Polityka bezpieczeństwa

Transkrypt

1 Polityka bezpieczeństwa w Zespole Szkół Specjalnych im. Janusza Korczaka W Gliwicach. Sporządziła Beata Lemczak Zatwierdził Tomasz Ocieczek Data wdrożenia r. 1

2 I. Informacje podstawowe Cel utworzenia dokumentu Terminologia Poziom bezpieczeństwa Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe Struktura zbiorów i zawartość pól informacyjnych II. Administrator Danych Administrator danych:... 5 III. Pracownicy Pracownik: Administrator Bezpieczeństwa Informacji - ABI: Administrator Systemu Informatycznego:... 7 IV. Zbiory danych Rejestracja zbiorów... 8 V. Udostępnienie lub powierzenie danych osobowych Udostępnianie danych osobowych Obowiązek informacyjny Podstawy odmowy udzielenia informacji VI. Zabezpieczenie ciągłości działania Zasilanie Kopie bezpieczeństwa Procedury na wypadek zagrożenia VIII. Sprawdzenia zgodności przetwarzania danych osobowych z przepisami Kontrole ABI...11 IX. Wymagania dla systemu informatycznego Wymagania dla systemu informatycznego Wymagania dla oprogramowania X. Postępowanie w przypadku naruszenia bezpieczeństwa danych Zarządzanie incydentami Stwierdzone naruszenia bezpieczeństwa Zgłaszanie luk w bezpieczeństwie systemu Przegląd dokumentacji...12 XI. Załączniki

3 Polityka Bezpieczeństwa Dokumentacja została opracowana na podstawie poniższych aktów prawnych. 1. Ustawa o ochronie danych osobowych z dnia 29 sierpnia Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 3. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r.w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. I. Informacje podstawowe 1. Cel utworzenia dokumentu Polityka bezpieczeństwa zostaje wprowadzona w celu ustalenia zasad służących zapewnieniu bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół Specjalnych w Gliwicach przez zapewnienie bezpieczeństwa przetwarzania danych osobowych rozumie się zapewnienie, że dane są: 1) przetwarzane w sposób uniemożliwiający pozyskanie ich w sposób niekontrolowany przez osoby nieuprawnione, 2) zabezpieczone przed utratą, nieautoryzowanym ujawnieniem lub niekontrolowaną zmianą, 3) dostępne w stopniu pozwalającym na ciągłość pracy. 2. Terminologia 1) ADO - Administrator Danych Dyrektor Zespołu Szkół Specjalnych w Gliwicach 2) ASI - administrator systemu informatycznego osoba odpowiedzialna za poprawne działanie oprogramowania wykorzystywanego w Zespole Szkół Specjalnych w Gliwicach w przypisanym jej zakresie, posiadająca możliwość nadawania uprawnień w systemie informatycznym, 3) autoryzowane oprogramowanie oprogramowanie dopuszczone do eksploatacji w Zespole Szkół Specjalnych w Gliwicach przez ASI. Przyjmuje się, że każda aplikacja zainstalowana przez ASI jest autoryzowana, 4) dane zbiory danych osobowych, 5) GIODO Generalny Inspektor Ochrony Danych Osobowych, 6) hasło ciąg znaków, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, służący, w połączeniu z identyfikatorem użytkownika, do uwierzytelnienia użytkownika w systemie informatycznym, 3

4 7) identyfikator użytkownika ciąg znaków literowych i cyfrowych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 8) integralność zapewnienie, że dane nie zostały poddane przetwarzaniu w sposób nieautoryzowany, 9) konto użytkownika przestrzeń w systemie informatycznym przypisana konkretnej osobie i opatrzona hasłem. Nazwa konta użytkownika stanowi identyfikator użytkownika, 10) polityka bezpieczeństwa niniejszy dokument Polityka bezpieczeństwa wraz z wszystkimi załącznikami, 11) poufność danych zapewnienie, że dane nie są udostępniane nieupoważnionym osobom, 12) przetwarzanie danych osobowych jakiekolwiek działania, operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, zmienianie, udostępnianie i usuwanie, 13) rozliczalność możliwość jednoznacznego przypisania działań związanych z przetwarzaniem danych osobie, która te działania wykonała, 14) system informatyczny zasoby informatyczne służące do przetwarzania danych, 15) użytkownik osoba, której przydzielono identyfikator użytkownika, hasło i uprawnienia do systemu informatycznego, 16) zbiór danych - każdy posiadający strukturę zestaw danych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, definicja dotyczy zbiorów zarówno w formie dokumentów elektronicznych jak i papierowych. 3. Poziom bezpieczeństwa W Zespole Szkół Specjalnych w Gliwicach obowiązuje WYSOKI poziom bezpieczeństwa w rozumieniu 6 ust. 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 4

