POLITYKA BEZPIECZESTWA ROZDZIAŁ I POSTANOWIENIA OGÓLNE

Transkrypt

1 Załcznik do Zarzdzenia Nr 20/05 Starosty Pabianickiego z dnia 18 lipca 2005 roku POLITYKA BEZPIECZESTWA ROZDZIAŁ I POSTANOWIENIA OGÓLNE 1 1. Polityka Bezpieczestwa jest rozumiana jako całokształt działa, zmierzajcych do uzyskania i utrzymania wymaganego poziomu bezpieczestwa danych osobowych, tj. zapewnienie poufnoci, spójnoci i dostpnoci na kadym etapie tworzenia, przetwarzania, przechowywania i przesyłania danych osobowych. 2. Polityka Bezpieczestwa obejmuje zbiór zasad dotyczcych bezpieczestwa danych osobowych ustalonych w oparciu o wymagania wynikajce z przepisów prawa, z szacowania ryzyka w zwizku z wykonywaniem okrelonych prawem zada przez Starostwo Powiatowe w Pabianicach oraz wewntrzne wymogi i uwarunkowania lokalowe Starostwa Powiatowego w Pabianicach, zwanego dalej Starostwem. 3. Polityka Bezpieczestwa zapewnia: 1) spójno z wyznaczonymi zadaniami Starostwa, oraz pełn integracj z podstawowymi procedurami zdefiniowanymi w Starostwie, 2) skuteczniejsze działania w odniesieniu do zagroe poufnoci, integralnoci i dostpnoci danych osobowych, 3) realizacj zada Starostwa w taki sposób, aby podnie jako i wiarygodno wobec klientów Starostwa, 4) ochron danych osobowych tworzonych, przetwarzanych, przechowywanych i przesyłanych nie tylko za pomoc systemów informatycznych ale równie w innych obszarach ich przetwarzania i przechowywania (np. papierowej). 4. Celem Polityki Bezpieczestwa jest wskazanie działa, jakie naley podejmowa oraz ustanowienie zasad, jakie naley stosowa, aby prawidłowo były realizowane obowizki Starosty Pabianickiego jako Administratora Danych w zakresie zabezpieczenia danych osobowych. 2 Ilekro w niniejszej Polityce Bezpieczestwa jest mowa o: 1. ustawie - rozumie si przez to ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, 2. zbiorze danych rozumie si przez to kady posiadajcy struktur zestaw danych o charakterze osobowym, dostpnych według okrelonych kryteriów, niezalenie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 3. przetwarzaniu danych rozumie si przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 4. danych osobowych rozumie si przez to wszelkie informacje dotyczce zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej,

2 5. identyfikatorze uytkownika - rozumie si przez to cig znaków literowych, cyfrowych lub innych jednoznacznie identyfikujcy osob upowanion do przetwarzania danych osobowych w systemie informatycznym, 6. hale - rozumie si przez to cig znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 7. sieci telekomunikacyjnej rozumie si przez to sie telekomunikacyjn w rozumieniu art. 2 pkt.35 ustawy z dnia 16 lipca 2004 r Prawo telekomunikacyjne, 8. sieci teleinformatycznej rozumie si przez to słuc do przetwarzania danych osobowych organizacyjnie i technicznie połczenie systemów teleinformatycznych wraz z łczcymi je urzdzeniami i liniami, 9. sieci publicznej rozumie si przez to sie publiczn w rozumieniu art. 2 pkt.28 ustawy z dnia 16 lipca 2004 r Prawo telekomunikacyjne, 10. teletransmisji rozumie si przez to przesyłanie informacji za porednictwem sieci telekomunikacyjnej, 11. uytkowniku rozumie si przez to osob upowanion do dostpu i przetwarzania danych osobowych, 12. Administratorze Bezpieczestwa Informacji rozumie si przez to wyznaczonego przez Starost Pabianickiego, Administratora Bezpieczestwa Informacji odpowiedzialnego za bezpieczestwo danych osobowych, 13. systemie informatycznym, rozumie si przez to zespół współpracujcych ze sob, programów, procedur przetwarzania informacji i narzdzi programowych zastosowanych w celu przetwarzania danych w Starostwie Powiatowym w Pabianicach, 14. systemie teleinformatycznym rozumie si przez wszelkie urzdzenia, narzdzia, metody postpowania i procedury stosowane przez pracowników Starostwa Powiatowego w Pabianicach w celu tworzenia, przechowywania, przetwarzania lub przekazywania informacji zapisywanych elektronicznie, 15. zabezpieczeniu systemu informatycznego naley przez to rozumie wdroenie stosowanych rodków administracyjnych, technicznych oraz ochrony przed modyfikacj, zniszczeniem, nieuprawnionym dostpem i ujawnieniem lub pozyskaniem danych osobowych, a take ich utrat, 16. zabezpieczeniu danych w systemie informatycznym - rozumie si przez to wdroenie i eksploatacj stosownych rodków technicznych i organizacyjnych zapewniajcych ochron danych przed ich nieuprawnionym przetwarzaniem, 17. rozliczalnoci - rozumie si przez to właciwo zapewniajc, e działania podmiotu mog by przypisane w sposób jednoznaczny tylko temu podmiotowi, 18. integralnoci danych - rozumie si przez to właciwo zapewniajc, e dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 19. uwierzytelnianiu - rozumie si przez to działanie, którego celem jest weryfikacja deklarowanej tosamoci podmiotu, 20. poufnoci danych - rozumie si przez to właciwo zapewniajc, e dane nie s udostpniane nieupowanionym podmiotom, 21. usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj, która nie pozwoli na ustalenie tosamoci osoby, której dane dotycz. 3 W Starostwie Powiatowym w Pabianicach z uwagi na fakt, e urzdzenia systemu informatycznego słucego do przetwarzania danych osobowych połczone s z sieci publiczn, stosuje si wysoki poziom bezpieczestwa teleinformatycznego.

