INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH

Transkrypt

1 Załącznik nr 2 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH Lublin, marzec 2013

2 SPIS TREŚCI 1 Przedmiot instrukcji Procedury nadawania, modyfikacji i anulowania uprawnień do przetwarzania danych osobowych Stosowane metody i środki uwierzytelniania oraz procedury związane z zarządzaniem i uŝytkowaniem stosowanych metod i środków uwierzytelniania Stosowane metody i środki uwierzytelniania oraz procedury związane z zarządzaniem i uŝytkowaniem stosowanych metod i środków uwierzytelniania Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemów Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, w tym kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania... 6 I. Kopie zapasowe... 6 Ii. Elektroniczne nośniki informacji. Komputery przenośne... 6 Iii. Wydruki Sposób zabezpieczenia systemu informatycznego przed działaniem opragramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego Sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia (informacje dotyczące udostępniania danych osobowych Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŝących do przetwarzania danych Zastosowane środki bezpieczeństwa Załączniki

3 1 PRZEDMIOT INSTRUKCJI Przedmiotem Instrukcji jest określenie zagadnień związanych z bezpieczeństwem danych gromadzonych, transmitowanych i przechowywanych w systemach informatycznych, a takŝe sposobu zarządzania systemami informatycznymi słuŝącymi do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji, w tym szczegółowe określenie: 1) poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, 2) procedur nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym, 3) stosowanych metod i środków uwierzytelniania oraz procedur związanych z ich zarządzaniem i uŝytkowaniem, 4) sposobów przydziału haseł dla uŝytkowników i częstotliwość ich zmiany oraz osób odpowiedzialnych za te czynności, 5) procedur rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla uŝytkowników systemu, 6) metod i częstotliwości tworzenia kopii zapasowych, 7) metod i częstotliwości sprawdzania obecności wirusów komputerowych oraz metod ich usuwania, 8) sposobu, miejsca i okresu przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii archiwalnych, 9) sposobu dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych, 10) sposobu postępowania w zakresie komunikacji w sieci komputerowej, 11) procedur wykonywania przeglądów i konserwacji systemu oraz nośników informacji słuŝących do przetwarzania danych. 2 PROCEDURY NADAWANA, MODYFIKACJI I ANULOWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH 1. Dostęp do systemów informatycznych mogą posiadać: a) pracownicy niezbędny do wykonywania powierzonych im czynności słuŝbowych, b) wykonawcy usług oraz dostawcy sprzętu lub oprogramowania w zakresie koniecznym do realizowania danej usługi lub wykonania określonych czynności w systemie. 2. Bezpośredni dostęp do danych osobowych jest moŝliwy wyłącznie przez osoby posiadające pisemne upowaŝnienie ADO do dostępu do danych osobowych określające zakres dostępu do danych przetwarzanych zarówno w postaci tradycyjnej, jak i w systemach informatycznych. Wzór upowaŝnienia zawarty jest stanowi załącznik nr 1 do niniejszej Instrukcji. 3. Zakres przetwarzania danych osobowych jest adekwatny do zakresu zadań wykonywanych przez uŝytkownika, nie moŝe być on szerszy niŝ wynika to z realizowanych czynności zleconych przez ADO. 4. UpowaŜnienia do przetwarzania danych osobowych wystawiane są przez komórkę kadrową w momencie zatrudniania pracownika, a następnie przechowywane w zabezpieczonych, zamykanych pomieszczeniach, w szafach drewnianych zamykanych na klucz. Dodatkowo dostęp do pomieszczeń nadzorowany jest poprzez zainstalowane systemy i ochronę fizyczną. 5. Zakres czynności realizowanych przez uŝytkownika systemu określa zakres jego dostępu do danych osobowych, odpowiedzialności za ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem oraz ich nielegalnym ujawnieniem i pozyskaniem. 6. UŜytkownik systemu zostanie dopuszczony do przetwarzania danych osobowych po przejściu szkolenia oraz podpisaniu oświadczania, o którym mowa w 4 ust. 9 pkt 6 Regulaminu ochrony danych osobowych UMCS. Na mocy tego oświadczenia zobowiązuje się on do utrzymania 3

