Zarządzenie nr 1/II/2013 Dyrektora Ośrodka Kultury Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie z dnia r.

Transkrypt

1 Zarządzenie nr 1/II/2013 Dyrektora Ośrodka Kultury Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie z dnia r. dotyczy: wprowadzenia Polityki Bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym przetwarzaniu danych osobowych w Ośrodku Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie. Na podstawie: 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie przetwarzania danych osobowych, oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024) 1 Z dniem 15 lutego 2013 r. wdraża się Politykę bezpieczeństwa przetwarzania danych osobowych w Ośrodku Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie, stanowiąca załącznik nr 1 do zarządzenia. 2 Z dniem 15 lutego 2013 r. wdraża się Instrukcję zarządzania systemem informatycznym służącym przetwarzaniu danych osobowych w Ośrodku Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie, stanowiąca załącznik nr 2 do zarządzenia. 3 Zobowiązuję wszystkich pracowników Ośrodka, którzy przetwarzają dane osobowe do bezwzględnego stosowania i przestrzegania Polityki bezpieczeństwa przetwarzania danych osobowych i Instrukcję zarządzania systemem informatycznym służącym przetwarzaniu danych osobowych 4 Zobowiązuję wszystkich pracowników Ośrodka, którzy przetwarzają dane osobowe do ścisłej współpracy z Administratorem Bezpieczeństwa Informacji w zakresie ustaleń zawartych w Polityce bezpieczeństwa przetwarzania danych osobowych i Instrukcji zarządzania systemem informatycznym służącym przetwarzaniu danych osobowych 5 W przypadku nieuzasadnionego zaniechania obowiązków wynikających z postanowień niniejszego zarządzenia, w szczególności przez osobę, która wobec naruszenia lub prób naruszenia ochrony danych osobowych zawartych w dokumentach lub systemie

2 informatycznym lub zabezpieczeń tego systemu, nie powiadomiła o tym Administratorem Bezpieczeństwa Informacji, administrator danych jest uprawniony do podjęcia działań określonych przepisami kodeksu pracy, związanych z odpowiedzialnością pracowników. 6 Zarządzenie wchodzi w życie z dniem podpisania Dyrektor Ośrodka Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z/s w Cieplewie /-/ Grzegorz Antoni Cwaliński

3 Załącznik nr 1 do Zarządzenia nr 1/II/2013 Dyrektora Ośrodka Kultury Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie z dnia 15 lutego 2013r. POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH WSTĘP Niniejszy dokument opisuje reguły dotyczące bezpieczeństwa danych osobowych przetwarzanych w dokumentach papierowych oraz systemach informatycznych Ośrodka Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie. Opisane reguły określają granice dopuszczalnego zachowania wszystkich osób zaangażowanych w przetwarzanie danych osobowych. Odpowiednie zabezpieczenia, ochrona przetwarzanych danych osobowych oraz niezawodność funkcjonowania są podstawowymi wymogami stawianymi współczesnym systemom informatycznym, w związku z czym Dyrektor Ośrodka Kultury, Sportu i Rekreacji Gminny Pruszcz Gdański z siedzibą w Cieplewie mając na uwadze potrzebę ochrony przetwarzanych danych osobowych wdraża niniejszy dokument Ośrodek Kultury, Sportu i Rekreacji Gminny Pruszcz Gdański z siedzibą w Cieplewie jako administrator danych osobowych gromadzi i przetwarza dane osobowe w następujących celach: 1) jako wykonywanie obowiązków pracodawcy; 2) realizacja przesyłek marketingowych drogą elektroniczną w formie wiadomości i smsów tzw. Newsletter ów 2. Dane gromadzone są i przetwarzane w postaci elektronicznej (przy użyciu sprzętu komputerowego) lub w formie dokumentów papierowych. 2 Niniejszy dokument jest zgodny z następującymi aktami prawnymi: 1) Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 2) Rozporządzaniem Ministra Spraw Wewnętrznych i Administracji a dnia 29 kwietnia 2004 r. w sprawie dokumentacji danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące przetwarzaniu danych osobowych (DZ. U. z 2004 r., Nr 100, poz. 1024), SŁOWNICZEK 3 Użyte w dalszej części dokumentu sformułowania oznaczają: 1) Zbiór danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten

4 jest rozproszony lub podzielony funkcjonalnie; 2) Administrator Danych Osobowych (ADO) - Ośrodek Kultury, Sportu i Rekreacji Gminny Pruszcz Gdański z siedzibą w Cieplewie, w imieniu którego działa Dyrektor w/w Ośrodka, zwanego dalej Ośrodkiem; 3) Administrator Bezpieczeństwa Informacji (ABI) należy przez to rozumieć osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymogów w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych; 4) Administrator Systemu Informatycznego (ASI) osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych; 5) System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 6) Bezpieczeństwo systemu informatycznego wdrożenie przez administratora danych osobowych lub osobę do tego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskiwaniem lub zniszczeniem; 7) Osoba upoważniona osoba posiadająca upoważnienie przez administratora danych osobowych (lub osobą uprawnioną przez niego) i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie tradycyjnym lub informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada administrator bezpieczeństwa informacji) ZASADY OGÓLNE 4 1. Polityka bezpieczeństwa obowiązuje wszystkich pracowników Ośrodka. 2. Administrator Danych osobowych wyznacza Administratora Bezpieczeństwa Informacji 3. Do zadań Administratora Bezpieczeństwa informacji należy, w szczególności: 1) opracowanie i aktualizację dokumentacji ochrony danych osobowych; 2) wdrażanie ww. dokumentacji i kontrolowanie wykonywania zawartych w niej procedur; 3) zapewnienie, że do informacji chronionych maja dostęp wyłącznie osoby upoważnione oraz że mogą one wykonywać wyłącznie uprawnione operacje; 4) zabezpieczanie obszarów przetwarzania danych osobowych w sposób uniemożliwiający dostęp osób trzecich; 5) prowadzenie rejestru osób dopuszczonych do przetwarzania danych osobowych 6) zaznajomienie i przeszkolenie pracowników zatrudnionych przy przetrwania danych osobowych z przepisami ustawy oraz z przepisami zawartymi w rozrządzeniach szczegółowych i zarządzeniach Dyrektora Ośrodka, a także zebranie od nich oświadczeń o odbyciu takiego szkolenia, 7) koordynacja procesu analizy ryzyka związanego z przetwarzaniem danych w systemach informatycznych oraz nadzór nad przestrzeganiem polityki bezpieczeństwa i jej aktualizacja w miarę potrzeb; 8) przygotowanie do zgłoszeń wniosków o rejestrację baz danych do Generalnego Inspektora Danych Osobowych;

5 9) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczeń danych osobowych przetwarzanych w systemach informatycznych 10) opracowanie projektów zarządzeń wewnętrznych w zakresie działalności ABI 4. Do zadań Administratora Systemu Informatycznego należy, w szczególności: 1) monitorowanie poziomu bezpieczeństwa w systemach informatycznych; 2) kontrolowanie przestrzegania zasad bezpieczeństwa przetwarzania danych w systemach informatycznych 3) prowadzenie kontroli usunięcia baz danych osobowych z nośników informatycznych przewidzianych do kasacji; 4) nadzór nad zabezpieczeniem danych osobowych przez tworzenie i właściwy zabezpieczenie kopii zapasowych; 5) nadzór nad przestrzeganiem w bezpieczny sposób napraw i konserwacji sprzętu oraz programowania służącego do przetwarzania lub będącego nośnikiem danych osobowych; 6) przydzielanie, aktualizacja i usuwanie haseł dla osób upoważnionych do przetwarzania danych osobowych w systemach informatycznych 7) analiza ryzyka związanego z przetwarzaniem danych w systemach informatycznych; 8) monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczeń danych osobowych przetwarzanych w systemach informatycznych 5. W przypadku nieobecności ABI bądź ASI powyższe zadania realizują osoby je zastępujące. Osoby je zastępujące składają ABI i ASI relacje z podejmowanych działań w czasie zastępstwa Ochrona danych osobowych przetwarzanych w Ośrodku obowiązuje wszystkie osoby, które mają dostęp do informacji przetwarzanych w Ośrodku, bez względu na zajmowane stanowisko oraz miejsce wykonywania jak również charakter stosunku pracy. 2. Ochrona danych osobowych przetwarzanych w Ośrodku obowiązuje również podmioty świadczące na rzecz ośrodka usługi informatyczne 3. Osoby mające dostęp do danych osobowych są zobligowane do stosowania niezbędnych środków zapobiegających ujawnieniu tych danych osobom nieupoważnionym. OBSZARY PRZETWARZANIA DANYCH OSOBOWYCH 6 Przetwarzanie danych osobowych odbywa się w siedzibie Ośrodka Kultury, Sportu i Rekreacji gminy Pruszcz Gdański przy ul. Długiej 20a Cieplewo W Ośrodku dane osobowe przewarzane są w zbiorach wymienionych w poniższym wykazie: L.p. Nazwa zbioru Sposób przetwarzania Nazwa systemu informatycznego 1. Kadry Forma papierowa; forma elektroniczna 2. Płace Forma papierowa; forma elektroniczna Płatnik, Symfonia Kadry i Płace Symfonia Kadry i Płace 3. Dane osobowe klientów Forma papierowa; forma CPS Cinema Menager