3 4 Bezpieczestwo teleinformatyczne na poziomie wysokim zapewnia si przez: 1. Ochron fizyczn, 2. Ochron elektromagnetyczn, 3. Ochron kryptograficzn, 4. Bezpieczestwo teletransmisji, 5. Kontrol dostpu do urzdze systemu lub sieci teleinformatycznej. 5 Ochron fizyczn systemu lub sieci teleinformatycznej zapewnia si przez instalacj rodków zabezpieczajcych pomieszczenia, w którym znajduj si urzdzenia systemu lub sieci teleinformatycznej, w szczególnoci przed: 1. Nieuprawnionym dostpem. 2. Podgldem. 3. Podsłuchem. 6 Ochrona elektromagnetyczna polega na: 1. Wszelkie urzdzenia systemu i sieci teleinformatycznej winny znajdowa si w odległoci nie mniejszej ni 150 m od ródeł emisji elektromagnetycznej mogcej zakłóca prawidłow prac tych urzdze. 2. W trakcie pracy urzdze systemu i sieci teleinformatycznej w strefie bezpieczestwa naley wyłczy urzdzenia o wysokiej emisyjnoci fal elektromagnetycznych lub stosowa zastosowanie urzdze, połcze linii o obnionym poziomie emisji lub ich ekranowanie i filtrowanie zewntrznych linii zasilajcych lub sygnałowych. 3. Komputery na których przetwarzane s dane osobowe powinny spełnia warunek obnionej emisyjnoci Ochrona kryptograficzna systemu lub sieci teleinformatycznej polega na stosowaniu metod i rodków zabezpieczajcych dane osobowe przez ich szyfrowanie oraz stosowanie innych mechanizmów kryptograficznych gwarantujcych integralno i zabezpieczenie przed nieuprawnionym ujawnieniem tych danych lub uwierzytelnienie podmiotów, lub uwierzytelnienie informacji. 2. Ochron kryptograficzn systemu lub sieci teleinformatycznej stosuje si przy przekazywaniu danych osobowych w formie elektronicznej, poza strefy bezpieczestwa. 3. Przemieszczanie komputerów przenonych, w których przetwarzane s dane osobowe, poza strefy bezpieczestwa wymaga stosowania kryptograficznych metod i rodków ochrony tych danych lub innych rodków ochrony, gwarantujcych ich zabezpieczenie przed nieuprawnionym ujawnieniem. 4. Przepis ust. 3 stosuje si do elektronicznych noników zawierajcych dane osobowe, przemieszczanych poza strefy bezpieczestwa. ROZDZIAŁ II WYKAZ POMIESZCZE TWORZCYCH OBSZAR, W KTÓRYM PZETWARZANE S DANE OSOBOWE

4 1 1. Pomieszczeniami tworzcymi obszar, w którym znajduj si przetwarzane dane osobowe s pomieszczenia, w których znajduj si zbiory danych w formie kartotek, rejestrów i innych oraz stacjonarny sprzt komputerowy, w którym s przetwarzane dane osobowe. 2. Przebywanie w pomieszczeniach znajdujcych si wewntrz obszaru, o którym mowa w ust.1, osób nieuprawnionych do dostpu do danych osobowych, jest dopuszczalne tylko w obecnoci osoby zatrudnionej przy przetwarzaniu tych danych. 3. Pomieszczenia, w których przetwarzane s dane osobowe powinny by zamykane i chronione na czas nieobecnoci w nich osób upowanionych do przetwarzania danych osobowych, w sposób uniemoliwiajcy dostp do nich osób trzecich. 2 Wykaz pomieszcze tworzcych obszar, w którym przetwarzane s dane osobowe został okrelony w załczniku Nr 1 do Polityki Bezpieczestwa. ROZDZIAŁ III WYKAZ ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMY ZASTOSOWANE DO PRZETWARZANIA TYCH DANYCH 1 Starostwo przetwarza dane osobowe w zbiorach, w zwizku z wykonywaniem zada wynikajcych z art. 4 ustawy o samorzdzie powiatowym i stosownych przepisów prawa materialnego i proceduralnego. 2 Wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych danych zawiera załcznik Nr 2 do Polityki Bezpieczestwa. ROZDZIAŁ IV OPIS STRUKTURY ZBIORÓW DANYCH 1 Zbiory danych osobowych przetwarzanych w Starostwie Powiatowym w Pabianicach maj nastpujce struktury: 1. W zbiorze danych Lista wypłat stypendystów przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Kwota stypendium c) Nr rachunku d) Imi i nazwisko opiekuna prawnego/ucznia

5 2. W zbiorze danych Dochody Skarbu Pastwa przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Informacje dodatkowe c) Umowy d) Windykacje 3. W zbiorze danych Zbiór decyzji w zakresie utrzymania urzdze melioracji wodnych przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Wie c) Kwota d) nr. decyzji 4. W zbiorze danych Rejestr kart wdkarskich przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Data urodzenia c) nr. karty 5. W zbiorze danych Rejestr decyzji i dokumentacji wodnoprawnych przetwarzane s dane osobowe w zakresie: a) Nazwa b) Inwestor c) nr. RWA 6. W zbiorze danych Rejestr sprztu pływajcego do amatorskiego połowu ryb przetwarzane s dane osobowe w zakresie: a) Data wpisu b) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) c) Dane techniczne d) nr. rejestracyjny e) Data wykrelenia 7. W zbiorze danych Rejestr gruntów wyłczonych z produkcji rolniczej przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Obrb (adres i nr. ewidencyjny działki) c) Decyzja (nr i data) d) Klasa i areał gruntu e) pochodzenie gleby f) sposób zagospodarowania gruntu g) Data (wszczcia i zakoczenia sprawy) h) Uwagi 8. W zbiorze danych Radni Rady Powiatu Pabianickiego II kadencji przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Nr. telefonu (słubowy, prywatny) c) Przynaleno partyjna

6 9. W zbiorze danych Decyzje (wjazdy, kary, decyzje), Wypadki samochodowe, Nadzór nad organizacj ruchu, Zarzdzanie ruchem BRD, Decyzje i postanowienia przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) 10.W zbiorze danych Dochody Skarbu Pastwa opłaty melioracyjne, Wieczyste uytkowanie gruntów, Dzierawa nieruchomoci, Przekształcenie wieczystego uytkowania gruntów przetwarzane s dane osobowe w zakresie: a) zbioru danych Dochody Skarbu Pastwa b) nr. konta 11.W zbiorze danych Zakładowy fundusz wiadcze socjalnych, Pracownicza kasa zapomogowo-poyczkowa, rodek specjalny-drogi przetwarzane s dane osobowe w zakresie: a) nr. konta b) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) 12.W zbiorze danych Decyzje o przekształcaniu prawa uytkowania wieczystego w prawo własnoci przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Pesel c) Imiona rodziców d) Wypisy 13.W zbiorze danych Decyzje o zwrocie siedliska i działek doywotniego uytkowania przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Imiona rodziców 14.W zbiorze danych Ewidencja uytkowników wieczystych, dzierawców, uytkowników, najemców, nabywców gruntów Skarbu Pastwa i Powiatu przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Pesel c) NIP d) Wartoci Gruntów 15.W zbiorach danych Decyzje o wywłaszczaniu nieruchomoci i ustaleniu odszkodowania, Decyzje zezwalajce na czasowe zajcie nieruchomoci, Ewidencja repatriantów przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) 16.W zbiorze danych Rejestr niepublicznych placówek owiatowych szkoły niepubliczne oraz Rejestr niepublicznych placówek owiatowych placówki niepubliczne przetwarzane s dane osobowe w zakresie: a) Kserokopie dyplomów b) Nazwa szkoły/placówki c) Typ szkoły/placówki d) siedziba (adres szkoły/placówki) e) data zgłoszenia wpisu

