ZARZĄDZENIE NR 3/09 Rektora-Komendanta Szkoły Głównej SłuŜby PoŜarniczej. z dnia 23 lutego 2009 r.

Transkrypt

1 ZARZĄDZENIE NR 3/09 Rektora-Komendanta Szkoły Głównej SłuŜby PoŜarniczej z dnia 23 lutego 2009 r. w sprawie ustalenia Polityki Bezpieczeństwa Danych Osobowych w SGSP Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), zarządza się co następuje: 1. Wprowadza się Politykę Bezpieczeństwa Danych Osobowych w SGSP, stanowiącą załącznik nr 1 do zarządzenia. 2. Wprowadza się Instrukcję Zarządzania Systemem Informatycznym słuŝącym do przetwarzania danych osobowych w SGSP, stanowiącą załącznik nr 2 do zarządzenia. 3. Zobowiązuje się kierowników komórek organizacyjnych SGSP do zapoznania straŝaków i pracowników z Polityką Bezpieczeństwa Danych Osobowych w SGSP. 4. Traci moc zarządzenie nr 34/08 Rektora-Komendanta SGSP z dnia 9 lipca 2008 r. 5. Zarządzenie wchodzi w Ŝycie z dniem podpisania. /---/ Rektor Komendant

2 Załącznik nr 1 do zarządzenia nr 3/09 Rektora-Komendanta SGSP z dnia 23 lutego 2009 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Podstawa prawna 1. Dane osobowe w Szkole Głównej SłuŜby PoŜarniczej przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: 1) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz przepisów wykonawczych wydanych z upowaŝnienia tej ustawy, a w szczególności rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024); 2) przepisów art ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (j.t. Dz.U. z 1998 r. Nr 21, poz. 94 z późn. zm.) i przepisów wykonawczych wydanych z upowaŝnienia tej ustawy; 3) innych przepisów ustaw i rozporządzeń normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe w SGSP przetwarzane są w celu realizacji statutowych celów szkoły wyŝszej. W szczególności dane osobowe przetwarza się: 1) dla zabezpieczania prawidłowego toku realizacji zadań dydaktycznych, naukowych i organizacyjnych Uczelni wynikających z przepisów ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyŝszym. (Dz. U. Nr 164, poz. 1365); 2) dla zapewnienia prawidłowej, zgodnej z prawem i celami Uczelni polityki personalnej oraz bieŝącej obsługi stosunków pracy i stosunków słuŝbowych, a takŝe innych stosunków zatrudnienia nawiązywanych przez Uczelnię; 3) dla realizacji innych usprawiedliwionych celów i zadań SGSP - z poszanowaniem praw i wolności osób powierzających SGSP swoje dane. Podstawowe definicje 3. Przez uŝyte w dokumencie określenia rozumie się:

3 1) Administrator Danych Osobowych (ADO) w rozumieniu ustawy o ochronie danych osobowych: organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych; 2) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub moŝliwej do zidentyfikowania osoby fizycznej. 3) Właściciel Zbioru Danych Osobowych (WZDO) - osoba, która ma zatwierdzoną kierowniczą odpowiedzialność za utrzymanie, korzystanie i bezpieczeństwo aktywów (bez prawa własności do tych aktywów); 4) zbiór danych kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezaleŝnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 5) przetwarzanie danych osobowych wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych, które wykonuje się w systemach informatycznych; 6) system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 7) zabezpieczenie danych osobowych wdroŝenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 8) Administrator Bezpieczeństwa Informacji (ABI) osoba nadzorująca przestrzeganie zasad ochrony przetwarzania danych osobowych; 9) Administrator Systemu Informatycznego (ASI) osoba odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach; 10) osoba uprawniona lub uŝytkownik systemu, zwany dalej uŝytkownikiem osoba posiadająca upowaŝnienie wydane przez administratora danych dopuszczona, w zakresie w nim wskazanym, jako uŝytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej; 11) identyfikator uŝytkownika/login ciąg znaków literowych, cyfrowych lub innych specjalnych, jednoznacznie identyfikujący osobę upowaŝnioną do przetwarzania danych w systemie informatycznym; 12) hasło ciąg znaków literowych, cyfrowych lub innych specjalnych znany jedynie osobie uprawnionej do pracy w systemie informatycznym; 13) dostępność cecha zapewniająca, Ŝe zasoby informacyjne są dostępne uŝytkownikowi w wymaganym miejscu, czasie i w wymaganej formie;

4 14) poufność cecha zapewniająca, Ŝe dostęp do zasobów informacyjnych jest ograniczony tylko do kręgu osób uprawnionych; 15) integralność cecha zapewniająca, Ŝe oryginalna forma lub stan zasobów moŝe być zmieniony tylko przez osoby do tego uprawnione; 16) rozliczalność cecha zapewniająca, Ŝe działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Cel wprowadzenia dokumentu Polityki Bezpieczeństwa Danych Osobowych. 4. Celem Polityki Bezpieczeństwa Danych Osobowych jest osiągnięcie i utrzymanie akceptowalnego poziomu bezpieczeństwa aktywów informacyjnych SGSP poprzez wdroŝenie odpowiedniego systemu ochrony tych aktywów przed zagroŝeniami wewnętrznymi i zewnętrznymi. 5. Podniesienie poziomu świadomości pracowników SGSP co do istoty problemu bezpieczeństwa danych osobowych. Zakres stosowania dokumentu Polityki Bezpieczeństwa Danych Osobowych 6. Polityka Bezpieczeństwa Danych Osobowych ma zastosowanie w stosunku do wszystkich postaci informacji zawierających dane osobowe: dokumentów papierowych, zapisów elektronicznych i innych, będących własnością SGSP lub administrowanych przez SGSP i przetwarzanych w systemach informatycznych, tradycyjnych (papierowych) i komunikacyjnych SGSP. 7. Polityka Bezpieczeństwa Danych Osobowych ma zastosowanie w stosunku do wszystkich pracowników i straŝaków SGSP, jak równieŝ osób trzecich mających dostęp do danych osobowych w SGSP. 8. Ochrona danych osobowych wynikająca z Polityki Bezpieczeństwa Danych Osobowych jest realizowana na kaŝdym etapie przetwarzania informacji. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i dostępności przetwarzanych danych osobowych Zarządzanie danymi osobowymi 9. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP. 10. Zarządzanie bezpieczeństwem danych osobowych jest procesem ciągłym, realizowanym przy współdziałaniu uŝytkowników z Właścicielami Zbiorów Danych Osobowych,

