POLITYKA BEZPICZESTWA PRZETWARZANIA DANYCH OSOBOWYCH SYSTEMU INFORMTYCZNEGO URZDU GMINY W WINIEWIE

Transkrypt

1 Załcznik Nr 1 do zarzdzenia Nr 36/07 Wójta Gminy Winiewo z dnia 21 listopada 2007 roku POLITYKA BEZPICZESTWA PRZETWARZANIA DANYCH OSOBOWYCH SYSTEMU INFORMTYCZNEGO URZDU GMINY W WINIEWIE Rozdział I Zasady ogólne Ilekro w niniejszym dokumencie jest mowa o: a. Urzdzie naley przez to rozumie Urzd Gminy w Winiewie; 1 b. Administratorze Danych Osobowych naley przez to rozumie Wójta Gminy Winiewo; c. Administratorze Bezpieczestwa Informacji naley przez to rozumie pracownika urzdu lub inn osob wyznaczon do nadzorowania, przestrzegania zasad ochrony okrelonych w niniejszym dokumencie oraz wymaga w zakresie ochrony wynikajcych z powszechnie obowizujcych przepisów o ochronie danych osobowych; d. Administratorze Systemu Informatycznego naley przez to rozumie osob odpowiedzialn za funkcjonowanie systemu informatycznemu urzdu oraz stosowanie technicznych i organizacyjnych rodków ochrony; e. Uytkowniku systemu naley przez to rozumie osob upowanion do przetwarzania danych osobowych w systemie informatycznym urzdu. Uytkownikiem moe by pracownik urzdu, osoba wykonujca prac na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywajca sta w urzdzie lub wolontariusz; f. Sieci lokalnej naley przez to rozumie połczenie systemów informatycznych urzdu wyłcznie dla własnych potrzeb przy wykorzystaniu urzdze i sieci telekomunikacyjnych; g. Sieci rozległej naley przez to rozumie sie publiczn w rozumieniu ustawy z dnia 1 lipca 2000 r. Prawo Telekomunikacyjne (Dz.U. Nr 73, poz. 852 z póniejszymi zmianami). 2 Wykaz budynków, pomieszcze lub czci pomieszcze tworzcych obszar, w którym przetwarzane s dane osobowe wyznacza Administrator Bezpieczestwa Informacji według wzoru okrelonego w Załczniku nr 1 do niniejszego opracowania. 1

2 3 1. Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym prowadzi Administrator Bezpieczestwa Informacji. Wykaz ten stanowi Załcznik nr W skład systemu wchodz: a. dokumentacja papierowa (korespondencja, wnioski, deklaracje, itd.) b. urzdzenia i oprogramowanie komputerowe słuce do przetwarzania informacji oraz procedury przetwarzania danych w tym systemie, w tym procedury awaryjne c. wydruki komputerowe. 4 Opisy struktur zbiorów danych osobowych oraz powiza midzy zbiorami jak równie sposób przepływu danych pomidzy poszczególnymi systemami stanowi Załcznik nr 3 do niniejszego opracowania. 5 rodki techniczne i organizacyjne niezbdne do zapewnienia poufnoci, integralnoci i rozliczalnoci przetwarzanych danych: 1. rodki ochrony fizycznej: a. budynek urzdu, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest wyposaony alarm; b. urzdzenia słuce do przetwarzania danych osobowych znajduj si w pomieszczeniach zabezpieczonych zamkami patentowymi; c. drzwi wejciowe do urzdu oraz drzwi do pomieszcze: USC i pomieszczenia serwera s antywłamaniowe; d. przebywanie osób nieuprawnionych w pomieszczeniach tworzcych obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecnoci osoby zatrudnionej przy przetwarzaniu danych lub w obecnoci Administratora Bezpieczestwa Informacji; e. pomieszczenia, o których mowa wyej, powinny by zamykane na czas nieobecnoci pracownika zatrudnionego przy przetwarzaniu danych, w sposób uniemoliwiajcy dostp do nich osób trzecich; f. w przypadku przebywania interesantów bd innych osób postronnych w pomieszczeniach, o których mowa wyej, monitory stanowisk dostpu do danych osobowych powinny by ustawione a taki sposób, aby uniemoliwi tym osobom wgld w dane; g. do przebywania w pomieszczeniu serwera uprawnieni s: Administrator Bezpieczestwa Informacji, osoba odpowiedzialna za obsług informatyczn urzdu oraz Administrator Danych; h. przebywanie w pomieszczeniu serwera osób nieuprawnionych dopuszczalne jest tylko w obecnoci jednej z osób upowanionych, o których mowa w pkt. g. 2. rodki sprztowe, informatyczne i telekomunikacyjne 2