7 f) Dane adresowe osoby zakładajcej szkoł/placówk (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) 17.W zbiorze danych Skierowania do kształcenia specjalnego, decyzje o przyznaniu indywidualnego nauczania, zaj rewalidacyjno-wychowawczych przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Szkoła do której osoba została skierowana c) Imi i nazwisko osoby wnioskujcej d) Orzeczenie z poradni 18.W zbiorze danych Listy uczniów kwalifikujcych si do otrzymania stypendiów wiejskich przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) przynaleno do szkoły 19.W zbiorze danych Wykaz imienny nauczycieli przebywajcych na urlopach zdrowotnych i w stanach nieczynnych przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) szkoła c) koszty 20.W zbiorze danych Zestawienie imienne pracowników administracji i obsługi w szkołach i placówkach owiatowych oraz Zestawienie imienne nauczycieli zatrudnionych w szkołach i placówkach owiatowych kwalifikujcych si do zwolnienia lub przejcia na emerytur przetwarzane s dane osobowe w zakresie: a) Szkoła b) Imi i nazwisko c) Wymiar etatu d) Nauczany przedmiot e) lata pracy f) wiek g) kwota przysługujcej odprawy 21.W zbiorze danych Imienny wykaz aktów mianowania przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Nazwa szkoły c) Data i numer wydanego zawiadczenia d) Data i numer wydanego aktu mianowania e) Numer telefonu 22.W zbiorze danych Rejestr doskonalenia zawodowego nauczycieli przetwarzane s dane osobowe w zakresie: a) Imie i nazwisko b) Szkoła c) Data wpływu d) Protokół z posiedzenia komisji e) Nazwa szkoły/kursu na który osoba jest wysyłana f) Koszt dofinansowania

8 g) Numer konta nauczyciela 23.W zbiorze danych Opinie pracy, nagrody przetwarzane s dane osobowe w zakresie: a) Opinia pracy b) Imi i nazwisko c) Data i miejsce urodzenia d) Sta pracy pedagogicznej e) Wykształcenie f) Stanowisko g) Nazwa szkoły/placówki h) Stopie awansu zawodowego i) Data rozpoczcia pracy w szkole j) Forma nawizania stosunku pracy k) Data dokonania poprzedniej oceny l) Dotychczasowe nagrody m) ocena i uzasadnienie 24.W zbiorze danych Decyzje (wjazdy, kary, decyzje) przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Zajcia pasa c) Płatnoci d) wnioski 25.W zbiorze danych Ewidencja pojazdów przetwarzane s dane osobowe w zakresie: a) Dane o pojedzie (marka, typ i model, rodzaj, numer rejestracyjny, numer identyfikacyjny VIN lub numer nadwozia/podwozia, numer silnika, rok produkcji, data pierwszej rejestracji, termin badania technicznego, zastrzeenia, informacje o dodatkowym badaniu technicznym) b) Seria i numer dowodu rejestracyjnego albo pozwolenia czasowego oraz data ich wydania c) Nazwa organu, który dokonał rejestracji pojazdu d) Dane o włacicielu pojazdu oraz o posiadaczu ( Imie i nazwisko, adres zamieszkania, Pesel, regon) e) Informacje o nadaniu i wybiciu numeru nadwozia (podwozia) lub numeru silnika; kradziey pojazdu oraz jego odnalezieniu; utracie dowodu rejestracyjnego i tablic rejestracyjnych, pozwolenia czasowego i tablic tymczasowych oraz karty pojazdu, a take ich odnalezieniu; zatrzymaniu dowodu rejestracyjnego albo pozwolenia czasowego f) Informacje o zawartej umowie OC (Imie i nazwisko; adres zamieszkania; nazwa zakładu ubezpiecze; nazwa, seria i numer dokumentu potwierdzajcego zawarcie umowy; data zawarcia umowy; okres odpowiedzialnoci zakładu ubezpiecze; data rozwizania umowy) g) Dane o pojedzie (przeznaczenie, pojemno i moc silnika, dopuszczalna masa całkowita, dopuszczalna ładowno, liczba osi, najwikszy dopuszczalny nacisk osi, dopuszczalna masa całkowita cignitej przyczepy, liczba miejsc, data pierwszej rejestracji za granic, poprzedni numer rejestracyjny i nawa organu który dokonał rejestracji) h) Informacje o dowodzie rejestracyjnym (seria, numer, oraz data wydania wtórnika), pozwoleniu czasowym (data wanoci, data przedłuenia wanoci, cel wydania, seria,

9 numer oraz data wydania wtórnika), karcie pojazdu (eria, numer, oraz data wydania wtórnika), nalepce kontrolnej (data wydania wtórnika), znakach legalizacyjnych (seria, numer, oraz data wydania wtórnika), nalepce na tablice tymczasowe (data wydania wtórnika), wyrejestrowaniu pojazdu (data i przyczyna wyrejestrowania), zbyciu pojazdu (dane nowego właciciela pojazdu), czasowym wycofaniu pojazdu z ruchu i jego ponownym dopuszczeniu do ruchu po tym wycofaniu, wydanym zawiadczeniu o demontau pojazdu, inne dane i informacje stanowice tre adnotacji urzdowych, identyfikator osoby dokonujcej wpisu bd zmian w bazie danych. 26.W zbiorze danych Ewidencja kierowców przetwarzane s dane osobowe w zakresie: a) Dane adresowe (imi, nazwisko, kod pocztowy, miejscowo, ulica, nr domu) b) Data i miejsce urodzenia c) Pesel d) Rodzaj oraz zakres uzyskanego uprawnienia e) Data uzyskania pierwszego uprawnienia f) Data wanoci uprawnienia g) Numer dokumentu stwierdzajcego uprawnienie h) Ograniczenia dotyczce uprawnienia i) Nazwa organu wydajcego uprawnienie j) zakres i numer zawiadczenia ADR k) Dane dotyczce zatrzymania dokumentu oraz jego zwrócenia, cofnicia uprawnienia oraz jego przywrócenia, utraty dokumentu oraz jego odnalezienia, zastosowania rodka karnego w postaci prowadzenia pojazdów. 27.W zbiorze danych Ewidencja Szkół Nauki Jazdy przetwarzane s dane osobowe w zakresie: a) Firma przedsibiorcy b) Numer w rejestrze przedsibiorców albo ewidencji działalnoci gospodarczej oraz numer NIP o ile przedsibiorca taki numer posiada c) Adres zamieszkania lub siedziby przedsibiorcy d) Adres orodka szkolenia kierowców e) Zakres prowadzonego szkolenia f) Imiona i nazwiska instruktorów wraz z numerami ich uprawnie. 28.W zbiorze danych Ewidencja Instruktorów Nauki Jazdy przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Pesel c) Uprawnienia 29.W zbiorze danych Ewidencja Firm Transportowych i Włacicieli przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Numer w rejestrze przedsibiorców albo ewidencji działalnoci gospodarczej oraz numer NIP o ile przedsibiorca taki numer posiada c) Adres zamieszkania lub siedziby przedsibiorcy d) Adres stacji kontroli pojazdów przedsibiorcy e) Zakres bada f) Imiona i nazwiska zatrudnionych diagnostów wraz z numerami ich uprawnie

