POLITYKA BEZPIECZEŃSTWA INFORMACJI W STAROSTWIE POWIATOWYM W SANDOMIERZU

Transkrypt

1 Załącznik nr 1 do Zarządzenia Nr 15/2014 Starosty Sandomierskiego z dnia r. POLITYKA BEZPIECZEŃSTWA INFORMACJI W STAROSTWIE POWIATOWYM W SANDOMIERZU WPROWADZENIE Niniejszy dokument jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach administrowanych w Starostwie Powiatowym w Sandomierzu. Potrzeba jego opracowania wynika z 4 rozporządzenia Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171, poz. 1433) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 1. Polityka bezpieczeństwa" określa tryb postępowania w przypadku, gdy: a. naruszenie zabezpieczenia systemu informatycznego, b. stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci. informatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Polityka bezpieczeństwa" obowiązuje wszystkich użytkowników systemów Starostwa Powiatowego w Sandomierzu. 3. Wykonywanie postanowień tego dokumentu ma zapewnić właściwą reakcję, ocenę i udokumentowanie przypadków naruszenia bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w celu przywrócenia bezpieczeństwa danych przetwarzanych w systemach informatycznym Starostwa. 4. Administrator Danych Osobowych, wyznacza Administratora Bezpieczeństwa Informacji oraz osobę upoważnioną do jego zastępowania. 5. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie ochrony danych, a w szczególności: a. ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów informatycznych Starostwa, b. podejmowania stosownych działań zgodnie z niniejszą Polityką bezpieczeństwa " w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym, c. nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych. 6. Osoba zastępująca Administratora Bezpieczeństwa Informacji powyższe zadania

2 realizuje w przypadku nieobecności Administratora Bezpieczeństwa. 7. Osoba zastępująca składa Administratorowi Bezpieczeństwa Informacji relację z podejmowanych działań w czasie jego zastępstwa. Niniejszy dokument jest zgodny z następującymi aktami prawnymi: 1) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.), 2) rozporządzeniem Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171, poz. 1433), 3) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

3 Rozdział 1 POJĘCIA PODSTAWOWE 1) Urząd - Starostwo Powiatowe w Sandomierzu. 2) Dane osobowe - każda informacja dotycząca osoby fizycznej pozwalająca na określenie tożsamości tej osoby. 3) Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 4) Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. 5) Administrator Danych Osobowych - należy przez to rozumieć Starostę Sandomierskiego. 6) Administrator Bezpieczeństwa Informacji - należy przez to rozumieć pracownika urzędu lub inną osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych. 7) Administrator Systemu Informatycznego - należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony. 8) System informatyczny - należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji, narzędzi programowych zastosowanych w celu przetwarzania danych. 9) Użytkownik systemu - należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym urzędu. Użytkownikiem może być pracownik urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno prawnej, osoba odbywająca staż w urzędzie, wolontariusz. Rozdział 2 ZABEZPIECZENIE DANYCH OSOBOWYCH 1. Administrator Bezpieczeństwa Informacji jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w systemach informatycznych Urzędu, a w szczególności: a. zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, b. zapobiegać przed zabraniem danych przez osobę nieuprawnioną, c. zapobiegać przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych.

4 2. Do zastosowanych środków technicznych należy: a. przetwarzanie danych osobowych w wydzielonych pomieszczeniach położonych w strefie administracyjnej, b. zabezpieczenie wejścia do pomieszczeń, o których mowa w pkt. a, c. wyposażenie pomieszczeń w szafy dające gwarancję bezpieczeństwa dokumentacji. 3. Do zastosowanych środków organizacyjnych należą przede wszystkim następujące zasady: a. zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych, przed dopuszczeniem jej do pracy przy przetwarzaniu danych, b. nadanie upoważnień osobom przetwarzającym dane, c. przeszkolenie osób, o których mowa w pkt. a, w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych, d. kontrolowanie otwierania i zamykania pomieszczeń, w których są przetwarzane dane osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna pracę oraz zamknięciu pomieszczenia przez ostatnią wychodzącą osobę. 4. Niezależnie od zasad opisanych w dokumencie Polityka bezpieczeństwa" w zakresie bezpieczeństwa mają zastosowanie wszelkie wewnętrzne regulaminy lub instrukcje dotyczące bezpieczeństwa osób i zasobów informacyjnych oraz indywidualne zakresy zadań osób przetwarzających dane osobowe w określonym systemie. 5. Administrator Bezpieczeństwa Informacji sporządzi: a. wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, b. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, c. instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Rozdział 3 KONTROLA PRZESTRZEGANIA ZASAD ZABEZPIECZENIA DANYCH OSOBOWYCH 1. Administrator Bezpieczeństwa Informacji sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz zasad ustanowionych w niniejszym dokumencie. Rozdział 4 OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH 1. Podział zagrożeń: a. zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może

5 prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych. b. zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych. c. zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie: a. sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp., b. niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych, c. awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru, d. pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, e. jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, f. nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, g. stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji), h. nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie, i. ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń, j. praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., k. ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. "bocznej furtki", itp., l. podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe, m. rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w