4 w tajemnicy danych osobowych. Tajemnica obowiązuje uŝytkownika zatrudnionego przy przetwarzaniu danych osobowych zarówno w trakcie trwania umowy, jak i po jej ustaniu. Wzór oświadczenia przedstawia załącznik nr 2 do niniejszej Instrukcji. 7. W przypadku zmiany stanowiska lub zakresu obowiązków, jeśli jest to wymagane w celu umoŝliwienia prawidłowej realizacji zadań, powinna nastąpić modyfikacja uprawnień nadanych uŝytkownikowi. 8. Anulowanie praw dostępu uŝytkownika do danych osobowych następuje wraz z rozwiązaniem stosunku łączącego go z ADO lub w przypadku cofnięcia mu uprawnień na zlecenie jego przełoŝonego. 9. ADO prowadzi Rejestr osób zatrudnionych przy przetwarzaniu danych osobowych, który stanowi ewidencję osób uprawnionych do przetwarzania danych osobowych. MoŜe on być prowadzony w formie papierowej lub elektronicznej. Rejestr prowadzony jest na podstawie nadanych/odebranych uprawnień do przetwarzania danych. Musi on odzwierciedlać aktualny stan w zakresie uŝytkowników i ich uprawnień oraz umoŝliwiać przeglądanie historii zmian uprawnień uŝytkowników. Ewidencja osób upowaŝnionych do przetwarzania danych osobowych powinna zawierać: 1) imię i nazwisko osoby upowaŝnionej oraz nazwę jednostki organizacyjnej, w której jest zatrudniona, 2) datę nadania i ustania oraz zakres upowaŝnienia, 3) identyfikator uŝytkownika, jeŝeli dane są przetwarzane w systemie informatycznym. Wzór ewidencji zawiera załącznik nr 3 do niniejszej Instrukcji. REJESTROWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH W SYSTEMIE INFORMATYCZNYM 1. Przyznanie uprawnień w zakresie dostępu do danych przetwarzanych w systemach informatycznych polega na wprowadzeniu do systemu - przez Administratora Systemu Informatycznego - dla kaŝdego uŝytkownika unikalnego identyfikatora i hasła oraz zakresu dostępnych danych i operacji. 2. Ustanowione hasło dostępu Administrator Systemu Informatycznego przekazuje uŝytkownikowi. KaŜdy z uŝytkowników systemu posiada własne hasło i identyfikator. 3. Hasło ustanowione podczas przyznawania uprawnień naleŝy zmienić na indywidualne podczas pierwszego logowania się w systemie informatycznym. 4. UŜytkownik ma prawo do wykonywania w systemie tylko tych czynności, do których został upowaŝniony. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków pracowniczych zagroŝone karą dyscyplinarną, włącznie ze zwolnieniem w trybie dyscyplinarnym. 5. UŜytkownik ponosi odpowiedzialność za wszelkie operacje wykonywane przy uŝyciu jego identyfikatora i hasła. 6. W systemie informatycznym stosuje się uwierzytelnienie dwustopniowe: na poziomie dostępu do sieci lokalnej (w przypadku komputerów nie powiązanych z siecią do systemu operacyjnego) oraz dostępu do aplikacji. 7. W przypadku anulowania uprawnień uŝytkownika jego identyfikator naleŝy niezwłocznie zablokować w systemie informatycznym, w którym przetwarzane są dane osobowe oraz uniewaŝnić hasło uŝytkownika. 8. Administrator Systemu Informatycznego prowadzi rejestr uŝytkowników systemu, w którym odnotowuje imię i nazwisko, identyfikator, zakres uprawnień uŝytkownika oraz datę nadania, modyfikacji i anulowania uprawnień. 9. Za opracowanie szczegółowych zasad nadawania, modyfikacji i anulowania uprawnień do systemów informatycznych wykorzystywanych w Uniwersytecie oraz dostępu do sieci chronionej, jak równieŝ wdroŝenie i nadzór nad przestrzeganiem przedmiotowych zasad odpowiedzialny jest Kierownik Lubman UMCS. 3 4

5 4 STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA ORAZ PROCEDURY ZWIĄZANE Z ZARZĄDZANIEM I UśYTKOWANIEM STOSOWANYCH METOD I ŚRODKÓW UWIERZYTELNIENIA 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym moŝe mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. 2. Zmiana hasła uŝytkownika następuje nie rzadziej niŝ co 30 dni. 3. Identyfikatora uŝytkownika nie naleŝy zmieniać bez wyraźnej przyczyny, a po wyrejestrowaniu uŝytkownika z systemu nie powinien być on przydzielany innej osobie. 4. UŜytkownicy są odpowiedzialni za zachowanie poufności swoich haseł. 5. Hasła uŝytkownika utrzymuje się w tajemnicy równieŝ po upływie ich waŝności, nie wolno ich udostępniać, ani zapisywać w sposób jawny. 6. Hasło naleŝy wprowadzać w sposób, który uniemoŝliwia innym osobom jego poznanie. 7. W sytuacji kiedy zachodzi podejrzenie, Ŝe ktoś poznał hasło w sposób nieuprawniony, uŝytkownik zobowiązany jest do jego natychmiastowej zmiany. 8. Przy wyborze hasła obowiązują następujące zasady: 1) minimalna długość hasła 8 znaków, 2) właściwa złoŝoność hasła - litery duŝe i małe oraz cyfry i znaki specjalne, o ile system informatyczny na to pozwala. 9. Zakazuje się stosować haseł: 1) które uŝytkownik stosował uprzednio (do dziesięciu haseł wstecz), 2) będących nazwą uŝytkownika w jakiejkolwiek formie (np. pisanej duŝymi literami), 3) analogicznych jak identyfikator, 4) zawierających ogólnie dostępne informacje takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp., 5) stanowiących wyrazy słownikowe lub przewidywalne sekwencje znaków np lub abcdefgh. 10. Zmiany hasła nie naleŝy zlecać innym osobom. 11. W systemach umoŝliwiających zapamiętanie nazwy uŝytkownika lub jego hasła nie naleŝy korzystać z tego ułatwienia. 5 PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UśYTKOWNIKÓW SYSTEMU 1. Przed rozpoczęciem pracy w systemie komputerowym naleŝy zalogować się do systemu przy uŝyciu indywidualnego identyfikatora oraz hasła. 2. Przy opuszczeniu stanowiska pracy na odległość uniemoŝliwiającą jego obserwację naleŝy wykonać opcję wylogowania z systemu, zablokowania dostępu poprzez zabezpieczony hasłem wygaszacz ekranu lub jeŝeli taka moŝliwość nie istnieje wyjść z programu. 3. Osoba udostępniająca stanowisko komputerowe innemu upowaŝnionemu pracownikowi zobowiązana jest wykonać funkcję wylogowania z systemu. 4. Przed wyłączeniem komputera naleŝy bezwzględnie zakończyć pracę uruchomionych programów, wykonać zamknięcie systemu i wylogować się z sieci komputerowej. 5. Niedopuszczalne jest wyłączanie komputera przed zamknięciem oprogramowania oraz zakończeniem pracy w sieci. 6. Przypadki stwierdzenia nieprawidłowości w zakresie działania systemu naleŝy zgłaszać do Administratora Systemu, który zdarzenia stanowiące incydenty bezpieczeństwa rejestruje w Dzienniku Systemu Informatycznego. Wzór dziennika zawiera załącznik nr 4 do Instrukcji. 7. Zabronione jest podejmowanie działań mogących być zagroŝeniem dla systemu, a w tym: a) łamanie haseł, b) dokonywanie włamań na konta innych uŝytkowników, 5