10 30.W zbiorze danych Ewidencja Firm i Włacicieli uytkujcych pojazdy na potrzeby własne przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Numer w rejestrze przedsibiorców albo ewidencji działalnoci gospodarczej oraz numer NIP o ile przedsibiorca taki numer posiada c) Adres Firmy d) Numery rejestracyjne pojazdów 31.W zbiorze danych Akta osobowe przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Numer Teczki c) Adres zamieszkania d) Wykształcenie e) Dzie zatrudnienia 32.W zbiorze danych Kadry i Płace przetwarzane s dane osobowe w zakresie: a) Dane kadrowe (Imie, nazwisko, nr. ewidencyjny, wydział) b) Dane personalne (Dane kadrowe, Data urodzenia, N IP, imiona rodziców, kwalifikacje, wykształcenie, adres zamieszkania, Pesel) c) Dane Płacowe (Dane personalne, płace) d) Dane o zatrudnieniu(dane personalne, Data zatrudnienia) 33.W zbiorze danych Kartoteka zasiłków chorobowych, macierzyskich, opiekuczych przetwarzane s dane osobowe w zakresie: a) Imi i nazwisko b) Zasiłki 34.W zbiorze danych Rejestry kancelaryjne rzeczowe przetwarzane s dane osobowe w zakresie: a) Nazwa firmy b) Adres c) Imi i nazwisko ROZDZIAŁ V SPOSÓB PRZEPŁYWU DANYCH POMIDZY POSZCZEGÓLNYMI SYSTEMAMI 1 W Starostwie Powiatowym w Pabianicach nie istniej adne relacje pomidzy rónymi systemami informatycznymi. Rozdział VI ZASADY KORZYSTANIA Z KOMPUTERÓW PRZENONYCH PRZETWARZAJCYCH DANE OSOBOWE 1 Przetwarzanie danych osobowych przy uyciu komputerów przenonych odbywa si moe wyłcznie za wiedz i zgod Administratora Bezpieczestwa Informacji.

11 2 1. Osoba uytkujca komputer przenony, w którym przetwarzane s dane osobowe, zobowizana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostpem do nich osób nieupowanionych oraz przed zniszczeniem. 2. Osoba uytkujca komputer przenony zawierajcy dane osobowe stosuje rodki ochrony kryptograficznej wobec przetwarzanych danych osobowych. 3 Uytkownik komputera przenonego zobowizany jest do: 1. Transportu komputera w sposób minimalizujcy ryzyko kradziey lub zniszczenia, a w szczególnoci : 1) transportowania komputera w bagau podrcznym, 2) niepozostawiania komputera w samochodzie, przechowalni bagau itp., 3) przenoszenia komputera w torbie przeznaczonej do przeznaczonej do przenoszenia komputerów przenonych. 2. Korzystania z komputera w sposób minimalizujcy ryzyko podejrzenia przetwarzania danych osobowych przez osoby nieupowanione, w szczególnoci zabrania si korzystania z komputera w miejscach publicznych i rodkach transportu publicznego. 3. Niezezwalania osobom nieupowanionym ( w tym równie członkom rodziny i znajomym) do korzystania z komputera przenonego, na którym przetwarzane s dane osobowe. 4. Niepodłcznia komputera przenonego do Internetu za wyjtkiem podłcze do sieci informatycznej na stałym stanowisku pracy. 5. Zabezpieczenia komputera przenonego hasłem zgodnie z ogólnymi zasadami zarzdzania hasłami przy dostpie do systemów informatycznych przetwarzajcych dane osobowe oraz przez jego szyfrowanie. 6. Blokowanie komputera przenonego w przypadku, gdy nie jest on wykorzystywany przez pracownika, jak równie stosowania innych mechanizmów zabezpieczajcych, zgodnie z zaleceniami Administratora Bezpieczestwa Informacji. 7. W uzasadnionych przypadkach zabezpieczenia komputera przed kradzie poprzez przypicie go do stołu, biurka itp. 8. Kopiowanie danych osobowych przetwarzanych na komputerze przenonym do systemu informatycznego w celu umoliwienia wykonania kopii zapasowych tych danych. Kopiowanie danych winno odbywa si w zalenoci od czstotliwoci zmian w tych danych, jednake nie rzadziej ni raz na tydzie, z wyłczeniem okresów, gdy komputer przenony nie jest uytkowany. 9. Umoliwienia, poprzez podłczenie komputera przenonego do sieci informatycznej Starostwa, aktualizacji wzorców wirusów w oprogramowaniu antywirusowym. Podłczenie do sieci informatycznej powinno odbywa si przynajmniej raz w tygodniu. Jeeli komputer przenony nie jest uytkowany przez dłuszy czas (ponad jeden tydzie) to rozpoczynajc prac uytkownik jest zobowizany podłczy komputer przenony do sieci informatycznej Starostwa w celu aktualizacji wzorców wirusów. 4

12 Uytkownicy komputerów przenonych nie mog, bez zgody Administratora Bezpieczestwa Informacji, instalowa na uytkowanych przez siebie komputerach oprogramowania Administrator Bezpieczestwa Informacji zobowizany jest do podjcia działa w celu zabezpieczenia komputerów przenonych uytkowanych do przetwarzania danych osobowych. 2. W szczególnoci Administrator Bezpieczestwa Informacji winien: 1) Dokona konfiguracji oprogramowania na komputerach przenonych w sposób wymuszajcy korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakoci, zgodnie z wymaganiami dla systemu informatycznego przetwarzajcego dane osobowe oraz wymuszajcy okresow zmian haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzajcego dane osobowe, 2) Zabezpieczy dane osobowe przetwarzane na komputerach przenonych poprzez zastosowanie oprogramowania szyfrujcego te dane. Dostp do danych jest moliwy wyłcznie po podaniu właciwego hasła. Administrator Bezpieczestwa Informacji przechowuje hasła administracyjne umoliwiajce konfiguracj oprogramowania szyfrujcego oraz awaryjne odszyfrowanie zabezpieczonych informacji. Hasła administracyjne przechowywane s w postaci listy, do której Administrator Bezpieczestwa Informacji oraz Starosta Pabianicki lub Sekretarz Powiatu. 3) Dokona instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenonym zgodnie z obowizujcymi przepisami w zakresie ochrony antywirusowej w systemach informatycznych przetwarzajcych dane osobowe. Przeprowadza aktualizacj wzorców wirusowych zgodnie z zasadami zarzdzania systemami antywirusowymi. 4) Rozway moliwo instalacji oprogramowania pozwalajcego na szyfrowanie informacji przesyłanych przy uyciu sieci teleinformatycznych, o ile istnieje uzasadniona potrzeba zdalnego dostpu i przesyłania danych pomidzy komputerem przenonym a systemem informatycznym przetwarzajcym dane osobowe. W przypadku zastosowania takiego oprogramowania dokona jego konfiguracji w sposób gwarantujcy bezpieczne i efektywne przesyłanie danych. 5) Rozway moliwo zdalnego dostpu do systemu informatycznego przetwarzajcego dane osobowe z wykorzystaniem łczy komutowanych, o ile istnieje potrzeba zdalnej wymiany danych, oraz zapewni bezpieczne przesyłanie danych z wykorzystaniem mechanizmów kryptograficznych. 6) W przypadku moliwoci zdalnego dostpu do systemu informatycznego Przetwarzajcego dane osobowe okreli uprawnienia uytkownika i zakres danych Administrator Bezpieczestwa Informacji jest odpowiedzialny za okrelenie zakresu danych osobowych, które mog by przetwarzane na komputerach przenonych. 2. W przypadku moliwoci zdalnego dostpu do systemu informatycznego przetwarzajcego dane osobowe Administrator Bezpieczestwa Informacji moe