6 Ośrodka elektroniczna 2. Wykaz powinien być aktualizowany po wprowadzeniu do przetwarzania nowych zbiorów danych osobowych lub nowych programów, które je obsługują. SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY SYSTEMAMI 8 Przepływ danych schemat obrazujący kierunek przepływu danych osobowych pomiędzy systemami: SYSTEM KADROWY SYSTEM PŁACOWY DANE KADROWE DANE PŁACOWE Przepływ danych System rejestracji danych osobowych klientów Ośrodka w celu realizacja przesyłek marketingowych drogą elektroniczną w formie wiadomości i smsów tzw. Newsletter ów działa niezależnie i samodzielnie w odniesieniu do powyższych systemów. 9 W ramach struktury organizacyjnej Ośrodka prowadzone są następujące ewidencje wchodzące w skład dokumentacji z zakresu ochrony danych osobowych: 1) ewidencja osób upoważnianych do dostępu do danych osobowych prowadzona i przechowywana przez ABI w postaci zbioru upoważnień dla każdego pracownika Ośrodka; 2) ewidencja szkoleń nowoprzyjętych pracowników prowadzona i przechowywana przez ABI w postaci Rejestru szkoleń z ochrony danych osobowych nowoprzyjętych pracowników. Przeszkolony pracownik podpisuje zaświadczenie o przeszkoleniu z ochrony danych osobowych, których kserokopie przechowuje się w aktach osobowych pracownika, 3) ewidencja komputerów przenośnych wynoszonych z Ośrodka prowadzona i przechowywana przez ABI. SZKOLENIA W ZKARESIE OCHRONY DANYCH OSOBOWYCH Szkolenie nowoprzyjętych pracowników przeprowadza ABI. Szkolenie odbywa się przed przystąpieniem pracownika do pracy w systemie teleinformatycznym. 2. Tematyka szkolenia obejmuje: 1) regulacje prawne zewnętrzne i wewnętrzne dotyczące ochrony danych osobowych;

7 2) Terminologia ochrony danych osobowych; 3) obowiązki pracownika w razie naruszenia ochrony danych osobowych; 4) omówienie wybranych elementów dokumentacji ochrony danych osobowych: Polityki bezpieczeństwa i Instrukcji Szkolenie pracowników przetwarzających dane osobowe przeprowadza ABI. 2. Szkolenie odbywa się raz w roku metodą samokształcenia. 3. Tematyka szkolenia obejmuje: 1) terminologię ochrony danych osobowych (ODO); 2) regulacje prawne zewnętrzne i wewnętrzne dotyczące ODO; 3) obowiązki pracownika w razie naruszenia ODO; 4) obowiązki ADO oraz ABI; 5) omówienie wybranych elementów dokumentacji ochrony danych osobowych: Polityki bezpieczeństwa i Instrukcji; 6) sposoby zabezpieczenia danych w systemie teleinformatycznym oraz w formie papierowej. KONTROLA PRZETWARZANIA DANYCH 12 Kontrole użytkowników 1. Wybrane elementy kontroli mogą odbywać się pod nieobecność pracownika. 2. Podczas kontroli o której mowa w ust. 1 ABI może zwrócić się do użytkownika o wylogowanie się oraz ponowne uruchomienie komputera (laptopa) i zalogowanie się w celu kontroli długości haseł. 13 Kontrole komputerów przenośnych 1. ABI wraz z wyznaczonym przez siebie pracownikiem Ośrodka kontroluje również pracowników wynoszących komputery przenośne poza obszar Ośrodka. 2. Ww. kontrola dotyczy szczególnie przechowywania komputerów przenośnych w Ośrodka oraz nieuprawnionego podłączania komputerów przenośnych do sieci komputerowych innych niż sieć Ośrodka. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOSCI PRZETWAZANYCH DANYCH 14 Środki ochrony fizycznej danych: 1) zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi);