6 drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, dyskietkach w formie niezabezpieczonej itp. Rozdział 5 POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH OSOBOWYCH 1. W przypadku stwierdzenia naruszenia: a. zabezpieczenia systemu informatycznego, b. technicznego stanu urządzeń, c. zawartości zbioru danych osobowych, d. ujawnienia metody pracy lub sposobu działania programu, e. jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych, f. innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, itp.), każda osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji. 2. W razie niemożliwości zawiadomienia Administratora Bezpieczeństwa Informacji lub osoby przez niego upoważnionej, należy powiadomić bezpośredniego przełożonego. 3. Do czasu przybycia na miejsce naruszenia ochrony danych osobowych Administratora Bezpieczeństwa Informacji lub upoważnionej przez niego osoby, należy: a. niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców, b. rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, c. zaniechać - o ile to możliwe - dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę, d. podjąć inne działania przewidziane i określone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzyszących naruszeniu, e. podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego, dokumentacji bazy danych lub aplikacji użytkowej, f. zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku, g. udokumentować wstępnie zaistniałe naruszenie, h. nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji lub osoby upoważnionej.

7 4. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, Administrator Bezpieczeństwa Informacji lub osoba go zastępująca: a. zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy Starostwa, b. może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem, c. rozważa celowość i potrzebę powiadamia o zaistniałym naruszeniu Administratora Danych Osobowych, d. nawiązuje bezpośredni kontakt, jeżeli zachodzi taka potrzeba, ze specjalistami spoza Urzędu. 5. Administrator Bezpieczeństwa Informacji dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg wzoru stanowiącego załącznik nr 2, który powinien zawierać w szczególności: a. wskazanie osoby powiadamiającej o naruszeniu oraz innych osób zaangażowanych lub odpytanych w związku z naruszeniem, b. określenie czasu i miejsca naruszenia i powiadomienia, c. określenie okoliczności towarzyszących i rodzaju naruszenia, d. wyszczególnienie wziętych faktycznie pod uwagę przesłanek do wyboru metody postępowania i opis podjętego działania, e. wstępną ocenę przyczyn wystąpienia naruszenia, f. ocenę przeprowadzonego postępowania wyjaśniającego i naprawczego. 6. Raport, o którym mowa w ust. 5, Administrator Bezpieczeństwa Informacji niezwłocznie przekazuje Administratorowi Danych Osobowych, a w przypadku jego nieobecności osobie uprawnionej. 7. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu Administrator Bezpieczeństwa Informacji zasięga niezbędnych opinii i proponuje postępowanie naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych, włącznie z zawieszeniem lub odebraniem uprawnień użytkownikowi. 8. Zaistniałe naruszenie może stać się przedmiotem szczegółowej, zespołowej analizy prowadzonej przez Administratora Danych Osobowych i Administratora Bezpieczeństwa Informacji. 9. Analiza, o której mowa w ust. 8, powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.

8 Rozdział 6 POSTANOWIENIA KOŃCOWE 1. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, Administrator Bezpieczeństwa Informacji wszczyna postępowanie dyscyplinarne. 2. Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych. 3. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu będą potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora Bezpieczeństwa Informacji. 4. Orzeczona kara dyscyplinarna, wobec osoby uchylającej się od powiadomienia Administratora Bezpieczeństwa Informacji nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. 5. W sprawach nie uregulowanych niniejszym dokumentem mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz. U. Nr 100, poz. 1023).

9 Załącznik nr 1 do Polityki bezpieczeństwa informacji w Starostwie Powiatowym w Sandomierzu" z dnia r. 1. Wykaz budynków oraz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe. Miejscem przetwarzania danych osobowych są pomieszczenia pracy komórek organizacyjnych Starostwa Powiatowego w Sandomierzu przy ulicy Mickiewicza 34. Lp. Adres - budynek Lokalizacja 1 Sandomierz, ul Mickiewicza 34, IV piętro Sekretariat Sandomierz, ul Mickiewicza 34, Parter Wydział Geodezji, Kartografii, Katastru i Nieruchomości ZUD, MAPY 3 Sandomierz, ul Mickiewicza 34, Parter Wydział Komunikacji i Transportu 4 Sandomierz, ul Mickiewicza 34, II Piętro Wydział Geodezji, Kartografii, Katastru i Nieruchomości, Wydział Rolnictwa i Ochrony Środowiska, Wydział Organizacyjny, Spraw Obywatelskich i Ochrony Zdrowia, Samodzielne Stanowiska 5 Sandomierz, ul Mickiewicza 34, III Piętro Wydział Architektury i Budownictwa, Samodzielne Stanowiska 6 Sandomierz, ul Mickiewicza 34, IV piętro Wydział Finansowo Budżetowy, Wydział Oświaty, Kultury i Sportu, Wydział Organizacyjny, Spraw Obywatelskich i Ochrony Zdrowia, Samodzielne Stanowiska, Zarząd Powiatu 2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Za zbiór danych osobowych przetwarzanych w Starostwie Powiatowym w Sandomierzu uważa się: 1) dokumentację papierową (korespondencja, wnioski, deklaracje, itd.), 2) systemy informatyczne przetwarzania danych oraz oprogramowanie komputerowe służące do przetwarzania informacji, 3) wydruki komputerowe.