5 Administratorem Bezpieczeństwa Informacji i Administratorami Systemów Informatycznych. 11. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania sporządza i przechowuje ABI. 12. Zadania Właścicieli Zbiorów Danych Osobowych określa załącznik nr 1. Właścicieli Zbiorów Danych Osobowych określa załącznik nr 2 do Polityki Bezpieczeństwa Informacji ustalonej odrębnym zarządzeniem. 13. Właściciele Zbioru Danych Osobowych, jeśli nie będą tej funkcji pełnić osobiście, powołują pełnomocnika właściciela danych osobowych. Wzór dokumentu powołania pełnomocnika określa załącznik nr 2. Oryginał dokumentu powołania pełnomocnika ewidencjonuje i przechowuje ABI. 14. W celu organizacji zasad ochrony, zabezpieczenia i kontroli przetwarzania danych osobowych w SGSP, wyznaczony został zgodnie z ust. 17 Polityki Bezpieczeństwa Informacji Administrator Bezpieczeństwa Informacji (ABI). 15. Zadania ABI określa załącznik nr 3. Obszary przetwarzania danych osobowych 16. SGSP realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar SGSP, w którym przetwarzane są dane osobowe. 17. Za obszar przetwarzania danych uznaje się obszar, w którym wykonywana jest choćby jedna z czynności wymienionych w ust. 3 pkt Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe w SGSP jest prowadzony przez ABI. Wzór wykazu określa załącznik nr 4. Dostęp do pomieszczeń w których przetwarzane są dane osobowe 19. Dostęp do budynków i pomieszczeń SGSP, w których przetwarzane są dane osobowe podlega całodobowej kontroli dostępu. 20. Kontrola dostępu polega na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków i pomieszczeń. W ewidencji uwzględnia się: imię i nazwisko osoby pobierającej lub zdającej klucz, numer lub inne oznaczenie pomieszczenia lub budynku oraz godzinę pobrania lub zdania klucza. 21. Klucze do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane mogą być wyłącznie pracownikom upowaŝnionym do przetwarzania danych

6 osobowych lub innym pracownikom upowaŝnionym do dostępu do tych budynków, lub pomieszczeń na innych zasadach. 22. ABI przekazuje w formie pisemnej słuŝbie dyŝurnej i aktualizuje wykaz pomieszczeń do których dostęp jest ograniczony ze względu na przetwarzanie danych osobowych oraz wykaz osób upowaŝnionych do pobierania kluczy do tych pomieszczeń. 23. Właściciele zbiorów danych osobowych są zobowiązani do niezwłocznego przekazywania do ABI informacji o zmianie lub powstaniu nowej lokalizacji miejsc przetwarzania danych osobowych. 24. SGSP realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych moŝe wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych. 25. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej. 26. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe moŝe być w szczególności realizowane poprzez montaŝ barierek, lad lub odpowiednie ustawienie mebli biurowych, uniemoŝliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 27. W budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar SGSP, w którym przetwarzane są dane osobowe mają prawo przebywać wyłącznie osoby upowaŝnione do dostępu lub przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrolę nad bezpieczeństwem przetwarzania tych danych. 28. Osoby nieupowaŝnione do przetwarzania danych osobowych określonej kategorii, mające interes prawny lub faktyczny w uzyskaniu dostępu do tych danych lub wykonujące inne czynności nie mające związku z dostępem do tych danych, mogą przebywać w budynkach, pomieszczeniach i częściach pomieszczeń, tworzących obszar SGSP, w którym przetwarzane są dane osobowe - wyłącznie w obecności upowaŝnionego pracownika SGSP, lub (w razie jego nieobecności) na podstawie upowaŝnienia wydanego przez administratora danych osobowych lub inną upowaŝnioną osobę. 29. Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób nieupowaŝnionych. 30. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających uŝywane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby chwilowej,

7 nieobecności pracownika upowaŝnionego do przetwarzana danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemoŝliwiającym dostęp do danych osobowych osobom niepowołanym. 31. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako cięŝkie naruszenie podstawowych obowiązków pracowniczych. Dostęp do danych osobowych 32. Dostęp do danych odbywa się zgodnie z ust. 35 i 36 Polityki Bezpieczeństwa Informacji. 33. Przyznanie, modyfikacja, wycofanie uprawnień odbywa się zgodnie z procedurą określoną w załączniku nr Rejestr osób uprawnionych (uŝytkowników) prowadzi Administrator Bezpieczeństwa Informacji zgodnie ze wzorem określonym w załączniku nr Z chwilą ustania stosunku pracy wygasają uprawnienia do przetwarzania danych osobowych. 36. Kierownik komórki organizacyjnej ds. kadrowych przekazuje informację o ustaniu stosunku pracy lub dłuŝszej nieobecności w pracy do ABI oraz ASI w celu niezwłocznego zawieszenia bądź wycofania uprawnień. Dostęp do danych przetwarzanych w systemach informatycznych 37. KaŜdy uŝytkownik posiadający uprawnienie do przetwarzania danych osobowych w systemie informatycznym otrzymuje od ASI jednoznaczny i niepowtarzalny identyfikator do systemu oraz hasło o złoŝoności zgodnej z obowiązującym poziomem bezpieczeństwa. 38. Sposób uwierzytelnienia uŝytkownika w systemie informatycznym określa procedura do Instrukcji Zarządzania Systemem Informatycznym dla tego systemu przetwarzania. 39. UŜytkownicy zobowiązani są do: 1) ścisłego przestrzegania zakresu nadanego upowaŝnienia; 2) przetwarzania i ochrony danych osobowych zgodnie z przepisami; 3) zachowania w tajemnicy loginów i haseł uwierzytelniających uŝytkownika w systemie do przetwarzania danych osobowych; 4) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

