Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

Transkrypt

1 Załącznik nr 1 do Zarządzenia Dyrektora PG1 w Ząbkach Polityka Bezpieczeństwa przetwarzania danych osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach Mając na względzie właściwe wykonywanie obowiązków administratora danych, określonych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w celu zapewnienia ochrony przetwarzanych danych osobowych, Dyrektor Publiczego Gimnazjum nr 1 im Jana Pawła II w Ząbkach wdraża Politykę Bezpieczeństwa Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach (zwaną dalej Polityką Bezpieczeństwa ), zgodnie z wymogami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). I. OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. 1. Obszar przetwarzania danych osobowych stanowią budynki Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach, w których wykonywane są operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie z użyciem sprzętu komputerowego lub w formie kartotek, skorowidzów, ksiąg, wykazów i innych zbiorów ewidencyjnych. Wykaz pomieszczeń określa Załącznik A do niniejszej Polityki Bezpieczeństwa. 2. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na czas nieobecności w nich osób zatrudnionych, w sposób uniemożliwiający dostęp osób nieuprawnionych. Osoby postronne mogą przebywać wewnątrz wyżej wymienionego obszaru jedynie w obecności osoby upoważnionej do przetwarzania danych osobowych. W pomieszczeniach, w których przebywają osoby postronne, monitory stanowisk dostępu powinny być ustawione w sposób uniemożliwiający wgląd w dane osobom nieuprawnionym. II. WYKAZ ZBIORÓW DANYCH OSOBOWYCH.

2 Identyfikację zbiorów danych osobowych przetwarzanych w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach wraz ze wskazaniem programów zastosowanych do ich przetwarzania zawiera Załącznik B do niniejszej Polityki Bezpieczeństwa. III. STRUKTURA ZBIORÓW DANYCH OSOBOWYCH. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi zawiera Załącznik C do niniejszej Polityki Bezpieczeństwa. IV. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI. Sposób współpracy pomiędzy różnymi systemami informatycznymi, stosowanymi w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach określa Załącznik D do niniejszej Polityki Bezpieczeństwa. V. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA BEZPIECZEŃSTWA PRZETWANYCH DANYCH. A. Środki ochrony fizycznej. 1. Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych, jest wyposażony w system alarmowy. 2. Urządzenia służące do przetwarzania danych osobowych znajdują się w zamkniętych pomieszczeniach. B. Środki organizacyjne. 1. Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych sprawuje Dyrektor Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach i wykonuje zadania administratora danych osobowych polegające na: 1) opracowaniu i aktualizacji Polityki Bezpieczeństwa ; 2) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w Publicznym Gimnazjum nr 1 i m Pawła II w Ząbkach

3 3) prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych, zgodnie z formularzem stanowiącym Załącznik E do niniejszej Polityki Bezpieczeństwa; 4) realizowaniu procedur związanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych osobowych podlegających rejestracji; 5) przeprowadzaniu szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych osobowych. 2. Administrator bezpieczeństwa informacji nadzoruje zabezpieczenie przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem, a ponadto wykonuje zadania administratora danych osobowych polegające na: 1) opracowaniu i aktualizacji instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych; 2) dokonywaniu okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażaniu zmian w polityce bezpieczeństwa w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych. 3. Do przetwarzania danych mogą być dopuszczeni pracownicy Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach posiadający upoważnienie nadane przez Dyrektora Gimnazjum Wzór upoważnienia określa Załącznik F do niniejszej Polityki Bezpieczeństwa. 4. Osoby upoważnione do przetwarzania danych, składają pisemne oświadczenie o zachowaniu w tajemnicy tych danych oraz sposobów ich zabezpieczenia. Osoby te są przeszkolone w zakresie przepisów o ochronie danych osobowych oraz poinstruowane o konsekwencjach przetwarzania danych osobowych niezgodnie z przepisami. Wzór oświadczenia określa Załącznik G do niniejszej Polityki Bezpieczeństwa. 5. Tymczasowe wydruki z danymi osobowymi po ustaniu ich przydatności są niszczone w niszczarkach. 6. Procedury postępowania w sytuacji naruszenia ochrony danych osobowych zostały zdefiniowane w Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych w systemie informatycznym w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach zwanej w dalszym ciągu dokumentu instrukcją, stanowiącej Załącznik Nr H do niniejszej Polityki Bezpieczeństwa. 7. Opracowano Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która stanowi Załącznik Nr 2

