INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI. służącymi do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin

Transkrypt

1 służącymi do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin

2 Podstawa prawna: ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Dokumenty powiązane: Polityka bezpieczeństwa danych osobowych Urzędu Gminy Krzęcin Zwartość I. Definicje II. Procedury nadawania, modyfikacji oraz anulowania uprawnień do przetwarzania danych w zbiorach materialnych i informatycznych III. Zasady posługiwania się hasłami.6 IV. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie. 7 V. Procedury tworzenia kopii zapasowych zbiorów danych i aplikacji służących przetwarzaniu danych osobowych..8 VI. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz wydruków...9 VII. Procedury przeglądu sprzętu i konserwacji systemów VIII. Środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi...11 IX. Postępowanie w przypadku incydentu związanego z naruszeniem zasad bezpieczeństwa przetwarzania danych osobowych Strona 2 z 14

3 I. Definicje Ilekroć w Instrukcji używane są sformułowania: 1) Administrator Bezpieczeństwa Informacji (ABI) - należy przez to rozumieć osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie powszechnie obowiązujących przepisów o ochronie danych osobowych danych, których szczególną ochronę określono w Polityce bezpieczeństwa; 2) Administrator Danych, Administrator Danych Osobowych - należy przez to rozumieć podmiot decydujący o celach i środkach przetwarzania danych osobowych, którym jest - Urząd Gminy Krzęcin reprezentowany przez Wójta; 3) Administrator Systemu (AS) - należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony przewidzianych przez ten dokument oraz inne obowiązujące w Urzędzie dokumenty z zakresu bezpieczeństwa IT; 4) dane osobowe, zbiór danych, przetwarzanie danych, system informatyczny - stosuje się odpowiednio definicje wynikające z treści ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 5) instrukcja - należy przez to rozumieć dokument - Instrukcja Zarządzania Systemami Informatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin; 6) Polityka bezpieczeństwa - należy przez to rozumieć dokument Polityka Bezpieczeństwa danych osobowych Urzędu Gminy Krzęcin; 7) rozporządzenie - należy przez to rozumieć rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie warunków technicznych i organizacyjnych jakie powinny spełniać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100., poz. 1024); 8) sieć lokalna - należy przez to rozumieć połączenie systemów informatycznych Urzędu wyłącznie dla własnych jej potrzeb przy wykorzystaniu istniejącej w Urzędzie infrastrukturze technicznej, z wyłączeniem nieautoryzowanego dostępu osób trzecich; 9) Urząd - należy przez to rozumieć Urząd Gminy Krzęcin; 10) ustawa - należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn zm.); 11) użytkownik systemu - należy przez to rozumieć osobę upoważnioną do przetwarzania chronionych danych, w tym danych osobowych w systemie informatycznym Urzędu. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej albo osoba odbywająca staż w Urzędzie, lub też osoba trzecia mająca dostęp do systemu informatycznego Urzędu; 12) Wójt - należy przez to rozumieć Wójta Gminy Krzęcin występującego w imieniu i pełniącego obowiązki Administratora Danych Osobowych. Strona 3 z 14

