polityka bezpieczeństwa przetwarzania danych systemu
Transkrypt
polityka bezpieczeństwa przetwarzania danych systemu
Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH SYSTEMU INFORMATYCZNEGO COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA 2012-10-1 S t r o n a | 1 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Spis treści I. Preambuła..........................................................................................................................................................2 II. Definicje..........................................................................................................................................................2 III. Wykaz budynków........................................................................................................................................2 IV. Wykaz zbiorów danych osobowych......................................................................................................2 V. Struktury zbiorów danych............................................................................................................................2 VI. Przepływ danych pomiędzy systemami..............................................................................................2 VII. Środki techniczne i organizacyjne........................................................................................................2 a. Cele i zasady funkcjonowania Polityki Bezpieczeństwa....................................................................2 b. Opis zagrożeń i naruszeń.............................................................................................................................2 c. System i jego elementy................................................................................................................................2 d. Stacja Robocza.................................................................................................................................................2 VIII. Wymagania Ustawowe..........................................................................................................................2 a. Trwałe usuwanie danych..............................................................................................................................2 b. Tabela kontrolna..............................................................................................................................................2 IX. Postanowienia końcowe............................................................................................................................2 S t r o n a | 2 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu I. 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Preambuła Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Polityka bezpieczeństwa jest zestawem praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych przez COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.), polityka bezpieczeństwa, o której mowa w rozporządzeniu powinna odnosić sie całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy S t r o n a | 3 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 ustawy. Dokument polityki bezpieczeństwa deklaruje zaangażowanie kierownictwa i wyznacza podejście firmy do zarządzania bezpieczeństwem informacji. II. Definicje 1) Administrator Bezpieczeństwa Informacji (ABI) - osoba wyznaczona przez Administratora bezpieczeństwo danych Danych osobowych Osobowych, odpowiedzialna przetwarzanych we za wskazanych systemach informatycznych. 2) Administrator Danych Osobowych (ADO) - osoba wyznaczona przez zgromadzenie wspólników „Coach Hire”. 3) Administrator Systemu Informatycznego (ASI) - osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych w „Coach Hire” (może to być administrator sieci lokalnej, systemu operacyjnego, bazy danych itp.). 4) Bezpieczeństwo Systemu Informatycznego - wdrożenie przez administratora danych osobowych lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem. 5) Dane Osobowe - rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania Osoby Fizyczne, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności S t r o n a | 4 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne bez nadmiernych nakładów finansowych, czasowych lub działań. 