Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie

Transkrypt

1 Załącznik Nr 1 do zarządzenia Nr ORG Wójta Gminy Wilków z dnia 27 kwietnia 2012 r. Polityka Bezpieczeństwa przetwarzania w Urzędzie Gminy w Wilkowie

2 1. Wprowadzenie. W systemie Urzędu Gminy w Wilkowie przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z poźn.zm.). W związku z przetwarzaniem Administrator danych jest obowiązany zastosować środki technicznei organizacyjne zapewniające ochronę przetwarzanych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Osobą odpowiedzialną za właściwy i niezakłócony przebieg przetwarzania danych w tym systemie jest Administrator Bezpieczeństwa Informacji. 2. Definicje. W dokumencie przyjmuje się następującą terminologię: Generalny Inspektor Ochrony Danych Osobowych organ do spraw ochrony. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanychw postępowaniu sądowym lub administracyjnym. Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania. Administratorem danych jest Wójt Gminy Wilków. Administratorze Bezpieczeństwa Informacji osoba wyznaczona przez administratora, odpowiedzialna za bezpieczeństwo danych osobowych i nadzorowanie przestrzegania zasad ochrony przetwarzania danych. Administratorze Bezpieczeństwa Systemów Informatycznych osoba wyznaczona przez administratora danych, odpowiedzialna za bezpieczeństwo przetwarzanych w systemach informatycznych. Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,

3 czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 3. Obszar przetwarzania prowadzony jest według wzoru stanowiącego załącznik Nr 1 do polityki bezpieczeństwa. Dokument zawiera następujące informacje: liczbę porządkową, adres budynku, nr pokoju biurowego. 4. Wykaz zbiorów przetwarzanych w systemie informatycznym Urzędu prowadzony jest według wzoru stanowiącego załącznik Nr 2 do polityki bezpieczeństwa. Wykaz zawiera następujące informacje: liczbę porządkową, nazwę zbioru, podstawę prawną przetwarzania, strukturę zbioru, program, numer zbioru, zgłoszenie GIODO. 5. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności danych przetwarzanych w systemie. a) środki ochrony fizycznej: dostęp do pokoi biurowych jest kontrolowany poprzez wydawanie kluczy tylko osobom upoważnionym; szczególne zabezpieczenie centrum przetwarzania danych (komputer centralny, serwerownia) poprzez zastosowanie systemu kontroli dostępu; wyposażenie pomieszczeń w szafy dające gwarancję bezpieczeństwa dokumentacji; dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe mają tylko osoby uprawnione; b) środki sprzętowe, informatyczne i telekomunikacyjne: stosuje się niszczarki dokumentów; uszkodzone nośniki magnetyczne przed ich wycofaniem z użycia należy fizycznie zniszczyć poprzez przecięcie, przełamanie itp. urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania; sieć lokalna skonfigurowana jest w topologii gwiazdy; sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną; wszystkie gniazdka lokalnej sieci komputerowej są galwanicznie oddzielone od szkieletu sieci komputerowej. Podłączenie danego użytkownika do sieci komputerowej dokonuje Administrator Bezpieczeństwa Systemów Informatycznych; kopie zapasowe wykonywane są raz w tygodniu;

4 c) środki ochrony w ramach oprogramowania urządzeń teletransmisji: na komputerach użytkowników systemu działa program antywirusowy; dostęp do serwera zawierającego dane osobowe zabezpieczony jest loginem i hasłem oraz zaporą sieciową na poziomie oprogramowania; d) środki ochrony w ramach oprogramowania systemu: dostęp do baz zastrzeżony jest wyłącznie dla uprawnionych pracowników; konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem aplikacji stosowanych w urzędzie; e) środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych: zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji; dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator; użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych, do których mają uprawnienia; f) środki ochrony w ramach systemu użytkowego: komputer, z którego możliwy jest dostęp do zabezpieczony jest hasłem uruchomieniowym; zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika; zastosowano blokadę hasłem podczas dłuższej nieaktywności użytkownika; g) środki organizacyjne: wyznaczono Administratora Bezpieczeństwa Informacji; tymczasowe wydruki z danymi osobowymi są po ustaniu ich przydatności niszczone; kopie awaryjne danych zapisywanych w programach wykonywane są codziennie; kopie awaryjne przechowywane są w wyznaczonym pomieszczeniu; płyty CD, DVD na których przechowuje się kopie awaryjne niszczy się w sposób mechaniczny, tak by nie można było użyć ich ponownie; do przetwarzania przy użyciu systemu informatycznego dopuszczane są osoby na podstawie indywidualnego upoważnienia do dostępudo przetwarzania wydawanego przez Administratora Danych Osobowych. Wzór upoważnienia załącznik Nr 3 do polityki bezpieczeństwa; osoby mające dostęp do danych powinny zostać przeszkolone z zakresu ustawy o ochronie. Po przeszkoleniu podpisywane jest oświadczenie według wzoru stanowiącego załącznik Nr 4 do polityki bezpieczeństwa; osoby zatrudnione przy przetwarzaniu zobowiązane są do zachowania ich w tajemnicy; osoby przetwarzające dane osobowe są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych

5 osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym; prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych, której wzór stanowi załącznik Nr 5 do polityki bezpieczeństwa; ustalono Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania ; zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych; rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy; w przypadku, gdy zachodzi konieczność naprawy sprzętu poza siedzibą urzędu, należy wymontować z niego nośniki informacji zawierające dane osobowe; w pomieszczeniach w których znajdują się serwery powinna być klimatyzacja, która zapewnia właściwą temperaturę i wilgotność powietrza dla sprzętu komputerowego; w pobliżu wejścia do pomieszczenia z serwerami i innymi urządzeniami znajduje się gaśnica, która okresowo jest napełniana i kontrolowana przez specjalistę. 6. Opis zdarzeń naruszających ochronę.0 Podział zagrożeń: zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), których występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, a ciągłość systemu zostaje zakłócona lecz nie dochodzi do naruszenia poufności danych. zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora systemu, awarie sprzętowe, błędy oprogramowania), przy których może dojść do zniszczenia danych, a ciągłość pracy systemu może zostać zakłócona oraz może nastąpić naruszenie poufności danych, zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, gdzie występuje naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy). Zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 7. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,

6 b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych; c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, a także niewłaściwe działanie serwisu, a tym sam fakt pozostawienia serwisantów bez nadzoru; d) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub innego komunikatu o podobnym znaczeniu; e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie; f) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie; g) próba lub modyfikacja danych oraz zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji); h) niedopuszczalna manipulacja danymi osobowymi w systemie; i) ujawnienie osobom nieupoważnionym lub objętych tajemnicą procedur ochrony przetwarzania albo innych strzeżonych elementów systemu; j) praca w systemie lub jego sieci komputerowej wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy oraz wskazująca na przełamanie lub zaniechanie ochrony - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp. k) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki itp.; l) zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony kasowanie lub kopiowanie danych; ł) rażące naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na w celach prywatnych, itp.). 8. Procedura postępowania w przypadku naruszenia ochrony danych osobowych a) każdy pracownik urzędu, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo jest zobowiązany niezwłocznie zgłosić to Administratorowi Bezpieczeństwa Informacji;

7 b) w razie braku możliwości zawiadomienia Administratora Bezpieczeństwa Informacji lub osoby przez niego upoważnionej, należy zawiadomić bezpośredniego przełożonego; c) do czasu przybycia na miejsce Administratora Bezpieczeństwa Systemów Informatycznych należy: niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to możliwe); rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia; zaniechać o ile to możliwe dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie analizę; ustalić przyczynę i sprawcę naruszenia ochrony; d) po przybyciu na miejsce naruszenia bezpieczeństwa Administrator Bezpieczeństwa Informacji podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy urzędu, może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu Administratora Danych Osobowych, e) Administrator Bezpieczeństwa Informacji dokumentuje zaistniały przypadek naruszenia bezpieczeństwa sporządzając raport wg wzoru stanowiącego załącznik Nr 6 do polityki bezpieczeństwa; f) raport z wystąpienia zdarzenia Administrator Bezpieczeństwa Informacji przekazuje Administratorowi Danych Osobowych; g) Administrator Bezpieczeństwa Systemów Informatycznych zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania ). 9. Postanowienia końcowe Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych według wzoru określonego w załączniku Nr 7 do niniejszej polityki bezpieczeństwa.

8 Załącznik Nr 1 do Polityki bezpieczeństwa WZÓR Obszar przetwarzania Lp. Adres budynku Nr pokoju biurowego

9 Załącznik Nr 2 do Polityki bezpieczeństwa WZÓR WYKAZ ZBIORÓW OSOBOWYCH Lp. Nazwa zbioru Podstawa prawna przetwarzania Struktura zbioru Program Numer zbioru Zgłoszenie GIODO

10 Załącznik Nr 3 do Polityki bezpieczeństwa WZÓR Nr... Wilków, dnia... UPOWAŻNIENIE do przetwarzania Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z późn.zm.) upoważniam Pana/ią... zatrudnionego na stanowisku... do przetwarzania wynikających z zakresu obowiązków pracowniczych. pracy. Upoważnienie ważne jest od dnia...r. do dnia ustania stosunku

11 Załącznik Nr 4 do Polityki bezpieczeństwa WZÓR Wilków, dnia (imię i nazwisko)... (stanowisko) OŚWIADCZENIE Oświadczam, że zostałam/em przeszkolona/y w zakresie ochrony danych osobowych i zapoznałam(em) się z przedmiotową ustawą oraz zobowiązuję się do przestrzegania wymogów ustawy w pełnym zakresie, a w szczególności: zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych w celu ochrony interesów osób, których dane dotyczą, zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.... (podpis pracownika)

12 Załącznik Nr 5 do Polityki bezpieczeństwa WZÓR EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W WILKOWIE Lp. Imię i nazwisko Stanowisko pracy Zakres upoważnienia Nr zbiorów Okres upoważnienia od do Nr upoważnienia Uwagi

13 Załącznik Nr 6 do Polityki bezpieczeństwa WZÓR Raport z naruszenia bezpieczeństwa 1. Data:... Godzina:... (dd.mm.rrrr) (gg:mm) 2. Osoba powiadamiająca o zaistniałym zdarzeniu: (imię, nazwisko, stanowisko służbowe, nazwa użytkownika - jeśli występuje) 3. Lokalizacja zdarzenia: (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: 5. Przyczyny wystąpienia zdarzenia: 6. Podjęte działania: 7. Postępowanie wyjaśniające:..... (data, podpis Administratora Bezpieczeństwa Informacji)

14 Załącznik Nr 7 do Polityki bezpieczeństwa WZÓR Wykaz osób, które zostały zapoznane z Polityką ochrony oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Lp. Imię i nazwisko Stanowisko Data Podpis