8 2) zbiory danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej; 3) pomieszczenia, w którym przetwarzane są zbiory danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy; 4) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych; 5) dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony; 6) zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie; 7) kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie; 8) pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy; 9) dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. 15 Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej; 1) zastosowano urządzenia typu ups, generator prądu lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania; 2) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem hasła; 3) zastosowano mechanizmy wymuszający okresową zmianę haseł; 4) zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej; 5) zastosowano środki ochrony przed szkodliwym oprogramowaniem. 16 Środki ochrony w ramach narzędzi programowych i baz danych: 1) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem hasła; 2) pracownik obowiązany jest okresowej zmiany hasła lub zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych; 3) zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe; 4) zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika; 17 Środki organizacyjne: 1) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych; 2) przeszkolenie osób zatrudnionych przy przetwarzaniu danych osobowych w zakresie

9 zabezpieczeń systemu informatycznego; 3) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy; 4) monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane; 5) kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco; 18 Osoby przetwarzające dane osobowe poza systemem teleinformatycznym muszą zachować następujące zasady podczas przetwarzania danych: 1) do przetwarzania danych osobowych poza systemem teleinformatycznym dopuszczone są osoby posiadające Upoważnienie do przetwarzania danych osobowych nadane przez ADO; 2) po zakończeniu pracy wszystkie dokumenty zawierające dane osobowe należy schować do szafki zamykanej na zamek, zamknąć szafkę oraz schować klucz uniemożliwiając w ten sposób dostęp do dokumentów dla osób nieuprawnionych, pomieszczenie biurowe należy zamknąć na klucz; 3) po wejściu do pomieszczenia biurowego przed rozpoczęciem pracy, pracownik ma obowiązek każdorazowo sprawdzić, czy meble biurowe są zamknięte; 4) w sytuacji, gdy pracownik stwierdzi naruszenie przechowywanych dokumentów, zgłasza to zdarzenie do ABI; ABI komisyjnie sprawdza czy z pokoju nic nie zginęło; w skład komisji wchodzi bezpośredni przełożony pracownika stwierdzającego naruszenie, ABI i pracownik zgłaszający nieprawidłowość; 5) podczas przyjmowania petentów na biurku pracownika nie mogą znajdować się żadne dokumenty, które zawierają dane osobowe, inne niż dane dotyczące obsługiwanej osoby (tzw. zasada czystego biurka); 6) po przyjęciu petenta, należy zwrócić uwagę na to, czy nie zabrał on (celowo lub przypadkowo) jakiegokolwiek nie należącego do niego dokumentu; 7) podczas przenoszenia dokumentów zawierających dane osobowe należy zachować szczególną staranność, aby nie dopuścić do przedostania się dokumentu w ręce osób nieuprawnionych do jego posiadania, (szczególnie podczas kopiowania dokumentu); 8) zabrania się wynoszenia dokumentów zawierających dane osobowe poza pomieszczenie biurowe, w którym jest wykonywana praca, za wyjątkiem niezbędnego przemieszczania dokumentów do innego uprawnionego organu, a także w sytuacjach innych działań wynikających z charakteru pracy służbowej; 9) podczas przemieszczania dokumentów zawierających dane osobowe a także w trakcie wykonywania czynności służbowych należy zachować szczególną staranność tj. nie zostawiać dokumentów bez opieki oraz chronić je przed dostępem osób nieuprawnionych. PROCEDURA PRZETWARZANIA DANYCH OSÓB PRZYJMOWANYCH DO PRACY W OKSIR Dokumenty aplikacyjne pozyskiwane są wyłącznie w formie papierowej poprzez osobiste ich dostarczenie przez kandydata lub za pośrednictwem poczty. 2. Przyjmowanie dokumentów aplikacyjnych dokonywane jest w biurze obsługi klienta lub

