a) po 11 dodaje się 11a 11g w brzmieniu:

Transkrypt

1 Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych środków bezpieczeństwa przy przetwarzaniu danych osobowych z wykorzystaniem systemów informatycznych oraz postępowania w sytuacji naruszenia zasad ochrony danych osobowych w Starostwie Powiatowym w Krakowie. Data utworzenia Numer aktu 134 Kadencja Kadencja Na podstawie art. 35 ust. 2 ustawy z dnia 5 czerwca 1998r. o samorządzie powiatowym (Dz.U. z 2001r. Nr 142, poz z późn. zm.) w związku z art.3 ust. 1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz. 926 z późn. zm.), oraz z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r. Nr 100, poz. 1024) oraz w związku z przepisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2004r. Nr 100, poz. 1025) zarządzam, co następuje: 1. 1) W zarządzeniu nr 40/99 Starosty Krakowskiego z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych środków bezpieczeństwa przy przetwarzaniu danych osobowych z wykorzystaniem systemów informatycznych oraz postępowania w sytuacji naruszenia zasad ochrony danych osobowych w Starostwie Powiatowym w Krakowie (zm. Zarządzeniami Starosty nr 29/01, 1/05 i 37/05) wprowadzam następujące zmiany: a) po 11 dodaje się 11a 11g w brzmieniu: 11a. 1. Starosta wyznacza pracownika Starostwa będącego administratorem bezpieczeństwa informacji, który obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. 2. Wzór dokumentu wyznaczającego administratora bezpieczeństwa informacji określa załącznik nr 1a do niniejszego zarządzenia. 3. Administrator bezpieczeństwa informacji prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 oraz nadzoruje przestrzeganie ustalonych zasad ochrony. 11b. Administrator bezpieczeństwa informacji w szczególności jest odpowiedzialny za: 1). kontrolowanie, aby do danych osobowych miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań; 2) zarządzanie uprawnieniami do przetwarzania danych osobowych w imieniu administratora danych; 3) nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe oraz kontroli przebywających w nich osób; 4) nadzorowanie przestrzegania zasad określonych w Polityce i Instrukcjach dotyczących ochrony

2 bezpieczeństwa danych osobowych; 5) nadzorowanie wykonywania kopii awaryjnych, ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu; 6) nadzorowanie przeglądów, konserwacji oraz uaktualnień systemów służących do przetwarzania danych osobowych oraz wszystkich innych czynności wykonywanych na bazach danych osobowych; 7) nadzorowanie systemu komunikacji w sieci komputerowej oraz przesyłania danych za pośrednictwem urządzeń teletransmisji; 8) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe generowane przez system informatyczny; 9) nadzorowanie funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych; 10) podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych; 11) analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych (jeśli takie wystąpiło) i przygotowanie oraz przedstawienie administratorowi danych odpowiednich propozycji zmian do instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych; 12) prowadzenie rejestru wydanych upoważnień przetwarzania danych; 13) zlecenie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania danych osobowych; 14) szkolenie osób dopuszczonych do przetwarzania danych osobowych z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych; 15) nadzorowanie podpisania odpowiednich umów o poufności z użytkownikami upoważnionymi do przetwarzania danych osobowych, firmami, którym powierzono przetwarzanie danych osobowych lub konserwacje urządzeń służących do przetwarzania danych oraz pracownikami tych firm. Odpowiedzialni za zawarcie w umowach odpowiednich zapisów są Dyrektorzy Wydziałów. 11c. 1. Dokumentacja, o której mowa w 11a ust. 3 składa się z Polityki Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych. 2. Dokumentację, o której mowa w ust.1 prowadzi się w formie pisemnej. 3. Dokumentacja podlega wdrożeniu poprzez: 1) wprowadzenie jej do stosowania Zarządzeniem Starosty lub 2) zatwierdzenie przez Starostę i udostępnienie wyłącznie osobom imiennie upoważnionym z uwagi na wyłączenie jej jawności z uwagi na ochronę danych osobowych. 11d. 1. Polityka Bezpieczeństwa Danych Osobowych, o której mowa w 11c ust. 1 jest określeniem kierunków działań dla zapewnienia bezpieczeństwa zbiorów danych osobowych przetwarzanych w Starostwie Powiatowym w Krakowie. 2. Polityka Bezpieczeństwa Danych Osobowych swoim zakresem obejmuje wszystkie dane osobowe przetwarzane w Starostwie Powiatowym w Krakowie i obowiązuje wszystkich pracowników Starostwa oraz inne osoby mające dostęp do danych osobowych w tym w szczególności: praktykantów, stażystów, wolontariuszy, osoby zatrudnione na umowę o dzieło lub umowę zlecenia, osoby wykonujące przeglądy i konserwacje systemów informatycznych na podstawie umów. 11e. Polityka Bezpieczeństwa Danych Osobowych, o której mowa w 11c ust. 1 zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe zgodnie ze wzorem tabeli stanowiącej załącznik nr 1b do niniejszego 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do