13 ponadto okreli uprawnienia uytkownika i zakres dostpnych dla niego danych osobowych przy pracy zdalnej. 3. Administrator Bezpieczestwa Informacji moe wprowadzi zasad, i moliwe jest wyłcznie przesyłanie danych do systemu informatycznego w celu zapewnienia moliwoci wykonania kopii zapasowych. 4. Administrator Bezpieczestwa Informacji dystrybuuje opis ogranicze, o którym mowa w ust.3, wród uytkowników komputerów przenonych przetwarzajcych dane osobowe oraz kontroluje przestrzeganie tych zasad Administrator Bezpieczestwa Informacji jest odpowiedzialny za prowadzenie ewidencji komputerów przenonych wykorzystywanych do przetwarzania danych osobowych. 2. W szczególnoci ewidencja ta obejmuje: 1) Typ i numer seryjny komputera, 2) Adres IP komputera 3) Imi i nazwisko osoby bdcej uytkownikiem komputera, 4) Oprogramowanie zainstalowane na komputerze, 5) Rodzaj i zakres danych osobowych przetwarzanych na komputerze przenonym. 2. Ewidencja, o której mowa w ust. 1, jest prowadzona niezalenie od metryk komputerów prowadzonych na podstawie odrbnych przepisów. 8 W razie zagubienia lub kradziey komputera przenonego pracownik zobowizany jest do natychmiastowego powiadomienia Administratora Bezpieczestwa Informacji lub osoby przez niego upowanionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych. 9 W sprawach nieuregulowanych w niniejszym rozdziale stosuje si odpowiednio przepisy dotyczce przetwarzania danych osobowych w systemach informatycznych na komputerach stacjonarnych. ROZDZIAŁ VII ZABEZPIECZENIE DANYCH Cele ochrony 1 1. Celem wprowadzonych niniejsz Polityk zabezpiecze i obostrze jest ochrona danych osobowych zawartych w eksploatowanym w sieci Microsoft Windows Network systemie. Okrelone niej sposoby zabezpiecze dotycz: a) zabezpiecze przed dostpem do danych osób nieupowanionych na etapie eksploatacji systemu tj. wprowadzanie danych, aktualizacji lub usuwania danych, wywietlania lub drukowania zestawie,

14 b) ochrony danych zarchiwizowanych na nonikach zewntrznych, procedur niszczenia niepotrzebnych wydruków lub noników danych. c) systemu zabezpiecze przed dostpem osób niepowołanych do pomieszcze, w których s eksploatowane urzdzenia oraz sposobów dostpu do tych pomieszcze pracowników, personelu pomocniczego Starostwa oraz serwisu zewntrznego, d) monitorowania systemu zabezpiecze, e) zakresu obowizków pracowników w czci dotyczcej bezpieczestwa danych. 2. Strategia ochrony danych osobowych opiera si na nastpujcych zasadach: a) fizyczny dostp do pomieszcze, w których eksploatowane s systemy informatyczne blokuj drzwi i systemy alarmowe. b) podstawowym sposobem zabezpieczenia danych i dostpu do nich jest system definiowania uytkowników, grup uytkowników oraz haseł. S to zabezpieczenia programowe wmontowane w eksploatowane systemy uniemoliwiajce dostp do systemu osobom nieupowanionym. c) dodatkowym systemem zabezpieczenia jest stosowanie kryptograficznej ochrony danych, jak oferuje system operacyjny. d) dodatkowe kopie danych zarchiwizowanych na nonikach magnetycznych lub płytach CD s przechowywane w oddzielnym budynku chroni w ten sposób dane na wypadek poaru, klski ywiołowej lub katastrofy. Prowadzona jest cisła ewidencja tych noników, e) w pomieszczeniach, w których zainstalowany jest serwer i komputery zawierajce bazy danych jest zainstalowany system alarmowy i przeciwpoarowy, f) zagadnienia zwizane z ochrona danych i obowizki std wynikajce s ujte w zakresach czynnoci pracowników, g) kady pracownik podpisze stosowne owiadczenie, h) za cało polityki bezpieczestwa odpowiada Administrator Bezpieczestwa Informacji. Zabezpieczenia 2 1. Naley chroni dokumenty papierowe zawierajce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemoliwiałoby odczytanie lub odzyskanie informacji w nich zawartych. 2. Dokumenty papierowe zawierajce dane osobowe musz by chronione przed zagroeniami ze strony otoczenia (ogie, wyciek wody itp.). 3. Dokumenty papierowe powinny by fizycznie chronione przed kradzie, zniszczeniem lub niewłaciwym uywaniem. Opuszczajc stanowisko pracy naley sprawdzi czy s one zamknite w odpowiednich szafach czy sejfach. 4. Wszystkie dokumenty papierowe zawierajce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek danych osobowych zawartych na dokumentach papierowych bez zgody Administratora Bezpieczestwa Informacji lub osoby przez niego upowanionej. 6. Kady dokument papierowy zawierajcy dane osobowe przeznaczony do usunicia lub wyniesienia poza siedzib Starostwa, wymaga zgody Administratora Bezpieczestwa Informacji lub upowanionej przez niego osoby. 7. Utrata i kradzie dokumentów papierowych zawierajcych dane osobowe powinna by niezwłocznie zgłoszona Administratorowi Bezpieczestwa Informacji.