10 sekretariacie Ośrodka. 3. Przesłane lub składane osobiście dokumenty aplikacyjne w formie papierowej, po zarejestrowaniu ich wpływu, w biurze podawczym przekazywane są bezpośrednio na stanowisko ds. kadr. 4. Dokumenty o których mowa w ust. 1 przechowywane są w zamykanej szafie przeznaczonej do przechowywania akt osobowych i wgląd do nich mają wyłącznie członkowie komisji rekrutacyjnej. 5. Dokumenty po zakończonym procesie rekrutacyjnym są odsyłane do adresatów z wyłączeniem dokumentów aplikacyjnych kandydata, który został wyłoniony. 6. Dokumenty aplikacyjne kandydata, który został wyłoniony w procesie rekrutacji dołącza się do jego akt osobowych. Dyrektor Ośrodka Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z/s w Cieplewie /-/ Grzegorz Antoni Cwaliński

11 Załącznik nr 2 do Zarządzenia nr 1/II/2013 Dyrektora Ośrodka Kultury Sportu i Rekreacji Gminy Pruszcz Gdański z siedzibą w Cieplewie z dnia 15 lutego 2013r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH SŁOWNICZEK 1 Użyte w dalszej części dokumentu sformułowania oznaczają: 1) Zbiór danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; 2) Administrator Danych Osobowych (ADO) - Ośrodek Kultury, Sportu i Rekreacji Gminny Pruszcz Gdański z siedzibą w Cieplewie, w imieniu którego działa Dyrektor w/w Ośrodka, zwanego dalej Ośrodkiem; 3) Administrator Bezpieczeństwa Informacji (ABI) należy przez to rozumieć osobę wyznaczona do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymogów w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych; 4) Administrator Systemu Informatycznego (ASI) osoba odpowiedzialne za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych; 5) System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; 6) Bezpieczeństwo systemu informatycznego wdrożenie przez administratora danych osobowych lub osobę do tego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskiwaniem lub zniszczeniem; 7) Osoba upoważniona osoba posiadająca upoważnienie przez administratora danych osobowych (lub osobą uprawnioną przez niego) i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie tradycyjnym lub informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada administrator bezpieczeństwa informacji)

12 PODSTAWA PRAWNA 2 Niniejszy dokument jest zgodny z następującymi aktami prawnymi: 3) Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 4) Rozporządzaniem Ministra Spraw Wewnętrznych i Administracji a dnia 29 kwietnia 2004 r. w sprawie dokumentacji danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące przetwarzaniu danych osobowych (DZ. U. z 2004 r., Nr 100, poz. 1024), PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI 3 1. Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych. 2. Wydanie upoważnienia oraz rejestracja użytkownika systemu informatycznego przetwarzającego dane osobowe następuje na wniosek przełożonego użytkownika. 3. Wniosek o wydanie upoważnienia i rejestrację użytkownika składany do administratora bezpieczeństwa informacji (ABI) winien zawierać: 1) imię i nazwisko pracownika, któremu upoważnienie zostanie nadane, 2) nazwę zbioru danych osobowych oraz nazwę systemu informatycznego, do którego użytkownik będzie miał dostęp, 3) zakres upoważnienia do przetwarzania danych osobowych, 4) datę, z jaką upoważnienie ma być nadane, 5) okres ważności upoważnienia. 4. Wzór wniosku stanowi załącznik nr 1 do instrukcji. 5. Oryginał upoważnienia zostaje przekazany pracownikowi za potwierdzeniem odbioru, kopia zostaje dołączona do akt osobowych pracownika oraz przekazana do wiadomości przełożonego pracownika. 6. Hasła do systemu informatycznego przetwarzającego dane osobowe są przydzielane użytkownikowi tylko w przypadku, gdy posiada on pisemne upoważnienie do przetwarzania danych osobowych. 7. Za przydzielenie hasła użytkownikowi odpowiada administrator systemu informatycznego (ASI), który czynności te wykonuje na pisemny lub przesłany drogą elektroniczna wniosek ABI. 8. Wyrejestrowanie użytkownika z systemu informatycznego może nastąpić na wniosek ABI lub przełożonego użytkownika. 9. Pisemny wniosek o wyrejestrowanie użytkownika systemu należy złożyć do ABI. 10. Wyrejestrowanie użytkownika z systemu realizuje ABI na pisemny lub przesiany drogą elektroniczną wniosek ABI.