8 5) zgłaszania ASI i ABI incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu (przedstawione w załączniku nr 7), a takŝe informowania ABI o przypadkach naruszenia zasad ochrony danych. 40. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego SGSP. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, mają być umiejscawiane w sposób uniemoŝliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń słuŝących do przetwarzania, a zwłaszcza kopiowania danych. Dostęp do danych przetwarzanych w systemie tradycyjnym 41. Dane w rejestrach papierowych przetwarzane w sposób tradycyjny przechowuje się w sposób uniemoŝliwiający dostęp do nich osób nieupowaŝnionych, w zamkniętych szafach lub kasach pancernych. Dostęp osób trzecich do danych osobowych przetwarzanych w SGSP 42. Udostępnianie danych osobowych instytucjom i osobom spoza Uczelni moŝe odbywać się wyłącznie za pośrednictwem Właściciela Zbioru Danych Osobowych oraz Administratora Bezpieczeństwa Informacji na zasadach określonych w załączniku nr Dane osobowe udostępnia się na pisemny, umotywowany wniosek, który zawiera informacje umoŝliwiające wyszukanie w zbiorze Ŝądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. 44. Administrator Bezpieczeństwa Informacji prowadzi ewidencję udostępniania danych osobowych. Przetwarzanie Danych Osobowych 45. Dane osobowe są przetwarzane przy zastosowaniu systemów informatycznych, w zbiorach ewidencyjnych oraz poza zbiorami. 46. Rektor Komendant SGSP zatwierdza poziom bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych zgodnie z wzorem określonym w załączniku nr Za zabezpieczenie systemów informatycznych zgodnie z zatwierdzonym poziomem bezpieczeństwa odpowiadają właściwi ASI. 48. ASI stosuje wszelkie dostępne mu mechanizmy ochrony celem właściwego zabezpieczenia systemu do przetwarzania danych. 49. Dla kaŝdego systemu przetwarzania danych osobowych Kierownik Działu Administrowania Sieciami Komputerowymi przygotowuje procedury zawarte w Instrukcji Zarządzania systemem informatycznym i przekazuje je do ABI.

9 50. Systemy informatyczne słuŝące do przetwarzania danych osobowych zabezpieczone są przed działaniem niepoŝądanym na bieŝąco aktualizowanymi systemami antywirusowymi. 51. Zbiory danych osobowych zlokalizowane są w przedmiotowych bazach danych umieszczonych na serwerach bazodanowych. 52. Dane osobowe w zbiorach są przetwarzane tylko w aplikacjach (programach) dostosowanych do merytorycznych potrzeb komórek organizacyjnych SGSP. 53. Zawartość pól informacyjnych, występujących w aplikacjach (programach) systemów zastosowanych do przetwarzania danych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują ADO do przetwarzania danych osobowych. 54. Opisy struktur zbiorów danych wskazujące zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi wykonują ASI na podstawie aplikacji zastosowanych do przetwarzania tych danych, jeŝeli opisów nie uzyskano od dostawców oprogramowania. 55. Opisy, o których mowa w ust. 53 wykonywane są w postaci wydruków zrzutów ekranowych lub struktur tablic bazy prezentujących zawartość pól informacyjnych i powiązań pomiędzy nimi. W przypadku braku moŝliwości uzyskania wydruku zrzutu ekranowego ASI sporządzają inne dostępne opisy struktury zbioru. 56. ASI zobowiązani są do przekazywania opisów do ABI oraz niezwłocznego informowania o wszelkich zmianach w strukturze zbiorów danych. 57. Schematy przepływu danych pomiędzy systemami informatycznymi, zastosowanymi w celu przetwarzania danych osobowych, wykonują ASI, zgodnie z relacjami występującymi pomiędzy tymi systemami. 58. ASI zobowiązani są do przekazywania schematów przepływu danych pomiędzy systemami informatycznymi do ABI, oraz niezwłocznego informowania o wszelkich zmianach. 59. Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych moŝe odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego. 60. Przesyłanie danych pomiędzy systemami moŝe odbywać się w sposób manualny, przy wykorzystaniu nośników zewnętrznych (w szczególności dyskietki, płyty CD i DVD, taśmy streamera, dysku wymiennego, PenDrive a) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu (importu) danych za pomocą teletransmisji (w szczególności poprzez wewnętrzną sieć teleinformatyczną). 61. Wzór schematu przedstawiającego sposób przepływu danych osobowych pomiędzy poszczególnymi systemami określa załącznik nr 10.

10 Niszczenie wydruków i zapisów na nośnikach magnetycznych 62. Nośniki magnetyczne przekazywane na zewnątrz nie mogą zawierać zapisów z danymi osobowymi. Niszczenie poprzednich zapisów odbywa się poprzez nadpisanie. 63. Poprawność zniszczenia zapisów na nośniku magnetycznym jest pisemnie potwierdzana przez wyznaczonego pracownika Działu Administrowania Sieciami Komputerowymi. 64. Uszkodzone nośniki magnetyczne przed ich wyrzuceniem są fizycznie niszczone w sposób uniemoŝliwiający ich odczytanie. Skuteczność zniszczenia jest potwierdzana przez wyznaczonego pracownika Działu Administrowania Sieciami Komputerowymi. 65. Sposób postępowania z nośnikami magnetycznymi określa procedura, o której mowa w ust. 3 pkt 8 lit. d) Instrukcji zarządzania systemem informatycznym do przetwarzania danych osobowych. 66. Po wykorzystaniu dokumenty papierowe zawierające dane osobowe są niszczone w sposób uniemoŝliwiający ich odczytanie. Archiwizowanie danych osobowych 67. Kopie bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych wykonywane są zgodnie z procedurą do Instrukcji Zarządzania Systemem Informatycznym dla kaŝdego z systemów przetwarzania danych. 68. Harmonogram archiwizacji danych osobowych zawiera procedura do Instrukcji Zarządzania Systemem Informatycznym dla kaŝdego z systemów przetwarzania danych. 69. Za prawidłowe wykonanie kopii bezpieczeństwa odpowiada właściwy Administrator Systemu Informatycznego. 70. Sposoby przechowywania, oznaczania i niszczenia nośników kopii bezpieczeństwa zawiera procedura do Instrukcji Zarządzania Systemem Informatycznym dla danego systemu przetwarzania. Naruszenie zasad ochrony danych osobowych 71. W przypadku podejrzenia lub zaistnienia incydentu związanego z naruszeniem zasad ochrony danych osobowych ABI podejmuje działania zgodnie z Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych w SGSP określoną w załączniku nr 11. Szkolenia 72. SGSP realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia zaznajomienie osób upowaŝnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami

11 wewnętrznymi, a takŝe technikami i środkami ochrony tych danych stosowanymi w SGSP, a takŝe odpowiednio, z ich zmianami. 73. Zaznajomienie osób upowaŝnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a takŝe technikami i środkami ochrony tych danych stosowanymi w SGSP moŝe odbywać się w szczególności poprzez: 1) instruktaŝ na stanowisku pracy, 2) szkolenie wewnętrzne realizowane na terenie Uczelni (takŝe e-learning), 3) szkolenie zewnętrzne. 74. W przypadku dostępu do danych osobowych przetwarzanych w systemie informatycznym, podstawowe szkolenie w zakresie procedur rozpoczęcia, zawieszenia i zakończenia pracy w systemie oraz mechanizmów zabezpieczenia stanowiska roboczego przeprowadza ASI. Ciągłość działania 75. Pomieszczenia w których znajdują się kluczowe dla SGSP elementy systemów informatycznych posiadają dwa źródła zasilania. 76. Kluczowe urządzenia są podłączone do urządzeń podtrzymujących napięcie (UPS), w celu umoŝliwienia bezpiecznego wyłączenia systemu w przypadku awarii zasilania, oraz przełączenia źródła zasilania. 77. W czasie, gdy kluczowy dla funkcjonowania SGSP sprzęt informatyczny uległ awarii ASI zapewnia sprzęt o właściwościach identycznych lub przewyŝszających go funkcjonalnością. MoŜe w tym celu zastosować urządzenia mniej waŝnej części podległej sieci, lub moŝe zwrócić się do innej jednostki organizacyjnej SGSP o uŝyczenie sprzętu na czas usunięcia awarii. 78. Serwisowanie urządzeń i sprzętu związanego z bezpieczeństwem przetwarzania informacji powinno następować w moŝliwie krótkim czasie od wykrycia jego awarii. Szybkie przywrócenie właściwego stanu technicznego urządzeń ma na celu wyeliminowanie z uŝycia sprzętu, który nie spełnia parametrów określonych przez szczegółowe instrukcje dotyczące elementów systemu przetwarzania danych osobowych. W szczególności oznacza to, iŝ nie jest dopuszczalne rezygnowanie z zabezpieczeń z powodu ich wadliwego działania spowodowanego awarią. 79. Dla kaŝdego systemu przetwarzania danych osobowych Kierownik Działu Administrowania Sieciami Komputerowymi opracowuje procedury związane z ciągłością działania zawarte w instrukcji zarządzania systemem informatycznym.

12 80. ABI inicjuje, nadzoruje i przekazuje do zatwierdzenia przez Rektora Komendanta dokumenty uzupełniające proces zarządzania ciągłością działania SGSP, w zakresie przetwarzania zbiorów danych osobowych. Prawa osób, których dane są przetwarzane przez SGSP 81. SGSP gwarantuje osobom fizycznym, których dane osobowe są przetwarzane w związku z realizacją jej celów statutowych, realizację uprawnień gwarantowanych im przez obowiązujące przepisy prawa. 82. W szczególności kaŝdej osobie fizycznej, której dane osobowe są przetwarzane w związku z realizacją celów statutowych Uczelni, przysługuje prawo do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a takŝe prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji 83. Osoby naruszające zasady Polityki Bezpieczeństwa Informacji zostaną pociągnięte do odpowiedzialności słuŝbowej (porządkowej lub dyscyplinarnej) i karnej. Postanowienia końcowe 84. SGSP realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zabrania tworzenia zbiorów danych osobowych, a takŝe gromadzenia w zbiorach lub poza nimi kategorii danych osobowych innych niŝ niezbędne dla realizacji celów statutowych Uczelni.

13 Wykaz załączników do Polityki Bezpieczeństwa Danych Osobowych: Załącznik nr 1 Zadania Właściciela Zbioru Danych Osobowych Załącznik nr 2 Wzór dokumentu powołania pełnomocnika Właściciela danych osobowych Załącznik nr 3 Zadania Administratora Bezpieczeństwa Informacji Załącznik nr 4 Wzór wykazu miejsc przetwarzania danych osobowych w systemach informatycznych w SGSP Załącznik nr 5 Procedura przyznania/zmiany/wycofania uprawnienia do systemu przetwarzania danych Załącznik nr 6 Wzór rejestru osób uprawnionych do przetwarzania danych osobowych Załącznik nr 7 Opis zdarzeń naruszających ochronę danych osobowych Załącznik nr 8 Współpraca z osobami trzecimi. Dostęp osób trzecich Załącznik nr 9 Aktualny poziom bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych Załącznik nr 10 Wzór schematu przedstawiającego sposób przepływu danych osobowych pomiędzy poszczególnymi systemami Załącznik nr 11 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w SGSP

14 Załącznik nr 1 do Polityki Bezpieczeństwa Danych Osobowych Zadania Właściciela Zbioru Danych Osobowych. 1. Właściciel zbioru danych osobowych w SGSP jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, oraz ich zabezpieczenie przed udostępnieniem osobom nieupowaŝnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Właściciel zbioru danych osobowych jest odpowiedzialny za: 1) dopuszczanie do przetwarzania danych wyłącznie osób upowaŝnionych, 2) kontrolę przestrzegania zasad przetwarzania danych osobowych, 3) opracowanie zakresu czynności osób zatrudnionych przy przetwarzaniu danych uwzględniając obowiązki wynikające z ustawy o ochronie danych osobowych, 4) przekazywanie do ABI informacji o zmianie lub powstaniu nowej lokalizacji miejsc przetwarzania danych osobowych, 5) przygotowanie i aktualizację, we współpracy z ABI i ASI, zasad zapewniających ciągłość procesów związanych z przetwarzaniem zbioru danych osobowych, którego jest właścicielem.