3 a. kady dokument papierowy zawierajcy dane osobowe przeznaczony do wyrzucenia powinien by zniszczony w sposób uniemoliwiajcy jego odczytanie, przy pomocy niszczarki, która umoliwia cicie poprzeczne; b. urzdzenia wchodzce w skład systemu informatycznego podłczone s do odrbnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napicia albo awarii w sieci zasilajcej UPS-em; c. siec lokalna podłczona do internetu; d. na stanowiskach pracy, w których przetwarzane s dane osobowe zastosowano oprogramowanie do tworzenia kopii zapasowych; e. na serwerze oraz w stacjach roboczych zainstalowano oprogramowanie antywirusowe, poczta elektroniczna wpływajca do Urzdu skanowana jest programem antywirusowym; f. kopie awaryjne wykonywane s w cyklach: tygodniowo na dysku twardym; miesicznie na płycie CD-R. 3. rodki ochrony w ramach oprogramowania systemu a. dostp fizyczny do baz danych osobowych zastrzeony jest wyłcznie dla osoby zajmujcej si obsług informatyczn urzdu, Administratora Bezpieczestwa Informacji; b. konfiguracja systemu umoliwia uytkownikom kocowym dostp do danych osobowych jedynie za porednictwem aplikacji; c. system informatyczny z jakiego korzystaj pracownicy urzdu gminy pozwala zdefiniowa odpowiednie prawa dostpu do zasobów informatycznych systemu. 4. rodki ochrony w ramach narzdzi baz danych i innych narzdzi programowych a. zastosowano identyfikator i hasło dostpu do danych na poziomie aplikacji; b. dla kadego uytkownika systemu jest ustalony identyfikator; c. zdefiniowano uytkowników i ich prawa dostpu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło). 5. rodki ochrony w ramach systemu uytkowego a. zastosowano wygaszanie ekranu w przypadku dłuszej nieaktywnoci uytkownika; b. komputer, z którego moliwy jest dostp do danych osobowych zabezpieczony jest hasłem uruchomieniowym (BIOS), hasłem wejciowym do systemu operacyjnego oraz hasłem do kadej aplikacji przy pomocy której przetwarzane s dane osobowe. 6. rodki organizacyjne a. osoby upowanione do przetwarzania danych osobowych przed dopuszczeniem do pracy zostan przeszkolone w zakresie obowizujcych przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz poinformowanie o podstawowych zagroeniach zwizanych z przetwarzaniem danych w systemie informatycznym; b. prowadzona jest ewidencja osób upowanionych do przetwarzania danych osobowych; c. wprowadzono instrukcj zarzdzania systemem informatycznym; d. zdefiniowano procedury postpowania w sytuacji naruszenia ochrony danych osobowych; 3

4 e. wprowadzono obowizek rejestracji wszystkich przypadków awarii systemu, działa konserwatorskich w systemie oraz naprawy systemu; f. okrelono sposób postpowania z nonikami informacji. 6 Do zapoznania si z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowizani s wszyscy pracownicy Urzdu upowanieni do przetwarzania w systemie informatycznym. 4

5 Załcznik nr 1 do Instrukcji Przetwarzania Danych Osobowych Wykaz budynków, pomieszcze lub czci pomieszcze tworzcych obszar, w którym przetwarzane s dane osobowe a) w Urzdzie Gminy Lp. Kondygnacja Nr pokoju 1. I 1. Okrelenie zbioru danych Ewidencja podatków i opłat lokalnych od osób fizycznych, prawnych i jednostek organizacyjnych nie posiadajcych osobowoci prawnej 2. I 2. Rejestr wiadzczeniobiorców Gminnego Orodka pomocy Społecznej w Winiewie Rejestr osób pobierajcych stypendium socjalne Najem lokali mieszkalnych i uytkowych oraz dzierawa 3. I 3. Osoby korzystajce z pomocy Gminnej Komisji Rozwizywania Problemów Alkoholowych w Winiewie 4. I 4. Rejestr podatników podatku od rodków transportowych Rejestr pobranego podatku dochodowego od osób fizycznych oraz rozlicze z zakresu ubezpiecze społecznych Ewidencja działalnoci gospodarczej Zezwolenia na sprzeda napojów alkoholowych 5. I 6. Gospodarka nieruchomociami Gminy Winiewo Zatwierdzenie planów zagospodarowania przestrzennego, wydawanie wypisów i wyrysów z planu zagospodarowania przestrzennego Numeracja porzdkowa, zmiana numeracji porzdkowej nieruchomoci 6. II 7. Rejestracja przedpoborowych, sporzdzanie list poborowych, przechowywanie ksiek ewidencji osób bdcych w FOC, akcja kurierska, wiadczenia rzeczowe i osobiste Urzd Stanu Cywilnego w Winiewie Zbiór kart osobowych mieszkaca, dowody osobiste 7. II 10. Ewidencja skarg i wniosków 5

