POLITYKA BEZPIECZEŃSTWA. Rozdział 2. Deklaracja intencji, cele i zakres polityki bezpieczeństwa.

Transkrypt

1 Załącznik nr 1 do zarządzenia Rektora nr 22 z dn r. POLITYKA BEZPIECZEŃSTWA Rozdział 1. Postanowienia ogólne. Rozdział 2. Deklaracja intencji, cele i zakres polityki bezpieczeństwa. Rozdział 3. Rozdział 4. Rozdział 5. Rozdział 6. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem. Obszary przetwarzania danych. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych. Struktury zbiorów danych oraz przepływ danych pomiędzy systemami. Rozdział 7. Środki ochrony.

2 Niniejsza Polityka została opracowana zgodnie z wymogami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024). Rozdział 1 Postanowienia ogólne 1 Ilekroć w Polityce mowa jest o: 1) systemie informatycznym należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 2) zabezpieczeniu danych w systemie należy przez to rozumieć wdrożenie i eksploatację odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 3) wewnętrznej sieci teleinformatycznej, należy przez to rozumieć sieć Administratora, łącząca co najmniej dwa indywidualne stanowiska komputerowe, umożliwiająca użytkownikom określony dostęp do danych. Rozdział 2 Deklaracja intencji, cele i zakres polityki bezpieczeństwa 2 1. Polityka określa podstawowe zasady bezpieczeństwa i zarządzania bezpieczeństwem systemów. 2. Polityka dotyczy wszystkich danych osobowych, przetwarzanych w jednostkach organizacyjnych SGH, niezależnie od formy ich przetwarzania (zbiory ewidencyjne, systemy informatyczne) oraz od tego czy dane są lub mogą być przetwarzane w zbiorach danych. 3. Polityka ma zastosowanie wobec wszystkich jednostek organizacyjnych SGH. 3 Celem Polityki jest ochrona danych osobowych, przetwarzanych w jednostkach organizacyjnych SGH przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.

3 4 1. Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech: 1) poufności - właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom, 2) integralności - właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 3) rozliczalności - właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 2. Za pomiot nieupoważniony uważa się podmiot, który nie otrzymał zgody Administratora na udostępnienie mu danych osobowych w celu włączenia ich do zbioru oraz osobę nieposiadającą upoważnienia do przetwarzania danych osobowych, nadanego przez Administratora. 5 Dla skutecznej realizacji Polityki Administrator zapewnia: 1) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne; 2) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony; 3) okresowe szacowanie ryzyka zagrożeń dla zbiorów danych; 4) kontrolę i nadzór nad przetwarzaniem danych osobowych; 5) monitorowanie zastosowanych środków ochrony. Rozdział 3 Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem 6 1. Zarządzanie bezpieczeństwem systemów jest procesem ciągłym, realizowanym przy współdziałaniu użytkowników z ABI i ASI. 2. Wszystkie osoby przetwarzające dane osobowe zobowiązane są do: 1) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami; 2) postępowania zgodnie z ustaloną przez Administratora Polityką, Instrukcją i Regulaminem o których mowa w Zarządzeniu. 3. W przypadku naruszenia przepisów lub zasad postępowania użytkownik podlega odpowiedzialności służbowej i karnej.

4 7 1. Do obowiązków ABI należy kontrola i nadzór nad przestrzeganiem zasad bezpieczeństwa i ochrony danych osobowych określonych w przepisach, o których mowa w 8 ust Użytkownicy zobowiązani są do: 1) ścisłego przestrzegania zakresu nadanego upoważnienia,; 2) przetwarzania i ochrony danych osobowych zgodnie z przepisami; 3) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; 4) zgłaszania ASI incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu, a także informowania ABI lub LADO o przypadkach naruszenia zasad ochrony danych Użytkownicy przeprowadzają codzienną kontrolę bezpieczeństwa systemu przetwarzania danych osobowych na stanowiskach pracy. 2. Formy naruszeń bezpieczeństwa danych określa Tabela form naruszeń danych osobowych, stanowiąca załącznik nr 1 do Polityki. 3. Zasady postępowania w sytuacji wystąpienia lub podejrzenia wystąpienia naruszenia bezpieczeństwa określa Instrukcja postępowania w sytuacjach naruszenia zasad ochrony danych osobowych, stanowiąca załącznik nr 2 do Polityki Rozdział 4 Obszary przetwarzania danych 9 1. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe w SGH jest prowadzony przez ABI. Wzór wykazu stanowi załącznik nr 3 do Polityki 2. Za obszar przetwarzania danych uznaje się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Kierownicy jednostek organizacyjnych SGH zobowiązani są do niezwłocznego przekazywania do ABI informacji o lokalizacji miejsc przetwarzania danych osobowych. 2. LADO przekazują do ABI, w terminach i formie ustalonej przez ABI oceny i wnioski wynikające z zagrożeń bezpieczeństwa i analizy stanu ochrony obszarów przetwarzania danych osobowych w odpowiedniej dla LADO jednostce organizacyjnej SGH.

