INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt

1 INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH Projekt Staże zagraniczne dla uczniów i absolwentów szkół zawodowych oraz mobilność kadry kształcenia zawodowego Program Operacyjny Wiedza Edukacja Rozwój współfinansowany z Europejskiego Funduszu Społecznego 1

2 Podstawa prawna: 1. Konstytucja Rzeczypospolitej art. 47 i 51 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997r (Dz.U ); 2. Ustawa z dnia 26 czerwca 1974r kodeks pracy (Dz.U ze zm).; 3. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r (Dz.U ); 4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U ze zm); 5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014r w sprawie wzoru zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. (Dz.U ); 6. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015r w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji; 7. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015r w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych (Dz. U ). Cel instrukcji: Niniejsza instrukcja określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej Instrukcją, stanowi wykonanie obowiązku, o którym mowa w 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz ze zm.). Instrukcja określa zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenia pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów. W związku z tym, że system informatyczny przetwarzający dane osobowe jest podpięty do publicznej sieci telekomunikacyjnej (Internet), wymagana jest ochrona na poziomie wysokim zgodnie z 6 rozporządzenia. Niniejszy dokument opisuje 2

3 niezbędny do uzyskania tego bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia. I. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności 1. Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych. 2. Za tworzenie, modyfikację i nadawanie uprawnień kontom użytkowników odpowiada ASI. 3. ASI nadaje uprawnienia w systemie informatycznym na podstawie upoważnienia nadanego pracownikowi przez ADO. 4. Nadanie uprawnienia polega na: a. ustaleniu indywidualnego identyfikatora w systemie informatycznym; b. przydzieleniu przez ASI hasła umożliwiającego pierwsze wejście do systemu; c. odnotowaniu nadanego uprawnienia w Ewidencji osób upoważnionych do przetwarzania danych osobowych; 5. Identyfikator użytkownika nadawany jest jednorazowo, nie podlega zmianom, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielony innej osobie. 6. Usuwanie kont stosowane jest wyłącznie w uzasadnionych przypadkach, standardowo, przy ustaniu potrzeby utrzymywania konta danego użytkownika ulega ono dezaktywacji w celu zachowania historii jego aktywności. 7. Osoby dopuszczone do przetwarzania danych osobowych zobowiązane są do zachowania tajemnicy w zakresie tych danych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy, co jest równoznaczne z cofnięciem uprawnień do przetwarzania danych osobowych. II. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Użytkownicy systemu informatycznego są zobowiązani chronić przed nieuprawnionym wykorzystaniem wszelkie znane im lub będące w ich posiadaniu dane umożliwiające dostęp do zasobów systemu informatycznego. 3

4 Oznacza to m.in. zakaz ujawniania komukolwiek haseł umożliwiających dostęp do kont lub innych zasobów. 2. Każdorazowe uwierzytelnianie użytkownika w systemie następuje po podaniu identyfikatora i hasła. 3. Używanie haseł jest obowiązkowe dla każdego użytkownika, posiadającego identyfikator w systemie. 4. Obowiązują następujące zasady korzystania z haseł: a. Zabrania się ujawniania haseł innym osobom, b. Zabrania się zapisywania haseł lub takiego z nimi postępowania, które umożliwia lub ułatwia dostęp do haseł innych osób, c. Minimalna długość hasła powinna wynosić 8 znaków, d. Hasło powinno składać się z małych i dużych liter, cyfr lub znaku nie będącego literą ani cyfrą, e. Nie należy używać wyrazów występujących we wszelkiego rodzaju słownikach, nawet jeśli zostaną uzupełnione innymi znakami, f. Nie należy też używać żadnych wyrazów lub liczb występujących w danych personalnych użytkownika, g. Posługiwanie się danymi identyfikującymi lub uwierzytelniającymi należącymi do innego użytkownika w celu dostępu do zasobów systemu informatycznego na jego konto lub podejmowania jakichkolwiek innych działań w jego imieniu jest nielegalne, również za zgodą właściwego użytkownika. Nielegalne jest też korzystanie z plików lub innych zasobów innego użytkownika bez jego zgody, nawet jeśli nie są one należycie chronione. 5. Użytkownicy systemu informatycznego korzystający także z innych systemów informatycznych nie mogą posługiwać się przy tym takimi samymi lub tymi samymi informacjami identyfikującymi lub uwierzytelniającymi jak stosowane w celu dostępu do zasobów systemu informatycznego. Jeśli użytkownik systemu informatycznego posiadał wcześniej konto w innym systemie, to nie wolno mu użyć w systemie informatycznym takiej samej nazwy konta ani hasła. Zasada ta obowiązuje także w przypadku zakładania nowych kont w innych systemach nazwy kont i hasła muszą być inne niż używane w systemie informatycznym. 6. Prawidłowe wykonywanie obowiązków związanych z korzystaniem użytkowników z haseł nadzoruje administrator bezpieczeństwa informacji. Nadzór ten w szczególności polega na obserwacji (monitorowaniu) funkcjonowania mechanizmu uwierzytelniania i przywracania stanu prawidłowego w przypadku nieprawidłowości. III. Procedury rozpoczęcia i zakończenia pracy 1. Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze 4