6 b) w Gminnej Bibliotece Publicznej Lp. Kondygnacja Nr pokoju 1 I 1 Kartoteka czytelników Okrelenie zbioru danych 6

7 Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym Załcznik nr 2 do Instrukcji Przetwarzania Danych Osobowych Zbiór kart osobowych mieszkaca, dowody osobiste; Zatwierdzenie planów zagospodarowania przestrzennego, wydawanie wypisów i wyrysów z planu zagospodarowania przestrzennego; Urzd Stanu Cywilnego w Winiewie; Rejestracja przedpoborowych, sporzdzanie list poborowych, przechowywanie ksiek ewidencji osób bdcych w FOC, akcja kurierska, wiadczenia rzeczowe i osobiste; Rejestr wiadzczeniobiorców Gminnego Orodka pomocy Społecznej w Winiewie; Rejestr podatników podatku od rodków transportowych; Rejestr pobranego podatku dochodowego od osób fizycznych oraz rozlicze z zakresu ubezpiecze społecznych; Rejestr osób pobierajcych stypendium socjalne; Osoby korzystajce z pomocy Gminnej Komisji Rozwizywania Problemów Alkoholowych w Winiewie; Numeracja porzdkowa, zmiana numeracji porzdkowej nieruchomoci; Najem lokali mieszkalnych i uytkowych oraz dzierawa; Kartoteka czytelników; Gospodarka nieruchomociami Gminy Winiewo; Ewidencja skarg i wniosków; Ewidencja działalnoci gospodarczej; Zezwolenia na sprzeda napojów alkoholowych; Ewidencja podatków i opłat lokalnych od osób fizycznych, prawnych i jednostek organizacyjnych nie posiadajcych osobowoci prawnej. 7

8 Załcznik nr 3 do Instrukcji Przetwarzania Danych Osobowych Opisy struktur zbiorów danych osobowych Lp. Zbiory danych osobowych Narzdzia do przetwarzania danych (program; firma) 1. Zbiór kart osobowych mieszkaca, dowody SEL-Win; ARAM osobiste 2. Zatwierdzenie planów zagospodarowania Word; Microsoft przestrzennego, wydawanie wypisów i wyrysów z planu zagospodarowania przestrzennego 3. Urzd Stanu Cywilnego w Winiewie USC 4. Rejestracja przedpoborowych, sporzdzanie list poborowych, przechowywanie ksiek ewidencji SEL-WIN; ARAM Word; Microsoft osób bdcych w FOC, akcja kurierska, wiadczenia rzeczowe i osobiste 5. Rejestr wiadzczeniobiorców Gminnego Orodka POMOST, Computerland pomocy Społecznej w Winiewie 6. Rejestr podatników podatku od rodków Podatki; CIOA transportowych 7. Rejestr pobranego podatku dochodowego od osób fizycznych oraz rozlicze z zakresu ubezpiecze społecznych Płatnik, PROKOM Płace, CIOA 8. Rejestr osób pobierajcych stypendium socjalne wiadczenia, Computerland 9. Osoby korzystajce z pomocy Gminnej Komisji Word; Microsoft Rozwizywania Problemów Alkoholowych w Winiewie 10. Numeracja porzdkowa, zmiana numeracji Word; Microsoft porzdkowej nieruchomoci 11. Najem lokali mieszkalnych i uytkowych oraz Word; Microsoft dzierawa 12. Kartoteka czytelników Kartoteka rczna 13. Gospodarka nieruchomociami Gminy Winiewo Word; Microsoft 14. Ewidencja skarg i wniosków Word; Microsoft 15. Ewidencja działalnoci gospodarczej Word; Microsoft 16. Zezwolenia na sprzeda napojów alkoholowych Word; Microsoft 17. Ewidencja podatków i opłat lokalnych od osób fizycznych, prawnych i jednostek organizacyjnych nie posiadajcych osobowoci prawnej Podatki, CIOA 8