10 Lp. Nazwa zbioru Sposób wprowadzenia Nazwa programu 1. EWIDENCJA OŚRODKÓW SZKOLENIA Forma papierowa Forma KIEROWCÓW 2. EWIDENCJA INSTRUKTORÓW PRAWA JAZDY Forma papierowa Forma 3. EWIDENCJA STACJI KONTROLI POJAZDÓW Forma papierowa Forma 4. EWIDENCJA POJAZDÓW Forma papierowa Forma 5. EWIDENCJA WYDANYCH LICENCJI NA Forma papierowa Forma KRAJOWY PRZEWÓZ DROGOWY OSÓB LUB RZECZY 6. EWIDENCJA ZAŚWIADCZEŃ NA PRZEWOZY NA POTRZEBY WŁASNE Forma papierowa Forma 7. EWIDENCJA DIAGNOSTÓW Forma papierowa Forma 8. EWIDENCJA KIEROWCÓW Forma papierowa Forma 9. EWIDENCJA POZWOLEŃ NA BUDOWĘ Forma papierowa Forma 10. EWIDENCJA GRUNTÓW I BUDYNKÓW Forma papierowa Forma 11. SYSTEM EWIDENCJI ZGŁOSZEŃ Forma papierowa Forma BUDOWY/ROBÓT BUDOWLANYCH I ZMIANY SPOSOBU UŻYTKOWANIA OBIEKTU 12. REJESTRY WYDAWANYCH KART Forma papierowa Forma WĘDKARSKICH I ZAŚWIADCZEŃ O REJESTRACJI SPRZĘTU PŁYWAJĄCEGO SŁUŻĄCEGO DO POŁOWU RYB 13. EWIDENCJA DECYZJI I WNIOSKÓW NA Forma papierowa Forma SPROWADZENIE ZWŁOK/SZCZĄTKÓW ZZA GRANICY 14. SYSTEM INFORMACJI OŚWIATOWEJ Forma papierowa Forma 15. PUMA (MODUŁ FINANSOWO-KSIĘGOWY) Forma papierowa Forma 16. PUMA (MODUŁ KADROWO-PŁACOWY) Forma papierowa Forma 17. PUMA (MODUŁ NIERUCHOMOŚCI) Forma papierowa Forma 18. DANE O UBEZPIECZONYCH W ZUS Forma papierowa Forma 19. OPŁATY Z WYDZIALU GEODEZJI Forma papierowa Forma 20. REJESTR POZWOLEŃ NA BUDOWĘ I ZMIANĘ Forma papierowa Forma UŻYTKOWANIA ORAZ ZGŁOSZEŃ BUDOWY BEZ POZWOLENIA NA BUDOWĘ 21. REJESTR POZWOLEŃ NA HODOWLĘ CHARTÓW Forma papierowa Forma 22. WYKAZ UŻYTKOWNIKÓW WIECZYSTYCH Forma papierowa Forma, Mienie 23. WYKAZ WYKONAWCÓW ROBÓT GEODEZYJNYCH - PROGRAM "OŚRODEK" Forma papierowa Forma CEPiK CEPiK SIO PUMA PUMA PUMA PŁATNIK Ośrodek Forma papierowa Forma, Mienie Forma papierowa Forma, Ośrodek

11 24. OŚWIADCZENIA MAJĄTKOWE RADNYCH POWIATU SANDOMIERSKIEGO 25. OŚWIADCZENIA MAJĄTKOWE CZŁONKA ZARZĄDU POWIATU, SEKRETARZA, SKARBNIKA, KIEROWNIKA JEDNOSTKI ORGANIZACYJNEJ POWIATU ORAZ OSOBY WYDAJĄCEJ DECYZJE ADMINISTRACYJNE W IMIENIU STAROSTY Forma papierowa Forma Forma papierowa Forma Forma papierowa Forma

12 Załącznik nr 2 do Polityki bezpieczeństwa informacji w Starostwie Powiatowym w Sandomierzu" z dnia r. W z ó r R A P O R T z naruszenia bezpieczeństwa systemu informatycznego w Starostwie Powiatowym w Sandomierzu. Data: Godzina: Osoba powiadamiająca o zaistniałym zdarzeniu: (imię, nazwisko, stanowisko służbowe, nazwa użytkownika -jeśli występuje) 3 Lokalizacja zdarzenia: (np. nr pokoju, nazwa pomieszczenia) 4 Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: 5 Podjęte działania: 6 Przyczyny wystąpienia zdarzenia: 7 Postępowanie wyjaśniające: data, podpis Administratora Bezpieczeństwa Informacji

