Polityka Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy Żyrzyn

Transkrypt

1 Załącznik nr 1 do Zarządzenia nr 40/2014 Wójta Gminy Żyrzyn z dnia 30 lipca 2014 r. Polityka Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy Żyrzyn Rozdział I. Postanowienia ogólne 1 1. Niniejsza polityka bezpieczeństwa ma zastosowanie do ochrony zbiorów danych osobowych przetwarzanych w Urzędzie Gminy Żyrzyn, w celu ich bezpiecznego wykorzystania. 2. Polityka bezpieczeństwa dotyczy przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn, bez względu na sposób i formę przetwarzania. 3. Procedury i zasady określone w niniejszym dokumencie stosuje się do osób upoważnionych do przetwarzania danych osobowych, zarówno zatrudnionych w Urzędzie Gminy Żyrzyn, jak i innych, np. stażystów, praktykantów, serwisantów oraz innych zleceniobiorców wykonujących prace w siedzibie urzędu. 2 Ilekroć w niniejszym dokumencie jest mowa o: 1) Ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zmianami), 2) Rozporządzeniu - rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024), 3) Instrukcji - rozumie się przez to Instrukcję Zarządzania Systemem Informatycznym Urzędu Gminy Żyrzyn, 4) Polityce bezpieczeństwa - rozumie się przez to niniejszą Politykę Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Gminy Żyrzyn, 5) Urzędzie - rozumie się przez to Urząd Gminy Żyrzyn, 6) Kierowniku komórki organizacyjnej - rozumie się przez to Zastępcę Wójta, Sekretarza Gminy, Skarbnika Gminy, Kierownika Urzędu Stanu Cywilnego, 7) Komórkach organizacyjnych - rozumie się przez to referaty i samodzielne stanowiska Urzędu

2 Gminy Żyrzyn, 8) Administratorze danych - rozumie się przez to administratora danych osobowych w Urzędzie Gminy Żyrzyn reprezentowanego przez Wójta Gminy Żyrzyn, 9) Administratorze bezpieczeństwa - rozumie się przez to osobę, której administrator danych powierzył pełnienie obowiązków administratora bezpieczeństwa informacji, 10) Administratorze systemu - rozumie się przez to pracownika Urzędu Gminy Żyrzyn zatrudnionego na stanowisku informatyka, 11) Danych osobowych - rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 12) Haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi, 13) Identyfikatorze - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 14) Integralności danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 15) Osobie upoważnionej do przetwarzania danych osobowych - rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych przez administratora danych, 16) Poufności danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom, 17) Przetwarzaniu danych osobowych - rozumie się przez to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych operacji, które są wykonywane w systemach informatycznych, 18) Serwisancie - rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego i oprogramowania, 19) Systemie informatycznym - rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, 20) Uwierzytelnianiu - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 21) Użytkowniku - rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, której nadano identyfikator i przyznano hasło, 22) Zabezpieczeniu systemu informatycznego - rozumie się przez to wdrożenie i eksploatację przez administratora danych i administratora bezpieczeństwa odpowiednich środków

3 organizacyjnych i technicznych, które mają na celu zabezpieczenie zasobów oraz ochronę danych przed ich nieuprawnionym przetwarzaniem oraz zniszczeniem. Rozdział II. Organizacja przetwarzania danych osobowych 3 Administrator danych reprezentowany przez Wójta Gminy realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza: 1) zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, a w szczególności zabezpiecza wejścia do pomieszczeń należących do obszaru przetwarzania danych osobowych, 2) podejmuje decyzje o celach i środkach przetwarzania danych osobowych z uwzględnieniem przede wszystkim zmian w obowiązującym prawie oraz w organizacji administratora danych, a także technik zabezpieczenia danych osobowych, 3) upoważnia poszczególne osoby do przetwarzania danych osobowych w określonym zakresie, zgodnym z indywidualnym zakresem obowiązków służbowych i odpowiedzialności, 4) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, 5) wyznacza administratora bezpieczeństwa oraz określa zakres jego zadań i czynności, 6) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych. 4 Administrator bezpieczeństwa realizuje zadania w zakresie nadzoru nad przestrzeganiem zasad ochrony danych osobowych, w tym zwłaszcza: 1) określa stosowne środki fizyczne, a także organizacyjne i techniczne w celu zapewnienia bezpieczeństwa danych i sprawuje nadzór nad ich wdrożeniem, 2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, 3) pełni nadzór nad przestrzeganiem w urzędzie przepisów dotyczących ochrony danych osobowych, 4) prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, 5) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych, w tym przetwarzanych w systemie informatycznym i niezwłocznie informuje o tym fakcie administratora danych, 6) prowadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych, 7) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia

4 osób upoważnianych do przetwarzania danych osobowych, 8) nadzoruje likwidację kopii bezpieczeństwa i innych elektronicznych nośników danych zawierających dane osobowe, 9) kontroluje zmianę haseł dostępu do systemów służących do przetwarzania danych osobowych, 10) nadzoruje i kontroluje system informatyczny, sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych przetwarzanych w systemie informatycznym, 11) współpracuje z kierownikami pozostałych komórek organizacyjnych w przygotowywaniu wniosków zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych, 12) zatwierdza wzory dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywane przez komórki organizacyjne urzędu. 5 Administrator systemu realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym, w tym zwłaszcza: 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, 2) przeciwdziała dostępowi do systemu informatycznego osobom nieuprawnionym, 3) na wniosek kierownika komórki organizacyjnej, w której dany użytkownik pracuje, przydziela każdemu użytkownikowi identyfikator oraz pierwotne hasło do systemu informatycznego oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta użytkowników, 4) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz dostępu do systemu informatycznego, 5) wyrejestrowuje użytkowników z systemu informatycznego na polecenie administratora danych lub kierownika komórki organizacyjnej, w której dany użytkownik pracuje, 6) zmienia w poszczególnych stacjach roboczych hasła dostępu, ujawniając je wyłącznie danemu użytkownikowi oraz administratorowi danych, 7) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje administratora bezpieczeństwa o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia, 8) sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych oraz magnetycznych i optycznych nośników danych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego, 9) dokonuje przeglądów i konserwacji systemu informatycznego,

5 10) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów i innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji, 11) nadzoruje aktualność i działanie oprogramowania antywirusowego. 6 Kierownicy komórek organizacyjnych wykonują następujące zadania w zakresie ochrony danych osobowych: 1) występują z wnioskiem do administratora danych o nadanie podległemu pracownikowi upoważnienia do przetwarzania danych osobowych, 2) występują z wnioskiem ustnym do administratora systemu o nadanie identyfikatora i przyznanie hasła osobie upoważnionej do przetwarzania danych osobowych, 3) występują z wnioskiem o cofnięcie upoważnienia do przetwarzania danych osobowych i/lub wyrejestrowanie użytkownika z systemu informatycznego, 4) przygotowują, we współpracy z administratorem bezpieczeństwa, wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych. 7 Osoba upoważniona do przetwarzania danych osobowych jest zobowiązana przestrzegać następujących zasad: 1) dane osobowe należy przetwarzać wyłącznie w zakresie ustalonym przez administratora danych w upoważnieniu oraz w indywidualnym zakresie obowiązków służbowych i odpowiedzialności, jedynie w celu wykonywania tych obowiązków. Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego do rozpoczęcia pracy w systemie informatycznym, 2) należy zachować tajemnicę danych osobowych oraz przestrzegać procedur ich bezpiecznego przetwarzania, przede wszystkim dokonywać zmiany hasła dostępu do zbioru danych osobowych nie rzadziej niż co 30 dni. Przestrzeganie tajemnicy danych osobowych obowiązuje przez cały okres zatrudnienia, a także po rozwiązaniu stosunku pracy lub odwołaniu z pełnionej funkcji, 3) należy zapoznać się z przepisami prawa powszechnie obowiązującego w zakresie ochrony danych osobowych oraz postanowieniami niniejszej polityki bezpieczeństwa i instrukcji oraz złożyć oświadczenie potwierdzające ten fakt, 4) stosować określone przez administratora danych oraz administratora bezpieczeństwa procedury oraz wytyczne mające na celu zgodne z prawem przetwarzanie danych osobowych, 5) korzystać z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi

6 w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego, oprogramowania i nośników, 6) zabezpieczać dane przed ich udostępnianiem osobom nieupoważnionym Administrator danych, administrator bezpieczeństwa, administrator systemu, kierownicy komórek organizacyjnych, mają prawo wglądu do danych osobowych przetwarzanych w formie elektronicznej i/lub papierowej z uwagi na wykonywane czynności służbowe. 2. Pracownicy urzędu przetwarzający dane osobowe, w tym dane w systemie informatycznym, są obowiązani do dołożenia szczególnej staranności w celu ochrony interesu osób, których te dane dotyczą, a w szczególności przestrzegać zasad, aby dane osobowe były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetworzeniu niezgodnemu z tymi celami, 3) merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak w czasie nie dłuższym, niż jest to niezbędne do osiągnięcia celu przetwarzania. 9 Obowiązek przestrzegania tajemnicy danych osobowych dotyczy wszystkich pracowników, którzy mają dostęp do informacji o charakterze danych osobowych Przetwarzać dane osobowe może jedynie osoba upoważniona do przetwarzania danych osobowych, w tym użytkownik systemu informatycznego, a w czasie jej nieobecności osoba pełniąca zastępstwo, posiadająca upoważnienie wydane przez administratora danych. 2. Użytkownicy systemu informatycznego zostali wyposażeni w indywidualne identyfikatory i hasła. Szczegółowe procedury nadawania, rejestrowania i wyrejestrowywania użytkowników systemów zostały określone w instrukcji W przypadku utworzenia nowego zbioru danych osobowych, wynikającego z obowiązków nałożonych przepisami Ustawy lub nowymi zadaniami, kierownik komórki organizacyjnej lub pracownik na samodzielnym stanowisku pracy jest zobowiązany do przedłożenia administratorowi bezpieczeństwa projektu wniosku o zgłoszeniu zbioru danych Generalnemu

7 Inspektorowi Danych Osobowych. 2. W przypadku wprowadzenia zmian w istniejących zbiorach danych osobowych, osoby, o których mowa w ust. 1 niniejszego paragrafu, zobowiązane są przygotować projekt wniosku o zgłoszeniu zmian w zbiorze danych, nie później niż w ciągu 10 dni od daty dokonania modyfikacji w zbiorze danych. 3. Wnioski o utworzenie nowego zbioru danych osobowych oraz wnioski o zgłoszeniu zmian w zbiorach już istniejących przesyła się Generalnemu Inspektorowi Danych w formie elektronicznej i papierowej w terminie do 30 dni od dnia dokonania zmiany w zbiorze danych Informacje jednostkowe, wykazy, wydruki imienne, zestawienia zbiorcze bądź inne dane ze zbiorów danych osobowych, w tym z systemu informatycznego, zawierające dane osobowe mogą być wykonywane wyłącznie na pisemny umotywowany wniosek, chyba że przepisy powszechnie obowiązujące stanowią inaczej. 2. Wniosek powinien zawierać informacje, które umożliwiają wyszukanie w zbiorze danych osobowych, wskazują zakres i przeznaczenie tych danych. Rozdział III. Infrastruktura przetwarzania danych osobowych 13 Urząd Gminy Żyrzyn zlokalizowany jest w budynku pod adresem: ul. Powstania Styczniowego 10, Żyrzyn. Wykaz pomieszczeń budynku urzędu, w których przetwarzane są dane osobowe: Lokalizacja Komórka organizacyjna Referat Spraw Obywatelskich i Społecznych pokój nr 7 - parter Urząd Stanu Cywilnego szafa serwerowa - korytarz - parter pokój nr 8 - piętro Referat Finansowy i Podatkowy pokój nr 9 - piętro Sekretarz Gminy Referat Finansowy i Podatkowy pokój nr 10 - piętro Referat Inwestycji, Ochrony Środowiska i Promocji Gminy Stanowisko ds. Rozliczania Akcyzy Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do 14