4 Załącznik nr 2 do Zarządzenia Dyrektora PG1 w Ząbkach I n s t r u k c j a Zarządzania Systemem Informatycznym do Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach 1. Instrukcja niniejsza, zwana w dalszej części Instrukcją, określa zasady zarządzania, administrowania i dostępu do systemu informatycznego służącego przetwarzaniu danych osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach, zwanym w dalszej części Szkołą. 2. Instrukcja została opracowana zgodnie z wymogami określonymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) oraz na podstawie ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U z 2002 r. Nr 101, poz. 926 ze zm.) Dane osobowe to wszelkie informacje, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby tylko wówczas,

5 gdy wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3 ustawy o ochronie danych osobowych). 2. Zasady proceduralne i wymogi określone w Instrukcji mają zapewnić możliwie najwyższy poziom zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych oraz przed ich utratą lub dezintegracją. 3. Szkoła jest Właścicielem danych osobowych zebranych i przetwarzanych w swoim Systemie Informatycznym, a w szczególności dane na temat pracowników, uczniów, absolwentów oraz rodziców i opiekunów prawnych. 4. Dane osobowe mogą być przechowywane na komputerach i serwerach w pomieszczeniach Szkoły lub na zewnętrznych serwerach dostawców elementów oprogramowania Systemu Informatycznego Szkoły (np. Dziennik Elektroniczny), jeżeli spełnione będą wymogi określone w ustawie o ochronie danych osobowych W Szkole osobą odpowiedzialną za bezpieczeństwo danych osobowych jest Dyrektor. 2. Dyrektor Szkoły może wyznaczyć pracownika Administratora Systemu Informatycznego, zwanego w dalszej części Administratorem, który będzie stale i na bieżąco dbał o właściwe funkcjonowanie i zabezpieczenie Systemu Informatycznego, zgodnie z zasadami Instrukcji Dostęp do danych osobowych mogą mieć wyłącznie osoby upoważnione przez Dyrektora, zgodnie zakresem swoich obowiązków pracowniczych i tylko w zakresie niezbędnym do wykonywania tych obowiązków. 2. Administrator tworzy w Systemie Informatycznym konta użytkowników dla osób upoważnionych przez Dyrektora i konfiguruje uprawnienia dostępu do danych osobowych zgodnie z upoważnieniem na piśmie (Załącznik nr. do Instrukcji). 3. Osoba upoważniona do dostępu do danych osobowych Systemie Informatycznym Szkoły, zwana w dalszej części Uprawnionym otrzymuje od Administratora niezbędne informacje (loginy, hasła etc.) oraz instruktaż, które umożliwiają dostęp do zasobów Systemu. 4. Uprawnioną, w wyjątkowych przypadkach, może być także osoba nie będąca pracownikiem Szkoły, która wykonuje na rzecz Szkoły specjalistyczne czynności np.

6 związane z serwisowaniem programów, usuwaniem usterek w ich działaniu itp. Uprawnienie takie nadaje się tylko w ograniczonym zakresie, niezbędnym do wykonania zleconych czynności i cofa je bezzwłocznie po ich wykonaniu. 5. W bardzo ograniczonym zakresie Uprawnionymi są także rodzice i opiekunowie prawni, którym umożliwia się dostęp tylko do Dzienniczka Uczniowskiego. 6. Uprawniony : a) przegląda dane osobowe i edytuje je w Systemie Informatycznym wyłącznie w związku z funkcjonowaniem Szkoły i w zakresie swoich obowiązków służbowych i uprawnień, b) nie przekazuje poznanych informacji innym, ani nie kopiuje ich na nośniki zewnętrzne, c) chroni swoje dane dostępowe, zwłaszcza hasło, którego pod żadnym pozorem nie udostępnia nikomu, d) w przypadku odtajnienia (np. złamania) hasła, zmienia je natychmiast samodzielnie lub bezzwłocznie zwraca się o to do Administratora, e) po zakończeniu pracy w programie związanym z dostępem do danych osobowych, natychmiast wylogowuje się z tego programu i zamyka jego działanie, f) przerywając pracę z komputerem na dłuższy czas zwłaszcza, gdy opuszcza pomieszczenie, powinien wylogować się z systemu operacyjnego lub zablokować działanie systemu operacyjnego tak, aby wznowienie działania systemu wymagało podania hasła, g) kończąc pracę z komputerem zamyka system operacyjny i wyłącza zasilanie komputera, h) informuje Dyrektora lub Administratora o zauważonych problemach, które mogą stwarzać zagrożenie dla ochrony danych osobowych, zwłaszcza o podejrzeniu włamania lub wglądu do Systemu Informatycznego przez osoby nieuprawnione. 7. W celu właściwej ochrony danych osobowych szkolny System Informatyczny powinien, odpowiadać następującym wymogom: 1) wewnętrzna sieć komputerowa (LAN) służąca szkolnej administracji i kadrze pedagogicznej powinna być odseparowana od edukacyjnej sieci komputerowej, z której korzystają uczniowie,