6) Instrukcja – oznacza Instrukcję Zarządzania System Informatycznym służącym do przetwarzania danych osobowych COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, będącą załącznikiem do Polityki Bezpieczeństwa. 7) „Coach Hire” – oznacza COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51. 8) Osoba Fizyczna – oznacza osobę fizyczną lub osobę fizyczną prowadzącą działalność gospodarczą. 9) Osoba Upoważniona - osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych (lub osobę uprawnioną przez niego) i dopuszczona, jako Użytkownik Systemu do przetwarzania danych osobowych w Systemie Informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada Administrator Bezpieczeństwa Informacji). 10) Osoba Uprawniona - osoba posiadająca upoważnienie wydane przez Administratora Danych Osobowych do wykonywania w jego imieniu określonych czynności. 11) Portal – oznacza aplikację internetową udostępnioną w sieci publicznej Internet funkcjonującą pod domeną busonroad.com. 12) Przełożony Użytkownika Systemu – osoba, przełożony, której podlega Użytkownik Systemu. S t r o n a | 5 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 13) siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 Przetwarzanie Danych Osobowych - wykonywanie jakichkolwiek operacji na danych przechowywanie, usuwanie, a osobowych, takich opracowywanie, zwłaszcza te, jak zbieranie, zmienianie, które utrwalanie, udostępnianie wykonuje się w i ich systemach informatycznych. 14) Rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych organizacyjnych, jakim osobowych powinny oraz warunków odpowiadać technicznych urządzenia i i systemy informatyczne służące do przetwarzania danych osobowych. (Dz. U. z 2004 r. Nr 100, poz. 1024) 15) Stacja Robocza – stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający Użytkownikom Systemu dostęp do danych osobowych znajdujących się w systemie. 16) System Informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 17) Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wraz ze zmianami. 18) Użytkownik Systemu - osoba posiadająca uprawnienia do przetwarzania danych osobowych w systemie informatycznym. 19) Użytkownik Osobowych Uprawniony lub – Administratora oznacza Systemu Administratora Danych Informatycznego lub Administratora Bezpieczeństwa Informacji lub Osobę Uprawnioną lub Osobę Upoważnioną. 20) Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych S t r o n a | 6 / 32 Parafka według określonych Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. III. Wykaz budynków W rozdziale tym znajduje się wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Podstawa prawna: Rozporządzenie § 4 ust. 1. Lp. 1. Adres - budynek Pomieszczenia Poznań (61-611),ul. Naramowicka Wydzielone pomieszczenie 217A lok 51 Dane Osobowe są przetwarzane w budynku wielorodzinnym znajdującym się na osiedlu mieszkalnym. Teren osiedla jest ogrodzony i chroniony przez firmę ochroniarska. Wejście na osiedle jest chronione drzwiami zamkniętymi na klucz. Wejście do budynku jest zamknięte na klucz. Drzwi wejściowe do pomieszczeń jest chronione zamkiem patentowym – model "Witex super lock". W przypadku, gdy w pomieszczeniu nie przebywa Użytkownik Uprawniony pomieszczenie jest zamknięte na klucz. S t r o n a | 7 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu IV. 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Wykaz zbiorów danych osobowych W rozdziale tym znajduje się wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Podstawa prawna: Rozporządzenie § 4 ust. 2. LP. Nazwa zbioru 1 Forma i narzędzia Aplikacja internetowa wykonana w technologii Django Pyton baza danych mySQL Dane użytkowników Wskazany wyżej zbiór zawiera: Dane użytkowników Portalu, którzy dokonali założenia konta poprzez Panel Klienta, V. Struktury zbiorów danych W rozdziale tym znajduje się opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Podstawa prawna: Rozporządzenie § 4 ust. 3. Jednym z elementów Systemu Informatycznego jest baza danych, oparta