5 11 1. Kierownicy jednostek organizacyjnych SGH przedkładają do ABI wnioski o nadanie (wycofanie) lub zmianę upoważnień do przetwarzania danych osobowych dla pracowników i innych osób. 2. ABI prowadzi Ewidencję osób upoważnionych do przetwarzania danych osobowych w tradycyjnych zbiorach danych i w systemach informatycznych Szkoły Głównej Handlowej w Warszawie której wzór stanowi załącznik na 4 do Polityki. Rozdział 5 Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych jest prowadzony przez ABI. Wzór wykazu stanowi załącznik nr 5 do Polityki. 2. Osoby, o których mowa w 11 ust. 1, zobowiązane są do niezwłocznego przekazywania do ABI wykazu zbiorów oraz programów zastosowanych do przetwarzania danych osobowych. Rozdział 6 Struktury zbiorów danych oraz przepływ danych pomiędzy systemami Dane osobowe są przetwarzane, przy zastosowaniu systemów informatycznych, w zbiorach ewidencyjnych oraz poza zbiorami. 2. Zbiory danych osobowych zlokalizowane są w przedmiotowych bazach danych umieszczonych na serwerach bazodanowych. 3. Dane osobowe w zbiorach są przetwarzane tylko w aplikacjach (programach) dostosowanych do merytorycznych potrzeb jednostek organizacyjnych SGH Zawartość pól informacyjnych, występujących w aplikacjach (programach) systemów zastosowanych do przetwarzania danych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują Administratora do przetwarzania danych osobowych. 2. Na żądanie Administratora lub ABI, osoby o których mowa w 11 ust. 1, zobowiązane są wskazać podstawy prawne określające zakres przetwarzanych danych.

6 15 1. Opisy struktur zbiorów danych, wskazujące zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi, wykonują ASI na podstawie aplikacji zastosowanych do przetwarzania tych danych. 2. Opisy wykonywane są w postaci wydruków zrzutów ekranowych lub struktur tablic bazy prezentujących zawartość pól informacyjnych i powiązań pomiędzy nimi. W przypadku braku możliwości uzyskania wydruku zrzutu ekranowego ASI sporządzają inne dostępne opisy struktury zbioru. 3. ASI zobowiązani są do przekazywania opisów do ABI oraz natychmiastowego informowania ABI o wszelkich w nich zmianach Schematy przepływu danych pomiędzy systemami informatycznymi, zastosowanymi w celu przetwarzania danych osobowych, wykonują ASI, zgodnie z relacjami występującymi w programach służących do przetwarzania danych osobowych. 2. ASI zobowiązani są do przekazywania schematów do ABI oraz natychmiastowego informowania ABI o wszelkich w nich zmianach Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych może odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego. 2. Przesyłanie danych pomiędzy systemami może odbywać się w sposób manualny, przy wykorzystaniu nośników zewnętrznych (np. dyskietka, CD, DVD, taśma streamera, dysk wymienny, PenDrive itp.) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji (np. poprzez wewnętrzną sieć teleinformatyczną). Rozdział 7 Środki ochrony Administrator zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 2. Osoby, o których mowa w 11 ust. 1 przeprowadzają okresową analizę ryzyka dla poszczególnych systemów i na tej podstawie przedstawiają Administratorowi propozycje dotyczące zastosowania środków technicznych i organizacyjnych (środków ochrony), celem zapewnienia właściwej ochrony przetwarzanym danym. 3. Analiza ryzyka obejmuje: 1) identyfikację występujących zagrożeń dla systemów, zbiorów i baz danych; 2) ocenę dotychczas stosowanej ochrony obszarów przetwarzania danych osobowych,