4 II. Procedury nadawania, modyfikacji oraz anulowania uprawnień do przetwarzania danych w zbiorach materialnych i informatycznych 1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z: 1) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926, z późn. zm.); 2) Polityką bezpieczeństwa wraz z dokumentami z nią związanymi; 3) obowiązującymi w Urzędzie procedurami przetwarzania i środkami, mającymi na celu zabezpieczenie danych osobowych, przed ich udostępnieniem, usunięciem, modyfikacją lub zniszczeniem przez osoby nieupoważnione; 4) zachowania szczególnej staranności w trakcie wykonania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których dane dotyczą. 2. Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi Załącznik nr 3 do Polityki bezpieczeństwa. 3. Przetwarzanie danych osobowych może dokonywać jedynie pracownik upoważniony do przetwarzania danych osobowych, wzór upoważnienia stanowi Załącznik nr 3 do Polityki bezpieczeństwa, 4. Administrator Systemu informatycznego Urzędu nadaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego wniosku o nadanie uprawnień dostępu do systemu informatycznego Urzędu Gminy Bierzwnik złożonego przez, przełożonego służbowego pracownika (KKO), określającego zakres uprawnień pracownika, którego wzór stanowi Załącznik nr 2 do Polityki bezpieczeństwa. 5. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika unikalnego identyfikatora i nadanie mu hasła oraz zakresu dostępnych dla niego danych i operacji. 6. Hasło ustanowione podczas przyznawania uprawnień przez Administratora Systemu należy zmienić na indywidualne podczas pierwszego logowania się w systemie informatycznym/aplikacji. Ustanowione hasło, administrator systemu przekazuje użytkownikowi ustnie lub mailowo na jego indywidualne konto (zabezpieczone hasłem dostępu). Poprzez logowanie do systemu rozumie się uwierzytelnianie w grupie roboczej, do której przypisany jest użytkownik systemu informatycznego. 7. Obowiązek przestrzegania zasad eksploatacji systemów informatycznych wykorzystywanych do przetwarzania danych osobowych i realizacji związanych z tym procedur dotyczy wszystkich pracowników Urzędu, którzy uzyskali uprawnienia dostępu do tych systemów informatycznych Urzędu. Pracownik ma prawo do wykonywania w systemie informatycznym Urzędu jedynie tych czynności, które wynikają z powierzonych mu zadań i nadanych uprawnień. 8. Pracownik jest odpowiedzialny za wszystkie wykonywane operacje w systemie informatycznym Urzędu wykonane przy użyciu jego identyfikatora i hasła dostępu. 9. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień, jak również próba złamania funkcjonujących w systemie informatycznym mechanizmów ochronnych są niedozwolone i podlegają sankcjom dyscyplinarnym. 10. Za bezpieczeństwo danych osobowych w użytkowanych systemach informatycznych w trybie bezpośredniej realizacji (wykonawstwo) odpowiedzialni są wszyscy pracownicy Urzędu w zakresie realizowanych przez siebie zadań i czynności, wynikających z zakresów obowiązków związanych z przetwarzaniem danych osobowych. 11. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich poufności. Zobowiązanie to obowiązuje go również po ustaniu zatrudnienia. 12. W systemie informatycznym stosuje się dwuetapowe uwierzytelnianie: 1) na poziomie dostępu do sieci lokalnej Urzędu; Strona 4 z 14

5 2) oraz dostępu do poszczególnych aplikacji dedykowanych dla obsługi poszczególnych zbiorów danych osobowych przetwarzanych w systemie informatycznym Urzędu. 13. Identyfikator użytkownika w aplikacji (o ile działanie aplikacji na to pozwala), jest tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej. 14. Odebranie lub modyfikacja uprawnień pracownikowi wykonywane jest przez Administratora Systemu na ustny lub mailowy wniosek ABl lub bezpośredniego przełożonego danego pracownika z podaniem tego faktu ABl w celu odnotowania tego faktu w Rejestrze Osób Upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Bierzwnik będącego załącznikiem Nr 4 do Polityki bezpieczeństwa. 15. Kierownicy komórek organizacyjnych zobowiązani są pisemnie lub mailowo informować Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych pracowników mającej wpływ na zakres posiadanych uprawnień w systemie informatycznym. 16. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło. 17. Identyfikator usunięty z systemu informatycznego nie może być nadany innej osobie. 18. Administrator Bezpieczeństwa Informacji prowadzi Rejestr Osób Upoważnionych do przetwarzania danych osobowych, o którym mowa w ust. 14, zwany dalej Rejestrem". 19. Rejestr, którego wzór stanowi Załącznik nr 4 do Polityki bezpieczeństwa zawiera: 1) imię i nazwisko użytkownika; 2) identyfikator użytkownika; 3) datę nadania, wygaśnięcia/odebrania upoważnienia do przetwarzania danych osobowych; 4) zakres przyznanych uprawnień; 5) nazwę zbioru/ aplikacji, do której przetwarzania pracownik jest upoważniony. Strona 5 z 14