o silnik bazy mySQL. S t r o n a | 8 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 VI. Przepływ danych pomiędzy systemami W rozdziale tym znajduje się opis sposobu przepływu danych pomiędzy poszczególnymi systemami. Podstawa prawna: Rozporządzenie § 4 ust. 4. Przepływ danych między systemami nie występuje. Wszystkie dane są gromadzone w jednej bazie danych i są powiązane między sobą na zasadzie relacji pomiędzy Tabelami danych. Z bazy danych korzysta Portal. VII. Środki techniczne i organizacyjne W rozdziale tym znajduje się opis i określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. Podstawa prawna: Ustawa i Rozporządzenie § 4 ust. 5. a.Cele i zasady funkcjonowania Polityki Bezpieczeństwa 1. „Coach Hire” dokłada wszelkich starań celem zapewnienia bezpieczeństwa informacji w firmie. W szczególności zapewnia, aby dane były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów, c) merytorycznie poprawne i adekwatne w stosunku do celów, d) przechowywane (tak żeby ich nie udostępniać i nie przechowywać dłużej niż to konieczne dla osiągnięcia celów). S t r o n a | 9 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 2. Polityka bezpieczeństwa określa tryb postępowania w przypadku, gdy: a) zbierane są dane osobowe, b) przetwarzane są dane osobowe, c) dochodzi do kontroli przetwarzania danych osobowych, d) stwierdzono zagrożenie bezpieczeństwa danych osobowych, e) stwierdzono naruszenie zabezpieczenia systemu informatycznego. 3. Polityka Bezpieczeństwa obowiązuje: a) Administratora Danych Osobowych b) Administratora Bezpieczeństwa Informacji c) Administratora Systemu Informatycznego d) Osoby Upoważnione e) Osoby Uprawnione f) Użytkowników Systemu g) Przełożonych Użytkowników Systemu 4. Wykonywanie postanowień tego dokumentu ma zapewnić właściwą reakcję, ocenę i udokumentowanie przypadków naruszenia bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w celu przywrócenia bezpieczeństwa danych przetwarzanych w systemach informatycznych „Coach Hire”. 5. Administratorem Danych Osobowych jest właściciel „Coach Hire”. 6. Administrator Danych Osobowych: a) formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z zabraniem naruszeniem przez ustawy uszkodzeniem lub zniszczeniem; S t r o n a | 10 / 32 Parafka osobę oraz nieuprawnioną, zmianą, utratą, Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 b) decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych; c) odpowiada za zgodne z prawem przetwarzanie danych osobowych w ”Coach Hire”; d) wyznacza Administratora Bezpieczeństwa Informacji danych zawartych w systemach informatycznych „Coach Hire”, oraz osobę upoważnioną do zastępowania Administratora Bezpieczeństwa Informacji, chyba, że sam wykonuje te czynności; e) jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, poprzez stosowanie procedur opisanych w Polityce Bezpieczeństwa oraz Instrukcji. 7. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie ochrony danych, a w szczególności: a) Ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach Systemów informatycznych „Coach Hire”, b) Podejmowania stosownych działań zgodnie z niniejszą „ Polityką bezpieczeństwa” w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym, c) Niezwłocznego informowania Administratora Danych Osobowych lub osoby przez niego upoważnionej o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych, d) Nadzoru i kontroli systemów informatycznych służących przetwarzania danych osobowych i osób przy nich zatrudnionych. S t r o n a | 11 / 32 Parafka do Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 8. Osoba 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 zastępująca Administratora Bezpieczeństwa Informacji powyższe zadania realizuje w przypadku nieobecności Administratora Bezpieczeństwa Informacji. 9. Osoba zastępująca składa Administratorowi Bezpieczeństwa Informacji relację z podejmowanych działań w czasie jego zastępstwa. 10. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych zgodnie z zasadami opisanymi w Instrukcji. 