ZARZDZENIE NR 5/2013. Dyrektora Zarzdu Dróg Powiatowych w Biłgoraju z dnia roku

Transkrypt

1 ZARZDZENIE NR 5/2013 Dyrektora Zarzdu Dróg Powiatowych w Biłgoraju z dnia roku w sprawie ochrony danych osobowych w Zarzdzie Dróg Powiatowych w Biłgoraju Na podstawie art. 36 ust 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 z pón. Zm.) oraz 3 rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zarzdzam, co nastpuje: 1 Wprowadzam nastpujc dokumentacj opisujc sposób przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych w ZDP w Biłgoraju.: 1. Polityk bezpieczestwa w zakresie zarzdzania systemami informatycznymi słucymi do przetwarzania danych osobowych stanowic załcznik Nr 1 do niniejszego zarzdzenia, 2. Instrukcj zarzdzania systemem informatycznym słucym do przetwarzanych danych osobowych stanowic załcznik Nr 2 do niniejszego zarzdzenia Wyznaczam Pani Iwon Marzec na Administratora Bezpieczestwa Informacji (ABI) oraz Administratora Systemów Informatycznych (ASI) w Zarzdzie Dróg Powiatowych w Biłgoraju. 2. Zobowizuj wszystkich pracowników Zarzdu Dróg Powiatowych w Biłgoraju (z wyjtkiem zatrudnionych na stanowiskach: robotnik drogowy oraz robotnik drogowy wykwalifikowany) do przestrzegania zasad zawartych w niniejszym Zarzdzeniu. 3 Zarzdzenie wchodzi w ycie z dniem podpisania. 1

2 Załcznik Nr 1 do Zarzdzenia Nr 5/2013 z dnia r. POLITYKA BEZPIECZESTWA W ZAKRESIE ZARZDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU I. Obszar, w którym przetwarzane s dane osobowe. 1. Obszar przetwarzania danych osobowych stanowi pomieszczenia Zarzdu Dróg Powiatowych w Biłgoraju, w dalszej treci dokumentu oznaczone ZDP, w których wykonywane s operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie z uyciem stacjonarnego sprztu komputerowego lub w formie kartotek, skorowidzów, ksig, wykazów i innych zbiorów ewidencyjnych. 2. Pomieszczenia, w których przetwarzane s dane osobowe, powinny by zamykane na czas nieobecnoci w nich osób zatrudnionych, w sposób uniemoliwiajcy dostp osób trzecich. Osoby postronne mog przebywa wewntrz wyej wymienionego obszaru jedynie w obecnoci osoby upowanionej do przetwarzania danych osobowych. W pomieszczeniach, w których przebywaj osoby postronne, monitory stanowisk dostpu powinny by ustawione w sposób uniemoliwiajcy wgld w dane osobom trzecim. II. Wykaz zbiorów danych osobowych. Identyfikacj zbiorów danych osobowych przetwarzanych w ZDP wraz ze wskazaniem programów zastosowanych do ich przetwarzania zawiera Załcznik Nr A do niniejszej Polityki Bezpieczestwa. III. Struktura zbiorów danych osobowych. Opis struktury zbiorów danych wskazujcy zawarto poszczególnych pól informacyjnych i powizania midzy nimi zawiera Załcznik Nr B do niniejszej Polityki Bezpieczestwa. IV. Sposób przepływu danych pomidzy poszczególnymi systemami. Sposób współpracy pomidzy rónymi systemami informatycznymi, stosowanymi w ZDP okrela Załcznik Nr C do niniejszej Polityki Bezpieczestwa. V. rodki techniczne i organizacyjne niezbdne dla zapewnienia bezpieczestwa przetwarzanych danych. 1. rodki ochrony fizycznej. 1) Budynek, w którym zlokalizowany jest obszar przetwarzania danych osobowych, jest chroniony przez firm monitorujc elektroniczne systemy sygnalizacji włamania. 2) Urzdzenia słuce do przetwarzania danych osobowych znajduj si w zamknitych pomieszczeniach. 2. rodki organizacyjne. 1) Nadzór nad przestrzeganiem zasad ochrony przetwarzanych danych osobowych sprawuje wyznaczony pracownik. Wyznaczony pracownik wykonuje zadania administratora danych osobowych polegajce na: 2