6 III. Zasady posługiwania się hasłami. 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym Urzędu może mieć miejsce wyłącznie po uwierzytelnieniu pracownika poprzez podanie przez niego prawidłowego identyfikatora oraz właściwego hasła. 2. Hasło użytkownika musi być zmieniane, przez użytkownika co najmniej raz na 30 dni. 3. Identyfikator użytkownika nie powinien być zmieniany bez uzasadnionej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie może być przydzielany innej osobie. 4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł. 5. Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności. 6. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. 7. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej jego zmiany. 8. Przy wyborze hasła obowiązują następujące zasady: 1) minimalna długość hasła - 6 znaków, a przy przetwarzaniu danych osobowych na stanowisku komputerowym posiadającym dostęp do sieci publicznej - 8 znaków w tym wielkie litery, cyfry lub znaki specjalne; 2) zakazuje się stosować. a) haseł, które użytkownik stosował uprzednio przez okres 3 miesięcy, b) swojej nazwy użytkownika, imion, nazwisk, funkcji, komórki organizacyjnej, itd., c) ogólnie dostępnych informacji o użytkowniku takich jak: numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy, przy której mieszka lub pracuje, itp., d) nazw własnych, e) sekwencji znaków z klawiatury np.: QWERTY", " ", itp.;. 3) należy stosować: a) hasła zawierające kombinacje liter i cyfr, b) hasła, które można zapamiętać bez zapisywania, c) hasła zawierające znaki specjalne: znaki interpunkcyjne, nawiasy, #, &, itp. o ile system informatyczny na to pozwala, d) hasła łatwe i szybkie do wprowadzenia, po to by trudniej było podejrzeć je osobom trzecim. 9. Zmienionego hasła nie wolno powierzać innym osobom. 10. W systemach, które umożliwiają opcję zapamiętania nazw użytkownika lub jego hasła nie należy korzystać z takiej możliwości. 11. Hasło użytkownika o prawach administratora znajduje się w zamkniętej kopercie (odrębnej dla każdego systemu) w zamykanej na klucz szafie metalowej, do której dostęp mają: 1) Wójt lub jego zastępca, jeżeli istnieje taka potrzeba; 2) Administrator Systemu; 3) Administrator Bezpieczeństwa Informacji. Strona 6 z 14

7 IV. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie 1. Przed rozpoczęciem pracy w systemie informatycznym Urzędu, użytkownik zobowiązany jest uwierzytelnić się w systemie przy użyciu własnego, indywidualnego identyfikatora oraz aktualnie obowiązującego hasła. 2. Przy opuszczeniu stanowiska pracy na odległość uniemożliwiającą jego obserwację należy wykonać procedurę wylogowania się z systemu (zablokowania dostępu) lub jeżeli taka możliwość nie istnieje wyjść z aplikacji, w której przetwarzane są dane osobowe. 3. Osoba udostępniająca stanowisko komputerowe innemu (upoważnionemu) pracownikowi zobowiązana jest wykonać procedurę wylogowania się z systemu. 4. Przed wyłączeniem komputera należy bezwzględnie zakończyć pracę uruchomionych programów, wyłączyć się z użytkowanych zasobów sieci komputerowej i jeżeli jest to konieczne wykonać procedurę zamknięcia systemu. 5. Niedopuszczalne jest wyłączanie komputera z pominięciem procedur zamknięciem oprogramowania oraz zakończeniem pracy w sieci. 6. Ujawniane przypadki stwierdzenia nieprawidłowości systemu należy zgłaszać do Administratora Systemu lub Administratora Bezpieczeństwa Informacji. 7. W przypadku przerwy w dostawie energii elektrycznej należy tam gdzie jednostki komputerowe podpięte są do zasilaczy awaryjnych UPS - jak najszybciej zakończyć pracę w systemie informatycznym tak aby możliwe było bezpieczne zamknięcie aplikacji i zapisanie efektów pracy użytkowników. 8. Gdy zasilanie elektryczne zostanie przywrócone w budynku, należy poczekać 10 minut, przed ponownym uruchomieniem urządzeń tak aby zmniejszyć ryzyko uruchomienia systemu w okresie niestabilnego zasilania. Strona 7 z 14

