polityka bezpieczeństwa starostwa powiatowego w pabianicach
Transkrypt
polityka bezpieczeństwa starostwa powiatowego w pabianicach
POLITYKA BEZPIECZE STWA STAROSTWA POWIATOWEGO W PABIANICACH Zał cznik do Zarz dzenia Nr 25 /08 Starosty Pabianickiego z dnia 16 czerwca 2008 roku ROZDZIAŁ I WST P Starosta Pabianicki - Administrator Danych, wiadomy wagi zagro e prywatno ci, w tym zwłaszcza zagro e danych osobowych przetwarzanych w zwi zku z wykonywaniem zada Administratora Danych, deklaruje podejmowanie wszelkich mo liwych działa koniecznych do zapobiegania zagro eniom, m. in. takim jak: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na zasoby systemu, jak np. po ar, zalanie pomieszcze , katastrofa budowlana, napad, kradzie , włamanie, działania terrorystyczne, niepo dana ingerencja ekipy remontowej; 2) niewła ciwe parametry rodowiska, zakłócaj ce prac urz dze komputerowych (nadmierna wilgotno lub bardzo wysoka temperatura, oddziaływanie pola elektromagnetycznego i inne); 3) awarie sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne naruszenia ochrony danych, niewła ciwe działanie serwisantów, w tym pozostawienie 4) 5) 6) 7) serwisantów bez nadzoru, a tak e przyzwolenie na napraw sprz tu zawieraj cego dane poza siedzib Administratora Danych; podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upowa niona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upowa nione; celowe lub przypadkowe rozproszenie danych w internecie z omini ciem zabezpiecze systemu lub wykorzystaniem bł dów systemu informatycznego Administratora Danych; ataki z internetu; naruszenia zasad i procedur okre lonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upowa nione do przetwarzania danych osobowych, zwi zane z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza: niezgodne z procedurami zako czenie pracy lub opuszczenie stanowiska pracy (nieprawidłowe wył czenie komputera, niezablokowanie wy wietlenia tre ci pracy na ekranie komputera przed tymczasowym opuszczeniem stanowiska pracy, pozostawienie po zako czeniu pracy nieschowanych do zamykanych na klucz szaf dokumentów zawieraj cych dane osobowe, niezamkni cie na klucz pokoju po jego opuszczeniu, nieoddanie klucza na portierni ), naruszenie bezpiecze stwa danych przez nieautoryzowane ich przetwarzanie, ujawnienie osobom nieupowa nionym procedur ochrony danych stosowanych u Administratora Danych, ujawnienie osobom nieupowa nionym danych przetwarzanych przez Administratora Danych, w tym równie nieumy lne ujawnienie danych osobom postronnym, przebywaj cym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach Administratora Danych, niewykonywanie stosownych kopii zapasowych, przetwarzanie danych osobowych w celach prywatnych, wprowadzanie zmian do systemu informatycznego Administratora Danych i instalowanie programów bez zgody Administratora Systemu. ROZDZIAŁ II POSTANOWIENIA OGÓLNE §1 Ilekro w niniejszej Polityce Bezpiecze stwa jest mowa o: 1. Administratorze Bezpiecze stwa Informacji – rozumie si przez to osob , której Administrator Danych powierzył pełnienie obowi zków Administratora Bezpiecze stwa Informacji, 2. Administratorze Danych – rozumie si przez Administratora Danych Starostwa Powiatowego w Pabianicach reprezentowanego przez Starost Pabianickiego, 3. Administratorze Systemu – rozumie si przez to informatyka zatrudnionego w Biurze Zarz du Powiatu realizuj cego zadania w zakresie zarz dzania i bie cego nadzoru nad systemem informatycznym Administratora Danych, 4. danych osobowych – rozumie si przez to wszelkie informacje dotycz ce zidentyfikowanej lub mo liwej do zidentyfikowania osoby fizycznej, 5. ha le - rozumie si przez to ci g znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 6. identyfikatorze u ytkownika - rozumie si przez to ci g znaków literowych, cyfrowych lub innych jednoznacznie identyfikuj cy osob upowa nion do przetwarzania danych osobowych w systemie informatycznym, 7. integralno ci danych – rozumie si przez to wła ciwo zapewniaj c , e dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 8. odbiorcy danych – rozumie si przez to ka dego, komu udost pnia si dane osobowe, z wył czeniem: - osoby, której dane dotycz , - osoby upowa nionej do przetwarzania danych osobowych, - przedstawiciela, o którym mowa w art. 31a ustawy, - podmiotu, o którym mowa w art. 31ustawy, - organów pa stwowych lub organów samorz du terytorialnego, którym dane s udost pniane w zwi zku z prowadzonym post powaniem. 9. osobie upowa nionej do przetwarzania danych osobowych – rozumie si przez to osob , która została upowa niona została do przetwarzania danych osobowych przez Administratora Danych – Starost Pabianickiego na pi mie, 10. poufno ci danych – rozumie si przez to wła ciwo zapewniaj c , e dane osobowe nie s udost pniane nieupowa nionym osob i podmiotom, 11. przetwarzaj cym – rozumie si przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy, 12. przetwarzaniu danych – rozumie si przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost pnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 13. raporcie – rozumie si przez to przygotowane przez system informatyczny zestawienia zakresu i tre ci przetwarzanych danych osobowych, 14. rozliczalno ci - rozumie si przez to wła ciwo zapewniaj c , e działania podmiotu mog by przypisane w sposób jednoznaczny tylko temu podmiotowi, 15. rozporz dzeniu – rozumie si przez to rozporz dzenie Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych, 16. sieci publicznej – rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, 17. sieci teleinformatycznej – rozumie si przez to słu c do przetwarzania danych osobowych organizacyjnie i technicznie poł czenie systemów teleinformatycznych wraz z ł cz cymi je urz dzeniami i liniami, 18. sieci telekomunikacyjnej – rozumie si przez to sie telekomunikacyjn w rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, 19. serwisancie – rozumie si przez to firm lub pracownika firmy zajmuj cej si sprzeda , instalacj , napraw i konserwacj sprz tu komputerowego, 20. systemie informatycznym Administratora Danych – rozumie si przez sprz t komputerowy, oprogramowanie, dane eksploatowane w zespole współpracuj cych ze sob urz dze , programów procedur przetwarzania informacji i narz dzi programowych; w systemie tym pracuje przynajmniej jeden komputer centralny i system ten tworzy sie teleinformatyczn Starostwa Powiatowego w Pabianicach, 21. teletransmisji – rozumie si przez to przesyłanie informacji za po rednictwem sieci telekomunikacyjnej, 22. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 23. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj , która nie pozwoli na ustalenie to samo ci osoby, której dane dotycz , 24. uwierzytelnianiu – rozumie si przez to działanie, której celem jest weryfikacja deklarowanej to samo ci podmiotu, 25. u ytkowniku – rozumie si przez to osob upowa nion do dost pu i przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło, 26. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to wdro enie i eksploatacj stosownych rodków technicznych i organizacyjnych zapewniaj cych ochron danych przed ich nieuprawnionym przetwarzaniem, 27. zabezpieczeniu systemu informatycznego – nale y przez to rozumie wdro enie stosowanych rodków administracyjnych, technicznych oraz ochrony przed modyfikacj , zniszczeniem, nieuprawnionym dost pem i ujawnieniem lub pozyskaniem danych osobowych, a tak e ich utrat , 28. zbiorze danych –rozumie si przez to ka dy posiadaj cy struktur zestaw danych o charakterze osobowym, dost pnych według okre lonych kryteriów, niezale nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, §2 1. Polityka Bezpiecze stwa jest rozumiana jako całokształt działa , zmierzaj cych do uzyskania i utrzymania wymaganego poziomu bezpiecze stwa danych osobowych, tj. zapewnienie poufno ci, spójno ci i dost pno ci na ka dym etapie tworzenia, przetwarzania, przechowywania i przesyłania danych osobowych. 2. W zwi zku z tym, e w zbiorach Administratora Danych przetwarzane s mi dzy innymi dane wra liwe, a system informatyczny Administratora Danych posiada szerokopasmowe poł czenie z Internetem, niniejsza Polityka Bezpiecze stwa słu y zapewnieniu wysokiego poziomu bezpiecze stwa danych w rozumieniu § 6 rozporz dzenia. 3. Polityka Bezpiecze stwa obejmuje zbiór zasad dotycz cych bezpiecze stwa danych osobowych ustalonych w oparciu o wymagania wynikaj ce z przepisów prawa, z szacowania ryzyka w zwi zku z wykonywaniem okre lonych prawem zada przez Starostwo Powiatowe w Pabianicach oraz wewn trzne wymogi i uwarunkowania lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej „Starostwem”. 4. Polityka Bezpiecze stwa zapewnia: 1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z podstawowymi procedurami zdefiniowanymi w Starostwie, 2) skuteczniejsze działania w odniesieniu do zagro e poufno ci, integralno ci i dost pno ci danych osobowych, 3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno wobec klientów Starostwa, 4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i przesyłanych nie tylko za pomoc systemów informatycznych ale równie w innych obszarach ich przetwarzania i przechowywania (np. papierowej). 5. Celem Polityki Bezpiecze stwa jest wskazanie działa , jakie nale y podejmowa oraz ustanowienie zasad, jakie nale y stosowa , aby prawidłowo były realizowane obowi zki Starostwa jako Administratora Danych w zakresie zabezpieczenia danych osobowych. 6. Niniejsza Polityka Bezpiecze stwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w ksi gach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych. 7. Procedury i zasady okre lone w niniejszym dokumencie stosuje si do wszystkich osób upowa nionych do przetwarzania danych osobowych, zarówno zatrudnionych w Starostwie, jak i innych, np. sta ystów, praktykantów, wolontariuszy. §3 W Starostwie z uwagi na fakt, e urz dzenia systemu informatycznego słu cego do przetwarzania danych osobowych poł czone s z sieci publiczn , stosuje si wysoki poziom bezpiecze stwa teleinformatycznego. §4 Bezpiecze 1) 2) 3) 4) 5) stwo teleinformatyczne na poziomie wysokim zapewnia si przez: Ochron fizyczn . Ochron elektromagnetyczn . Ochron kryptograficzn . Bezpiecze stwo teletransmisji. Kontrol dost pu do urz dze systemu lub sieci teleinformatycznej. §5 Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków zabezpieczaj cych pomieszczenia, w którym znajduj si urz dzenia systemu lub sieci teleinformatycznej, w szczególno ci przed: 1) Nieuprawnionym dost pem. 2) Podgl dem. 3) Podsłuchem. §6 Ochrona elektromagnetyczna polega na: 1) Wszelkie urz dzenia systemu i sieci teleinformatycznej winny znajdowa si w odległo ci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mog cej zakłóca prawidłow prac tych urz dze . 2) W trakcie pracy urz dze systemu i sieci teleinformatycznej w strefie bezpiecze stwa nale y wył czy urz dzenia o wysokiej emisyjno ci fal elektromagnetycznych lub stosowa zastosowanie urz dze , poł cze linii o obni onym poziomie emisji lub ich ekranowanie i filtrowanie zewn trznych linii zasilaj cych lub sygnałowych. 3) Komputery na których przetwarzane s dane osobowe powinny spełnia warunek obni onej emisyjno ci. §7 1. Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu metod i rodków zabezpieczaj cych dane osobowe przez ich szyfrowanie oraz stosowanie innych mechanizmów kryptograficznych gwarantuj cych integralno i zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie podmiotów, lub uwierzytelnienie informacji. 2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy przekazywaniu danych osobowych w formie elektronicznej, poza strefy bezpiecze stwa. 3. Przemieszczanie komputerów przeno nych, w których przetwarzane s dane osobowe, poza strefy bezpiecze stwa wymaga stosowania kryptograficznych metod i rodków ochrony tych danych lub innych rodków ochrony, gwarantuj cych ich zabezpieczenie przed nieuprawnionym ujawnieniem. 4. Przepis ust. 3 stosuje si do elektronicznych no ników zawieraj cych dane osobowe, przemieszczanych poza strefy bezpiecze stwa. ROZDZIAŁ III ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH §1 Administrator Danych osobowych reprezentowany przez Starost Pabianickiego realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1. Podejmuje decyzje o celach i rodkach przetwarzania danych osobowych uwzgl dnieniem przede wszystkim zmian w obowi zuj cym prawie, organizacji Administratora Danych oraz technik zabezpieczenia danych osobowych; 2. Upowa nia poszczególne osoby do przetwarzania danych osobowych w okre lonym indywidualnie zakresie, odpowiadaj cym zakresowi jej obowi zków; 3. Wyznacza Administratora Bezpiecze stwa Informacji oraz okre la zakres jego zada i czynno ci; 4. Wyznacza Administratora Systemu oraz okre la jego zakres zada i czynno ci 5. Wyznacza inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe jako wła ciwego do prowadzenia ewidencji osób upowa nionych do przetwarzania danych osobowych oraz pozostałej dokumentacji z zakresu ochrony danych, o ile jako wła ciwy do jej prowadzenia nie zostanie wskazany w niniejszym dokumencie inny podmiot; 6. Zleca inspektorowi Biura Zarz du Powiatu do którego obowi zków nale sprawy zwi zane z zaopatrzeniem, by we współpracy z Administratorem Systemu oraz Administratorem Bezpiecze stwa Informacji zapewnił u ytkownikom odpowiednie stanowiska pracy umo liwiaj ce bezpieczne przetwarzanie danych; 7. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych. §2 Administrator Bezpiecze stwa Informacji realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza: 1. Sprawuje nadzór nad wdro eniem stosownych rodków fizycznych, a tak e organizacyjnych i technicznych – w celu zapewnienia bezpiecze stwa danych. 2. Sprawuje nadzór nad funkcjonowaniem systemu zabezpiecze , w tym tak e nad prowadzeniem ewidencji z zakresu ochrony danych osobowych. 3. Koordynuje wewn trzne audyty przestrzegania przepisów o ochronie danych osobowych. 4. Nadzoruje udost pnianie danych osobowych odbiorcom danych i innym podmiotom, 5. Przygotowuje wnioski zgłosze rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inn korespondencj z Generalnym Inspektorem Ochrony Danych Osobowych. 6. Zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotycz cych ochrony danych osobowych, przygotowywane przez wydziały i pozostałe komórki organizacyjne Administratora Danych. 7. Nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych przez inspektora Biura Zarz du prowadz cego sprawy kadrowe. 8. Prowadzi oraz aktualizuje dokumentacj opisuj c sposób przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniaj ce ochron przetwarzanych danych osobowych. 9. Podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia systemu informatycznego. 10. Przygotowuje wyci gi z Polityki Bezpiecze stwa, dostosowane do zakresów obowi zków osób upowa nianych do przetwarzania danych osobowych. 11. Przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób upowa nianych do przetwarzania danych osobowych. 12. Przeprowadza szkolenie ka dej osoby, która ma zosta upowa niona do przetwarzania danych osobowych. 13. W porozumieniu z Administratorem Danych osobowych oraz inspektorem Biura Zarz du Powiatu prowadz cym sprawy kadrowe, na czas nieobecno ci (urlop, choroba) wyznacza swojego zast pc . §3 Administrator Systemu realizuje zadania w zakresie zarz dzania i bie cego nadzoru nad systemem informatycznym administratora danych, w tym zwłaszcza: 1. Zarz dza systemem informatycznym, w którym przetwarzane s dane osobowe, posługuj c si hasłem dost pu do wszystkich stacji roboczych z pozycji administratora. 2. Przeciwdziała dost powi osób niepowołanych do systemu informatycznego, w którym przetwarzane s dane osobowe. 3. Na wniosek inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe przydziela ka demu u ytkownikowi identyfikator oraz hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnie , a tak e usuwa konta u ytkowników zgodnie z zasadami okre lonymi w instrukcji zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych. 4. Prowadzi w systemie elektronicznym ewidencj u ytkowników upowa nionych do przetwarzania danych osobowych w systemie informatycznym, która powinna zawiera : 1) nazwisko i imi u ytkownika, 2) identyfikator u ytkownika, 3) stanowisko u ytkownika, 4) wydział lub inn komórk organizacyjn Starostwa, w którym u ytkownik jest zatrudniony lub odbywa sta , praktyk lub wykonuje zadania jako wolontariusz, 5) wskazanie zbiorów danych osobowych, do którego u ytkownik ma prawo dost pu, 6) zakres uprawnie u ytkownika w zakresie przetwarzania danych osobowych stosownie do postanowie art. 7 pkt 2 ustawy, 7) dat przyznania uprawnie , 8) dat wyrejestrowania u ytkownika z systemu informatycznego, gdy upowa nienie utraciło wa no z uwagi na okres na jaki zostało udzielone lub z uwagi na zako czenie pracy u ytkownika w Starostwie. 5. Nadzoruje działanie mechanizmów uwierzytelniania u ytkowników oraz kontroli dost pu do danych osobowych. 6. Podejmuje działania w zakresie ustalania i kontroli identyfikatorów dost pu do systemu informatycznego. 7. Wyrejestrowuje u ytkowników na polecenie Administratora Danych lub inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe. 8. Zmienia w poszczególnych stacjach roboczych hasła dost pu, ujawniaj c je wył cznie danemu u ytkownikowi oraz, w razie potrzeby, Administratorowi Bezpiecze stwa Informacji lub Administratorowi Danych, 9. W sytuacji stwierdzenia naruszenia zabezpiecze systemu informatycznego informuje Administratora Bezpiecze stwa Informacji o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia. 10. Prowadzi szczegółow dokumentacj narusze bezpiecze stwa danych osobowych przetwarzanych w systemie informatycznym. 11. Sprawuje nadzór nad wykonywaniem napraw, konserwacj oraz likwidacj urz dze komputerowych, na których zapisane s dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod k tem ich dalszej przydatno ci do odtwarzania danych w przypadku awarii systemu informatycznego. 12. Podejmuje działania słu ce zapewnieniu niezawodno ci zasilania komputerów, innych urz dze maj cych wpływ na bezpiecze stwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewn trznej i bezpiecznej teletransmisji. §4 Inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe realizuje przede wszystkim nast puj ce zadania w zakresie ochrony danych osobowych: 1. Prowadzi ewidencj osób upowa nionych do przetwarzania danych osobowych. 2. Wyst puje z wnioskiem do Administratora Bezpiecze stwa Informacji o przeprowadzenie szkolenia osoby, która ma zosta upowa niona do przetwarzania danych osobowych 3. Wyst puje z wnioskiem do Administratora Danych o nadanie upowa nienia do przetwarzania danych osobowych, 4. Wyst puje z wnioskiem do Administratora Systemu o nadanie identyfikatora i przyznanie hasła osobie upowa nionej do przetwarzania danych osobowych. 5. Wyst puje z wnioskiem o odwołanie upowa nienia do przetwarzania danych osobowych i/lub wyrejestrowania u ytkownika z systemu informatycznego. §5 Osoba upowa niona do przetwarzania danych osobowych jest zobowi zana przestrzega nast puj cych zasad: 1. Mo e przetwarza dane osobowe wył cznie w zakresie ustalonym indywidualnie przez Administratora Danych w upowa nieniu i tylko w celu wykonywania nało onych na ni obowi zków. Zakres dost pu do danych przypisany jest do niepowtarzalnego identyfikatora u ytkownika, niezb dnego do rozpocz cia pracy w systemie. Rozwi zanie stosunku pracy, odwołanie z pełnionej funkcji powoduje wyga ni cie upowa nienia do przetwarzania danych osobowych. 2. Musi zachowa tajemnic danych osobowych oraz przestrzega procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowi zuje przez cały okres zatrudnienia u Administratora Danych, a tak e po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji. 3. Zapoznaje si z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami niniejszej Polityki Bezpiecze stwa i instrukcji zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych. 4. Stosuje okre lone przez Administratora Danych oraz Administratora Bezpiecze stwa Informacji procedury oraz wytyczne maj ce na celu zgodne z prawem, w tym zwłaszcza adekwatne, przetwarzanie danych. 5. Korzysta z systemu informatycznego Administratora Danych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urz dze wchodz cych w skład systemu informatycznego, oprogramowania i no ników. 6. Zabezpiecza dane przed ich udost pnianiem osobom nieupowa nionym. §6 W ramach struktury organizacyjnej Administratora Danych prowadzone s nast puj ce ewidencje wchodz ce w skład dokumentacji z zakresu ochrony danych osobowych: 1. inspektor Biura Zarz du Powiatu prowadz cy sprawy kadrowe prowadzi ewidencj osób upowa nionych do przetwarzania danych osobowych, 2. Administrator Bezpiecze stwa Informacji prowadzi ewidencj udost pnie danych odbiorcom danych oraz innym podmiotom, 3. Administrator Systemu prowadzi przechowywan w kasie pancernej ewidencj haseł do stanowisk roboczych poszczególnych u ytkowników oraz ich identyfikatorów, a tak e ewidencje: 1) komputerów przeno nych, 2) no ników przeno nych, oraz 3) kluczy kryptograficznych. ROZDZIAŁ IV WYKAZ POMIESZCZE TWORZ CYCH OBSZAR, W KTÓRYM PZETWARZANE S DANE OSOBOWE §1 1. Pomieszczeniami tworz cymi obszar, w którym znajduj si przetwarzane dane osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek, rejestrów i innych oraz stacjonarny sprz t komputerowy, w którym s przetwarzane dane osobowe. 2. Przebywanie w pomieszczeniach znajduj cych si wewn trz obszaru, o którym mowa w ust.1, osób nieuprawnionych do dost pu do danych osobowych, jest dopuszczalne tylko w obecno ci osoby zatrudnionej przy przetwarzaniu tych danych. 3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i chronione na czas nieobecno ci w nich osób upowa nionych do przetwarzania danych osobowych, w sposób uniemo liwiaj cy dost p do nich osób trzecich. §2 Wykaz pomieszcze tworz cych obszar, w którym przetwarzane s dane osobowe został okre lony w zał czniku Nr 1 do niniejszej Polityki Bezpiecze stwa. ROZDZIAŁ V WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH §1 Starostwo przetwarza dane osobowe w zbiorach, w zwi zku z wykonywaniem zada wynikaj cych z art. 4 ustawy o samorz dzie powiatowym i stosownych przepisów prawa materialnego i proceduralnego. §2 Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych danych zawiera zał cznik Nr 2 do Polityki Bezpiecze stwa. ROZDZIAŁ VI OPIS STRUKTURY ZBIORÓW DANYCH §1 Zbiory danych osobowych przetwarzanych w Starostwie maj nast puj ce struktury: 1. W zbiorze danych „Rejestr stowarzysze i fundacji” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Data urodzenia c) Miejsce urodzenia d) Adres zamieszkania lub pobytu e) Numer ewidencyjny PESEL f) Seria i numer dowodu osobistego g) Numer telefonu 2. W zbiorze danych „Zbiór zezwole na sprowadzenie zwłok i szcz tków z zagranicy” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Seria i numer dowodu osobistego d) Numer telefonu 3. W zbiorze danych „Rejestr zwierz t podlegaj cych ograniczeniom na podstawie przepisów UE” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 4. W zbiorze danych „Ewidencja kart w dkarskich” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) c) d) e) Data urodzenia Miejsce urodzenia Adres zamieszkania lub pobytu Seria i numer dowodu osobistego 5. W zbiorze danych „Ewidencja sprz tu pływaj cego do amatorskiego połowu ryb” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Seria i numer dowodu osobistego 6. W zbiorze danych „System obiegu dokumentów INTRADOK” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Miejsce pracy h) Zawód i) Wykształcenie j) Seria i numer dowodu osobistego k) Stan zdrowia l) Nałogi m) ycie seksualne 7. W zbiorze danych „Stypendia z EFS – Uczniowie” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu m) Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym 8. W zbiorze danych „Stypendia z EFS – Studenci” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu m) Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym 9. W zbiorze danych „Zbiór zezwole na przeprowadzenie zbiórki publicznej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer ewidencyjny PESEL d) Seria i numer dowodu osobistego e) Numer telefonu 10. W zbiorze danych „Ewidencja pozwole wodnoprawnych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 11. W zbiorze danych „Ewidencja decyzji w zakresie utrzymania urz dze melioracji wodnych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 12. W zbiorze danych „Ewidencja osób posiadaj cych uprawnienia do kierowania pojazdami” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Data urodzenia c) Miejsce urodzenia d) Adres zamieszkania lub pobytu e) Numer ewidencyjny PESEL f) Numer telefonu g) Stan zdrowia h) Skazania i) Mandaty karne j) Orzeczenia o ukaraniu k) Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym 13. W zbiorze danych „Ewidencja szkół nauki jazdy i instruktorów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Wykształcenie h) Numer telefonu i) Skazania j) Orzeczenia o ukaraniu 14. W zbiorze danych „Ewidencja stacji kontroli pojazdów i diagnostów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) h) i) j) k) Numer Identyfikacji Podatkowej Zawód Wykształcenie Seria i numer dowodu osobistego Numer telefonu 15. W zbiorze danych „Ewidencja przedsi biorców wykonuj cych krajowy transport drogowy, transport rzeczy osób i przewozy drogowe na potrzeby własne” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer Identyfikacji Podatkowej d) Seria i numer dowodu osobistego 16. W zbiorze danych „Krajowy system ewidencji pojazdów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer ewidencyjny PESEL 17. W zbiorze danych „System Informacji O wiatowej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Miejsce pracy c) Zawód d) Wykształcenie 18. W zbiorze danych „Rejestr skierowa uczniów do kształcenia specjalnego” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 19. W zbiorze danych „Rejestr decyzji o przyznaniu godzin indywidualnego nauczania” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 20. W