3 a) opracowaniu i aktualizacji Polityki Bezpieczestwa ; b) prowadzeniu wykazu zbiorów danych osobowych przetwarzanych w ZDP c) prowadzeniu ewidencji osób upowanionych do przetwarzania danych osobowych, zgodnie z formularzem stanowicym Załcznik Nr F do niniejszej Polityki Bezpieczestwa; d) prowadzeniu ewidencji osób zapoznanych z dokumentacj dotyczc ochrony danych osobowych, zgodnie z formularzem stanowicym Załcznik Nr H do niniejszej Polityki Bezpieczestwa; e) realizowaniu procedur zwizanych ze zgłaszaniem Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO)zbiorów danych osobowych podlegajcych rejestracji; f) przeprowadzaniu szkole z zakresu ochrony danych osobowych dla osób upowanionych do przetwarzania danych osobowych. 2) Administrator Bezpieczestwa Informacji nadzoruje zabezpieczenie przetwarzanych danych osobowych przed ich udostpnieniem osobom nieupowanionym, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz przed zmian, utrat, uszkodzeniem lub zniszczeniem, a ponadto wykonuje zadania administratora danych osobowych polegajce na: a) opracowaniu i aktualizacji Instrukcji zarzdzania systemem informatycznym, słucym do przetwarzania danych osobowych; b) dokonywaniu okresowej analizy zagroe dla bezpieczestwa danych osobowych oraz wdraaniu zmian w Polityce bezpieczestwa w celu zapewnienia właciwego poziomu ochrony przetwarzanych danych osobowych. 3) Do przetwarzania danych mog by dopuszczeni pracownicy ZDP posiadajcy upowanienie nadane przez Administratora Danych Osobowych: a) bezporedni przełoony pracownika kieruje do Administratora Bezpieczestwa Informacji wniosek o wydanie upowanienia do przetwarzania danych osobowych (załcznik Nr D) okrelajc: Dane uytkownika Zbiór danych osobowych Zakres przetwarzania danych osobowych. b) Administrator Bezpieczestwa Informacji przedkłada Administratorowi Danych Osobowych do akceptacji wniosek oraz upowanienie do przetwarzania danych osobowych załcznik Nr E. c) po zaakceptowaniu przez Administratora Danych Osobowych wniosku i wystawieniu upowanienia: Administrator Bezpieczestwa Informacji zapoznaje nowego uytkownika z Polityk Bezpieczestwa, Instrukcj zarzdzania systemami informatycznymi, Ustaw i Rozporzdzeniem oraz wprowadza uytkownika do ewidencji osób zapoznanych z dokumentacj (załcznik Nr H) oraz do ewidencji osób upowanionych do przetwarzania danych osobowych (załcznik Nr F) d) zapoznanie si z powyszymi regulacjami pracownik potwierdza Administratorowi Bezpieczestwa Informacji na owiadczeniu, którego wzór stanowi załcznik Nr G. 4) Modyfikacja lub odebranie pracownikowi upowanienia do przetwarzania danych osobowych nastpuje na pisemny wniosek przełoonego pracownika i podlega analogicznej procedurze jak przy jego nadawaniu. 5) Tymczasowe wydruki z danymi osobowymi po ustaniu ich przydatnoci s niszczone w niszczarkach. 3

4 6) Dokumenty zawierajce dane osobowe przekazywane s zgodnie z instrukcj kancelaryjn do składnicy akt. 7) Procedury postpowania w sytuacji naruszenia ochrony danych osobowych zostały zdefiniowane w Instrukcji, stanowicej Załcznik Nr do niniejszej Polityki Bezpieczestwa. Wzór Załcznik Nr A W Y K A Z ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Cel przetwarzania Rodzaj systemu/programu Wzór Załcznik Nr B STRUKTURA ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Zawarto poszczególnych pól informacyjnych i powizania midzy nimi Wzór Załcznik Nr C SPOSÓB WSPÓŁPRACY POMIDZY RÓNYMI SYSTEMAMI INFORMATYCZNYMI, STOSOWANYMI W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p. Zbiór danych osobowych Rodzaj systemu/programu Sposób współpracy 4

5 Wzór Załcznik Nr D Wniosek o wydanie / odebranie upowanienia do przetwarzania danych osobowych Nazwa zbioru/ów Imi i nazwisko pracownika... Zakres upowanienia do przetwarzania danych / odebrania czci uprawnie Data: Podpis bezporedniego przełoonego... Podpis Administratora Bezpieczestwa Informacji Akceptacja:... Podpis Administratora Danych Osobowych 5