6 c) nieprawne uzyskiwanie dostępu do kont administracyjnych, d) zakłócanie działania usług, e) omijanie i badanie zabezpieczeń (nie dotyczy czynności wykonywanych w ramach audytu, czynności kontrolnych lub testowania wykonywanych przez osoby upowaŝnione), f) doprowadzanie do rozprowadzania wirusów, robaków i koni trojańskich oraz niechcianej poczty, g) praca na koncie innego uŝytkownika. 6 PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUśĄCYCH DO ICH PRZETWARZANIA 1. W celu zagwarantowania bezpieczeństwa danych przechowywanych w systemie wykonywane są ich kopie zapasowe, tj. kopie bezpieczeństwa oraz archiwalne. 2. Za systematyczne przygotowanie kopii zapasowych odpowiada Administrator Systemu Informatycznego. W przypadku części aplikacji ich tworzenie odbywa się automatycznie po zakończeniu pracy. Mogą one być równieŝ wykonywane okazjonalnie przez uŝytkowników, w celu zabezpieczenia danych szczególnie istotnych dla działalności Uniwersytetu. 3. Bazy danych, oprogramowanie oraz konfiguracja systemów powinny być zabezpieczone w postaci kopii bezpieczeństwa. 4. NaleŜy wykonywać następujące kopie bezpieczeństwa: a) przed dokonaniem zmian w konfiguracji systemów lub oprogramowania, b) przed dokonaniem zmian w programach (np. zmiana wersji), c) po kaŝdej istotnej zmianie danych w bazie danych. 5. Oprócz kopii bezpieczeństwa wykonywane są okresowo kopie archiwalne istotnych dla działalności Uniwersytetu danych. 6. Za opracowanie i wdroŝenie szczegółowych zasad i trybu wykonywania kopii zapasowych odpowiedzialny jest Kierownik Lubman UMCS. 7 SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE, W TYM KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUśĄCYCH DO ICH PRZETWARZANIA I. Kopie zapasowe 1. Kopie zapasowe naleŝy przechowywać w warunkach gwarantujących brak dostępu do nich osób nieupowaŝnionych, tj. w zabezpieczonych pomieszczeniach, w sejfach lub szafach zamykanych na klucz. 2. W przypadku wykonywania zabezpieczeń długoterminowych lub na nośnikach zewnętrznych, np. taśmach, płytach CD, DVD nośniki te naleŝy co kwartał sprawdzać pod kątem ich dalszej przydatności oraz odtwarzalności. 3. Kopie zapasowe naleŝy usunąć niezwłocznie po upływie okresów przechowywania lub w przypadku ustania ich uŝyteczności. II. Elektroniczne nośniki informacji. Komputery przenośne. 1. Dopuszcza się uŝywanie słuŝbowych urządzeń umoŝliwiających przenoszenie i archiwizowanie danych, w tym nagrywarek DVD, dysków zewnętrznych oraz nośników typu pendrive. Do ich wykorzystywania potrzebna jest zgoda ADO. 2. NaleŜy unikać przechowywania waŝnych danych na nośnikach zewnętrznych takich jak np. pendrive-y. 3. W przypadku konieczności przechowywania na nośnikach, o których mowa w pkt. 2 waŝnych 6

7 danych naleŝy stosować wobec tych danych środki ochrony kryptograficznej. 4. Zabronione jest uŝywanie pendrive-ów lub innych nośników do przenoszenia danych na prywatne komputery lub inne urządzenia mogące słuŝyć do przechowywania danych. 5. Nośniki przenośne (takie jak pendrive-y) naleŝy transportować w sposób bezpieczny (nie pozostawić ich w miejscach widocznych np. w samochodach, przypiętych do pasków itp. 6. Nośniki komputerowe, na których znajdują się waŝne dane (w tym dane osobowe) powinny być oznaczone w sposób trwały, jednoznaczny i czytelny oraz zaewidencjonowane w,,rejestrze nośników komputerowych zawierających waŝne dane stanowiącym załącznik nr 5 do niniejszej Instrukcji. 7. Nośniki informacji podlegają szczególnemu nadzorowi i są przechowywane w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, o którym mowa w 4 Polityki Bezpieczeństwa. Po zakończeniu pracy przez uŝytkowników systemu wymienne elektroniczne nośniki informacji są przechowywane w zamykanych szafach biurowych lub kasetkach. 8. W przypadku zaistnienia okoliczności uzasadniających konieczność wyniesienia nośnika poza obszar przetwarzania danych osobowych jego uŝytkownik zobowiązany jest do zachowania szczególnej ostroŝności i zabezpieczenia nośnika przed dostępem osób nieupowaŝnionych, utratą, modyfikacją lub zniszczeniem. 9. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to moŝliwe, uszkadza się w sposób uniemoŝliwiający ich odczytanie. 10. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych. 11. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upowaŝnionej. 12. Za bezpieczeństwo komputerów przenośnych odpowiedzialni są ich uŝytkownicy. 13. Komputery przenośne po zakończonej pracy winny być przechowywane w warunkach zapewniających ich bezpieczeństwo (szafy zamykane na klucz). 14. W przypadku korzystania z komputerów przenośnych poza siedzibą Uniwersytetu naleŝy uŝywać ich w sposób uniemoŝliwiający odczyt danych z ekranu przez osoby postronne. 15. Podczas transportu komputerów przenośnych wynoszonych poza obszar przetwarzania danych osobowych naleŝy zapewnić ich bezpieczeństwo tj. nie naleŝy ich pozostawiać bez nadzoru w samochodzie (lub innym miejscu). Muszą one być przewoŝone jako bagaŝ podręczny. 16. NaleŜy unikać przechowywania na komputerach przenośnych danych osobowych lub innych waŝnych danych. 17. W przypadku konieczności zapisania na komputerze przenośnym danych wymienionych w pkt 16 naleŝy stosować wobec tych danych środki ochrony kryptograficznej. 18. Komputery przenośne muszą być wyposaŝone w uaktywniony firewall programowy. 19. W przypadku przechowywania danych osobowych oraz innych waŝnych informacji na dyskach lokalnych komputerów stacjonarnych naleŝy stosować zabezpieczenia wymagane dla systemów przetwarzających dane osobowe. III. Wydruki 1. Poza elektroniczną formą danych osobowych przetwarzane są dane ze zbioru w postaci wydruków zawierających dane osobowe. Są one przechowywane w miejscu uniemoŝliwiającym bezpośredni dostęp do nich osobom niepowołanym, tj. w zabezpieczonych pomieszczeniach, w szafach zamykanych na klucz. Pomieszczenia, w którym przechowywane są wydruki robocze muszą być naleŝycie zabezpieczone po godzinach pracy. 2. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, naleŝy zniszczyć 7