15 8. Kady dokument papierowy zawierajcy dane osobowe, majcy charakter dokumentu roboczego, naley na koniec pracy zniszczy w niszczarce papieru lub schowa w odpowiedniej zamykanej szafie Naley chroni noniki magnetyczne i optyczne zawierajce dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemoliwiłoby odczytanie lub odzyskanie informacji w nich zawartych. 2. Noniki magnetyczne i optyczne zawierajce dane osobowe musz by chronione przed zagroeniami ze strony otoczenia (kurz, promieniowanie elektromagnetyczne, ogie, wyciek wody itp.). 3. Noniki magnetyczne i optyczne zawierajce dane osobowe powinny by fizycznie chronione przed kradzie, zniszczeniem lub niewłaciwym uywaniem. Opuszczajc stanowisko pracy naley sprawdzi czy s one zamknite w odpowiednich szafach czy sejfach. 4. Wszystkie noniki magnetyczne i optyczne zawierajce dane osobowe musz by oznaczone dla ich identyfikacji. 5. Zabrania si kopiowania jakichkolwiek zbiorów danych osobowych z noników magnetycznych i optycznych bez zgody Administratora Bezpieczestwa Informacji. 6. Noniki magnetyczne i optyczne zawierajce dane osobowe nie mog by wynoszone poza siedzib Starostwa bez wczeniejszej zgody Administratora Bezpieczestwa Informacji. 7. Dyski magnetyczne i optyczne zawierajce dane osobowe wynoszone poza teren Starostwa (np. dyskietki, czy CD-ROMy i inne) przez osoby upowanione za zgod ABI według okrelonej przez niego procedury. 8. Dyski twarde lub inne noniki magnetyczne i optyczne zawierajce dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia si wczeniej zapisu tych danych. 9. Dyski twarde komputerów przeznaczone do naprawy, pozbawia si przed napraw zapisu danych osobowych albo naprawia si je pod nadzorem osoby upowanionej przez Administratora Bezpieczestwa Informacji. 10. Kady nonik magnetyczny i optyczny przeznaczony do usunicia ze Starostwa musi uzyska odpowiednie pozwolenie Administratora Bezpieczestwa Informacji. 11. Niszczenia zuytych lub uszkodzonych noników magnetycznych i optycznych zawierajcych dane osobowe dokonuje Administrator Bezpieczestwa Informacji według okrelonej procedury. 12. Utrata lub kradzie nonika magnetycznego i optycznego z danymi osobowymi powinna by niezwłocznie zgłoszona do Administratora Bezpieczestwa Informacji. Wprowadza si nastpujce zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym: 1. Na wszystkich stacja roboczych, na których przetwarzane s dane osobowe wprowadza si wysoki poziom zabezpiecze. 2. Pomieszczenia, w których stoi serwer i komputery zawierajce dane osobowe i kartoteki osobowe s zabezpieczone poprzez okratowane okna oraz system alarmowy i przeciwpoarowy. 4

16 3. Ochron przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane s dane osobowe zapewniaj zasilacze UPS. 4. Uruchomienie stacji roboczych, na których przetwarzane s dane osobowe wymaga podania hasła BIOS-u. 5. Zalogowanie si do systemu wymaga podania nazwy uytkownika i hasła. Kady uytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania s rejestrowane, a po 3 nieudanych próbach logowania nastpuje czasowa blokada konta. Logowanie do systemu moliwe jest tylko w godzinach pracy Starostwa. 6. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnie. 7. Administrator Bezpieczestwa Informacji ma uprawnienia do definiowania kont uytkowników i haseł. 8. Wykorzystany jest system szyfrowania danych (dostpny w systemie operacyjnym) uniemoliwiajcy odczyt danych osobom nieupowanionym. 9. W celu ochrony przed dostpem do danych komputera z sieci publicznej wykorzystuje si system zapory ogniowej dostpnej w systemie operacyjnym. 10. Stosuje si aktywn ochron antywirusow w czasie rzeczywistym na kadym komputerze, na którym przetwarzane s dane osobowe. Za aktualizacj bazy wirusów odpowiada informatyk. 11. Wydruki zawierajce dane osobowe powinny znajdowa si w miejscu, które uniemoliwia dostp osobom postronnym. 12. Kopie zapasowe na nonikach magnetycznych wykonuje Administrator Bezpieczestwa Informacji. Kopie bezpieczestwa przechowywane s w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Lenictwa. Zapasowe kopie bezpieczestwa s przechowywane równie w budynku Powiatowego Orodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach w szafie pancernej. Dostp do noników zawierajcych kopie danych maj tylko uprawnione osoby. 13. Stosuje si nastpujce zabezpieczenia organizacyjne przed dostpem do danych osób niepowołanych: a) dostp do danych maj wyłcznie pracownicy wyznaczeni przez Administratora Bezpieczestwa Informacji, który prowadzi cisły rejestr tych pracowników obejmujcy list nazwisk uytkowników posiadajcych dostp do danych, łcznie z ich identyfikatorami w systemie, b) w pokoju, do którego dostp maj petenci monitory komputerowe ustawione s w ten sposób, by petenci nie widzieli zapisów na ekranie, c) w przypadku dłuszej bezczynnoci uruchamiane s tzw. wygaszacie ekranu, których deaktywacja jest moliwa po podaniu prawidłowego hasła uytkownika, d) czstotliwo tworzenia kopii zapasowych okrela instrukcja archiwowania zasobów. Za wykonanie tych kopii odpowiedzialne s osoby przetwarzajce dane osobowe, e) tworzeniem kopii bezpieczestwa na nonikach optycznych (płyty CD-R/CD- RW) zajmuje si Administrator Bezpieczestwa Informacji. Monitorowanie systemu ochrony i prowadzenie dziennika zdarze 5

17 1. System operacyjny serwera powinien prowadzi dzienniki zdarze zawierajce opis wszystkich waniejszych czynnoci wykonywanych przez uytkowników. Naley okreli zdarzenia, które powinny by rejestrowane, jak równie tryb postpowania z tymi dziennikami (co rejestrowa, w jaki sposób, jak czsto i na jak długo składowa). Naley unika zbytniego rozszerzenia zakresu rejestrowanych czynnoci ze wzgldu na obcienie systemu operacyjnego i wielko generowanych zbiorów zawierajcych dzienniki zdarze. 2. Do monitorowania systemu zabezpiecze zobligowany jest Administrator Bezpieczestwa Informacji lub osoba przez niego upowaniona. 3. W ramach monitoringu naley przeprowadza nastpujce działania: a) okresowe sprawdzanie kopii bezpieczestwa pod wzgldem przydatnoci do odtworzenia danych, b) kontrola ewidencji noników magnetycznych i optycznych, c) sprawdzanie czstotliwoci zmian haseł, 4. Administrator Bezpieczestwa Informacji sporzdza roczne plany kontroli zatwierdzone przez Administratora Danych i zgodnie z nimi przeprowadza kontrole oraz dokonuje kwartalnych ocen stanu bezpieczestwa danych osobowych. 5. Na podstawie zgromadzonych materiałów, o których mowa w ust. 4. Administrator Bezpieczestwa Informacji sporzdza roczne sprawozdanie i przedstawia Administratorowi Danych. Szkolenia 6 1. Kady uytkownik systemu informatycznego przetwarzajcego dane osobowe powinien mie wiadomo zagroe wpływajcych na bezpieczestwo systemu informatycznego, z którego korzysta. 2. Nowy pracownik powinien by zapoznany z ogólnymi zasadami i przepisami dotyczcymi bezpieczestwa systemów teleinformatycznych, a szczególnie wynikajcych z ustawy o ochronie danych osobowych. 3. Raz w roku naley przeprowadza szkolenia z udziałem wszystkich pracowników Starostwa omawiajce problematyk bezpieczestwa teleinformatycznego, ze szczególnym uwzgldnieniem nowych uregulowa prawnych. Szkolenie to powinno uzmysłowi pracownikom skal zagroe oraz rang zabezpiecze, zwłaszcza stosowanych na poziomie uytkownika. 4. Szkolenie dotyczce bezpieczestwa danych osobowych obejmuje wszystkich pracowników Starostwa. 5. System szkole szczegółowych obejmuje pracowników zatrudnionych bezporednio przy przetwarzaniu danych, w tym danych osobowych. 6. Tematyka szkole obejmuje: a) przepisy i instrukcje wewntrzne dotyczce ochrony danych archiwizacji zasobów i b) przechowywania noników, niszczenie wydruków i zapisów na nonikach magnetycznych i optycznych, c) zakresy obowizków pracowników zwizanych bezporednio z bezpieczestwem danych osobowych i ochron systemów na poszczególnych stanowiskach.