6 Wzór... (piecz nagłówkowa jednostki organizacyjnej) Załcznik Nr E UPOWANIENIE NR Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pón. zm.) u p o w a n i a m Pani/Pana... (imi i nazwisko) Zatrudnion/zatrudnionego w (nazwa komórki organizacyjnej) do przetwarzania danych osobowych w celach zwizanych z wykonywaniem obowizków na stanowisku: (zajmowane stanowisko) oraz do obsługi systemu informatycznego i urzdze wchodzcych w jego skład. Niniejsze upowanienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej (kartoteki, ewidencje, rejestry, spisy itp.) i elektronicznej, wg wykazu zbiorów: Upowanienie wane do... 6 (data i podpis Administratora Danych Osobowych) Uwaga: Niniejsze upowanienie zostało sporzdzone w trzech jednobrzmicych egzemplarzach kady na prawach oryginału, które otrzymuj: 1) Osoba upowaniona 2) Do akt osobowych upowanionego 3) Administrator Bezpieczestwa Informacji

7 Wzór Załcznik Nr F EWIDENCJA OSÓB UPOWANIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU L.p Imi i nazwisko Zbiór danych osobowych Rodzaj systemu Data nadania upowanienia Data ustania upowanienia 7

8 Załcznik Nr G Wzór Biłgoraj, dnia (imi i nazwisko)... (Nr upowanienia) OWIADCZENIE Owiadczam, e w zwizku z przetwarzaniem danych osobowych wynikajcych z wykonywanych przeze mnie czynnoci słubowych zapoznałam/em si z: Ustaw z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz.926 z pón.zm.), Rozporzdzeniem Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych (Dz.U. z 2004r. Nr 100, poz. 1024), Polityk Bezpieczestwa w zakresie zarzdzania systemami informatycznymi słucymi do przetwarzania danych osobowych, Instrukcj zarzdzania systemem informatycznym słucym do przetwarzania danych osobowych. Jednoczenie zobowizuj si: zachowa w tajemnicy dane osobowe, z którymi zetknłam si/zetknłem si* w trakcie wykonywania swoich obowizków słubowych, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu, chroni dane osobowe przed dostpem do nich osób do tego nieupowanionych, zabezpiecza je przed zniszczeniem i nielegalnym ujawnieniem. Znana jest mi odpowiedzialno karna za naruszenie w/w ustawy (art.49-54). (data i podpis pracownika) Uwaga: Niniejsze upowanienie zostało sporzdzone w trzech jednobrzmicych egzemplarzach kady na prawach oryginału, które otrzymuj: 4) Osoba upowaniona 5) Do akt osobowych upowanionego 6) Administrator Bezpieczestwa Informacji 8

9 Wzór Załcznik Nr H Ewidencja osób, które zostały zapoznane z dokumentacj dotyczc ochrony danych osobowych L.p. Imi i nazwisko Data Podpis 9

