Zatwierdzam - BUW-u
Transkrypt
Zatwierdzam - BUW-u
Zatwierdzam Dyrektor BUW SZCZEGÓŁOWA INSTRUKCJA POSTĘPOWANIA w sytuacji naruszenia ochrony danych osobowych w Bibliotece Uniwersyteckiej w Warszawie. Administrator Bezpieczeństwa Informacji Biblioteki Uniwersyteckiej w Warszawie (ABI BUW), odpowiedzialny za bezpieczeństwo danych osobowych przechowywanych i przetwarzanych w Bibliotece Uniwersyteckiej, przeciwdziała dostępowi osób niepowołanych zarówno do systemu informatycznego, w którym przetwarzane są dane osobowe, jak i do wszelkiej dokumentacji papierowej zawierającej w w/w dane, oraz podejmuje odpowiednie działania w przypadku wykrycia naruszeń w systemie zabezpieczeń. KaŜdy, kto ma uzasadnione przypuszczenie o popełnieniu przestępstwa, bądź wykroczenia przeciw ochronie danych osobowych jest obowiązany do niezwłocznego poinformowania o tym fakcie Administratora Bezpieczeństwa Informacji BUW i bezpośredniego przełoŜonego. Zatajanie tych informacji lub utrudnianie postępowania wyjaśniającego stanowi powaŜne naruszenie obowiązków pracowniczych wraz ze wszelkimi konsekwencjami wynikającymi z obowiązujących unormowań prawnych. Niniejsza instrukcja została opracowana przez Administratora Bezpieczeństwa Informacji BUW a zatwierdzona przez Dyrektora BUW jako uzupełnienie do zaleceń w zakresie podejmowanych środków bezpieczeństwa, zawartych w obowiązujących instrukcjach (ogólnej instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych w BUW, instrukcji zarządzania systemem informatycznym słuŜącym do przetwarzania danych osobowych i procedurach postępowania przy przetwarzaniu danych osobowych). Określa ona tryb postępowania w przypadku, gdy: 1. stwierdzono naruszenie zabezpieczeń w systemie informatycznym słuŜącym do przetwarzania danych osobowych . 2. stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy i sposób działania programu mogą wskazywać na naruszenie zabezpieczeń tych danych, 3. istnieje podejrzenie naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych 4. stwierdzono naruszenie zabezpieczeń wszelkich miejsc, gdzie przechowywana jest dokumentacja zawierająca dane osobowe ( zbiory danych, wykazy, listy, akta osobowe i inne dokumenty), 1 W przypadkach, o których mowa w punkcie l, 2, 3 osoba przetwarzająca dane osobowe jest zobowiązana zaprzestać pracy w systemie informatycznym i niezwłocznie powiadomić o tym ABI BUW i bezpośredniego przełoŜonego. Ilekroć w instrukcji jest mowa o : 1. danych osobowych — rozumie się przez to kaŜdą informację pozwalającą na jednoznaczną identyfikację jakiejkolwiek osoby fizycznej, 2. bezpieczeństwie systemu informatycznego — naleŜy przez to rozumieć wdroŜone środki fizyczne, techniczne i administracyjne słuŜące zabezpieczeniu zasobów technicznych oraz ochronie przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a takŜe ich utratą, 3. naruszeniu systemu bezpieczeństwa — jest to zarówno odstępstwo od obowiązujących procedur postępowania, zawartych we wspomnianych wyŜej dokumentach, jak i bezprawne, fizyczne naruszenia zasobów i bez względu na skutek jaki te zdarzenia spowodowały, 4. osobach nieupowaŜnionych do korzystania z danych zawartych w zbiorze — są to wszystkie osoby fizyczne, prawne i jednostki nie posiadające osobowości prawnej, które bez upowaŜnienia administratora danych miały potencjalną moŜliwość lub faktycznie uzyskały w jakiejkolwiek formie dostęp do danych, 5. osobach odpowiedzialnych za ochronę zasobów informatycznych — są to osoby przetwarzające dane, administratorzy systemów, sieci i aplikacji, kierownicy aplikacji, pracownicy serwisu, pracownicy ochrony, kierownicy i zastępcy kierowników komórek organizacyjnych, w stopniu określonym w zakresach ich obowiązków. KaŜda informacja o naruszeniu systemu bezpieczeństwa, pochodząca z jakiegokolwiek źródła, wymaga od ABI BUW wszczęcia postępowania wyjaśniającego, aby określić: a) b) c) d) e) f) g) h) czas naruszenia systemu zabezpieczeń, charakter, miejsce, sposób, skutki, w jaki sposób usunąć i/lub zminimalizować skutki, jakie dodatkowe środki naleŜy zastosować w celach profilaktycznych, sprawcę i cel, gdy istnieje ku temu moŜliwość. Naruszenie systemu zabezpieczeń moŜe mieć charakter: a) wewnętrzny lub zewnętrzny, b) incydentalny lub chroniczny, c) nieświadomy lub zamierzony. Miejscem zagroŜenia bezpieczeństwa danych osobowych moŜe być: a) strefa przetwarzania zasobów w systemie informatycznym, b) sprzęt komputerowy i inne urządzenia wykorzystywane przy przetwarzaniu, c) oprogramowanie systemowe, sieciowe i uŜytkowe, d) zawartość baz, zbiorów danych, rejestrów, akt osobowych