Zarządzenie Nr 280 / 2009 Wójta Gminy Bystra-Sidzina z dnia 4 czerwca 2009 r.

Transkrypt

1 Zarządzenie Nr 280 / 2009 Wójta Gminy Bystra-Sidzina z dnia 4 czerwca 2009 r. w sprawie: określenia polityki bezpieczeństwa i wdroŝenia instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych Na podstawie art. 30 ust. 1 oraz art. 33 ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (tekst jednolity Dz. U. z 2001 r. nr 142 poz z późniejszymi zmianami) oraz na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101, poz. 926 z późniejszymi zmianami) oraz 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024) zarządzam co następuje: 1 Dla zapewnienia ochrony przetwarzanych danych osobowych wprowadza się: 1. Politykę Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych w Urzędzie Gminy Bystra-Sidzina. 2. Instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Gmin y Bystra-Sidzina. 3. Instrukcję zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Urzędzie Gminy Bystra-Sidzina. które stanowią załączniki do niniejszego zarządzenia. 2 Traci moc zarządzenie Nr 9/99 Wójta Gminy Bystra-Sidzina z dnia r. wraz z załącznikami. 3 Wykonanie zarządzenia powierza się Administratorowi Bezpieczeństwa Informacji w Urzędzie Gminy Bystra-Sidzina. 4 Zarządzenie wchodzi w Ŝycie z dniem podjęcia.

2 Załącznik nr 1 do Zarządzenia Wójta Gminy Bystra-Sidzina nr 280/2009 z dnia r. POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BYSTRA-SIDZINA Bystra, maj 2009

3 POLITYKA BEZPIECZEŃSTWA INFORMACJI ROZDZIAŁ I Przepisy ogólne, definicje i objaśnienia 1 Polityka Bezpieczeństwa Informacji Urzędu Gminy Bystra-Sidzina jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach administrowanych przez Urząd Gminy. Przetwarzanie danych osobowych w Urzędzie Gminy Bystra-Sidzina jest dopuszczalne tylko pod warunkiem przestrzegania ustawy i wydanych na jej podstawie przepisów wykonawczych oraz Polityki Bezpieczeństwa Informacji, a takŝe przepisów wdroŝonych w Instrukcjach. 2 Przez uŝyte w treści sformułowania naleŝy rozumieć: 1. Dane osobowe - kaŝda informacja dotycząca osoby fizycznej pozwalająca na określenie toŝsamości tej osoby. 2. Zbiór danych osobowych - kaŝdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezaleŝnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 3. Przetwarzanie danych - wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i ich usuwanie. 4. Administrator Bezpieczeństwa Informacji (ABI) - osoba nadzorująca i kontrolująca przestrzeganie zasad ochrony przetwarzania danych osobowych. 5. Administratorzy systemów informatycznych - osoby odpowiedzialne za bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemów oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w tych systemach. 6. Osoba upowaŝniona lub uŝytkownik systemu, zwany dalej uŝytkownikiem osoba posiadająca upowaŝnienie wydane przez administratora danych dopuszczona, w zakresie w nim wskazanym, jako uŝytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej. 7. Osoba trzecia kaŝda osoba nieupowaŝniona i przez to nieuprawniona do dostępu do danych osobowych zbiorów będących w posiadaniu administratora danych. Osobą trzecią jest równieŝ osoba posiadająca upowaŝnienie wydane przez administratora danych podejmująca czynności w zakresie przekraczającym ramy jej upowaŝnienia. 8. System informatyczny, zwany dalej systemem - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 9. Zabezpieczenia systemu - wdroŝenie przez administratora bezpieczeństwa informacji oraz administratorów systemów informatycznych stosownych środków organizacyjnych i technicznych w celu zabezpieczenia zasobów oraz ochrony danych przed dostępem, modyfikacją ujawnieniem, pozyskaniem lub zniszczeniem przez osobę trzecią.

4 3 Zapewnienie bezpieczeństwa systemów informatycznych oznacza, utrzymanie na odpowiednim poziomie takich atrybutów informacji jak: 1. Poufność, która oznacza ograniczony i ściśle zdefiniowany krąg osób mających dostęp do informacji. 2. Integralność, to jest zapewnienie niezmienności postaci informacji (postać oryginalna), za wyjątkiem momentów, kiedy informacja ta jest modyfikowana w sposób uprawniony. 3. Autentyczność (informacji, nadawcy, adresata), oznacza zgodność toŝsamości informacji (nadawcy, adresata) z deklaracją do niej przypisaną. 4. Dostępność (informacji) dla wszystkich uprawnionych do tego osób. 5. Rozliczalność - oznaczająca precyzyjne i jednoznaczne powiązanie kaŝdego dostępu do informacji z właściwą uprawnioną osobą, która tego dokonała. 6. Niezawodność pracy całości systemu, a w szczególności aplikacji i urządzeń zawierających, przetwarzających, przesyłających informacje podlegające ochronie. 4 System zabezpieczeń systemów informatycznych obejmuje: 1. Bezpieczeństwo fizyczne (strefy bezpieczeństwa, zamykane pomieszczenia, szafy pancerne itp.). 2. Bezpieczeństwo techniczne. 3. Bezpieczeństwo organizacyjno-proceduralne. 5 Administratorem danych osobowych przetwarzanych w Urzędzie Gminy Bystra-Sidzina jest Wójt Gminy Bystra-Sidzina, za bezpieczeństwo danych osobowych oraz realizację postanowień Polityki Bezpieczeństwa Informacji odpowiadają: 1. Administrator Danych Osobowych Wójt Gminy Bystra-Sidzina. 2. Administrator Bezpieczeństwa Informacji: realizując politykę bezpieczeństwa informacji ma prawo wydawać instrukcje regulujące kwestie związane z ochroną danych osobowych, określa zakres przetwarzanych danych osobowych w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych, w przypadkach szczególnych cel i zakres przetwarzanych danych mogą określać przepisy ogólnie obowiązujące. 6 Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora Bezpieczeństwa Informacji. Osoby zatrudnione w Urzędzie Gminy Bystra-Sidzina przy przetwarzaniu danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłuŝej niŝ jest to niezbędne dla osiągnięcia celu ich przetwarzania. Osoby zatrudnione w Urzędzie Gminy Bystra-Sidzina przy przetwarzaniu danych osobowych w systemach informatycznych są zobowiązane do postępowania zgodnie z Instrukcją zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych.