zbiorze danych „Skierowania do o rodków socjoterapeutycznych i młodzie owych o rodków Wychowawczych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Wykształcenie h) i) j) k) l) m) Stan zdrowia Nałogi ycie seksualne Skazania Orzeczenia o ukaraniu Inne orzeczenia wydane w post powaniu s dowym lub administracyjnym 21. W zbiorze danych „Rejestr decyzji o przyznaniu godzin rewalidacyjno – wychowawczych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Wykształcenie g) Numer telefonu h) Stan zdrowia 22. W zbiorze danych „Rejestr skierowa uczniów do kształcenia specjalnego w systemie kształcenia Integracyjnego” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer telefonu g) Stan zdrowia 23. W zbiorze danych „Ewidencja nakazów płatniczych za wył czenie gruntów z produkcji rolniczej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 24. W zbiorze danych „Ewidencja gruntów wył czonych z produkcji rolniczej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 25. W zbiorze danych „Ewidencja zezwole na posiadanie i hodowl psów rasy chart polski” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 26. W zbiorze danych „Inwentaryzacja lasów nie stanowi cych własno ci Skarbu Pa stwa i decyzje okre laj ce zadania z zakresu gospodarki le nej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 27. W zbiorze danych „Ewidencja wniosków i decyzji zwi zanych z zalesieniami gruntów rolnych oraz wypłat ekwiwalentów z tego tytułu” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 28. W zbiorze danych „Plany urz dzania lasów nie stanowi cych własno ci Skarbu Pa stwa” przetwarzane s dane osobowe w zakresie: a) b) Nazwiska i imiona Adres zamieszkania lub pobytu 29. W zbiorze danych „Ewidencja decyzji na wykonanie rekultywacji” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 30. W zbiorze danych „Ewidencja decyzji zatwierdzaj cych projekty prac geologicznych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 31. W zbiorze danych „Ewidencja zawiadomie o przyj ciu dokumentacji geologicznej” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 32. W zbiorze danych „Ewidencja wydanych koncesji na wydobywanie kopalin pospolitych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer Identyfikacji Podatkowej 33. W zbiorze danych „Ewidencja zatwierdze organizacji ruchu na drogach powiatowych i gminnych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer telefonu 34. W zbiorze danych „Rejestr wniosków pozwolenia na budow /rozbiórk ” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Seria i numer dowodu osobistego g) Numer telefonu 35. W zbiorze danych „Rejestr decyzji o pozwolenie na budow /rozbiórk ” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Adres zamieszkania lub pobytu 36. W zbiorze danych „Rejestr wszystkich decyzji administracyjnych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Adres zamieszkania lub pobytu 37. W zbiorze danych „Rejestr zgłosze budowy/rozbiórki/wykonania robót budowlanych nie wymagaj cych uzyskania pozwolenia na budow ” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 38. W zbiorze danych „Ewidencja decyzji o zwrocie wywłaszczonych nieruchomo ci” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Seria i numer dowodu osobistego 39. W zbiorze danych „Ewidencja decyzji o wywłaszczeniu nieruchomo ci i ustaleniu odszkodowania” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Seria i numer dowodu osobistego 40. W zbiorze danych „Ewidencja decyzji dotycz cych zaj cia pasa drogowego na cele niezwi zane z budow , przebudow , remontem, utrzymaniem i ochron dróg” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer telefonu 41. W zbiorze danych „Ewidencja decyzji karnych dotycz cych zaj cia pasa drogowego” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer telefonu 42. W zbiorze danych „Ewidencja zezwole na umieszczenie urz dzenia obcego w pasie drogowym (uzgodnienia)” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer telefonu 43. W zbiorze danych „Ewidencja repatriantów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Seria i numer dowodu osobistego 44. W zbiorze danych „Ewidencja decyzji o przekształceniu prawa u ytkowania wieczystego w prawo własno ci” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer ewidencyjny PESEL d) Seria i numer dowodu osobistego 45. W zbiorze danych „Ewidencja o zwrocie siedliska i działek do ywotniego u ytkowania” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer ewidencyjny PESEL 46. W zbiorze danych „Ewidencja u ytkowników wieczystych, dzier awców, u ytkowników, najemców, nabywców gruntów Skarbu Pa stwa i Powiatu” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Adres zamieszkania lub pobytu d) Numer ewidencyjny PESEL e) Numer Identyfikacji Podatkowej f) Seria i numer dowodu osobistego 47. W zbiorze danych „Ewidencja decyzji zezwalaj cych na czasowe zaj cie nieruchomo ci (wywłaszczenie polegaj ce na ograniczeniu prawa własno ci)” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Seria i numer dowodu osobistego 48. W zbiorze danych „Ewidencja gruntów i budynków” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Adres zamieszkania lub pobytu d) Numer ewidencyjny PESEL 49. W zbiorze danych „Ewidencja za ale konsumentów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 50. W zbiorze danych „Ewidencja poborowych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Seria i numer dowodu osobistego h) Stan zdrowia 51. W zbiorze danych „Ewidencja postanowie ” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 52. W zbiorze danych „Rejestr wydawanych dzienników budów” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 53. W zbiorze danych „Ewidencja za wiadcze ” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 54. W zbiorze danych „Ewidencja spraw ró nych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu c) Numer telefonu 55. W zbiorze danych „Rejestr analiz i studium zagospodarowania przestrzennego” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Adres zamieszkania lub pobytu 56. W zbiorze danych „Rejestr pracowników Starostwa Powiatowego w Pabianicach oraz kierowników powiatowych jednostek organizacyjnych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Wykształcenie i) Seria i numer dowodu osobistego j) Numer telefonu 57. W zbiorze danych „Wykaz osób ubezpieczonych” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Imiona rodziców c) Data urodzenia d) Miejsce urodzenia e) Adres zamieszkania lub pobytu f) Numer ewidencyjny PESEL g) Numer Identyfikacji Podatkowej h) Miejsce pracy i) Zawód j) Wykształcenie k) Seria i numer dowodu osobistego l) Numer telefonu m) Stan zdrowia 58. W zbiorze danych „Wykaz pracowników pobieraj cych wiadczenia z ZF S” przetwarzane s dane osobowe w zakresie: a) Nazwiska i imiona b) Data urodzenia c) Miejsce pracy ROZDZIAŁ VII SPOSÓB PRZEPŁYWU DANYCH POMI DZY POSZCZEGÓLNYMI SYSTEMAMI §1 W Starostwie nie istniej adne relacje pomi dzy ró nymi systemami informatycznymi. Rozdział VIII ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENO NYCH PRZETWARZAJ CYCH DANE OSOBOWE §1 Przetwarzanie danych osobowych przy u yciu komputerów przeno nych odbywa si mo e wył cznie za wiedz i zgod Administratora Bezpiecze stwa Informacji. §2 1. Osoba u ytkuj ca komputer przeno ny, w którym przetwarzane s dane osobowe, zobowi zana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dost pem do nich osób nieupowa nionych oraz przed zniszczeniem. 2. Osoba u ytkuj ca komputer przeno ny zawieraj cy dane osobowe stosuje rodki ochrony kryptograficznej wobec przetwarzanych danych osobowych. §3 U ytkownik komputera przeno nego zobowi zany jest do: 1. Transportu komputera w sposób minimalizuj cy ryzyko kradzie y lub zniszczenia, a w szczególno ci : 1) transportowania komputera w baga u podr cznym, 2) niepozostawiania komputera w samochodzie, przechowalni baga u itp., 3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do przenoszenia komputerów przeno nych. 2. Korzystania z komputera w sposób minimalizuj cy ryzyko podejrzenia przetwarzania danych osobowych przez osoby nieupowa nione, w szczególno ci zabrania si korzystania z komputera w miejscach publicznych i rodkach transportu publicznego. 3. Niezezwalania osobom nieupowa nionym ( w tym równie członkom rodziny i znajomym) do korzystania z komputera przeno nego, na którym przetwarzane s dane osobowe. U ytkownik powinien zachowa w tajemnicy wobec domowników identyfikator i hasło, których podanie jest konieczne do rozpocz cia pracy na komputerze przeno nym Administratora Danych. 4. Niepodł cznia komputera przeno nego do Internetu za wyj tkiem podł cze do sieci informatycznej na stałym stanowisku pracy. 5. Zabezpieczenia komputera przeno nego hasłem zgodnie z ogólnymi zasadami zarz dzania hasłami przy dost pie do systemów informatycznych przetwarzaj cych dane osobowe oraz przez jego szyfrowanie. 6. Blokowanie komputera przeno nego w przypadku, gdy nie jest on wykorzystywany przez pracownika, jak równie stosowania innych mechanizmów zabezpieczaj cych, zgodnie z zaleceniami Administratora Bezpiecze stwa Informacji. 7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez przypi cie go do stołu, biurka itp. 8. Kopiowanie danych osobowych przetwarzanych na komputerze przeno nym do systemu informatycznego w celu umo liwienia wykonania kopii zapasowych tych danych. Kopiowanie danych winno odbywa si w zale no ci od cz stotliwo ci zmian w tych danych, jednak e nie rzadziej ni raz na tydzie , z wył czeniem okresów, gdy komputer przeno ny nie jest u ytkowany. 9. Umo liwienia, poprzez podł czenie komputera przeno nego do sieci informatycznej Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym. Podł czenie do sieci informatycznej powinno odbywa si przynajmniej raz w tygodniu. Je eli komputer przeno ny nie jest u ytkowany przez dłu szy czas (ponad jeden tydzie ) to rozpoczynaj c prac u ytkownik jest zobowi zany podł czy komputer przeno ny do sieci informatycznej Starostwa w celu aktualizacji wzorców wirusów. §4 U ytkownicy komputerów przeno nych nie mog , bez zgody Administratora Systemu, instalowa na u ytkowanych przez siebie komputerach oprogramowania. §5 1. Administrator Systemu zobowi zany jest do podj cia działa w celu zabezpieczenia komputerów przeno nych u ytkowanych do przetwarzania danych osobowych. 2. W szczególno ci Administrator Systemu winien: 1) dokona konfiguracji oprogramowania na komputerach przeno nych w sposób wymuszaj cy korzystanie z haseł, wykorzystywanie haseł odpowiedniej jako ci, zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane osobowe oraz wymuszaj cy okresow zmian haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzaj cego dane osobowe, 2) zabezpieczy dane osobowe przetwarzane na komputerach przeno nych poprzez zastosowanie oprogramowania szyfruj cego te dane. Dost p do danych jest mo liwy wył cznie po podaniu wła ciwego hasła. Administrator Systemu przechowuje hasła administracyjne umo liwiaj ce konfiguracj oprogramowania szyfruj cego oraz awaryjne odszyfrowanie zabezpieczonych informacji. Hasła administracyjne przechowywane s w postaci listy, do której wgl d ma Administrator Bezpiecze stwa Informacji oraz Starosta Pabianicki lub Sekretarz Powiatu, 3) dokona instalacji i konfiguracji oprogramowania antywirusowego na komputerze przeno nym zgodnie z obowi zuj cymi przepisami w zakresie ochrony antywirusowej w systemach informatycznych przetwarzaj cych dane osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z zasadami zarz dzania systemami antywirusowymi, 4) rozwa y mo liwo instalacji oprogramowania pozwalaj cego na szyfrowanie informacji przesyłanych przy u yciu sieci teleinformatycznych, o ile istnieje uzasadniona potrzeba zdalnego dost pu i przesyłania danych pomi dzy komputerem przeno nym a systemem informatycznym przetwarzaj cym dane osobowe. W przypadku zastosowania takiego oprogramowania dokona jego konfiguracji w sposób gwarantuj cy bezpieczne i efektywne przesyłanie danych, 5) rozwa y mo liwo zdalnego dost pu do systemu informatycznego przetwarzaj cego dane osobowe z wykorzystaniem ł czy komutowanych, o ile istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych. 6) w przypadku mo liwo ci zdalnego dost pu do systemu informatycznego przetwarzaj cego dane osobowe okre li uprawnienia u ytkownika i zakres danych. §6 1. Administrator Systemu jest odpowiedzialny za okre lenie zakresu danych osobowych, które mog by przetwarzane na komputerach przeno nych. 2. W przypadku mo liwo ci zdalnego dost pu do systemu informatycznego przetwarzaj cego dane osobowe Administrator Systemu mo e ponadto okre li uprawnienia u ytkownika i zakres dost pnych dla niego danych osobowych przy pracy zdalnej. 3. Administrator Systemu mo e wprowadzi zasad , i mo liwe jest wył cznie przesyłanie danych do systemu informatycznego w celu zapewnienia mo liwo ci wykonania kopii zapasowych. 