7 2) serwery baz danych powinny znajdować się w pomieszczeniu (serwerowni) dostępnym wyłącznie dla osób upoważnionych przez Dyrektora, 3) komputery nauczycielskie i administracyjne powinny być uwierzytelnianie przez centralny serwer, a z komputerów nieuwierzytelnionych nie może być dostępu do zasobów serwera, 4) komputery (także np. smartfony) nieuwierzytelnione mogą, za zgodą Dyrektora, mieć możliwość łączenia się z Internetem przez specjalnie skonfigurowane i zabezpieczone bezprzewodowe punkty dostępowe (Access Point), 5) szkolne komputery przenośne (laptopy, tablety itd.), zawierające dane osobowe lub umożliwiające zdalny dostęp do nich, mogą być wynoszone poza teren Szkoły tylko za zgodą Dyrektora i wówczas wymagają szczególnej ochrony przez Uprawnionego, który nie ma prawa udostępniać osobom postronnym takiego sprzętu Oprogramowanie komputerów Systemu Informatycznego: a) musi pochodzić wyłącznie z legalnych źródeł, b) musi być użytkowane zgodnie z warunkami licencji - dotyczy to także pobranego (np. z Internetu) oprogramowania udostępnionego do nieodpłatnego użytkowania, c) instalowane wyłącznie przez osoby upoważnione przez Dyrektora Administratora lub np. zewnętrznych dostawców oprogramowania, d) wyjątkowo może być instalowane przez użytkowników samodzielnie tylko za zgodą Dyrektora, w ramach ograniczeń systemu operacyjnego i wyłącznie takie, które jest niezbędne lub bardzo pomocne w związku z wykonywanymi obowiązkami. 2. Administrator, za zgodą Dyrektora, może w każdej chwili, nawet bez konieczności uzyskiwania zgody użytkownika, odinstalować zainstalowane przez użytkownika oprogramowanie, jeśli: a) stwierdzi nielegalność jego pochodzenia lub użytkowanie niezgodne z warunkami licencji, b) stwierdzi, że zainstalowany program zakłóca pracę systemu operacyjnego lub nadmiernie przeciąża komputer w stopniu dokuczliwie spowalniającym jego pracę,

8 c) stwierdzi, że program może zawierać szkodliwe kody (wirusy, itp.) mogące stanowić zagrożenie dla szkolnego Systemu Informatycznego, d) uzna, że zainstalowany program zupełnie nie ma związku z obowiązkami użytkownika, a może być przyczyną problemów technicznych lub przestał być potrzebny i nie jest już wykorzystywany. 3. Administrator sukcesywnie monitoruje stan oprogramowania komputerów, aktualizuje system i programy zabezpieczające (antywirusowe) oraz usuwa napotkane problemy. 4. Użytkownicy sygnalizują administratorowi potrzebę zainstalowania potrzebnych programów lub konieczność aktualizacji systemu na użytkowanych przez nich komputerach. 9. Procedura nadawania uprawnień użytkownikom systemu: 1) Dyrektor uprawnia przyjętego do pracy pracownika wręczając mu pisemne upoważnienie, określone w 5., p.2., precyzujące zakres uprawnień w Systemie Informatycznym i dostęp do określonych zbiorów danych osobowych, 2) Administrator tworzy dla Uprawnionego: a) osobiste, służbowe konto poczty elektronicznej z adresem elektronicznym i tymczasowym hasłem, b) konto użytkownika do systemu operacyjnego komputera pracującego pod kontrolą szkolnego serwera z jednorazowym hasłem, wymagającym zmiany w trakcie pierwszego logowania do Systemu, skonfigurowane odpowiednio, 3) Administrator Dziennika Elektronicznego i modułu Diagnoza Ucznia tworzy dla przyjętego nauczyciela / pracownika pedagogicznego konta użytkownika i konfiguruje uprawnienia odpowiednio, 4) Administrator Dziennika Elektronicznego dla rodzica lub opiekuna prawnego przyjętego do szkoły ucznia tworzy konto użytkownika z uprawnieniami do korzystania z Elektronicznego Dzienniczka Ucznia, 5) Uprawniony logując się po raz pierwszy do udostępnionych mu systemów i serwisów zmienia od razu tymczasowe lub jednorazowe hasła na znane tylko jemu.

