Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.Nr 100, poz. 1024) - ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002r. Nr 101, poz. 926 z późn.) I. Definicje Ilekroć w niniejszym dokumencie jest mowa o: a. ZEASiP należy przez to rozumieć Zespół Ekonomiczno Administracyjny Szkół i Przedszkola w Grębocicach, b. Dyrektorze należy przez to rozumieć Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół i Przedszkola w Grębocicach, c. Administratorze Bezpieczeństwa Informacji należy rozumieć pracownika Zespołu Ekonomiczno Administracyjnego Szkół i Przedszkola w Grębocicach lub inną osobę wyznaczoną do nadzorowania, przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych-obowiązki te powierza się osobie wymienionej w Załączniku Nr 1 do opracowania, d. Administratorze Systemu Informatycznego należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego Zespołu Ekonomiczno Administracyjnego Szkół i Przedszkola w Grębocicach oraz stosowanie technicznych i organizacyjnych środków ochrony- Załącznik Nr 2 e. Użytkowniku systemu należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym ZEASiP, użytkownikiem może być pracownik ZEASiP, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno prawnej, osoby odbywające staż, praktykę w ZEASiP lub wolontariusz, f. Sieci lokalnej należy przez to rozumieć połączenie systemów informatycznych ZEASiP wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych, g. Sieci rozległej należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 21 lipca 2000r. Prawo telekomunikacyjne (Dz.U.Nr 73, poz. 852 ze zm.). II. OBSZAR Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, tworzy Administrator Bezpieczeństwa Informacji w formie Załącznika Nr 3 do niniejszego opracowania.
III. WYKAZ ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W SYSTEMIE INFORMATYCZNYM, ICH STRUKTURA ORAZ SPOSÓB PRZEPŁYWU DANYCH 1. W skład systemu wchodzą: - dokumentacja papierowa (korespondencja, wnioski, deklaracje, itd.) - urządzenia i oprogramowania komputerowe służące do przetwarzania informacji oraz procedury przetwarzania danych w tym systemie, w tym procedury awaryjne, - wydruki komputerowe, - nośniki danych. 2. Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym, ich strukturę oraz sposób przepływu danych opisuje Załącznik Nr 4 do niniejszego opracowania. IV. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH A. Środki ochrony fizycznej 1. Budynek w którym mieszczą się biura zlokalizowany jest na pierwszym piętrze. Budynek zamykany jest po zakończeniu pracy. 2. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach biurowych zabezpieczonych zamkami patentowymi. 3. Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności kierownika komórki organizacyjnej. 4. Pomieszczenia, o których mowa w pkt. 2, zamykane są na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich. 5. W przypadku przebywania osób postronnych w pomieszczeniach, o których mowa w pkt. 2, monitory stanowisk dostępu do danych osobowych ustawione są w taki sposób, aby umożliwić tym osobom wgląd w dane. 6. Przebywanie w pomieszczeniu serwera osób nieuprawnionych B. Środki sprzętowe, informatyczne i telekomunikacyjne 1. Zastosowano sprzętowe niszczarki dokumentów papierowych. 2. Urządzenia wchodzące w skład systemu informatycznego podłączone są do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej lub posiadają zabezpieczenia indywidualne. 3. Zastosowano sieć lokalną (Ethernet) w topologii gwiazdy. 4. Sieć lokalna jest podłączona do Internetu za pomocą routera sieciowego z firewallem. 5. Kopie awaryjne wykonywane są na płytach CD-R/DVD. C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji 1. Zastosowanie urządzenia teletransmisji nie posiadają szyfrowania informacji. D. Środki ochrony w ramach oprogramowania systemów 1. Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych jedynie za pośrednictwem aplikacji chronionych systemem unikalnych użytkowników i haseł. 2. Zastosowano oprogramowanie do automatycznego tworzenia kopii zapasowych. 3. W systemie informatycznym zdefiniowane zostały prawa dostępu do zasobów informatycznych oparte o unikalny identyfikator i hasło. 4. Wszystkie stacje robocze chronione są przez program antywirusowy 5. W sieciowym systemie operacyjnym zastosowano zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do sieci.