5 7 Osoby zatrudnione przy przetwarzaniu danych są zobowiązane powiadomić Administratora Bezpieczeństwa Informacji o ewentualnych naruszeniach bezpieczeństwa systemu ochrony danych osobowych we wszystkich zbiorach. Tryb postępowania określa Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych. 8 W Urzędzie Gminy Bystra-Sidzina zabrania się przetwarzania tak zwanych danych wraŝliwych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynaleŝność wyznaniową, przynaleŝność partyjną lub związkową, stan zdrowia, kod genetyczny, nałogi lub fakty z Ŝycia seksualnego. Chyba, Ŝe pozwalają na to obowiązujące przepisy prawa lub osoba, której powyŝsze dane dotyczą wyraziła pisemną zgodę. 9 UŜytkownik, który przetwarza w zbiorze danych: dane osobowe, do których przetwarzania nie jest upowaŝniony, dane osobowe, których przetwarzanie jest zabronione, dane osobowe niezgodne z celem stworzenia zbioru danych, udostępnia lub umoŝliwia dostęp do danych osobowych osobom nieupowaŝnionym, nie zgłasza Administratorowi Bezpieczeństwa Informacji zbiorów danych podlegających rejestracji, podlega odpowiedzialności karnej zgodnie z Ustawą oraz przepisami Kodeksu Pracy. ROZDZIAŁ II Przetwarzanie danych osobowych 10 Dane osobowe przetwarzane w Urzędzie Gminy Bystra-Sidzina słuŝą do realizacji zadań z zakresu administracji publicznej. 11 Zbierane dane osobowe mogą być wykorzystane wyłącznie do celów, w jakich są lub będą przetwarzane. Po wykorzystaniu danych osobowych, powinny być one przechowywane w postaci uniemoŝliwiającej identyfikację osób, których dotyczą - anonimizacja w systemach i zbiorach tradycyjnych Kandydaci do pracy w Urzędzie Gminy Bystra-Sidzina w procesie rekrutacji powinni podpisać pisemną zgodę na przetwarzanie ich danych osobowych dla celów rekrutacji.

6 2. Dokumenty (CV) o których mowa w ust. 1 są przechowywane w na stanowisku ds. pracowniczych, który przetwarza te dane. 13 Systemy informatyczne, słuŝące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. 14 Kopie bezpieczeństwa zawierające dane osobowe przechowuje się w warunkach uniemoŝliwiających dostęp do nich osobom nieuprawnionym. ROZDZIAŁ III Rejestracja zbiorów danych osobowych 15 Kierownik komórki organizacyjnej oraz samodzielne stanowiska pracy w Urzędzie Gminy Bystra-Sidzina, w których przetwarzane są dane osobowe, są zobowiązani do zgłoszenia w uzgodnieniu z Administratorem Bezpieczeństwa Informacji: planowanego rejestrowania nowych zbiorów danych osobowych, wnoszenia zmian zbiorów juŝ zarejestrowanych. ROZDZIAŁ IV Ochrona przetwarzania danych osobowych 16 Urząd Gminy Bystra-Sidzina zobowiązany jest do stosowania środków organizacyjnych i technicznych, zapewniających ochronę przetwarzania danych, w szczególności przed ich udostępnieniem, kradzieŝą, uszkodzeniem lub zniszczeniem przez osoby nieupowaŝnione. 17 Za bezpieczeństwo informacji odpowiedzialny jest kaŝdy pracownik Urzędu Gminy Bystra-Sidzina. 18 Nadzór i kontrolę przetwarzania danych w Urzędzie Gminy Bystra-Sidzina realizuje Administrator Bezpieczeństwa Informacji odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji, sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób, określa strategię zabezpieczania systemów informatycznych, identyfikuje i analizuje zagroŝenia oraz ryzyko, na które naraŝone moŝe być przetwarzanie danych osobowych oraz określa potrzeby w zakresie zabezpieczenia systemów informatycznych, prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych,