13 Załącznik nr 3 do Polityki bezpieczeństwa informacji w Starostwie Powiatowym w Sandomierzu" z dnia r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH Rozdział 1 Zasady ogólne 8 Przez użyte w Instrukcji następujące określenia należy rozumieć: 1) Administrator Danych Osobowych (ADO) - Starosta Sandomierski, 2) Administrator Bezpieczeństwa Informacji (ABI) - wyznaczony przez Administratora Danych Osobowych pracownik, 3) Administrator Systemu Informatycznego (ASI) - wyznaczony przez Administratora Danych Osobowych pracownik osobowych przetwarzanych w systemach informatycznych, odpowiedzialny za nadzór i bezpieczeństwo danych 4) kierującego komórką organizacją- naczelnika wydziału, kierownika referatu w którym zatrudniony jest pracownik, przetwarzający dane osobowe, 5) użytkownik - każda osoba, której przydzielono uprawnienia pozwalające na korzystanie z systemu informatycznego i przetwarzanie danych w nim zawartych. 9 Do kompetencji Administratora Danych Osobowych należy prowadzenie całokształtu spraw związanych z przetwarzaniem danych osobowych, a w szczególności: 1) kontrola i nadzór w zakresie przestrzegania zasad i procedur przetwarzania danych osobowych w Starostwie z uwzględnieniem kryterium celowości i adekwatności oraz warunków organizacyjnotechnicznych, 2) rejestracja zbiorów danych osobowych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych, o ile nie została ta czynność powierzona innej osobie, 3) podpisywanie umowy o powierzeniu danych osobowych podmiotowi zewnętrznemu oraz kontrolę przestrzegania prawa przez strony umowy, 4) wydawanie upoważnień do przetwarzania danych osobowych oraz prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych. 10 Administrator Bezpieczeństwa Informacji, z upoważnienia Administratora Danych Osobowych: 1) kontroluje i nadzoruje przestrzegania zasad i procedur przetwarzania danych osobowych w Starostwie z uwzględnieniem kryterium celowości i adekwatności oraz warunków organizacyjno-technicznych, 2) zarządza i nadzoruje systemem informatycznym, gdzie przetwarzane są dane osobowe, 3) podejmuje działanie w przypadku naruszenia lub podejrzenia naruszenia systemu informatycznego. 11 Kierujący komórką organizacyjną wykonuje czynności przetwarzania danych osobowych w

14 ramach zbiorów, funkcjonujących w podległej komórce organizacyjnej, z upoważnienia Administratora Danych Osobowych. 12 Pracownik komórki organizacyjnej dokonuje czynności przetwarzania danych osobowych, z upoważnienia Administratora Danych Osobowych, wydanego na wniosek kierującego komórką organizacyjną. 13 Administrator Systemu Informatycznego: 1. nadzoruje naprawy, konserwację oraz likwidację urządzeń komputerowych, na których zapisane są dane osobowe, 2. zarządza hasłami użytkowników nadzoruje przestrzeganie procedur określających częstotliwość ich zmiany, 3. nadzoruje czynności związane z prowadzeniem systemu w zakresie obecności wirusów komputerowych, częstotliwości ich sprawdzania oraz nadzoruje wykonywanie procedur uaktualniania systemów antywirusowych i ich konfiguracji, 4. nadzoruje wykonywanie i przechowywanie kopii awaryjnych, 5. nadzoruje przeglądy, konserwacje oraz uaktualnia systemy służące do przetwarzania danych osobowych. Rozdział 2 Procedura nadawania uprawnień do przetwarzania danych 1. Administrator Danych Osobowych może upoważnić do udostępnienia danych osobowych w zakresie szczegółowo określonych zbiorów Starostwa: 1) kierującego komórką organizacyjną na wniosek właściwego w sprawach nadzoru Wicestarosty, Skarbnika lub Sekretarza Powiatu, 2) pozostałych pracowników komórek organizacyjnych na wniosek kierującego komórką organizacyjną. 2. W okolicznościach zmiany zakresu obowiązków bądź stanowiska lub funkcji, Administrator Danych Osobowych cofa upoważnienie, na uzasadniony wniosek odpowiednich osób - analogicznie jak w ust W przypadku przyjęcia do pracy nowego pracownika, którego zakres obowiązków obejmować będzie przetwarzanie danych osobowych, kierujący komórką organizacyjną zobowiązany jest zwrócić się do Administratora Bezpieczeństwa Informacji o wydanie upoważnienia do przetwarzania danych. Wzór upoważnienia stanowi załącznik nr 1 do niniejszej instrukcji. 4. Pracownik, któremu udzielono upoważnienia, o którym mowa w ust. 3, jest zobowiązany do podpisania oświadczenia o zapoznaniu się z Polityką bezpieczeństwa informacji w Starostwie Powiatowym w Sandomierzu" oraz niniejszą instrukcją. Wzór oświadczenia stanowi załącznik nr 2 do niniejszej instrukcji. 5. Upoważnienie, o którym mowa w ust. 3 oraz oświadczenie, o którym mowa w ust. 4 przechowuje się w aktach osobowych pracownika. 6. W przypadku nawiązania stosunku pracy na stanowisku kierującego komórką organizacyjną, w zakresie której jest prowadzenie zbiorów danych osobowych Administrator Danych Osobowych wydaje stosowne upoważnienie, na wniosek ABI. 7. W przypadku zmiany na stanowisku kierującego komórką organizacyjną, Administrator Danych