8 przetwarzania tych danych: Nazwa zbioru Sposób przetwarzania Nazwa programu Producent programu Ewidencja ludności system informatyczny, Centralny Ośrodek Mikropesel kartoteka papierowa Informatyki Ewidencja dowodów system informatyczny, System Obsługi osobistych kartoteka papierowa Obywatela WASKO S.A. Akta stanu cywilnego system informatyczny, Centralny Ośrodek USC księgi Informatyki Ewidencja płac system informatyczny Płace Mikrobit Ewidencja kadrowa kartoteka papierowa Ewidencja podatników system informatyczny Podatki Mikrobit Ewidencja zwrotów akcyzy system informatyczny Akcyza Mikrobit Ewidencja Gospodarka system informatyczny gospodarowania odpadami odpadami Mikrobit Ewidencja wniosków o stypendia szkolne system informatyczny Excel Microsoft Rozdział IV. Opis zawartości zbiorów danych 15 W zbiorze ewidencja ludności gromadzone są dane mieszkańców gminy: - numer PESEL, - imiona i nazwisko, nazwisko rodowe, - imiona i nazwiska rodowe rodziców, - data i miejsce urodzenia, - numer aktu urodzenia, - stan cywilny, - data i miejsce zawarcia małżeństwa, - numer aktu małżeństwa, - numer PESEL, imiona i nazwisko rodowe małżonka, - data i sygnatura wyroku rozwodowego, - data i miejsce zgonu, - numer aktu zgonu, - data zgonu małżonka, - numer aktu zgonu małżonka, - adres i data zameldowania na pobyt stały, - data wymeldowania z pobytu stałego, - adres i data zameldowania na pobyt czasowy,

9 - data wymeldowania z pobytu czasowego, - rodzaj, seria, numer, data wystawienia, termin ważności, wystawca dokumentu tożsamości, - obywatelstwo, - płeć, - wzrost, - kolor oczu, 16 W zbiorze ewidencja dowodów osobistych gromadzone są dane posiadaczy dowodów osobistych: - numer PESEL, - imiona i nazwisko, nazwisko rodowe, - imiona rodziców, - nazwisko rodowe matki, - data i miejsce urodzenia, - kolor oczu, - wzrost, - płeć, - wizerunek twarzy, - adres zamieszkania, - seria, numer, data wystawienia, termin ważności, wystawca dokumentu tożsamości. 17 W zbiorze akta stanu cywilnego gromadzone są dane dotyczące urodzeń, małżeństw i zgonów: - data i miejsce urodzenia, małżeństwa i zgonu, - numer aktu urodzenia, małżeństwa i zgonu, - imiona i nazwisko rodowe, - nazwisko noszone po zawarciu małżeństwa, - płeć, - imiona i nazwiska rodowe rodziców, - daty i miejsca urodzenia rodziców. 18 W zbiorze ewidencja płac gromadzone są dane osób zatrudnionych w urzędzie: - imiona i nazwisko, nazwisko rodowe, - imiona i nazwiska rodowe rodziców,

10 - numer PESEL, - numer NIP, - numer konta bankowego, - data i miejsce urodzenia, - płeć, - seria, numer, data wystawienia, termin ważności, wystawca dokumentu tożsamości, - obywatelstwo, - adres zamieszkania, - dane o wynagrodzeniach. 19 W zbiorze ewidencja kadrowa gromadzone są dane osób zatrudnionych w urzędzie: - imiona i nazwisko, nazwisko rodowe, - imiona i nazwiska rodowe rodziców, - numer PESEL, - numer NIP, - data i miejsce urodzenia, - płeć, - seria, numer, data wystawienia, termin ważności, wystawca dokumentu tożsamości, - obywatelstwo, - adres zamieszkania, - okres i forma zatrudnienia, - czas pracy i nieobecności. 20 W zbiorze ewidencja podatników gromadzone są dane płatników podatków gminnych: - imiona i nazwisko, - imiona rodziców, - data urodzenia, - seria, numer, data wystawienia, wystawca dokumentu tożsamości, - adres zameldowania, - adres korespondencyjny, - numer PESEL, - numer NIP, - numer, położenie i powierzchnia nieruchomości.