5 4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Na obszar przetwarzania danych w Zespole Szkół Specjalnych w Gliwicach składają się: Lp. Budynek Adres Nr pomieszczenia Wymagany poziom bezpieczeństwa 1. Budynek szkoły Gliwice, ul. Dolnej Wsi 74 Wszystkie pomieszczenia z wyjątkiem korytarzy Wysoki Wymienione lokalizacje podlegają ochronie. 5. Struktura zbiorów i zawartość pól informacyjnych. 1) Wykaz zbiorów danych osobowych wraz z opisem zawartości pól informacyjnych, zastosowanego oprogramowania i struktury zbiorów prowadzi ABI i stanowi on załącznik nr 1 do niniejszej dokumentacji. 2) Integralną częścią wykazu zbiorów jest dokumentacja papierowa każdego zbioru danych przechowywana przez ABI. 3) Dokumentacja określająca sposób przepływu danych pomiędzy systemami, jeśli ma zastosowanie znajduje się w papierowej dokumentacji zbiorów. II. Administrator Danych 6. Administrator danych: 1) wspiera działania zmierzające do jak najlepszego zabezpieczenia danych i odpowiada za zabezpieczenie obszaru przetwarzania danych 2) zapewnia środki techniczne, organizacyjne i lokalowe pozwalające na bezpieczne i świadome przetwarzanie danych, 3) reaguje na zgłoszone przez pracowników informacje o zagrożeniach bezpieczeństwa informacji, 4) zapewnia każdej osobie, przed rozpoczęciem pracy, przeszkolenie z zakresu zasad bezpieczeństwa informacji wynikających z przepisów ustawy oraz polityki bezpieczeństwa w zakresie dotyczącym zakresu obowiązków oraz stanowiska pracy, 5) zapewnia zapoznanie każdego pracownika z możliwymi konsekwencjami łamania przepisów ustawy oraz postanowień polityki bezpieczeństwa, 6) informuje ASI o remontach, zmianach lokalizacji sprzętu informatycznego używanego do przetwarzania danych oraz o wszelkich wierceniach w ścianach, 7) odpowiada za opracowanie, wdrożenie i realizację polityki bezpieczeństwa, 8) wyznacza Administratora Bezpieczeństwa Informacji ABI, 9) upoważnia wybranych pracowników do przetwarzania danych osobowych, 5

6 III. Pracownicy 10) Prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. 7. Pracownik (dotyczy nauczycieli, kierownika administracyjnego, głównego księgowego, sekretarza szkoły, specjalisty, pedagoga, psychologa, bibliotekarza): 1) zobowiązany jest do potwierdzenia faktu zapoznania z ustawą, oraz dokumentacją bezpieczeństwa w zakresie odpowiadającym zajmowanemu stanowisku, 2) posiada upoważnienie do przetwarzania danych i dba o jego aktualność, 3) jest zobowiązany do odbycia wstępnego szkolenia z zakresu ochrony danych osobowych, cyklicznych szkoleń z zakresu ochrony danych osobowych co najmniej raz na 5 lat oraz korzystania z systemu informatycznego, 4) odpowiada za zabezpieczenie dokumentów oraz systemu informatycznego w zakresie realizowanych zadań, 5) jest zobowiązany do zachowania w tajemnicy informacji pozyskanych w związku z wykonywaną pracą oraz przetwarzanymi danymi, 6) bez zgody swojego przełożonego nie może wynosić, przekazywać w jakiejkolwiek formie i w jakikolwiek sposób dokumentów i danych poza budynek Zespołu Szkół Specjalnych w Gliwicach, 7) zobowiązany jest do natychmiastowego zgłaszania przełożonemu stwierdzonego nieautoryzowanego dostępu do pomieszczeń, biurek lub szaf. 8) Pracownik będący użytkownikiem systemu informatycznego jest zobowiązany do: a) zabezpieczenia własnego konta użytkownika systemu informatycznego poprzez: zmianę hasła co najmniej raz na miesiąc oraz za każdym razem, kiedy zaistnieje podejrzenie zagrożenia poufności hasła, używania wygaszacza ekranu chronionego hasłem i aktywizującego się po 5 minutach bezczynności użytkownika, zabezpieczenie stanowiska komputerowego na czas nieobecności, wyłączenie stanowiska komputerowego po zakończeniu pracy, niedopuszczanie do pracy innych użytkowników na swoim koncie użytkownika, zabezpieczenie stanowiska komputerowego przed dostępem osób postronnych, b) nieinstalowania oprogramowania chyba, ze wynika to z jego zakresu obowiązków, c) nieużywania systemu informatycznego lub jego części i urządzeń do celów niezwiązanych z wykonywaną pracą, d) niepodłączania żadnych urządzeń do stanowiska komputerowego bez zgody ASI, e) zgłaszania naruszeń, włamań, podejrzeń o wykradaniu lub niekontrolowanym wypływie informacji z systemu informatycznego. 6