4. Administrator Systemu dystrybuuje opis ogranicze , o którym mowa w ust.3, w ród u ytkowników komputerów przeno nych przetwarzaj cych dane osobowe oraz kontroluje przestrzeganie tych zasad. §7 1. Administrator Systemu jest odpowiedzialny za prowadzenie w systemie elektronicznym ewidencji komputerów przeno nych wykorzystywanych do przetwarzania danych osobowych. 2. W szczególno ci ewidencja ta obejmuje: 1) typ i numer seryjny komputera, 2) adres IP komputera 3) imi i nazwisko osoby b d cej u ytkownikiem komputera, 4) oprogramowanie zainstalowane na komputerze, 5) rodzaj i zakres danych osobowych przetwarzanych na komputerze przeno nym. 3. Administrator Systemu w razie potrzeby wskazuje w dokumencie komputera przeno nego osobie upowa nionej do przetwarzania danych osobowych konieczno i cz stotliwo sporz dzania kopii zapasowych danych przetwarzanych na komputerze przeno nym oraz okre la zasady: 1) post powania w razie nieobecno ci w pracy dłu ej ni 5 dni. Je li komputer przeno ny nie mo e by zwrócony przed okresem nieobecno ci, to u ytkownik tego komputera powinien niezwłocznie powiadomi o tym Administratora Bezpiecze stwa Informacji i uzgodni z nim zwrot komputera przeno nego Administratorowi Danych; 2) zwrotu sprz tu w razie zako czenia pracy u Administratora Danych. 4. Ewidencja, o której mowa w ust. 1, jest prowadzona niezale nie od metryk komputerów prowadzonych na podstawie odr bnych przepisów. §8 W razie zagubienia lub kradzie y komputera przeno nego pracownik zobowi zany jest do natychmiastowego powiadomienia Administratora Bezpiecze stwa Informacji lub osoby przez niego upowa nionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych. §9 W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy dotycz ce przetwarzania danych osobowych w systemach informatycznych na komputerach stacjonarnych. ROZDZIAŁ IX STRATEGIA ZABEZPIECZENIE DANYCH OSOBOWYCH (DZIAŁANIA NIEZB DNE DO ZAPEWNIENIA POUFNO CI, INTEGRALNO CI I ROZLICZALNO CI PRZETAWARZANYCH DANYCH OSOBOWYCH) Cele ochrony §1 1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie. Okre lone ni ej sposoby zabezpiecze dotycz : 1) zabezpiecze przed dost pem do danych osób nieupowa nionych na etapie eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych, wy wietlania lub drukowania zestawie , 2) ochrony danych zarchiwizowanych na no nikach zewn trznych, procedur niszczenia niepotrzebnych wydruków lub no ników danych, 3) systemu zabezpiecze przed dost pem osób niepowołanych do pomieszcze , w których s eksploatowane urz dzenia oraz sposobów dost pu do tych pomieszcze pracowników, personelu pomocniczego Starostwa oraz serwisu zewn trznego, 4) monitorowania systemu zabezpiecze , 5) zakresu obowi zków pracowników – w cz ci dotycz cej bezpiecze stwa danych. 2. Strategia ochrony danych osobowych opiera si na nast puj cych zasadach: 1) fizyczny dost p do pomieszcze , w których eksploatowane s systemy informatyczne blokuj drzwi i systemy alarmowe, 2) podstawowym sposobem zabezpieczenia danych i dost pu do nich jest system definiowania u ytkowników, grup u ytkowników oraz haseł. S to zabezpieczenia programowe wmontowane w eksploatowane systemy uniemo liwiaj ce dost p do systemu osobom nieupowa nionym, 3) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony danych, jak oferuje system operacyjny, 4) dodatkowe kopie danych zarchiwizowanych na no nikach magnetycznych lub płytach CD s przechowywane w oddzielnym budynku – chroni w ten sposób dane na wypadek po aru, kl ski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja tych no ników, 5) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawieraj ce bazy danych jest zainstalowany system alarmowy i przeciwpo arowy, 6) zagadnienia zwi zane z ochrona danych i obowi zki st d wynikaj ce s uj te w zakresach czynno ci pracowników, 7) ka dy pracownik podpisze stosowne o wiadczenie, 8) za cało polityki bezpiecze stwa odpowiada Administrator Bezpiecze stwa Informacji. §2 Zabezpieczenia 1. Nale y chroni dokumenty papierowe zawieraj ce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiałoby odczytanie lub odzyskanie informacji w nich zawartych. 2. Dokumenty papierowe zawieraj ce dane osobowe musz by chronione przed zagro eniami ze strony otoczenia (ogie , wyciek wody itp.). 3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy sejfach. 4. Wszystkie dokumenty papierowe zawieraj ce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach papierowych bez zgody Administratora Bezpiecze stwa Informacji lub osoby przez niego upowa nionej. 6. Ka dy dokument papierowy zawieraj cy dane osobowe przeznaczony do usuni cia lub wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpiecze stwa Informacji lub upowa nionej przez niego osoby. 7. Utrata i kradzie dokumentów papierowych zawieraj cych dane osobowe powinna by niezwłocznie zgłoszona Administratorowi Bezpiecze stwa Informacji. 8. Ka dy dokument papierowy zawieraj cy dane osobowe, maj cy charakter dokumentu roboczego, nale y na koniec pracy zniszczy w niszczarce papieru lub schowa w odpowiedniej zamykanej szafie. §3 1. Nale y chroni no niki magnetyczne i optyczne zawieraj ce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemo liwiłoby odczytanie lub odzyskanie informacji w nich zawartych. 2. No niki magnetyczne i optyczne zawieraj ce dane osobowe musz by chronione przed zagro eniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne, ogie , wyciek wody itp.). 3. No niki magnetyczne i optyczne zawieraj ce dane osobowe powinny by fizycznie chronione przed kradzie , zniszczeniem lub niewła ciwym u ywaniem. Opuszczaj c stanowisko pracy nale y sprawdzi czy s one zamkni te w odpowiednich szafach czy sejfach. 4. Wszystkie no niki magnetyczne i optyczne zawieraj ce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z no ników magnetycznych i optycznych bez zgody Administratora Bezpiecze stwa Informacji. 6. No niki magnetyczne i optyczne zawieraj ce dane osobowe nie mog by wynoszone poza siedzib Starostwa bez wcze niejszej zgody Administratora Bezpiecze stwa Informacji. 7. Dyski magnetyczne i optyczne zawieraj ce dane osobowe wynoszone poza teren Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowa nione za zgod ABI według okre lonej przez niego procedury. 8. Dyski twarde lub inne no niki magnetyczne i optyczne zawieraj ce dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia si wcze niej zapisu tych danych. 9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowa nionej przez Administratora Bezpiecze stwa Informacji. 10. Ka dy no nik magnetyczny i optyczny przeznaczony do usuni cia ze Starostwa musi uzyska odpowiednie pozwolenie Administratora Bezpiecze stwa Informacji. 11. Niszczenia zu ytych lub uszkodzonych no ników magnetycznych i optycznych zawieraj cych dane osobowe dokonuje Administrator Bezpiecze stwa Informacji według okre lonej procedury. 12. Utrata lub kradzie no nika magnetycznego i optycznego z danymi osobowymi powinna by niezwłocznie zgłoszona do Administratora Bezpiecze stwa Informacji. §4 Wprowadza si nast puj ce zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym: 1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe wprowadza si wysoki poziom zabezpiecze . 2. Pomieszczenia, w których stoi serwer i komputery zawieraj ce dane osobowe i kartoteki osobowe s zabezpieczone poprzez okna zabezpieczone przez system alarmowy i przeciwpo arowy. 3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze UPS. 4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga podania hasła BIOS-u. 5. Zalogowanie si do systemu wymaga podania nazwy u ytkownika i hasła. Ka dy u ytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania s rejestrowane, a po 3 nieudanych próbach logowania nast puje czasowa blokada konta. Logowanie do systemu mo liwe jest tylko w godzinach pracy Starostwa. 6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnie . 7. Administrator Systemu ma uprawnienia do definiowania identyfikatorów u ytkowników i haseł. 8. Wykorzystany jest system szyfrowania danych (dost pny w systemie operacyjnym) uniemo liwiaj cy odczyt danych osobom nieupowa nionym. 9. W celu ochrony przed dost pem do danych komputera z sieci publicznej wykorzystuje si system zapory ogniowej dost pnej w systemie operacyjnym. 10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na ka dym komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów odpowiada upowa niony informatyk Biura Zarz du Powiatu. 11. Wydruki zawieraj ce dane osobowe powinny znajdowa si w miejscu, które uniemo liwia dost p osobom postronnym. 12. Kopie zapasowe na no nikach magnetycznych wykonuje Administrator Systemu. Kopie bezpiecze stwa przechowywane s w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa . Zapasowe kopie bezpiecze stwa s przechowywane równie w budynku Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w szafie pancernej. Dost p do no ników zawieraj cych kopie danych maj tylko uprawnione osoby. 13. Stosuje si nast puj ce zabezpieczenia organizacyjne przed dost pem do danych osób niepowołanych: 1) dost p do danych maj wył cznie pracownicy upowa nieni przez Administratora Danych, 2) w pokoju, do którego dost p maj petenci monitory komputerowe ustawione s w ten sposób, by petenci nie widzieli zapisów na ekranie, 3) w przypadku dłu szej bezczynno ci uruchamiane s tzw. wygaszacie ekranu, których deaktywacja jest mo liwa po podaniu prawidłowego hasła u ytkownika, 4) cz stotliwo tworzenia kopii zapasowych okre la instrukcja archiwowania zasobów. Za wykonanie tych kopii odpowiedzialne s osoby przetwarzaj ce dane osobowe, 5) tworzeniem kopii bezpiecze stwa na no nikach optycznych (płyty CD-R/CDRW) zajmuje si Administrator Systemu. §5 Bezpiecze stwo osobowe 1. Administrator Danych przeprowadza nabór na wolne stanowiska w drodze konkursu. Kandydaci na pracowników s dobierani z uwzgl dnieniem ich kompetencji merytorycznych, a tak e kwalifikacji moralnych. Zwraca si uwag na takie cechy kandydata, jak uczciwo , odpowiedzialno , przewidywalno zachowa . 2. Ryzyko utraty bezpiecze stwa danych przetwarzanych przez administratora danych pojawiaj ce si ze strony osób trzecich, które maj dost p do danych osobowych (np. serwisanci), jest minimalizowane przez podpisanie umów powierzenia przetwarzania danych osobowych. 3. Ryzyko ze strony osób, które potencjalnie mog w łatwiejszy sposób uzyska dost p do danych osobowych (np. osoby sprz taj ce pomieszczenia administratora danych), jest minimalizowane przez zobowi zywanie ich do zachowania tajemnicy na podstawie odr bnych, pisemnych o wiadcze . §6 Strefy bezpiecze stwa 1. W siedzibie Administratora Danych wydzielono stref bezpiecze stwa klasy I, w której dost p do informacji zabezpieczony jest wewn trznymi rodkami kontroli. W skład tej strefy wchodz : 1) pomieszczenie z serwerem (pokój nr 11), w którym mog przebywa wył cznie informatycy Biura Zarz du Powiatu, inne osoby upowa nione do przetwarzania tylko w towarzystwie tych pracowników, a osoby postronne w ogóle nie maj dost pu; zło ony na portierni klucz do tego pokoju jest przechowywany w woreczku zalakowanym referentk ; 2) pomieszczenie Wydziału Finansowego z kas pancern (pokój nr 31a), w którym mog przebywa pracownicy tego Wydziału, inni u ytkownicy danych tylko w towarzystwie tych pracowników , a osoby postronne w ogóle nie maj dost pu; zło ony na portierni klucz do tego pokoju jest przechowywany w woreczku zalakowanym referentk . 2. W strefie bezpiecze stwa klasy II do danych osobowych maj dost p wszystkie osoby upowa nione do przetwarzania danych osobowych zgodnie z zakresami upowa nie do ich przetwarzania, a osoby postronne mog w niej przebywa tylko w obecno ci pracownika upowa nionego do przetwarzania danych osobowych. Strefa ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie Administratora Danych. §7 Zabezpieczenie sprz tu 1. Serwer jest zlokalizowany w odr bnym, klimatyzowanym pomieszczeniu, zamykanym drzwiami antywłamaniowymi klasy C (pokój nr 13 ). Okno tego pomieszczenia zabezpieczone jest foli antywłamaniow . W pokoju nr mog przebywa wył cznie informatycy Biura Zarz du Powiatu, inne osoby upowa nione do przetwarzania tylko w ich towarzystwie, a osoby postronne w ogóle nie maj dost pu. 2. Informatycy Biura Zarz du Powiatu wskazuj u ytkownikom, jak post powa , aby zapewni prawidłow eksploatacj systemu informatycznego, a zwłaszcza: 1) ochron no ników przeno nych – w tym tak e no ników danych, na których przechowywane s kopie zapasowe, 2) prawidłow lokalizacj komputerów. 3. Wszystkie urz dzenia systemu informatycznego Administratora Danych s zasilane za po rednictwem zasilaczy awaryjnych (UPS). 4. Okablowanie sieciowe zostało zaprojektowane w ten sposób, e dost p do linii teletransmisyjnych jest mo liwy tylko z pomieszcze zamykanych na klucz. Ponadto kable sieciowe nie krzy uj si z okablowaniem zasilaj cym, co zapobiega interferencjom. 5. Bie ca konserwacja sprz tu wykorzystywanego przez Administratora Danych do przetwarzania danych prowadzona jest tylko przez jego pracowników, przede wszystkim informatyków zatrudnionych w Biurze Zarz du Powiatu . Natomiast powa ne naprawy wykonywane przez serwisantów realizowane s w siedzibie Administratora Danych po zawarciu z podmiotem wykonuj cym napraw umowy o Powierzenie przetwarzania danych osobowych, okre laj cej kary umowne za naruszenie bezpiecze stwa danych. 