawieraj cych dane osobowe przed opuszczeniem miejsca pracy, po
zako czeniu dnia pracy,
18) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane s
dane osobowe, bez obecno ci osoby upowa nionej do przetwarzania danych
osobowych,
19) zachowania tajemnicy danych, w tym tak e wobec najbli szych,
20) chowania do zamykanych na klucz szaf wszelkich akt zawieraj cych dane osobowe
przed opuszczeniem miejsca pracy, po zako czeniu dnia pracy,
21) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po
22) zamykania okien w razie opadów czy innych zjawisk atmosferycznych, które mog
zagrozi bezpiecze stwu danych osobowych,
23) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po
24) zamykania drzwi na klucz po zako czeniu pracy w danym dniu i zło enia klucza na
portierni. Je li niemo liwe jest umieszczenie wszystkich dokumentów zawieraj cych
dane osobowe w zamykanych szafach, nale y powiadomi o tym kierownika
budynku, który zgłasza firmie sprz taj cej jednorazow rezygnacj z wykonania
usługi sprz tania. W takim przypadku tak e nale y zostawi klucz na portierni.
§9
Post powanie z no nikami i ich bezpiecze stwo
Osoby upowa nione do przetwarzania danych osobowych powinny pami ta zwłaszcza, e:
1. Dane z no ników przeno nych nieb d cych kopiami zapasowymi po wprowadzeniu
do systemu informatycznego Administratora Danych powinny by trwale usuwane z
tych no ników przez fizyczne zniszczenie (np. płyty CD-ROM) lub usuni cie
danych programem trwale usuwaj cym pliki. Je li istnieje uzasadniona konieczno ,
dane pojedynczych osób (a nie całe zbiory czy szerokie wypisy ze zbiorów) mog
by przechowywane na specjalnie oznaczonych no nikach. No niki te musz by
przechowywane w zamkni tych na klucz szafach, nieudost pnianych osobom
postronnym. Po ustaniu przydatno ci tych danych no niki powinny by trwale
kasowane lub niszczone.
2. No niki magnetyczne przekazywane na zewn trz powinny by pozbawione zapisów
zawieraj cych dane osobowe. Niszczenie poprzednich zapisów powinno odbywa
si poprzez wymazanie informacji oraz formatowanie no nika.
3. Uszkodzone no niki przed ich wyrzuceniem nale y zniszczy fizycznie w niszczarce
słu cej do niszczenia no ników.
4. Zabrania si powtórnego u ywania do sporz dzania brudnopisów pism
jednostronnie zadrukowanych kart, je li zawieraj one dane chronione. Zaleca si
natomiast dwustronne drukowanie brudnopisów pism i sporz dzanie dwustronnych
dokumentów.
5. Po wykorzystaniu wydruki zawieraj ce dane osobowe nale y codziennie przed
zako czeniem pracy zniszczy w niszczarce. O ile to mo liwe, nie nale y
przechowywa takich wydruków w czasie dnia na biurku ani te wynosi poza
siedzib Administratora Danych.
§ 10
Wymiana danych i ich bezpiecze stwo
1. Bezpiecze stwo danych, a w szczególno ci ich integralno i dost pno , w du ym
stopniu zale y od zdyscyplinowanego, codziennego umieszczania danych w
wyznaczonych zasobach serwera. Pozwala to – przynajmniej w pewnym stopniu –
unikn wielokrotnego wprowadzania tych samych danych do systemu
informatycznego Administratora Danych.
2. Sporz dzanie kopii zapasowych nast puje w trybie opisanym w rozdziale IV
„Instrukcji zarz dzania systemem informatycznym słu cym do przetwarzania danych
osobowych w Starostwie Powiatowym w Pabianicach”.
3. Inne wymogi bezpiecze stwa systemowego s okre lane w instrukcjach obsługi
producentów sprz tu i u ywanych programów, wskazówkach Administratora
Bezpiecze stwa Informacji oraz „Instrukcji zarz dzania systemem informatycznym
słu cym do przetwarzania danych osobowych w Starostwie Powiatowym w
Pabianicach”.
4. Poczt elektroniczn mo na przesyła tylko jednostkowe dane, a nie całe bazy lub
szerokie z nich wypisy i tylko w postaci zaszyfrowanej. Chroni to przesyłane dane
przed „przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym
rozproszeniem ich w internecie.
5. Przed atakami z sieci zewn trznej wszystkie komputery Administratora Danych (w
tym tak e przeno ne) chronione s rodkami dobranymi przez Administratora
Systemu w porozumieniu z Administratorem Bezpiecze stwa Informacji. Wa ne jest,
by u ytkownicy zwracali uwag na to, czy urz dzenie, na którym pracuj , domaga si
aktualizacji tych zabezpiecze . O wszystkich takich przypadkach nale y informowa
Administratora Bezpiecze stwa Informacji lub informatyków Biura Zarz du Powiatu
oraz umo liwi im monitorowanie oraz aktualizacj rodków (urz dze , programów)
bezpiecze stwa.
6. Administrator Systemu w porozumieniu z Administratorem Bezpiecze stwa
informacji dobiera elektroniczne rodki ochrony przed atakami z sieci stosownie do
pojawiania si nowych zagro e (nowe wirusy, robaki, trojany, inne mo liwo ci
wdarcia si do systemu), a tak e stosownie do rozbudowy systemu informatycznego
Administratora Danych i powi kszania bazy danych. Jednocze nie nale y zwraca
uwag , czy rozwijaj cy si system zabezpiecze sam nie wywołuje nowych
zagro e .
7. Nale y stosowa nast puj ce sposoby kryptograficznej ochrony danych:
1) przy przesyłaniu danych za pomoc poczty elektronicznej stosuje si POP –
tunelowanie, szyfrowanie poł czenia,
2) przy przesyłaniu danych pracowników, niezb dnych do wykonania przelewów
wynagrodze , u ywa si bezpiecznych stron https://.
§ 11
Kontrola dost pu do systemu
1. Poszczególnym osobom upowa nionym do przetwarzania danych osobowych
przydziela si konta opatrzone niepowtarzalnym identyfikatorem, umo liwiaj ce
dost p do danych, zgodnie z zakresem upowa nienia do ich przetwarzania.
Administrator Systemu lub z jego upowa nienia inny informatyk Biura Zarz du
Powiatu po uprzednim przedło eniu upowa nienia do przetwarzania danych
osobowych, zawieraj cego odpowiedni wniosek inspektora Biura Zarz du Powiatu
prowadz cego sprawy kadrowe, przydziela pracownikowi upowa nionemu
do przetwarzania danych konto w systemie informatycznym, dost pne
po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem.
System wymusza zmian hasła przy pierwszym logowaniu.
2. W razie potrzeby, po uzyskaniu uprzedniej akceptacji Administratora Bezpiecze stwa
Informacji, Administrator Systemu lub z jego upowa nienia inny informatyk Biura
Zarz du Powiatu mo e przydzieli konto opatrzone identyfikatorem osobie
upowa nionej do przetwarzania danych osobowych, nieposiadaj cej statusu
pracownika.