7 f) nadzorowania drukowanych i powielanych dokumentów zawierających dane osobowe 9) Pracownik korzystający z komputera przenośnego oraz innych przenośnych nośników w celu przetwarzania danych osobowych zobowiązany jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed ich zniszczeniem. 10) Pracownik po godzinach pracy może przebywać w Zespole Szkół Specjalnych tylko za zgodą dyrektora. 8. Administrator Bezpieczeństwa Informacji - ABI: 1) Odpowiada za przetwarzanie danych osobowych w Zespole Szkół Specjalnych w Gliwicach zgodnie z wymaganiami przepisów prawa, 2) Odpowiada za zaznajomienie pracowników Zespołu Szkół Specjalnych w Gliwicach. z przepisami dotyczącymi ochrony danych osobowych, 3) prowadzi nadzór nad aktualnością dokumentacji bezpieczeństwa, 4) prowadzi rejestr zbiorów danych osobowych przetwarzanych w Zespole Szkół Specjalnych w Gliwicach, 5) przechowuje zaświadczenia o zarejestrowaniu zbioru w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych, 6) przeprowadza proces rejestracji zbiorów w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych podlegających temu obowiązkowi, 7) przeprowadza proces wykreślenia zbiorów z ogólnokrajowego, jawnego rejestru zbiorów danych osobowych, 8) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, 9) wykonuje raz w roku sprawdzenia planowe: a) opracowuje plan sprawdzenia i przedstawia go ADO, b) opracowuje sprawozdanie ze sprawdzenia i przedstawia go ADO w wymaganym przepisami terminie, c) przechowuje dokumentację sprawdzeń. 10) w razie potrzeby wykonuje sprawdzenia pozaplanowe oraz sporządza sprawozdania w tym zakresie, 11) prowadzi szkolenia nowych pracowników z zakresu podstawowych zasad bezpieczeństwa danych osobowych, oraz szkolenia cykliczne co najmniej raz na 5 lat 12) udziela konsultacji pracownikom z zakresu udostępniania i ochrony danych osobowych, 13) prowadzi korespondencję z GIODO w zakresie bezpieczeństwa danych osobowych. 9. Administrator Systemu Informatycznego: 1) odpowiada za instalację, konfigurację i zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania oraz dostępem osób nieupoważnionych, 7

8 2) odpowiada za poprawność działania systemu informatycznego, 3) informuje ADO o zasobach niezbędnych do poprawnej pracy systemu informatycznego, koniecznych zakupach materiałów eksploatacyjnych, części zamiennych itp. 4) zapewnia nadzór nad przydzielaniem kont użytkowników, ich identyfikatorów, za prowadzenie ewidencji użytkowników systemów informatycznych oraz za odbieranie uprawnień, 5) prowadzi nadzór nad realizacją wymogu zmiany haseł przez użytkowników w systemach operacyjnych, 6) prowadzi nadzór nad autoryzowanym oprogramowaniem w zakresie licencji, 7) wyraża zgodę na instalację i prowadzi nadzór nad oprogramowaniem niestandardowym instalowanym na wniosek pracowników, 8) odpowiada za zabezpieczenie sieci informatycznej w pomieszczeniach remontowanych, 9) Informuje ABI o wszelkich zmianach w systemie informatycznym, 10) współpracuje z ABI w zakresie: a) informowania o wszelkich awariach systemu informatycznego mogących mieć wpływ na bezpieczeństwo danych, b) przygotowywania zmian w polityce bezpieczeństwa, c) corocznych kontroli realizacji założeń polityki bezpieczeństwa, d) rejestrowania zbiorów danych osobowych w ogólnokrajowym jawnym rejestrze zbiorów danych osobowych. e) zapewnienia przeszkolenia osób przetwarzających dane ze szczególnym uwzględnieniem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, wykonywania przynajmniej raz w roku przeglądu bezpieczeństwa informacji. IV. Zbiory danych 10. Rejestracja zbiorów 1) ABI rejestruje zbiór w rejestrze zbiorów na wniosek ADO. W przypadku zbiorów podlegających obowiązkowi rejestracji w ogólnokrajowym jawnym rejestrze zbiorów danych osobowych, przygotowuje i wysyła wniosek o zarejestrowanie zbioru. 2) Dane w zbiorach można przetwarzać: a) w przypadku zbiorów nie podlegających obowiązkowi zgłoszenia do rejestracji w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych po zarejestrowaniu zbioru w rejestrze zbiorów, 8