11. „Coach Hire” gwarantuje Osobom Fizycznym, których dane osobowe są przetwarzane w związku z realizacją jego celów, realizacje uprawnień gwarantowanych im przez obowiązujące przepisy prawa. „Załącznik nr 6 – Informacja o zawartości zbioru danych osobowych” stanowi wzór dokumentu, na bazie którego „Coach Hire” udziela informacji Osobom Fizycznym. 12. Każdej Osobie Fizycznej, której Dane Osobowe są przetwarzane w związku z realizacja celów firmy, przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art. 32 – 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 13. Osoby Fizyczne, których Dane Osobowe są przetwarzane w związku z realizacja celów „Coach Hire”, uzyskują informacje o przysługujących im prawach w sposób dokumencie. S t r o n a | 12 / 32 Parafka określony w niniejszym Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 b.Opis zagrożeń i naruszeń Lista potencjalnych zdarzeń i zagrożeń, które mogą naruszyć ochronę Danych Osobowych. 1. W przypadku zaistnienia niżej wymienionych zdarzeń lub zagrożeń należy zastosować „procedurę postępowania w przypadku naruszenia ochrony danych osobowych” opisaną w Instrukcji. 2. Zagrożenia losowe zewnętrzne Określa się np. klęski żywiołowe, przerwy w zasilaniu lub inne działanie siły wyższej. Konsekwencje, jakie mogą wystąpić na okoliczność zdarzenia a) utrata integralności Danych Osobowych, ich zniszczenie, b) uszkodzenie infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, c) nie dochodzi do naruszenia poufności danych. 3. Zagrożenia losowe wewnętrzne Określa się np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania). Konsekwencje, jakie mogą wystąpić na okoliczność zdarzenia a) może dojść do zniszczenia danych, b) może zostać zakłócona ciągłość pracy systemu, c) może nastąpić naruszenie poufności danych. 4. Zagrożenia zamierzone, świadome i celowe Są to najpoważniejsze zagrożenia, mogące prowadzić do naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy) Zagrożenia te możemy podzielić na: S t r o n a | 13 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 a) nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), b) nieuprawniony dostęp do systemu z jego wnętrza, c) nieuprawniony przekaz danych, d) pogorszenie jakości sprzętu i oprogramowania, e) bezpośrednie zagrożenie materialnych składników systemu. 5. Przypadki zakwalifikowane, jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, elektromagnetycznego, wstrząsy oddziaływanie lub wibracje pola pochodzące od urządzeń przemysłowych, c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru, d) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, e) jakość danych oczekiwanego w systemie wskazujące na lub inne odstępstwo zakłócenia systemu nadzwyczajną i niepożądaną modyfikację w systemie, S t r o n a | 14 / 32 Parafka od lub stanu inną Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 f) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, g) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji), h) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie, i) ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń, j) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., k) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. "bocznej furtki", itp., l) podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe, m)rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawieni danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). S t r o n a | 15 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 6. Za siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych archiwalne i (otwarte inne) (wydrukach), na kliszy, szafy, nośnikach folii, biurka, regały, tradycyjnych zdjęciach, tj. nośnikach urządzenia na papierze elektronicznych w formie niezabezpieczonej itp. 7. Uwzględniając kategorie zidentyfikowane systemów w przetwarzanych wyniku przeprowadzonej informatycznych, bezpieczeństwa. danych stosuje Administrator oraz analizy się zagrożenia ryzyka wysoki Bezpieczeństwa dla poziom Informacji i Administrator Systemów Informatycznych przeprowadzają okresową analizę ryzyka dla poszczególnych elementów systemu i na tej podstawie przedstawiają propozycje dotyczące i organizacyjnych, Administratorowi zastosowania celem zapewnienia Danych środków Osobowych technicznych właściwej ochrony przetwarzanym danych. c. System i jego elementy W punkcie tym opisane zostały środki, jakie zostały przedsięwzięte w celu eliminacji lub minimalizacji wyżej wymienionych zagrożeń. 