3. Pierwsze hasło wymagane do uwierzytelnienia si w systemie przydzielane jest przez
Administratora Systemu po odebraniu od osoby upowa nionej do przetwarzania
danych o wiadczenia zawieraj cego zobowi zanie do zachowania w tajemnicy
pierwszego i nast pnych haseł oraz potwierdzenie odbioru pierwszego hasła.
4. Do zagwarantowania poufno ci i integralno ci danych osobowych konieczne jest
przestrzeganie przez u ytkowników swoich uprawnie w systemie, tj. wła ciwego
korzystania z baz danych, u ywania tylko własnego identyfikatora i hasła oraz
stosowania si do zalece Administratora Bezpiecze stwa Informacji i informatyków
Biura Zarz du Powiatu.
§ 12
Kontrola dost pu do sieci
1. System informatyczny posiada szerokopasmowe poł czenie z internetem. Dost p do
niego jest jednak ograniczony. Na poszczególnych stacjach roboczych mo na
przegl da tylko wyznaczone strony www.
2. Administrator Systemu wykorzystuje centraln zapor sieciow w celu separacji
lokalnej sieci od sieci publicznej.
3. Korzystanie z zasobów sieci wewn trznej (intranet) jest mo liwe tylko w zakresie
uprawnie przypisanych do danego konta osoby upowa nionej do przetwarzania
danych osobowych.
4. Operacje za po rednictwem rachunku bankowego Administratora Danych mo e
wykonywa wył cznie pracownik Wydziału Finansowego, upowa niony przez
Starost Pabianickiego, po uwierzytelnieniu si zgodnie z procedurami okre lonymi
przez bank obsługuj cy rachunek.
§ 13
Monitorowanie dost pu do systemu i jego u ycia
1. System informatyczny Administratora Danych dzi ki modułowi „Monitorowanie u ycia
stacji roboczej” ledzi, kto, kiedy i jakie programy uruchamia na poszczególnych stacjach
roboczych. Ponadto system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu,
2) identyfikatora u ytkownika wprowadzaj cego dane osobowe do systemu,
3) ródła danych - w przypadku zbierania danych nie od osoby, której one dotycz ,
4) informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe
zostały udost pnione, o dacie i zakresie tego udost pnienia,
5) sprzeciwu wobec przetwarzania danych osobowych, o którym mowa w art. 32 ust. 1
pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w pkt 1 i 2, nast puje automatycznie po
zatwierdzeniu przez u ytkownika operacji wprowadzenia danych.
3. Dla ka dej osoby, której dane osobowe s przetwarzane w systemie informatycznym,
system zapewnia sporz dzenie i wydrukowanie raportu zawieraj cego w powszechnie
zrozumiałej formie informacje, o których mowa w pkt 1-5.
4. Administrator Systemu przeprowadza synchronizacj zegarów stacji roboczych z
serwerem, ograniczaj c dopuszczalno zmian w ustawieniach zegarów. Jakiekolwiek
zmiany ustawie zegarów mog by dokonywane jedynie przez informatyków Biura
Zarz du z konta o uprawnieniach administracyjnych.
5. System informatyczny Administratora Danych umo liwia zapisywanie zdarze
wyj tkowych na potrzeby audytu i przechowywanie informacji o nich przez okre lony
czas. Zapisy takie obejmuj :
1) identyfikator u ytkownika,
2) dat i czas zalogowania i wylogowania si z systemu,
3) to samo stacji roboczej,
4) zapisy udanych i nieudanych prób dost pu do systemu,
5) zapisy udanych i nieudanych prób dost pu do danych osobowych i innych zasobów
systemowych.
§ 14
Przegl dy okresowe zapobiegaj ce naruszeniom obowi zku szczególnej staranno ci
Administratora Danych (art. 26 ust. 1 ustawy)
1. Administrator Bezpiecze stwa Informacji przeprowadza raz w roku przegl d
2.
3.
4.
5.
przetwarzanych danych osobowych pod k tem celowo ci ich dalszego przetwarzania.
Osoby upowa nione do przetwarzania danych osobowych, w tym zwłaszcza
naczelnicy poszczególnych wydziałów, s obowi zani współpracowa z
Administratorem Bezpiecze stwa Informacji w tym zakresie i wskazywa mu dane
osobowe, które powinny zosta usuni te ze wzgl du na zrealizowanie celu
przetwarzania danych osobowych lub brak ich adekwatno ci do realizowanego celu.
Administrator Bezpiecze stwa Informacji mo e zarz dzi przeprowadzenie
dodatkowego przegl du w wy ej okre lonym zakresie w razie zmian w
obowi zuj cym prawie, ograniczaj cych dopuszczalny zakres przetwarzanych danych
osobowych. Dodatkowy przegl d jest mo liwy tak e w sytuacji zmian
organizacyjnych Administratora Danych.
Z przebiegu usuwania danych osobowych nale y sporz dzi protokół podpisywany
przez Administratora Bezpiecze stwa Informacji i naczelnika wydziału, w którym
usuni to dane osobowe.
Wzory dokumentów przewiduj cych powiadomienie, o którym mowa w art. 24 lub
25 ustawy, mog by stosowane po zaakceptowaniu przez Administratora
Bezpiecze stwa Informacji.
Administrator Bezpiecze stwa Informacji przygotuje wykaz zbiorów danych
(ewidencyjnych), w którym poszczególnym kategoriom danych osobowych
przypisane zostan okresy ich przechowywania. Wykaz ten zostanie sporz dzony po
przeanalizowaniu przepisów wyznaczaj cych m.in. obowi zek przechowywania
dokumentacji czy te okresy przedawnienia roszcze udokumentowanych z
wykorzystaniem danych osobowych. Przed sporz dzeniem takiego wykazu
przygotowany zostanie wykaz przepisów, na mocy których przetwarzane s dane
osobowe, na podstawie wykazów cz stkowych, sporz dzonych przez poszczególne
komórki organizacyjne.
§ 15
Udost pnianie danych osobowych
1. Udost pnianie danych osobowych odbiorcom danych mo e nast pi wył cznie po zło eniu
wypełnionego wniosku, którego wzór został ustalony w zał czniku nr 1 do rozporz dzenia
Ministra Spraw Wewn trznych i Administracji z 3 czerwca 1998 r. w sprawie okre lenia
wzorów wniosku o udost pnienie danych osobowych, zgłoszenia zbioru danych do
rejestracji oraz imiennego upowa nienia i legitymacji słu bowej inspektora Biura
Generalnego Inspektora Ochrony Danych Osobowych.
2.Udost pnianie danych osobowych Policji
1) Udost pnianie danych osobowych funkcjonariuszom policji mo e nast pi tylko po
przedło eniu wniosku o przekazanie lub udost pnienie informacji. Wniosek ten
powinien mie form pisemn i zawiera :
a) oznaczenie wnioskodawcy,
b) wskazanie przepisów uprawniaj cych do dost pu do informacji,
c) okre lenie rodzaju i zakresu potrzebnych informacji oraz formy ich
przekazania lub udost pnienia,
d) wskazanie imienia, nazwiska i stopnia słu bowego policjanta upowa nionego
do pobrania informacji lub zapoznania si z ich tre ci .