13 4 1. Administrator bezpieczeństwa informacji i jest zobowiązany do prowadzenia ewidencji pracowników upoważnionych do przetwarzania danych osobowych w ośrodku. 2. Ewidencja zawiera: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) nazwa systemu informatycznego, którego dotyczy upoważnienie, STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZADZANIEM I UŻYTKOWANIEM 5 1. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu właściwego hasła. 2. Użytkownik odpowiedzialny jest za wszystkie czynności wykonane przy użyciu hasła, którym się posługuje lub posługiwał. 3. System informatyczny przetwarzający dane osobowe jest skonfigurowany w sposób wymagający bezpieczne zarzadzanie hasłami użytkowników 1) hasto przydzielone użytkownikowi musi być zmienione po pierwszym udanym zalogowaniu się do systemu informatycznego przetwarzającego dane osobowe, 2) hasła są zmieniane przez użytkownika po upływie 30 dni od ostatniej zmiany lub system informatyczny wyposażony jest w mechanizm wymuszający zmianę hasła po upływie 30 dni od dnia ostatniej zmiany hasła, 4. Hasło: 1) powinno składać się z co najmniej 6 znaków, 2) powinno zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. 5. Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym posiadają własne konta administracyjne, do których mają przydzielone hasło, przy czym zasady zarządzania hasłami są analogiczne, jak w przypadku haseł użytkowników. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU 6 1. Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem informatycznym oraz w trakcie pracy każdy pracownik obowiązany jest do zwrócenia uwagi, czy nie wystąpiły symptomy mogące świadczyć o naruszeniu ochrony danych osobowych. 2. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje wprowadzenie hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu.

14 3. Zmianę użytkownika stacji roboczej każdorazowo musi poprzedzać wylogowanie się poprzedniego użytkownika. 4. Niedopuszczalne jest by dwóch lub większa liczba użytkowników wykorzystywała wspólnie jedno konto użytkownika. 5. W przypadku, nagłego opuszczenia stanowiska lub, gdy przerwa w pracy na stacji roboczej trwa dłużej niż 5 minut użytkownik obowiązany jest zablokować stacje roboczą, sprawdzić czy nie zostały pozostawione bez zamknięcia nośniki informacji zawierające dane osobowe. 6. W pomieszczeniach, w których przetwarzane są dane i w których jednocześnie mogą przebywać osoby postronne, monitory stanowisk dostępu do danych powinny być ustawione w taki sposób, żeby uniemożliwiały tym osobom wgląd w dane. 7. Zakończenie pracy użytkownika w systemie informatycznym obejmuje wylogowanie się użytkownika z aplikacji. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA 7 1. Dane osobowe przetwarzane w systemie informatycznym podlegają zabezpieczeniu poprzez tworzenie kopii zapasowych. 2. Za proces tworzenia kopii zapasowych odpowiada ASI. 3. W przypadku lokalnego przetwarzania danych osobowych na stacjach roboczych użytkownicy systemu informatycznego zobowiązani są do sporządzania kopii zapasowych baz danych na nośniku wymiennym i ich przechowywanie w miejscu wskazanym przez ASI. 4. Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzającym dane osobowe tworzone są każdorazowo, w przypadku wprowadzenia lub modyfikacji danych. 5. Do tworzenia kopii zapasowych wykorzystywane są dedykowane do tego celu urządzenia wchodzące w skład systemu informatycznego na nośnikach wymiennych adekwatnych do rodzaju urządzenia. 6. W przypadku przechowywania kopii zapasowych przez okres dłuższy niż pół roku, wszystkie kopie zapasowe zbiorów danych osobowych, aplikacji przetwarzających dane osobowe oraz danych konfiguracyjnych systemu informatycznego przetwarzającego dane osobowe, których to dotyczy muszą być okresowo (co najmniej raz na pół roku) sprawdzane pod względem ich dalszej przydatności. 7. Czynności, o których mowa w ust. 6 wykonuje ASI, który z przeprowadzonego testu systemu sporządza krótką notatkę uwzględniającą datę testu oraz jego rezultat (kopię notatki przekazuje ABI). 8. Nośniki kopii zapasowych, które zostały wycofane z użycia, jeśli jest to możliwe, należy pozbawić zapisanych danych za pomocą specjalnego oprogramowania do bezpiecznego usuwania zapisanych danych; w przeciwnym wypadku podlegają fizycznemu zniszczeniu z wykorzystaniem metod adekwatnych do typu nośnika, w sposób uniemożliwiający odczytanie zapisanych na nich danych.