18 Archiwowanie danych 7 1. Dane systemów kopiowane s w trybie tygodniowym. Kopie zapasowe danych osobowych zapisywanych w programach wykonywane s codziennie Odpowiedzialnym za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługujcy dany program przetwarzajcy dane. 2. Dodatkowo na koniec kadego miesica wykonywane s kopie zapasowe z całego programu przetwarzajcego dane. Noniki z kopiami bezpieczestwa przekazywane do sejfu zlokalizowanego w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Lenictwa. 3. Kopie zapasowe s przechowywane w szafie pancernej w budynku Powiatowego Orodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. Osob odpowiedzialn za wymian kopii awaryjnych na aktualne jest Administrator Bezpieczestwa Informacji. 4. Dyskietki, na których zapisywane s kopie zapasowe s kadorazowo wymazywane i formatowane, w taki sposób, aby nie mona było odtworzy ich zawartoci. Płyty CD, na których przechowuje si kopie awaryjne niszczy si trwale w sposób mechaniczny. 5. Okresow weryfikacj kopii zapasowych pod ktem ich przydatnoci do odtworzenia danych przeprowadza Administrator Bezpieczestwa Informacji lub osoba przez niego upowaniona. Niszczenie wydruków i zapisów na nonikach magnetycznych 8 1. Noniki magnetyczne przekazywane na zewntrz powinny by pozbawione zapisów zawierajcych dane osobowe. Niszczenie poprzednich zapisów powinno odbywa si poprzez wymazywanie informacji oraz formatowanie nonika. 2. Poprawno przygotowania nonika magnetycznego powinna by sprawdzona przez Administratora Bezpieczestwa Informacji. 3. Uszkodzone noniki magnetyczne przed ich wyrzuceniem naley fizycznie zniszczy (przeci, przełama itp.). 4. Po wykorzystaniu wydruki zawierajce dane osobowe powinny by niszczone w niszczarce papieru zlokalizowanej w pomieszczeniu, w którym znajduj si wydruki. ROZDZIAŁ VIII RODKI TECHNICZNE I ORGANIZACYJNE SŁUCE ZAPEWNIENIU POUFNOCI, INTEGRALNOCI I ROZLICZALNOCI PRZETWARZANYCH DANYCH OSOBOWYCH 1 System informatyczny Starostwa, ze wzgldu na połczenie z sieci publiczn, musi zapewnia rodki bezpieczestwa okrelone dla wysokiego poziomu bezpieczestwa zgodnie z 6 ust. 4 rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).

19 Bezpieczestwo fizyczne 2 1. Gwarancj zapewnienia bezpieczestwa systemu informatycznego oraz przetwarzanych i przechowywanych danych osobowych jest zapewnienie bezpieczestwa fizycznego. 2. Warunkiem zapewnienia bezpieczestwa fizycznego systemu jest kontrola dostpu do wszystkich stacji roboczych. W zwizku z tym szczególn ochron obejmuje si pomieszczenia, w których znajduj si serwery i wzły sieci oraz te, w których przechowywane s składowane dane osobowe. Wyej wymienione pomieszczenia powinny by stale zamknite, a dostp do nich powinni mie tylko Administrator Bezpieczestwa Informacji i osoby przez niego upowanione. Pomieszczenia powinny by wyposaone w elektroniczny system antywłamaniowy z całodobowym monitoringiem sygnału alarmu. 3. System alarmowy powinien by objty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 4. Szczególnie newralgiczne dla działania Starostwa systemy informatyczne takie jak systemy finansowo-kadrowe powinny (w ramach moliwoci organizacyjnotechnicznych i finansowych) zosta wydzielone z pozostałej czci Starostwa Powiatowego w Pabianicach. Sie komputerowa tych wydziałów i komórek organizacyjnych Starostwa (w ramach moliwoci technicznych i finansowych) powinna zosta wydzielona z sieci obsługujcej pozostał cz Starostwa i objta dodatkowymi zabezpieczeniami. 5. Obowizkiem osoby uytkujcej komputer przenony zawierajcy dane osobowe jest zachowanie szczególnej ostronoci podczas jego transportu, przechowywania i uytkowania poza pomieszczeniami tworzcymi obszar, w którym przetwarzane s dane osobowe. Naley dy do powszechnego stosowania ochrony kryptograficznej w takich przypadkach Ochron fizyczn budynków Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 stanowi zamki drzwiowe, okratowania okien oraz całodobowy 24 godzinny elektroniczny system alarmowy połczony ze stacj monitorujc Agencji Ochrony Mienia i Osób ARGUS w Pabianicach. 2. Ochron fizyczn budynków Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 zapewnia system monitoringu wizyjnego składajcy si z 4 kamer i stacji rejestrujcej wszelkie ruchy osób i pojazdów przez 24 godziny na dob. 3. Ochron fizyczn budynku A Starostwa Powiatowego w Pabianicach przy ul. Piłsudskiego 2 w godzinach zapewnia stranik Agencji Ochrony Mienia i Osób ROKA w Piotrkowie Trybunalskim Przebywanie pracowników na terenie budynków Starostwa Powiatowego w Pabianicach po godzinach pracy reguluje odrbne zarzdzenie Starosty Pabianickiego. 2. Godzin pobrania i zdania kluczy od poszczególnych pomieszcze odnotowuje si w specjalnie do tego przeznaczonym zeszycie, w którym odnotowuje si w