3 przetwarzania tych danych zgodnie ze wzorem tabeli stanowiącej załącznik nr 1c do niniejszego 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi zgodnie ze wzorem tabeli stanowiącej załącznik nr 1d do niniejszego 4) opis sposobu przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. 11f. Ograniczenie dostępu do dokumentacji dla osób nieupoważnionych z uwagi na poufność danych w rozumieniu przepisów o ochronie danych osobowych dotyczy w szczególności: 1) dokumentacji określonej w 11e pkt 1,3,4; 2) dokumentacji określającej środki techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności danych w części określającej opis zabezpieczeń. 11g. 1. Na ochronę zbiorów danych osobowych składają się: 1) zabezpieczenie przed nieuprawnionym ujawnieniem i kradzieżą danych osobowych; 2) zabezpieczenie przed utratą danych osobowych, czyli nieuprawnioną modyfikacją lub usunięciem. 2. Do ogólnych środków organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych w Starostwie Powiatowym należą środki polegające na tym, że: 1) do danych osobowych mają dostęp wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych, a osoby upoważnione do przetwarzania danych mają obowiązek zachować w tajemnicy dane, które przetwarzają, oraz sposoby ich zabezpieczenia. 2) zmiany dotyczące sposobu przetwarzania danych w zbiorze danych osobowych w tym: struktury, miejsca przetwarzania, sposobu archiwizacji, zawierania umów w zakresie programów do obsługi zbioru, a także utworzenia zbioru Dyrektor Wydziału ma obowiązek zgłosić administratorowi bezpieczeństwa informacji; 3) osoby, które nie posiadają upoważnienia do przetwarzania danych osobowych mogą przebywać w obszarach przetwarzania danych osobowych jedynie za zgodą administratora bezpieczeństwa informacji i w obecności osoby upoważnionej do przetwarzania tych danych osobowych; 4) prowadzona jest ewidencja wydawanych kluczy do pomieszczeń obszaru przetwarzania danych osobowych, a wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych także w godzinach pracy; 5) dane osobowe w wersji papierowej (w tym wydruki), należy niszczyć w niszczarkach lub przekazywać do zniszczenia wynajętej do tego celu firmie; 6) dane osobowe przetwarzane lub przechowywane na nośnikach cyfrowych (między innymi na dyskietkach, płytach CD, DVD) należy w celu zniszczenia przekazać do administratora bezpieczeństwa informacji lub trwale pozbawić danych w sposób uniemożliwiający odtworzenie, czyli zniszczyć w odpowiednich niszczarkach lub przekazywać do zniszczenia wynajętej do tego celu firmie; 7) budynki w których przetwarzane są dane osobowe nadzorowane są przez pracowników Wydziału Techniczno Gospodarczego co najmniej po godzinach urzędowania. 3. Do ogólnych środków technicznych niezbędnych dla zapewnienia poufności, integralności i rozliczalności danych osobowych przetwarzanych w systemach informatycznych Starostwa Powiatowego w Krakowie należą: 1) procedury:

4 a) kontroli dostępu do danych osobowych w tym: zarządzanie identyfikatorami, hasłami i uprawnieniami, b) rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników, c) tworzenia kopii zapasowych, d) metod i częstotliwości sprawdzania obecności wirusów komputerowych, oprogramowania służącego do przejęcia danych lub kontroli nad systemem przez osobę nieuprawnioną, e) wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych, f) zarządzania systemem informatycznym w przypadkach awaryjnych, które reguluje Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych. 2) systemy awaryjnego zasilania przynajmniej w zakresie zabezpieczenia serwerów i komputerów z bazami danych zbiorów danych osobowych; 3) zapory sieciowe, filtry antyspamowe i oprogramowanie antywirusowe zastosowane dla danych osobowych w przypadku podpięcia do sieci publicznej; 4) szyfrowanie połączeń między Starostwem i jego filiami., b) w 15 ust. 1 otrzymuje brzmienie: Pomieszczenia lub części pomieszczeń w budynkach Starostwa Powiatowego w Krakowie, w których wykonuje się jakiekolwiek operacje na danych osobowych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te w których operacje wykonuje się w systemach informatycznych stanowią obszar przetwarzania danych osobowych. ; 2). Załącznik nr 1a do zarządzenia nr 40/99 otrzymuje brzmienie jak w załączniku nr 1 do niniejszego 3) Załącznik nr 1b do Zarządzenia nr 40/99 otrzymuje brzmienie jak w załączniku nr 2 do niniejszego 4) Załącznik nr 1c do Zarządzenia nr 40/99 otrzymuje brzmienie jak w załączniku nr 3 do niniejszego 5) Załącznik nr 1d do Zarządzenia nr 40/99 otrzymuje brzmienie jak w załączniku nr 4 do niniejszego 6). W załączniku nr 2 Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Starostwie Powiatowym w Krakowie a) w 2 : - po pkt. 6 dodaje się pkt. 6a w brzmieniu: 6 a) administrator systemu informatycznego osoba wyznaczona przez administratora danych odpowiedzialna za opiekę techniczną nad systemami informatycznymi,. - po pkt. 19 dodaje się pkt w brzmieniu: 20) odbiorca danych - każdy, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą,

5 b) osoby upoważnionej do przetwarzania danych, c) podmiotu, któremu administrator danych powierzył przetwarzanie danych w drodze umowy zawartej na piśmie, d) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem; 21) czas udostępnienia danych osobowych czas, który określają: data rozpoczęcia udostępniania danych osobowych i data zakończenia udostępniania danych osobowych, przy czym data ma format: RR.MM.DD.hh.mm.ss gdzie: RR oznacza rok, MM oznacza miesiąc, DD oznacza dzień, hh oznacza godzinę, mm oznacza minuty, ss oznacza sekundy, lub równie dokładny, 22) zakres udostępnienia danych osobowych czy dane udostępniono w całości, czy w sprecyzowanej części oraz czy odbiorca ma tylko prawo wglądu czy także modyfikacji., b) w 3 po ust.1 dodaje się ust. 1a w brzmieniu: 1a. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 1 do niniejszej instrukcji. c) w 4 ust. 3 otrzymuje brzmienie: 3. Identyfikatory użytkowników są zakładane przez administratora systemu informatycznego na wniosek administratora danych lub administratora bezpieczeństwa informacji., d) w 5 po ust. 1 dodaje się ust. 1a w brzmieniu: 1a. Wzór dziennika pracy stanowi załącznik nr 2 do niniejszej instrukcji., e) w 7 ust. 2 otrzymuje brzmienie: 2. Administrator bezpieczeństwa informacji wyrejestrowuje niezwłocznie użytkownika i poleca administratorowi systemu informatycznego unieważnienie bądź zablokowanie identyfikatora i hasła wyrejestrowanego użytkownika oraz podejmuje inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych., f) w 8 w ust. 2 po pkt. 9 dodaje się punkty w brzmieniu: 10. Jeżeli system informatyczny środkami technicznymi nie wymusza zasad ujętych w pkt. 1, 3, 4, 7 użytkownik jest zobowiązany do pamiętania o samodzielnym przestrzeganiu tych zasad. 11. Użytkownik, który utracił hasło, klucz prywatny, nie może za pomocą przyznanego identyfikatora uzyskać dostępu do systemu, zobowiązany jest zgłosić bezzwłocznie ten fakt administratorowi systemu informatycznego, g) po 15 dodaje się 15a w brzmieniu: 15a. W przypadku przekazywania nośników informacji zawierających kopie zapasowe danych osobowych podmiotom zewnętrznym w celu bezpiecznego ich przechowywania na podstawie umów, stosownie wcześniej musi zostać określona procedura przekazywania oraz metody zabezpieczania przekazywanych nośników informacji przed dostępem osób nieupoważnionych zarówno podczas transportu, jaki i podczas późniejszego przechowywania., h) Rozdział VI otrzymuje tytuł w brzmieniu:

6 Metody i częstotliwość sprawdzania obecności wirusów komputerowych i oprogramowania służącego do przejęcia danych lub kontroli nad systemem informatycznym przez osobę nieuprawnioną, i) 19 otrzymuje brzmienie: 19. Na komputerach stacjonarnych, serwerach i komputerach przenośnych należy: 1). Stosować programy antywirusowe monitorujące system podczas jego pracy lub skanować komputery dostępnymi programami antywirusowymi nie rzadziej niż raz na tydzień, 2). Stosować programy przeciwdziałające oprogramowaniu służącemu do przejęcia danych lub kontroli nad systemem informatycznym przez osobę nieuprawnioną., j) w 23 dodaje się ust. 2 w brzmieniu: 2. Przeglądy i konserwacje systemu informatycznego służącego do przetwarzania danych osobowych dokonywanego przez osoby i podmioty zewnętrzne są możliwe tylko przy obecności administratora bezpieczeństwa informacji, administratora systemu informatycznego lub osoby upoważnionej przez administratora danych., k) dodaje się Rozdziały IX XI w brzmieniu: Rozdział IX Informacja o odbiorcach danych, którym dane zostają w systemie informatycznym udostępnione 29. Udostępnianie danych osobowych odbiorcom danych w systemie informatycznym jest możliwe tylko, jeśli system informatyczny w sposób jednoznaczny i trwały zachowuje informacje o odbiorcy danych, czasie udostępnienia danych osobowych i zakresie udostępnienia danych osobowych, chyba, że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Rozdział X Szczegółowe instrukcje zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych dla poszczególnych systemów funkcjonujących w Starostwie Powiatowym w Krakowie Szczegółowe instrukcje zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych dla poszczególnych systemów funkcjonujących w Starostwie Powiatowym w Krakowie opracowuje administrator bezpieczeństwa informacji i przedstawia je do zatwierdzenia administratorowi danych. 2. Ewidencję szczegółowych instrukcji zarządzania systemów informatycznych określonych w ust. 1 prowadzi i podaje do wiadomości administrator bezpieczeństwa informacji. 3. Dyrektorzy Wydziałów są zobowiązani do kontrolowania przestrzegania szczegółowych instrukcji zarządzania systemów informatycznych określonych w ust. 1. Rozdział XI Zarządzanie systemem informatycznym w przypadkach awaryjnych

7 Poprzez przypadek awaryjny należy rozumieć: 1). Awarię systemu informatycznego służącego do przetwarzania danych osobowych pod nieobecność administratora systemu informatycznego, 2). Konieczność dokonania czynności administracyjnych przez firmy serwisujące sprzęt i oprogramowanie na podstawie umów za pomocą identyfikatorów i haseł użytkowników systemu. 2. W przypadkach awaryjnych możliwe jest udostępnienie za zgodą administratora danych lub osoby przez niego wyznaczonej w tym administratora bezpieczeństwa informacji identyfikatorów i haseł użytkowników uprzywilejowanych (którymi są użytkownicy posiadający uprawnienia na poziomie administratora systemów informatycznych). 3. W przypadku zaistnienia okoliczności określonych w ust. 2 udostępnienie identyfikatorów i haseł musi odbywać się przy obecności osoby upoważnionej, a po usunięciu awarii hasło musi zostać natychmiast zmienione, lub identyfikator i hasło zablokowane do czasu zmiany hasła. 4. Przypadek awaryjny musi zostać niezwłocznie odnotowany w systemie w postaci notatki służbowej przekazanej administratorowi bezpieczeństwa informacji. 5. Identyfikatory i hasła administracyjne do systemów informatycznych wraz z instrukcją ich użycia w przypadku awaryjnym przechowywane są w zamykanej metalowej szafie przez administratora systemu informatycznego. 6. Miejsce przechowywania kodów alarmów i kluczy do szaf oraz pomieszczeń, w których przechowuje się identyfikatory i hasła administracyjne do systemów informatycznych administrator bezpieczeństwa informacji wskazuje administratorowi danych.. 7) załącznik nr 1 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Starostwie Powiatowym w Krakowie określający wzór upoważnienia do przetwarzania danych osobowych, stanowi załącznik nr 5 do niniejszego zarządzenia. 8) załącznik nr 2 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Starostwie Powiatowym w Krakowie określający wzór dziennika pracy stanowi załącznik nr 6 do niniejszego zarządzenia. 2. Nadzór nad wykonaniem Zarządzenia powierzam Dyrektorowi Wydziału Organizacyjnego i Spraw Obywatelskich. Zarządzenie wchodzi w życie z dniem podpisania. Załącznik 3. Załączniki zarz134zał.doc Data: :01:53 Rozmiar: 75.5k Liczba odwiedzin: 55 Podmiot udostępniający informację: Starostwo Powiatowe w Krakowie

8 Osoba wprowadzająca informację: Administrator Podmiotu Osoba odpowiedzialna za informację: Czas wytworzenia: :02:43 Czas publikacji: :02:43 Data przeniesienia do archiwum: Brak