11 21 W zbiorze ewidencja zwrotów akcyzy gromadzone są dane płatników podatku akcyzowego: - imiona i nazwisko, - imiona rodziców, - data urodzenia, - seria, numer, data wystawienia, wystawca dokumentu tożsamości, - adres zameldowania, - adres korespondencyjny, - numer PESEL, - numer NIP, - numer i położenie nieruchomości, - numer konta bankowego. 22 W zbiorze ewidencja gospodarowania odpadami gromadzone są dane osób, wnoszących opłaty za odbiór odpadów komunalnych: - imiona i nazwisko, - imiona rodziców, - data urodzenia, - seria, numer, data wystawienia, wystawca dokumentu tożsamości, - adres zameldowania, - adres korespondencyjny, - numer PESEL, - numer NIP, - adres nieruchomości. 23 W zbiorze ewidencja wniosków o stypendia szkolne gromadzone są dane osób, wnioskujących o przyznanie stypendium szkolnego: - imiona i nazwisko, - imiona rodziców, - data urodzenia, - seria, numer, data wystawienia, wystawca dokumentu tożsamości, - adres zameldowania,

12 - numer PESEL, - ilość osób w rodzinie, - wysokość dochodów. Programy przetwarzające zbiory danych są autonomiczne, nie występuje między nimi żaden przepływ danych. 24 Rozdział V. Organizacyjne i fizyczne sposoby zabezpieczenia danych osobowych Budynek i pomieszczenia, w których są przetwarzane dane osobowe, są zamykane na czas nieobecności w nich osób upoważnionych do przetwarzaniu danych, uniemożliwiając dostęp innym osobom. 2. Po godzinach pracy administrator danych zapewnia monitoring oraz ochronę pomieszczeń, gdzie są przetwarzane dane osobowe. 3. Kierownicy komórek organizacyjnych odpowiadają za zabezpieczenie pomieszczeń biurowych, w których są przetwarzane dane osobowe oraz sprawują nadzór nad przestrzeganiem zasad ochrony danych osobowych w komórce organizacyjnej. 26 Na czas remontu pomieszczeń oraz w czasie innych okoliczności zakłócających normalny tryb pracy, osoby upoważnione do przetwarzania danych osobowych, zobowiązane są do należytego zabezpieczenia dokumentów i sprzętu. 27 Osoby przebywające na praktyce zawodowej, na stażu lub na przygotowaniu zawodowym podlegają wyznaczonemu przez Wójta Gminy opiekunowi, który ponosi odpowiedzialność za zorganizowanie pracy tym osobom, z zachowaniem pełnego bezpieczeństwa w zakresie dostępu do danych osobowych osób nieuprawnionych Administrator bezpieczeństwa przeprowadza szkolenia w zakresie ochrony danych osobowych według następujących zasad: 1) każda osoba, która ma zostać upoważniona do przetwarzania danych osobowych musi zostać

13 przeszkolona, 2) szkolenia wewnętrzne wszystkich osób upoważnionych do przetwarzania danych osobowych przeprowadzane są w przypadku każdej zmiany zasad lub procedur ochrony danych osobowych, 3) przeprowadza się szkolenia dla osób innych niż upoważnione do przetwarzania danych, jeśli pełnione przez nie funkcje wiążą się z bezpieczeństwem danych osobowych. 2. Tematyka szkoleń obejmuje: 1) przepisy i procedury dotyczące ochrony danych osobowych, sporządzania i przechowywania ich kopii, niszczenia wydruków i zapisów na nośnikach zawierających dane osobowe, 2) sposoby ochrony danych przed osobami postronnymi i procedury udostępniania danych osobom, których one dotyczą, 3) obowiązki osób upoważnionych do przetwarzania danych osobowych 4) odpowiedzialność za naruszenie obowiązków z zakresu ochrony danych osobowych, 5) zasady i procedury określone w polityce bezpieczeństwa i instrukcji. Rozdział VI. Zabezpieczenie systemu informatycznego, sprzętu i nośników danych Serwer plików jest umieszczony w zamykanej na klucz szafie serwerowej, postawionej na korytarzu, na parterze budynku urzędu. Dostęp do serwera posiada wyłącznie administrator systemu. 2. Administrator systemu na bieżąco instruuje Użytkowników, jak prawidłowo eksploatować system informatyczny. 3. Wszystkie urządzenia systemu informatycznego, które uczestniczą w procesach przetwarzania danych osobowych, są zasilane za pośrednictwem zasilaczy awaryjnych. 4. Osoba przetwarzająca dane osobowe, która nie posiada zasilacza awaryjnego na swoim stanowisku pracy lub jest on uszkodzony i działa nieprawidłowo, zobowiązana jest poinformować o tym niezwłocznie administratora bezpieczeństwa Naprawa oraz bieżąca konserwacja sprzętu i oprogramowania wykorzystywanego do przetwarzania danych osobowych wykonywana jest osobiście przez administratora systemu. W uzasadnionych przypadkach konserwacja i naprawa wykonywana jest przez serwisanta w miejscu korzystania ze sprzętu. W przypadku braku możliwości wykonania konserwacji i naprawy w miejscu korzystania ze sprzętu, należy zawrzeć z serwisantem umowę