8 w stopniu uniemoŝliwiającym ich odczytanie, zgodnie z zasadami określonymi w 6 ust. 4 pkt 4 Polityki bezpieczeństwa danych osobowych. 8 SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU DO SYSTEMU INFORMATYCZNEGO 1. Oprogramowanie stosowane w Uniwersytecie moŝe pochodzić wyłącznie ze źródeł legalnych i sprawdzonych, obowiązkowo posiadać łatwo dostępną informację o identyfikatorze, wersji i numerze licencji. 2. WdroŜenie modyfikacji istniejącego lub stworzenie albo zakup nowego oprogramowania przetwarzającego dane osobowe moŝliwe jest wyłącznie w przypadku spełnienia przez przedmiotowe oprogramowanie wymogów z zakresu bezpieczeństwa wynikających z obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz Regulaminu ochrony danych osobowych UMCS. 3. Zabronione jest uruchamianie lub instalowanie i uruchamianie oprogramowania niezwiązanego merytorycznie z wykonywaną pracą. 4. Korzystanie z zasobów Uniwersytetu poprzez sieć publiczną winno mieć miejsce po zastosowaniu koniecznych systemów zabezpieczeń i mechanizmów ochronnych, w szczególności firewall-i oraz systemu uwierzytelniania uŝytkowników i szyfrowania danych, a takŝe kompleksowego oprogramowania antywirusowego. 5. Sieć wewnętrzna Uniwersytetu odseparowana jest od sieci publicznej za pomocą uaktywnionych firewalli sprzętowych i programowych. 6. Dostęp do sieci rozległej mogą posiadać, przy zastosowaniu zasad dopuszczenia do zasobów informatycznych obowiązujących w Uniwersytecie: a) pracownicy Uniwersytetu, b) studenci Uniwersytetu, c) osoby lub podmioty, z którymi Uniwersytet współpracuje na podstawie zawartych umów oraz ich pracownicy w zakresie przewidzianym umową. 7. Za techniczne umoŝliwienie uŝytkownikom korzystania z zasobów internetowych odpowiedzialny jest wyznaczony pracownik Lubman UMCS. 8. W przypadku konieczności dokonania rejestracji w Internecie zabronione jest wykorzystywanie do tego celu identyfikatorów i haseł uŝywanych do dostępu do zasobów Uniwersytetu. 9. W celu ochrony systemów przed szkodliwym oprogramowaniem oprogramowanie antywirusowe podlegające systematycznej aktualizacji musi być zainstalowane na kaŝdym stanowisku komputerowym. Za prawidłowość realizacji powyŝszego obowiązku odpowiadają kierownicy poszczególnych jednostek organizacyjnych. 10. Sprawdzanie dostępności baz wirusów oprogramowania antywirusowego odbywa się automatycznie nie rzadziej niŝ raz na dobę. Zaleca się okresowe monitorowanie czy aktualizacja ta przebiega bez zakłóceń. 11. UŜytkownicy zobowiązani są do niezwłocznego zgłaszania do kierownika jednostki organizacyjnej kaŝdej stwierdzonej nieprawidłowości dotyczącej profilaktyki antywirusowej (np. braku zainstalowanego oprogramowania antywirusowego, nieaktualności sygnatur wirusów). Kierownik podejmuje działania mające na celu eliminację nieprawidłowości w zakresie realizacji obowiązku, o którym mowa w ust. 9, jak równieŝ informuje o zaistniałym zdarzeniu Kierownika Lubman UMCS. 12. Programy antywirusowe winny być uaktywnione cały czas podczas pracy danego systemu. 13. Wszystkie pliki otrzymywane z zewnętrz, jak równieŝ wysyłane na zewnątrz, naleŝy sprawdzać pod kątem występowania wirusów najnowszą dostępną wersją programu antywirusowego. 14. KaŜdy uŝytkownik zobowiązany jest do ochrony przed szkodliwym oprogramowaniem powierzonego mu stanowiska komputerowego. 15. Zabrania się uŝywania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje uŝytkownik, który nośnik zamierza uŝyć. 8