7 3) określenie wielkości ryzyka, tj. prawdopodobieństwa, że określone zagrożenie wykorzysta podatność (słabość) zasobu; 4) identyfikację obszarów wymagających szczególnych zabezpieczeń. 4. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych osobowych Środki ochrony zastosowane przez Administratora dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, obejmują: 1) środki ochrony fizycznej, 2) środki ochrony osobowej, 3) środki ochrony technicznej. 2. Środki ochrony fizycznej obejmują: 1) lokalizację miejsc przetwarzania danych osobowych w pomieszczeniach o ograniczonym i kontrolowanym dostępie; 2) ustalenie zasad gospodarki kluczami do pomieszczeń i szaf, 3) wyposażenie pomieszczeń, w których przetwarzane są dane osobowe, we wzmocnione drzwi, odpowiednio zabezpieczone okna, meble, zamknięcia i niezbędne zabezpieczenia alarmowe, 4) składowanie danych sensytywnych oraz nośników wymiennych i nośników kopii zapasowych, w odpowiednio zabezpieczonych szafach, 5) odpowiednie wyposażenie i zabezpieczenie pomieszczeń serwerowni. 3. Środki ochrony osobowej obejmują: 1) dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie nadane przez Administratora lub osobę przez niego upoważnioną, 2) zapoznanie tych osób z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do ich przetwarzania, 3) odebranie stosownych zobowiązań i oświadczeń; tj. zobowiązania do zachowania w tajemnicy danych i sposobów ich zabezpieczenia oraz oświadczenia o zapoznaniu z treścią przepisów określających zasady postępowania przy przetwarzaniu danych osobowych, a także z dokumentacją przetwarzania i ochrony danych osobowych. 4. Środki ochrony technicznej obejmują: 1) mechanizmy kontroli dostępu do systemów i zasobów, 2) zastosowanie odpowiednich i regularnie aktualizowanych narzędzi ochronnych (programy antywirusowe, ściany ogniowe, itp.), 3) regularne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych, 4) zastosowanie ochrony zasilania.

8 20 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia zidentyfikowane w wyniku przeprowadzonej analizy ryzyka dla poszczególnych systemów, stosuje się następujące poziomy bezpieczeństwa: 1) podstawowy, 2) podwyższony, 3) wysoki. 2. Określenia poziomu bezpieczeństwa systemu informatycznego dokonuje ABI na wniosek osób o których mowa 11 ust Poziomy bezpieczeństwa odnotowuje się w dokumentacji prowadzonej przez ABI. 21 Systemy informatyczne, którym przypisano poziomy bezpieczeństwa wymienione w 21 muszą spełniać wymagania wymienione w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024).

9 Tabela form naruszeń danych osobowych załącznik nr 1 do Polityki bezpieczeństwa Nr (kod) Formy naruszeń Sposób postępowania narusze ń A Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego A.1 przy W przetwarzaniu zakresie wiedzy: danych A.1.1 Ujawnianie sposobu działania przetwarzaniu Natychmiast danych przerwać rozmowę lub inną aplikacji i systemu jej czynność prowadzącą do ujawnienia zabezpieczeń osobom informacji. Sporządzić raport z opisem, niepowołanym. jaka informacja została ujawniona, A. 1.2 Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. A.1.3 Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji. A.2 W zakresie sprzętu i oprogramowania: powiadomić administratora bezpieczeństwa Natychmiast przerwać informacji. rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić administratora bezpieczeństwa Natychmiast przerwać informacji. rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić ABI. A.2.1 A.2.2 A.2.3 A.2.4 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby niebędące pracownikami. Niezwłocznie zakończyć działanie aplikacji. Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.

10 A.2.5 A.2.6 A.2.7 Nr (kod) naruszeń Samodzielne instalowanie jakiegokolwiek oprogramowania. Modyfikowanie parametrów systemu i aplikacji. Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Formy naruszeń Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sposób postępowania A.3 W zakresie dokumentów i obrazów zawierających dane osobowe: A.3.1 Pozostawienie dokumentów Zabezpieczyć dokumenty. Sporządzić w otwartych pomieszczeniach raport. bez nadzoru. A.3.2 A.3.3 Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport. Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. A.3.4 A.3.5 A.3.6 A.3.7 Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. Sporządzić raport. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić ABI. Sporządzić raport. Podjąć próbę odzyskania kopii. Powiadomić ABI.