14 zobowiązującą do zachowania w tajemnicy danych osobowych, które mogą być przetwarzane w trakcie realizacji usługi serwisowej (konserwacji i naprawy), określającą kary umowne za naruszenie bezpieczeństwa danych. 2. Dopuszcza się konserwację i naprawę sprzętu poza siedzibą urzędu jedynie po trwałym usunięciu danych osobowych. Zużyty sprzęt wykorzystywany do przetwarzania danych osobowych może być przeznaczony do likwidacji dopiero po trwałym usunięciu danych, a urządzenia uszkodzone mogą być przekazywane w celu utylizacji właściwym podmiotom, posiadającym zezwolenia w tym zakresie. 31 Osoba upoważniona do przetwarzania danych osobowych, zobowiązana jest przestrzegać następujące zasady zabezpieczenia i przetwarzania danych: 1) ekrany komputerów powinny być tak ustawione, by osoby niepowołane nie mogły widzieć ich zawartości, 2) zabrania się pozostawiania bez kontroli dokumentów, nośników danych i sprzętu komputerowego, przy czasowej nieobecności na stanowisku pracy, 3) nakazuje się dbać o prawidłową wentylację komputerów (nie można zasłaniać kratek wentylatorów komputerowych), 4) zabrania się podłączania do listew podtrzymujących napięcie przeznaczonych dla sprzętu komputerowego innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. grzejniki, czajniki, wentylatory), 5) zobowiązuje się do bezpiecznego użytkowania i przechowywania akt, dyskietek, pamięci przenośnych i komputerów przenośnych, 6) z wyłączeniem administratora systemu, administratora danych oraz administratora bezpieczeństwa, zabrania się samodzielnej ingerencji w oprogramowanie i konfigurację powierzonego sprzętu, 7) zobowiązuje się do przestrzegania swoich uprawnień tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń administratora bezpieczeństwa, administratora danych oraz administratora systemu, 8) opuszczenie stanowiska pracy może nastąpić po wylogowaniu lub aktywowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej w inny sposób, 9) zabrania się wynoszenia poza siedzibę urzędu na jakichkolwiek nośnikach całych zbiorów danych oraz obszernych z nich wypisów, 10) nakazuje się niszczenie w niszczarce lub chowanie do szaf zamykanych na klucz wszelkich wydruków zawierających dane osobowe, przed opuszczeniem miejsca pracy, po jej zakończeniu,

