polityka bezpieczeństwa - centrum usług wspólnych w buczkowicach

POLITYKA BEZPIECZEŃSTWA
dotycząca ochrony danych osobowych
w Centrum Usług Wspólnych w Buczkowicach
Spis treści
I.
POSTANOWIENIA OGÓLNE
1
II. OBSZARY, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE. BUDYNKI, POMIESZCZENIA LUB CZĘŚCI
POMIESZCZEŃ.
3
III. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH
DO PRZETWARZANIA TYCH DANYCH.
3
IV. OPIS STRUKTURY ZBIORU DANYCH OSOBOWYCH.
3
V.
3
SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI (ZBIORAMI).
VI. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI,
INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH.
4
VII. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH ORAZ INSTRUKCJA
POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH.
5
POLITYKA BEZPIECZEŃSTWA
I.
Postanowienia ogólne
§1
1) Podstawą prawną „Polityki bezpieczeństwa” jest §4 rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. Nr 100 poz. 1024), zwanego dalej „rozporządzeniem”.
2) Dokument przeznaczony jest dla osób zatrudnionych przy przetwarzaniu danych osobowych
w Centrum Usług Wspólnych w Buczkowicach.
§2
Ilekroć w niniejszym dokumencie jest mowa o:
Administratorze Danych Osobowych (dalej ADO) – rozumie się przez to, organ, jednostkę
organizacyjną, podmiot lub osobę, do których stosuje się ustawę o ochronie danych osobowych,
decydujące o celach i środkach przetwarzania danych osobowych,
Administratorze Systemu Informatycznego (dalej ASI) – należy przez to rozumieć osobę
odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym
w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym
przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku
wykrycia naruszeń w systemie zabezpieczeń, a także za przydzielanie uprawnień pracownikom
Centrum Usług Wspólnych w systemie informatycznym,
danych osobowych – uważa się za nie wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba,
której tożsamość można określić bezpośrednio lub pośrednio w szczególności przez powołanie się
na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się
za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu
lub działań.
Instrukcji Zarządzania Systemem Informatycznym (dalej instrukcja) – rozumie się przez
to załącznik nr 1 do Polityki Bezpieczeństwa, opisujący procedury dotyczące pracy w systemie
informatycznym, który służy do przetwarzania danych osobowych,
odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe,
z wyłączeniem osoby, której dane dotyczą, osoby, upoważnionej do przetwarzania danych,
przedstawiciela, wyznaczonego przez administratora danych, którego siedziba albo miejsce
zamieszkania znajduje się w państwie trzecim, podmiotu, któremu administrator danych w drodze
umowy zawartej na piśmie powierzył przetwarzanie danych osobowych, organów państwowych
lub organów samorządu terytorialnego, którym dane są udostępnione w związku z prowadzonym
postępowaniem,
1|Strona
POLITYKA BEZPIECZEŃSTWA
przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych,
usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę
danych przed ich nieuprawnionym przetwarzaniem,
zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony czy podzielony funkcjonalnie,
zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią
jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może
być domniemana lub dorozumiana z oświadczenia woli o innej treści,
CUW – Centrum Usług Wspólnych w Buczkowicach.
§3
Niniejszy dokument określa:
1) Obszar, w którym przetwarzane są dane osobowe – budynki, pomieszczenia lub część
pomieszczeń.
2) Wykaz zbiorów danych osobowych.
3) Opis struktury zbioru danych osobowych.
4) Sposób przepływu danych między poszczególnymi systemami (zbiorami).
5) Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności
i rozliczalności przetwarzanych danych osobowych.
6) Opis zdarzeń naruszających ochronę danych osobowych i instrukcja postępowania w sytuacji
naruszenia ochrony danych osobowych.
§4
Uwzględniając fakt, że funkcjonujące w CUW urządzenia systemu informatycznego, które służą do
przetwarzania danych są połączone z siecią publiczną, zastosowano wysoki poziom bezpieczeństwa
przetwarzania tych danych, dla którego przyjęto następujące zasady postępowania:
a) Pomieszczenia znajdujące się w obszarze, gdzie przetwarzane są dane osobowe, zamyka
się na klucz w przypadku, gdy osoby upoważnione do przetwarzania danych są w nich
nieobecne,
b) w obszarze, gdzie przetwarzane są dane osobowe, osoby nieuprawnione mogą przebywać
tylko przy obecności osoby uprawnionej lub za zgodą Kierownika CUW,
2|Strona
POLITYKA BEZPIECZEŃSTWA
c) zapewnia się mechanizmy kontroli dostępu do danych (opis znajduje się w „instrukcji”),
d) system informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed
działaniem oprogramowania, które umożliwi nieuprawniony dostęp do systemu lub utratę
danych (opis znajduje się w „instrukcji”).
II.
Obszary, w których przetwarzane są dane osobowe. Budynki, pomieszczenia
lub części pomieszczeń.
§5
BUDYNEK, w którym przetwarzane są dane osobowe:
1) Centrum Usług Wspólnych w Buczkowicach, ul. Szkolna 815, 43-374 Buczkowice.
2) Dane osobowe przetwarzane są na parterze w biurach nr 1, 2, 3, tak jak to zostało
przedstawione w załączniku nr 2. Ponadto w piwnicach budynku znajduje się archiwum
z dokumentacją CUW.
3) Przebywanie wewnątrz obszaru osób nieuprawnionych do dostępu do danych osobowych jest
dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu tych danych i za zgodą
administratora danych lub osoby przez niego upoważnionej.
4) Po zakończeniu pracy, pomieszczenia obszaru zamykane są w sposób uniemożliwiający dostęp
do nich osób trzecich, klucze deponowane są w zamykanej szafie w pomieszczeniu CUW
i włączany jest system alarmowy.
III.
Wykaz zbiorów danych osobowych wraz
zastosowanych do przetwarzania tych danych.
ze
wskazaniem
programów
§6
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych prowadzony jest przez Administratora Danych Osobowych
i sporządzony jest wg wzoru, który stanowi załącznik nr 3.
IV.
Opis struktury zbioru danych osobowych.
§7
Opis struktury zbioru danych osobowych w systemie informatycznym znajduje się w pkt 3.2 i 3.3
dokumentacji firmy Rekord SI, która stanowi załącznik nr 4 do polityki bezpieczeństwa.
V.
Sposób przepływu danych pomiędzy poszczególnymi systemami (zbiorami).
§8
Sposób przepływu danych pomiędzy poszczególnymi programami w CUW.
a)
b)
c)
d)
PŁACE → PŁATNIK ZUS → ZUS
PŁACE → PODATNIK → URZĄD SKARBOWY
PRZELEWY → BANK
FK → BUDŻET RB
3|Strona
POLITYKA BEZPIECZEŃSTWA
VI.
Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych osobowych.
§9
1) Do elementów zabezpieczenia danych osobowych w CUW zalicza się:
a) stosowane sposoby ochrony pomieszczeń, w których przetwarzane są dane osobowe
(zabezpieczenia fizyczne),
b) zabezpieczenie wszystkich procesów przetwarzania danych (w szczególności dokumentów
papierowych i informatycznych),
c) nadzór ADO nad realizacją wprowadzonych zasad i procedur zabezpieczenia danych
(zabezpieczenie organizacyjne),
d) kompleksowe traktowanie zabezpieczenia danych osobowych przez wszystkie podmioty
i osoby biorące udział w przetwarzaniu danych.
2) W CUW rozróżnia się następujące środki zabezpieczeń danych osobowych:
a) zabezpieczenia fizyczne:




pomieszczenia zamykane na klucz,
szafy z zamkami,
sejf zamykany na klucz,
system alarmowy,
b) zabezpieczenia procesów przetwarzania danych w formie papierowej:


przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach,
przetwarzanie danych osobowych następuje przez wyznaczone do tego osoby,
c) zabezpieczenie organizacyjna:



osobą odpowiedzialną za bezpieczeństwo informacji w systemie informatycznym jest
ASI,
ASI na bieżąco kontroluje pracę systemu informatycznego z należytą starannością,
zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi
procedurami,
nie rzadziej niż raz na tydzień są prowadzone przez ASI kontrole stanu bezpieczeństwa
systemów informatycznych i przestrzegania zasad ochrony informacji i w przypadku
wykrycia rażących zaniedbań ASI sporządza ich opis w formie protokołu oraz raportu
i niezwłocznie przedkłada je Kierownikowi CUW.
d) Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:


ewidencja pracowników CUW uprawnionych do przetwarzania danych osobowych
prowadzona jest przez ADO wg wzoru określonego w załączniku nr 5,
w trakcie przetwarzania danych osobowych pracownik jest osobiście odpowiedzialny
za bezpieczeństwo powierzonych mu danych,
4|Strona
POLITYKA BEZPIECZEŃSTWA



przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych
osobowych, pracownik winien sprawdzić, czy posiadane przez niego dane były należycie
zabezpieczone oraz czy zabezpieczenia te nie były naruszane,
w trakcie przetwarzania danych osobowych, pracownik winien dbać o należyte
ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby nieuprawnione,
po zakończeniu przetwarzania danych pracownik powinien należycie zabezpieczyć dane
osobowe przed możliwością dostępu do nich osób nieupoważnionych,
3) W ramach zabezpieczenia danych osobowych ochronie podlegają:
a) sprzęt komputerowy – serwer, komputery osobiste, drukarki i inne urządzenia zewnętrzne,
b) oprogramowanie – kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia
wspomagające i programy komunikacyjne,
c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie,
d) hasła użytkowników,
e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa,
f) wykazy użytkowników, którzy obsługują i użytkują system,
g) dokumentacja zawierająca dane systemu, opisująca jego zastosowanie, przetwarzanie
informacji itp.
h) wydruki dotyczące systemu,
i) związana z przetwarzaniem danych dokumentacja papierowa, z której dane są
wprowadzane do systemu informatycznego lub też funkcjonują automatycznie.
§10
1) ADO będzie okresowo analizował zagrożenia i ryzyko w celu weryfikacji środków
zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów
danych osobowych w celu zapewnienia aktualności opisowi zawartemu w punktach II-V
niniejszej polityki bezpieczeństwa.
2) W systemie informatycznym obowiązuje zabezpieczenie na poziomie wysokim.
3) Najważniejszymi zastosowanymi środkami zabezpieczenia danych osobowych w systemach
informatycznych w CUW są:



hasła dostępu do systemu,
hasła dostępu do aplikacji,
wygaszacze ekranu.
4) Dokumentem, który normuje procedury zarządzania systemem informatycznym służącym do
przetwarzania danych jest „instrukcja”.
VII.
Opis zdarzeń naruszających ochronę danych osobowych oraz instrukcja
postępowania w sytuacji naruszenia ochrony danych osobowych.
§11
1) Podział zagrożeń naruszających ochronę danych osobowych:
a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w dostawie energii itp.), ich
występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia
5|Strona
POLITYKA BEZPIECZEŃSTWA
infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do
naruszenia poufności danych,
b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, ASI, awarie
sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać
zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych,
c) zagrożenia zamierzone, celowe i świadome – najpoważniejsze zagrożenie naruszenia
poufności danych osobowych (zazwyczaj nie następuje uszkodzenie infrastruktury
technicznej i zakłócenie ciągłości pracy). Zagrożenia te można podzielić na: nieuprawniony
dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu
z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu
i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu.
2) Każda osoba zatrudniona w CUW, która stwierdzi lub podejrzewa naruszenia zabezpieczenia
ochrony danych osobowych w systemie informatycznym, powinna niezwłocznie poinformować
ADO.
3) Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub sama
stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie informatycznym,
zobowiązana jest niezwłocznie powiadomić ADO.
4) ADO powinien w pierwszej kolejności:
a) Zapisać wszystkie informacje związane z danym zdarzeniem, a w szczególności dokładny
czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas
samodzielnego wykrycia tego faktu.
b) Na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie
możliwe dokumenty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je
datą i podpisem.
c) Przystąpić do zidentyfikowania zaistniałego zdarzenia, zwłaszcza do określenia skali
zniszczeń i metody dostępu do danych osoby niepowołanej.
5) W przypadku stwierdzenia naruszenia zabezpieczeń ochrony danych osobowych należy
niezwłocznie powstrzymać lub ograniczyć dostęp do danych osoby niepowołanej,
zminimalizować szkodę i zabezpieczyć przed usunięciem śladów jej ingerencji szczególne przez:
a) Fizyczne odłączanie urządzeń i systemów sieci, które mogły umożliwić dostęp do bazy
danych osobie nieupoważnionej,
b) Wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych,
c) Zmiana hasła administratora i użytkownika, poprzez które uzyskano nielegalny dostęp
w celu uniknięcia ponownej próby włamania.
6) Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić wstępną analizę systemu
informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych
osobowych w systemie.
7) ASI powinien sprawdzić:
a)
b)
c)
d)
Stan urządzeń wykorzystywanych do przetwarzania danych osobowych,
Zawartość zbioru danych osobowych,
Sposób działania programu,
Wykluczyć możliwość obecności wirusów komputerowych.
6|Strona
POLITYKA BEZPIECZEŃSTWA
8) Po dokonaniu powyższych czynności ASI powinien przeprowadzić szczegółową analizę systemu
informatycznego obejmującego identyfikację:



rodzaju zaistniałego zdarzenia,
metody dostępu do danych osoby nieupoważnionej,
skali zniszczeń.
9) Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić
szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych.
10) Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych
w systemie informatycznym, należy przeprowadzić dodatkowe szkolenie wszystkich osób
biorących udział przy przetwarzaniu danych.
11) Jeżeli przyczyną zdarzenia było uaktywnienie się wirusa, należy ustalić źródło jego pochodzenia
oraz wykonać zabezpieczenia antywirusowe.
12) Jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby zatrudnionej przy przetwarzaniu
danych osobowych, należy wyciągnąć konsekwencje regulowane ustawą.
13) Jeżeli przyczyną zdarzenia był zły stan urządzenia lub sposób działania programu, należy
wówczas przeprowadzić kontrolę czynności serwisowo-programowe.
14) Jeżeli przyczyną zdarzenia było włamanie w celu pozyskania danych osobowych, należy
dokonać szczegółowej analizy wdrożonych środków zabezpieczających w celu zapewnienia
skutecznej ochrony bazy danych.
15) ASI przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia oraz
przekazuje go ADO.
7|Strona