9 b) w przypadku zbiorów podlegających obowiązkowi zgłoszenia do rejestracji w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych - po zarejestrowaniu zbioru. 3) Na wniosek ADO, ABI sporządza i wysyła do GIODO pisma z prośbą o wyrejestrowanie zbiorów z ogólnokrajowego, jawnego rejestru zbiorów danych osobowych. V. Udostępnienie lub powierzenie danych osobowych 11. Udostępnianie danych osobowych 1) Każdy podmiot zwracający się do Zespołu Szkół Specjalnych w Gliwicach.z wnioskiem o udostępnienie danych osobowych powinien przedstawić podstawę prawną upoważniającą go do uzyskania takich informacji. 2) Powierzenie może nastąpić tylko i wyłącznie poprzez podpisanie umowy powierzenia przetwarzania danych pomiędzy podmiotem wnioskującym a ADO. Umowa powinna zawierać co najmniej: a) nazwę podmiotu, któremu powierzane są dane oraz nazwisko, imię oraz stanowisko osoby reprezentującej podmiot, b) nazwę powierzonego zbioru, c) cel powierzenia danych, d) datę powierzenia danych, e) oświadczenie o stosowaniu przepisów ustawy o ochronie danych osobowych, f) zastrzeżenie konieczności współpracy ABI wykonawcy i ABI Zespołu Szkół Specjalnych w Gliwicach, g) datę wygaśnięcia umowy, h) opis postępowania z danymi po wygaśnięciu umowy, i) spis osób zatrudnionych przy przetwarzaniu zbioru w zakresie: nazwisko, imię, numer PESEL, stanowisko, 3) Dla każdego powierzanego do przetwarzania zbioru powinna zostać podpisana oddzielna umowa powierzenia. Każdą umowę powierzenia danych osobowych parafuje ABI, podpisuje ADO, a w przypadku powierzenia zbiorów w postaci elektronicznej, umowę parafuje ASI. Umowy wykonuje się w trzech kopiach, po jednej dla: a) ADO, b) podmiotu, któremu powierza się dane, c) ABI. 4) Podmiotom, które nie wdrożyły polityki bezpieczeństwa nie powierza się przetwarzania danych osobowych. 9

10 12. Obowiązek informacyjny. 1) Administrator Danych ma obowiązek udzielenia na wniosek osoby, której dane dotyczą wyczerpującej informacji na temat: a) adresu siedziby i pełnej nazwy administratora danych, b) źródeł oraz sposobu pozyskania danych, c) celu i zakresu przetwarzania danych, d) informacji od kiedy dane są przetwarzane, e) zakresu udostępnienia danych innym podmiotom. 2) Wniosek o udzielenie takiej informacji kierowany jest do ABI, który po zebraniu informacji, przygotowuje odpowiedź i przesyła wnioskującemu. 13. Podstawy odmowy udzielenia informacji. Administrator Danych może odmówić udostępnienia danych w przypadku gdy: 1) wnioskodawca nie przedstawił podstawy prawnej upoważniającej go do uzyskania informacji, 2) mogłoby to spowodować ujawnienie wiadomości zawierających informacje niejawne, 3) mogłoby to spowodować zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 4) mogłoby to spowodować zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 5) mogłoby to spowodować istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób, 6) przepisy szczególne przewidują taką odmowę. VI. Zabezpieczenie ciągłości działania. 14. Zasilanie. Zabezpieczenie ciągłości zasilania systemów informatycznych realizowane jest poprzez zastosowanie niezależnych źródeł zasilania (UPS). Niezależne źródło zasilania zapewnia działanie serwerów systemów informatycznych przez co najmniej 20 minut. 15. Kopie bezpieczeństwa. 1) Wykonanie kopii bezpieczeństwa zbiorów danych przetwarzanych w systemie informatycznym leży w zakresie odpowiedzialności ASI. 2) Sposób wykonywania, zakres, czas i miejsce przechowywania i sposób weryfikacji kopii zapasowych określono w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 3) Tryb postępowania podczas wykonywania kopii bezpieczeństwa oraz zasady przechowywania kopii zapasowych opisano w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 10