15 SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE ORAZ KOPII ZAPASOWYCH 8 1. Nośniki danych w postaci elektronicznej powinny być zabezpieczone przed dostępem osób nieuprawnionych, nieautoryzowaną modyfikacją i zniszczeniem. 2. Dane osobowe mogą być zapisywane na nośnikach przenośnych w przypadku tworzenia kopii zapasowych lub, gdy istnieje konieczność przeniesienia tych danych w postaci elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione, niemożliwe lub zbyt niebezpieczne. 3. Nośniki danych osobowych powinny być przechowywane w zamkniętych szafach wewnątrz obszaru przeznaczonego do przetwarzania danych osobowych i nie powinny być bez uzasadnionej przyczyny wynoszone poza ten obszar. 4. Przekazywanie nośników danych osobowych poza budynek ośrodka powinno odbywać się za wiedzą ABI. 5. W przypadku, gdy nośnik danych osobowych nie jest dłużej potrzebny, należy przeprowadzić zniszczenie nośnika lub usuniecie danych z nośnika. 6. W przypadku, gdy kopia zapasowa nie jest dłużej potrzebna, należy przeprowadzić jej zniszczenie tub usunięcie danych z nośnika. SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, O KTÓRYM MOWA W PKT III ZAŁĄCZNIKA DO ROZPORZĄDZENIA 9 1. W celu przeciwdziałania zagrożeniom systemów informatycznych stosuje się następujące zabezpieczenia: 1) autoryzacja użytkowników przy zachowaniu odpowiedniego poziomu komplikacji haseł dostępu, 2) stosowanie odpowiedniej ochrony antywirusowej na stacjach roboczych wykorzystywanych do przetwarzania danych osobowych. 2. System antywirusowy powinien być skonfigurowany w następujący sposób: 1) rezydentny monitor antywirusowy (uruchomiony w pamięci operacyjnej stacji roboczej) powinien być stale włączony, 2) antywirusowy skaner ruchu internetowego powinien być stale włączony, 3) monitor zapewniający ochronę przed wirusami makr w dokumentach MS Office powinien być stale włączony, 4) skaner poczty elektronicznej powinien być stale włączony. 3. Systemy antywirusowe zainstalowane na stacjach roboczych powinny być skonfigurowane w sposób następujący: 1) zablokowanie możliwości ingerencji użytkownika w ustawienia oprogramowania antywirusowego 2) możliwość centralnego uaktualnienia wzorców wirusów,