15 Osobowych, na wniosek ABI bezzwłocznie wydaje bądź cofa stosowne upoważnienie. 8. Zakres upoważnienia i odpowiedzialności kierownika komórki organizacyjnej określa upoważnienie Administratora Danych Osobowych. 9. Rozwiązanie stosunku pracy w okresie obowiązywania upoważnienia powoduje jego wygaśnięcie. 10. Administrator Bezpieczeństwa Informatycznego prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 11. Stanowisko do spraw kadr oraz Administrator Bezpieczeństwa Informatycznego zobowiązany jest do współpracy w zakresie aktualizacji ewidencji osób upoważnionych do przetwarzania danych. 12. W przypadku konieczności utworzenia nowego zbioru danych, wynikającej z obowiązków nałożonych przepisami ustawy bądź nowymi zadaniami, kierujący komórką organizacyjną jest zobowiązany niezwłocznie - nie później jednak niż w ciągu 30 dni od dnia powstania obowiązku utworzenia zbioru - złożyć Administratorowi Bezpieczeństwa Informacji projekt wniosku o zarejestrowanie zbioru danych osobowych, który to wniosek stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U z 2004 r. Nr 100, poz. 1025). 13. W obiegu zewnętrznym dane osobowe udostępnia ze zbioru zgodnie z powszechnie obowiązującymi w tym zakresie przepisami, administrator danych osobowych lub osoba przez niego upoważniona, w trybie art. 29 ustawy o ochronie danych osobowych. 14. W obiegu wewnętrznym między komórkami organizacyjnymi Starostwa, chyba że przepisy szczególne stanowią inaczej, można udostępniać dane osobowe w następującym trybie: informacje zawierające dane: imię, nazwisko, adres zamieszkania i inne o charakterze podstawowym, bezpośrednio identyfikujące osobę fizyczną może udostępnić pracownik przetwarzający dane w formie bezpośredniej lub telefonicznej, po sprawdzeniu tożsamości w procedurze zwrotnej informacji telefonicznej". 15. Tryb, określony w ust. 15, może być w uzasadnionych przypadkach stosowany również w wymianie informacji i danych osobowych między komórką organizacyjną Starostwa a podległymi Staroście jednostkami organizacyjnymi. 16. Przekazanie danych w trybie ust. 15 i 16, może odbywać się tylko i wyłącznie w przypadku toczącego się postępowanie administracyjnego bądź cywilnego w stosunku do osoby, której dane dotyczą. 17. Udostępnienie danych osobowych, o których mowa w ust. 14 jest udokumentowane w rejestrze udostępnienia" prowadzonym przez komórki organizacyjne, które przetwarzają właściwe zbiory. 18. W umowach zawieranych przez komórki organizacyjne Starostwa, w przypadku zaistnienia okoliczności powierzenia danych osobowych podmiotowi zewnętrznemu w celu wykonania okresowych czynności na tych danych, każdorazowo wymagany jest zapis o powierzeniu danych osobowych bądź zawarcia odrębnej umowy powierzenia wraz z listą reprezentantów wykonawcy. 19. W przypadku, o którym mowa w ust. 19, kierujący komórką organizacyjną niezwłocznie, nie później niż w ciągu 10 dni: 1) przed podpisaniem umowy, w której został zawarty zapis o powierzeniu, 2) przed datą planowanego powierzenia danych, na podstawie odrębnej umowy powierzenia, przekazuje Administratorowi Danych Osobowych projekt umowy, o której mowa w ust. 19 lub projekt umowy,

16 o której mowa w ust. 20. Rozdział 3 Stosowane metody i środki uwierzytelniania oraz procedury związane z zarządzaniem i użytkowaniem. 1. Konstruowanie haseł Długość hasła nie może być krótsza niż 8 znaków alfanumerycznych. Hasło musi być kombinacją złożoną z liter i co najmniej jednej cyfry. W haśle można używać małe i wielkie litery bez polskich znaków narodowych. 2. Przechowywanie haseł i kluczy elektronicznych użytkowników Administrator Systemu Informatycznego przechowuje hasła na zabezpieczonym nośniku. Nośnik z hasłami przechowywany jest w zamkniętej szafie metalowej, w pomieszczeniu z wydzieloną strefą alarmową, do. której dostęp ma jedynie Administrator Systemu Informatycznego. Administrator Systemu Informatycznego nie przechowuje pinów do kart podpisu kwalifikowanego. Za zabezpieczenie pinów odpowiedzialny jest ich użytkownik. 3. Zmiana haseł Hasła muszą być zmieniane nie rzadziej niż co 60 dni kalendarzowych. Dla systemów nie wymuszających zmiany hasła, użytkownik prowadzi rejestr zmiany haseł. Administrator Systemu Informatycznego w nieregularnych odstępach czasu kontroluje wykonywanie ww. czynności przez użytkowników. Rejestr zmian haseł zawiera informację o systemie, użytkowniku oraz o dacie ostatniej zmiany hasła. Rozdział 4 Procedury rozpoczęcia, zawieszania i zakończenia pracy przeznaczone dla użytkowników. 1. Rozpoczęcie pracy Użytkownik loguje się do systemu operacyjnego używając do tego celu własnej nazwy użytkownika i odpowiedniego hasła. W razie stwierdzenia, że logowanie jest niemożliwe z użyciem aktualnie obowiązujących haseł należy zawiadomić Administratora Systemu Informatycznego lub Administratora Bezpieczeństwa Informacji. Przy logowaniu należy zwracać uwagę na komunikaty (jeżeli takie się pojawią) systemu monitujące o zmianę hasła i stosować się do ich treści. 2. Tymczasowe zaprzestanie pracy