11 A.4 W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych: A.4.1 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonych. A.4.2 A.4.3 Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i ABI. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Nr (kod) naruszeń Formy naruszeń Sposób postępowania A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci: A.5.1 A.5.2 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i ABI.

12 B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych B.1 Ślady manipulacji przy Powiadomić niezwłocznie układach sieci komputerowej administratora bezpieczeństwa lub komputerach. informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia B.2 Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. B.3 Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. B.4 Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. B.5 Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania. B.6 Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. sytuacji. Powiadomić Sporządzić niezwłocznie raport. służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie ABI. C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną C.1 Próba uzyskania hasła w kontaktach Powiadomić z użytkownikiem ABI. uprawniającego do dostępu do z użytkownikiem: danych osobowych w ramach C.2 pomocy Próba nieuzasadnionego technicznej. Powiadomić ABI. przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika.

13 Załącznik nr 2 do Polityki bezpieczeństwa INSTRUKCJA POSTĘPOWANIA W SYTUACJACH NARUSZENIA ZASAD OCHRONY DANYCH OSOBOWYCH 1 Celem niniejszej instrukcji jest określenie procedur postępowania w przypadku, gdy: 1) stwierdzono naruszenie zasad zabezpieczenia w obszarze przetwarzania danych osobowych - zarówno w systemie informatycznym, jak i w zbiorach nieinformatycznych, 2) stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób mających dostęp do przetwarzania danych osobowych zarówno w systemach informatycznych oraz nieinformatycznych. Zasady te są szczegółowo opisane w załączniku nr 1 do Zasad polityki bezpieczeństwa informacji w SGH w Warszawie - Tabeli form naruszeń danych osobowych. 3 Za naruszenie zabezpieczenia systemu bądź urządzenia, w którym są przetwarzane dane osobowe przyjmuje się każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną lub uszkodzenia jakiegokolwiek elementu, a w szczególności: 1) nieautoryzowany dostęp do danych; 2) nieautoryzowane modyfikacje lub zniszczenie danych; 3) udostępnienie danych nieautoryzowanym lub nieuprawnionym podmiotom; 4) nielegalne ujawnienie danych; 5) pozyskiwanie danych z nielegalnych źródeł W przypadku stwierdzenia lub podejrzenia naruszenia zabezpieczenia systemu lub zaistnienia zdarzeń, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik, doktorant, student przetwarzający dane osobowe w SGH jest zobowiązany przerwać przetwarzanie tych danych i niezwłocznie powiadomić o zaistniałym zdarzeniu bezpośredniego przełożonego, który poinformuje lokalnego administratora danych oraz ABI, a następnie powinien postępować stosownie do ich decyzji. 2. Zgłoszenie naruszenia procedur ochrony danych osobowych powinno zawierać: 1) - opis symptomów naruszenia procedur ochrony danych osobowych; 2) - określenie sytuacji i czasu zajścia zdarzenia; 3) - identyfikację rodzaju zaistniałego zdarzenia, w tym określenie skali zniszczeń, metody dostępu do danych osoby nieupoważnionej, itp.; 4) - przedstawienie wszelkich istotnych informacji i dokumentów (wydruków, raportów, innych), mogących wskazywać na przyczynę naruszenia;

14 5) - określenie znanych danej osobie możliwości zabezpieczenia systemu oraz wszelkich działań podjętych po ujawnieniu zdarzenia w celu uniemożliwienia lub ograniczenia dostępu osób nieuprawnionych, minimalizacji szkód i zabezpieczenia śladów naruszenia ochrony danych. 5 ABI w porozumieniu z lokalnym administratorem danych podejmuje wszelkie działania mające na celu: 1) - minimalizację negatywnych skutków zdarzenia, 2) - wyjaśnienie przyczyn i okoliczności zdarzenia, 3) - zabezpieczenie dowodów zdarzenia, 4) - zapewnienie możliwości dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań wynikających z niniejszej Instrukcji ABI, za zgodą lokalnego administratora, ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: 1) - żądania wyjaśnień od pracowników, 2) - korzystania z pomocy konsultantów, 3) - wnioskowania o wydanie zakazu wykonywania pracy w zakresie przetwarzania danych osobowych do czasu przywrócenia możliwości przestrzegania procedur bezpieczeństwa. 7 Polecenia ABI wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi, zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z ABI w obszarze ochrony danych osobowych traktowana będzie jako naruszenie obowiązków pracowniczych ABI po opanowaniu sytuacji kryzysowej przeprowadza każdorazowo szczegółową analizę i opracowuje w terminie 14 dni od daty zaistnienia zdarzenia raport, w którym przedstawia Rektorowi przyczyny i skutki zdarzenia oraz wnioski ograniczające możliwości wystąpienia podobnych zdarzeń w przyszłości wraz z propozycją konkretnych działań. 2. Na podstawie sporządzonych raportów oraz innych działań ABI opracowuje roczny raport, który przedstawia Rektorowi w terminie do 31 stycznia następnego roku. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej Instrukcji stanowi naruszenie obowiązków pracowniczych i może być podstawą odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie danych osobowych nieuprawnionej osobie lub podmiotowi, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego.