15 Załącznik nr 2 do Polityki Bezpieczeństwa Danych Osobowych Wzór dokumentu powołania pełnomocnika Właściciela danych osobowych Warszawa dnia.. r. ZATWIERDZAM: (Rektor Komendant SGSP) Powołanie pełnomocnika Właściciela zbioru danych osobowych Nr..*) Celem spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.): powołuję, Panią/Pana... (imię i nazwisko) zatrudnioną/nego na stanowisku... w... (nazwa jednostki/komórki organizacyjnej) do pełnienia funkcji pełnomocnika Właściciela zbioru danych osobowych dla zbioru na okres od. do (podpis Właściciela zbioru danych osobowych) *) numer nadaje ABI

16 Załącznik nr 3 do Polityki Bezpieczeństwa Danych Osobowych Zadania Administratora Bezpieczeństwa Informacji (ABI) 1. ABI w SGSP podlega bezpośrednio Administratorowi Danych Osobowych. 2. ABI jest odpowiedzialny za: 1) zapewnienie przetwarzania danych osobowych zgodnie z ustawą; 2) ochronę danych osobowych przetwarzanych w SGSP, a w szczególności: a) nadzór nad przestrzeganiem przez pracowników zasad ochrony danych osobowych obowiązujących w SGSP, b) nadzór nad poprawnością pracy mechanizmów zabezpieczających dane osobowe w systemie informatycznym, c) nadzór nad zabezpieczeniem danych osobowych poprzez tworzenie i właściwe zabezpieczenie kopii zapasowych, d) nadzór nad poprawnością pracy mechanizmów zabezpieczających dane osobowe w systemie informatycznym, e) nadzór nad przeprowadzaniem w bezpieczny sposób napraw i konserwacji sprzętu i oprogramowania słuŝącego do przetwarzania lub będącego nośnikiem danych osobowych, f) nadzór nad nadawaniem i odbieraniem uprawnień, na wniosek osób upowaŝnionych, do korzystania z danych osobowych oraz prowadzenie ewidencji uprawnień, g) koordynację procesu reagowania na naruszenia lub próby naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, h) podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń danego systemu przetwarzania danych; 3) organizowanie instruktaŝu i szkoleń dla osób upowaŝnionych do korzystania z danych osobowych przetwarzanych w SGSP; 4) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych osobowych i konsultowanie tych zmian z osobami świadczącymi obsługę prawną w SGSP; 5) monitorowanie zaleceń i interpretacji Generalnego Inspektora Ochrony Danych Osobowych w zakresie ochrony danych osobowych i implementowanie ich w SGSP. 3. Administrator Bezpieczeństwa Informacji sprawuje nadzór nad realizacją zadań nałoŝonych na Właścicieli Zbiorów Danych Osobowych oraz Administratorów Systemów Informatycznych do przetwarzania danych osobowych. 4. Administrator Bezpieczeństwa Informacji gromadzi i przechowuje dokumentację związaną z przetwarzaniem danych osobowych w SGSP.

17 Załącznik nr 4 do Polityki Bezpieczeństwa Danych Osobowych Wzór wykazu miejsc przetwarzania danych osobowych w SGSP Wykaz miejsc przetwarzania danych osobowych w SGSP Lp Nazwa zbioru danych (1) Budynek /część Nr pokoju /piętro Nazwa Systemu (2) Funkcja lokalizacji (3) Zabezpieczenie fizyczne (4) (1) nazwa zbioru danych z załącznika nr 1 do Polityki Bezpieczeństwa Informacji, (2) nazwa systemu do przetwarzania tradycyjny (papierowy), informatyczny (nazwa systemu) (3) (S) - serwer, (K) miejsce przechowywania kopii bezpieczeństwa, Z pomieszczenie w którym wykonywane są kopie bezpieczeństwa, U pomieszczenie osób wprowadzających dane, A pomieszczenie administratora bazy danych, P pomieszczenie gdzie przetwarza się dane osobowe w sposób tradycyjny (papierowy), AP archiwum zbiorów papierowych, (4) (K) kraty w oknach, (A) alarm, (W) wzmocnione drzwi Dane aktualne na dzień.. Sporządził..

18 Załącznik nr 5 do Polityki Bezpieczeństwa Danych Osobowych Procedura przyznania/zmiany/wycofania uprawnienia do systemu przetwarzania danych 1. O przyznanie, zmianę i wycofanie uprawnień do przetwarzania danych wnioskuje właściwy kierownik komórki organizacyjnej SGSP wypełniając wniosek, którego wzór określa załącznik nr 1 do procedury. 2. W przypadku wnioskowania o przyznanie uprawnień do przetwarzania danych osobowych dodatkowo ABI wypełnia upowaŝnienie, którego wzór określa załącznik nr 2 do procedury. 3. ABI wzywa osobę określoną we wniosku, o którym mowa w ust. 1 na szkolenie z zakresu zasad bezpieczeństwa danych osobowych. 4. Warunkiem otrzymania upowaŝnienia jest potwierdzenie odbycia szkolenia i zobowiązaniu do przestrzegania zasad bezpieczeństwa danych osobowych. 5. W przypadku wnioskowania o uprawnienia do przetwarzania danych w systemie informatycznym, ABI kieruje osobę określoną we wniosku do ASI celem ustalenia loginu do wnioskowanego systemu przetwarzania danych. 6. ABI nadaje numer oraz potwierdza wniosek. 7. Wniosek zatwierdza Rektor Komendant SGSP. 8. Oryginał zatwierdzonego wniosku przechowuje i ewidencjonuje ABI 9. ABI przekazuje kopię zatwierdzonego wniosku do: 1) Administratorów Systemu Przetwarzania celem nadania uprawnień i szkolenia; 2) Wnioskodawcy celem potwierdzenia przyznanego zakresu uprawnień, oraz wiąŝących się z tym obowiązków. 10. Nadanie, zmiana i wycofanie uprawnień odbywa się zgodnie z procedurą obsługi uprawnień dla wnioskowanego systemu przetwarzania.

