ZARZĄDZENIE Nr 7/2010. Dyrektora Szkoły Podstawowej nr 10 im. Marii Skłodowskiej Curie w Zduńskiej Woli z dnia 20 grudnia 2010 r.

Transkrypt

1 ZARZĄDZENIE Nr 7/2010 Dyrektora Szkoły Podstawowej nr 10 im. Marii Skłodowskiej Curie w Zduńskiej Woli z dnia 20 grudnia 2010 r. w sprawie wprowadzenia polityki bezpieczeństwa w szkole Podstawowej nr 10 im Marii Skłodowskiej Curie w Zduńskiej Woli Zgodnie z Rozporządzeniem Ministra spraw Wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024) zgodnie z ustawą o ochronie danych osobowych wprowadzam jako obowiązującą w Szkole Podstawowej nr 10 im. Marii Skłodowskiej Curie w Zduńskiej Woli politykę bezpieczeństwa, której integralną częścią są: Zasady bezpieczeństwa ochrony danych osobowych (załącznik nr 1) Instrukcja ochrony danych osobowych obowiązująca w Szkole Podstawowej nr 10 w Zduńskiej Woli (załącznik nr 2) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (załącznik nr 3) Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych w Szkole Podstawowej nr 10 w Zduńskiej Woli (załącznik nr 3) Polityka bezpieczeństwa wchodzi w życie z dniem podjęcia.

2 Załącznik nr 1 Zasady bezpieczeństwa ochrony danych osobowych Polityka bezpieczeństwa jest to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji zasobów danych osobowych. Celem Polityki bezpieczeństwa jest przyjęcie, wdrożenie i realizacja takich działań przy wykorzystaniu środków technicznych i organizacyjnych, które zapewnią maksymalny poziom bezpieczeństwa procesu przetwarzania danych osobowych, chroniąc je przed nieautoryzowanym dostępem, utratą poufności, nieuprawnioną modyfikacją oraz służące zachowaniu ich integralności i rozliczalności. Polityka bezpieczeństwa opisuje działania, które w jak najbardziej efektywny sposób pozwolą osiągnąć postawiony cel. W celu zapewnienia bezpieczeństwa przetwarzanych danych wymaga się, aby wszyscy jego użytkownicy byli świadomi konieczności ochrony wykorzystywanych zasobów. Konsekwencją nie stosowania przez pracownika środków bezpieczeństwa określonych w instrukcjach wewnętrznych może być zniszczenie części lub całości systemów informatycznych, utrata poufności, autentyczności, straty finansowe, jak również utrata wizerunku. Pracownicy są odpowiedzialni za bezpieczeństwo danych, do których mają dostęp. W szczególności w systemach informatycznych odpowiadają oni za poprawne wprowadzanie informacji do tych systemów oraz za użycie, zniszczenie lub uszkodzenie sprzętu oraz znajdujących się na nim danych i oprogramowania. Zarządzanie bezpieczeństwem zasobów danych osobowych stanowi proces ciągły, na który składają się takie elementy, jak: identyfikacja oraz analiza zagrożeń i ryzyka, stosowanie odpowiednich zabezpieczeń, monitorowanie wdrażania i eksploatacji zabezpieczeń, wykrywanie i reagowanie na incydenty. 1. Podstawa prawna Ochronę danych osobowych regulują: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997, Nr. 133, poz. 883 tekst jednolity), 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do ich przetwarzania. 2.Wykaz pomieszczeń, w których przetwarzane są dane jednostki W budynku Szkoły Podstawowej nr 10 w Zduńskiej Woli znajdują się następujące pomieszczenia, w których przetwarzane są dane osobowe pracowników i uczniów: Sekretariat sekretarz, referent ds. kadr Pokój dyrektora i zastępcy dyrektora Pokój nauczycielski Biblioteka Gabinet pielęgniarki szkolnej Gabinet pedagoga szkolnego Biuro projektu koordynator projektu 3.Wykaz zbiorów danych podlegających gromadzeniu i przetwarzaniu