9 Załcznik Nr 2 do zarzdzenia Nr 36/07 Wójta Gminy Winiewo z dnia 21 listopada 2007 roku INSTRUKCJA ZARZDZANIA SYSTEMEM INFORMATYCZNYM URZDU GMINY W WINIEWIE Podstawa prawna: rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r, Nr 101, poz. 926 z pón. zm.). Ilekro w niniejszym dokumencie jest mowa o: a. Urzdzie naley przez to rozumie Urzd Gminy w Winiewie; 1 b. Administratorze Danych Osobowych naley przez to rozumie Wójta Gminy Winiewo; c. Administratorze Bezpieczestwa Informacji naley przez to rozumie pracownika urzdu lub inn osob wyznaczon do nadzorowania, przestrzegania zasad ochrony okrelonych w niniejszym dokumencie oraz wymaga w zakresie ochrony wynikajcych z powszechnie obowizujcych przepisów o ochronie danych osobowych; d. Administratorze Systemu Informatycznego naley przez to rozumie osob odpowiedzialn za funkcjonowanie systemu informatycznemu urzdu oraz stosowanie technicznych i organizacyjnych rodków ochrony; e. Uytkowniku systemu naley przez to rozumie osob upowanion do przetwarzania danych osobowych w systemie informatycznym urzdu. Uytkownikiem moe by pracownik urzdu, osoba wykonujca prac na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywajca sta w urzdzie lub wolontariusz; f. Sieci lokalnej naley przez to rozumie połczenie systemów informatycznych urzdu wyłcznie dla własnych potrzeb przy wykorzystaniu urzdze i sieci telekomunikacyjnych; g. Sieci rozległej naley przez to rozumie sie publiczn w rozumieniu ustawy z dnia 1 lipca 2000 r. Prawo Telekomunikacyjne (Dz.U. Nr 73, poz. 852 z póniejszymi zmianami). 9

10 2 Procedury nadawania i zmiany uprawnie do przetwarzania danych: 1. Kady uytkownik systemu przed przystpieniem do przetwarzania danych osobowych musi zapozna si z: a. Ustaw z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r, Nr 101, poz. 926 z pón. zm.); b. Polityk bezpieczestwa danych osobowych systemu informatycznego; c. Niniejszym dokumentem. 2. Zapoznanie si z powyszymi informacjami pracownik potwierdza własnorcznym podpisem na owiadczeniu, którego wzór stanowi Załcznik nr Administrator Bezpieczestwa Informacji przyznaje uprawnienia w zakresie dostpu do systemu informatycznego na podstawie pisemnego upowanienia administratora danych okrelajcego zakres uprawnie pracownika, którego wzór stanowi Załcznik nr Bezporedni nadzór nad przetwarzaniem danych osobowych w komórkach organizacyjnych Urzdu sprawuj kierownicy tych komórek. Wzór upowanienia okrelajcego zakres odpowiedzialnoci stanowi Załcznik nr Przyznanie uprawnie w zakresie dostpu do systemu informatycznego polega na wprowadzeniu do systemu dla kadego uytkownika unikalnego identyfikatora, hasła oraz zakresu dostpnych danych i operacji. 6. Hasło ustanowione podczas przyznawania uprawnie przez Administratora Bezpieczestwa Informacji naley zmieni indywidualnie podczas pierwszego logowania si w systemie informatycznym. Ustanowione hasło, administrator przekazuje uytkownikowi ustnie. 7. Pracownik ma prawo do wykonywania tylko tych czynnoci, do których został upowaniony. 8. Pracownik ponosi pełn odpowiedzialno za wszystkie operacje wykonywane przy uyciu jego identyfikatora i hasła dostpu. 9. Wszystkie przekroczenia lub próby przekroczenia przyznanych uprawnie traktowane bd jako naruszenie podstawowych obowizków pracowniczych. 10. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowizany jest do zachowania ich w tajemnicy. Tajemnica obowizuje go równie po ustaniu zatrudnienia. 11. W systemie informatycznym stosuje si uwierzytelnienie dwustopniowe: na poziomie dostpu do sieci lokalnej oraz dostpu do aplikacji. 12. Identyfikator uytkownika w aplikacji (o ile działanie aplikacji na to pozwala), powinien by tosamy z tym, jaki jest mu przydzielony w sieci lokalnej. 10