2) Udost pnianie danych osobowych na podstawie ustnego wniosku zawieraj cego
wszystkie powy sze cztery elementy wniosku pisemnego mo e nast pi tylko wtedy,
gdy zachodzi konieczno niezwłocznego działania, np. w trakcie po cigu za osob
podejrzan o popełnienie czynu zabronionego albo podczas wykonywania czynno ci
maj cych na celu ratowanie ycia i zdrowia ludzkiego lub mienia.
3) Osoba udost pniaj ca dane osobowe jest obowi zana za da od policjanta
pokwitowania pobrania dokumentów zawieraj cych informacje przekazane na
podstawie pisemnego wniosku albo potwierdzenia faktu uzyskania wgl du w tre
informacji. Policjant jest obowi zany do pokwitowania lub potwierdzenia.
4) Je li informacje s przekazywane na podstawie ustnego wniosku, nale y stosownie
do okoliczno ci zwróci si z pro b o pokwitowanie albo potwierdzenie. Je li
pokwitowanie albo potwierdzenie ze wzgl du na okoliczno ci udost pniania nie s
mo liwe, osoba udost pniaj ca informacje sporz dza na t okoliczno notatk
słu bow .
5) Je li policjant pouczył osob udost pniaj c informacje o konieczno ci zachowania w
tajemnicy faktu i okoliczno ci przekazania informacji, to okoliczno ta jest
odnotowywana w rejestrze udost pnie niezale nie od odnotowania faktu
udost pnienia informacji.
3. Osoba upowa niona mo e udost pni dane osobowe innym słu bom i podmiotom
uprawnionym do ich otrzymania na mocy przepisów prawa.
Odpowiedzialno
§ 16
osób upowa nionych do przetwarzania danych osobowych
1. Niezastosowanie si do prowadzonej przez Administratora Danych Polityki
Bezpiecze stwa przetwarzania danych osobowych, której zało enia okre la niniejszy
dokument, i naruszenie procedur ochrony danych przez pracowników upowa nionych do
przetwarzania danych osobowych mo e by potraktowane jako ci kie naruszenie
obowi zków pracowniczych, skutkuj ce rozwi zaniem stosunku pracy bez wypowiedzenia
na podstawie art. 52 Kodeksu pracy.
2. Niezale nie od rozwi zania stosunku pracy osoby popełniaj ce przest pstwo b d
poci gane do odpowiedzialno ci karnej zwłaszcza na podstawie art. 51-52 ustawy oraz art.
266 Kodeksu karnego. Przykładowo przest pstwo mo na popełni wskutek:
1) stworzenia mo liwo ci dost pu do danych osobowych osobom nieupowa nionym
albo osobie nieupowa nionej,
2) niezabezpieczenia no nika lub komputera przeno nego,
3) zapoznania si z hasłem innego pracownika wskutek wykonania nieuprawnionych
operacji w systemie informatycznym Administratora Danych.
§ 17
Szkolenia
1. Ka dy u ytkownik systemu informatycznego przetwarzaj cego dane osobowe
powinien mie wiadomo zagro e wpływaj cych na bezpiecze stwo systemu
informatycznego, z którego korzysta.
2. System szkole szczegółowych obejmuje pracowników zatrudnionych bezpo rednio
przy przetwarzaniu danych, w tym danych osobowych.
3. Tematyka szkole obejmuje:
1) przepisy i procedury ochrony danych osobowych, sporz dzania i
przechowywania ich kopii, niszczenia wydruków i zapisów na no nikach,
2) sposoby ochrony danych osobowych przed osobami postronnymi i procedury
udost pniania danych osobom, których one dotycz ,
3) obowi zki osób upowa nionych do przetwarzania danych osobowych,
4) odpowiedzialno
za naruszenie obowi zków z zakresu ochrony danych
osobowych,
5) zasady i procedury okre lone w Polityce Bezpiecze stwa.
4. Administrator Bezpiecze stwa Informacji uwzgl dnia nast puj cy plan szkole :
1) szkoli ka d osob , która ma by upowa niona do przetwarzania danych
osobowych,
2) szkolenia wewn trzne wszystkich osób upowa nionych do przetwarzania
danych osobowych przeprowadzane s w przypadku ka dej zmiany zasad lub
procedur ochrony danych osobowych,
3) przeprowadza szkolenia dla osób innych ni upowa nione do przetwarzania
danych osobowych, je li pełnione przez nie funkcje wi
si z
bezpiecze stwem danych osobowych.
§ 18
Archiwowanie danych
1. Dane systemów kopiowane s w trybie tygodniowym. Kopie zapasowe danych
osobowych zapisywanych w programach wykonywane s codziennie Odpowiedzialnym
za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługuj cy dany program
przetwarzaj cy dane.
2. Dodatkowo na koniec ka dego miesi ca wykonywane s kopie zapasowe z całego
programu przetwarzaj cego dane. No niki z kopiami bezpiecze stwa przekazywane do
sejfu zlokalizowanego w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i
Le nictwa.
3. Kopie zapasowe s przechowywane w szafie pancernej w budynku Powiatowego O rodka
Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. Osob odpowiedzialn za
wymian kopii awaryjnych na aktualne jest Administrator Bezpiecze stwa Informacji.
4. Dyskietki, na których zapisywane s kopie zapasowe s ka dorazowo wymazywane i
formatowane, w taki sposób, aby nie mo na było odtworzy ich zawarto ci. Płyty CD, na
których przechowuje si kopie awaryjne niszczy si trwale w sposób mechaniczny.
5. Okresow weryfikacj kopii zapasowych pod k tem ich przydatno ci do odtworzenia
danych przeprowadza Administrator Bezpiecze stwa Informacji lub osoba przez niego
upowa niona.
ROZDZIAŁ X
RODKI TECHNICZNE I ORGANIZACYJNE SŁU CE ZAPEWNIENIU
POUFNO CI, INTEGRALNO CI I ROZLICZALNO CI PRZETWARZANYCH
DANYCH OSOBOWYCH
§1
System informatyczny Starostwa, ze wzgl du na poł czenie z sieci publiczn , musi
zapewnia rodki bezpiecze stwa okre lone dla wysokiego poziomu bezpiecze stwa zgodnie
z § 6 ust. 4 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia
2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy
informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).
§2
Bezpiecze stwo fizyczne i elektroniczne
1. Gwarancj
zapewnienia bezpiecze stwa systemu informatycznego oraz
przetwarzanych i przechowywanych danych osobowych jest zapewnienie
bezpiecze stwa fizycznego.