9 16. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. KaŜdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje uŝytkownik, który pobrał plik. 17. Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który pocztę otrzymał. 18. W przypadku stwierdzenia pojawienia się wirusa, kaŝdy uŝytkownik winien: 1) odłączyć stanowisko komputerowe od sieci, 2) zawiadomić przełoŝonego i Lubman UMCS o zaistniałym zdarzeniu, 3) zanotować nazwę wirusa, uruchomić program antywirusowy celem wykonania skanu dysku twardego. 19. W przypadku uszkodzenia danych lub programów Administrator Systemu Informatycznego zobowiązany jest do przywrócenia sprawności systemu korzystając z kopii zapasowych. 20. W Uniwersytecie przeprowadzone są cykliczne kontrole antywirusowe na wszystkich wykorzystywanych komputerach. 21. Kontrola antywirusowa przeprowadzana jest równieŝ na wybranym komputerze w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania. 22. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe, na którym wirusa wykryto. 9 SPOSÓB REALIZACJI WYMOGÓW, O KTÓRYCH MOWA W 7 UST. 1 PKT 4 ROZPORZĄDZENIA (INFORMACJE DOTYCZĄCE UDOSTĘPNIENIA DANYCH OSOBOWYCH) 1. Dane osobowe administrowane przez Uniwersytet mogą być udostępniane: 1) osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa, 2) innym osobom i podmiotom w przypadku posiadania przez wnioskującego podstaw do legalnego przetwarzania danych wynikających z art. 23 ust. 1 oraz art. 27 ust. 2 Ustawy o ochronie danych osobowych. 2. Uniwersytet jako ADO ma obowiązek szczególnej staranności i nadzoru w zakresie udostępniania danych osobowych. 3. Udostępnienie danych nie moŝe naruszać praw i wolności osób, których dane dotyczą. 4. W przypadku pojawienia się wątpliwości w zakresie moŝliwości udostępnienia danych osobowych naleŝy zasięgnąć opinii ABI. 5. ABI moŝe odmówić udostępnienia danych jeŝeli moŝe to naruszyć bezpieczeństwo i ochronę danych zgromadzonych w systemie informatycznym. 6. W celu nadzoru nad udostępnianiem danych osobowych w jednostkach udostępniających te dane prowadzona jest ewidencja udostępniania danych, której wzór przedstawia załącznik nr 6 do niniejszej Instrukcji. 7. Dane udostępnione Uniwersytetowi przez inny podmiot moŝna wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 10 PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUśĄCYCH DO PRZETWARZANIA DANYCH. 1. Przeglądy, konserwacje lub naprawy systemów i nośników wykorzystywanych w Uniwersytecie dokonywane są przez osobę upowaŝnioną do tego typu czynności, w szczególności Administratorów Systemu Informatycznego. 2. Dopuszcza się realizację czynności określonych w ustępie 1 przez specjalistyczne firmy świadczące usługi z zakresu IT. W przypadku korzystania z usług specjalistycznej firmy konieczne jest zawarcie stosownej umowy cywilnoprawnej. 3. Umowy dotyczące świadczenia usług teleinformatycznych, w tym zakupu, modernizacji, 9

10 sprzedaŝy lub serwisu urządzeń komputerowych, systemów informatycznych i oprogramowania powinny zawierać niezbędne klauzule określające wzajemne prawa i obowiązki stron umowy, a w szczególności wymagania dotyczące bezpieczeństwa, dostępu i ochrony danych oraz zakresu odpowiedzialności stron umowy w tym względzie. 4. Pracownicy firm świadczących usługi w oparciu o zawarte z Uniwersytetem umowy wykonują zlecone zadania tylko za zgodą Administratora Systemu Informatycznego lub innego uprawnionego pracownika Lubman UMCS i pod jego nadzorem. 5. W przypadku zdalnego dostępu do komputera (np. w celu wykonywania czynności serwisowych na komputerze) uŝytkownik komputera musi potwierdzić przejęcie pulpitu komputera oraz nadzorować wszelkie czynności wykonywane przez Administratora Systemu Informatycznego lub osobę przejmującą pulpit komputera, której zostały zlecone stosowne działania. 11 ZASTOSOWANE ŚRODKI BEZPIECZEŃSTWA 1. W Uniwersytecie stosowane są środki bezpieczeństwa dla systemów informatycznych na odpowiednim i adekwatnym poziomie. 2. Poziom co najmniej podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane wraŝliwe oraz Ŝadne z urządzeń systemu informatycznego, słuŝącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 3. Poziom co najmniej podwyŝszony stosuje się, gdy w systemie informatycznym przetwarzane są dane wraŝliwe oraz Ŝadne z urządzeń systemu informatycznego, słuŝącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, słuŝącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 5. Opis poziomu bezpieczeństwa oraz zastosowanych środków bezpieczeństwa zawiera załącznik nr 7 do niniejszej Instrukcji przedstawiający wymogi dotyczące środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności danych i ochrony systemów informatycznych przetwarzających dane osobowe. ZAŁĄCZNIKI: Załącznik nr 1 - Wzór upowaŝnienia do dostępu do danych osobowych. Załącznik nr 2 - Wzór oświadczenia z zakresu ochrony danych osobowych. Załącznik nr 3 - Wzór ewidencji osób uprawnionych do przetwarzania danych osobowych. Załącznik nr 4 - Wzór dziennika systemu. Załącznik nr 5 - Wzór rejestru nośników zawierających waŝne dane. Załącznik nr 6 - Wzór ewidencji udostępniania danych osobowych. Załącznik nr 7 - Wymogi dotyczące środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności danych i ochrony systemów informatycznych przetwarzających dane osobowe. 10