17 W sytuacji gdy użytkownik zmuszony jest opuścić stanowisko komputerowe poza zajmowane pomieszczenie lub kiedy wgląd do danych wyświetlanych na monitorze może mieć nieuprawniona osoba, należy skorzystać z mechanizmu czasowej blokady dostępu do komputera z hasłem poprzez wylogowanie się z systemu. 3. Zakończenie pracy Przed zakończeniem pracy należy zwrócić uwagę, aby wylogować się z używanych programów i prawidłowo je zakończyć. Dopiero tak przygotowany system można zamknąć i wyłączyć komputer. Wszelkie problemy z zakończeniem działania programów lub systemu operacyjnego, w szczególności użycie przycisku Reset, należy zgłaszać Administratorowi Systemu Informatycznego lub Administratorowi Bezpieczeństwa Informacji. 4. Czynności kontrolne Użytkownik ma obowiązek przed rozpoczęciem pracy sprawdzić stanowisko komputerowe, z którego korzysta. Szczególną uwagę powinien zwrócić na ślady prób otwarcia komputera (np. uszkodzona obudowa). Po uruchomieniu komputera powinien sprawdzić czy nie ma oznak modyfikacji danych (brak plików, odmienny wygląd systemu po uruchomieniu, nietypowe komunikaty systemowe). Wszelkie nieprawidłowości i podejrzenia należy zgłaszać Administratorowi Systemu Informatycznego lub Administratorowi Bezpieczeństwa Informacji. Rozdział 5 Sposób, miejsce i okres przechowywania oraz procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Wszystkie czynności związane z tworzeniem kopii zapasowych, ich testowaniem oraz likwidacją nośników są przeprowadzane przez Administratora Systemu Informatycznego. 1. Elektroniczne nośniki informacji zawierające dane osobowe Dane osobowe przechowuje się na dyskach twardych komputerów lub dysku serwera, w zależności od zastosowanego systemu. W przypadku serwera jego ochrona polega na wyizolowaniu urządzeń w odrębnym zamykanym pomieszczeniu, zabezpieczonym oddzielną strefą alarmową, do którego dostęp posiada Administrator Systemu Informatycznego. 2. Metody tworzenia kopii -zasady ogólne W systemach informatycznych, które opierają się o pracę w technologii klient-serwer kopie bezpieczeństwa wykonuje się po stronie serwera. Kopie zapisywane są na płytach CD lub DVD w każdy ostatni roboczy dzień tygodnia i przechowywane w szafie pancernej.

18 Dla indywidualnych systemów informatycznych pracujących na pojedynczych komputerach, kopie wykonuje się raz na kwartał lub częściej jeżeli zachodzi taka konieczność. Niedopuszczalne jest przechowywanie pojedynczej kopii danych wyłącznie na tym samym komputerze, w którym pracuje lub jest zainstalowane oprogramowanie. W związku z tym wykonuje się kopie na płytach CD lub DVD i przechowuje się w zamkniętej szafie pancernej. Dostęp do kopii bezpieczeństwa ma tylko Administrator Systemu Informatycznego. 3. Sprawdzanie poprawności wykonywania kopii danych Obowiązkiem Administratora Systemu Informatycznego jest bieżąca urządzeń służących do archiwizacji. kontrola prawidłowości działania 4. Przechowywanie kopii Kopie danych z serwera przechowuje się na płytach CD lub DVD w szafie pancernej, w pokoju 36. Kopie zapasowe na nośnikach zewnętrznych przechowuje się w szafie pancernej. Dostęp do kopii posiada Administrator Systemu Informatycznego. Ponadto prowadzony jest rejestr archiwizacji danych z serwera, który także przechowywany jest w szafie pancernej. 5. Likwidacja nośników zawierających kopie Nośniki zawierające nieaktualne kopie danych, będące poza rejestrem cyklicznych kopii, likwiduje się. W przypadku nośników jednorazowych takich jak płyty CD, DVD likwidacja polega na ich fizycznym zniszczeniu w taki sposób aby nie można było odczytać ich zawartości. Nośniki wielorazowego użytku takie jak dyski twarde, dyskietki, płyty CD-RW, DVD-RW, można wykorzystać ponownie do celów przechowywania kopii bezpieczeństwa po uprzednim usunięciu ich zawartości. Nośniki wielorazowego użytku nie nadające się do ponownego użycia należy zniszczyć fizycznie. Rozdział 6 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu. W celu ochrony przed utratą danych w Starostwie Powiatowym w Sandomierzu zastosowane są następujące zabezpieczenia: 1) odrębne zasilanie sprzętu komputerowego, 2) ochrona serwerów przed zanikiem zasilania poprzez stosowanie zasilaczy zapasowych UPS, 3) ochrona przed utratą zgromadzonych danych przez robienie kopii zapasowych na płytach CD, z których w przypadku awarii odtwarzane są dane i system operacyjny. Zabezpieczenia przed nieautoryzowanym dostępem do baz danych Urzędu: 1) aby uzyskać dostęp do zasobów sieci, należy zwrócić się do Administratora Bezpieczeństwa Informacji z