11 13. Odebranie uprawnie pracownikowi nastpuje na pisemny wniosek kierownika, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnie. Wzór pisma o cofniciu upowanienia z pkt. 3 stanowi Załcznik nr Kierownicy komórek organizacyjnych zobowizani s pisemnie informowa Administratora Bezpieczestwa Informacji o kadej zmianie dotyczcej podległych pracowników majcej wpływ na zakres posiadanych uprawnie w systemie informatycznym. 15. Identyfikator osoby, która utraciła uprawnienia do dostpu do danych osobowych naley niezwłocznie wyrejestrowa z systemu informatycznego, w którym s one przetwarzane oraz uniewani jej hasło. 16. Administrator Bezpieczestwa Informacji zobowizany jest do prowadzenia i ochrony rejestru uytkowników i ich uprawnie w systemie informatycznym. 17. Rejestr, którego wzór stanowi Załcznik nr 5 powinien zawiera: imi i nazwisko uytkownika systemów informatycznych; numer uprawnienia; dat nadania uprawnienia; dat odebrania uprawnienia; przyczyn odebrania uprawnienia; podpis Administratora Bezpieczestwa Informacji. 18. Rejestr powinien odzwierciedla aktualny stan systemu w zakresie uytkowników i ich uprawnie oraz umoliwia przegldanie historii zmian uprawnie uytkowników. 3 Zasady posługiwania si hasłami: 1. Bezporedni dostp do danych osobowych przetwarzanych w systemie informatycznym moe mie miejsce wyłcznie po podaniu identyfikatora i właciwego hasła; 2. Hasło uytkownika powinno by zmieniane co najmniej raz w miesicu; 3. Identyfikator uytkownika nie powinien by zmieniany bez wyranej przyczyny, a po wyrejestrowaniu uytkownika z systemu informatycznego nie powinien by przydzielany innej osobie; 4. Pracownicy s odpowiedzialni za zachowanie poufnoci swoich haseł; 5. Hasła uytkownika utrzymuje si w tajemnicy równie po upływie ich wanoci; 6. Pracownik nie ma prawa do udostpniania haseł danej grupy osobom spoza tej grupy, dla której zostały one utworzone; 7. Hasło naley wprowadza w sposób, który uniemoliwia innym osobom jego poznanie; 11

12 8. W sytuacji, kiedy zachodzi podejrzenie, e kto poznał hasło w sposób nieuprawniony, pracownik zobowizany jest do natychmiastowej zmiany hasła; 9. Przy wyborze hasła obowizuj nastpujce zasady a. minimalna długo hasła 6 znaków; b. zakazuje si stosowa: haseł, które uytkownik stosował uprzednio w okresie minionego roku, swojej nazwy uytkownika w jakiejkolwiek formie (pisanej duymi literami, w odwrotnym kierunku, dublujc kada liter, itp.), ogólnie dostpnych informacji o uytkowniku takich jak: numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy na której mieszka lub pracuje, itp. wyrazów słownikowych, przewidywalnych sekwencji znaków z klawiatury np.: QWERTY, , itp. c. naley stosowa: hasła zawierajce kombinacje liter i cyfr, hasła zawierajce znaki specjalne: znaki interpunkcyjne, nawiasy, #, &, itp. o ile system informatyczny na to pozwala, hasła, które mona zapamita bez zapisywania, hasła łatwe i szybkie do wprowadzenia, po to by trudniej było podejrze je osobom trzecim. 10. Zmiany hasła nie wolno zleca innym osobom; 11. W systemach, które umoliwiaj opcj zapamitywania nazw uytkownika lub jego hasła nie naley korzysta z tego ułatwienia; 12. Hasło uytkownika o prawach administratora powinno znajdowa si w zalakowanej kopercie w zamykanej na klucz szafie metalowej, do której dostp maj: Administrator Bezpieczestwa Informacji; Kierownik urzdu lub osoba przez niego wyznaczona. 4 Procedury rozpoczcia, zawieszenia i zakoczenia pracy w systemie: 1. Przed rozpoczciem pracy w systemie komputerowym naley zameldowa si do systemu przy uyciu indywidualnego identyfikatora oraz hasła; 2. Przy opuszczeniu stanowiska pracy na odległo uniemoliwiajc jego obserwacj naley wykona operacj wylogowania z systemu; 3. Osoba udostpniajca stanowisko komputerowe innemu upowanionemu pracownikowi zobowizana jest wykona funkcj wylogowania z systemu; 4. Przed wyłczeniem komputera naley bezwzgldnie zakoczy prac uruchomionych programów, wykona zamknicie systemu i jeeli jest to konieczne wymeldowa si z sieci komputerowej; 12