7 prowadzi ewidencję zbiorów danych w systemach informatycznych, w których przetwarzane są dane osobowe, prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych, prowadzi ewidencję administratorów systemów informatycznych uprawnionych do zarządzania systemami słuŝącymi do przetwarzania danych osobowych, przygotowuje i przechowuje indywidualne upowaŝnienia (Wzór pisma Załącznik nr 1 - UpowaŜnienie) osobom przetwarzającym dane osobowe, prowadzi ewidencję oświadczeń (Wzór pisma Załącznik nr 2 - Oświadczenie) o zachowaniu w tajemnicy danych osobowych oraz sposobów ich zabezpieczeń, zapewnia zapoznanie/przeszkolenie osób zatrudnionych przy przetwarzaniu danych osobowych z przepisami dotyczącymi ochrony danych osobowych w Urzędzie Gminy Bystra-Sidzina. 19 Prowadzone przez Administratora Bezpieczeństwa Informacji wykaz budynku i pomieszczeń tworzących obszar przetwarzania danych osobowych (Załącznik nr 3 Obszary przetwarzania) oraz wykaz zbiorów i programów (Załącznik nr 4 Wykaz zbiorów), jak równieŝ opisy struktur zbiorów (Załącznik nr 5 Struktura zbiorów) stanowią integralną całość Polityki Bezpieczeństwa Informacji. 20 W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji ma prawo: kontrolować komórki w Urzędzie Gminy Bystra-Sidzina w zakresie właściwego zabezpieczenia systemów informatycznych oraz pomieszczeń, w których przetwarzane są dane osobowe, wydawać polecenia Kierownikowi i samodzielnym stanowiskom pracy w Urzędzie Gminy Bystra-Sidzina w zakresie bezpieczeństwa danych osobowych, informować Wójta Gminy o przypadkach naruszenia bezpieczeństwa danych osobowych, Ŝądać od wszystkich pracowników Urzędu Gminy Bystra-Sidzina wyjaśnień w sytuacjach naruszenia bezpieczeństwa danych osobowych. 21 Administratorzy systemów informatycznych odpowiedzialni są za: bieŝący monitoring i zapewnienie ciągłości działania systemów informatycznych oraz baz danych słuŝących do przetwarzania danych osobowych, optymalizację wydajności systemów informatycznych, instalacje, konfiguracje i aktualizacje sprzętu sieciowego i serwerowego oraz oprogramowania systemowego i uŝytkowego, współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych, sprawują nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe, przeciwdziałają próbom naruszenia bezpieczeństwa informacji między innymi poprzez sprawdzanie oraz nadzorowanie procedur uaktualnienia systemów antywirusowych i ich konfiguracji, zarządzają hasłami uŝytkowników i nadzorują przestrzeganie procedur określających częstotliwość ich zmiany oraz przyznają w uzgodnieniu

8 z Administratorem Bezpieczeństwa Informacji ściśle określone prawa dostępu do informacji w danym systemie, nadzorują wykonywanie i przechowywanie kopii awaryjnych. 22 Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych w Urzędzie Gminy Bystra-Sidzina danych osobowych stosuje się odpowiednie zabezpieczenia fizyczne budynku i pomieszczeń, zabezpieczenia systemów komputerowych i sieci oraz zabezpieczenia systemów operacyjnych i aplikacji. Opis powyŝszych zabezpieczeń znajduje się w Instrukcji określającej zasady eksploatacji systemów informatycznych, w których przetwarzane są dane osobowe. ROZDZIAŁ V Zasady udostępniania danych osobowych 23 Urząd Gminy Bystra-Sidzina udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 24 Udostępnianie danych osobowych podmiotom upowaŝnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania. 25 Urząd Gminy Bystra-Sidzina moŝe odmówić udostępnienia danych osobowych, jeŝeli spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób Wójt Gminy jako administrator danych moŝe przetwarzanie danych osobowych powierzyć innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej. 2. Podmiot, o którym mowa w ust..1 jest zobowiązany do zastosowania środków organizacyjnych i technicznych, zabezpieczających zbiór przed dostępem osób nieupowaŝnionych na zasadach określonych w przepisach o ochronie danych osobowych. 3. W przypadkach opisanych w ust. 1 i 2, odpowiedzialność za ochronę przetwarzanych danych osobowych spoczywa na Wójcie Gminy co nie wyłącza odpowiedzialności podmiotu, z którym zawarto umowę, z tytułu przetwarzania danych niezgodnie z umową.

9 UpowaŜnienie - Załącznik nr 1 do Polityki Bezpieczeństwa Informacji Bystra, dnia... UPOWAśNIENIE NR.../... Na podstawie art. 37 ustawy z dnia r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101 poz. 926 z późniejszymi zmianami) oraz Zarządzenia Wójta Gminy Nr.../... z dnia... r. w sprawie określenia polityki bezpieczeństwa i wdroŝenia instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych w Urzędzie Gminy Bystra-Sidzina upowaŝniam Pana/Panią Imię i Nazwisko Stanowisko w Komórce, Nazwa Komórki Urzędu Gminy Bystra-Sidzina do obsługi baz danych: Nazwa bazy danych Zakres upowaŝnienia Czas upowaŝnienia Nazwa bazy 1 przeglądanie nieokreślony Nazwa bazy 2 modyfikowanie nieokreślony Nazwa bazy 3 administrowanie nieokreślony UpowaŜnienie wygasa z chwilą jego cofnięcia albo ustania stosunku pracy.

10 Oświadczenie - Załącznik nr 2 do Polityki Bezpieczeństwa Informacji Bystra, dnia... OŚWIADCZENIE Ja niŝej podpisany(a)... zobowiązuję się do zachowania w tajemnicy danych osobowych, do których mam/będę miał(a) dostęp w związku z wykonywaniem przeze mnie zadań słuŝbowych i obowiązków pracowniczych w Urzędzie Gminy Bystra-Sidzina, zarówno w trakcie obecnie wiąŝącego mnie stosunku pracy, jak i po ustaniu zatrudnienia. Zobowiązuję się przestrzegać regulaminów, instrukcji i procedur obowiązujących w Urzędzie Gminy Bystra-Sidzina wiąŝących się z ochroną danych osobowych, a w szczególności nie będę bez upowaŝnienia słuŝbowego wykorzystywał(a) danych osobowych z przetwarzanych przeze mnie zbiorów. Stwierdzam, Ŝe jest mi znana definicja danych osobowych w rozumieniu art. 6 Ustawy z dnia r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. nr 101, poz. 926) oraz zostałem(am) zaznajomiony(a) z przepisami o ochronie danych osobowych. Przyjmuję do wiadomości, iŝ postępowanie sprzeczne z powyŝszymi zobowiązaniami moŝe być uznane za cięŝkie naruszenie obowiązków pracowniczych w rozumieniu Kodeksu Pracy.... data i podpis osoby składającej oświadczenie

11 Obszar przetwarzania - Załącznik nr 3 do Polityki Bezpieczeństwa Informacji OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH Budynek oraz pomieszczenia stanowiące obszar przetwarzania danych osobowych: L.p. Budynek - adres Numery pomieszczeń 1. Bystra nr Bystra 2, 3, 5, 6, 7, 8, 9, 10, 11, 12 Archiwum