19 odpowiednim wnioskiem, w którym podane będą dane nowego użytkownika oraz zasoby jakie ma on mieć udostępnione. 2) w systemie informatycznym Urzędu zastosowano podwójną autoryzację użytkownika. Pierwszej autoryzacji należy dokonać w momencie włączenia komputera, podając hasło. Drugiej autoryzacji należy dokonać uruchamiając program użytkowy, podając login użytkownika i hasło. Dostęp do wybranej bazy danych Urzędu uzyskuje się dopiero po poprawnym podwójnym zalogowaniu się do systemu informatycznego Urzędu. Zabezpieczenia przed nieautoryzowanym dostępem do baz danych Urzędu poprzez Internet. W zakresie dostępu z sieci wewnętrznej Urzędu do sieci rozległej Internet zastosowano środki ochrony przed podsłuchiwaniem, penetrowaniem i atakiem z zewnątrz. Zastosowano firewall, który ma za zadanie uwierzytelnianie źródła przychodzących wiadomości oraz filtrowanie pakietów w oparciu o adres IP, numer portu i inne parametry. Ściana ogniowa składa się z bezpiecznego systemu operacyjnego i filtra pakietów. Ruch pakietów, który firewall przepuszcza jest określony przez administratora. Oprócz filtra pakietów (firewall) zastosowano również system wykrywający obecność wirusów w poczcie elektronicznej. W efekcie zapewnione jest: 1) zabezpieczenie sieci przed atakiem z zewnątrz poprzez blokowanie wybranych portów. 2) filtrowanie pakietów i blokowanie niektórych usług. 3) objęcie ochroną antywirusową wszystkich danych ściąganych z Internetu na stacjach lokalnych. Postanowienia końcowe. 1) do pomieszczeń w których następuje przetwarzanie danych osobowych mają dostęp uprawnione osoby bezpośrednio związane z nadzorem nad serwerami lub aplikacjami, 2) zabezpieczenie przed nieuprawnionym dostępem do danych, prowadzone jest przez Administratora Bezpieczeństwa Informacji zgodnie z przyjętymi procedurami nadawania uprawnień do systemu informatycznego, 3) osoby mające dostęp do danych powinny posiadać zaświadczenie o przebytym szkoleniu z zakresu ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. Nr 133, poz. 883 z późn. zm.), 4) w pobliżu wejścia do pomieszczenia z serwerami 1 mnym urządzeniami znajduje się gaśnica, która okresowo jest napełniana i kontrolowana przez specjalistę. 1. Dane w postaci elektronicznej Dane przetwarzane są przy użyciu komputerów pracujących wyłącznie w wewnętrznej s1ec1 komputerowej oddzielonej fizycznie od sieci publicznej przy pomocy bramy internetowej wyposażonej w firewall oraz programowe firewalle na stacjach roboczych, dodatkowo

20 zabezpieczonych oprogramowaniem antywirusowym. Dostęp do danych następuje po autoryzacji. Autoryzacja polega na podaniu identyfikatora oraz hasła przydzielonego przez Administratora Bezpieczeństwa Informacji na podstawie zgody Administratora Danych Osobowych. Uwzględniając kategorie przetwarzanych danych wprowadza się podstawowy poziom bezpieczeństwa. Środki bezpieczeństwa na poziomie podstawowym określa instrukcja zarządzania systemem informatycznym. 2. Dane w rejestrach papierowych Dane przetwarzane przy użyciu tradycyjnych środków pisarskich gromadzone są w rejestrach, księgach, zeszytach papierowych oraz segregatorach i przechowywane w zamykanych szafach oraz kasach pancernych. 3. Środki organizacyjne Administrator Danych Osobowych powołuje Administratora Bezpieczeństwa Informacji (ABI), który nadzoruje przestrzeganie zasad ochrony danych określonych w instrukcji zarządzania systemem informatycznym z uwzględnieniem spraw dotyczących ochrony danych osobowych przetwarzanych w tradycyjnych rejestrach. 4. Środki organizacyjne oraz środki ochrony fizycznej 1. Wejście do budynku Starostwa Powiatowego oraz filii zabezpieczone jest zamkami oraz alarmem. Poszczególne pokoje, w których odbywa się przetwarzanie danych osobowych i ich składowanie są wyposażone w niezależne zamki i są zamykane podczas nieobecności pracownika. Odpowiedzialność za właściwą ochronę pomieszczeń ponosi pracownik oraz kierownik komórki organizacyjnej. 2. Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności Administratora Bezpieczeństwa Informacji. 3. Pomieszczenia, o których mowa wyżej, zamykane są na czas nieobecności pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich. Klucze do pomieszczeń służbowych znajdują się w budynku Starostwa - dyżurka. Pozostawienie kluczy w zamkach pomieszczeń gdzie przetwarzane są dane osobowe jest niedopuszczalne (także podczas pobytu pracownika w pokoju). 4. W pomieszczeniach, w których przewiduje się przyjmowanie interesantów monitory stanowisk komputerowych ustawione są w sposób uniemożliwiający wgląd w przetwarzane dane. 5. Pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego ich zabezpieczenia na swoich stanowiskach pracy. Przed rozpoczęciem pracy klucze pobierane są z zabezpieczonej gabloty pod nadzorem pracownika dozoru i tam też składowane po zakończeniu pracy. 5. Środki sprzętowe, informatyczne i telekomunikacyjne 1. Urządzenia wychodzące w skład systemu informatycznego podłączone są do odrębnego obwodu