10 Załcznik Nr INSTRUKCJA POSTPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU I. Opis zdarze naruszajcych ochron danych osobowych 1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane s dane osobowe to głównie: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewntrznych na zasoby systemu jak np. wybuch gazu, poar, zalanie pomieszcze, katastrofa budowlana, napad, działania terrorystyczne, niepodana ingerencja ekipy remontowej itp., 2) niewłaciwe parametry rodowiska, np. niewłaciwa wilgotno, temperatura, oddziaływanie pola elektromagnetycznego, wstrzsy lub wibracje, 3) awaria sprztu lub oprogramowania, które wyranie wskazuj na umylne działanie w kierunku naruszenia ochrony danych lub sabota, 4) niewłaciwe działanie serwisu, w tym take pozostawienie serwisantów bez nadzoru, 5) pojawienie si komunikatu alarmowego pochodzcego od czci systemu zapewniajcej ochron zasobów lub innego komunikatu o podobnym znaczeniu, 6) zła jako danych w systemie lub inne odstpstwo od stanu oczekiwanego, wskazujce na zakłócenia systemu lub inn nadzwyczajn i niepodan modyfikacj w systemie, 7) naruszenie lub próba naruszenia integralnoci systemu lub bazy danych w tym systemie, 8) stwierdzenie modyfikacji danych, próby ich modyfikacji lub zmiany w strukturze danych bez upowanienia, 9) stwierdzenie niedopuszczalnej manipulacji danymi osobowymi w systemie informatycznym, 10) ujawnienie osobom nieupowanionym danych osobowych lub objtych tajemnic procedur ochrony przetwarzania lub innych chronionych elementów systemu zabezpiecze, 11) funkcjonowanie systemu lub jego sieci komputerowej wykazujce odstpstwa od załoonego rytmu pracy, uprawdopodobniajce przełamanie lub zaniechanie ochrony danych osobowych, np. praca przy komputerze lub w sieci osoby, która nie jest dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp., 12) obecno w obszarze bezpieczestwa osób postronnych bez dozoru pracowników zatrudnionych przy przetwarzaniu danych osobowych, 13) ujawnienie istnienia nieautoryzowanych kont dostpu do danych itp., 14) podmiana lub zniszczenie noników z danymi osobowymi bez zachowania procedury; skasowanie lub skopiowanie danych osobowych w sposób niedozwolony, 15) naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczestwa informacji (np. nie wylogowanie si przed opuszczeniem stanowiska pracy, pozostawienie wydrukowanych danych osobowych w drukarce czy w kserografie, niewykonanie w okrelonym terminie kopii bezpieczestwa, itp.). 10

11 16) Za naruszenie ochrony danych uwaa si równie stwierdzone nieprawidłowoci w zakresie zabezpieczenia fizycznego miejsc przetwarzania danych osobowych, np. pozostawienie otwartego pomieszczenia w obszarze bezpieczestwa; umoliwienie nieautoryzowanego dostpu do urzdze archiwizujcych itp. II. Postpowanie w przypadku naruszenia ochrony danych osobowych 1. W przypadku stwierdzenia naruszenia: 1) zabezpieczenia systemu informatycznego, 2) stanu urzdze, 3) zawartoci zbioru danych osobowych, 4) wynikajcego z ujawnienia metody pracy lub sposobu działania programu, 5) jakoci transmisji danych w sieci telekomunikacyjnej mogcej wskazywa na naruszenie zabezpiecze tych danych, 6) innych zdarze mogcych mie wpływ na naruszenie danych osobowych (np. poar itp.) kady pracownik ZDP w Biłgoraju zatrudniony przy przetwarzaniu danych osobowych jest obowizany niezwłocznie powiadomi o tym fakcie Administratora Systemu Informatycznego i Administratora Bezpieczestwa Informacji. (załcznik Nr J). 2. Pracownicy, którzy stwierdzili naruszenie ochrony danych osobowych, o których mowa w pkt. 4 i 5 w oczekiwaniu na przybycie Administratora Bezpieczestwa Informacji musz: 1) niezwłocznie podj czynnoci niezbdne dla powstrzymania niepodanych skutków zaistniałego naruszenia, o ile istnieje taka moliwo, nastpnie uwzgldni w działaniu równie ustalenie przyczyn lub sprawców, 2) wstrzyma biec prac w celu zabezpieczenia miejsca zdarzenia, 3) zaniecha dalszych planowanych przedsiwzi, które wi si z zaistniałym naruszeniem i mog utrudni jego udokumentowanie i analiz, 4) podj inne działania przewidziane i okrelone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzyszcych naruszeniu, 5) udokumentowa wstpnie zaistniałe naruszenie, 6) nie opuszcza bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpieczestwa informacji lub osoby upowanionej. 3. Administrator Bezpieczestwa Informacji po przybyciu na miejsce naruszenia ochrony danych osobowych: 1) zapoznaje si z zaistniał sytuacj i dokonuje wyboru metody dalszego postpowania majc na uwadze wnioski z przeprowadzonych wczeniej symulacji zagroe oraz polityk bezpieczestwa w tym zakresie, 2) da dokładnej relacji z zaistniałego naruszenia od osoby powiadamiajcej, jak równie od kadej innej osoby, która moe posiada informacje zwizane z zaistniałym naruszeniem. 4. Administrator Bezpieczestwa Informacji dokumentuje zaistniały przypadek naruszenia oraz sporzdza raport (załcznik Nr K), który powinien w szczególnoci zawiera: 1) wskazanie osoby powiadamiajcej o naruszeniu oraz innych osób zaangaowanych lub odpytanych w zwizku z naruszeniem, 2) okrelenie czasu i miejsca naruszenia i powiadomienia, 3) okrelenie rodzaju naruszenia i okolicznoci towarzyszcych, 4) opis podjtego działania i metody postpowania, 5) wstpn ocen przyczyn wystpienia naruszenia, 6) ocen przeprowadzonego postpowania wyjaniajcego i naprawczego. 11