11 16. Procedury na wypadek zagrożenia. W przypadku wystąpienia zagrożeń zastosowanie mają procedury wdrożone w Zespole Szkół Specjalnych w Gliwicach VIII. Sprawdzenia zgodności przetwarzania danych osobowych z przepisami. 17. Kontrole ABI 1) ABI wykonuje raz w roku planowe sprawdzenie zgodności przetwarzania danych osobowych z przepisami. Zakres sprawdzenia opracowuje ABI i przedstawia ADO do 31 marca każdego roku. Po wykonaniu sprawdzenia ABI przedstawia sprawozdanie w terminie do 30 dni od zakończenia sprawdzenia nie później jednak niż do dnia 31 grudnia każdego roku. 2) Raz na 5 lat ABI wykonuje sprawdzenie w odniesieniu do systemu informatycznego Zespołu Szkół Specjalnych w Gliwicach 3) Sprawdzeniu podlegają wszystkie obszary związane z bezpieczeństwem danych osobowych ze szczególnym uwzględnieniem: a) upoważnień do przetwarzania danych osobowych, b) ewidencji osób upoważnionych do przetwarzania danych osobowych, c) aktualności rejestru zbiorów danych osobowych, d) zabezpieczenia zbiorów danych tradycyjnych i elektronicznych, e) stanowisk pracy osób przetwarzających dane osobowe. IX. Wymagania dla systemu informatycznego. 18. Wymagania dla systemu informatycznego. System informatyczny zastosowany w Zespole Szkół Specjalnych w Gliwicach 1) zapewnia dostęp do danych tylko zarejestrowanym użytkownikom, 2) wymusza zmianę hasła dostępu co najmniej raz na miesiąc oraz nadzoruje zasady tworzenia haseł określone w przepisach, 3) zapewnia stosowanie wygaszaczy ekranów z czasem aktywacji 5 minut, 4) automatycznie dokonuje aktualizacji czasu na stanowiskach komputerowych, 5) ogranicza możliwość instalowania oprogramowania i urządzeń przez nieuprawnione osoby. 19. Wymagania dla oprogramowania. Zastosowane oprogramowanie zapewnia: 1) identyfikowalność użytkownika systemu informatycznego, 2) rozliczalność poprzez odnotowywanie zmian we wprowadzonych danych do systemu 11

12 X. Postępowanie w przypadku naruszenia bezpieczeństwa danych Zarządzanie incydentami. 20. Stwierdzone naruszenia bezpieczeństwa. 1) W przypadku stwierdzenia naruszenia bezpieczeństwa danych pracownik zobowiązany jest do zabezpieczenia miejsca, w którym doszło do naruszenia danych oraz poinformowania przełożonego lub bezpośrednio ABI. 2) ABI przygotowuje notatkę ze zdarzenia i przekazuje ją ADO, wraz z propozycją rozwiązania problemu. ADO podejmuje decyzję o dalszym przebiegu postępowania. 3) Użytkownik systemu informatycznego jest zobowiązany do poinformowania pracownika ASI lub ABI o każdym przypadku niewłaściwego funkcjonowania systemu informatycznego. W przypadku wadliwego działania systemu informatycznego użytkowników obowiązuje całkowity zakaz wykonywania jakichkolwiek napraw. Do diagnozowania usterki lub wadliwego działania systemu informatycznego upoważniony jest tylko ASI. 4) ASI może na polecenie ADO lub ABI, zabezpieczyć komputer pracownika Zespołu Szkół Specjalnych w Gliwicach w celu dokonania szczegółowego badania. 21. Zgłaszanie luk w bezpieczeństwie systemu. Każdy pracownik jest zobowiązany do natychmiastowego zgłaszania swoim przełożonym lub bezpośrednio do ABI wszelkich zauważonych słabych stron systemu zabezpieczeń, potencjalnych zagrożeń dla przetwarzanych informacji. 22. Przegląd dokumentacji 1) Polityka bezpieczeństwa podlega przeglądowi ABI co najmniej raz w roku. 2) Analizę ryzyka przeprowadza ABI/ASI/Dyrektor co najmniej raz w roku oraz po każdej zmianie warunków bezpieczeństwa informacji. 3) Dziennik pracy systemów podlega przeglądowi ABI co najmniej raz na 5 lat. XI. Załączniki. 1) Wykaz zbiorów 2) Analiza ryzyka 3) Wzór wniosku rejestracyjnego 4) Wzór ewidencji osób upoważnionych 5) Wzór raportu z wystąpienia incydentu. 12