1. System składa się między innymi z urządzeń telekomunikacyjnych, serwerów, systemu operacyjnego, bazy danych oraz z Portalu. 2. Dostawcą usług serwerowych, telekomunikacyjnych oraz administracji systemem operacyjnym i bazą danych dla elementów Systemu jest firma home.pl S.A. z siedzibą w Szczecinie, przy ul. Zbozowej 4, 70S t r o n a | 16 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 653 Szczecin, zarejestrowana w Sądzie Rejonowym - Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, z kapitałem zakładowym w kwocie 1.197.600 złotych w całosci opłacony. KRS: 0000431335, NIP: 852-21-03-252, REGON: 811158242, zwany dalej Dostawcą. 3. W dniu 22.08.2014 „Coach Hire” podpisał umowę z Dostawcą, w ramach której „Coach Hire” powierza Dostawcy przetwarzanie danych, w której to Dostawca oświadcza, iż stosowane przez niego rozwiązania technologiczne oraz formalne w zakresie oferowanych usług hostingowych spełniają wymogi ustawy z dnia 29 sierpnia 1997 o ochronie danych wykonawczych, w osobowych szczególności oraz związanych fizycznej z kontroli nią aktów dostępu do infrastruktury sprzętowej, na której są przechowywane dane osobowe, zastosowania odpowiednich zabezpieczeń przed utratą zasilania, zastosowania odpowiednich zabezpieczeń oraz wykonywania kopii bezpieczeństwa, zastosowania odpowiednich zabezpieczeń logicznych. 4. Portal posiada dwa interfejsy. Pierwszym interfejsem jest interfejs udostępniany publicznie w sieci Internet i jest dedykowany dla użytkowników interfejsem Portalu, jest zwany interfejs dalej Panelem administracyjny Klienta. zwany dalej Drugim Panelem Administratora, przy pomocy, którego Użytkownicy Systemu logują się do Systemu w celu przetwarzania Danych Osobowych. 5. Panel Klienta jest zabezpieczony przed indeksacją przez wyszukiwarki Danych Osobowych. 6. Poprzez Panel Klienta użytkownicy mogą, założyć indywidualne konto na Portalu, dokonać logowania na swoje konto na Portalu. Po zalogowaniu się mają dostęp do swoich danych osobowych. Proces S t r o n a | 17 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 rejestracji i logowania odbywa się poprzez szyfrowane połączenie SSL, co zabezpiecza przesyłanie danych wrażliwych przez sieć Internet. 7. W celu zabezpieczenia przed nieuprawnionym dostępem do Panelu Administratora, jest on zabezpieczony przed indeksacją wyszukiwarek internetowych poprzez odpowiednie Portalu poprzez ukrycie oraz zabezpieczenia adresu w konfiguracji internetowego do Panelu Administratora, który nie jest ogólnie dostępny i znany jedynie Użytkownikom Uprawnionym i Użytkownikom Systemu. 8. Połączenie z Panelem Administratora odbywa się poprzez szyfrowane połączenie SSL. 9. Portal wymusza połączenie szyfrowane połączenie, o którym mowa w punkcie poprzednim. 10. Certyfikat SSL szyfruje połączenie 256 bit kluczem i jest wystawiony przez akredytowane do tego celów centrum certyfikacji. d.Stacja Robocza 1. Administrator Systemu Informatycznego jest zobowiązany do spełnienia wszystkich postanowień niniejszego podrozdziału, wdrożenia i monitorowania opisanych zabezpieczeń na wszystkich Stacjach Roboczych. 2. Stacje Robocze wyposażone są w system operacyjny Windows, firmy Microsoft lub OS X Mavericks, firmy Apple. System operacyjny ma włączoną funkcję automatycznej instalacji wszystkich aktualizacji systemu, jakie publikuje i zaleca producent oprogramowania, jako ważne. Poprawki te mają na celu maksymalne zabezpieczenie Stacji S t r o n a | 18 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Roboczej przed zagrożeniami, jakie niesie używanie Stacji Roboczej działającej w sieci Internet. 3. W celu uruchomienia i zalogowania się do Systemu Użytkownik Systemu powinien uruchomić przeglądarkę internetową. Przeglądarka internetowa jest automatycznie aktualizowana do najnowszej, udostępnianej przez jej producenta wersji. 4. Zabrania się Użytkownikom Systemu korzystania z funkcji przeglądarki internetowej służącej do zapamiętywania nazwy użytkownika i/lub hasła dostępowego do Panelu Administratora. 