15 11) zabrania się pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności osoby upoważnionej do przetwarzania danych osobowych, 12) nakazuje się chowanie do zamykanych na klucz szaf, wszelkich akt zawierających dane osobowe, przed opuszczeniem miejsca pracy, po jej zakończeniu, umieszczanie kluczy do szaf w ustalonym, przeznaczonym do tego miejscu, zamykanie okien w razie opadów lub innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu danych osobowych, a także, w razie opuszczania pomieszczenia, zamykanie drzwi pokoju na klucz. Rozdział VII. Kontrola dostępu do systemu i sieci Administrator systemu uwierzytelnia się w systemie informatycznym za pomocą zestawów identyfikatorów i haseł. Ze względów bezpieczeństwa identyfikatory i hasła administratora systemu są znane wyłącznie jemu. Identyfikatory i hasła administratora systemu przechowywane są w zamkniętej kopercie w sejfie ognioodpornym, do którego dostęp mają wyłącznie administrator danych i administrator systemu. 2. Poszczególnym użytkownikom przydziela się konta opatrzone niepowtarzalnym identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania. administrator systemu na polecenie kierownika komórki organizacyjnej, w której dany użytkownik pracuje, przydziela pracownikowi upoważnionemu do przetwarzania danych konto w systemie informatycznym, dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem System informatyczny posiada szerokopasmowe połączenie z Internetem. 2. W celu separacji sieci lokalnej od sieci publicznej wykorzystuje się centralną zaporę sieciową oraz translację adresów NAT. 3. Korzystanie z zasobów sieci lokalnej jest możliwe tylko w zakresie uprawnień przypisanych przez administratora systemu. Rozdział VIII. Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego 34 Za naruszenie bezpieczeństwa danych osobowych uznaje się w szczególności:

16 1) brak możliwości fizycznego dostępu do danych, np. zgubione klucze do pomieszczeń, szaf lub mebli biurowych, w których przechowywane są dane lub zniszczenia mebli, sprzętu komputerowego lub nośników informacji albo ich kradzież, 2) brak możliwości dostępu do baz danych osobowych - gdy zbiór istnieje lecz jest problem z otworzeniem zbioru, 3) modyfikację zawartości zbioru danych, 4) podejrzenie lub stwierdzenie faktu nieuprawnionego dostępu do bazy danych lub pomieszczenia, w którym ten zbiór jest przetwarzany, 5) nieprawidłowe funkcjonowanie systemu, a w szczególności pojawianie się komunikatów o błędach w wykonywaniu operacji, 6) zniszczenie lub stwierdzenie próby zniszczenia, w sposób nieautoryzowany, danych ze zbioru prowadzonego w formie papierowej lub przetwarzanych w systemach informatycznych, 7) zmianę lub utratę danych znajdujących się na kopiach zapasowych, 8) nieskuteczne zniszczenie nośników informacji występujących zarówno w formie wydruków papierowych, jak i nośników magnetycznych, które umożliwia ich ponowny odczyt przez osoby nieuprawnione, 9) próbę nielegalnego logowania się do systemu lub włamania do systemu informatycznego Użytkownik zobowiązany jest zawiadomić administratora bezpieczeństwa o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa danych osobowych, w tym systemu informatycznego, a w szczególności o: 1) naruszeniu hasła dostępu i identyfikatora (system nie reaguje na hasło lub je ignoruje), 2) naruszeniu zawartości zbioru, 3) częściowym lub całkowitym braku dostępu do danych albo dostępie do danych w zbiorze w zakresie szerszym niż wynikający z przyznanych uprawnień, 4) braku dostępu do właściwego programu lub zmianie zakresu wyznaczonego dostępu do zasobów serwera, 5) wykryciu wirusa komputerowego, 6) zauważeniu elektronicznych śladów próby włamania do systemu informatycznego, 7) znacznym spowolnieniu działania systemu informatycznego, 8) podejrzeniu kradzieży sprzętu komputerowego, elektronicznych nośników informacji lub dokumentów zawierających dane osobowe, 9) naruszeniu technicznego stanu urządzeń lub zmianie położenia sprzętu komputerowego, 10) zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych

17 szaf, 11) wystąpieniu zdarzenia losowego (np. zalanie, pożar), 2. Do czasu przybycia na miejsce administratora bezpieczeństwa należy: 1) o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie uwzględnić w działaniu również ustalenie jego przyczyn lub sprawców, 2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, 3) zaniechać - o ile to możliwe - dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę, 4) zastosować się do instrukcji i regulaminów lub dokumentacji programu, jeśli odnoszą się one do zaistniałego przypadku, 5) przygotować opis zdarzenia, 6) nie opuszczać, bez uzasadnionej przyczyny miejsca zdarzenia. 3. Administrator bezpieczeństwa po otrzymaniu zawiadomienia, o którym mowa w ust. 1 niniejszego paragrafu, powinien niezwłocznie podjąć działania mające na celu analizę i usunięcie zaistniałego zagrożenia, a w szczególności: 1) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia ochrony danych osobowych, w tym dokonać oceny stanu pomieszczeń, urządzeń wykorzystywanych do przetwarzania danych osobowych, działania programu służącego do przetwarzania danych i zawartości zbioru danych, 2) zabezpieczyć dowody wskazujące na naruszenie systemu informatycznego, 3) dokonać analizę relacji osoby, która dokonała powiadomienie, 4) zapisać wszelkie informacje związane z danym zdarzeniem, 5) podjąć działania mające na celu zidentyfikowanie rodzaju zaistniałego zdarzenia, sprawcy, miejsca, czasu i sposobu naruszenia ochrony oraz ocenę skali zniszczeń, 6) w zależności od zakresu naruszenia ochrony, zaproponować działania naprawcze i wydać użytkownikowi stosowne polecenia oraz wskazówki odnośnie obsługi urządzeń, 7) w przypadku stwierdzenia faktycznego naruszenia bezpieczeństwa danych, w tym systemu informatycznego, sporządzić raport naruszenia bezpieczeństwa danych osobowych, a następnie niezwłocznie przekazać jego kopię administratorowi danych. 4. Raport, o którym mowa w ust 3 pkt 7 niniejszego paragrafu, powinien zawierać w szczególności: 1) dane osoby stwierdzającej naruszenie, 2) datę, godzinę i miejsce naruszenia, 3) czas powiadomienia o zaistniałym zdarzeniu, opis czynności zmierzających do usunięcia

18 zidentyfikowanego zagrożenia, 4) wnioski do realizacji. Wzór raportu określono w załączniku do niniejszej polityki bezpieczeństwa. 5. Administrator bezpieczeństwa może zarządzić, w razie potrzeby, odłączenie części systemu informatycznego dotkniętej ww. naruszeniem, od pozostałej jego części. 6. Administrator systemu jest zobowiązany niezwłocznie przywrócić normalny stan funkcjonowania systemu informatycznego, przy czym w przypadku uszkodzenia bazy danych, niezbędne jest jej odtworzenie z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego uzyskania dostępu tą samą drogą przez osobę niepowołaną. 7. W razie odtwarzania danych z kopii zapasowych, administrator systemu obowiązany jest upewnić się, że odtwarzane dane zapisane zostały przed wystąpieniem ww. zdarzenia (dotyczy to zwłaszcza przypadków tzw. infekcji wirusowej). 8. Administrator bezpieczeństwa wydaje zgodę na ponowne uruchomienie komputera lub innych urządzeń oraz na kontynuowanie przetwarzania danych osobowych. 9. Po przywróceniu prawidłowego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości Administrator danych, po zapoznaniu się z raportem, o którym mowa w 35 ust. 4 niniejszej polityki bezpieczeństwa, podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo systemu informatycznego, bądź zastosowaniu środków ochrony fizycznej. 2. Administrator systemu zobowiązany jest do informowania administratora danych o awariach systemu informatycznego, zauważonych przypadkach naruszenia niniejszej polityki bezpieczeństwa i instrukcji przez użytkowników, a zwłaszcza o przypadkach posługiwania się przez użytkowników nieautoryzowanymi programami, niewłaściwego wykorzystania sprzętu komputerowego i oprogramowania lub przetwarzania danych w sposób niezgodny z procedurami ochrony danych osobowych. Rozdział IX. Postanowienia końcowe Użytkownik upoważniony do przetwarzania danych osobowych w formie elektronicznej i/lub

19 papierowej zobowiązany jest do zapoznania się z niniejszą polityką bezpieczeństwa, instrukcją i stosowania na swoim stanowisku pracy, przepisów w nich zawartych. 2. Naruszenie przez użytkownika postanowień niniejszej polityki bezpieczeństwa stanowi podstawę do pociągnięcia go do odpowiedzialności porządkowej lub dyscyplinarnej, odszkodowawczej i karnej uregulowanej odrębnymi przepisami prawa.