Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Transkrypt

1 Bezpieczne dane - dobre praktyki w szkole Dyrektor Szkoły

2 DANE UCZNIOWIE RODZICE ABSOLWENCI PRACOWNICY EMERYCI RENCIŚCI KONTRACHENCI INF. BIEŻĄCE

3 KONTROLA ZARZĄDCZA ryzyko ryzyko ryzyko ryzyko ryzyko dostępu do informacji przez osoby niepowołane

4 Cel: Ryzyko dostępu do informacji przez osoby niepowołane - bezpieczeństwo uczniów, informacji o nich, a także bezpieczeństwo inf. o pozostałych zasobach (rodzice, pracownicy ) Skutki: - kradzież informacji - sankcje prawne i dyscyplinarne - utrata reputacji Szkoły - utrata zaufania wobec Szkoły - niepożądane zainteresowanie mediów = społeczna katastrofa dyrektora i Szkoły!!!

5 Przyczyny: - niewłaściwe zarządzanie, brak procedur (instrukcji, regulaminów itp.) - niewłaściwe (nieetyczne) postępowanie pracowników - brak indywidualnych haseł dostępu (IHD) lub ich niewłaściwe udostępnianie - brak zabezpieczeń, niewłaściwe zabezpieczanie danych osobowych i informatycznych - niewłaściwe zabezpieczanie dokumentów - brak świadomości w zakresie odpowiedzialności pracowników w obszarze dotyczącym zachowania w tajemnicy informacji poufnych lub wrażliwych (szkolenia) - niewłaściwy nadzór

6 Wnioski: KONTROLA ZARZĄDCZA 1. Dyrektor określił mechanizmy służące zapewnieniu bezpieczeństwa zgromadzonych danych i systemów informatycznych 2. System zabezpieczeń obejmuje zabezpieczenia fizyczne i logiczne - monitoring wizyjny i na czujniki ruchu (zewn. i wewn., firma ochroniarska) - wzmocnienie drzwi, kraty, rolety - system haseł dostępu - aktualizacja oprogramowania; oprogramowania antywirusowe - tworzenie kopii zapasowych - zobowiązania pracowników do przestrzegania tajemnicy służbowej określonej w odrębnych przepisach

7 Brak: 3. Polityki bezpieczeństwa danych osobowych 4. Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

8 Polityka bezpieczeństwa danych osobowych Polityka bezpieczeństwa danych osobowych powstała w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

9 Zawartość: 1. Wykaz budynków, pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 2. Wykaz zbiorów danych i programów do przetwarzania 3. Opis struktury zbiorów danych 4. Sposób przepływu danych pomiędzy poszczególnymi systemami 5. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

10 Ad.5 - upoważnienia do przetwarzania danych osobowych - rejestr osób upoważnionych do przetwarzania danych osobowych - identyfikator użytkownika i hasło dostępu - użytkownik ma obowiązek zablokowania stacji roboczej lub wylogowania się z systemu informatycznego służącego do przetwarzania danych osobowych w przypadku czasowego opuszczenia stanowiska pracy - zakończenie pracy w systemie służącym do przetwarzania danych osobowych poprzedzone jest zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych, takich jak dyskietki, płyty CD i inne, zawierających dane osobowe

11 - zakaz wynoszenia poza pomieszczenia stanowiące obszar przetwarzania danych osobowych elektronicznych nośników informacji zawierających dane osobowe oraz kopie zapasowe - w przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych - ekrany komputerów umieszczone są w sposób uniemożliwiający obserwację przetwarzania danych przez osoby postronne

12 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH Opracowana w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

13 Instrukcja określa: 1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych oraz wskazanie osoby odpowiedzialnej za te czynności 2. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem 3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych

14 4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania 5. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych 6. Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych

15 7. Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia 8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych 9. Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych

16 Ad.2. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem identyfikator.. h a s ł o

17 Zasady: hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne

18 hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury hasło nie może być jednakowe z identyfikatorem użytkownika hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika

19 hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie musi być zmieniane nie rzadziej niż co 30 dni Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie. Zmiana hasła po jego deklarowanym okresie ważności jest wymuszana przez system informatyczny służący do przetwarzania danych osobowych.

20

21 matematyka j. polski edukacja w. informatyka dyrektor wicedyrektor ADMINISTRATOR dyrektor wicedyrektor historia j. angielski przyroda ppp

22 Nadzór, kontrola planowa wyrywkowa poawaryjna częsta u pracowników nowozatrudnionych (nauczyciele, A i O)

23 Dziękuję za uwagę mgr Dyrektor Szkoły Podstawowej nr 18 w Rybniku

24