5. Stacja Robocza posiada zainstalowane oprogramowanie antywirusowe mające na celu wykrywanie i zabezpieczenia Stacji Roboczej. Program antywirusowy ma włączoną automatyczną aktualizację zarówno wersji oprogramowania antywirusowego jak i list i definicji wirusów. 6. Stacja Robocza ma włączony systemowy firewall, którego zadaniem jest zabezpieczenie Stacji Roboczej przed nieuprawnionym dostępem z zewnątrz. 7. Stacja Robocza jest zabezpieczona hasłem dostępowym na poziomie dostępu do system operacyjnego Stacji Roboczej. 8. Hasła, o których mowa w punkcie powyżej są zmieniane przez Użytkownika Systemu nie rzadziej, niż co 30 dni. 9. Na Stacji Roboczej prawa administratora systemu operacyjnego ma jedynie Administrator Bezpieczeństwa Informacji. Użytkownik Systemu na Stacji Roboczej ma prawa na nie może poziomie użytkownika zaawansowanego. 10. Użytkownik Systemu instalować żadnego oprogramowania bez wcześniejszej pisemnej zgody Administratora Bezpieczeństwa Informacji. S t r o n a | 19 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 11. 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Użytkownicy Systemu mają dostęp do sieci Internet poprzez modem dostępowym do sieci Internet. Modem ma zewnętrzny adres IP. Modem posiada zabezpieczenie, które nie pozwala na autoryzację i dostęp do modemu z zewnątrz sieci. Konfiguracja modemu możliwa jest tylko z sieci wewnętrznej. Modem posiada wbudowany firewall blokujący nieautoryzowane pakiety z zewnątrz. Stacje Robocze są w sieci wewnętrznej i otrzymują adresy IP z wewnętrznej adresacji modemu. Dostęp Stacji Roboczych do modemu odbywa się poprzez sieć bezprzewodową. zabezpieczony Dostęp hasłem w do sieci autoryzacji bezprzewodowej Mixed jest WPA2/WPA-PSK. Dodatkowo na routerze ustawiony jest filtr adresów MAC kart sieciowych, który dopuszcza połączenie z routerem tylko autoryzowane Stacje Robocze posiadające określony MAC adres karty sieciowej. 12. Na fakt naruszenia zabezpieczeń Stacji Roboczej mogą wskazywać: a) nietypowy stan stacji roboczej (np. brak zasilania, problemy z uruchomieniem); b) wszelkiego komunikaty rodzaju różnice informujące w funkcjonowaniu o błędach, brak systemu (np. dostępu do funkcji systemu, nieprawidłowości w wykonywanych operacjach); c) inne nadzwyczajne sytuacje. 13. W przypadku wystąpienia sytuacji opisanych w powyższym punkcie Użytkownik Systemu zobowiązany jest poinformować Administratora Systemu Informatycznego, a w razie stwierdzenie naruszenia bezpieczeństwa zastosować się do procedury opisanej w Instrukcji. S t r o n a | 20 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu VIII. 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 Wymagania Ustawowe W rozdziale tym znajduje się lista wymogów, jakie wynikają z Ustawy oraz z Rozporządzenia. Celem Tabeli jest wskazanie rozdziałów Polityki Bezpieczeństwa oraz Instrukcji, które opisują spełnienie wymagań wynikających z Ustawy oraz z Rozporządzenia. Ma ona cel informacyjny. L.p Wymaganie Pochodzen ie Artyk uł 1 System umożliwia dokonywanie wglądu i weryfikacji przetwarzanych danych osobowych osobie, której te dane dotyczą System umożliwia trwałe usuwanie danych, dla których cel przetwarzania został osiągnięty. Numery porządkowe stosowane w ewidencji ludności spełniają wymóg art. 28. ust 2 uodo. uodo art. 24, ust 1, pkt 3 uodo uodo 2 3 Wymóg ustawo wy Tak Spełnien ie wymogu Tak art. 26, ust 1, pkt 4 Tak Tak art. 28, ust 2 Tak Tak S t r o n a | 21 / 32 Parafka Sposób realizacji Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu 4 5 6 7 8 9 COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 Elementy numerów porządkowych w systemie ewidencjonując ym osoby fizyczne nie posiadają ukrytych znaczeń. System zapewnia autoryzację użytkowników System umożliwia jednoznaczne wskazania użytkownika, który określone dane wprowadził lub zmieniał z podaniem dat operacji. System powinien umożliwiać odnotowywanie , komu dane zostały przekazane. Odnotowanie daty pierwszego wprowadzenia danych do systemu. Odnotowanie identyfikatora użytkownika wprowadzające go dane do siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 uodo art. 28, ust 3 Tak Tak uodo art. 38 Tak Tak uodo art. 38 Tak Tak uodo art. 38 Tak Nie dotyczy rozp.mswia §7 Tak Tak rozp.mswia §7 Tak Tak S t r o n a | 22 / 32 Parafka Instrukcja pkt. VII Instrukcja pkt. XIV Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 systemu 10 11 12 13 14 Odnotowanie źródła danych Odnotowanie informacji o odbiorcach, dacie i zakresie udostępnienia Odnotowanie sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym , system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1 mswia §7 (1-5) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2 (daty pierwszego wprowadzenia i identyfikatora), rozp.mswia §7 Tak Tak rozp.mswia §7 Tak Nie dotyczy rozp.mswia §7 Tak Tak rozp.mswia §7 Tak Tak rozp.mswia §7 Tak Tak S t r o n a | 23 / 32 Parafka Instrukcja pkt. XIV Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu 15 16 17 COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. System zapewnia odnotowanie informacje o odbiorcach danych w rozumieniu art. 7 pkt 6 uodo. Obszar przetwarzania jest zabezpieczony przed dostępem osób nieuprawnionyc h na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionyc h w obszarze przetwarzania, jest dopuszczalne za zgodą administratora danych lub w obecności siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 rozp.mswia §7, pkt 4 Tak Nie dotyczy Instrukcja pkt. XIV rozp.mswia Zał. AI,1 Tak Tak Polityka Bezpieczeńst wa pkt. V rozp.mswia Zał. AI,2 Tak Tak Polityka Bezpieczeńst wa pkt. V S t r o n a | 24 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 osoby upoważnionej do przetwarzania danych osobowych. 18 19 20 21 W systemie informatycznym stosuje się mechanizmy kontroli dostępu do danych System zapewnia odrębny identyfikator rejestrowany dla każdego użytkownika. rozp.mswia Dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia . System posiada zabezpieczenia przed działaniem oprogramowani a, którego celem jest uzyskanie nieuprawnioneg o dostępu do systemu informatyczneg rozp.mswia Zał. AII,1 Tak Tak Instrukcja pkt. III rozp.mswia Zał. AII,2 a) Tak Tak Instrukcja pkt. III rozp.mswia Zał. AII,2 b) Tak Tak Instrukcja pkt. III rozp.mswia Zał. AIII,1 Tak Tak Instrukcja pkt. XIII S t r o n a | 25 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 o. 22 23 24 25 System posiada zabezpieczenia przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie jest przydzielany innej osobie Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczający ch je przed nieuprawniony m przejęciem, modyfikacją, uszkodzeniem rozp.mswia Zał. AIII,2 Tak Tak Polityka Bezpieczeńst wa pkt. VIII c) 2-3 rozp.mswia Zał. AIV,1 Tak Tak Instrukcja pkt. III.8-9 rozp.mswia Zał. AIV,3 Tak Tak Instrukcja pkt. XII rozp.mswia Zał. AIV,4 a) Tak Tak Instrukcja pkt. XII S t r o n a | 26 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 lub zniszczeniem. 26 27 28 29 Kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności. Zmiana hasła, następuje nie rzadziej niż co 30 dni. W systemie dopuszczone jest przetwarzanie danych osobowych na komputerach przenośnych Do ochrony danych osobowych na komputerach przenośnych stosowane są środki ochrony kryptograficznej . Proces likwidacji elektronicznych nośników informacji zawierających dane osobowe odbywa się w sposób uniemożliwiając y ich odczytanie. rozp.mswia Zał. AIV,4 b) Tak Tak Instrukcja pkt. XII rozp.mswia Zał. AIV,2 Tak Tak Instrukcja pkt. VII.1011 rozp.mswia Zał. AV Tak Nie dotyczy Stacje Robocze nie przechowują Danych Osobowych rozp.mswia Zał. AVI, 1 Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 S t r o n a | 27 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu 30 31 COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 Proces pozbawienia zapisu danych osobowych na elektronicznych nośnikach informacji, przeznaczonych do przekazania podmiotowi nieuprawnione mu do przetwarzania tych danych, odbywa się w sposób uniemożliwiając y ich odzyskanie. Proces pozbawienia elektronicznych nośników informacji przeznaczonych do naprawy, zapisu danych osobowych, odbywa się w sposób uniemożliwiając y ich odzyskanie lub naprawia się je