19 Załącznik nr 1 do Procedury przyznania/zmiany/wycofania uprawnienia do systemu przetwarzania danych ZATWIERDZAM: Warszawa dnia.. (Rektor Komendant SGSP) dla Wniosek o (przyznanie/zmianę/wycofanie*) Uprawnień do przetwarzania danych (osobowych/księgowych/innych*) nr..(****) Pani/Pana... (imię i nazwisko) zatrudnionej/nego na stanowisku... w... pomieszczenie.../.../... tel.... (nazwa jednostki/komórki organizacyjnej) (obiekt/budynek/nr) do przetwarzania danych, które obejmuje/obejmowało* przetwarzanie w **... login***:... w zakresie (wymienić rodzaj danych) na okres od. do.. (podpis ABI) podpis Kierownika Komórki Organizacyjnej) *) podkreślić właściwe **) podać sposób przetwarzania danych np. w systemie informatycznym (proszę podać nazwę systemu) lub/takŝe w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych (wymienić) ***) (identyfikator uŝytkownika w systemie informatycznym) w przypadku nowego pracownika, po zatwierdzeniu Wniosku przez Rektora Komendanta login do systemu informatycznego zakłada ASI, w przypadku zmian login podaje osoba dla której składany jest wniosek ****) numer nadaje ABI

20 Załącznik nr 2 do Procedury przyznania/zmiany/wycofania uprawnienia do systemu przetwarzania danych UPOWAśNIENIE do przetwarzania danych osobowych w Szkole Głównej SłuŜby PoŜarniczej nr..(****) Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101 poz. 926 z późn. zm), Rektor-Komendant SGSP upowaŝnia Panią/Pana:... (Imię i Nazwisko)... (nazwa jednostki organizacyjnej) do przetwarzania danych osobowych SGSP zgodnie z Wnioskiem nr. oraz zobowiązuję do przetwarzania danych osobowych zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wydanych na jej podstawie aktów wykonawczych oraz obowiązujących przepisów wewnętrznych. (Rektor Komendant SGSP) Zobowiązuję się nie ujawniać nikomu w Ŝadnej postaci i treści, informacji dotyczących danych osobowych przetwarzanych w zbiorach SGSP, oraz zachować w tajemnicy sposoby ich zabezpieczenia, takŝe po cofnięciu upowaŝnienia i/lub ustaniu stosunku pracy/słuŝby. Przyjmuję do wiadomości, Ŝe nieprzestrzeganie powyŝszego obowiązku moŝe powodować moją odpowiedzialność z tytułu cięŝkiego naruszenia obowiązków pracowniczych. Potwierdzam, Ŝe zostałam/em zapoznana/ny z przepisami ustawy o ochronie danych osobowych, wydanych na jej podstawie aktów wykonawczych oraz wewnętrznych przepisów SGSP dotyczących zasad przetwarzania danych osobowych... (data i podpis ABI) UpowaŜnienie cofnięto dnia:.. (data i podpis upowaŝnianego).. (data i podpis ABI)

21 Załącznik nr 6 do Polityki Bezpieczeństwa Danych Osobowych Wzór rejestru osób uprawnionych do przetwarzania danych osobowych Rejestr osób uprawnionych do przetwarzania danych osobowych Lp Imię i Nazwisko komórka organizacyjna numer upowaŝnienia okres obowiązywania uprawnień od-do nazwa zbioru danych osobowych pomieszczenie obiekt/budynek/nr telefon

22 Załącznik nr 7 do Polityki Bezpieczeństwa Danych Osobowych 1. Podział zagroŝeń: Opis zdarzeń naruszających ochronę danych osobowych 1) zagroŝenia losowe zewnętrzne (np. klęski Ŝywiołowe, przerwy w zasilaniu), ich występowanie moŝe prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych, 2) zagroŝenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), moŝe dojść do zniszczenia danych, moŝe zostać zakłócona ciągłość pracy systemu, moŝe nastąpić naruszenie poufności danych, 3) zagroŝenia zamierzone, świadome i celowe - najpowaŝniejsze zagroŝenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagroŝenia te moŝemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagroŝenie materialnych składników systemu. 2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, poŝar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepoŝądana ingerencja ekipy remontowej itp., 2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych, 3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaŝ, a takŝe niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru, 4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, 5) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepoŝądaną modyfikację w systemie, 6) nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,

23 7) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upowaŝnienia (autoryzacji), 8) nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie, 9) ujawniono osobom nieupowaŝnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeŝone elementy systemu zabezpieczeń, 10) praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od załoŝonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 11) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. "bocznej furtki", itp., 12) podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upowaŝnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe, 13) raŝąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uwaŝa się równieŝ stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, dyskietkach w formie niezabezpieczonej itp.

24 Załącznik nr 8 do Polityki Bezpieczeństwa Danych Osobowych Współpraca z osobami trzecimi. Dostęp osób trzecich 1. KaŜde przyznanie (udzielenie, zawieszenie, odebranie, zmiana zakresu) praw dostępu do danych osobowych przetwarzanych w SGSP osobie trzeciej jest formalnie akceptowane przez Administratora Danych Osobowych zgodnie z procedurą nadania uprawnień określoną w załączniku nr 5 do Polityki Bezpieczeństwa Danych Osobowych. 2. Podstawą udzielania dostępu osobom trzecim do danych osobowych przetwarzanych w SGSP są: 1) obowiązek udzielania dostępu wynikający z przepisów prawa, 2) postanowienia umowy między SGSP a osobami trzecimi, zaś w ramach czynności zmierzających do zawarcia umowy, zastosowanie zabezpieczeń adekwatnych do wartości udostępnianego aktywu (w szczególności jednostronnych klauzul poufności). 3. Dostęp osób trzecich do danych osobowych przetwarzanych w SGSP jest: 1) ograniczony do zakresu określonego przez ADO, 2) dokumentowany w sposób zapewniający moŝliwość kontroli przez ABI. 4. Umowy zawierane przez SGSP z osobami trzecimi związane z dostępem tych osób do danych osobowych przetwarzanych w SGSP, zawierają zasady bezpieczeństwa określone w PBDO oraz zachowanie poufności. 5. Umowy z osobami trzecimi, związane dostępem tych osób do danych osobowych przetwarzanych w SGSP zawierają w szczególności: 1) cel i zakres udzielonych praw dostępu do danych osobowych przetwarzanych w SGSP; 2) prawa i obowiązki związane z udzielonym dostępem oraz okres ich obowiązywania; 3) oświadczenie o znajomości co najmniej: a) ustawy z dnia 6 czerwca 1997 r. Kodeks Karny rozdział XXXIII (Dz.U. Nr 88, poz.553 z późn. zm), b) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.), c) Polityki Bezpieczeństwa Danych Osobowych w SGSP. 4) zasady związane ze zmianą składu personelu świadczącego usługi; 5) tryb rozwiązywania kwestii spornych dotyczących bezpieczeństwa danych osobowych przetwarzanych w SGSP;