8 V. Procedury tworzenia kopii zapasowych zbiorów danych i aplikacji służących przetwarzaniu danych osobowych 1. Za systematyczne przygotowanie kopii zapasowych odpowiada Administrator Systemów. 2. Procesy związane z tworzeniem kopii zapasowych podlegają kontroli ze strony Administratora Bezpieczeństwa Informacji. 3. Kopie zapasowe zasobów Urzędu, wykonywane są na dyskach wymiennych. 4. Kopie zapasowe zasobów Urzędu wykonywane są osobno dla systemów i aplikacji instalowanych na osobno dla danych gromadzonych przez użytkowników na wyznaczonym dysku lokalnym, dostępnym dla każdego upoważnionego użytkownika w celu gromadzenia tam zgodnie z określoną strukturą danych osobowych oraz danych mających istotny wpływ dla ciągłości działania Urzędu, 5. Nośniki kopii zapasowych danych są wyraźnie oznaczone z podaniem zakresu zasobu dla którego wykonana jest kopia, daty i godziny jej utworzenia (dla kopii wykonywanych kilka razy dziennie). 6. Kopie zapasowe wykonywane w Urzędzie tworzone są z użyciem metody polegającej na wykonywaniu kopii całościowych z nadpisywaniem danych z wykonywania poprzedniej kopii zapasowej. 7. Administrator Systemu wykonujący kopię zapasową zobowiązany jest do przetestowania nośnika, na którym wykonano kopię w zakresie integralności i możliwości odtworzenia zapisanych tam danych. 8. Kopie zapasowe przechowywane są w pomieszczeniach odrębnych od miejsca przetwarzania tych danych. 9. Każdy użytkownik, który nie korzysta z udostępnionego dysku sieciowego znajdującego się na serwerze zobowiązany jest do utworzenia kopii zapasowych dla zbiorów danych osobowych, za przetwarzanie których jest odpowiedzialny z użyciem nośnika, w oparciu o zasady opisane w niniejszym rozdziale (przechowywania, oznaczanie). Strona 8 z 14

9 VI. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz wydruków A. Elektroniczne nośniki informacji 1. Dane osobowe w postaci elektronicznej - za wyjątkiem kopii bezpieczeństwa - zapisane na: dyskietkach, pamięciach typu flash, dyskach optycznych czy dyskach twardych nie mogą być bez uzasadnienia oraz zgody Administratora Bezpieczeństwa Informacji wynoszone poza siedzibę Urzędu. 2. Wymienne elektroniczne nośniki informacji są przechowywane w zamykanych na klucz pokojach stanowiących obszar przetwarzania danych osobowych. 3. Po zakończeniu pracy przez użytkowników systemu, wymienne elektroniczne nośniki informacji są przechowywane w zamykanych szafach biurowych, biurkach lub kasetkach. 4. Urządzenia, dyski lub inne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie lub przekazuje wyspecjalizowanej firmie na podstawie umowy w celu zniszczenia. 5. Urządzenia, dyski lub inne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich ponowne odtworzenie. 6. Urządzenia, dyski lub inne nośniki, zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej. B. Wydruki 1. Niedopuszczalne jest pozostawianie bez nadzoru i/lub zlecanie wydruków i/lub wykonywania kopii zawierających dane osobowe umożliwiając dostęp do dokumentów osobom nieupoważnionym. 2. W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu umożliwiających ich należytą ochronę, w szczególności uniemożliwiającym bezpośredni dostęp osobom nieuprawnionym poprzez zastosowanie zamykanych na klucz szaf na dokumenty a w przypadku akt osobowych pracowników szaf spełniających standardy przechowywania takich dokumentów określonych w przepisach prawa. 3. Pomieszczenie, w którym przechowywane są wydruki robocze musi być należycie zabezpieczone po godzinach pracy, a pracownicy winni stosować zasadę czystego biurka" polegającą na nie pozostawianiu zbędnych nośników i dokumentów bez nadzoru. 4. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie poprzez niszczarkę do dokumentów. Strona 9 z 14