12 Wykaz zbiorów - Załącznik nr 4 do Polityki Bezpieczeństwa Informacji WYKAZ ZBIORÓW DANYCH OSOBOWYCH ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH Wykaz zbiorów oraz programów słuŝących do ich przetwarzania: L.p. Nazwa zbioru Nazwa programu 1. Ewidencja gruntów i budynków Gminy Bystra-Sidzina 2. Wymiar i pobór podatku od nieruchomości Forma papierowa SQL NPDR SQL NOP 3. Wymiar i pobór podatku rolnego SQL NPDR SQL NOP 4. Wymiar i pobór podatku od środków transportowych PDST 5. Rejestr skarg forma papierowa 6. Ewidencja zezwoleń na sprzedaŝ i podawanie napojów alkoholowych 7. Zezwolenie na wykonywanie krajowego drogowego przewozu osób Koncesja 8. Ewidencja ludności EWLUD 9. Rejestracja urodzeń, małŝeństw i zgonów 10. Wieczyste uŝytkowanie i dzierŝawa gruntów Forma papierowa Program - System Rejestracji Stanu Cywilnego forma papierowa 11. Rejestr przedpoborowych forma papierowa 12. Lista poborowych forma papierowa 13. System informacji oświatowej SIO

13 Struktura zbiorów - Załącznik nr 5 do Polityki Bezpieczeństwa Informacji OPIS STRUKTURY ZBIORÓW DANYCH OSOBOWYCH ORAZ SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI Opis struktury przetwarzanych danych osobowych oraz relacji pomiędzy danymi, procesy przetwarzania oraz struktura danych zostały zawarte w dokumentacji technicznej systemów informatycznych dostępnej u dostawców oprogramowania informatycznego. Struktura zbiorów danych osobowych i powiązań pomiędzy nimi: L.p. Nazwa zbioru Struktura danych 1. Ewidencja gruntów i budynków Gminy Bystra-Sidzina 2. Wymiar i pobór podatku od nieruchomości Nazwiska i imiona, imiona rodziców, adres zamieszkania lub pobytu, numer ewidencyjny PESEL Nazwiska i imiona, adres zamieszkania lub pobytu 3. Wymiar i pobór podatku rolnego Nazwiska i imiona, adres zamieszkania lub pobytu 4. Wymiar i pobór podatku od środków transportowych Nazwiska i imiona, adres zamieszkania lub pobytu 5. Rejestr skarg Nazwiska i imiona, adres zamieszkania lub pobytu 6. Ewidencja zezwoleń na sprzedaŝ i podawanie napojów alkoholowych 7. Zezwolenie na wykonywanie krajowego drogowego przewozu osób Nazwiska i imiona, adres zamieszkania lub pobytu, miejsce pracy Nazwiska i imiona, data urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL 8. Ewidencja ludności Nazwiska i imiona, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, seria i numer dowodu osobistego, obywatelstwo, stan cywilny, stosunek do powszechnego obowiązku obrony kraju 9. Rejestracja urodzeń, małŝeństw i zgonów 10. Wieczyste uŝytkowanie i dzierŝawa gruntów Nazwiska i imiona, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, wykształcenie, seria i numer dowodu osobistego Nazwiska i imiona, adres zamieszkania lub pobytu

14 11. Rejestr przedpoborowych Nazwiska i imiona, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, seria i numer dowodu osobistego, stosunek do powszechnego obowiązku obrony 12. Lista poborowych Nazwiska i imiona, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer ewidencji PESEL, seria i numer dowodu osobistego, numer ksiąŝeczki wojskowej, kategoria zdrowia 13. System informacji oświatowej Data urodzenia, numer ewidencyjny PESEL, miejsce pracy, zawód, wykształcenie, stopień awansu zawodowego, przygotowanie pedagogiczne, formy kształcenia i doskonalenia, sprawowane funkcje i zajmowane stanowiska, staŝ pracy

15 Załącznik nr 2 do Zarządzenia Wójta Gminy Bystra-Sidzina nr 280/2009 z dnia r. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY BYSTRA-SIDZINA Bystra, maj 2009

16 INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH ROZDZIAŁ I 1 Celem instrukcji jest określenie sposobu postępowania w przypadku, gdy: stwierdzono naruszenie zabezpieczenia systemu informatycznego w obszarze danych osobowych, stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych oraz nieinformatycznych, zgodnie z tabelą form naruszeń danych osobowych (Tabela Załącznik nr 1). 3 Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest kaŝdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umoŝliwienia dostępu do nich osobom nieupowaŝnionym, zabrania danych przez osobę nieupowaŝnioną lub uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności: nieautoryzowany dostęp do danych, nieautoryzowane modyfikacje lub zniszczenie danych, udostępnienie danych nieautoryzowanym podmiotom, nielegalne ujawnienie danych, pozyskiwanie danych z nielegalnych źródeł. ROZDZIAŁ II 4 W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, kaŝdy pracownik zatrudniony przy przetwarzaniu danych osobowych w Urzędzie Gminy Bystra-Sidzina jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełoŝonego lub Administratora Bezpieczeństwa Informacji (ewentualnie osobę przez niego upowaŝnioną), a następnie postępować stosownie do podjętej przez niego decyzji. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać: opisanie symptomów naruszenia ochrony danych osobowych, określenie sytuacji i czasu w jakim stwierdzono naruszenie ochrony danych osobowych, określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia,

17 określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia. 5 Administrator Bezpieczeństwa Informacji lub inna upowaŝniona przez niego osoba podejmuje wszelkie działania mające na celu: minimalizację negatywnych skutków zdarzenia, wyjaśnienie okoliczności zdarzenia, zabezpieczenie dowodów zdarzenia, umoŝliwienie dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań niniejszej Instrukcji Administrator Bezpieczeństwa Informacji lub inna upowaŝniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: Ŝądania wyjaśnień od pracowników, korzystania z pomocy konsultantów, nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenie Administratora Bezpieczeństwa Informacji wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Administrator Bezpieczeństwa Informacji po zaŝegnaniu sytuacji nadzwyczajnej opracowuje raport końcowy (Wzór raportu Załącznik nr 2), w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, ograniczające moŝliwość wystąpienia zdarzenia w przyszłości. ROZDZIAŁ III 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i moŝe być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 JeŜeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupowaŝnionej, sprawca moŝe zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego. 12 JeŜeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Prawa Cywilnego.