13 5. Niedopuszczalne jest wyłczenie komputera przed zamkniciem oprogramowania oraz zakoczeniem pracy w sieci; 5 Procedury tworzenia zabezpiecze: 1. Za systematyczne przygotowywanie kopii bezpieczestwa odpowiada Administrator Bezpieczestwa Informacji, a w przypadku jego nieobecnoci Administrator Systemu Informatycznego; 2. Kopie bezpieczestwa wykonywane s raz na miesic po zakoczeniu pracy wszystkich uytkowników sieci komputerowej; 3. Zabezpieczenie wszystkich programów i danych wykonywane jest w pierwszym tygodniu po 15 dniu kadego miesica w postaci zapisu na płycie CD-R lub CD-RW; 4. Płyty CD-R lub CD-RW przechowuje si w sejfie urzdu; 5. W przypadku wykonywania zabezpiecze długoterminowych lub dyskietkach lub płytach CD-R (CD-RW), noniki te naley co kwartał sprawdza pod ktem ich dalszej przydatnoci. 6 Sposób, miejsce i okres przechowywania elektronicznych noników informacji zawierajcych dane osobowe oraz wydruków: 1. Elektroniczne noniki informacji: a. dane osobowe w postaci elektronicznej za wyjtkiem kopii bezpieczestwa zapisywane na dyskietkach, dyskach magnetooptycznych czy dyskach twardych nie s wynoszone poza siedzib urzdu; b. wymienne elektroniczne noniki informacji s przechowywane w pokojach stanowicych obszar przetwarzania danych osobowych, okrelony w Polityce bezpieczestwa przetwarzania danych osobowych urzdu; c. po zakoczeniu pracy przez uytkowników systemu, wymienne elektroniczne noniki s przechowywane w zamykanych szafach biurowych lub kasetkach; d. urzdzenia, dyski lub inne informatyczne noniki, zawierajce dane osobowe, przeznaczone do likwidacji, pozbawia si wczeniej zapisu tych danych, a w przypadku gdy nie jest to moliwe, uszkadza si w sposób uniemoliwiajcy ich odczytanie; e. urzdzenia, dyski lub inne informatyczne noniki, zawierajce dane osobowe, przeznaczone do przekazania innemu podmiotowi nieuprawnionemu do otrzymywania danych osobowych pozbawia si wczeniej zapisu tych danych; f. urzdzenia, dyski lub inne informatyczne noniki, zawierajce dane osobowe, przeznaczone do naprawy pozbawia si przed napraw zapisu tych danych albo naprawia si je pod nadzorem osoby upowanionej. 2. Kopie zapasowe: a. kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzdzi programowych zastosowanych do przetwarzania danych s przechowywane w sejfie urzdu; 13

14 b. dostp do ww. sejfu maja tylko upowanieni pracownicy. 3. Wydruki: a. w przypadku koniecznoci przechowywania wydruków zawierajcych dane osobowe naley je przechowywa w miejscu uniemoliwiajcym bezporedni dostp osobom niepowołanym; b. pomieszczenie, w którym przechowywane s wydruki robocze musi by naleycie zabezpieczone po godzinach pracy; c. wydruki, które zwieraj dane osobowe i s przeznaczone do usunicia, naley zniszczy w stopniu uniemoliwiajcym ich odczytanie. 7 rodki ochrony systemu przed złoliwym oprogramowaniem, w tym wirusami komputerowymi: 1. Na kadym stanowisku komputerowym oraz serwerze musi by zainstalowane oprogramowanie antywirusowe pracujce w trybie monitora; 2. Kady wpływajcy do urzdu musi by sprawdzony pod ktem wystpowania wirusów przez bramk antywirusow; 3. Definicje wzorców wirusów aktualizowane s nie rzadziej ni raz w miesicu; 4. Zabrania si uywania noników niewiadomego pochodzenia bez wczeniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje uytkownik, który nonik zamierza uy; 5. Zabrania si pobierania z Internetu plików niewiadomego pochodzenia. Kady plik pobrany z Internetu musi by sprawdzony programem antywirusowym. Sprawdzenia dokonuje uytkownik, który pobrał plik; 6. Zabrania si odczytywania załczników poczty elektronicznej bez wczeniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który poczt otrzymał; 7. Administrator Systemu Informatycznego przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach; 8. Kontrola antywirusowa przeprowadzana jest równie na wybranym komputerze w przypadku zgłoszenia nieprawidłowoci w funkcjonowaniu sprztu komputerowego lub oprogramowania; 9. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wirusa wykryto oraz wszystkie posiadane przez uytkownika noniki informacji. 8 Zasady i sposób odnotowywania w systemie informacji o udostpnieniu danych osobowych: 14