2. Warunkiem zapewnienia bezpiecze stwa fizycznego systemu jest kontrola dost pu do
wszystkich stacji roboczych. W zwi zku z tym szczególn ochron obejmuje si
pomieszczenia, w których znajduj si serwery i w zły sieci oraz te, w których
przechowywane s składowane dane osobowe. Wy ej wymienione pomieszczenia
powinny by stale zamkni te, a dost p do nich powinni mie tylko Administrator
Bezpiecze stwa Informacji i osoby przez niego upowa nione. Pomieszczenia powinny
by wyposa one w elektroniczny system antywłamaniowy z całodobowym
monitoringiem sygnału alarmu.
3. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki
okresowo sprawdzane.
4. Szczególnie newralgiczne dla działania Starostwa systemy informatyczne takie jak
systemy finansowo-kadrowe powinny (w ramach mo liwo ci organizacyjnotechnicznych i finansowych) zosta wydzielone z pozostałej cz ci Starostwa. Sie
komputerowa tych wydziałów i komórek organizacyjnych Starostwa (w ramach
mo liwo ci technicznych i finansowych) powinna zosta wydzielona z sieci
obsługuj cej pozostał cz
Starostwa i obj ta dodatkowymi zabezpieczeniami.
5. Obowi zkiem osoby u ytkuj cej komputer przeno ny zawieraj cy dane osobowe jest
zachowanie szczególnej ostro no ci podczas jego transportu, przechowywania i
u ytkowania poza pomieszczeniami tworz cymi obszar, w którym przetwarzane s
dane osobowe. Nale y d y do powszechnego stosowania ochrony kryptograficznej
w takich przypadkach.
§3
1. Ochron fizyczn budynków Starostwa przy ul. Piłsudskiego 2 stanowi zamki
drzwiowe, okratowania okien oraz całodobowy 24 godzinny elektroniczny system
alarmowy poł czony ze stacj monitoruj c Agencji Ochrony Mienia i Osób
„ARGUS” w Pabianicach.
2. Ochron fizyczn budynków Starostwa przy ul. Piłsudskiego 2 zapewnia system
monitoringu wizyjnego składaj cy si z 4 kamer i stacji rejestruj cej wszelkie ruchy
osób i pojazdów przez 24 godziny na dob .
3. Ochron fizyczn budynku „A” Starostwa przy ul. Piłsudskiego 2 w godzinach 16.00
– 20.00 zapewnia stra nik Agencji Ochrony Mienia i Osób „ROKA” w Piotrkowie
Trybunalskim.
§4
1. Przebywanie pracowników
na terenie budynków Starostwa po godzinach pracy
reguluje odr bne zarz dzenie Starosty Pabianickiego.
2. Godzin pobrania i zdania kluczy od poszczególnych pomieszcze odnotowuje si w
specjalnie do tego przeznaczonym zeszycie, w którym odnotowuje si w
3.
4.
5.
6.
szczególno ci: dat , godzin pobrania kluczy, numer pokoju, imi i nazwisko osoby
pobieraj cej klucze oraz godzin zdania kluczy.
Klucze od pomieszcze serwerowni głównej zlokalizowanej w budynku „A” mog
pobiera wył cznie w nast puj cej kolejno ci:
1) Administrator Bezpiecze stwa Informacji,
2) Administrator Systemu,
3) pozostali informatycy zatrudnieni w Starostwie,
4) Sekretarz Powiatu.
Klucze od pomieszcze serwerowni Wydziału Komunikacji i Transportu
zlokalizowanej w budynku „D” s w dyspozycji Naczelnika Wydziału Komunikacji
i Transportu oraz pracownika wyznaczonego przez tego Naczelnika.
Klucze od serwerowni, o których mowa w ust. 3 i 4, przechowywane s :
1) klucz od serwerowni w budynku „A” przechowywany jest w zamykane szafce
zamontowanej w pokoju „Informacji”,
2) klucz od serwerowni w budynku „D” przechowywany jest w szafie metalowej
ustawionej w pokoju Naczelnika Wydziału Komunikacji i Transportu.
Pomieszczenia serwerowni w budynku „A” i w budynku „D” po zako czeniu pracy s
plombowane przez osoby, które s upowa nione do pobierania do nich kluczy.
§5
Wykorzystanie mechanizmów systemu operacyjnego
1. System operacyjny Microsoft Windows NT/2000 posiada rozbudowane mechanizmy
nadawania uprawnie i praw dost pu. Dla pełnego wykorzystania tych mechanizmów
nale y stosowa system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony
plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku
lub awarii systemu.
2. Dla zwi kszenia efektywno ci centralnego zarz dzania i ledzenia zdarze w sieci
nale y wykorzystywa mechanizmy Active Directory i oprogramowanie do
zarz dzania i analizy sieci z centralnym punktem zarz dzania usytuowanym w
Starostwie.
3. Nale y d y do zast pienia systemów operacyjnych Microsoft Windows 95/98 (nie
maj wbudowanych wystarczaj cych mechanizmów bezpiecze stwa) systemem
operacyjnym Microsoft Windows NT/2000, jako zapewniaj cego minimalne
bezpiecze stwo dla serwerów i stacji roboczych systemu informatycznego.
§6
Zarz dzanie oprogramowaniem
1. Najwy sze uprawnienia w systemie informatycznym posiada Administrator
Bezpiecze stwa Informacji.
2. Tylko Administrator Systemu jest osob uprawnion do instalowania i usuwania
oprogramowania systemowego i narz dziowego.
3. Dopuszcza si instalowanie tylko legalnie pozyskanych programów, niezb dnych do
wykonywania ustawowych zada Starostwa
i posiadaj cych wa n licencj
u ytkowania.
§7
Uwierzytelnianie u ytkowników
1. Dost p do systemu informatycznego słu cego do przetwarzania danych osobowych,
mo e uzyska wył cznie osoba (u ytkownik) zarejestrowana w tym systemie przez
Administratora Systemu na wniosek inspektora Biura Zarz du Powiatu prowadz cego
sprawy kadrowe.
2. Dost p do systemów operacyjnych serwerów i stacji roboczych powinien by
chroniony przez nazw u ytkownika i hasło. Zespół ten tworzy jedn z głównych linii
obrony przed intruzami. Dlatego nale y u wiadamia u ytkownikom rol , jak w
systemie ochrony odgrywa dobrze wybrane „trudne” hasło o odpowiednio dobranym
czasie ycia. Jednocze nie nale y wdro y mechanizmy systemowe kontroluj ce
składni i czas ycia haseł. System ma wbudowane mechanizmy ograniczaj ce liczb
bł dnych prób logowania oraz umo liwia wskazanie stacji roboczych, na których dany
u ytkownik mo e pracowa . Zalecane jest ustawienie blokady konta u ytkownika na 3
do 5 prób logowania.
3. Identyfikator u ytkownika składa si z ci gu znaków literowych , z których pierwszy
odpowiada pierwszej literze imienia u ytkownika, a kolejne odpowiadaj literom
jego nazwiska. W przypadku nazwisk wieloczłonowych identyfikator winien zawiera
jeden człon. W identyfikatorze pomija si polskie znaki diakrytyczne.
4. Hasło powinno składa si z unikalnego zestawu co najmniej o miu znaków, zawiera
małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie mo e by identyczne z
identyfikatorem u ytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia si
nie rzadziej ni co 30 dni.