20 szczególnoci: dat, godzin pobrania kluczy, numer pokoju, imi i nazwisko osoby pobierajcej klucze oraz godzin zdania kluczy. 3. Klucze od pomieszcze serwerowni głównej zlokalizowanej w budynku A mog pobiera wyłcznie w nastpujcej kolejnoci: a) Administrator Bezpieczestwa Informacji, b) Pozostali informatycy zatrudnieni w Starostwie Powiatowym w Pabianicach, c) Naczelnik Wydziału Organizacyjnego, 4. Klucze od pomieszcze serwerowni Wydziału Komunikacji i Transportu zlokalizowanej w budynku D s w dyspozycji Naczelnika Wydziału Komunikacji i Transportu oraz pracownika wyznaczonego przez tego Naczelnika. 5. Klucze od serwerowni, o których mowa w ust. 3 i 4, przechowywane s: a) klucz od serwerowni w budynku A przechowywany jest w zamykane szafce zamontowanej w pokoju Informacji b) klucz od serwerowni w budynku D przechowywany jest w szafie metalowej ustawionej w pokoju Naczelnika Wydziału Komunikacji i Transportu. 6. Pomieszczenia serwerowni w budynku A i w budynku D po zakoczeniu pracy s plombowane przez osoby, które s upowanione do pobierania do nich kluczy. Wykorzystanie mechanizmów systemu operacyjnego 5 1. System operacyjny Microsoft Windows NT/2000 posiada rozbudowane mechanizmy nadawania uprawnie i praw dostpu. Dla pełnego wykorzystania tych mechanizmów naley stosowa system plików NTFS. Zapewnia on wsparcie mechanizmów ochrony plików i katalogów oraz mechanizmów odzyskiwania na wypadek uszkodzenia dysku lub awarii systemu. 2. Dla zwikszenia efektywnoci centralnego zarzdzania i ledzenia zdarze w sieci naley wykorzystywa mechanizmy Active Directory i oprogramowanie do zarzdzania i analizy sieci z centralnym punktem zarzdzania usytuowanym w Starostwie. 3. Naley dy do zastpienia systemów operacyjnych Microsoft Windows 95/98 (nie maj wbudowanych wystarczajcych mechanizmów bezpieczestwa) systemem operacyjnym Microsoft Windows NT/2000, jako zapewniajcego minimalne bezpieczestwo dla serwerów i stacji roboczych systemu informatycznego. Zarz dzanie oprogramowaniem 6 1. Najwysze uprawnienia w systemie informatycznym posiada Administrator Bezpieczestwa Informacji. Tylko administrator jest osob uprawnion do instalowania i usuwania oprogramowania systemowego i narzdziowego. 2. Dopuszcza si instalowanie tylko legalnie pozyskanych programów, niezbdnych do wykonywania ustawowych zada Starostwa i posiadajcych wan licencj uytkowania. Uwierzytelnianie uytkowników 7

21 1. Dostp do systemu informatycznego słucego do przetwarzania danych osobowych, moe uzyska wyłcznie osoba (uytkownik) zarejestrowana w tym systemie przez Administratora Bezpieczestwa Informacji na wniosek bezporedniego przełoonego lub/i inspektora Biura Zarzdu Powiatu prowadzcego sprawy kadrowe. 2. Dostp do systemów operacyjnych serwerów i stacji roboczych powinien by chroniony przez nazw uytkownika i hasło. Zespół ten tworzy jedn z głównych linii obrony przed intruzami. Dlatego naley uwiadamia uytkownikom rol, jak w systemie ochrony odgrywa dobrze wybrane trudne hasło o odpowiednio dobranym czasie ycia. Jednoczenie naley wdroy mechanizmy systemowe kontrolujce składni i czas ycia haseł. System ma wbudowane mechanizmy ograniczajce liczb błdnych prób logowania oraz umoliwia wskazanie stacji roboczych, na których dany uytkownik moe pracowa. Zalecane jest ustawienie blokady konta uytkownika na 3 do 5 prób logowania. 3. Identyfikator uytkownika składa si z szeciu znaków, z których dwa pierwsze odpowiadaj dwóm pierwszym literom imienia uytkownika, a cztery kolejne odpowiadaj czterem pierwszym literom jego nazwiska. W identyfikatorze pomija si polskie znaki diakrytyczne. 4. Hasło powinno składa si z unikalnego zestawu co najmniej omiu znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie moe by identyczne z identyfikatorem uytkownika, ani z jego imieniem lub nazwiskiem. Hasła zmienia si nie rzadziej ni co 30 dni. 5. Uytkownikom systemu nie wolno udostpnia swojego identyfikatora i hasła innym osobom. Redundancja sprztowa i programowa 8 1. Dla zapewnienia wysokiej niezawodnoci systemu Administrator Bezpieczestwa Informacji opracowuje i wprowadzi procedury awaryjne (np. na wypadek uszkodzenia głównego serwera). 2. Naley rygorystycznie przestrzega wymogu przechowywania noników zawierajcych awaryjne kopie danych i systemów w pomieszczeniach innych ni pomieszczenia, w których przechowywane s dane przeznaczone do biecego uytku. Jednoczenie dane te musz by odpowiednio zabezpieczone fizycznie (sejf, najlepiej ognioodporny, w zabezpieczonym pomieszczeniu). Zapewnienie stałego zasilania energi 9 1. Bezprzerwowe zasilanie serwerom zapewnia stosowanie zasilaczy awaryjnych UPS. 2. W przypadku stacji roboczych, UPS stosuje si w zalenoci od potrzeb i moliwoci finansowych. Procedury przeciwpoarowe 10

22 1. Pomieszczenia, w których systemy komputerowe pracuj bez nadzoru, szczególnie pomieszczenia z serwerami pracujcymi w systemie pracy cigłej powinny by wyposaone w elektroniczny system wykrywania poaru (czujki reagujce na ogie, dym, temperatur). Sygnalizacja alarmu powinna by objta całodobowym monitoringiem. 2. System alarmowy powinien by objty stałym nadzorem specjalistycznym, a czujki okresowo sprawdzane. 3. System wykrywania poaru powinien obejmowa pomieszczenia, w których przechowywane s awaryjne kopie danych. Procedury awaryjne i procedury na wypadek klsk ywiołowych i ewakuacji Zapewnieniu cigłej dostpnoci informacji słu procedury postpowania w przypadku wydarze losowych (np. awaria serwera, zalanie pomieszczenia itp.). 2. Procedury, o których mowa w ust.1 powinny obejmowa uruchomienie systemu w minimalnej konfiguracji udostpniajcej zasoby systemu. 3. Komputery przewidywane na awaryjne serwery powinny sta w pomieszczeniach innych ni serwery bieco eksploatowane. 4. W przypadku gdyby doszło do ewakuacji naley w pierwszej kolejnoci zapewni bezpieczestwo danym. Profilaktyka antywirusowa Wszystkie serwery i stacje robocze musz posiada zainstalowany program antywirusowy, z moliwie czsto aktualizowan baz wykrywanych wirusów, sprawdzajcy w trybie rzeczywistym wszystkie przychodzce i wychodzce pliki. Zabronione jest blokowanie pracy tego programu. 2. Dla zapewnienia ochrony przed wirusami i innymi niepodanymi kodami sprawdza si wszystkie zbiory przychodzce z sieci rozległej i Internetu. 3. Systemy plików poszczególnych serwerów i stacji roboczych obejmuje si, co najmniej raz w tygodniu, całociowym testem antywirusowym. Przeciwdziałanie nowym technikom łamania zabezpiecze oraz eliminacja luk wykrytych w zabezpieczeniach systemów 13 W zwizku z dynamicznym rozwojem technik słucych do atakowania systemów informatycznych Administrator Bezpieczestwa Informacji powinien na bieco ledzi informacje na temat wykrytych luk i wprowadza zalecane zabezpieczenia. Procedury tworzenia kopii zapasowych ich przechowywania i ochrony Dla systemów finansowo-kadrowych kopie bezpieczestwa wykonuje si codziennie.