16 3) skanowanie zawartości nośników wymiennych odczytywanych na stacji roboczej pracującej w systemie informatycznym pod względem potencjalnie niebezpiecznych kodów - przy każdym odczycie, 4) skanowanie informacji przesyłanych do systemu informatycznego pod kątem pojawienia się niebezpiecznych kodów - na bieżąco. 4. W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów przez system antywirusowy ASI lub inny wyznaczony pracownik powinien podjęć działania zmierzające do usunięci zagrożenia, w szczególności 1) usuniecie zainfekowanych plików, o ile jest to akceptowalne ze względu na prawidłowe funkcjonowanie systemu informatycznego, 2) odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane zapisane na kopiach nie są zainfekowane, 3) samodzielną ingerencję w zawartość pliku - w zależności od posiadanych kwalifikacji lub skonsultowanie się z zewnętrznymi ekspertami. 5. System informatyczny przetwarzający dane osobowe powinien posiadać mechanizmy pozwalające na zabezpieczenie ich przed utratą lub wystąpieniem zafałszowania w wyniku awarii zasilania lub zakłóceń w sieci zasilającej, w związku, z czym stacja robocza, na której użytkowany jest system winna być wyposażona, w co najmniej: 1) filtry zabezpieczające przed skutkami przepięcia, 2) zasilacze awaryjne serwerów baz danych, serwerów aplikacji oraz urządzeń pamięci masowej pozwalające na bezpieczne zamkniecie aplikacji przetwarzających dane osobowe w sposób umożliwiający poprawne zapisanie przetwarzanych danych. SPOSÓB REALIZACJI WYMOGÓW, O KTÓRYCH MOWA W 7 UST. 1 PKT 4 ROZPORZĄDZENIA System informatyczny przetwarzający dane osobowe musi posiadać mechanizm uwierzytelniający użytkownika, wykorzystujący identyfikator i hasło. 2. System informatyczny powinien posiadać mechanizmy pozwalające na określenie uprawnień użytkownika do korzystania z przetwarzanych informacji, w szczególności np. Prawo do odczytu danych, modyfikacji istniejących danych, tworzenia nowych danych oraz usuwania danych. 3. System informatyczny przetwarzający dane osobowe musi posiadać mechanizmy pozwalające na odnotowanie faktu wykonania operacji na danych, w szczególności zapis ten powinien obejmować: 1) rozpoczęcie i zakończenie pracy przez użytkownika systemu, 2) operacje wykonywane na przetwarzanych danych, a w szczególności ich dodanie, modyfikacje oraz usunięcie, 3) przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom nie będącym właścicielem ani współwłaścicielem systemu, 4) nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych, 5) błędy w działaniu systemu informatycznego podczas pracy danego użytkownika. 4. Zapis działań użytkownika uwzględnia: 1) identyfikator użytkownika,

17 2) datę i czas, w którym zdarzenie miało miejsce, 3) rodzaj zdarzenia, 4) określenie informacji, których zdarzenie dotyczy (identyfikatory rekordów). 5. System informatyczny powinien zapewnić zapis faktu przekazania danych osobowych z uwzględnieniem: 1) identyfikatora osoby, której dane dotyczą, 2) osoby przesyłającej dane, 3) odbiorcy danych, 4) zakresu przekazanych danych osobowych. 5) daty operacji. 6) sposobu przekazania danych. PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH NO PRZETWARZANIA DANYCH Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe muszą uwzględniać wymagany poziom zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych. 2. Prace serwisowe na terenie izby prowadzone w tym zakresie mogą być wykonywane wyłącznie przez pracowników ośrodka lub przez upoważnionych przedstawicieli wykonawców zewnętrznych znajdujących się w towarzystwie pracowników ośrodka. 3. Przed rozpoczęciem prac serwisowych przez osoby spoza izby konieczne jest potwierdzenie tożsamości serwisantów. 4. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie, 2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożlwiający ich odzyskanie, 3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. Dyrektor Ośrodka Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z/s w Cieplewie /-/ Grzegorz Antoni Cwaliński

18 Załącznik nr 1. Wzór wniosku o wydanie upoważnienia i rejestrację użytkownika systemu informatycznego Administrator Bezpieczeństwa Informacji w Ośrodku Kultury, Sportu i Rekreacji Gminy Pruszcz Gdański z/s w Cieplewie Wniosek o wydanie upoważnienia i rejestrację użytkownika systemu informatycznego imię i nazwisko: nazwa zbioru danych osobowych oraz nazwa systemu informatycznego: zakres upoważnienia: data, z jaką upoważnienie ma być wydane: okres ważności upoważnienia: Data, pieczęć i podpis wnioskodawcy