10 VII. Procedury przeglądu sprzętu i konserwacji systemów 1. Osobą odpowiedzialną za wykonywanie przeglądów sprzętu i konserwację systemów w Urzędzie gminy Bierzwnik jest Administrator Systemu. 2. Przyjęto zasadę, iż przegląd sprzętu i konserwacja systemów przeprowadzane są na bieżąco według potrzeb określonych przez użytkowników systemu i zgłaszanych przez nich wniosków, kierowanych do Administratora Systemu. 3. Użytkownicy podejmują czynności konserwacji urządzeń takich jak nośniki danych czy wykonują proste czynności konserwacyjne wyznaczone przez Administratora Systemu po uprzednim ich przeszkoleniu przez AS oraz za aprobatą Administratora Bezpieczeństwa Informacji. 4. Administrator Systemu każdorazowo rozpatruje wniosek, badając czy jest on zasadny i w przypadku pozytywnej oceny przystępuje do prac konserwacyjnych lub związanych z przeglądem sprzętu. 5. Przeglądy i konserwacje wymagające zaangażowania firm zewnętrznych, wykonywane w siedzibie Urzędu (np. naprawy/konserwacje gwarancyjne) przeprowadzane są za wiedzą Administratora Bezpieczeństwa Informacji i pod nadzorem osoby upoważnionej - pracownika Urzędu Gminy. 6. Przeglądy i konserwacje wymagające zaangażowania firm zewnętrznych, wykonywane poza siedzibą Urzędu (np. naprawy gwarancyjne)' przeprowadzane są za wiedzą Administratora Bezpieczeństwa Informacji po sporządzeniu odpowiedniego protokółu. 7. Urządzenia zawierające dane osobowe poddawane procesowi konserwacji lub przeglądu przez firmę zewnętrzną - możliwe jest wyłącznie w siedzibie Urzędu, chyba że firma zewnętrzna posiada podpisaną z Urzędem umowę powierzenia danych osobowych i spełnia warunki określone w ustawie i rozporządzeniu pozwalające na odpowiednie zabezpieczenie danych osobowych. Strona 10 z 14

11 VIII. Środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi 1. Na każdym stanowisku komputerowym oraz serwerze jest zainstalowane i aktywne oprogramowanie ochronne/antywirusowe pracujące w trybie aktywnym. 2. Każdy musi być sprawdzony pod kątem występowania wirusów przez oprogramowanie antywirusowe (skanowanie poczty), zgodnie z procedurą określoną przez Administratora Systemu. 3. Bazy wirusów aktualizowane są na bieżąco w sposób zautomatyzowany (automatyczne aktualizacje baz wirusów). 4. Zabrania się: 1) nieuzgodnionego z AS lub ABI wyłączania mechanizmów ochronnych oraz oprogramowania antywirusowego; 2) pobierania z Internetu plików niewiadomego pochodzenia; 3) odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. (Sprawdzenia dokonuje pracownik, który pocztę otrzymał lub jeżeli jest taka możliwość - dokonywane jest ono automatycznie); 4) nieuzgodnionej instalacji lub deinstalacji oprogramowania na stacjach roboczych; 5) w przypadku posiadania możliwości instalacji lub deinstalacji oprogramowania na stacjach roboczych - używania nośników niewiadomego pochodzenia; 6) uruchamiania aplikacji i/lub wczytywania plików bez ich wcześniejszego sprawdzenia programem antywirusowym gdy skanowanie nie jest wykonywane automatycznie. 5. Administrator Systemu przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach. 6. Pracownik użytkujący komputer podłączony do sieci lokalnej zobowiązany jest udostępnić go w celu przeprowadzenia przez Administratora Systemu (lub osobę przez niego wskazaną) weryfikacji prawidłowości realizowanych na nim funkcji ochronnych. 7. Kontrola antywirusowa przeprowadzana jest również na wskazanym komputerze w przypadku zgłoszenia przez użytkownika nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. 8. W przypadku wykrycia wirusów komputerowych i/lub złośliwego" oprogramowania sprawdzane jest stanowisko komputerowe, na którym wirusa wykryto oraz wszystkie wytworzone na tym stanowisku nośniki danych. Strona 11 z 14

12 IX. Postępowanie w przypadku incydentu związanego z naruszeniem zasad bezpieczeństwa przetwarzania danych osobowych 1. W przypadku gdy stwierdzono naruszenie lub próbę naruszenia zabezpieczeń systemu informatycznego skutkujące zagrożeniem poufności, integralności lub dostępności danych osobowych, należy ten fakt niezwłocznie zgłosić do: 1) Administratora Systemu lub 2) Administratora Bezpieczeństwa Informacji w przypadku gdy zagrożenie w ocenie zgłaszającego jest poważne. 2. Administrator Systemu podejmuje niezbędne czynności mające na celu wyeliminowanie zagrożenia. 3. Wszelkie poważniejsze incydenty zagrażające bezpieczeństwu przetwarzania danych osobowych są odnotowywane w dziennikach systemowych odpowiednich dla poszczególnych urządzeń/aplikacji lub prowadzonym przez Administratora Systemu rejestrze zdarzeń. Strona 12 z 14