6. Administrator Systemu dopuszcza konserwowanie i napraw sprz tu poza siedzib Administratora Danych jedynie po trwałym usuni ciu danych osobowych. Zu yty sprz t słu cy do przetwarzania danych osobowych mo e by zbywany dopiero po trwałym usuni ciu danych, a urz dzenia uszkodzone mog by przekazywane w celu utylizacji (je li trwałe usuni cie danych wymagałoby nadmiernych nakładów ze strony administratora) wła ciwym podmiotom, z którymi tak e zawiera si umowy powierzenia przetwarzania danych. 7. Wszystkie awarie, działania konserwacyjne i naprawy systemu informatycznego s opisywane w stosownych protokołach, podpisywanych przez osoby w tych działaniach uczestnicz ce, a tak e przez Administratora Bezpiecze stwa Informacji. §8 Zabezpieczenia we własnym zakresie przez osob upowa nion do przetwarzania danych osobowych Niezwykle wa ne dla bezpiecze stwa danych jest wyrobienie przez ka d osob upowa nion do przetwarzania danych lub u ytkownika nawyku: 1) ustawiania ekranów komputerowych tak, by osoby niepowołane nie mogły ogl da ich zawarto ci, a zwłaszcza nie naprzeciwko wej cia do pomieszczenia, 2) niepozostawiania bez kontroli dokumentów, no ników danych i sprz tu w hotelach i innych miejscach publicznych oraz w samochodach, 3) dbania o prawidłow wentylacj komputerów (nie mo na zasłania kratek wentylatorów meblami, zasłonami lub stawia komputerów tu przy cianie), 4) niepodł czania do listew podtrzymuj cych napi cie przeznaczonych dla sprz tu komputerowego innych urz dze , szczególnie tych łatwo powoduj cych spi cia (np. grzejniki, czajniki, wentylatory), 5) 6) 7) 8) pilnego strze enia akt, dyskietek, pami ci przeno nych i komputerów przeno nych, kasowania po wykorzystaniu danych na dyskach przeno nych, nieu ywania powtórnie dokumentów zadrukowanych jednostronnie, niezapisywania hasła wymaganego do uwierzytelnienia si w systemie na papierze lub innym no niku, 9) powstrzymywania si przez osoby upowa nione do przetwarzania danych osobowych od samodzielnej ingerencji w oprogramowanie i konfiguracj powierzonego sprz tu (szczególnie komputerów przeno nych), nawet gdy z pozoru mogłoby to usprawni prac lub podnie poziom bezpiecze stwa danych, 10) przestrzegania przez osoby upowa nione do przetwarzania danych osobowych swoich uprawnie w systemie, tj. wła ciwego korzystania z baz danych, u ywania tylko własnego identyfikatora i hasła oraz stosowania si do zalece administratora bezpiecze stwa informacji, 11) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób, 12) kopiowania tylko jednostkowych danych (pojedynczych plików). Obowi zuje zakaz robienia kopii całych zbiorów danych lub takich ich cz ci, które nie s konieczne do wykonywania obowi zków przez pracownika. Jednostkowe dane mog by kopiowane na no niki magnetyczne, optyczne i inne po ich zaszyfrowaniu i przechowywane w zamkni tych na klucz szafach. Po ustaniu przydatno ci tych kopii dane nale y trwale skasowa lub fizycznie zniszczy no niki, na których s przechowywane, 13) udost pniania danych osobowych poczt elektroniczn tylko w postaci zaszyfrowanej, 14) niewynoszenia na jakichkolwiek no nikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej, 15) wykonywania kopii roboczych danych, na których si wła nie pracuje, tak cz sto, aby zapobiec ich utracie, 16) ko czenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie obszary serwera, a nast pnie prawidłowym wylogowaniu si u ytkownika i wył czeniu komputera oraz odci ciu napi cia w UPS i listwie, 17) niszczenia w niszczarce lub chowania do szaf zamykanych na klucz wszelkich wydruków zawieraj cych dane osobowe przed opuszczeniem miejsca pracy, po zako czeniu dnia pracy, 18) niepozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane s dane osobowe, bez obecno ci osoby upowa nionej do przetwarzania danych osobowych, 19) zachowania tajemnicy danych, w tym tak e wobec najbli szych, 20) chowania do zamykanych na klucz szaf wszelkich akt zawieraj cych dane osobowe przed opuszczeniem miejsca pracy, po zako czeniu dnia pracy, 21) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zako czeniu dnia pracy, 22) zamykania okien w razie opadów czy innych zjawisk atmosferycznych, które mog zagrozi bezpiecze stwu danych osobowych, 23) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po zako czeniu dnia pracy, 24) zamykania drzwi na klucz po zako czeniu pracy w danym dniu i zło enia klucza na portierni. Je li niemo liwe jest umieszczenie wszystkich dokumentów zawieraj cych dane osobowe w zamykanych szafach, nale y powiadomi o tym kierownika budynku, który zgłasza firmie sprz taj cej jednorazow rezygnacj z wykonania usługi sprz tania. W takim przypadku tak e nale y zostawi klucz na portierni. §9 Post powanie z no nikami i ich bezpiecze stwo Osoby upowa nione do przetwarzania danych osobowych powinny pami ta zwłaszcza, e: 1. Dane z no ników przeno nych nieb d cych kopiami zapasowymi po wprowadzeniu do systemu informatycznego Administratora Danych powinny by trwale usuwane z tych no ników przez fizyczne zniszczenie (np. płyty CD-ROM) lub usuni cie danych programem trwale usuwaj cym pliki. Je li istnieje uzasadniona konieczno , dane pojedynczych osób (a nie całe zbiory czy szerokie wypisy ze zbiorów) mog by przechowywane na specjalnie oznaczonych no nikach. No niki te musz by przechowywane w zamkni tych na klucz szafach, nieudost pnianych osobom postronnym. Po ustaniu przydatno ci tych danych no niki powinny by trwale kasowane lub niszczone. 2. No niki magnetyczne przekazywane na zewn trz powinny by pozbawione zapisów zawieraj cych dane osobowe. Niszczenie poprzednich zapisów powinno odbywa si poprzez wymazanie informacji oraz formatowanie no nika. 3. Uszkodzone no niki przed ich wyrzuceniem nale y zniszczy fizycznie w niszczarce słu cej do niszczenia no ników. 4. Zabrania si powtórnego u ywania do sporz dzania brudnopisów pism jednostronnie zadrukowanych kart, je li zawieraj one dane chronione. Zaleca si natomiast dwustronne drukowanie brudnopisów pism i sporz dzanie dwustronnych dokumentów. 5. Po wykorzystaniu wydruki zawieraj ce dane osobowe nale y codziennie przed zako czeniem pracy zniszczy w niszczarce. O ile to mo liwe, nie nale y przechowywa takich wydruków w czasie dnia na biurku ani te wynosi poza siedzib Administratora Danych. § 10 Wymiana danych i ich bezpiecze stwo 1. Bezpiecze stwo danych, a w szczególno ci ich integralno i dost pno , w du ym stopniu zale y od zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to – przynajmniej w pewnym stopniu – unikn wielokrotnego wprowadzania tych samych danych do systemu informatycznego Administratora Danych. 2. Sporz dzanie kopii zapasowych nast puje w trybie opisanym w rozdziale IV „Instrukcji zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach”. 3. Inne wymogi bezpiecze stwa systemowego s okre lane w instrukcjach obsługi producentów sprz tu i u ywanych programów, wskazówkach Administratora Bezpiecze stwa Informacji oraz „Instrukcji zarz dzania systemem informatycznym słu cym do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach”. 4. Poczt elektroniczn mo na przesyła tylko jednostkowe dane, a nie całe bazy lub szerokie z nich wypisy i tylko w postaci zaszyfrowanej. Chroni to przesyłane dane przed „przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym rozproszeniem ich w internecie. 5. Przed atakami z sieci zewn trznej wszystkie komputery Administratora Danych (w tym tak e przeno ne) chronione s rodkami dobranymi przez Administratora Systemu w porozumieniu z Administratorem Bezpiecze stwa Informacji. Wa ne jest, by u ytkownicy zwracali uwag na to, czy urz dzenie, na którym pracuj , domaga si aktualizacji tych zabezpiecze . O wszystkich takich przypadkach nale y informowa Administratora Bezpiecze stwa Informacji lub informatyków Biura Zarz du Powiatu oraz umo liwi im monitorowanie oraz aktualizacj rodków (urz dze , programów) bezpiecze stwa. 6. Administrator Systemu w porozumieniu z Administratorem Bezpiecze stwa informacji dobiera elektroniczne rodki ochrony przed atakami z sieci stosownie do pojawiania si nowych zagro e (nowe wirusy, robaki, trojany, inne mo liwo ci wdarcia si do systemu), a tak e stosownie do rozbudowy systemu informatycznego Administratora Danych i powi kszania bazy danych. Jednocze nie nale y zwraca uwag , czy rozwijaj cy si system zabezpiecze sam nie wywołuje nowych zagro e . 7. Nale y stosowa nast puj ce sposoby kryptograficznej ochrony danych: 1) przy przesyłaniu danych za pomoc poczty elektronicznej stosuje si POP – tunelowanie, szyfrowanie poł czenia, 2) przy przesyłaniu danych pracowników, niezb dnych do wykonania przelewów wynagrodze , u ywa si bezpiecznych stron https://. § 11 Kontrola dost pu do systemu 1. Poszczególnym osobom upowa nionym do przetwarzania danych osobowych przydziela si konta opatrzone niepowtarzalnym identyfikatorem, umo liwiaj ce dost p do danych, zgodnie z zakresem upowa nienia do ich przetwarzania. Administrator Systemu lub z jego upowa nienia inny informatyk Biura Zarz du Powiatu po uprzednim przedło eniu upowa nienia do przetwarzania danych osobowych, zawieraj cego odpowiedni wniosek inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe, przydziela pracownikowi upowa nionemu do przetwarzania danych konto w systemie informatycznym, dost pne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem. System wymusza zmian hasła przy pierwszym logowaniu. 2. W razie potrzeby, po uzyskaniu uprzedniej akceptacji Administratora Bezpiecze stwa Informacji, Administrator Systemu lub z jego upowa nienia inny informatyk Biura Zarz du Powiatu mo e przydzieli konto opatrzone identyfikatorem osobie upowa nionej do przetwarzania danych osobowych, nieposiadaj cej statusu pracownika. 3. Pierwsze hasło wymagane do uwierzytelnienia si w systemie przydzielane jest przez Administratora Systemu po odebraniu od osoby upowa nionej do przetwarzania danych o wiadczenia zawieraj cego zobowi zanie do zachowania w tajemnicy pierwszego i nast pnych haseł oraz potwierdzenie odbioru pierwszego hasła. 4. Do zagwarantowania poufno ci i integralno ci danych osobowych konieczne jest przestrzeganie przez u ytkowników swoich uprawnie w systemie, tj. wła ciwego korzystania z baz danych, u ywania tylko własnego identyfikatora i hasła oraz stosowania si do zalece Administratora Bezpiecze stwa Informacji i informatyków Biura Zarz du Powiatu. § 12 Kontrola dost pu do sieci 1. System informatyczny posiada szerokopasmowe poł czenie z internetem. Dost p do niego jest jednak ograniczony. Na poszczególnych stacjach roboczych mo na przegl da tylko wyznaczone strony www. 2. Administrator Systemu wykorzystuje centraln zapor sieciow w celu separacji lokalnej sieci od sieci publicznej. 3. Korzystanie z zasobów sieci wewn trznej (intranet) jest mo liwe tylko w zakresie uprawnie przypisanych do danego konta osoby upowa nionej do przetwarzania danych osobowych. 4. Operacje za po rednictwem rachunku bankowego Administratora Danych mo e wykonywa wył cznie pracownik Wydziału Finansowego, upowa niony przez Starost Pabianickiego, po uwierzytelnieniu si zgodnie z procedurami okre lonymi przez bank obsługuj cy rachunek. § 13 Monitorowanie dost pu do systemu i jego u ycia 1. System informatyczny Administratora Danych dzi ki modułowi „Monitorowanie u ycia stacji roboczej” ledzi, kto, kiedy i jakie programy uruchamia na poszczególnych stacjach roboczych. Ponadto system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu, 2) identyfikatora u ytkownika wprowadzaj cego dane osobowe do systemu, 3) ródła danych - w przypadku zbierania danych nie od osoby, której one dotycz , 4) informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udost pnione, o dacie i zakresie tego udost pnienia, 5) sprzeciwu wobec przetwarzania danych osobowych, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w pkt 1 i 2, nast puje automatycznie po zatwierdzeniu przez u ytkownika operacji wprowadzenia danych. 3. Dla ka dej osoby, której dane osobowe s przetwarzane w systemie informatycznym, system zapewnia sporz dzenie i wydrukowanie raportu zawieraj cego w powszechnie zrozumiałej formie informacje, o których mowa w pkt 1-5. 4. Administrator Systemu przeprowadza synchronizacj zegarów stacji roboczych z serwerem, ograniczaj c dopuszczalno zmian w ustawieniach zegarów. Jakiekolwiek zmiany ustawie zegarów mog by dokonywane jedynie przez informatyków Biura Zarz du z konta o uprawnieniach administracyjnych. 5. System informatyczny Administratora Danych umo liwia zapisywanie zdarze wyj tkowych na potrzeby audytu i przechowywanie informacji o nich przez okre lony czas. Zapisy takie obejmuj : 1) identyfikator u ytkownika, 2) dat i czas zalogowania i wylogowania si z systemu, 3) to samo stacji roboczej, 4) zapisy udanych i nieudanych prób dost pu do systemu, 5) zapisy udanych i nieudanych prób dost pu do danych osobowych i innych zasobów systemowych. § 14 Przegl dy okresowe zapobiegaj ce naruszeniom obowi zku szczególnej staranno ci Administratora Danych (art. 26 ust. 1 ustawy) 1. Administrator Bezpiecze stwa Informacji przeprowadza raz w roku przegl d 2. 