11 Załącznik nr 1 UpowaŜnienie nr... (Nr z rejestru) Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych reprezentując Uniwersytet Marii Curie-Skłodowskiej w Lublinie, z siedzibą przy Pl. Marii Curie-Skłodowskiej 5, Lublin, jako Administratora Danych Osobowych upowaŝniam: Panią/Pana:... (imię i nazwisko pracownika) do przetwarzania danych osobowych w zakresie zgodnym z opisem Pani/Pana zadań słuŝbowych, w celach związanych z realizacją obowiązków i uprawnień nałoŝonych przez przełoŝonego Niniejsze upowaŝnienie obejmuje dostęp do danych przetwarzanych w formie: 1. tradycyjnej tj.: kartotek, ewidencji, rejestrów, spisów itp. oraz 2. elektronicznej wg szczegółowych uprawnień do obsługi systemu informatycznego i urządzeń wchodzących w jego skład przyznanych pracownikowi w oparciu o obowiązujące u ADO unormowania wewnętrzne. Równocześnie zobowiązuje się pracownika do zachowania w tajemnicy wszelkich informacji dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia, a takŝe postępowania z danymi, zgodnie z obowiązującymi w Uniwersytecie unormowaniami, w szczególności zachowania ich poufności, integralności oraz właściwego ich zabezpieczenia, a takŝe wykorzystywania wyłącznie do realizacji obowiązków słuŝbowych. Naruszenie obowiązków w zakresie ochrony danych osobowych, w szczególności ich udostępnienie lub umoŝliwienie dostępu do danych osobie nieupowaŝnionej moŝe skutkować nałoŝeniem na pracownika kary porządkowej, a nawet rozwiązaniem umowy o pracę bez wypowiedzenia z powodu cięŝkiego naruszenia obowiązków pracowniczych. Podlega równieŝ karze grzywny, karze ograniczenia wolności lub pozbawienia wolności do lat dwóch, zaś w przypadku działania lub zaniechania nieumyślnego karze grzywny, ograniczenia wolności lub pozbawienia wolności do roku (podstawa prawna: art. 51 oraz art. 52 Ustawy o ochronie danych osobowych). UpowaŜnienie jest waŝne w trakcie trwania umowy o pracę tj. od dnia zatrudnienia do dnia rozwiązania lub wygaśnięcia stosunku pracy lub odwołania niniejszego upowaŝnienia. Uwagi: (data) (czytelny podpis, pieczątka osoby reprezentującej administratora danych) * na uŝytek niniejszego upowaŝnienia pod pojęciem pracownik naleŝy rozumieć równieŝ osoby świadczące czynności na podstawie umów cywilnoprawnych. 11

12 Załącznik nr 2... (imię i nazwisko pracownika).. (stanowisko słuŝbowe)... (nazwa jednostki organizacyjnej) OŚWIADCZENIE Z ZAKRESU OCHRONY DANYCH Oświadczam, iŝ w związku z realizacją zleconych mi czynności i zadań zastałam/em przeszkolony z przepisów prawnych z zakresu ochrony informacji i danych osobowych, w szczególności Ustawy z dnia r. o ochronie danych osobowych i przepisów wykonawczych do niej oraz aktów prawnych wewnętrznych obowiązujących w Uniwersytecie, a dotyczących powyŝszych kwestii, w tym: 1. Regulaminu ochrony danych osobowych i załączników do niego, tj.: 2. Polityki bezpieczeństwa danych osobowych, 3. Instrukcji zarządzania systemem informatycznym słuŝącym do przetwarzania danych osobowych. W związku z powyŝszym znane są mi przepisy nadrzędne oraz procedury wewnętrzne dotyczące ochrony i zapewnienia bezpieczeństwa przetwarzania danych, jak równieŝ obowiązki spoczywające na pracownikach mających dostęp do przedmiotowych danych i zobowiązuję się do ich przestrzegania, ochrony danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem, a takŝe ich wykorzystywania wyłącznie do celów słuŝbowych, zarówno w trakcie trwania jak i po ustaniu zatrudnienia, pod rygorem odpowiedzialności z tytułu naruszenia obowiązujących przepisów i aktów prawnych wewnętrznych. Zostałem równieŝ poinformowany o nadzorze i kontroli pracodawcy nad prawidłowością postępowania w zakresie bezpieczeństwa informacji i danych osobowych przetwarzanych w postaci tradycyjnej oraz w systemach informatycznych, w szczególności w udostępnionych mi do wykorzystania urządzeniach i aplikacjach (miejscowość, data) (czytelny podpis pracownika) 12

13 Załącznik nr 3 REJESTR OSÓB UPOWAśNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH Lp. Nazwisko Imię Stanowisko Nazwa jednostki organizacyjnej Data wydania upowaŝnienia Data anulowania upowaŝnienia Zakres uprawnień Identyfikator Uwagi

14 Załącznik nr 4 DZIENNIK SYSTEMU INFORMATYCZNEGO L.p. Data wystąpienia zdarzenia Zgłaszający Rodzaj zdarzenia Podjęte działania Uwagi

15 Załącznik nr 5 REJESTR NOŚNIKÓW KOMPUTEROWYCH ZAWIERAJACYCH WAśNE DANE Oznaczenie nośnika Data wpisania w rejestr Opis nośnika Miejsce przechowywania nośnika Podpis uŝytkownika Uwagi Oznaczenie nośnika: Kolejny nr nośnika / symbol nośnika / symbol jednostki lub komórki org. Przykładowe symbole nośników: T - taśma F - dyskietka Z - zip CD - płyta CD DVD - płyta DVD P - pendrive 15

16 Załącznik nr 6 EWIDENCJA UDOSTĘPNIANIA DANYCH L.p. Data udostępnieni a danych Podmiot, któremu dane udostępniono (nazwa, adres) Podstawa prawna udostępnienia danych Zakres udostępnionych danych Podpis pracownika 16