6. Uaktywniony został mechanizm blokady dostępu użytkownika do sieci po trzech nieudanych próbach logowania. E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych 1. Zastosowano bazy danych w formacie DBF, MS, ACCESS oraz SQL. 2. Dostęp do baz danych jest zabezpieczony hasłem. 3. Dostęp do aplikacji służącej do przetwarzania danych osobowych jest możliwy wyłącznie po podaniu unikalnej nazwy użytkownika hasła. F. Środki ochrony w ramach systemu użytkowego 1. Zastosowano wygaszanie ekranu w przypadku nieaktywności użytkownika dłuższej niż 15 minut. 2. Komputer z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem na poziomie BIOS-u. G. Środki organizacyjne 1. Wyznaczono Administratora Bezpieczeństwa Informacji. 2. Uprawnienia w zakresie dostępu do systemu informatycznego przyznaje Administrator Systemu Informatycznego na podstawie pisemnego upoważnienia Dyrektora, szczegółowo określającego zakres uprawnień pracownika. 3. Administrator Bezpieczeństwa Informacji prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych oraz ich uprawnień 4. Osoby upoważnione do przetwarzania danych osobowych obowiązane są do zachowania ich w tajemnicy (pisemne zobowiązanie). Tajemnica obowiązuje również po ustaniu zatrudnienia lub innego stosunku łączącego z ZEASiP. 5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemie informatycznym. 6. Wprowadzono Instrukcję zarządzania systemem informatycznym. 7. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych. 8. Prowadzony jest rejestr zawierający wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy systemu. 9. Określono sposób postępowania z nośnikami informacji. 10. Dostęp fizyczny do bazy danych osobowych zastrzeżony jest wyłącznie dla osób zajmujących się obsługą informatyczną ZEASiP. V. ZNAJOMOŚĆ POLITYKI BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani są wszyscy pracownicy ZEASiP upoważnieni do przetwarzania danych osobowych.
Złącznik Nr 1 Grębocice, dnia.. WYZNACZENIE ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 1. Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002r. Nr 101, poz. 926 z późn.zm.) z dniem wyznaczam Pana/Panią.., zm legitymującego się dowodem osobistym nr. na Administratora Bezpieczeństwa Informacji. 2. Administrator Bezpieczeństwa Informacji jest odpowiedzialny za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. 3. Jednocześnie tracą uprawnienia Administratora Bezpieczeństwa Informacji osoby wcześniej wyznaczonej do pełnienia tych obowiązków... podpis Dyrektora
Załącznik Nr 2 Grębocice, dnia.. WYZNACZENIE ADMINISTRATORA SYSTEMU INFORMATYCZNEGO 1. Na podstawie art. 36 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002r. Nr 101, poz. 926 z późn.zm.) z dniem wyznaczam Pana/Panią.., zm legitymującego się dowodem osobistym nr. na Administratora Systemu Informatycznego. 2. Administrator Systemu Informatycznego jest odpowiedzialny za funkcjonowanie systemu informatycznego ZEASiP oraz stosowanie technicznych i organizacyjnych środków ochrony, będzie również realizować wszelkie zadania wyznaczone przez Administratora Bezpieczeństwa Informacji.. podpis Dyrektora
Załącznik Nr 3 Grębocice, dnia WYKAZ BUDYNKÓW I POMIESZCZEŃ ZESPOŁU EKONOMICZNO ADMINISTRACYJNYM Szkół I PRZEDSZKOLA W GRĘBOCICACH TWORZĄCYCH OBSZAR W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Z UŻYCIEM STACJONARNEGO SPRZĘTU KOMPUTEROWEGO Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego odbywa się w budynku szkoły, wydzielone wejście ZEASiP przy ul. Szkolnej 2/2-3 ul. Szkolna 2/2-3 1. I piętro Sekretariat Gabinet dyrektora Gabinet głównej księgowej Księgowość 2. Piwnica archiwum
Załącznik Nr 4 WYKAZ ZBIORÓW DANYCH OSOBOWYCH PRZETWARZANYCH W SYSTEMIE INFORMATYCZNYM, ICH STRUKTURA ORAZ SPOSÓB PRZEPŁYWU DANYCH (materiały dostarczone przez producentów oprogramowania)