3. 4. 5. przetwarzanych danych osobowych pod k tem celowo ci ich dalszego przetwarzania. Osoby upowa nione do przetwarzania danych osobowych, w tym zwłaszcza naczelnicy poszczególnych wydziałów, s obowi zani współpracowa z Administratorem Bezpiecze stwa Informacji w tym zakresie i wskazywa mu dane osobowe, które powinny zosta usuni te ze wzgl du na zrealizowanie celu przetwarzania danych osobowych lub brak ich adekwatno ci do realizowanego celu. Administrator Bezpiecze stwa Informacji mo e zarz dzi przeprowadzenie dodatkowego przegl du w wy ej okre lonym zakresie w razie zmian w obowi zuj cym prawie, ograniczaj cych dopuszczalny zakres przetwarzanych danych osobowych. Dodatkowy przegl d jest mo liwy tak e w sytuacji zmian organizacyjnych Administratora Danych. Z przebiegu usuwania danych osobowych nale y sporz dzi protokół podpisywany przez Administratora Bezpiecze stwa Informacji i naczelnika wydziału, w którym usuni to dane osobowe. Wzory dokumentów przewiduj cych powiadomienie, o którym mowa w art. 24 lub 25 ustawy, mog by stosowane po zaakceptowaniu przez Administratora Bezpiecze stwa Informacji. Administrator Bezpiecze stwa Informacji przygotuje wykaz zbiorów danych (ewidencyjnych), w którym poszczególnym kategoriom danych osobowych przypisane zostan okresy ich przechowywania. Wykaz ten zostanie sporz dzony po przeanalizowaniu przepisów wyznaczaj cych m.in. obowi zek przechowywania dokumentacji czy te okresy przedawnienia roszcze udokumentowanych z wykorzystaniem danych osobowych. Przed sporz dzeniem takiego wykazu przygotowany zostanie wykaz przepisów, na mocy których przetwarzane s dane osobowe, na podstawie wykazów cz stkowych, sporz dzonych przez poszczególne komórki organizacyjne. § 15 Udost pnianie danych osobowych 1. Udost pnianie danych osobowych odbiorcom danych mo e nast pi wył cznie po zło eniu wypełnionego wniosku, którego wzór został ustalony w zał czniku nr 1 do rozporz dzenia Ministra Spraw Wewn trznych i Administracji z 3 czerwca 1998 r. w sprawie okre lenia wzorów wniosku o udost pnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upowa nienia i legitymacji słu bowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. 2.Udost pnianie danych osobowych Policji 1) Udost pnianie danych osobowych funkcjonariuszom policji mo e nast pi tylko po przedło eniu wniosku o przekazanie lub udost pnienie informacji. Wniosek ten powinien mie form pisemn i zawiera : a) oznaczenie wnioskodawcy, b) wskazanie przepisów uprawniaj cych do dost pu do informacji, c) okre lenie rodzaju i zakresu potrzebnych informacji oraz formy ich przekazania lub udost pnienia, d) wskazanie imienia, nazwiska i stopnia słu bowego policjanta upowa nionego do pobrania informacji lub zapoznania si z ich tre ci . 2) Udost pnianie danych osobowych na podstawie ustnego wniosku zawieraj cego wszystkie powy sze cztery elementy wniosku pisemnego mo e nast pi tylko wtedy, gdy zachodzi konieczno niezwłocznego działania, np. w trakcie po cigu za osob podejrzan o popełnienie czynu zabronionego albo podczas wykonywania czynno ci maj cych na celu ratowanie ycia i zdrowia ludzkiego lub mienia. 3) Osoba udost pniaj ca dane osobowe jest obowi zana za da od policjanta pokwitowania pobrania dokumentów zawieraj cych informacje przekazane na podstawie pisemnego wniosku albo potwierdzenia faktu uzyskania wgl du w tre informacji. Policjant jest obowi zany do pokwitowania lub potwierdzenia. 4) Je li informacje s przekazywane na podstawie ustnego wniosku, nale y stosownie do okoliczno ci zwróci si z pro b o pokwitowanie albo potwierdzenie. Je li pokwitowanie albo potwierdzenie ze wzgl du na okoliczno ci udost pniania nie s mo liwe, osoba udost pniaj ca informacje sporz dza na t okoliczno notatk słu bow . 5) Je li policjant pouczył osob udost pniaj c informacje o konieczno ci zachowania w tajemnicy faktu i okoliczno ci przekazania informacji, to okoliczno ta jest odnotowywana w rejestrze udost pnie niezale nie od odnotowania faktu udost pnienia informacji. 3. Osoba upowa niona mo e udost pni dane osobowe innym słu bom i podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. Odpowiedzialno § 16 osób upowa nionych do przetwarzania danych osobowych 1. Niezastosowanie si do prowadzonej przez Administratora Danych Polityki Bezpiecze stwa przetwarzania danych osobowych, której zało enia okre la niniejszy dokument, i naruszenie procedur ochrony danych przez pracowników upowa nionych do przetwarzania danych osobowych mo e by potraktowane jako ci kie naruszenie obowi zków pracowniczych, skutkuj ce rozwi zaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy. 2. Niezale nie od rozwi zania stosunku pracy osoby popełniaj ce przest pstwo b d poci gane do odpowiedzialno ci karnej zwłaszcza na podstawie art. 51-52 ustawy oraz art. 266 Kodeksu karnego. Przykładowo przest pstwo mo na popełni wskutek: 1) stworzenia mo liwo ci dost pu do danych osobowych osobom nieupowa nionym albo osobie nieupowa nionej, 2) niezabezpieczenia no nika lub komputera przeno nego, 3) zapoznania si z hasłem innego pracownika wskutek wykonania nieuprawnionych operacji w systemie informatycznym Administratora Danych. § 17 Szkolenia 1. Ka dy u ytkownik systemu informatycznego przetwarzaj cego dane osobowe powinien mie wiadomo zagro e wpływaj cych na bezpiecze stwo systemu informatycznego, z którego korzysta. 2. System szkole szczegółowych obejmuje pracowników zatrudnionych bezpo rednio przy przetwarzaniu danych, w tym danych osobowych. 3. Tematyka szkole obejmuje: 1) przepisy i procedury ochrony danych osobowych, sporz dzania i przechowywania ich kopii, niszczenia wydruków i zapisów na no nikach, 2) sposoby ochrony danych osobowych przed osobami postronnymi i procedury udost pniania danych osobom, których one dotycz , 3) obowi zki osób upowa nionych do przetwarzania danych osobowych, 4) odpowiedzialno za naruszenie obowi zków z zakresu ochrony danych osobowych, 5) zasady i procedury okre lone w Polityce Bezpiecze stwa. 4. Administrator Bezpiecze stwa Informacji uwzgl dnia nast puj cy plan szkole : 1) szkoli ka d osob , która ma by upowa niona do przetwarzania danych osobowych, 2) szkolenia wewn trzne wszystkich osób upowa nionych do przetwarzania danych osobowych przeprowadzane s w przypadku ka dej zmiany zasad lub procedur ochrony danych osobowych, 3) przeprowadza szkolenia dla osób innych ni upowa nione do przetwarzania danych osobowych, je li pełnione przez nie funkcje wi si z bezpiecze stwem danych osobowych. § 18 Archiwowanie danych 1. Dane systemów kopiowane s w trybie tygodniowym. Kopie zapasowe danych osobowych zapisywanych w programach wykonywane s codziennie Odpowiedzialnym za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługuj cy dany program przetwarzaj cy dane. 2. Dodatkowo na koniec ka dego miesi ca wykonywane s kopie zapasowe z całego programu przetwarzaj cego dane. No niki z kopiami bezpiecze stwa przekazywane do sejfu zlokalizowanego w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Le nictwa. 3. Kopie zapasowe s przechowywane w szafie pancernej w budynku Powiatowego O rodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. Osob odpowiedzialn za wymian kopii awaryjnych na aktualne jest Administrator Bezpiecze stwa Informacji. 4. Dyskietki, na których zapisywane s kopie zapasowe s ka dorazowo wymazywane i formatowane, w taki sposób, aby nie mo na było odtworzy ich zawarto ci. Płyty CD, na których przechowuje si kopie awaryjne niszczy si trwale w sposób mechaniczny. 5. Okresow weryfikacj kopii zapasowych pod k tem ich przydatno ci do odtworzenia danych przeprowadza Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. ROZDZIAŁ X RODKI TECHNICZNE I ORGANIZACYJNE SŁU CE ZAPEWNIENIU POUFNO CI, INTEGRALNO CI I ROZLICZALNO CI PRZETWARZANYCH DANYCH OSOBOWYCH §1 System informatyczny Starostwa, ze wzgl du na poł czenie z sieci publiczn , musi zapewnia rodki bezpiecze stwa okre lone dla wysokiego poziomu bezpiecze stwa zgodnie z § 6 ust. 4 rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024). §2 Bezpiecze stwo fizyczne i elektroniczne 1. Gwarancj zapewnienia bezpiecze stwa systemu informatycznego oraz przetwarzanych i przechowywanych danych osobowych jest zapewnienie bezpiecze stwa fizycznego. 2. Warunkiem zapewnienia bezpiecze stwa fizycznego systemu jest kontrola dost pu do wszystkich stacji roboczych. W zwi zku z tym szczególn ochron obejmuje si pomieszczenia, w których znajduj si serwery i w zły sieci oraz te, w których przechowywane s składowane dane osobowe. Wy ej wymienione pomieszczenia powinny by stale zamkni te, a dost p do nich powinni mie tylko Administrator Bezpiecze stwa Informacji i osoby przez niego upowa nione. Pomieszczenia powinny by wyposa one w elektroniczny system antywłamaniowy z całodobowym monitoringiem sygnału alarmu. 3. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 4. Szczególnie newralgiczne dla działania Starostwa systemy informatyczne takie jak systemy finansowo-kadrowe powinny (w ramach mo liwo ci organizacyjnotechnicznych i finansowych) zosta wydzielone z pozostałej cz ci Starostwa. Sie komputerowa tych wydziałów i komórek organizacyjnych Starostwa (w ramach mo liwo ci technicznych i finansowych) powinna zosta wydzielona z sieci obsługuj cej pozostał cz Starostwa i obj ta dodatkowymi zabezpieczeniami. 5. Obowi zkiem osoby u ytkuj cej komputer przeno ny zawieraj cy dane osobowe jest zachowanie szczególnej ostro no ci podczas jego transportu, przechowywania i u ytkowania poza pomieszczeniami tworz cymi obszar, w którym przetwarzane s dane osobowe. Nale y d y do powszechnego stosowania ochrony kryptograficznej w takich przypadkach. §3 1. Ochron fizyczn budynków Starostwa przy ul. Piłsudskiego 2 stanowi zamki drzwiowe, okratowania okien oraz całodobowy 24 godzinny elektroniczny system alarmowy poł czony ze stacj monitoruj c Agencji Ochrony Mienia i Osób „ARGUS” w Pabianicach. 2. Ochron fizyczn budynków Starostwa przy ul. Piłsudskiego 2 zapewnia system monitoringu wizyjnego składaj cy si z 4 kamer i stacji rejestruj cej wszelkie ruchy osób i pojazdów przez 24 godziny na dob . 3. Ochron fizyczn budynku „A” Starostwa przy ul. Piłsudskiego 2 w godzinach 16.00 – 20.00 zapewnia stra nik Agencji Ochrony Mienia i Osób „ROKA” w Piotrkowie Trybunalskim. §4 1. Przebywanie pracowników na terenie budynków Starostwa po godzinach pracy reguluje odr bne zarz dzenie Starosty Pabianickiego. 2. Godzin pobrania i zdania kluczy od poszczególnych pomieszcze odnotowuje si w specjalnie do tego przeznaczonym zeszycie, w którym odnotowuje si w 3. 4. 5. 6. szczególno ci: dat , godzin pobrania kluczy, numer pokoju, imi i nazwisko osoby pobieraj cej klucze oraz godzin zdania kluczy. Klucze od pomieszcze serwerowni głównej zlokalizowanej w budynku „A” mog pobiera wył cznie w nast puj cej kolejno ci: 1) Administrator Bezpiecze stwa Informacji, 2) Administrator Systemu, 3) pozostali informatycy zatrudnieni w Starostwie, 4) Sekretarz Powiatu. Klucze od pomieszcze serwerowni Wydziału Komunikacji i Transportu zlokalizowanej w budynku „D” s w dyspozycji Naczelnika Wydziału Komunikacji i Transportu oraz pracownika wyznaczonego przez tego Naczelnika. Klucze od serwerowni, o których mowa w ust. 3 i 4, przechowywane s : 1) klucz od serwerowni w budynku „A” przechowywany jest w zamykane szafce zamontowanej w pokoju „Informacji”, 2) klucz od serwerowni w budynku „D” przechowywany jest w szafie metalowej ustawionej w pokoju Naczelnika Wydziału Komunikacji i Transportu. Pomieszczenia serwerowni w budynku „A” i w budynku „D” po zako czeniu pracy s plombowane przez osoby, które s upowa nione do pobierania do nich kluczy. §5 Wykorzystanie mechanizmów systemu operacyjnego 1. System operacyjny Microsoft Windows NT/2000 posiada rozbudowane mechanizmy nadawania uprawnie i praw dost pu. Dla pełnego wykorzystania tych mechanizmów nale y stosowa system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku lub awarii systemu. 2. Dla zwi kszenia efektywno ci centralnego zarz dzania i ledzenia zdarze w sieci nale y wykorzystywa mechanizmy Active Directory i oprogramowanie do zarz dzania i analizy sieci z centralnym punktem zarz dzania usytuowanym w Starostwie. 3. Nale y d y do zast pienia systemów operacyjnych Microsoft Windows 95/98 (nie maj wbudowanych wystarczaj cych mechanizmów bezpiecze stwa) systemem operacyjnym Microsoft Windows NT/2000, jako zapewniaj cego minimalne bezpiecze stwo dla serwerów i stacji roboczych systemu informatycznego. §6 Zarz dzanie oprogramowaniem 1. Najwy sze uprawnienia w systemie informatycznym posiada Administrator Bezpiecze stwa Informacji. 2. Tylko Administrator Systemu jest osob uprawnion do instalowania i usuwania oprogramowania systemowego i narz dziowego. 