17 Załącznik nr 7 Wymogi dotyczące środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności danych i ochrony systemów informatycznych przetwarzających dane osobowe W 6 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informacyjne słuŝące do przetwarzania danych osobowych (Dz. U. nr 100, poz ), zwanego dalej rozporządzeniem ustawodawca wprowadził trzy poziomy bezpieczeństwa przetwarzania danych osobowych, uwzględniające kategorie przetwarzanych danych oraz zagroŝenia dla tych danych - podstawowy, podwyŝszony i wysoki. W Uniwersytecie Marii Curie-Skłodowskiej w Lublinie z siedzibą przy Pl. M. Curie-Skłodowskiej 5, Lublin obowiązuje poziom wysoki ochrony danych osobowych. Zasadą przyjętą u administratora jest to, iŝ zapewnia on stosowanie środków ochrony przewidzianych dla dwóch poziomów niŝszych, tj. podstawowego oraz podwyŝszonego, o ile środki ochrony przewidziane dla poziomu wysokiego nie wykluczają stosowania środków przewidzianych dla pozostałych poziomów. Środki bezpieczeństwa na poziomie podstawowym Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagroŝeń oraz kategorii danych objętych ochroną Art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej ustawą Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Art. 36 ust 2 ustawy 17

18 Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Obowiązek wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych 1 Art. 36 ust. 3 ustawy Obowiązek zapewnienia, aby do przetwarzania danych osobowych były dopuszczone wyłącznie osoby posiadające upowaŝnienie wydane prze administratora danych 2 Art. 37 ustawy Obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane Art. 38 ustawy Obowiązek prowadzenia ewidencji osób upowaŝnionych do przetwarzania danych osobowych. Ewidencja powinna zawierać następujące dane: 1. Imię i nazwisko osoby upowaŝnionej 2. Datę nadania i ustania oraz zakres upowaŝnienia do przetwarzania danych osobowych 3. Identyfikator, jeŝeli dane są przetwarzane w systemie informatycznym Art. 39 ust 1 ustawy Obowiązek zachowania w tajemnicy danych osobowych, z którymi osoba upowaŝniona do przetwarzania danych osobowych zetknęła się w czasie swojej pracy. Obowiązek zachowania w tajemnicy dotyczy teŝ informacji o sposobie zabezpieczenia tych danych 3. Art. 39 ust. 2 ustawy Obowiązek opracowania w formie pisemnej i wdroŝenie polityki bezpieczeństwa (opis elementów, z których powinien składać się dokument polityki zawarty został w pkt 9 13 niniejszej listy) 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanego dalej rozporządzeniem Obowiązek ustalenia wykazu budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 4 pkt 1 rozporządzenia 1 Odnośnie realizacji tego obowiązku trzeba mieć na uwadze dwie sprawy: 1. Funkcje ABI moŝe pełnić sam administrator danych i wtedy nie wyznaczać takiej osoby 2. ABI powinien wykonywać swoje funkcje takŝe w odniesieniu do przetwarzania danych osobowych w zbiorach papierowych 2 UpowaŜnienie do przetwarzania danych osobowych musi być wydawane takŝe osobom przetwarzającym dane osobowe w zbiorach papierowych 3 W przepisie zrezygnowano z dodawania obowiązku zachowania informacji wskazanych w przepisie w tajemnicy takŝe po ustaniu zatrudnienia poniewaŝ, jak stwierdzono w czasie prac komisji sejmowej pracującej nad ustawą jest to oczywiste 18

19 Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Obowiązek ustalenia wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 4 pkt 2 rozporządzenia Obowiązek ustalenia opisu struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi 4 pkt 3 rozporządzenia 12. Opisanie sposobu przepływu danych pomiędzy poszczególnymi systemami 4 pkt 4 rozporządzenia 13. Obowiązek określenia środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych 4 pkt 5 rozporządzenia Obowiązek opracowania w formie pisemnej i wdroŝenia instrukcji zarządzania systemem informatycznym, słuŝącym do przetwarzania danych osobowych (opis elementów, z których powinna składać się instrukcja zawarty został w pkt niniejszej listy) 3 rozporządzenia Obowiązek opracowania procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. 5 pkt 1 rozporządzenia Obowiązek określenia stosowanych metod i środków uwierzytelnienia oraz procedury związane z ich zarządzaniem i uŝytkowaniem 5 pkt 2 rozporządzenia 17. Obowiązek określenia procedur rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu 5 pkt 3 rozporządzenia 18. Obowiązek opracowania procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych zastosowanych do ich przetwarzania 5 pkt 4 rozporządzenia 19