15 1. Dane osobowe z eksploatowanych systemów mog by udostpniane wyłcznie osobom upowanionym; 2. Udostpnienie danych osobowych, w jakiejkolwiek postaci, jednostkom nieuprawnionym wymaga pisemnego upowanienia Administratora Danych; 3. Udostpnienie danych osobowych nie moe by realizowane droga telefoniczn. 4. Udostpnienie danych osobowych moe nastpi wyłcznie po przedstawieniu wniosku o udostpnienie danych osobowych. Wniosek powinien zawiera informacje: a. o podstawie prawnej wniosku b. umoliwiajce wyszukanie w zbiorze danych danych c. wskazanie ich zakresu d. o przeznaczeniu danych; 5. Pracownik, który udostpnia dane osobowe ma obowizek prowadzenia rejestrów udostpnionych danych osobowych, który musi zawiera co najmniej: dat udostpnienia, podstaw, zakres udostpnionych informacji oraz osob lub instytucj dla której dane udostpniono; 9 1. Uytkownik systemu informatycznego zobowizany jest zawiadomi administratora bezpieczestwa informacji za porednictwem informatyka o kadym naruszeniu zabezpieczenia systemu polegajcym na: a. naruszeniu hasła dostpu (system nie reaguje na hasło lub je ignoruje usunity mechanizm hasła); b. czciowym lub całkowitym braku bazy danych; c. braku moliwoci uruchomienia właciwej aplikacji (programu komputerowego); d. zmianie połoenia sprztu komputerowego lub moliwoci połczenia wszystkich urzdze 2. Administrator bezpieczestwa informacji, po otrzymaniu zawiadomienia o naruszeniu zabezpieczenia systemu informatycznego powinien niezwłocznie: a. przeprowadzi postpowanie wyjaniajce w celu ustalenia okolicznoci naruszenia ochrony danych osobowych; b. podj działania zabezpieczajce system przed ponownym naruszeniem; c. sporzdzi raport z naruszenia bezpieczestwa systemu informatycznego Załcznik nr Raport, o którym mowa w 9 pkt. 2 lit. c, przekazuj si niezwłocznie, jednake nie póniej ni w cigu 3 dni administratorowi danych osobowych. 4. W przypadku kradziey sprztu informatycznego z pomieszcze, uytkownik niezwłocznie powiadamia bezporedniego przełoonego. 5. W sytuacji, o której mowa w 9 pkt. 4, bezporedni przełoony zobowizany jest do niezwłocznego powiadomienia Administratora Bezpieczestwa Informacji. 15

16 6. Informatyk jest zobowizany na bieco informowa administratora bezpieczestwa informacji o przypadkach awarii programowych wynikajcych z: a. posługiwania si przez uytkowników nieautoryzowanymi programami; b. nie przestrzegania zasad uywania programów antywirusowych w okrelonych okolicznociach; c. niewłaciwego wykorzystywania sprztu komputerowego 7. Administrator bezpieczestwa informacji składa okresowo, nie rzadziej ni raz na rok, administratorowi danych osobowych, kompleksow analiz zarzdzania systemem informatycznym słucym przetwarzaniu danych osobowych oraz załoenia strategii i polityki zabezpieczenia systemów informatycznych Dokumenty systemu informatycznego, w szczególnoci zawierajce opis parametrów technicznych oraz rozwizania systemowe, zapewniajce ochron poufnoci, integralnoci i rozdzielczoci s informacj niejawn oznaczon klauzul poufne. 2. Dokumenty, o których mowa w ust.1 s przygotowywane i wdraane przez Administratora Bezpieczestwa Informacji. 16