3 W Szkole Podstawowej nr 10 w Zduńskiej Woli znajdują się następujące zbiory danych przetwarzane przez pracowników administracji i nauczycieli: 1. Akta osobowe pracowników zatrudnionych oraz pracowników zwolnionych, 2. Dane osobowe uczniów szkoły gromadzone w: Dziennikach lekcyjnych i pozalekcyjnych, Arkuszach ocen, Teczkach osobowych uczniów, Kartach czytelnika, Dokumentacji pielęgniarki szkolnej, Dokumentacji pedagoga szkolnego Księga uczniów Księga ewidencji Protokoły Rady Pedagogicznej 3. Dokumentacja Zakładowego Funduszu Świadczeń socjalnych 4. Wnioski o nagrody i odznaczenia pracowników szkoły 5. Arkusze samooceny nauczycieli 6. Dokumentacja kadrowa 7. Baza danych osób starających się o pracę 4.Wykaz programów służących do gromadzenia i przetwarzania danych Poszczególne stanowiska pracowników szkoły są wyposażone w programy komputerowe służące do przetwarzania danych, w tym danych osobowych. Dyrektor program VULCAN Z-ca dyrektora program: SIO, HERMES Sekretarz szkoły programy: SIO, HERMES Intendent programy: SIO, 5. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności i bezpieczeństwa przetwarzanych danych Wszystkie komputery zawierające zbiory danych w szkole zaopatrzone są w programy antywirusowe oraz w login i hasło użytkownika, które gwarantują bezpieczeństwo danych znajdujących się na dyskach twardych komputerów przed dostępem do nich osób nieupoważnionych. Dane personalne znajdujące się w teczkach osobowych pracowników umieszczone są w specjalnej metalowej szafie zamykanej na klucz. Każdy kto posiada dostęp do danych osobowych, obowiązany jest do zachowania tajemnicy i ochrony danych osobowych na piśmie. Każdorazowe przekazywanie danych oraz ich przetwarzanie podlega kontroli przez dyrektora szkoły, w ten sposób dane zastrzeżone czy poufne nie mogą trafić do odbiorcy nieupoważnionego. Wszystkie przetwarzane dane zawarte w zbiorach danych oraz wcześniej wymienionych programach komputerowych są własnością Szkoły Podstawowej nr 10

4 w Zduńskiej Woli. Udostępnianie danych osobom nieupoważnionym oraz ich wykorzystywanie dla własnych celów jest niezgodne z prawem. Stosownie do treści art. 51 ust. 1 ustawy o ochronie danych osobowych, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jednocześnie, na podstawie art. 51 ust. 2 tej ustawy, jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Załącznik nr 3

5 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 1. Cel Celem instrukcji jest określenie sposobu zrządzania systemem informatycznym, służącym do przetwarzania danych osobowych. 2. Zasady ogólne Zawarte w instrukcji procedury i wytyczne są przekazywane osobom odpowiedzialnym za ich realizację stosownie do przyznanych uprawnień i zakresu obowiązków. 3. Przyznawanie użytkownikowi uprawnień do przetwarzania informacji Jeżeli stanowisko pracy pracownika wymaga czynności, które są związane z przetwarzaniem danych, to przydzielone zostają mu uprawnienia do przetwarzania danych. Otrzymuje on własny identyfikator i hasło. Uprawnienia do przetwarzania danych osobowych nadaje dyrektor szkoły. Pracownik, któremu przydzielono uprawnienia do przetwarzania danych osobowych, wcześniej zostaje zapoznany z zasadami ochrony danych osobowych i składa pisemne oświadczenie o ich przestrzeganiu. 4. Stosowane metody i środki zabezpieczenia do bazy danych Każdy pracownik systemu przetwarzania lub programu komputerowego posiada swój unikalny identyfikator. Pracownicy nie mogą używać tych samych identyfikatorów, ani wymieniać się identyfikatorami. Identyfikator pracownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Pracownik jest zobowiązany zmienić hasło, o ile system na to pozwala, co najmniej raz na 30 dni. Każdy pracownik zarządza swoimi hasłami. Pracownicy są zobowiązani do przestrzegania reguł odnośnie okresu jego zmiany. Hasło pracownika jest jego własnością i zna je dany pracownik i dyrektor szkoły. Niedopuszczalne jest podglądanie haseł wprowadzanych do systemu przez innych pracowników. Hasło pracownika nie jest pokazywane na ekranie lub wydrukach w postaci otwartego tekstu. Hasło pracownika nie może być przesyłane przez sieć otwartym tekstem. 5. Procedury tworzenia kopii zapasowych Pracownicy przetwarzający dane tworzą (archiwizują) co najmniej 1 raz w tygodniu kopie zapasowe wprowadzonych oraz przetwarzanych danych w programach komputerowych. Kopie wykonywane są przy pomocy wbudowanych w programy komputerowe funkcji. Kopie wykonywane są na dyskietce, płycie CD, służbowym pendrivie, innym komputerze bądź innym nośniku danych komputerowych. Dyskietki, płyty CD bądź inne nośniki komputerowe z kopiami zapasowymi przechowywane są w specjalnej szafie zamykanej na klucz. 6. Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania

6 Użytkownicy zostali przeszkoleni w zakresie zasad bezpieczeństwa danych, w ramach wewnętrznych szkoleń adaptacyjnych, w szczególności: Zasad bezpiecznej pracy pozwalających unikać szkodliwego oprogramowania, Zasad postępowania w przypadku wykrycia lub podejrzenia działania złośliwego oprogramowania 7. Sposób ewidencji wymogów odnośnie ewidencji wpisów i udostępniania danych Dostęp do danych jest chroniony hasłem, co uniemożliwia udostępnienie tych danych nieupoważnionym osobom. Udostępnianie danych następuje jedynie w sposób ustny bądź pisemny za zgodą dyrektora szkoły lub osoby, której dane bezpośrednio dotyczą. Bazy danych są na bieżąco aktualizowane przez osoby upoważnione do przetwarzania danych w poszczególnych programach. 8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych. Przeglądowi podlega sprzęt komputerowy, systemy operacyjne oraz aplikacje. Zakres przeglądu systemów informatycznych powinien obejmować co najmniej: Zgodność z wymaganiami prawnymi w zakresie przetwarzania danych osobowych, Sprawność sprzętu komputerowego do realizacji wszystkich funkcji niezbędnych z punktu widzenia wykonywanych działań. Poprawność funkcjonowania systemu operacyjnego oraz poprawność konfiguracji pod względem wydajnościowym jak i zapewnienia bezpieczeństwa Poprawność funkcjonowania programów przetwarzających dane osobowe Zgodność liczby użytkowników i ich uprawnień ze stanem oczekiwanym, Zabezpieczenia systemu informatycznego ze względu na mogące się pojawić zagrożenia (np. brak zasilania, atak wirusowy itp.) Poprawność funkcjonowania kopii zapasowych. Konserwacja oraz przegląd sprzętu służącego do przetwarzania danych osobowych jest wykonywana przez firmy trzecie, które również podpisują oświadczenie o przestrzeganiu zasad bezpieczeństwa i ochrony danych osobowych.

7 Załącznik nr 4 Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych w Szkole Podstawowej nr 10 w Zduńskiej Woli. 1. Za naruszenie ochrony danych osobowych uznaje się przypadki: Ujawniono dane osobowe dostępne w systemie informatycznym jednostki, objęte tajemnicą służbową na mocy ustawy o ochronie danych osobowych, osobie nieupoważnionej do ich przetwarzania, Stwierdzono naruszenie zabezpieczenia systemu informatycznego, Stan urządzeń, zawartość zbiorów danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci teleinformatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych, 2. Pracownik, który stwierdził lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym szkoły zobowiązany jest do niezwłocznego poinformowania o tym dyrektora. 3. W przypadku stwierdzenia naruszenia ochrony danych osobowych procedura postępowania polega na: Zapisaniu wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu zasad ochrony danych osobowych lub czasu samodzielnego wykrycia tego faktu. Jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania, Przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp. Podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym miedzy innymi: Fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej, Wylogowaniu użytkownika podejrzanego o naruszenie zasad ochrony danych, Zmianę hasła użytkownika (na konto administratora) poprzez którego uzyskano nielegalny dostęp, w celu uniknięcia ponownej próby uzyskania takiego dostępu, Szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia zasad ochrony danych osobowych, Przywrócenia normalnego działania systemu przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcia ponownego uzyskania dostępu przez osobę nieupoważnioną tą samą drogą, 4. Po przywróceniu normalnego stanu systemu informatycznego należy przeprowadzić szczegółową analizę, w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych.

8 Jeżeli przyczyną zdarzenia była infekcja wirusem, należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości. Jeżeli przyczyną zdarzenia okazało się zaniedbanie ze strony użytkownika systemu lub celowe działanie zmierzające do ujawnienia danych osobowych, należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawie o ochronie danych osobowych 5. W przypadku stwierdzenia naruszenia ochrony danych osobowych należy przygotować szczegółowy raport o okolicznościach, przyczynach, przebiegu i wnioskach ze zdarzenia.