5. U ytkownikom systemu nie wolno udost pnia swojego identyfikatora i hasła innym
osobom.
§8
Redundancja sprz towa i programowa
1. Dla zapewnienia wysokiej niezawodno ci systemu Administrator Bezpiecze stwa
Informacji
opracowuje i wprowadzi procedury awaryjne (np. na wypadek
uszkodzenia głównego serwera).
2. Nale y rygorystycznie przestrzega
wymogu przechowywania no ników
zawieraj cych awaryjne kopie danych i systemów w pomieszczeniach innych ni
pomieszczenia, w których przechowywane s dane przeznaczone do bie cego u ytku.
Jednocze nie dane te musz by odpowiednio zabezpieczone fizycznie (sejf, najlepiej
ognioodporny, w zabezpieczonym pomieszczeniu).
§9
Zapewnienie stałego zasilania energi
1. Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS.
2. W przypadku stacji roboczych, UPS stosuje si w zale no ci od potrzeb i mo liwo ci
finansowych.
§ 10
Procedury przeciwpo arowe
1. Pomieszczenia, w których systemy komputerowe pracuj bez nadzoru, szczególnie
pomieszczenia z serwerami pracuj cymi w systemie pracy ci głej powinny by
wyposa one w elektroniczny system wykrywania po aru (czujki reaguj ce na ogie ,
dym, temperatur ). Sygnalizacja alarmu powinna by obj ta całodobowym
monitoringiem.
2. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki
okresowo sprawdzane.
3. System wykrywania po aru powinien obejmowa pomieszczenia, w których
przechowywane s awaryjne kopie danych.
§ 11
Procedury awaryjne i procedury na wypadek kl sk ywiołowych i ewakuacji
1. Zapewnieniu ci głej dost pno ci informacji słu
procedury post powania w
przypadku wydarze losowych (np. awaria serwera, zalanie pomieszczenia itp.).
2. Procedury, o których mowa w ust.1 powinny obejmowa uruchomienie systemu w
minimalnej konfiguracji udost pniaj cej zasoby systemu.
3. Komputery przewidywane na awaryjne serwery powinny sta w pomieszczeniach
innych ni serwery bie co eksploatowane.
4. W przypadku gdyby doszło do ewakuacji nale y w pierwszej kolejno ci zapewni
bezpiecze stwo danym.
§ 12
Profilaktyka antywirusowa
1. Wszystkie serwery i stacje robocze musz posiada zainstalowany program
antywirusowy, z mo liwie cz sto aktualizowan baz wykrywanych wirusów,
sprawdzaj cy w trybie rzeczywistym wszystkie przychodz ce i wychodz ce pliki.
Zabronione jest blokowanie pracy tego programu.
2. Dla zapewnienia ochrony przed wirusami i innymi niepo danymi kodami sprawdza
si wszystkie zbiory przychodz ce z sieci rozległej i Internetu.
3. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje si , co
najmniej raz w tygodniu, cało ciowym testem antywirusowym.
§ 13
Przeciwdziałanie nowym technikom łamania zabezpiecze oraz eliminacja luk
wykrytych w zabezpieczeniach systemów
W zwi zku z dynamicznym rozwojem technik słu cych do atakowania systemów
informatycznych Administrator Systemu powinien na bie co ledzi informacje na temat
wykrytych luk i wprowadza zalecane zabezpieczenia.
§ 14
Procedury tworzenia kopii zapasowych ich przechowywania i ochrony
1. Dla systemów finansowo-kadrowych kopie bezpiecze stwa wykonuje si codziennie.
2. Dla pozostałych danych o cz stotliwo ci składowania decyduje Administrator
Bezpiecze stwa Informacji, w zale no ci od liczby wprowadzanych zmian, nie
rzadziej jednak ni raz w miesi cu.
3. Kopie zapasowe przechowuje si w ognioodpornym sejfie umieszczonym w
pomieszczeniu innym, ni dane przetwarzane na bie co.
4. Kopie awaryjne podlegaj takiej samej ochronie jak serwery zawieraj ce dane bie co
przetwarzane. Pomieszczenie, w którym s przechowywane kopie awaryjne, powinno
by obj te elektroniczn kontrol dost pu i elektronicznym systemem wykrywania
po aru
§ 15
Procedury post powania z no nikami informacji i wydrukami (wytwarzanie,
rejestrowanie, kasowanie, niszczenie)
1. Dla zachowania wysokiego poziomu bezpiecze stwa informacji w systemie
informatycznym okre la si procedury post powania z no nikami (dyskietki, kasety,
kr ki CD, no niki papierowe) zawieraj cymi informacje od chwili wytworzenia do
chwili skasowania lub zniszczenia.
2. Powinno si d y - dla zapewnienia szczelno ci systemu - aby no niki były opisane i
ewidencjonowane.
§ 16
Testy okresowe systemu ochrony
1. System ochrony powinien by w sposób ci gły nadzorowany i mo liwie cz sto
aktualizowany.
2. Kontrole i testy powinny obejmowa zarówno dost p do zasobów systemu, jak i
profile oraz uprawnienia poszczególnych u ytkowników.
3. Zapisy logów systemowych powinny by przegl dane codziennie oraz ka dorazowo
po wykryciu naruszenia zasad bezpiecze stwa.
§ 17
Zabezpieczanie przetwarzania niejawnych informacji
W systemach informatycznych Starostwa informacje niejawne mog by przetwarzane tylko
na wydzielonych komputerach dopuszczonych przez wła ciw słu b ochrony pa stwa, po
uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o
ochronie informacji niejawnych (Dz. U. Nr 11 poz. 95, z pó . zm.).
§ 18
Zabezpieczenia medium transmisyjnego
1. Poł czenia z sieci wewn trznej (Intranet) z sieci zewn trzn (Internet) mog by
wykonywane tylko za po rednictwem systemów firewall o odpowiednich parametrach
zainstalowanych w Starostwie. Jednocze nie zabrania si dokonywania jakichkolwiek
innych przył cze sieci Starostwa do sieci Internet.
2. Do przesyłania danych przy poł czeniach w sieci publicznej (Internet), z uwagi na
przetwarzane dane osobowe, powinny by wykorzystywane tylko kanały transmisji
udost pniane przez pracowników Starostwa. Kanały te powinny zawiera ochron
kryptograficzn .
3. Komputery przeno ne pracowników
podczas poł cze z sieci Internet,
wykonywanych poza sieci wewn trzn Starostwa, powinny by chronione swoimi
autonomicznymi systemami firewall.
4. Zasad konfigurowania systemów firewall powinno by blokowanie wszystkich usług,
które s zb dne dla statutowej działalno ci Starostwa.
§ 19
Konserwacja i naprawy sprz tu i oprogramowania
1. Wszelkie naprawy i konserwacje sprz tu i oprogramowania mog odbywa si tylko
w obecno ci osób uprawnionych.
2. Urz dzenia informatyczne słu ce do przetwarzania danych osobowych mo na
przekaza do naprawy dopiero po uzyskaniu zgody Administratora Bezpiecze stwa
Informacji.