15 ... Nazwa jednostki organizacyjnej Załącznik nr 3 do Polityki bezpieczeństwa Wykaz budynków i pomieszczeń, w których są przetwarzane dane osobowe w SGH L.p. Nazwa zbioru danych (1) Lokalizacja (adres) Nr pokoju/piętro Funkcja lokalizacji (2) Zabezpieczenie fizyczne (3) (1) nazwy zbiorów danych z załącznika 3, (2) wypełnić przy zbiorach danych w systemach informatycznych: (S) - serwer, (K) - miejsce przechowywania kopii bezpieczeństwa, (Z) - pomieszczenie, w którym wykonywane są kopie bezpieczeństwa, (U) - pomieszczenie osób wprowadzających dane, (A) - pomieszczenie administratora systemu informatycznego, (3) (K) - kraty w oknach, (A) - alarm, (W) - wzmocnione drzwi, (D) - System kontroli dostępu, (Z) - pomieszczenie zabezpieczone co najmniej jednym zamkiem,

16 ... Nazwa jednostki organizacyjnej Załącznik nr 4 do Polityki bezpieczeństwa Ewidencja osób upoważnionych do przetwarzania danych osobowych w tradycyjnych zbiorach danych i w systemach informatycznych SGH L.p. Nazwa zbioru Imię i danych (1) nazwisko osoby uprawnionej Identyfikator osoby uprawnionej (2) Rodzaj uprawnień (3) Data nadania upoważnienia Data utraty upoważnienia Lokalizacja (4) Uwagi (1) nazwa zbioru danych z załącznika 3, (2) dotyczy tylko zbiorów danych w systemach informatycznych, (3) skróty stosowane do określenia uprawnień: Z - pełne prawa do zarządzania zbiorem danych, W - pełne prawa do edycji danych (w tym drukowania, archiwizowania, usuwania), N prawo do zakładania nowych kont użytkowników, M - prawo do dodawania i modyfikacji danych, P prawo do przeglądania danych, D prawo do drukowania danych, A prawo do wykonywania kopii archiwalnych; Uwaga: w przypadku praw ograniczonych do określonej części zbioru danych (np. studentów określonego kierunku studiów) należy ograniczenie to podać w polu Uwagi, (4) należy podać liczbę porządkową zgodnie z załącznikiem 4,

17 ... Nazwa jednostki organizacyjnej Załącznik nr 5 do Polityki bezpieczeństwa Wykaz zbiorów danych tradycyjnych i w systemach informatycznych, w których są przetwarzane dane osobowe w SGH L.p. Nazwa zbioru danych Zakres i rodzaj danych w zbiorze Forma bazy danych/system operacyjny (1, 2) serwera Sposób zabezpieczenia zbioru danych (3) Zawiera także dane osób spoza SGH (T/N) Zbiór danych w systemie informatycznym chroniony przez UPS (T/N) (1) Liczba miejsc przetwarzania zbioru danych (1) dotyczy tylko zbiorów danych w systemie informatycznym (bazy danych) (2) np. plik Excela/Windows XP, lub baza MySQL/Postgre SQL/Oracle (3) przy opisie baz danych w systemach informatycznych należy zaznaczyć (oprócz zabezpieczeń organizacyjnych i fizycznych np. kontrola dostępu) np. (I) - indywidualne hasło dostępu do bazy danych, (S) - szyfrowanie bazy danych, (F) - wydzielona fizycznie sieć,