12 5. Po wyczerpaniu niezbdnych rodków doranych po zaistniałym naruszeniu Administrator Bezpieczestwa Informacji zasiga niezbdnych opinii i proponuje postpowanie naprawcze, w tym ustosunkowuje si do kwestii ewentualnego odtworzenia danych z zabezpiecze oraz terminu wznowienia przetwarzania danych. 6. Zaistniałe naruszenie powinno sta si przedmiotem szczegółowej, zespołowej analizy z udziałem Dyrektora, stanowisk funkcyjnych, Administratora Bezpieczestwa Informacji i Administratora Systemu Informatycznego. 7. Analiza, o której mowa w pkt. 6, powinna zawiera wszechstronn ocen zaistniałego naruszenia, wskazanie odpowiedzialnych, wnioski, co do ewentualnych przedsiwzi proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłoci. III. Postanowienia kocowe 1. Wobec osoby, która w przypadku naruszenia zabezpiecze systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjła działania okrelonego w niniejszej Instrukcji, a w szczególnoci nie powiadomiła odpowiedniej osoby zgodnie z okrelonymi zasadami, a take, gdy nie zrealizowała stosownego działania dokumentujcego ten przypadek, wszczyna si postpowanie dyscyplinarne. 2. Przypadki nieuzasadnionego zaniechania obowizków wynikajcych z niniejszej procedury mog by potraktowane jako cikie naruszenie obowizków pracowniczych, w szczególnoci przez pracownika, który wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomił o tym Administratora Bezpieczestwa Informacji. 12

13 Wzór Załcznik Nr J Zgłoszenie naruszenia bezpieczestwa danych osobowych Data:....godzina:... Osoba zgłaszajca zdarzenie:... (imi i nazwisko) Lokalizacja zdarzenia:... (adres, dział, stanowisko)... Opis sytuacji, przy której doszło do naruszenia bezpieczestwa danych osobowych: (podpis zgłaszajcego)... (data i godzina przyjcia, podpis Administratora Bezpieczestwa Informacji) 13

14 Załcznik Nr K Wzór Raport ze zgłoszenia naruszenia bezpieczestwa danych osobowych Data:....godzina:... Osoba zgłaszajca zdarzenie:... (imi i nazwisko) Lokalizacja zdarzenia:... (adres, dział, stanowisko)... Rodzaj naruszenia bezpieczestwa:... Podjte działania:... Przyczyny wystpienia:... Podjte czynnoci: (podpis Administratora Bezpieczestwa Informacji 14