5 zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia administratora bezpieczeństwa informacji. a. Użytkownik rozpoczyna pracę w systemie informatycznym od następujących czynności: włączenia komputera, uwierzytelnienia się ( zalogowania w systemie) za pomocą identyfikatora i hasła. b. Niedopuszczalne jest uwierzytelnianie się na hasło i identyfikator innego użytkownika lub praca w systemie informatycznym na koncie innego użytkownika. c. Zakończenie pracy użytkownika w systemie następuje po wylogowaniu się z systemu. Po zakończeniu pracy użytkownik zabezpiecza swoje stanowisko pracy, w szczególności dyskietki, dokumenty i wydruki zawierające dane osobowe, przed dostępem osób nieupoważnionych. d. W przypadku dłuższego opuszczenia stanowiska pracy, użytkownik zobowiązany jest wylogować się lub zaktywizować wygaszacz ekranu z opcją ponownego logowania się do systemu. e. W przypadku wystąpienia nieprawidłowości w mechanizmie uwierzytelniania ( logowaniu się w systemie), użytkownik niezwłocznie powiadamia o nich ABI. IV. Tworzenie, przechowywanie, sprawdzanie przydatności i likwidacji kopii archiwalnych i awaryjnych 1. Zbiory danych osobowych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem poprzez sporządzanie kopii zapasowych. 2. Pełne kopie zapasowe zbiorów danych tworzone są 2 razy w ciągu roku wykonuje ASI. 3. Odpowiedzialnym za wykonywanie bieżących kopii danych jest pracownik obsługujący dany program przetwarzający dane w sytuacji gdy nastąpiła zmiana danych, nie rzadziej niż raz na 3 miesiące. 4. W szczególnych sytuacjach, np. przed aktualizacją lub zmianą oprogramowania lub systemu należy wykonać bezwzględnie pełną kopię zapasową systemu. 5. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. Za przeprowadzenie tych czynności odpowiada Administrator Bezpieczeństwa Informacji. 6. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. 5