9 Zmiana zakresu uprawnień dostępu do Systemu Informatycznego możliwa jest tylko decyzją Dyrektora. 2. W wyjątkowych, uzasadnionych zagrożeniem dla danych osobowych, przypadkach Administrator może natychmiast uniemożliwić (zablokować konto) dostęp Uprawnionemu informując jednocześnie Dyrektora. Konto takie może zostać ponownie odblokowane po ustaniu przyczyny powodu jego zablokowania lub bezzwłocznie na polecenie Dyrektora. 3. Konta odchodzącego z pracy pracownika wyłączane są w dniu ustania stosunku pracy, chyba że Dyrektor zadecyduje inaczej. 11. Dane dostępowe (adresy IP i http, ścieżki dostępu, loginy i hasła) do kont z uprawnieniami administracyjnymi do: a) serwerów szkolnych, b) szkolnych serwisów internetowych (poczta, www, ftp, platformy edukacyjne i portale społecznościowe itd.) na serwerach zewnętrznych, c) programów umożliwiających dostęp do danych osobowych w szkolnym Systemie Informatycznym (na serwerach własnych i zewnętrznych), d) zarządzalnych urządzeń sieciowych (routery, modemy, drukarki itd.) gromadzi i zabezpiecza Administrator, przekazując aktualny ich wykaz Dyrektorowi do zdeponowania w zapieczętowanej kopercie w szkolnym sejfie. Tak zabezpieczony wykaz umożliwi Dyrektorowi działanie pod nieobecność Administratora lub natychmiastową zmianę haseł w przypadku zmiany osoby Administratora.

10 Załącznik Nr A do Polityki Bezpieczeństwa W Y K A Z pomieszczeń Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach tworzących obszar, w którym są przetwarzane dane osobowe. L.p. Zbiór danych osobowych Adres Pomieszczenie

11 Załącznik B do Polityki Bezpieczeństwa W Y K A Z ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Rodzaj systemu/programu Uwagi

12 Załącznik C do Polityki Bezpieczeństwa STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Zawartość poszczególnych pól informacyjnych i powiązania między nimi

13 Załącznik Nr D do Polityki Bezpieczeństwa SPOSÓB WSPÓŁPRACY POMIĘDZY RÓŻNYMI SYSTEMAMI INFORMATYCZNYMI, STOSOWANYMI W Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach L.p. Zbiór danych osobowych Rodzaj systemu/programu Sposób współpracy

14 Załącznik Nr E do Polityki Bezpieczeństwa Ewidencja osób upoważnionych do przetwarzania danych osobowych w Publicznym Gimnazjum nr 1 im Jana Pawła Ii w Ząbkach L.p. Imię i nazwisko Zbiór danych osobowych Rodzaj systemu Data upoważnienia Uwagi

15 Załącznik Nr F do Polityki Bezpieczeństwa Ząbki, dnia Pan/Pani zatrudniony/a w Publicznym Gimnazjum nr 1 w Ząbkach UPOWAŻNIENIE na stanowisku. Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) u p o w a ż n i a m Pana/Panią do obsługi systemu informatycznego funkcjonującego w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach oraz urządzeń wchodzących w jego skład, służących przetwarzaniu danych osobowych, w zakresie niezbędnym do wykonywania obowiązków służbowych, określonych w zakresie obowiązków z dnia Zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ma Pan/Pani obowiązek zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Niniejsze upoważnienie: 1) zostało wydane na czas 2) może być w każdym czasie cofnięte, 3) wygasa z dniem rozwiązania stosunku pracy z upoważnionym pracownikiem. Otrzymuje:.