13 Załącznik Nr 3 Zakres odpowiedzialności Administratora Bezpieczeństwa Informacji w Urzędzie Gminy Krzęcin Administrator Bezpieczeństwa Informacji (ABl) realizuje zadania w zakresie ochrony danych, a w szczególności jest zobowiązany do: 1) ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów informatycznych Urzędu, 2) podejmowania stosownych działań zgodnie z Polityką bezpieczeństwa w przypadku wykrycia nieuprawnionego dostępu, modyfikacji, usunięcia lub zabrania danych osobowych przetwarzanych w Urzędzie, 3) niezwłocznego informowania Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych, 4) nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych, 5) weryfikacji wniosku o nadanie uprawnień do systemu informatycznego Urzędu oraz podejmowania decyzji w tym zakresie, 6) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych - Rejestr Osób Upoważnionych do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin, 7) wprowadzania w życie i nadzoru nad przestrzeganiem Polityki bezpieczeństwa danych osobowych Urzędu Gminy Krzęcin, 8) reagowania na wszelkie przesłanki wskazujące na możliwość naruszenia tajemnicy danych osobowych, 9) podjęcia natychmiastowych działań na rzecz ochrony danych w przypadku naruszenia ustawy, 10) opracowania i wdrożenia programu szkoleń w zakresie zabezpieczenia systemu informatycznego. Administrator Bezpieczeństwa Informacji ponadto zobowiązany jest do: 1) współdziałania z Kierownikami komórek organizacyjnych Urzędu w zakresie przestrzegania Polityki bezpieczeństwa, 2) prowadzenie szczegółowego wykazu zbiorów, pomieszczeń i aplikacji, za pomocą których przetwarzane są dane osobowe Urzędu, 3) sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w Polityce bezpieczeństwa, 4) przeprowadzania szkoleń, kontroli oraz dokonywania bieżących ocen stanu bezpieczeństwa danych osobowych we wszystkich komórkach organizacyjnych Urzędu, 5) sporządzania sprawozdań Administratorowi Danych Osobowych z poziomu bezpieczeństwa i ochrony danych, 6) stosowanie środków organizacyjnych i technicznych zapewniających ochronę danych osobowych, 7) nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe, 8) nadzór nad obiegiem dokumentów zawierających dane osobowe, 9) nadzór md prawidłowością archiwizacji oraz usuwania danych osobowych, 10) monitorowanie funkcjonowania zabezpieczeń wdrożonych celu ochrony danych osobowych, 11) nadzór nad prowadzeniem wymaganej dokumentacji. Strona 13 z 14

14 Załącznik Nr 4 Zakres odpowiedzialności Administratora Systemu w Urzędzie Gminy Krzęcin Administrator Systemu (AS) realizuje zadania w zakresie ochrony danych osobowych, a w szczególności jest zobowiązany do: 1) wykonywania czynności wynikających z Instrukcji Zarządzania Systemami Informatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Gminy Krzęcin 2) zapewnienia należytego stanu technicznego urządzeń służących przetwarzaniu danych osobowych w Urzędzie; 3) zapewnienia właściwego funkcjonowania Aplikacji służących do przetwarzania danych osobowych w Urzędzie; 4) zapewnienia właściwego poziomu zabezpieczeń danych osobowych przetwarzanych w Urzędzie; 5) współpracy z Administratorem Bezpieczeństwa Informacji przy zapewnieniu odpowiedniego poziomu świadomości pracowników Urzędu w zakresie bezpieczeństwa danych osobowych; 6) współpracy z Administratorem Danych Osobowych oraz Administratorem Bezpieczeństwa Informacji w przypadkach naruszenia bezpieczeństwa danych osobowych przetwarzanych w Urzędzie; 7) nadawaniu i cofaniu uprawnień w systemie informatycznym. Strona 14 z 14