pod nadzorem osoby upoważnionej przez ADO. siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 rozp.mswia Zał. AVI, 2 Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 rozp.mswia Zał. AVI, 3 Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 S t r o n a | 28 / 32 Parafka Nazwa jednostki organizacyjnej Tytuł dokumentu Wersja dokumentu 32 33 34 35 COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z 1.0 Hasło służące do uwierzytelniania użytkowników składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne (dotyczy podwyższonego poziomu bezpieczeństwa ). System posiada zabezpieczenia fizyczne przed zagrożeniami nieuprawnioneg o dostępu z sieci publicznej. System posiada zabezpieczenia logiczne przed zagrożeniami nieuprawnioneg o dostępu z sieci publicznej. Zabezpieczenia logiczne obejmują kontrolę przepływu informacji pomiędzy systemem informatycznym a siecią publiczną. siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 rozp.mswia Zał. BVIII Tak Tak Instrukcja pkt. VII.7 rozp.mswia Zał. CXII, 1 Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 rozp.mswia Zał. CXII, 1 Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 rozp.mswia Zał. CXII, 2 a) Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 S t r o n a | 29 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 36 37 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 Zabezpieczenia logiczne obejmują kontrolę działań inicjowanych z sieci publicznej i systemu informatyczneg o. W systemie zastosowano środki kryptograficznej ochrony wobec danych wykorzystywan ych do uwierzytelnienia , które są przesyłane w sieci publicznej. rozp.mswia Zał. CXII, 2 b) Tak Tak Polityka Bezpieczeńst wa pkt. pkt. VIII c) 2-3 rozp.mswia Zał. CXIII Tak Tak Instrukcja pkt. XIII.4 IX. Postanowienia końcowe 1. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania a w szczególności nie określonego powiadomiła w niniejszym odpowiedniej dokumencie, osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne. 2. Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych wg wzoru stanowiącego Załącznik nr 5 do niniejszego dokumentu. S t r o n a | 30 / 32 Parafka Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 1.0 3. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane, jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora Bezpieczeństwa Informacji. 4. Orzeczona kara dyscyplinarna, wobec osoby uchylającej się od powiadomienia Administratora Bezpieczeństwa Informacji nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami) oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez dokumentem mają pracodawcę o zrekompensowanie poniesionych strat. 5. W sprawach nieuregulowanych niniejszym zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych( tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 – z późniejszymi zmianami), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci do przekazywania informacji – do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów informatycznych (Dz. U. Nr 100, poz. 1023). S t r o n a | 31 / 32 Parafka zabezpieczenia danych Nazwa jednostki COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z organizacyjnej Tytuł dokumentu Wersja dokumentu 6. Niniejsza systemem 1.0 siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51 Polityka bezpieczeństwa Data utworzenia 01.10.2012 Data aktualizacji 12.08.2014 „Polityka bezpieczeństwa” informatycznym i służącym „Instrukcja do zarządzania przetwarzania danych osobowych” w „Coach Hire” wchodzi w życie z dniem jej podpisania przez Administratora Danych Osobowych. 7. Lista Załączników: a) Instrukcja Zarządzania System Informatycznym przetwarzania danych osobowych służącym do COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA. b) Załącznik nr 1 – Oświadczenie c) Załącznik nr 2 - Upoważnienie d) Załącznik nr 3 - Rejestr osób upoważnionych e) Załącznik nr 4 - Raport naruszenia bezpieczeństwa Systemu Informatycznego f) Załącznik nr 5 – Lista osób g) Załącznik nr 6 – Informacja o zawartości zbioru danych osobowych h) Załącznik nr 7 - Struktury zbiorów danych osobowych Imię i nazwisko Data S t r o n a | 32 / 32 Parafka Podpis