18

19 Tabela - Załącznik nr 1 do Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych TABELA FORM NARUSZEŃ DANYCH OSOBOWYCH Kod naruszenia Formy naruszeń Sposób postępowania A Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy A.1.1 A.1.2 A.1.3 Ujawnienie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym Ujawnienie informacji o sprzęcie i pozostałej infrastrukturze informatycznej Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać, np. z obserwacji lub dokumentacji Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić ABI Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić ABI Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić ABI A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 A.2.3 A.2.4 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umoŝliwiającej dostęp do bazy danych osobowych Dopuszczenie do korzystania z aplikacji umoŝliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niŝ osoba, której identyfikator został przydzielony Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci Dopuszczenie do uŝytkowania sprzętu komputerowego i oprogramowania umoŝliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemoŝliwiający odczytanie. Niezwłocznie powiadomić ABI. Sporządzić raport Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić ABI. Sporządzić raport

20 A.2.5 A.2.6 A.2.7 Samodzielne instalowanie jakiegokolwiek oprogramowania Modyfikowanie parametrów systemu i aplikacji Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać słuŝby informatyczne w celu odinstalowania programów. Sporządzić raport. Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Sporządzić raport. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać słuŝby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport. A.3 W zakresie dokumentów i obrazów zawierających dane osobowe A.3.1 A.3.2 A.3.3 A.3.4 A.3.5 A.3.6 A.3.7 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych Wyrzucanie dokumentów w stopniu zniszczenia umoŝliwiającym ich odczytanie Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą Utrata kontroli nad kopią danych osobowych Zabezpieczyć dokumenty. Sporządzić raport. Powiadomić przełoŝonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport. Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełoŝonych. Sporządzić raport. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełoŝonych. Sporządzić raport. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. JeŜeli ujawnione zostały waŝne dane - sporządzić raport. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić ABI. Sporządzić raport. Podjąć próbę odzyskania kopii. Powiadomić ABI. Sporządzić raport. A.4 W zakresie pomieszczeń i infrastruktury słuŝących do przetwarzania danych osobowych A.4.1 A.4.2 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy uŝywany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji i zagraŝających bezpieczeństwu danych osobowych Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie ich do kontaktu ze sprzętem komputerowym Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełoŝonych. Sporządzić raport. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich toŝsamość. Powiadomić przełoŝonych i ABI. Sporządzić raport.

21 A.4.3 Dopuszczanie, aby osoby spoza słuŝb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich toŝsamość. Powiadomić słuŝby informatyczne i ABI. Sporządzić raport. A.5 W zakresie pomieszczeń, w których znajdują się komputery centralne i urządzenia sieci A.5.1 A.5.2 B Dopuszczenie lub ignorowanie faktu, Ŝe osoby spoza słuŝb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.) Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza słuŝb informatycznych i telekomunikacyjnych lub ignorowanie takiego faktu Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich toŝsamość. Powiadomić słuŝby informatyczne i ABI. Sporządzić raport. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich toŝsamość. Powiadomić słuŝby informatyczne i ABI. Sporządzić raport. Zjawiska świadczące o moŝliwości naruszenia ochrony danych osobowych B.1 Ślady manipulacji przy układach sieci komputerowej lub komputerach B.2 Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu B.3 Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji słuŝącej do przetwarzania danych osobowych B.4 Nieoczekiwane, nie dające się; wyjaśnić, zmiany zawartości bazy danych B.5 Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania B.6 Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe Powiadomić niezwłocznie ABI oraz słuŝby informatyczne. Nie uŝywać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Powiadomić niezwłocznie słuŝby informatyczne. Nie uŝywać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Powiadomić niezwłocznie słuŝby informatyczne. Nie uŝywać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Powiadomić niezwłocznie słuŝby informatyczne. Nie uŝywać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Powiadomić niezwłocznie słuŝby informatyczne. Nie uŝywać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. Postępować zgodnie z własciwymi przepisami. Powiadomić niezwłocznie ABI. Sporządzić raport. C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z uŝytkownikiem

22 C.1 Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej C.2 Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem uŝytkownika Powiadomić ABI. Sporządzić raport. Powiadomić ABI. Sporządzić raport.

23 Wzór raportu - Załącznik nr 2 do Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych RAPORT O NARUSZENIU DANYCH OSOBOWYCH Sporządzający raport: Imię i nazwisko... stanowisko (funkcja)... Dział, pokój, nr telefonu... Kod formy naruszenia ochrony danych... (wg tabeli) 1. Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: Informacje o danych, które zostały lub mogły zostać ujawnione: Zabezpieczone materiały lub inne dowody związane z wydarzeniem: Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania): Data:... Podpis:...