ROZDZIAŁ XI
OPIS ZDARZE NARUSZAJ CYCH OCHRON DANYCH OSOBOWYCH
§1
Zagro enia naruszaj ce ochron danych osobowych s nast puj ce:
1. Zagro enia losowe zewn trzne – w szczególno ci kl ski ywiołowe, przerwy w
zasilaniu – ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich
wyst powanie mo e prowadzi do utraty integralno ci danych, ich zniszczenia i
uszkodzenia infrastruktury technicznej systemu, ci gło systemu zostaje zakłócona,
nie dochodzi do naruszenia poufno ci danych,
2. Zagro enia losowe wewn trzne – w szczególno ci
niezamierzone pomyłki
operatorów, administratora systemu, awarie sprz towe, bł dy oprogramowania - mo e
doj do zniszczenia danych, mo e zosta zakłócona ci gło pracy systemu, mo e
nast pi naruszenie poufno ci danych,
3. Zagro enia zamierzone, wiadome i celowe - najpowa niejsze zagro enia,
naruszenia poufno ci danych, (zazwyczaj nie nast puje uszkodzenie infrastruktury
technicznej i zakłócenie ci gło ci pracy), zagro enia te mo emy podzieli na:
1) nieuprawniony dost p do systemu z zewn trz (włamanie do systemu),
2) nieuprawniony dost p do systemu z jego wn trza,
3) nieuprawniony przekaz danych,
4) pogorszenie jako ci sprz tu i oprogramowania,
5) bezpo rednie zagro enie materialnych składników systemu.
§2
Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia
zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to w
szczególno ci:
1. Sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na
zasoby systemu jak np.: wybuch gazu, po ar, zalanie pomieszcze , katastrofa
budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy remontowej
itp.
2. Niewła ciwe parametry rodowiska, jak np. nadmierna wilgotno
lub wysoka
temperatura, oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje
pochodz ce od urz dze przemysłowych.
3. Awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie w
kierunku naruszenia ochrony danych lub wr cz sabota , a tak e niewła ciwe działanie
serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru.
4. Pojawienie si odpowiedniego komunikatu alarmowego od tej cz ci systemu, która
zapewnia ochron zasobów lub inny komunikat o podobnym znaczeniu.
5. Jako danych w systemie lub inne odst pstwo od stanu oczekiwanego wskazuj ce na
zakłócenia systemu lub inn nadzwyczajn i niepo dan modyfikacj w systemie.
6. Nast piło naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w
tym systemie.
7. Stwierdzono prób lub modyfikacj danych lub zmian w strukturze danych bez
odpowiedniego upowa nienia (autoryzacji).
8. Nast piła niedopuszczalna manipulacja danymi osobowymi w systemie.
9. Ujawniono osobom nieupowa nionym dane osobowe lub obj te tajemnic procedury
ochrony przetwarzania albo inne strze one elementy systemu zabezpiecze .
10. Praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odst pstwa
od zało onego rytmu pracy wskazuj ce na przełamanie lub zaniechanie ochrony
danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest
formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym
logowaniu, itp.
11. Ujawniono istnienie nieautoryzowanych kont dost pu do danych lub tzw. „bocznej
furtki”, itp.
12. Podmieniono lub zniszczono no niki z danymi osobowymi bez odpowiedniego
upowa nienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe.
13. Ra co naruszono dyscyplin
pracy w zakresie przestrzegania procedur
bezpiecze stwa informacji (nie wylogowanie si przed opuszczeniem stanowiska
pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamkni cie
pomieszczenia z komputerem, nie wykonanie w okre lonym terminie kopii.
14. Bezpiecze stwa, prace na danych osobowych w celach prywatnych, itp.).
§3
Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci w zakresie
zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały,
urz dzenia archiwalne i inne) na no nikach tradycyjnych tj. na papierze (wydrukach), kliszy,
folii, zdj ciach, dyskietkach w formie niezabezpieczonej itp.
ROZDZIAŁ XII
ZASADY POST POWANIA W SYTUACJI NARUSZENIA SYSTEMU OCHRONY
DANYCH OSOBOWYCH
§1
Niniejsze zasady okre laj tryb post powania w przypadku gdy:
1. Stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie
zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie,
2. Stan urz dzenia, zawarto zbioru danych osobowych, ujawnione metody pracy,
sposób działania programu lub jako komunikacji w sieci telekomunikacyjnej, mog
wskazywa na naruszenie zabezpiecze tych danych.
§2
O naruszeniu ochrony danych osobowych mog wiadczy w szczególno ci nast puj ce
symptomy:
1. Brak mo liwo ci uruchomienia przez u ytkownika aplikacji pozwalaj cej na dost p
do danych osobowych.
2. Brak mo liwo ci zalogowania si do tej aplikacji.
3. Ograniczone, w stosunku do normalnej sytuacji, uprawnienia u ytkownika aplikacji
(np. brak mo liwo ci wykonywania pewnych operacji normalnie dost pnych
u ytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji.
4. Wygl d aplikacji inny ni normalnie.
5. Inny zakres danych ni normalnie dost pny dla u ytkownika – du o wi cej lub du o
mniej danych.
6. Znaczne spowolnienie działania systemu informatycznego.
7. Pojawienie si niestandardowych komunikatów generowanych przez system
informatyczny.
8. lady włamania lub prób włamania do obszaru, w którym przetwarzane s dane
osobowe.
9. lady włamania lub prób włamania do pomieszcze , w których odbywa si
przetwarzanie danych osobowych, w szczególno ci do serwerowni oraz do
pomieszcze , w których przechowywane s no niki kopii awaryjnych.
10. Włamanie lub próby włamania do szafek, w których przechowywane s w postaci
elektronicznej lub papierowej – no niki danych osobowych.
11. Zagubienie lub kradzie no nika danych osobowych.
12. Zagubienie lub kradzie
no nika materiału krypotograficznego (karty
mikroprocesorowej, dyskietki itp).
13. Kradzie sprz tu informatycznego, w którym przechowywane były dane osobowe.
14. Informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego
wirusami.
15. Fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu
informatycznego przetwarzaj cego dane osobowe na skutek przypadkowych lub
celowych działa albo zaistnienia siły wy szej.
16. Podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w
systemie informatycznym.
§3
1. Dane osobowe zostaj ujawnione, gdy staj si znane w cało ci lub cz ci
pozwalaj cej na okre lenie osobom nie uprawnionym to samo ci osoby, której dane
dotycz .
2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza
obszarem bezpiecze stwa nale y przeprowadzi post powanie wyja niaj ce, czy dane
osobowe nale y uzna za ujawnione.
§4
1. Ka dy pracownik Starostwa bior cy udział w przetwarzaniu danych osobowych w
systemie informatycznym jest odpowiedzialny za bezpiecze stwo tych danych. W
szczególno ci osoba, która zauwa yła zdarzenie mog ce by przyczyn naruszenia
ochrony danych osobowych lub mog cych spowodowa naruszenie bezpiecze stwa
danych, zobowi zana jest do natychmiastowego poinformowania Administratora
Bezpiecze stwa Informacji lub innej osoby wskazanej przez niego.