20 Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Określenie sposobów, miejsca i okresu przechowywania: 1. Elektronicznych nośników informacji zawierających dane osobowe 2. Kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych zastosowanych do ich przetwarzania 5 pkt 5 rozporządzenia Określenie sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 5 pkt 6 rozporządzenia Określenie sposobu realizacji wymogów w zakresie odnotowywania w systemie informatycznym informacji o odbiorcach 4, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba Ŝe system informatyczny uŝywany jest do przetwarzania danych zawartych w zbiorach jawnych 5 pkt 7 rozporządzenia Określenie procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji słuŝących do przetwarzania danych osobowych 5 pkt 8 rozporządzenia Określenie sposobu realizacji wymogów w zakresie odnotowywania w systemie informatycznym następujących informacji 5 : 1. daty pierwszego wprowadzenia danych osoby; 2. identyfikatora uŝytkownika wprowadzającego dane osobowe do systemu, chyba Ŝe dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3. źródła pochodzenia danych, w przypadku zbierania danych, nie od osoby, której one dotyczą 4. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba Ŝe system informatyczny uŝywany jest do przetwarzania danych zawartych w zbiorach jawnych 5. sprzeciwu wobec przetwarzania danych osobowych, jeŝeli prawo przewiduje taki sprzeciw 7 rozporządzenia 4 Definicja pojęcia odbiorcy została umieszczona w art. 7 pkt 6 ustawy 5 Odnośnie realizacji tego obowiązku trzeba mieć na względzie następujące sprawy: Wymagań wskazanych w tym pkt nie trzeba spełniać, jeśli system słuŝy do przetwarzania danych osobowych wyłącznie w zakresie edycji tekstu w celu udostępnienia go na piśmie, Odnotowanie informacji wskazanych w pkt 1 i 2 musi dokonywać się w systemie automatycznie W przypadku przetwarzania danych osobowych, w co najmniej w dwóch systemach informatycznych, wymagania, o których mowa w pkt 4, mogą być realizowane w jednym z nich lub w obrębie systemu informatycznego przeznaczonego do tego celu 20

21 Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Dla kaŝdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnia sporządzenia i wydrukowanie raportu 6 zawierającego w powszechnie zrozumiałej formie informacje, wskazane w pkt 21 listy 7 ust. 3 rozporządzenia Obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa naleŝy zabezpieczyć przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upowaŝnionych do przetwarzania danych osobowych Pkt I.1 załącznika do rozporządzenia Przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalne za zgodą administratora danych lub w obecności osoby upowaŝnionej do przetwarzania danych osobowych Pkt I.2 załącznika do rozporządzenia System informatyczny powinien być wyposaŝony w mechanizm uwierzytelniania uŝytkownika oraz kontroli dostępu do danych Pkt II.1 załącznika do rozporządzenia JeŜeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, naleŝy zapewnić, aby 1. W systemie tym rejestrowany był dla kaŝdego uŝytkownika odrębny identyfikator 2. Dostęp do danych był moŝliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia Pkt II. 2 załącznika do rozporządzenia Zabezpieczyć system przed: 1. Działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 2. Utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej Pkt III załącznika do rozporządzenia Identyfikator uŝytkownika, który utracił uprawnienia do przetwarzania danych nie moŝe być przydzielany innej osobie Pkt IV.1 załącznika do rozporządzenia W przypadku, gdy do uwierzytelnienia uŝytkownika uŝywa się hasła, jego zmiana następuje nie rzadziej niŝ co 30 dni. Hasło składa się co najmniej z 6 znaków Pkt IV.2 załącznika do rozporządzenia 6 Zgodnie z rozporządzeniem przez raport naleŝy rozumieć przygotowanie przez system informatyczny zestawienia zakresu i treści przetwarzanych danych 21

22 Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów słuŝących do przetwarzania danych. Pkt IV.3 załącznika do rozporządzenia Kopie zapasowe 1. Przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem 2. Usuwa niezwłocznie po ustaniu ich uŝyteczności Pkt IV. 4 załącznika do rozporządzenia Osoba uŝytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostroŝność podczas jego transportu, przechowywania i uŝytkowania poza obszarem przetwarzania danych osobowych, w tym stosuje środki ochrony kryptograficznej wobec przetwarzania danych osobowych Pkt V załącznika do rozporządzenia Likwidacja Obowiązek usunięcia danych osobowych z urządzeń, dysków lub innych nośników informatycznych przed ich likwidacją. W przypadku, gdy usunięcie jest niemoŝliwe uszkodzenie nośników w sposób uniemoŝliwiających odczytanie danych Pkt VI ppkt 1 załącznika do rozporządzenia 36. Przekazanie Obowiązek usunięcia danych osobowych z urządzeń, dysków lub innych informatycznych nośników danych przed przekazaniem ich innemu podmiotowi nieuprawnionemu do otrzymania danych osobowych Pkt VI ppkt 2 załącznika do rozporządzenia 37. Naprawa Obowiązek usunięcia danych osobowych z urządzeń, dysków lub innych wymiennych nośników danych przed przekazaniem ich do naprawy, chyba Ŝe naprawa odbywa się pod nadzorem osoby upowaŝnione przez administratora Pkt VI ppkt 3 załącznika do rozporządzenia 38. Obowiązek monitorowania wdroŝonych zabezpieczeń systemu informatycznego Pkt VII załącznika do rozporządzenia 22

23 Środki bezpieczeństwa na poziomie podwyŝszonym Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO 39. W przypadku, gdy do uwierzytelniania uŝytkownika uŝywa się hasła, składa się ono, co najmniej z 8 znaków, zawiera wielkie i małe litery oraz cyfry lub znaki specjalne Pkt VIII załącznika do rozporządzenia Urządzenia i nośnik informacji zawierające wraŝliwe dane osobowe w rozumieniu art. 27 ust. 1 ustawy, przekazywane poza obszar przetwarzania danych zabezpiecza się w sposób zapewniający poufność i integralność danych Pkt IX załącznika do rozporządzenia Instrukcję zarządzania systemem informatycznym, rozszerza się o sposób stosowania środków, o których mowa w pkt 40 listy Pkt X załącznika do rozporządzenia Środki bezpieczeństwa na poziomie wysokim Lp. NORMA PRAWA POWSZECHNIE OBOWIĄZUJĄCEGO Obowiązek zapewnienia ochrony systemu informatycznego przed zagroŝeniami pochodzącymi z sieci publicznej poprzez wdroŝenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem W przypadku zastosowania logicznych zabezpieczeń, obejmują one: Kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną Kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Pkt XII załącznika do rozporządzenia Obowiązek stosowania kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej Pkt XIII załącznika do rozporządzenia 23