17 Załcznik nr 1 do Instrukcji Zarzdzania Systemem Informatycznym O W I A D C Z E N I E Owiadczam, e zapoznałem/łam si z przepisami prawa dotyczcymi ochrony danych osobowych, a w szczególnoci z ustaw z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002r. Nr 101 poz. 926 z pón. zm.) oraz z Zarzdzeniem Nr 36/07 Wójta Gminy Winiewo z dnia 21 listopada 2007r. i zobowizuj si do przestrzegania tajemnicy danych osobowych, a w szczególnoci: zachowania szczególnej starannoci w trakcie wykonywania operacji przetwarzania danych w celu ochrony interesów osób, które one dotycz, zabezpieczenia danych przed ich udostpnieniem osobom nieupowanionym. Owiadczam ponadto, e zapoznałem/łam si z: zasadami postpowania przy przetwarzaniu danych osobowych, instrukcj okrelajc sposób postpowania w przypadku zaistnienia podejrzenia naruszenia zabezpiecze przetwarzanych w systemie danych osobowych, instrukcj okrelajc sposób zarzdzania systemem informatycznym, polityk bezpieczestwa stanowicymi załczniki do Zarzdzenia Nr 36/07 Wójta Gminy Winiewo z dn. 21 listopada 2007r. wiadomy/ma odpowiedzialnoci porzdkowej i karnej znane mi dane osobowe zachowam w tajemnicy, równie w sytuacji gdyby ustało moje zatrudnienie w Urzdzie Gminy w Winiewie data podpis pracownika 17

18 Załcznik nr 2 do Instrukcji Zarzdzania Systemem Informatycznym U P O W A N I E N I E Nr Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. nr 101, poz. 926 z pón. zm.), u p o w a n i a m Pana/Pani... Zatrudnion... na stanowisku do przetwarzania danych osobowych, wynikajcego z zakresu obowizków pracowniczych.... /Podpis Pracodawcy/... /data i podpis pracownika/ 18

19 Załcznik nr 3 do Instrukcji Zarzdzania Systemem Informatycznym U P O W A N I E N I E Nr Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U.z 2002 nr 101 poz. 926 z pón. zm.) u p o w a n i a m Pana/Pani stanowisko słubowe do przetwarzania danych osobowych gromadzonych w zwizku z realizacj przydzielonych obowizków pracowniczych zobowizuj: 1. do zastosowania niezbdnych rodków technicznych i organizacyjnych okrelonych w przepisach powszechnie obowizujcych, w celu zapewnienia ochrony przetwarzania danych osobowych w podległym wydziale, 2. do kontroli przestrzegania zasad i sposobu wykonywania operacji przetwarzania danych przez podległych pracowników. powierzam: Odpowiedzialno w zakresie przestrzegania zasad i ochrony danych osobowych w Urzdzie Gminy w Winiewie.... /data i podpis pracownika/... /Podpis / 19

20 Załcznik nr 4 do Instrukcji Zarzdzania Systemem Informatycznym W y c o f a n i e u p o w a n i e n i a Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. nr 101, poz. 926 z pón. zm.). W zwizku z: cofam upowanienie Pana/Pani... zatrudnionego/zatrudnionej w na stanowisku do przetwarzania danych osobowych, wynikajcego z zakresu obowizków pracowniczych.... /Podpis Pracodawcy/... /data i podpis pracownika/ 20

21 Załcznik nr 5 do Instrukcji Zarzdzania Systemem Informatycznym Rejestr uytkowników i ich uprawnie w systemie informatycznym Nr uprawnienia Imi i nazwisko Data nadania Data odebrania Przyczyna odebrania Podpis Administratora Bezpieczestwa Informacji 21

22 Załcznik nr 6 do Instrukcji Zarzdzania Systemem Informatycznym R A P O R T z naruszenia bezpieczestwa systemu bezpieczestwa w Urzdzie Gminy w Winiewie 1. Data:.. Godzina: (dd.mm.rrrr) (00:00) 2. Osoba powiadamiajca o zaistniałym zdarzeniu:... (Imi, nazwisko, stanowisko słubowe, nazwa uytkownika (jeli wystpuje)) 3. Lokalizacja zdarzenia... (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczestwa oraz okolicznoci towarzyszce: 5. Podjte działania: 6. Przyczyny wystpienia zdarzenia: 7. Postpowanie wyjaniajce:... Data, podpis Administratora Bezpieczestwa Informacji 22