3. Dopuszcza si instalowanie tylko legalnie pozyskanych programów, niezb dnych do wykonywania ustawowych zada Starostwa i posiadaj cych wa n licencj u ytkowania. §7 Uwierzytelnianie u ytkowników 1. Dost p do systemu informatycznego słu cego do przetwarzania danych osobowych, mo e uzyska wył cznie osoba (u ytkownik) zarejestrowana w tym systemie przez Administratora Systemu na wniosek inspektora Biura Zarz du Powiatu prowadz cego sprawy kadrowe. 2. Dost p do systemów operacyjnych serwerów i stacji roboczych powinien by chroniony przez nazw u ytkownika i hasło. Zespół ten tworzy jedn z głównych linii obrony przed intruzami. Dlatego nale y u wiadamia u ytkownikom rol , jak w systemie ochrony odgrywa dobrze wybrane „trudne” hasło o odpowiednio dobranym czasie ycia. Jednocze nie nale y wdro y mechanizmy systemowe kontroluj ce składni i czas ycia haseł. System ma wbudowane mechanizmy ograniczaj ce liczb bł dnych prób logowania oraz umo liwia wskazanie stacji roboczych, na których dany u ytkownik mo e pracowa . Zalecane jest ustawienie blokady konta u ytkownika na 3 do 5 prób logowania. 3. Identyfikator u ytkownika składa si z ci gu znaków literowych , z których pierwszy odpowiada pierwszej literze imienia u ytkownika, a kolejne odpowiadaj literom jego nazwiska. W przypadku nazwisk wieloczłonowych identyfikator winien zawiera jeden człon. W identyfikatorze pomija si polskie znaki diakrytyczne. 4. Hasło powinno składa si z unikalnego zestawu co najmniej o miu znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie mo e by identyczne z identyfikatorem u ytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia si nie rzadziej ni co 30 dni. 5. U ytkownikom systemu nie wolno udost pnia swojego identyfikatora i hasła innym osobom. §8 Redundancja sprz towa i programowa 1. Dla zapewnienia wysokiej niezawodno ci systemu Administrator Bezpiecze stwa Informacji opracowuje i wprowadzi procedury awaryjne (np. na wypadek uszkodzenia głównego serwera). 2. Nale y rygorystycznie przestrzega wymogu przechowywania no ników zawieraj cych awaryjne kopie danych i systemów w pomieszczeniach innych ni pomieszczenia, w których przechowywane s dane przeznaczone do bie cego u ytku. Jednocze nie dane te musz by odpowiednio zabezpieczone fizycznie (sejf, najlepiej ognioodporny, w zabezpieczonym pomieszczeniu). §9 Zapewnienie stałego zasilania energi 1. Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS. 2. W przypadku stacji roboczych, UPS stosuje si w zale no ci od potrzeb i mo liwo ci finansowych. § 10 Procedury przeciwpo arowe 1. Pomieszczenia, w których systemy komputerowe pracuj bez nadzoru, szczególnie pomieszczenia z serwerami pracuj cymi w systemie pracy ci głej powinny by wyposa one w elektroniczny system wykrywania po aru (czujki reaguj ce na ogie , dym, temperatur ). Sygnalizacja alarmu powinna by obj ta całodobowym monitoringiem. 2. System alarmowy powinien by obj ty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 3. System wykrywania po aru powinien obejmowa pomieszczenia, w których przechowywane s awaryjne kopie danych. § 11 Procedury awaryjne i procedury na wypadek kl sk ywiołowych i ewakuacji 1. Zapewnieniu ci głej dost pno ci informacji słu procedury post powania w przypadku wydarze losowych (np. awaria serwera, zalanie pomieszczenia itp.). 2. Procedury, o których mowa w ust.1 powinny obejmowa uruchomienie systemu w minimalnej konfiguracji udost pniaj cej zasoby systemu. 3. Komputery przewidywane na awaryjne serwery powinny sta w pomieszczeniach innych ni serwery bie co eksploatowane. 4. W przypadku gdyby doszło do ewakuacji nale y w pierwszej kolejno ci zapewni bezpiecze stwo danym. § 12 Profilaktyka antywirusowa 1. Wszystkie serwery i stacje robocze musz posiada zainstalowany program antywirusowy, z mo liwie cz sto aktualizowan baz wykrywanych wirusów, sprawdzaj cy w trybie rzeczywistym wszystkie przychodz ce i wychodz ce pliki. Zabronione jest blokowanie pracy tego programu. 2. Dla zapewnienia ochrony przed wirusami i innymi niepo danymi kodami sprawdza si wszystkie zbiory przychodz ce z sieci rozległej i Internetu. 3. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje si , co najmniej raz w tygodniu, cało ciowym testem antywirusowym. § 13 Przeciwdziałanie nowym technikom łamania zabezpiecze oraz eliminacja luk wykrytych w zabezpieczeniach systemów W zwi zku z dynamicznym rozwojem technik słu cych do atakowania systemów informatycznych Administrator Systemu powinien na bie co ledzi informacje na temat wykrytych luk i wprowadza zalecane zabezpieczenia. § 14 Procedury tworzenia kopii zapasowych ich przechowywania i ochrony 1. Dla systemów finansowo-kadrowych kopie bezpiecze stwa wykonuje si codziennie. 2. Dla pozostałych danych o cz stotliwo ci składowania decyduje Administrator Bezpiecze stwa Informacji, w zale no ci od liczby wprowadzanych zmian, nie rzadziej jednak ni raz w miesi cu. 3. Kopie zapasowe przechowuje si w ognioodpornym sejfie umieszczonym w pomieszczeniu innym, ni dane przetwarzane na bie co. 4. Kopie awaryjne podlegaj takiej samej ochronie jak serwery zawieraj ce dane bie co przetwarzane. Pomieszczenie, w którym s przechowywane kopie awaryjne, powinno by obj te elektroniczn kontrol dost pu i elektronicznym systemem wykrywania po aru § 15 Procedury post powania z no nikami informacji i wydrukami (wytwarzanie, rejestrowanie, kasowanie, niszczenie) 1. Dla zachowania wysokiego poziomu bezpiecze stwa informacji w systemie informatycznym okre la si procedury post powania z no nikami (dyskietki, kasety, kr ki CD, no niki papierowe) zawieraj cymi informacje od chwili wytworzenia do chwili skasowania lub zniszczenia. 2. Powinno si d y - dla zapewnienia szczelno ci systemu - aby no niki były opisane i ewidencjonowane. § 16 Testy okresowe systemu ochrony 1. System ochrony powinien by w sposób ci gły nadzorowany i mo liwie cz sto aktualizowany. 2. Kontrole i testy powinny obejmowa zarówno dost p do zasobów systemu, jak i profile oraz uprawnienia poszczególnych u ytkowników. 3. Zapisy logów systemowych powinny by przegl dane codziennie oraz ka dorazowo po wykryciu naruszenia zasad bezpiecze stwa. § 17 Zabezpieczanie przetwarzania niejawnych informacji W systemach informatycznych Starostwa informacje niejawne mog by przetwarzane tylko na wydzielonych komputerach dopuszczonych przez wła ciw słu b ochrony pa stwa, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11 poz. 95, z pó . zm.). § 18 Zabezpieczenia medium transmisyjnego 1. Poł czenia z sieci wewn trznej (Intranet) z sieci zewn trzn (Internet) mog by wykonywane tylko za po rednictwem systemów firewall o odpowiednich parametrach zainstalowanych w Starostwie. Jednocze nie zabrania si dokonywania jakichkolwiek innych przył cze sieci Starostwa do sieci Internet. 2. Do przesyłania danych przy poł czeniach w sieci publicznej (Internet), z uwagi na przetwarzane dane osobowe, powinny by wykorzystywane tylko kanały transmisji udost pniane przez pracowników Starostwa. Kanały te powinny zawiera ochron kryptograficzn . 3. Komputery przeno ne pracowników podczas poł cze z sieci Internet, wykonywanych poza sieci wewn trzn Starostwa, powinny by chronione swoimi autonomicznymi systemami firewall. 4. Zasad konfigurowania systemów firewall powinno by blokowanie wszystkich usług, które s zb dne dla statutowej działalno ci Starostwa. § 19 Konserwacja i naprawy sprz tu i oprogramowania 1. Wszelkie naprawy i konserwacje sprz tu i oprogramowania mog odbywa si tylko w obecno ci osób uprawnionych. 2. Urz dzenia informatyczne słu ce do przetwarzania danych osobowych mo na przekaza do naprawy dopiero po uzyskaniu zgody Administratora Bezpiecze stwa Informacji. ROZDZIAŁ XI OPIS ZDARZE NARUSZAJ CYCH OCHRON DANYCH OSOBOWYCH §1 Zagro enia naruszaj ce ochron danych osobowych s nast puj ce: 1. Zagro enia losowe zewn trzne – w szczególno ci kl ski ywiołowe, przerwy w zasilaniu – ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich wyst powanie mo e prowadzi do utraty integralno ci danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ci gło systemu zostaje zakłócona, nie dochodzi do naruszenia poufno ci danych, 2. Zagro enia losowe wewn trzne – w szczególno ci niezamierzone pomyłki operatorów, administratora systemu, awarie sprz towe, bł dy oprogramowania - mo e doj do zniszczenia danych, mo e zosta zakłócona ci gło pracy systemu, mo e nast pi naruszenie poufno ci danych, 3. Zagro enia zamierzone, wiadome i celowe - najpowa niejsze zagro enia, naruszenia poufno ci danych, (zazwyczaj nie nast puje uszkodzenie infrastruktury technicznej i zakłócenie ci gło ci pracy), zagro enia te mo emy podzieli na: 1) nieuprawniony dost p do systemu z zewn trz (włamanie do systemu), 2) nieuprawniony dost p do systemu z jego wn trza, 3) nieuprawniony przekaz danych, 4) pogorszenie jako ci sprz tu i oprogramowania, 5) bezpo rednie zagro enie materialnych składników systemu. §2 Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to w szczególno ci: 1. Sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewn trznych na zasoby systemu jak np.: wybuch gazu, po ar, zalanie pomieszcze , katastrofa budowlana, napad, działania terrorystyczne, niepo dana ingerencja ekipy remontowej itp. 2. Niewła ciwe parametry rodowiska, jak np. nadmierna wilgotno lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrz sy lub wibracje pochodz ce od urz dze przemysłowych. 3. Awaria sprz tu lub oprogramowania, które wyra nie wskazuj na umy lne działanie w kierunku naruszenia ochrony danych lub wr cz sabota , a tak e niewła ciwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru. 4. Pojawienie si odpowiedniego komunikatu alarmowego od tej cz ci systemu, która zapewnia ochron zasobów lub inny komunikat o podobnym znaczeniu. 5. Jako danych w systemie lub inne odst pstwo od stanu oczekiwanego wskazuj ce na zakłócenia systemu lub inn nadzwyczajn i niepo dan modyfikacj w systemie. 6. Nast piło naruszenie lub próba naruszenia integralno ci systemu lub bazy danych w tym systemie. 7. Stwierdzono prób lub modyfikacj danych lub zmian w strukturze danych bez odpowiedniego upowa nienia (autoryzacji). 8. Nast piła niedopuszczalna manipulacja danymi osobowymi w systemie. 9. Ujawniono osobom nieupowa nionym dane osobowe lub obj te tajemnic procedury ochrony przetwarzania albo inne strze one elementy systemu zabezpiecze . 10. Praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odst pstwa od zało onego rytmu pracy wskazuj ce na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp. 11. Ujawniono istnienie nieautoryzowanych kont dost pu do danych lub tzw. „bocznej furtki”, itp. 12. Podmieniono lub zniszczono no niki z danymi osobowymi bez odpowiedniego upowa nienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe. 13. Ra co naruszono dyscyplin pracy w zakresie przestrzegania procedur bezpiecze stwa informacji (nie wylogowanie si przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamkni cie pomieszczenia z komputerem, nie wykonanie w okre lonym terminie kopii. 14. Bezpiecze stwa, prace na danych osobowych w celach prywatnych, itp.). §3 Za naruszenie ochrony danych uwa a si równie stwierdzone nieprawidłowo ci w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urz dzenia archiwalne i inne) na no nikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdj ciach, dyskietkach w formie niezabezpieczonej itp. ROZDZIAŁ XII ZASADY POST POWANIA W SYTUACJI NARUSZENIA SYSTEMU OCHRONY DANYCH OSOBOWYCH §1 Niniejsze zasady okre laj tryb post powania w przypadku gdy: 1. Stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie, 2. Stan urz dzenia, zawarto zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jako komunikacji w sieci telekomunikacyjnej, mog wskazywa na naruszenie zabezpiecze tych danych. §2 O naruszeniu ochrony danych osobowych mog wiadczy w szczególno ci nast puj ce symptomy: 1. Brak mo liwo ci uruchomienia przez u ytkownika aplikacji pozwalaj cej na dost p do danych osobowych. 2. Brak mo liwo ci zalogowania si do tej aplikacji. 3. Ograniczone, w stosunku do normalnej sytuacji, uprawnienia u ytkownika aplikacji (np. brak mo liwo ci wykonywania pewnych operacji normalnie dost pnych u ytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji. 4. Wygl d aplikacji inny ni normalnie. 5. Inny zakres danych ni normalnie dost pny dla u ytkownika – du o wi cej lub du o mniej danych. 6. Znaczne spowolnienie działania systemu informatycznego. 7. Pojawienie si niestandardowych komunikatów generowanych przez system informatyczny. 8. lady włamania lub prób włamania do obszaru, w którym przetwarzane s dane osobowe. 9. lady włamania lub prób włamania do pomieszcze , w których odbywa si przetwarzanie danych osobowych, w szczególno ci do serwerowni oraz do pomieszcze , w których przechowywane s no niki kopii awaryjnych. 10. Włamanie lub próby włamania do szafek, w których przechowywane s w postaci elektronicznej lub papierowej – no niki danych osobowych. 11. Zagubienie lub kradzie no nika danych osobowych. 12. Zagubienie lub kradzie no nika materiału krypotograficznego (karty mikroprocesorowej, dyskietki itp). 13. Kradzie sprz tu informatycznego, w którym przechowywane były dane osobowe. 14. Informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego wirusami. 15. Fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego przetwarzaj cego dane osobowe na skutek przypadkowych lub celowych działa albo zaistnienia siły wy szej. 16. Podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w systemie informatycznym. §3 1. Dane osobowe zostaj ujawnione, gdy staj si znane w cało ci lub cz ci pozwalaj cej na okre lenie osobom nie uprawnionym to samo ci osoby, której dane dotycz . 2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpiecze stwa nale y przeprowadzi post powanie wyja niaj ce, czy dane osobowe nale y uzna za ujawnione. §4 1. Ka dy pracownik Starostwa bior cy udział w przetwarzaniu danych osobowych w systemie informatycznym jest odpowiedzialny za bezpiecze stwo tych danych. W szczególno ci osoba, która zauwa yła zdarzenie mog ce by przyczyn naruszenia ochrony danych osobowych lub mog cych spowodowa naruszenie bezpiecze stwa danych, zobowi zana jest do natychmiastowego poinformowania Administratora Bezpiecze stwa Informacji lub innej osoby wskazanej przez niego. 2. Ka da osoba zatrudniona w Starostwie , która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób), powinna niezwłocznie poinformowa o tym osob zatrudnion przy przetwarzaniu danych osobowych lub Administratora Bezpiecze stwa Informacji, lub Administratora Systemu, lub innego informatyka Biura Zarz du Powiatu. 3. Administrator Bezpiecze stwa Informacji jest odpowiedzialny za przygotowanie i opublikowanie wykazu osób, które mog by informowane w przypadku wyst pienia zagro enia danych osobowych. 4. W przypadku niemo liwo ci zawiadomienia Administratora Bezpiecze stwa Informacji lub osób przez niego upowa nionych, pracownik winien powiadomi bezpo redniego przeło onego. §5 1. Informacja o pojawieniu si zagro enia lub wyst pieniu zagro enia danych osobowych przekazywana jest przez pracownika osobi cie, telefonicznie lub poczt elektroniczn . 2. Informacja, o której mowa w ust. 1 powinna zawiera imi i nazwisko osoby zgłaszaj cej oraz zauwa one symptomy zagro enia. 3. W przypadku gdy zgłoszenie o podejrzeniu zaistnienia incydentu otrzyma osoba inna ni Administrator Bezpiecze stwa Informacji, jest ona obowi zana poinformowa o tym fakcie Administratora Bezpiecze stwa Informacji. 4. Pracownik mo e zosta poproszony przez Administratora Bezpiecze stwa Informacji o potwierdzenie zauwa onego faktu na pi mie. §6 1. Do czasu przybycia Administratora Bezpiecze stwa Informacji lub upowa nionej przez niego osoby, zgłaszaj cy: 1) niezwłocznie podejmuje czynno ci niezb dne do powstrzymania niepo danych skutków zaistniałego naruszenia, o ile istnieje taka mo liwo , a nast pnie uwzgl dnia w działaniu równie ustalenie przyczyn lub sprawców, 2) zabezpiecza dost p do miejsca lub urz dzenia przez osoby trzecie, 3) wstrzymuje prac na komputerze na którym zaistniało naruszenie ochrony oraz nie uruchamia bez koniecznej potrzeby komputerów i innych urz dze , których funkcjonowanie w zwi zku naruszeniem ochrony zostało wstrzymane, 4) nie zmienia poło enia przedmiotów, które pozwalaj stwierdzi naruszenie ochrony lub odtworzy jej okoliczno ci, 5) podejmuje, stosownie do zaistniałej sytuacji, inne niezb dne działania celem zapobie enia dalszym zagro eniom, które mog skutkowa utrat danych osobowych, 6) podejmuje inne działania przewidziane i okre lone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzysz cych naruszeniu, 7) wst pnie udokumentowa zaistniałe naruszenie. 2. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne je eli zachodzi konieczno ratowania osób lub mienia albo zapobie enia gro cemu niebezpiecze stwu. §7 Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona, niezwłocznie po uzyskaniu sygnału o naruszeniu danych osobowych, powinien : 1. Zapozna si z zaistniał sytuacj i dokona wyboru metody dalszego post powania maj c na uwadze ewentualne zagro enia dla prawidłowo ci pracy Starostwa. 2. Zapisa wszelkie informacje zwi zane z danym zdarzeniem. 3. Na bie co wygenerowa i wydrukowa wszystkie mo liwe dokumenty i raporty, które mog pomóc w ustaleniu okoliczno ci zdarzenia. 4. Przyst pi do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do okre lenia skali zniszcze i metody dost pu do danych osoby niepowołanej. 5. Dokona fizycznego odł czenia urz dze i segmentów sieci, które mogły umo liwi dost p do bazy danych osobie nie uprawnionej. 6. Wylogowa u ytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych. 7. Dokona zmiany hasła na konto Administratora Bezpiecze stwa Informacji i u ytkownika, poprzez które uzyskano nielegalny dost p w celu unikni cia ponownej próby włamania. 8. Za da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiaj cej, jak równie od ka dej innej osoby, która mo e posiada informacje zwi zane z zaistniałym naruszeniem. 9. Rozwa y mo liwo i potrzeb powiadomienia o zaistniałym naruszeniu Starosty Pabianickiego – Administratora Danych lub Sekretarza Powiatu. 10. Nawi za bezpo redni kontakt, je eli zachodzi taka potrzeba, ze specjalistami spoza Starostwa. 11. Zamkn i opiecz towa urz dze , w których przechowywane s dane osobowe w formie analogowej. §8 Administrator Bezpiecze stwa Informacji podejmuje działania zmierzaj ce do wyja nienia zgłoszonego zdarzenia. W szczególno ci mo e on dokonywa , w zale no ci od zgłoszonego zdarzenia: 1. Wizji lokalnej w zakresie adekwatnym do rodzaju zgłoszonego zdarzenia. 2. Przeprowadzenia wywiadów z pracownikami w celu ustalenia zaistniałych faktów. 3. Przeprowadzenia analizy poprawno ci funkcjonowania systemu informatycznego, je eli zgłoszone zdarzenie było zwi zane z nieprawidłowym jego funkcjonowaniem. 4. Przeprowadzenia analizy zapisu zdarze w systemie informatycznym z uwzgl dnieniem zapisu operacji realizowanych przez u ytkowników. 5. Przeprowadzenia analizy danych przetwarzanych w systemie informatycznym, je eli zgłoszone zdarzenie mogło by spowodowane utrat dost pno ci lub integralno ci przetwarzanych danych. 6. Sporz dzenia dokumentacji fotograficznej. 7. Zabezpieczenia danych przetwarzanych w systemie informatycznym dotkni tym incydentem, w szczególno ci danych konfiguracyjnych tego systemu. 8. Zebrania innych materiałów pozwalaj cych na wyja nienie przyczyn zaistnienia incydentu, jego charakteru i potencjalnych skutków. §9 Po wykonaniu czynno ci, o których mowa w § 7 i w § 8, Administrator Bezpiecze stwa Informacji jest zobowi zany do podj cia kroków w celu: 1. Wyja nienia zdarzenia – w szczególno ci czy miało miejsce naruszenie ochrony danych osobowych. 2. Wyja nienia przyczyn naruszenia bezpiecze stwa danych osobowych i zebranie ewentualnych dowodów – w szczególno ci, gdy zdarzenie było zwi zane z celowym działaniem pracowników b d osób trzecich. 3. Zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem si zagro enia. 4. Usuni cie skutków incydentu i przywrócenie pierwotnego stanu systemu informatycznego ( to jest sprzed incydentu). 5. Ewentualnego ukarania sprawców incydentu. § 10 Administrator Bezpiecze stwa Informacji przyst puje do usuwania skutków incydentu i przywrócenia prawidłowego przebiegu procesu przetwarzania danych osobowych. W szczególno ci działania zwi zane z usuwaniem skutków incydentu mog obejmowa : 1. Przeprowadzenie naprawy sprz tu informatycznego. 2. Rekonfiguracj sprz tu informatycznego. 3. Wprowadzenie poprawek do oprogramowania. 4. Rekonfiguracj oprogramowania. 5. Odtworzenie danych z kopii awaryjnych. 6. Modyfikacj danych w celu odtworzenia ich integralno ci. 7. Wycofanie z u ycia materiału kryptograficznego. 8. Inne naprawy urz dze wchodz cych w skład infrastruktury informatycznej i wspomagaj cych lub zabezpieczaj cych działanie systemu informatycznego. § 11 Administrator Bezpiecze stwa Informacji mo e odst pi od usuwania skutków incydentu, je eli został on spowodowany działaniem celowym, a całkowite wyja nienie zdarzenia i wyci gni cie konsekwencji wobec sprawców jest istotniejsze ni przerwa w działaniu systemu. Istniej cy stan systemu informatycznego jest niezmieniany w celach dowodowych do czasu wyja nienia sprawy. § 12 Przy usuwaniu skutków incydentu z wykorzystaniem odtwarzania danych z kopii awaryjnych Administrator Bezpiecze stwa Informacji obowi zany jest upewni si , e odtworzone dane zostały zapisane przed wyst pieniem incydentu – w szczególno ci dotyczy to przypadków odtwarzania systemu po infekcji wirusowej. § 13 1. W sytuacjach wyj tkowych wszystkie powy ej opisane działania zwi zane z usuwaniem skutków incydentu i wyja nianiem jego przyczyn mog by realizowane przez osoby upowa nione przez Administratora Bezpiecze stwa Informacji. 2. Administrator Bezpiecze stwa Informacji odpowiada za sporz dzenie listy pracowników maj cych prawo do podejmowania odpowiednich kroków w razie wyst pienia incydentu w sytuacji, gdy nie mog one by wykonane osobi cie przez niego. § 14 1. Administrator Bezpiecze stwa Informacji okre la, na podstawie przeprowadzonych wyja nie , przyczyny zaistnienia incydentu. 2. Je eli incydent był spowodowany celowym działaniem, Administrator Bezpiecze stwa Informacji jest zobowi zany do pisemnego powiadomienia Starosty Pabianickiego - Administratora Danych lub Sekretarza Powiatu. 3. Starosta Pabianicki - Administrator Danych lub Sekretarz Powiatu, bior c pod uwag charakter zdarzenia, mo e poinformowa organy uprawnione do cigania przest pstw o fakcie celowego naruszenia bezpiecze stwa danych osobowych przetwarzanych w systemie informatycznym. § 15 Zgod na uruchomienie komputerów i innych urz dze lub dokonanie zmian w miejscu naruszenia ochrony wyra a Administrator Bezpiecze stwa Informacji lub osoba przez niego upowa niona. § 16 1. System informatyczny, którego prawidłowe działanie zostało odtworzone, powinien zosta poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usuni cia symptomów incydentu. W czasie jej trwania u ytkowanie systemu informatycznego powinno by ograniczone do niezb dnego minimum. 2. Okres kwarantanny, o którym mowa w ust.1, jest uzale niony charakterem incydentu i specyfik systemu informatycznego – jest on ka dorazowo okre lany przez Administratora Bezpiecze stwa Informacji. § 17 1. Administrator Bezpiecze stwa Informacji dokumentuje w raporcie ka dy zaistniały przypadek naruszenia ochrony danych osobowych. 2. Dokumentacja , o której mowa w ust.1, obejmuje nast puj ce informacje: 1) imi i nazwisko osoby zgłaszaj cej incydent, 2) imi i nazwisko osoby przyjmuj cej zgłoszenie incydentu, 3) dat i godzin przyj cia zgłoszenia incydentu, 4) okre lenie czasu i miejsca incydentu, 5) opis zgłoszonego incydentu oraz okoliczno ci towarzysz ce, 7) przyczyny wyst pienia naruszenia, 8) opis podj tych działa naprawczych, 9) wyniki przeprowadzonego badania wyja niaj cego, 10) ocen skuteczno ci przeprowadzonego post powania naprawczego, 11) podj te rodki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania w przyszło ci naruszenia ochrony danych osobowych. 3. Wzór raportu, o którym mowa w ust.1, okre la zał cznik nr 3 do niniejsze Polityki Bezpiecze stwa § 18 Administrator Bezpiecze stwa Informacji w oparciu o posiadan dokumentacj , odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych incydentów w celu: 1. Okre lenia skuteczno ci podejmowanych działa wyja niaj cych i naprawczych. 2. Okre lenia wymaga działa zwi kszaj cych bezpiecze stwo systemu informatycznego i minimalizuj cych ryzyko zaistnienia incydentów. 3. Okre lenia potrzeb w zakresie szkole u ytkowników systemu informatycznego przetwarzaj cego dane osobowe. ROZDZIAŁ XIII POSTANOWIENIA KO COWE §1 1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podj ła działania okre lonego w niniejszym dokumencie, a w szczególno ci nie powiadomiła odpowiedniej osoby zgodnie z okre lonymi zasadami, a tak e gdy nie zrealizowała stosownego działania dokumentuj cego ten przypadek, wszczyna si post powanie dyscyplinarne. 2. Administrator Bezpiecze stwa Informacji zobowi zany jest prowadzi ewidencj osób, które zostały zapoznane z niniejszym dokumentem i zobowi zuj si do stosowania zasad w nim zawartych wg wzoru stanowi cego zał cznik Nr 4 do niniejszej Polityki Bezpiecze stwa. §2 1. Przypadki nieuzasadnionego zaniechania obowi zków wynikaj cych z niniejszego dokumentu mog by potraktowane jako ci kie naruszenie obowi zków pracowniczych, w szczególno ci przez osob , która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora Bezpiecze stwa Informacji. 2. Orzeczona kara dyscyplinarna, wobec osoby uchylaj cej si od powiadomienia Administratora Bezpiecze stwa Informacji nie wyklucza odpowiedzialno ci karnej tej osoby zgodnie z ustaw z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, póz. 926) oraz mo liwo ci wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawc o zrekompensowanie poniesionych strat. §3 W sprawach nie uregulowanych niniejszym dokumentem maj zastosowanie przepisy 1) ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z pó . zm.), 2) rozporz dzenia Ministra Spraw Wewn trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)