21 elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej listwą filtrujących oraz urządzeniem UPS. 2. Dostęp fizyczny do sieci lokalnej jest ograniczony, switche umieszczone są w specjalnie przygotowanej zamykanej szafie, w serwerowni. 3. Dostęp logiczny do sieci lokalnej zabezpieczony jest adresem IP oraz MC - adresem karty sieciowej. 4. Dostęp do sieci WAN zabezpieczony jest Firewallem wraz z oprogramowaniem antywirusowym. 5. Kopie awaryjne wykonywane są w cyklach: => dzienna na serwerze sieciowym, => kwartalnie na płycie CD-R lub częściej jeżeli jest taka konieczność. 6. Każdy dokument papierowy zawierający dane osobowe przeznaczony do wyrzucenia zostaje zniszczony przy pomocy niszczarki w sposób uniemożliwiający jego odczytanie. 7. Inne środki przetwarzania: drukarki, skanery, modemy, niszczarki dokumentów. 6. Środki ochrony w ramach oprogramowania 1. Każda jednostka komputerowa zabezpieczona została hasłem uruchomieniowym (BIOS), hasłem wejściowym do systemu operacyjnego lub do profilu użytkownika oraz hasłem do każdej aplikacji przy pomocy której przetwarzane są dane osobowe. 2. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika. 3. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji. 4. Dla każdego użytkownika systemu jest ustalony odrębny identyfikator. 5. Zdefiniowano użytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło). Rozdział 7 Spełnienie wymogu rejestracji czynności wykonywanych przez użytkowników podczas ewidencji i przetwarzania danych osobowych w systemach informatycznych. Wszystkie systemy informatyczne pracujące na terenie urzędu, służące do ewidencji i przetwarzania danych osobowych zawierają mechanizmy rejestracji wprowadzanych zmian oraz rejestracji udostępnianych danych. Informacje o zmianach i o udostępnieniach danych są odnotowywane w sposób elektroniczny poprzez automatyczne zapisy w bazach danych systemów z uwzględnieniem identyfikatora osoby, daty a także wykonywanej czynności. Rozdział 8 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 1. Cele wykonywania przeglądów i konserwacji

22 a) Zapewnienie ciągłości pracy systemów poprzez eliminowanie niespodziewanych awarii wskutek naturalnego zużycia się urządzeń, b) Wykrywanie i eliminacja ewentualnych zagrożeń wynikających z pracy systemów bez okresowej kontroli (np. uszkodzone elementy chłodzenia systemów), c) Dostrzeganie potrzeb modyfikacji istniejącej infrastruktury, d) Wykrywanie niesprawnych nośników powodujących problemy lub wprowadzających przekłamania przy przenoszeniu danych. 2. Zakres wykonywanych przeglądów i konserwacji a) Wszystkie systemy informatyczne z wyjątkiem tych, które są objęte wyłączną obsługą serwisową przez producenta, b) Oprogramowanie systemowe, a także oprogramowanie biurowe w ogólnym zakresie. Wyklucza się ingerencję w oprogramowanie specjalistyczne poprzez nieudokumentowaną przez producenta operację modyfikowania struktur i zawartości baz danych a także zmianę kodu oprogramowania, c) Wszystkie komputery, z wyjątkiem tych, które są objęte wyłączną gwarancją producenta, której naruszenie mogłoby naruszyć warunki gwarancji. Konserwacja w zakresie możliwym do wykonania na tyle na ile pozwalają warunki techniczne, d) Drukarki, skanery, monitory, dyski twarde, napędy optyczne, elementy elektroniczne, a także inny sprzęt peryferyjny poddawany jest jedynie ogólnym przeglądom, a wszelkie czynności serwisowe wykonywane są przez specjalistyczne punkty serwisowe. 3. Bezpieczeństwo nośników przekazywanych do naprawy Nośniki, które uległy uszkodzeniu, zawierające dane osobowe można przekazać do naprawy pod warunkiem, że firma posiada autoryzację i wystawi stosowne oświadczenie, o zapewnieniu poufności ewentualnie pozyskanych informacji. W przypadku przekazywania całego urządzenia (stacji roboczej) do naprawy należy zadbać o to, aby przed przekazaniem urządzenia pozbawić go nośników zawierających dane lub jeśli jest to niemożliwe usunąć te dane z nośnika w sposób uniemożliwiający ich odzyskanie. W sytuacji gdy nie ma możliwości usunięcia danych, dopuszcza się naprawę urządzenia w obecności osoby upoważnionej przez Administratora Bezpieczeństwa Informacji.

23 Załącznik nr 1 do Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych W z ó r Upoważnienie Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) upoważniam Pana/Panią (imię i nazwisko oraz stanowisko służbowe) do przetwarzania danych osobowych oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych zawartych w zbiorach: 1) )... prowadzonych w wersji papierowej/informatycznej. Ponadto zgodnie z art. 39 ust. 2 ww. ustawy zobowiązuję Panią/Pana do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczania. Upoważnienie wydaje się na czas pracy na zajmowanym stanowisku. W z ó r Załącznik nr 2 do Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych (imię i nazwisko) (stanowisko służbowe) OŚWIADCZENIE Ja, niżej podpisany. zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/będę miał dostęp w związku z wykonywaniem przeze mnie zadań służbowych i obowiązków pracowniczych w Wydziale...Starostwa Powiatowego w Sandomierzu, zarówno w trakcie obecnie wiążącego mnie stosunku pracy, jak i po ustaniu zatrudnienia. Zobowiązuje się przestrzegać regulaminów, instrukcji i procedur obowiązujących w Starostwie Powiatowym w Sandomierzu wiążących się z ochroną danych osobowych a w szczególności nie będę bez upoważnienia służbowego wykorzystywał danych osobowych ze zbiorów... Stwierdzam, że jest mi znana definicja danych osobowych w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) oraz zostałem zaznajomiony z przepisami o ochronie danych osobowych. Przyjmuję do wiadomości, iż postępowanie sprzeczne z powyższymi zobowiązaniami może być uznane za ciężkie naruszenie obowiązków pracowniczych w rozumieniu Kodeksu pracy. data i podpis