16 Załącznik Nr G do Polityki Bezpieczeństwa w z ó r OŚWIADCZENIE Ja, niżej podpisany/a.. oświadczam, iż zostałe/am zaznajomiony/a z przepisami dotyczącymi ochrony danych osobowych oraz pouczony/a o obowiązku zachowania w tajemnicy informacji uzyskanych w trakcie dokonywania operacji związanych z przetwarzaniem danych osobowych, również po ustaniu zatrudnienia. (data i podpis pracownika)

17 Załącznik Nr H do Polityki Bezpieczeństwa Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w systemie informatycznym w Publicznym Gimnazjum nr 1 im Jana Pawła II I. Opis zdarzeń naruszających ochronę danych osobowych 1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., b) niewłaściwe parametry środowiska, np. niewłaściwa wilgotność, temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje, c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub sabotaż, d) niewłaściwe działanie serwisu, w tym także pozostawienie serwisantów bez nadzoru, e) pojawienie się komunikatu alarmowego pochodzącego od części systemu zapewniającej ochronę zasobów lub innego komunikatu o podobnym znaczeniu, f) zła jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego, wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, g) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, h) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych bez upoważnienia, i) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie informatycznym, j) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania lub innych chronionych elementów systemu zabezpieczeń, k) funkcjonowanie systemu lub jego sieci komputerowej wykazujące odstępstwa od założonego rytmu pracy, uprawdopodobniające przełamanie lub zaniechanie ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., l) obecność w obszarze bezpieczeństwa osób postronnych bez dozoru pracowników zatrudnionych przy przetwarzaniu danych osobowych, m) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki", itp., n) podmiana lub zniszczenie nośników z danymi osobowymi bez zachowania procedury; skasowanie lub skopiowanie danych osobowych w sposób niedozwolony, o) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie wydrukowanych danych osobowych w drukarce czy w kserografie, niewykonanie w określonym terminie kopii bezpieczeństwa, itp.).

18 2. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przetwarzania danych osobowych, np. pozostawienie otwartego pomieszczenia w obszarze bezpieczeństwa; umożliwienie nieautoryzowanego dostępu do urządzeń archiwizujących itp. II. Postępowanie w przypadku naruszenia ochrony danych osobowych 3. W przypadku stwierdzenia naruszenia: a) zabezpieczenia systemu informatycznego, b) stanu urządzeń, c) zawartości zbioru danych osobowych, d) wynikającego z ujawnienia metody pracy lub sposobu działania programu, e) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych, f) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. pożar itp.) g) każdy pracownik Publicznego Gimnazjum nr 1 im. Jana Pawła II w Ząbkach zatrudniony przy przetwarzaniu danych osobowych jest obowiązany niezwłocznie powiadomić o tym fakcie administratora systemu i administratora bezpieczeństwa informacji. 4. Pracownicy, którzy stwierdzili naruszenie ochrony danych osobowych, o których mowa w pkt. 4 i 5 w oczekiwaniu na przebycie administratora bezpieczeństwa informacji muszą: a) zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku, b) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców, c) wstrzymać bieżącą pracę w celu zabezpieczenia miejsca zdarzenia, d) zaniechać, dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, e) podjąć inne działania przewidziane i określone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzyszących naruszeniu, f) udokumentować wstępnie zaistniałe naruszenie, g) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpieczeństwa informacji lub osoby upoważnionej. 5. Administrator bezpieczeństwa informacji po przybyciu na miejsce naruszenia ochrony danych osobowych: a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze wnioski z przeprowadzonych wcześniej symulacji zagrożeń oraz politykę bezpieczeństwa w tym zakresie, b) żąda dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem. 6. Administrator bezpieczeństwa informacji dokumentuje zaistniały przypadek naruszenia oraz sporządza raport, który powinien w szczególności zawierać: a) wskazanie osoby powiadamiającej o naruszeniu oraz innych osób zaangażowanych lub odpytanych w związku z naruszeniem, b) określenie czasu i miejsca naruszenia i powiadomienia, c) określenie rodzaju naruszenia i okoliczności towarzyszących,

19 d) opis podjętego działania i metody postępowania, e) wstępną ocenę przyczyn wystąpienia naruszenia, f) ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego. 7. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu administrator bezpieczeństwa informacji zasięga niezbędnych opinii i proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych. 8. Zaistniałe naruszenie powinno stać się przedmiotem szczegółowej, zespołowej analizy z udziałem dyrektora szkoły, administratora bezpieczeństwa informacji i administratora systemu. 9. Analiza, o której mowa w pkt. 7, powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości. III. Postanowienia końcowe 10. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszej Instrukcji, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne. 11. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej procedury mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez pracownika, który wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomił o tym administratora bezpieczeństwa informacji.