6 V. Sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków 1. Wydruki i dokumenty papierowe zawierające dane osobowe przechowywane są wyłącznie w odrębnych zamykanych szafach. 2. Osoba zatrudniona przy przetwarzaniu danych osobowych sporządzająca wydruk zawierający dane osobowe ma obowiązek na bieżąco sprawdzać przydatność wydruku w wykonywanej pracy, a w przypadku jego nieprzydatności niezwłocznie zniszczyć wydruk w niszczarce. 3. Elektroniczne nośniki informacji z danymi osobowymi są oznaczane i przechowywane w zamykanych szafach lub sejfach do których dostęp mają wyłącznie upoważnieni pracownicy. 4. Fizyczna likwidacja zniszczonych lub niepotrzebnych elektronicznych nośników informacji z danymi osobowymi odbywa się komisyjnie w sposób uniemożliwiający odczyt danych osobowych. 5. Dopuszczalne jest zlecenie/powierzenie niszczenia wszelkich nośników danych osobowych wyspecjalizowanym podmiotom zewnętrznym. Podstawą przekazania danych do zniszczenia innemu podmiotowi powinna być w każdym przypadku umowa zawarta na piśmie. VI. Metody i częstotliwość sprawdzania obecności szkodliwego oprogramowania w systemach informatycznych służących do przetwarzania danych osobowych oraz metody ich usuwania 1. Sprawdzanie obecności szkodliwego oprogramowania dokonywane jest poprzez zainstalowanie programu, który skanuje automatycznie, bez udziału użytkownika, na obecność szkodliwego oprogramowania wszystkie pliki. Program jest zainstalowany na wszystkich serwerach i stacjach roboczych. 2. Po każdej naprawie, konserwacji komputera należy dokonać sprawdzenia pod kątem występowania szkodliwego oprogramowania. 3. Elektroniczne nośniki informacji pochodzenia zewnętrznego podlegają sprawdzeniu programem antywirusowym przed rozpoczęciem korzystania z nich. Dane uzyskiwane drogą teletransmisji należy umieszczać przed otwarciem w katalogu przejściowym, który podlega sprawdzeniu. VII. Zasady przeglądów i konserwacji systemu 1. Przeglądów oraz konserwacji systemu dokonuje Administrator Systemu Informatycznego. 6

7 2. W przypadku przekazania innym podmiotom elementów systemu w celu naprawy, wszelkie dane osobowe muszą zostać z nich usunięte. Proces ten nadzoruje Administrator Bezpieczeństwa Informacji. 3. Dane osobowe muszą być zabezpieczone przed dostępem osób trzecich zanim nośnik lub element systemu zostanie przekazany podmiotowi innemu niż Administrator Systemu Informatycznego lub Administrator Bezpieczeństwa Informacji. VIII. Komunikacja w sieci komputerowej 1. W zakresie korzystania z sieci komputerowej obowiązują następujące zasady: a. pracownicy nie są uprawnieni do instalacji jakiegokolwiek prywatnego oprogramowania bez odpowiedniej zgody. W przypadku zainstalowania takiego oprogramowania bez odpowiedniej akceptacji pracownik ponosi odpowiedzialność porządkową. b. oprogramowanie na komputerach może być zainstalowane wyłącznie przez administratora systemu, c. wszelkie dane zainstalowane na komputerach Zespołu stanowią jego własność, d. pracownicy mogą używać połączenia z Internetem jedynie w celach służbowych, e. pracownicy nie mają prawa przekazywać za pośrednictwem sieci komputerowej do stron trzecich jakichkolwiek danych stanowiących własność Zespołu, f. bez uzgodnienia z administratorem systemu, pracownicy nie mogą ściągać za pośrednictwem sieci komputerowej żadnego oprogramowania, g. pracownicy nie mogą podłączać się do sieci zewnętrznej za pośrednictwem modemów. IX. Obowiązki i odpowiedzialność użytkownika wynikająca z instrukcji 1. Użytkownik systemu informatycznego jest zobowiązany zapoznać się z treścią niniejszej Instrukcji. 2. Naruszenie przez pracownika niniejszej Instrukcji może zostać potraktowane jako naruszenie obowiązków pracowniczych i powodować określoną przepisami Kodeksu Pracy odpowiedzialność pracownika. 3. Treść niniejszej Instrukcji ma charakter poufny, chroniony tajemnicą pracodawcy na zasadzie art pkt. 4 Kodeksu Pracy. 4. Niniejsza instrukcja wchodzi w życie z dniem 11 stycznia 2017r. 7

8 Zał. Nr 1 do instrukcji zarządzania systemem informatycznym Zamość, dn. Upoważnienie uprawniające użytkowników systemu informatycznego, w którym przetwarzane są dane osobowe, do przetwarzania tych danych Niniejszym upoważniam Pana/Panią: do przetwarzania danych osobowych w systemie informatycznym: Administrator Danych Osobowych 8

9 Zał. Nr 2 do instrukcji zarządzania systemem informatycznym Zamość, dn. Protokół przekazania użytkownikowi systemu informatycznego identyfikatora i hasła Identyfikator: Hasło dostępu do systemu: Podpis Administratora Systemu użytkownika Informatycznego Podpis /i pieczęć/ 9