24 Załącznik nr 3 do Zarządzenia Wójta Gminy Bystra-Sidzina nr 280/09 z dnia r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W BYSTRA-SIDZINA Bystra, marzec 2009

25 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH POSTANOWIENIA OGÓLNE ROZDZIAŁ I Podstawowe definicje 1 Przez uŝyte w treści instrukcji sformułowania naleŝy rozumieć: instrukcja dokument zarządzania systemami informatycznymi, w których przetwarzane są dane osobowe, system informatyczny zespół środków technicznych (urządzenia komputerowe wraz z okablowaniem i oprogramowaniem), dane kaŝda informacja (tekst, cyfry, wykres, rysunek, dźwięk, animacja itp.), która moŝe być przetworzona, przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie, uŝytkownik kaŝda osoba, której przydzielono uprawnienia pozwalające na korzystanie z systemu informatycznego i przetwarzanie danych w nim zawartych w określonym przez te uprawnienia zakresie oraz której zapewniono fizyczny dostęp do systemu, administratorzy systemów informatycznych osoby odpowiedzialne za nadzór i bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych. ROZDZIAŁ II Przedmiot 2 Niniejsza instrukcja określa zasady pracy w kaŝdym systemie informatycznym słuŝącym do przetwarzania danych osobowych będącym fragmentem systemu informatycznego w Urzędzie Gminy Bystra-Sidzina. 3 Niniejsza instrukcja reguluje następujące zagadnienia: zasady eksploatacji systemów informatycznych, bezpieczeństwo systemów informatycznych, zasad dostępu do systemu informatycznego, procedury rozpoczęcia i zakończenia pracy w systemie informatycznym, zasady tworzenia i przechowywania kopii awaryjnych, zabezpieczenie antywirusowe systemu informatycznego, zasady postępowania z nośnikami informacji, zasady komunikacji w sieciach komputerowych, zasady monitorowania, przeglądu i konserwacji systemów informatycznych,

26 zasady dokonywania zmian w systemach informatycznych, odpowiedzialność i obowiązki uŝytkowników systemu informatycznego. 4 Stopień poziomu zabezpieczeń informacji przetwarzanych w systemie informatycznym określa Administrator Bezpieczeństwa Informacji. ROZDZIAŁ III Podmiot 5 Wszystkie osoby zatrudnione przy przetwarzaniu danych osobowych w systemie informatycznym w Urzędzie Gminy Bystra-Sidzina bez względu na zajmowane stanowisko i miejsce pracy oraz charakter stosunku pracy są zobowiązane do postępowania zgodnie z zasadami określonymi w niniejszej instrukcji. 6 Za tworzenie, wdraŝanie, administrację i interpretację polityki bezpieczeństwa informacji, standardów, zaleceń i procedur w całym systemie informatycznym w Urzędzie Gminy Bystra-Sidzina odpowiedzialny jest Wójt Gminy Bystra-Sidzina będący Administratorem Danych. 7 Polecenia osób wyznaczonych przez Administratora Danych do realizacji zadań w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego muszą być bezwzględnie wykonywane przez wszystkich uŝytkowników systemu. OGÓLNE ZASADY EKSPLOATACJI SYSTEMÓW INFORMATYCZNYCH 8 System informatyczny w Urzędzie Gminy Bystra-Sidzina moŝe być uŝywany tylko na potrzeby działania poszczególnych komórek organizacyjnych i realizacji wykonywanych przez nie zadań. 9 Systemy sieciowe stosowane w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina muszą wykorzystywać oprogramowanie ograniczające dostęp do plików i przyznające administratorom systemów Informatycznych specjalne uprawnienia. 10 Wszystkie stacje robocze pracujące w systemie informatycznym w Urzędzie Gminy Bystra-Sidzina muszą być zgodne ze sprzętową oraz programową konfiguracją zalecaną przez Administratora Bezpieczeństwa Informacji. 11 Stacje robocze działające w systemie informatycznym w Urzędzie Gminy Bystra-Sidzina muszą mieć moŝliwość blokowania dostępu do tego systemu oraz moŝliwość

27 zastosowania zabezpieczonego hasłem wygaszacza ekranu automatycznie uruchamianego po określonym czasie braku aktywności uŝytkownika. 12 W pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych z systemu informatycznego powinny być ustawione w sposób uniemoŝliwiający tym osobom wgląd w dane. 13 MoŜliwość wielokrotnego logowania, rozumiana jako logowanie przez jednego uŝytkownika na kilku komputerach równocześnie z wykorzystaniem tego samego identyfikatora, powinna zostać ograniczona do uzasadnionego rodzajem wykonywanych zadań minimum. 14 Zasady określone w niniejszej instrukcji odnoszą się równieŝ do przetwarzania danych osobowych w komputerach przenośnych, w których za bezpieczeństwo danych w całości odpowiada uŝytkownik urządzenia. ZABEZPIECZENIA SYSTEMÓW INFORMATYCZNYCH ROZDZIAŁ IV Postanowienia ogólne 15 Zabrania się testowania i podejmowania prób poznania metod zabezpieczenia systemu informatycznego w Urzędzie Gminy Bystra-Sidzina bez specjalnej, wcześniejszej zgody na piśmie podpisanej przez Administratora Bezpieczeństwa Informacji. Niedopuszczalne są próby obejścia zabezpieczeń, które w dowolny sposób dotyczą bezpieczeństwa systemów. ROZDZIAŁ V Ochrona pomieszczeń Wszystkie pomieszczenia, w których przetwarzane są dane z systemu informatycznego w Urzędzie Gminy Bystra-Sidzina powinny posiadać drzwi zabezpieczone zamkiem oraz oznaczone drogi ewakuacji. 2. Przebywanie w pomieszczeniach, o których mowa w ust. 1 osób nieuprawnionych do dostępu do danego systemu informatycznego jest moŝliwe tylko w obecności uŝytkownika uprawnionego do korzystania ze sprzętu informatycznego znajdującego się w danym pomieszczeniu. 3. Pomieszczenia, o których mowa w ust. 1 powinny być zamykane na czas nieobecności w nich uŝytkowników uprawnionych do korzystania ze sprzętu informatycznego znajdującego się w danym pomieszczeniu, w sposób uniemoŝliwiający dostęp do nich osób trzecich.