25 6. Przed zawarciem umowy, oraz okresowo w trakcie jej realizacji ABI moŝe przeprowadzić analizę następujących elementów związanych z dostępem osoby trzeciej do danych osobowych przetwarzanych w SGSP: 1) aktualnego stanu zasadności (powodów, konieczności) udzielenia dostępu; 2) rodzaju wymaganego dostępu (np. fizyczny, logiczny); 3) aktualnego stanu wymagań bezpieczeństwa związanego z dostępem osób trzecich; 4) ryzyka związanego z faktem przebywania osób trzecich na terenie SGSP oraz z ich dostępem do danych osobowych przetwarzanych w SGSP. 7. W przypadku stwierdzenia braku odpowiedniego poziomu ochrony ADO moŝe rozwiązać umowę. 8. Przed wyborem dostawcy sprzętu, systemów i usług związanych z przetwarzaniem informacji ABI zobowiązany jest do określenia wymagań bezpieczeństwa wobec: 1) dostawcy; 2) elementów systemu przetwarzania związanych z przedmiotem umowy.

26 Załącznik nr 9 do Polityki Bezpieczeństwa Danych Osobowych Wzór Warszawa dnia... Poziom bezpieczeństwa systemu przetwarzania danych osobowych ZATWIERDZAM. (Rektor Komendant SGSP) Dla systemu przetwarzania danych osobowych.. * ) w SGSP obowiązuje.... ** ) poziom bezpieczeństwa zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych, jakim powinny odpowiadać urządzenia i systemy przetwarzania danych osobowych. * ) nazwa systemu informatycznego ** ) poziom bezpieczeństwa: podstawowy, podwyŝszony, wysoki

27 Załącznik nr 10 do Polityki Bezpieczeństwa Danych Osobowych Wzór Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami. Przepływ jednokierunkowy Nazwa Systemu do przetwarzania danych sposób przepływu informacji (manualny, automatyczny, półautomatyczny), wykorzystywany nośnik (pendrive, CD, DVD, sieć LAN), Nazwa Systemu do przetwarzania danych Przepływ dwukierunkowy

28 Załącznik nr 11 do Polityki Bezpieczeństwa Danych Osobowych Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w SGSP 1. Instrukcja niniejsza ma zastosowanie w sytuacjach: 1) stwierdzonego naruszenia zabezpieczenia (ew. ochrony) danych osobowych w systemie informatycznym lub innym zbiorze danych; 2) podejrzenia naruszenia zabezpieczenia (ew. ochrony) danych osobowych w systemie informatycznym lub innym zbiorze danych. 2. Naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych stwierdza się, gdy wystąpiły między innymi: 1) nieuprawniony dostęp do danych osobowych; 2) udostępnienie danych osobowych osobom nieupowaŝnionym; 3) zmiany, kopiowanie lub uszkodzenie danych osobowych dokonane przez osoby nieuprawnione; 4) kradzieŝ nośników informacji zawierających dane osobowe (w szczególności dysków, dyskietek, płyt CD, płyt DVD, wydruków komputerowych). 3. Za okoliczności, które wskazują na naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych, uwaŝa się między innymi: 1) nieuzasadnione korzystanie z zasobów systemu informatycznego lub innego zbioru danych; 2) nieuzasadnione ujawnienie danych osobowych; 3) ujawnienie wirusów komputerowych lub innych programów, które mogą mieć negatywny wpływ na funkcjonowanie systemu informatycznego; 4) wydarzenia obniŝające stan bezpieczeństwa systemu informatycznego lub innego zbioru danych (np. awaria zasilania). 4. Osoba upowaŝniona do przetwarzania danych osobowych w systemie informatycznym lub innym zbiorze danych, która stwierdzi lub podejrzewa naruszenie zabezpieczenia danych zobowiązana jest do: 1) niezwłocznego poinformowania o tym fakcie ABI i swojego bezpośredniego przełoŝonego, a w przypadku systemu informatycznego takŝe ASI tego systemu, 2) zaprzestania pracy w systemie informatycznym lub innym zbiorze danych do momentu otrzymania od ABI lub ASI decyzji o moŝliwości wznowienia pracy. 5. ABI po uzyskaniu informacji, o której mowa w ust. 4 podejmuje działania (jeśli dotyczy to systemu informatycznego wraz ASI ) w celu rozpoznania naruszenia zabezpieczenia danych, a w szczególności ustala, czy miało miejsce naruszenie ochrony danych osobowych, a w sytuacji nie potwierdzenia podejrzeń wydaje decyzję, o której mowa