i innych dokumentów. Sposób naruszenia bezpieczeństwa to: a) osłabienie odporności systemu zabezpieczeń, w szczególności tworzenie potencjalnych zagroŜeń dla systemu (np. niezamykanie pomieszczeń i/lub sejfów, szaf z aktami, pozostawianie dokumentacji i/lub dostępu do aplikacji na opuszczonym stanowisku pracy albo wynoszenie poza teren BUW , samowolna instalacja niedozwolonych programów 2 b) c) d) e) f) g) i/lub sprzętu na lokalnych stanowiskach pracy, udostępnianie swoich identyfikatorów i haseł dostępu osobom nieupowaŜnionym itp.), b)nieuprawnione "przeglądanie", sporządzanie notatek, wyciągów, wykazów, kopii, itp., zmiana zawartości zgromadzonych danych naruszająca ich integralność i/lub wiarygodność, usunięcie części danych lub ich uszkodzenie, fizyczne zniszczenie zasobów, kradzieŜ sprzętu i/lub oprogramowania, kradzieŜ dokumentacji papierowej przekazywanie zgromadzonych danych osobom nieuprawnionym do ich posiadania. Następstwami naruszenia systemu bezpieczeństwa mogą być: a) b) c) d) e) stworzenie warunków zagroŜenia bezpieczeństwa zasobów, utrata wiarygodności i spójności informacji zawartych w bazach danych, utrudnianie lub uniemoŜliwienie realizacji przetwarzania zasobów, udostępnienie danych osobom nieupowaŜnionym, wykorzystanie danych osobowych do celów innych niŜ określa ustawa upowaŜniająca do ich gromadzenia i przetwarzania, f) naruszenie dóbr osobistych osób, których dane zawarte są w prowadzonych bazach, W przypadku powaŜnego naruszenia bezpieczeństwa danych osobowych naleŜy niezwłocznie powołać komisję dla pełnego zbadania przyczyn i skutków przestępstwa, ustalenia, sprawcy i stopnia jego winy oraz wielkości poniesionych strat. Jest to podstawą zarówno do wszczynania postępowania wobec winnych jak i minimalizacji i/lub naprawy poniesionych szkód, a takŜe działań eliminujących tego typu zdarzenia w przyszłości. Tryb ten obowiązuje równieŜ w razie stwierdzenia świadomego uszkodzenia, zniszczenia bądź bezzasadnej modyfikacji zasobów, nawet wówczas, gdy nie zostały one udostępnione osobom nieuprawnionym do ich posiadania. Zakończeniem postępowania wyjaśniającego jest sporządzenie protokołu podpisanego przez członków komisji (załącznik l ). Postępowanie w pozostałych wypadkach nie wymaga powoływania komisji. Decyzję w tym zakresie podejmuje ABI BUW. W razie niewielkich strat wystarczą rutynowe działania słuŜb informatycznych pozwalające na usunięcie awarii przez serwis, odtworzenie uszkodzonych zasobów, pouczenie uŜytkownika, ponowna analiza systemu zabezpieczeń i ich poprawienie. Zdarzenie takie powinno być odnotowane w dzienniku pracy systemu, a po usunięciu winno zostać skontrolowane przez ABI BUW i fakt ten takŜe powinien zostać odnotowany. 3 Protokół postępowania wyjaśniającego w sprawie stwierdzenia naruszenia ochrony danych osobowych w Bibliotece Uniwersyteckiej w Warszawie Protokół nr ............................z dnia............................ sygn. ............................... sporządzony w ................................................................................................. I. komisja w składzie: Administrator Bezpieczeństwa Informacji BUW ........................................................................... Kierownik Oddziału BUW.............................................................................................................. Administrator systemu informatycznego słuŜącego do przetwarzania danych osobowych .......................................................................................................................................................... na podstawie : a) zgłoszenia dokonanego przez .............................................................................................. b) analizy raportu systemowego ............................................................................................... c) zapisu z dziennika (nazwa) .................................................................................................. d) inna podstawa . .................................................................................................................... stwierdza, iŜ w dniu .............. w ....................................................................................................... (nazwa oddziału BUW, którego dotyczy zgłoszenie naruszenia ochrony danych osobowych przetwarzanych w zbiorze danych osobowych ) nie doszło / doszło* do naruszenia ochrony danych osobowych przetwarzanych w zbiorze danych osobowych *niepotrzebne skreślić II W trakcie postępowania wyjaśniającego ustalono : A. Naruszenie systemów bezpieczeństwa nastąpiło : -z poza strefy chronionej, -wewnątrz strefy chronionej, Krótko scharakteryzować ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. -jednokrotnie, -wielokrotnie, 2 JeŜeli zjawisko wystąpiło wielokrotnie podać częstotliwość i inne charakterystyki ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. -w sposób przypadkowy, -w sposób zamierzony, Opisać fakty o tym świadczące ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. B. Miejsce naruszenia zabezpieczeń: -zamknięta strefa przetwarzania — pomieszczenia, sejfy , szafy -sprzęt komputerowy i sieciowy, urządzenia komunikacyjne, sprzęt powielający, archiwa, kopie zapasowe i bezpieczeństwa, -oprogramowanie, -zawartość baz danych , Szczegółowy opis konsekwencji: ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. C. Naruszenie bezpieczeństwa polegało na: - - osłabieniu odporności systemu zabezpieczeń poprzez: zaniedbania w zakresie ochrony pomieszczeń, sejfów, opuszczanie stanowiska pracy bez naleŜytego zabezpieczenia dostępu do komputera i dokumentów, wynoszenie dokumentów, kopii, raportów lub sprzętu poza strefę chronioną, niedozwolone instalowanie gier, programów i narzędzi programistycznych instalowanie niedozwolonego sprzętu i innych urządzeń, zwłaszcza komunikacyjnych celowe wprowadzanie wirusów komputerowych, udostępnienie stanowiska pracy osobom nieupowaŜnionym, udostępnianie przydzielonych identyfikatorów i haseł dostępu osobom nieupowaŜnionym nieuprawnionym "przeglądaniu" danych osobowych, nieuzasadnionym sporządzaniu notatek, kopii, wyciągów, wydruków, raportów itp. modyfikacji zawartości zasobów z pominięciem wymaganych procedur, prowadzącej w konsekwencji do utraty spójności bądź wiarygodności tych danych, usunięciu części zasobów lub ich trwałym uszkodzeniu, trwałym usunięciu bazy, kradzieŜy sprzętu lub oprogramowania, 3 - niedozwolonej transmisji danych, dopuszczeniu do pracy na stanowisku osób nieupowaŜnionych, przekazywaniu całości lub części danych osobom nieuprawnionym do ich posiadania w dowolnej formie. Krótki opis, gdy zachodzi potrzeba: ............................................................................................................................................................. ............................................................................................................................................................. ............................................................................................................................................................. D, W następstwie naruszenia bezpieczeństwa doszło do: - stworzenia warunków osłabiających bezpieczeństwo systemu, - naruszenia integralności danych, - utraty wiarygodności bazy, - utraty zbioru danych................................................................................................................. - wyraźnego utrudnienia pozyskiwania informacji z bazy, - uniemoŜliwienia przetwarzania bazy, - wykorzystywania do celów niedozwolonych ustawą o ........................................................... - rozpowszechnienia danych osobowych podmiotu naraŜając jego dobra osobiste, uniemoŜliwienia prawidłowego wykorzystania danych dla realizacji...................................... Szczegółowy opis konsekwencji: .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................. E, Zalecenia w zakresie eliminacji poniesionych szkód: .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................. F, W celu zapobieŜenia kolejnym naruszeniom ochrony danych osobowych Komisja nakazała: .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... 4 .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................................................................................................................................................... .................................. III. Po przeprowadzeniu analizy zdarzenia Komisja ustaliła, Ŝe: sprawca jest nieznany naruszenie ochrony nastąpiło z winy błędu aplikacji, winnym zdarzenia jest:.................................................................................................................... (nazwisko i imię, oddział BUW) i po wysłuchaniu wyjaśnień postanawia: - udzielić pouczenia udzielić upomnienia, udzielić nagany wszcząć postępowanie dyscyplinarne skierować wniosek do organów ścigania Podpisy członków komisji ........................................... ........................................... ........................................... ........................................... 5