28 17 1. Dostęp do pomieszczeń, w których znajdują się newralgiczne elementy sieci i systemów komputerowych mają jedynie Administrator Bezpieczeństwa Informacji, administratorzy systemów informatycznych oraz słuŝby informatyczne. 2. Przebywanie w pomieszczeniach, o których mowa w ust. 1 osób nieuprawnionych jest moŝliwe tylko w obecności osoby uprawnionej. ROZDZIAŁ VI Ochrona i znaczenie sprzętu informatycznego 18 Sprzęt komputerowy uŝywany w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina powinien być fizycznie chroniony przed kradzieŝą, zniszczeniem lub niewłaściwym uŝywaniem. Bezpośrednio odpowiedzialny za to jest uŝytkownik tego sprzętu. 19 UŜytkownicy nie mogą sami demontować komputerów oraz dokonywać jakiejkolwiek zmiany komponentów sprzętu komputerowego. Zmiany te wykonują wyłącznie słuŝby informatyczne lub inne uprawnione osoby. 20 Sprzęt komputerowy uŝywany w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina nie moŝe być przenoszony bez zgody Administratora Bezpieczeństwa Informacji lub właściwego administratora systemu informatycznego. 21 KaŜde urządzenie uŝywane w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina musi być oznaczone w celu jego identyfikacji. Inwentaryzacji i oznaczenia sprzętu dokonują administratorzy systemów informatycznych lub słuŝby informatyczne, którzy okresowo kontrolują stan poszczególnych stanowisk komputerowych. ROZDZIAŁVII Zabezpieczenie oprogramowania 22 Oprogramowanie uŝywane w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina musi być chronione przed jakąkolwiek niekontrolowaną modyfikacją, nieautoryzowanym usunięciem oraz kopiowaniem. Przed jakimkolwiek zainstalowaniem nowego oprogramowania naleŝy sprawdzić jego działanie pod kątem bezpieczeństwa całego systemu. 23 W systemie informatycznym w Urzędzie Gminy Bystra-Sidzina moŝe być uŝywane wyłącznie oprogramowanie licencjonowane przez posiadacza praw autorskich. Oprogramowanie moŝe być uŝywane tylko zgodnie z prawami licencji.

29 24 Narzędzia związane z bezpieczeństwem systemów mogą być wykorzystane w systemie informatycznym w Urzędzie Gminy Bystra-Sidzina tylko jeśli pochodzą od zaufanego dostawcy. ROZDZIAŁ VIII Systemy awaryjne 25 NaleŜy zainstalować odpowiednią ochronę przeciwpoŝarową dla wszystkich elementów systemu informatycznego, które tego wymagają. 26 Serwery i krytyczne stacje robocze powinny być chronione zasilaniem awaryjnym (UPS). ROZDZIAŁ IX Przyznawanie praw dostępu 27 Prawo dostępu do poszczególnych systemów informatycznych mogą mieć wyłącznie osoby, które posiadają pisemne upowaŝnienie. 28 śądanie przyznania jak i zmiany praw dostępu do systemu informatycznego (Załącznik nr 1 Wniosek) musi być udokumentowane w formie pisemnej i zaakceptowane przez Administratora Bezpieczeństwa Informacji, administratora danego systemu informatycznego oraz kierownika danej komórki organizacyjnej. 29 Z wnioskiem o przyznanie, zmianę lub wycofanie praw dostępu do systemu informatycznego (Załącznik nr 1 Wniosek) występuje kierownik odpowiedniej komórki organizacyjnej do Administratora Bezpieczeństwa Informacji. 30 Natychmiast po utracie praw dostępu, będącej wynikiem zmiany stanowiska pracy lub zwolnienia z pracy, kierownik odpowiedniej komórki organizacyjnej występuje do Administratora Bezpieczeństwa Informacji o zmianę lub wycofanie uprawnień dostępu uŝytkownika. 31 Stanowisko ds. pracowniczych winien poinformować Administratora Bezpieczeństwa Informacji w przypadku złoŝenia przez osobę dopuszczoną do przetwarzania danych osobowych w systemie informatycznym deklaracji o zamiarze zmiany stanowiska pracy. 32 Prawa dostępu przyznane uŝytkownikom, którzy nie są pracownikami mają charakter czasowy i mogą być przyznawane na okres odpowiadający wykonywanemu zadaniu.

30 33 Specjalne prawa dostępu muszą być ściśle ograniczone do osób, które bezpośrednio odpowiadają za administrację poszczególnymi systemami informatycznymi i ich bezpieczeństwo. 34 UŜytkownikiem uprzywilejowanym, jeśli zachodzą takie potrzeby, mogą być jedynie Administrator Bezpieczeństwa Informacji, administratorzy sysytemów informatycznych, słuŝby informatyczne oraz osoby wyznaczone przez ABI. 35 Administrator Bezpieczeństwa Informacji moŝe w uzasadnionych przypadkach zastrzec prawo do korzystania z systemu informatycznego kaŝdemu uŝytkownikowi. ROZDZIAŁ X Identyfikatory uŝytkowników i hasła dostępu. 36 Dostęp do systemu informatycznego w Urzędzie Gminy Bystra-Sidzina musi być zabezpieczony co najmniej przez system identyfikatora i hasła uŝytkownika. Hasło dostępu musi posiadać odpowiednią budowę zaleŝną od poziomu bezpieczeństwa: poziom podstawowy hasło składa się co najmniej z 3 znaków, poziom podwyŝszony hasło składa się co najmniej z 6 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne, poziom wysoki hasło składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. 37 Identyfikator uŝytkownika nadawany jest przez Administratora Bezpieczeństwa Informacji lub administratora systemu informatycznego. Identyfikator zbudowany jest na bazie imienia i nazwiska osoby upowaŝnianej. 38 Hasła dostępu do systemu komputerowego tworzone są przez uŝytkownika i stanowią tajemnicę znaną wyłącznie temu uŝytkownikowi. UŜytkownik ponosi pełną odpowiedzialność za utworzenie hasła i jego przechowywanie. 39 Hasła nie mogą być przechowywane w formie jawnej w Ŝadnej postaci: elektronicznej lub tradycyjnej, szczególnie w miejscach, gdzie moŝe dojść do nieautoryzowanego dostępu ze strony osób trzecich. Hasła nie mogą być zapisane i pozostawiane w miejscach gdzie osoby nieuprawnione mogą je odczytać. 40 Wszystkie hasła muszą być natychmiast zmienione jeśli istnieje podejrzenie, Ŝe zostały odkryte lub wiadomo, Ŝe znajdują się w posiadaniu osoby innej niŝ autoryzowani uŝytkownicy