29 w ust. 4 pkt 2 oraz sporządza i przedstawia w ciągu 14 dni ADO SGSP raport o podejrzeniu naruszenia ochrony danych osobowych w systemie informatycznym lub innym zbiorze danych. 6. ABI w przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych: 1) podejmuje działania słuŝące ograniczeniu szkód wywołanych naruszeniem ochrony danych osobowych; 2) zabezpiecza dane wskazujące na naruszenie zabezpieczenia danych osobowych; 3) ustala okoliczności naruszenia ochrony danych osobowych; 4) analizuje rodzaj, zakres i źródło naruszenia ochrony danych osobowych; 5) podejmuje działania naprawcze; 6) bada przyczyny naruszenia ochrony danych osobowych i podejmuje działania mające na celu wyeliminowanie podobnych zdarzeń zagraŝających bezpieczeństwu danych. 7. ABI, po przeprowadzeniu czynności, o których mowa w ust. 5 i 6 sporządza i przedstawia ADO SGSP raport o stwierdzeniu naruszenia zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych w ciągu 14 dni od daty jego zaistnienia. Raport zawiera w szczególności następujące dane i informacje: 1) imię i nazwisko, stanowisko osoby, która zgłosiła naruszenie zabezpieczenia danych osobowych w systemie informatycznym lub innym zbiorze danych; 2) miejsce zatrudnienia osoby, o której mowa w pkt 1; 3) datę i godzinę powiadomienia o naruszeniu; 4) opis podjętych działań mających na celu ustalenie zakresu podejrzewanego naruszenia; 5) opis podjętych działań naprawczych. 8. Administrator Bezpieczeństwa Informacji jest odpowiedzialny za przechowywanie materiałów, o których mowa w ust. 7 dokumentujących naruszenie oraz podejrzenie naruszenia zabezpieczenia danych w systemie informatycznym lub innym zbiorze danych.

30 Załącznik nr 2 do zarządzenia nr 3/09 Rektora-Komendanta SGSP z dnia 23 lutego 2009 r. Instrukcja zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych 1. Za realizację Instrukcji Zarządzania Systemem Informatycznym dla kaŝdego z systemów przetwarzania danych osobowych odpowiada Kierownik Działu Administrowania Sieciami Komputerowymi w SGSP. 2. Kierownik Działu Administrowania Sieciami Komputerowymi w SGSP wyznacza, Administratorów Systemów Informatycznych i nadaje im uprawnienia zgodnie z procedurą określoną w załączniku nr 5 do Polityki Bezpieczeństwa Danych Osobowych, a w przypadku gdy systemem administruje autor lub dostawca oprogramowania, pracownika DASK upowaŝnionego do kontaktu z administratorem. 3. Dla kaŝdego systemu przetwarzania Kierownik Działu Administrowania Sieciami Komputerowymi w SGSP określa, aktualizuje i przekazuje do ABI (w przypadku gdy procedura określać ma te same czynności dla kilku systemów przetwarzania danych Kierownik DASK tworzy jedną procedurę oznaczając, których systemów dotyczy): 1) procedury nadania uprawnień do systemów przetwarzania danych osobowych: a) procedurę załoŝenia, modyfikacji i zamknięcie (usunięcia) konta administratora, b) procedurę załoŝenia, modyfikacji i zamknięcie (usunięcia) konta uŝytkownika, c) procedurę weryfikacji uprawnień uŝytkownika w systemie, d) procedurę nadania identyfikatorów i haseł (zgodnie z zatwierdzonym poziomem bezpieczeństwa), e) procedurę rejestrowania i wyrejestrowania uŝytkowników, f) procedurę administrowania systemem informatycznym w przypadkach awaryjnych (brak administratora), g) procedurę przekazania uprawnień na czas nieobecności administratorów; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane i ich zarządzaniem i uŝytkowaniem: a) procedurę przekazywania haseł uŝytkownikom, b) procedurę innych stosowanych metod weryfikacji toŝsamości uŝytkownika; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu informatycznego: a) procedurę rozpoczęcia pracy uŝytkownika w systemie informatycznym, b) procedurę zawieszenia pracy uŝytkownika w systemie informatycznym,

31 c) procedurę zakończenia pracy uŝytkownika w systemie informatycznym; 4) procedury tworzenia kopii bezpieczeństwa zbiorów danych oraz programów i narzędzi programowych przeznaczonych do ich przetwarzania: a) procedurę tworzenia kopii bezpieczeństwa, wraz z szczegółowym harmonogramem, określeniem zakresu kopii sposobu jej oznaczenia, oraz rodzaju stosowanych do jej wykonania programów i nośników, b) procedurę sprawdzenia poprawności wykonania kopii bezpieczeństwa, c) procedurę likwidacji i utylizacji nośników zawierających kopie bezpieczeństwa; 5) procedurę określającą miejsce, sposób i czas przechowywania kopii bezpieczeństwa oraz metody zabezpieczenia nośników z kopią przed nieuprawnionym dostępem, modyfikacją, uszkodzeniem lub zniszczeniem; 6) sposoby zabezpieczenia systemu informatycznego zgodnie z zatwierdzonym poziomem bezpieczeństwa: a) procedurę ochrony systemów informatycznych oprogramowaniem antywirusowym wraz ze sposobem aktualizacji, b) procedurę postępowania w przypadku, gdy oprogramowania zabezpieczające wskazuje zaistnienie zagroŝenia, c) procedurę zabezpieczeń sieci informatycznej SGSP przed zagroŝeniami wewnętrznymi i zewnętrznymi, d) procedurę reakcji na wykryte ataki zarówno z sieci zewnętrznej jak i wewnętrznej, e) procedurę postępowania w przypadku podejrzenia/stwierdzenia naruszenia zasad ochrony w systemie informatycznym do przetwarzania danych, f) procedurę ochrony danych przed utratą z powodu zakłóceń lub awarii sieci zasilania, g) procedurę postępowania w przypadku awarii kluczowych elementów systemu przetwarzania danych, h) procedurę aktualizacji oprogramowania (systemu operacyjnego i systemu do przetwarzania danych) na stacjach roboczych i serwerach, i) procedurę odtworzenia systemu do przetwarzania danych osobowych z kopii bezpieczeństwa; 7) procedurę rejestracji informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe przetwarzane w systemie informatycznym zostały udostępnione, dacie i zakresie tego udostępnienia; 8) procedury wykonywania przeglądów, konserwacji, naprawy i zbywania systemów, elementów systemów oraz nośników informacji słuŝących do przetwarzania danych: a) procedurę przeglądów, b) procedurę konserwacji,