2. Ka da osoba zatrudniona w Starostwie , która stwierdzi lub podejrzewa naruszenie
zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub
przetwarzanych w inny sposób), powinna niezwłocznie poinformowa o tym osob
zatrudnion przy przetwarzaniu danych osobowych lub Administratora
Bezpiecze stwa Informacji, lub Administratora Systemu, lub innego informatyka
Biura Zarz du Powiatu.
3. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przygotowanie i
opublikowanie wykazu osób, które mog by informowane w przypadku wyst pienia
zagro enia danych osobowych.
4. W przypadku niemo liwo ci zawiadomienia Administratora Bezpiecze stwa
Informacji lub osób przez niego upowa nionych, pracownik winien powiadomi
bezpo redniego przeło onego.
§5
1. Informacja o pojawieniu si zagro enia lub wyst pieniu zagro enia danych
osobowych przekazywana jest przez pracownika osobi cie, telefonicznie lub poczt
elektroniczn .
2. Informacja, o której mowa w ust. 1 powinna zawiera imi i nazwisko osoby
zgłaszaj cej oraz zauwa one symptomy zagro enia.
3. W przypadku gdy zgłoszenie o podejrzeniu zaistnienia incydentu otrzyma osoba inna
ni Administrator Bezpiecze stwa Informacji, jest ona obowi zana poinformowa o
tym fakcie Administratora Bezpiecze stwa Informacji.
4. Pracownik mo e zosta poproszony przez Administratora Bezpiecze stwa Informacji
o potwierdzenie zauwa onego faktu na pi mie.
§6
1. Do czasu przybycia Administratora Bezpiecze stwa Informacji lub upowa nionej
przez niego osoby, zgłaszaj cy:
1) niezwłocznie podejmuje czynno ci niezb dne do powstrzymania
niepo danych skutków zaistniałego naruszenia, o ile istnieje taka mo liwo ,
a nast pnie uwzgl dnia w działaniu równie ustalenie przyczyn lub sprawców,
2) zabezpiecza dost p do miejsca lub urz dzenia przez osoby trzecie,
3) wstrzymuje prac na komputerze na którym zaistniało naruszenie ochrony oraz
nie uruchamia bez koniecznej potrzeby komputerów i innych urz dze ,
których funkcjonowanie w zwi zku naruszeniem ochrony zostało
wstrzymane,
4) nie zmienia poło enia przedmiotów, które pozwalaj stwierdzi naruszenie
ochrony lub odtworzy jej okoliczno ci,
5) podejmuje, stosownie do zaistniałej sytuacji, inne niezb dne działania celem
zapobie enia dalszym zagro eniom, które mog skutkowa utrat danych
osobowych,
6) podejmuje inne działania przewidziane i okre lone w instrukcjach
technicznych i technologicznych stosownie do objawów i komunikatów
towarzysz cych naruszeniu,
7) wst pnie udokumentowa zaistniałe naruszenie.
2. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne je eli zachodzi
konieczno ratowania osób lub mienia albo zapobie enia gro cemu
niebezpiecze stwu.
§7
Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona, niezwłocznie
po uzyskaniu sygnału o naruszeniu danych osobowych, powinien :
1. Zapozna si z zaistniał sytuacj i dokona wyboru metody dalszego post powania
maj c na uwadze ewentualne zagro enia dla prawidłowo ci pracy Starostwa.
2. Zapisa wszelkie informacje zwi zane z danym zdarzeniem.
3. Na bie co wygenerowa i wydrukowa wszystkie mo liwe dokumenty i raporty,
które mog pomóc w ustaleniu okoliczno ci zdarzenia.
4. Przyst pi do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do
okre lenia skali zniszcze i metody dost pu do danych osoby niepowołanej.
5. Dokona fizycznego odł czenia urz dze i segmentów sieci, które mogły umo liwi
dost p do bazy danych osobie nie uprawnionej.
6. Wylogowa u ytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych.
7. Dokona zmiany hasła na konto Administratora Bezpiecze stwa Informacji i
u ytkownika, poprzez które uzyskano nielegalny dost p w celu unikni cia ponownej
próby włamania.
8. Za da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak
równie od ka dej innej osoby, która mo e posiada informacje zwi zane z
zaistniałym naruszeniem.
9. Rozwa y mo liwo i potrzeb powiadomienia o zaistniałym naruszeniu Starosty
Pabianickiego – Administratora Danych lub Sekretarza Powiatu.
10. Nawi za bezpo redni kontakt, je eli zachodzi taka potrzeba, ze specjalistami spoza
Starostwa.
11. Zamkn i opiecz towa urz dze , w których przechowywane s dane osobowe w
formie analogowej.
§8
Administrator Bezpiecze stwa Informacji podejmuje działania zmierzaj ce do wyja nienia
zgłoszonego zdarzenia. W szczególno ci mo e on dokonywa , w zale no ci od zgłoszonego
zdarzenia:
1. Wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia.
2. Przeprowadzenia wywiadów z pracownikami w celu ustalenia zaistniałych faktów.
3. Przeprowadzenia analizy poprawno ci funkcjonowania systemu informatycznego,
je eli zgłoszone zdarzenie było zwi zane z nieprawidłowym jego funkcjonowaniem.
4. Przeprowadzenia analizy zapisu zdarze
w systemie informatycznym z
uwzgl dnieniem zapisu operacji realizowanych przez u ytkowników.
5. Przeprowadzenia analizy danych przetwarzanych w systemie informatycznym, je eli
zgłoszone zdarzenie mogło by spowodowane utrat dost pno ci lub integralno ci
przetwarzanych danych.
6. Sporz dzenia dokumentacji fotograficznej.
7. Zabezpieczenia danych przetwarzanych w systemie informatycznym dotkni tym
incydentem, w szczególno ci danych konfiguracyjnych tego systemu.
8. Zebrania innych materiałów pozwalaj cych na wyja nienie przyczyn zaistnienia
incydentu, jego charakteru i potencjalnych skutków.
§9
Po wykonaniu czynno ci, o których mowa w § 7 i w § 8, Administrator Bezpiecze stwa
Informacji jest zobowi zany do podj cia kroków w celu:
1. Wyja nienia zdarzenia – w szczególno ci czy miało miejsce naruszenie ochrony
danych osobowych.
2. Wyja nienia przyczyn naruszenia bezpiecze stwa danych osobowych i zebranie
ewentualnych dowodów – w szczególno ci, gdy zdarzenie było zwi zane z celowym
działaniem pracowników b d osób trzecich.
3. Zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem si
zagro enia.
4. Usuni cie skutków incydentu i przywrócenie pierwotnego stanu systemu
informatycznego ( to jest sprzed incydentu).