31 41 Hasła dostępu do systemów informatycznych powinny być zmieniane przez uŝytkownika co najmniej raz na miesiąc lub zgodnie z ustaleniami Administratora Bezpieczeństwa Informacji. JeŜeli istnieje taka moŝliwość zmiana hasła powinna być wymuszana w sposób automatyczny przez odpowiednie oprogramowanie. Hasła uŝytkowników utrzymuje się w tajemnicy równieŝ po upływie ich waŝności. 42 Administrator Bezpieczeństwa Informacji jest uprawniony przy uŝyciu specjalnego oprogramowania kontrolować bezpieczeństwo hasła wybranego przez uŝytkownika i w przypadkach stwierdzenia wadliwości, zmienić je na bezpieczne. ROZDZIAŁ XI Kontrola praw dostępu 43 Wszyscy uŝytkownicy systemu informatycznego w Urzędzie Gminy Bystra-Sidzina muszą być sprawdzeni przez Administratora Bezpieczeństwa Informacji zanim będą mogli uŝywać zasobów wielodostępnych systemów informatycznych. Sprawdzeniu podlega identyfikator uŝytkownika i hasło indywidualne dla kaŝdego uŝytkownika. 44 Systemy kontroli dostępu do systemów informatycznych funkcjonujących w ramach systemu informatycznego w Urzędzie Gminy Bystra-Sidzina powinny zawierać: system haseł dostępu, identyfikatory uŝytkowników oraz odpowiednią kontrolę antywirusową. 46 UŜytkownicy nie mogą mieć moŝliwości logowania się do systemu informatycznego lub sieci komputerowej w sposób anonimowy. 47 Proces logowania się do systemu informatycznego w Urzędzie Gminy Bystra-Sidzina musi przebiegać przez wyświetlanie przez system zachęty do logowania (zapytanie o nazwę uŝytkownika i hasło). 48 UŜytkownicy są odpowiedzialni za administrowanie programem wygaszacza ekranu mającym zabezpieczyć dostęp do komputera w momencie nieobecności na stanowisku pracy. ROZPOCZĘCIE I ZAKOŃCZENIE PRACY W SYSTEMACH INFORMATYCZNYCH 49 Przed przystąpieniem do pracy w systemie informatycznym w Urzędzie Gminy Bystra- Sidzina, kaŝdy uŝytkownik powinien upewnić się, Ŝe spełnione są podstawowe warunki bezpieczeństwa wymagane przy przetwarzaniu danych w systemie informatycznym, a w szczególności jeŝeli w pomieszczeniu przebywają osoby postronne, czy monitor

32 stanowiska dostępu do danych z systemu informatycznego ustawiony jest w sposób uniemoŝliwiający tym osobom wgląd w dane, 50 Po zakończeniu pracy w systemie informatycznym uŝytkownik obowiązany jest wylogować się z tego systemu. 51 Wychodząc z pomieszczenia, w którym przetwarzane są dane z systemu informatycznego naleŝy sprawdzić czy zamknięte są okna i wejście do pomieszczenia. KOPIE AWARYJNE 52 Ze względu na bezpieczeństwo wprowadza się obowiązek sporządzania kopii awaryjnych oprogramowania systemowego, aplikacji i danych. Kopie te wykonuje się na dodatkowych nośnikach elektronicznych (dyskietkach, taśmach, płytach CD/DVD, itp.). 53 Kopie awaryjne mogą być uŝyte jedynie dla odbudowy systemu, naprawy aplikacji lub odzyskania danych uszkodzonych wskutek ataku wirusa, awarii twardego dysku lub innych problemów. 54 Kopie awaryjne oprogramowania i danych powinny być sporządzane zgodnie z zaleceniami Administratora Bezpieczeństwa Informacji lub administratorów systemów informatycznych. Administrator Bezpieczeństwa Informacji określa częstotliwość, zakres oraz metody wykonywania kopii awaryjnych dla poszczególnych systemów. ZABEZPIECZENIE ANTYWIRUSOWE 57 Dla zapewnienia nieprzerwanego działania systemu informatycznego w Urzędzie Gminy Bystra-Sidzina, uŝytkownicy stacji roboczych (w szczególności z dostępem do Internetu) muszą mieć zainstalowane na swoich komputerach oprogramowanie antywirusowe. Oprogramowanie to musi być równieŝ zainstalowane na serwerach sieciowych. Oprogramowanie antywirusowe musi być zainstalowane tak, aby uŝytkownik nie był w stanie pominąć etapu skanowania. Administratorzy systemów informatycznych oraz słuŝby informatyczne odpowiedzialni są za codzienną aktualizację definicji wirusów. Do wykonania aktualizacji wykorzystuje się mechanizmy wbudowane w uŝytkowanym systemie antywirusowym. 58 KaŜde oprogramowanie pochodzące od osób trzecich nie moŝe być uŝyte bez wcześniejszego sprawdzenia go przy pomocy odpowiedniego oprogramowania antywirusowego.