15 Załcznik Nr 2 do Zarzdzenia Nr 5./2013 z dnia r. INSTRUKCJA ZARZDZANIA SYSTEMEM INFORMATYCZNYM SŁUCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZARZDZIE DRÓG POWIATOWYCH W BIŁGORAJU 1. Definicje Ilekro mowa w niniejszym dokumencie o: Administratorze Danych Osobowych (ADO) naley przez to rozumie Dyrektora ZDP w Biłgoraju, Administratorze Bezpieczestwa Informacji (ABI) naley przez to rozumie pracownika zatrudnionego w ZDP w Biłgoraju i wyznaczonego przez Dyrektora do pełnienia tej funkcji, uytkowniku systemu naley przez to rozumie osob upowanion do przetwarzania danych osobowych w systemie informatycznym. Uytkownikiem moe by pracownik ZDP, osoba wykonujca prac na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywajca sta, Administratorze Systemu Informatycznego (ASI) naley przez to rozumie pracownika zatrudnionego w ZDP w Biłgoraju i odpowiedzialnego za funkcjonowanie systemu informatycznego oraz stosowanie technicznych i organizacyjnych rodków ochrony przewidzianych w tym systemie, 2. Informacje ogólne Zarzdzanie systemem informatycznym ZDP w Biłgoraju naley do pracownika zatrudnionego w ZDP, pełnicego jednoczenie obowizki Administratora Bezpieczestwa Informacji oraz Administratora Systemu Informatycznego, który nadzoruje przestrzeganie zasad ochrony przetwarzanych danych osobowych, okrelonych ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pón. zm.), a w szczególnoci: 1) czuwa nad wdroeniem niniejszej instrukcji oraz dba o biec jej aktualizacj stosownie do zmieniajcych si technologii informatycznych oraz zagroe bezpieczestwa systemów informatycznych; 2) dba o bezpieczestwo danych osobowych poprzez przeciwdziałanie dostpowi osób niepowołanych do danych i podejmowanie odpowiednich działa w przypadku wykrycia narusze w zabezpieczeniach; 3) identyfikuje i analizuje zagroenia oraz ryzyko, na które moe by naraone przetwarzanie danych osobowych; 4) okrela potrzeby w zakresie zabezpieczenia systemów, w których przetwarzane s dane osobowe; 5) monitoruje działanie zabezpiecze wdroonych w celu ochrony danych osobowych. 6) nadaje uprawnienia dostpu do systemów informatycznych, w tym login i hasło pierwszego logowania, 7) archiwizuje oraz zabezpiecza kopie zbiorów danych systemów informatycznych, 8) nadzoruje zabezpieczenie systemów informatycznych przed działalnoci złoliwego oprogramowania, którego celem jest uzyskanie nieuprawnionego dostpu do zarzdzanych systemów informatycznych, 15

16 9) zabezpiecza urzdzenia komputerowe przed utrat danych spowodowan nieprawidłowym działaniem sieci energetycznej. 3. Procedura nadawania i zmiany uprawnie 1) Upowanienie do przetwarzania danych osobowych osobie, która w zwizku z wykonywanymi przez siebie obowizkami bdzie miała dostp do danych osobowych nadaje Administrator Danych Osobowych. 2) Procedur nadania uprawnie do przetwarzania danych osobowych w systemie naley stosowa odpowiednio w przypadku zmiany uprawnie w systemie albo odebrania uprawnie w systemie. Osoba pełnica rol ASI prowadzi ewidencj osób upowanionych do przetwarzania danych osobowych w systemie informatycznym. Ewidencja osób upowanionych moe przyjmowa form elektroniczn, w takim wypadku naley jednak zapewni ograniczenie dostpu do ewidencji do ABI/ASI. 4. Stosowane metody i rodki uwierzytelnienia. 1) W ZDP w Biłgoraju, zgodnie z 6 ust. 2 rozporzdzenia, stosuje si podstawowy poziom bezpieczestwa przetwarzania danych osobowych. 2) Pomieszczenia zabezpiecza si przed dostpem osób nieuprawnionych na czas nieobecnoci w nim osób upowanionych do przetwarzania danych osobowych. 3) Jeeli dostp do danych przetwarzanych w systemie informatycznym posiadaj, co najmniej dwie osoby, wówczas zapewnia si, aby w systemie tym rejestrowany był dla kadego uytkownika odrbny identyfikator. 4) W przypadku, gdy do uwierzytelnienia uytkowników uywa si hasła, jego zmiana nastpuje nie rzadziej, ni co 30 dni. Hasło składa si, co najmniej z 6 znaków. 5) Hasła nie mog by powszechnie uywanymi słowami. W szczególnoci nie naley jako haseł wykorzystywa: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów. 6) Hasło nie moe by ujawnione nawet po utracie przez nie wanoci. 7) Dane osobowe zabezpiecza si przez wykonywanie kopii zapasowych. 8) Kopie zapasowe przechowuje si w miejscach zabezpieczajcych je przed nieuprawnionym przejciem, modyfikacj, uszkodzeniem lub zniszczeniem oraz usuwa si niezwłocznie po ustaniu ich uytecznoci. 9) Urzdzenia, dyski lub inne noniki informacji zawierajce dane osobowe, przeznaczone do likwidacji, przekazania podmiotowi nieuprawnionemu lub naprawy pozbawia si wczeniej zapisu tych danych, lub uszkadza. 5. Procedury zarzdzania rodkami uwierzytelniania 1) ASI nadaje hasło dostpu do aplikacji lub sieci dla nowego uytkownika albo dla uytkownika, który zapomniał swojego ostatniego hasła, 2) Uytkownik systemu niezwłocznie ustala swoje, znane tylko jemu hasło, po nadaniu hasła przez ASI. Zaleca si, aby system automatycznie wymuszał na uytkowniku zmian nadanego przez administratora hasła przy pierwszej autoryzacji (logowaniu), 3) Uytkownik systemu w trakcie pracy w aplikacji moe zmieni swoje hasło dostpu, 16