5. Ewentualnego ukarania sprawców incydentu.
§ 10
Administrator Bezpiecze stwa Informacji przyst puje do usuwania skutków incydentu i
przywrócenia prawidłowego przebiegu procesu przetwarzania danych osobowych. W
szczególno ci działania zwi zane z usuwaniem skutków incydentu mog obejmowa :
1. Przeprowadzenie naprawy sprz tu informatycznego.
2. Rekonfiguracj sprz tu informatycznego.
3. Wprowadzenie poprawek do oprogramowania.
4. Rekonfiguracj oprogramowania.
5. Odtworzenie danych z kopii awaryjnych.
6. Modyfikacj danych w celu odtworzenia ich integralno ci.
7. Wycofanie z u ycia materiału kryptograficznego.
8. Inne naprawy urz dze wchodz cych w skład infrastruktury informatycznej i
wspomagaj cych lub zabezpieczaj cych działanie systemu informatycznego.
§ 11
Administrator Bezpiecze stwa Informacji mo e odst pi od usuwania skutków incydentu,
je eli został on spowodowany działaniem celowym, a całkowite wyja nienie zdarzenia i
wyci gni cie konsekwencji wobec sprawców jest istotniejsze ni przerwa w działaniu
systemu. Istniej cy stan systemu informatycznego jest niezmieniany w celach dowodowych
do czasu wyja nienia sprawy.
§ 12
Przy usuwaniu skutków incydentu z wykorzystaniem odtwarzania danych z kopii awaryjnych
Administrator Bezpiecze stwa Informacji obowi zany jest upewni si , e odtworzone dane
zostały zapisane przed wyst pieniem incydentu – w szczególno ci dotyczy to przypadków
odtwarzania systemu po infekcji wirusowej.
§ 13
1. W sytuacjach wyj tkowych wszystkie powy ej opisane działania zwi zane z
usuwaniem skutków incydentu i wyja nianiem jego przyczyn mog by realizowane
przez osoby upowa nione przez Administratora Bezpiecze stwa Informacji.
2. Administrator Bezpiecze stwa Informacji odpowiada za sporz dzenie listy
pracowników maj cych prawo do podejmowania odpowiednich kroków w razie
wyst pienia incydentu w sytuacji, gdy nie mog one by wykonane osobi cie przez
niego.
§ 14
1. Administrator Bezpiecze stwa Informacji okre la, na podstawie przeprowadzonych
wyja nie , przyczyny zaistnienia incydentu.
2. Je eli incydent był spowodowany celowym działaniem, Administrator
Bezpiecze stwa Informacji jest zobowi zany do pisemnego powiadomienia Starosty
Pabianickiego - Administratora Danych lub Sekretarza Powiatu.
3. Starosta Pabianicki - Administrator Danych lub Sekretarz Powiatu, bior c pod uwag
charakter zdarzenia, mo e poinformowa organy uprawnione do cigania przest pstw
o fakcie celowego naruszenia bezpiecze stwa danych osobowych przetwarzanych w
systemie informatycznym.
§ 15
Zgod na uruchomienie komputerów i innych urz dze lub dokonanie zmian w miejscu
naruszenia ochrony wyra a Administrator Bezpiecze stwa Informacji lub osoba przez niego
upowa niona.
§ 16
1. System informatyczny, którego prawidłowe działanie zostało odtworzone, powinien
zosta poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usuni cia
symptomów incydentu. W czasie jej trwania u ytkowanie systemu informatycznego
powinno by ograniczone do niezb dnego minimum.
2. Okres kwarantanny, o którym mowa w ust.1, jest uzale niony charakterem incydentu i
specyfik systemu informatycznego – jest on ka dorazowo okre lany przez
Administratora Bezpiecze stwa Informacji.
§ 17
1. Administrator Bezpiecze stwa Informacji dokumentuje w raporcie ka dy zaistniały
przypadek naruszenia ochrony danych osobowych.
2. Dokumentacja , o której mowa w ust.1, obejmuje nast puj ce informacje:
1) imi i nazwisko osoby zgłaszaj cej incydent,
2) imi i nazwisko osoby przyjmuj cej zgłoszenie incydentu,
3) dat i godzin przyj cia zgłoszenia incydentu,
4) okre lenie czasu i miejsca incydentu,
5) opis zgłoszonego incydentu oraz okoliczno ci towarzysz ce,
7) przyczyny wyst pienia naruszenia,
8) opis podj tych działa naprawczych,
9) wyniki przeprowadzonego badania wyja niaj cego,
10) ocen skuteczno ci przeprowadzonego post powania naprawczego,
11) podj te rodki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania
w przyszło ci naruszenia ochrony danych osobowych.
3. Wzór raportu, o którym mowa w ust.1, okre la zał cznik nr 3 do niniejsze Polityki
Bezpiecze stwa
§ 18
Administrator Bezpiecze stwa Informacji w oparciu o posiadan
dokumentacj ,
odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych
incydentów w celu:
1. Okre lenia skuteczno ci podejmowanych działa wyja niaj cych i naprawczych.
2. Okre lenia
wymaga
działa
zwi kszaj cych
bezpiecze stwo
systemu
informatycznego i minimalizuj cych ryzyko zaistnienia incydentów.
3. Okre lenia potrzeb w zakresie szkole u ytkowników systemu informatycznego
przetwarzaj cego dane osobowe.
ROZDZIAŁ XIII
POSTANOWIENIA KO COWE
§1
1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego w
niniejszym dokumencie, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie z
okre lonymi zasadami, a tak e gdy nie zrealizowała stosownego działania
dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne.
2. Administrator Bezpiecze stwa Informacji zobowi zany jest prowadzi ewidencj osób,
które zostały zapoznane z niniejszym dokumentem i zobowi zuj si do stosowania zasad
w nim zawartych wg wzoru stanowi cego zał cznik Nr 4 do niniejszej Polityki
Bezpiecze stwa.
§2
1. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszego
dokumentu mog by potraktowane jako ci kie naruszenie obowi zków pracowniczych,
w szczególno ci przez osob , która wobec naruszenia zabezpieczenia systemu
informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o
tym Administratora Bezpiecze stwa Informacji.
2. Orzeczona kara dyscyplinarna, wobec osoby uchylaj cej si od powiadomienia
Administratora Bezpiecze stwa Informacji nie wyklucza odpowiedzialno ci karnej tej
osoby zgodnie z ustaw z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz.
U. z 2002 r. Nr 101, póz. 926) oraz mo liwo ci wniesienia wobec niej sprawy z
powództwa cywilnego przez pracodawc o zrekompensowanie poniesionych strat.
§3
W sprawach nie uregulowanych niniejszym dokumentem maj zastosowanie przepisy
1) ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z
2002 r. Nr 101, poz. 926 z pó . zm.),
2) rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada
urz dzenia i systemy informatyczne słu ce do przetwarzania danych
osobowych (Dz. U. Nr 100, poz. 1024)

polityka bezpieczeństwa starostwa powiatowego w pabianicach

Transkrypt

Podobne dokumenty

POSŁOWIE

Pobierz jako plik PDF

Protokół kontroli warunków bezpieczeństwa w laboratorium

Rosja wygrywa polską energetykę