17 4) Obowizuje bezwzgldny zakaz notowania w jakiejkolwiek formie obecnych oraz wygasłych haseł dostpu. 5) ASI zapisuje swój identyfikator i hasła dostpu po kadej ich zmianie i umieszcza je w wyznaczonym do tego celu miejscu. 6. Procedury rozpoczcia zawieszenia i zakoczenia pracy przeznaczone dla uytkowników systemu 1) Procedura rozpoczcia pracy a) uruchomi komputer wchodzcy w skład systemu informatycznego, podłczony fizycznie do sieci lokalnej i zalogowa si podajc identyfikator i hasło dostpu, b) uruchomi wybran aplikacj (w szczególnoci aplikacj przetwarzajc dane osobowe), c) zalogowa si do aplikacji wylosowa sposób analogiczny do przedstawionego wyej. 2) Procedura zawieszenia pracy w systemie a) w trakcie pracy, przy kadorazowym opuszczeniu stanowiska komputerowego, dopilnowa, aby na ekranie nie były wywietlane dane osobowe, b) przy opuszczaniu pokoju na dłuszy czas ustawi rcznie blokad klawiatury i wygaszacz ekranu. 3) Procedura zakoczenia pracy w systemie a) zamkn aplikacj, b) zamkn system, c) wyłczy monitor i ew. drukark po zresetowaniu pamici. 7. Tworzenie kopii zapasowych zbiorów danych oraz programów i narzdzi programowych słucych do ich przetwarzania Kopie zapasowe baz danych oraz aplikacji bazodanowych zlokalizowanych na serwerach i stanowiskach komputerowych wykonywane s w cyklu miesicznym, tworzone rcznie, natomiast pełny backup systemu (łcznie z kopi systemu operacyjnego serwera) wykonywany jest w cyklu rocznym, tworzony rcznie. ASI sprawuje nadzór nad wykonywaniem kopii zapasowych oraz weryfikuje ich poprawno. 8. Sposób zabezpieczania systemu informatycznego. 1) Za ochron antywirusow odpowiada ABI. 2) Czynnoci zwizane z ochron antywirusow systemu informatycznego wykonuje ABI, wykorzystujc w trakcie pracy systemu informatycznego moduły programu antywirusowego w aktualnej wersji, sprawdzajcego na bieco zasoby systemu informatycznego. 3) Oprogramowanie antywirusowe pracuje na serwerach oraz na wszystkich stanowiskach komputerowych podłczonych do sieci publicznej. 4) Aktualizacja oprogramowania antywirusowego odbywa si w sposób automatyczny. 5) Uytkownik systemu na stanowisku komputerowym, importujcy dane osobowe do systemu informatycznego jest odpowiedzialny za sprawdzenie tych danych pod ktem moliwoci wystpowania wirusów. 17

18 9. Sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 Rozporzdzenia. ASI obowizany jest dopilnowa, aby systemy/programy uywane w ZDP w Biłgoraju posiadały moduł automatycznego odnotowywania informacji, o których mowa w ust.1 pkt 1 i 2, po zatwierdzeniu przez uytkownika operacji wprowadzenia danych. 10. Procedury wykonywania przegldów i konserwacji systemów oraz noników informacji słucych do przetwarzania danych. 1) Przegldy i konserwacja urzdze wchodzcych w skład systemu informatycznego powinny by wykonywane w terminach okrelonym przez producenta sprztu. 2) Jeli producent nie przewidział dla danego urzdzenia potrzeby dokonywania przegldów eksploatacyjnych, lub te nie okrelił ich czstotliwoci, to o dokonaniu przegldu oraz sposobie jego przeprowadzenia decyduje ASI. 3) Nieprawidłowoci ujawnione w trakcie przegldów bd konserwacji powinny by niezwłocznie usunite, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowoci naley zawiadomi ABI. 4) Za terminowo przeprowadzenia przegldów i konserwacji oraz ich prawidłowy przebieg odpowiada Administrator Bezpieczestwa Informacji. 18