INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

Podobne dokumenty
INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

POLITYKA BEZPIECZEŃSTWA. Rozdział 2. Deklaracja intencji, cele i zakres polityki bezpieczeństwa.

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

1. Podstawowe zasady przetwarzania danych w Spółce

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja Zarządzania Systemem Informatycznym

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja Postępowania w Sytuacji Naruszeń. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Rozdział I Postanowienia ogólne

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Załącznik 3 do Zarządzenia nr 34/08 str. 1/10

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W SPÓŁDZIELNI MIESZKANIOWEJ DĘBINA W POZNANIU

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Zarządzenie Nr 280 / 2009 Wójta Gminy Bystra-Sidzina z dnia 4 czerwca 2009 r.

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

POLITYKA BEZPIECZEŃSTWA

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH w Szkole Podstawowej nr 48 im. Józefa Piłsudskiego w Lublinie

Regulamin w zakresie przetwarzania danych osobowych w Centrum Kształcenia Ustawicznego nr 2 w Lublinie

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH

2.2 Monitory stanowisk, na których przetwarzane są dane osobowe muszą zostać tak ustawione, aby uniemożliwić osobom postronnym wgląd w te dane.

ZATWIERDZAM DOKUMENTACJA RODO. w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego Zośki w Łodzi rok

POLITYKA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie "VILLA FALSZTYN Paweł Tarapata z dnia 25 maja 2018 roku

POLITYKA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie "ECO CARBO" Marta Tarapata z dnia 25 maja 2018 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH w ECOCARBO spółka z ograniczoną odpowiedzialnością s.k. z siedzibą w Krakowie z dnia 25 maja 2018 roku

załącznik do Zarządzenia dyrektora szkoły z dnia 20 maja 2013 r.

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA I OCHRONY PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

3. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r (Dz.U );

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Polityka bezpieczeństwa informacji

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARPA MARYMONCKA I. POSTANOWIENIA OGÓLNE

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Szkoła Podstawowa nr 2

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ OŻARÓW W OŻAROWIE MAZOWIECKIM

Dokumentacja ochrony danych osobowych

Instrukcja bezpieczeństwa przetwarzania danych osobowych w Zespole Publicznego Gimnazjum i Szkoły Podstawowej im. Jana Pawła II w Leźnie

Transkrypt:

Załącznik nr 1 do Zarządzenia nr 7/2013 Dyrektora Gimnazjum nr 1 w Żarach z dnia 10.09.2013 w sprawie wprowadzenia Instrukcji postępowania w przypadku naruszenia bezpieczeństwa danych osobowych. INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH 1 Celem instrukcji jest określenie sposobu postępowania gdy: 1. Stwierdzono naruszenie zabezpieczeń danych osobowych. 2. W przypadku danych przetwarzanych w formie tradycyjnej stan pomieszczeń, szaf, okien, drzwi, dokumentów lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 3. W przypadku danych przetwarzanych w formie elektronicznej stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu, jakość komunikacji lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w przypadku naruszenia bezpieczeństwa tych danych, zgodne z Tabelą form naruszeń bezpieczeństwa danych osobowych, stanowiącą załącznik A do niniejszej instrukcji. Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub usunięcia, a w szczególności: a) nieautoryzowany dostęp do danych, 3 b) nieautoryzowane modyfikacje lub zniszczenie danych, 1

c) udostępnienie danych nieautoryzowanym podmiotom, d) nielegalne ujawnienie danych, e) pozyskiwanie danych z nielegalnych źródeł. 4 1. W przypadku stwierdzenia naruszenia zabezpieczeń lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych w jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie zgłosić ten fakt bezpośredniemu przełożonemu, Administratorowi Bezpieczeństwa Informacji lub Lokalnemu Administratorowi Bezpieczeństwa informacji, a następnie postępować stosownie do podjętej przez niego decyzji. 2. Zgłoszenie naruszenia zabezpieczeń danych osobowych powinno zawierać: a) opisanie symptomów naruszenia zabezpieczeń danych osobowych, b) określenie sytuacji i czasu w jakim stwierdzono naruszenie zabezpieczeń danych osobowych, c) określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia, d) określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia. 5 Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu: a) minimalizację negatywnych skutków zdarzenia, b) wyjaśnienie okoliczności zdarzenia, c) zabezpieczenie dowodów zdarzenia, d) umożliwienie dalszego bezpiecznego przetwarzania danych. 2

6 W celu realizacji zadań wynikających z niniejszej instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: a) żądania wyjaśnień od pracowników, b) korzystania z pomocy konsultantów, c) nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenia Administratora Bezpieczeństwa Informacji lub innej upoważnionej przez niego osoby wydawane w celu realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi poleceniami, zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji lub inną upoważnioną przez niego osobą traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. Wzór raportu stanowi załącznik B do niniejszej instrukcji. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej 3

wynikającej z przepisów Kodeksu Karnego. 12 Jeżeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Prawa Cywilnego. Żary, dn. 10.09.2013... (podpis dyrektora) 4

Załącznik A do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Tabela form naruszeń bezpieczeństwa danych osobowych Kod naruszenia A Formy naruszeń Sposób postępowania Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy: A.1.1 A.1.2 A.1.3 Ujawnianie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 Dopuszczeni e do korzystania z aplikacji umożliwiając ej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony A.2.3 A.2.4 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Niezwłocznie zakończyć działanie aplikacji. Sporządzić Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. 5

A.2.5 pracownikami Samodzielne instalowanie jakiegokolwiek oprogramowania. A.2.6 Modyfikowanie parametrów systemu i aplikacji. A.2.7 Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. A.3.1 W zakresie dokumentów i obrazów zawierających dane osobowe A.3.1 A.3.2 A.3.3 Wyrzucanie dokumentów w stopniu zniszczenia umożliwiając ym ich odczytanie. A.3.4 A.3.5 A.3.6 A.3.6 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Zabezpieczyć dokumenty. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń sporządzić Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Administratora Bezpieczeństwa Informacji. Podjąć próbę odzyskania kopii. Powiadomić Administratora Bezpieczeństwa Informacji. A.4 W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych A.4.1 A.4.2 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonych. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i Administratora Bezpieczeństwa Informacji. 6

A.4.3 Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci. A.5.1 A.5.1 B Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.) Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych B.1 Ślady manipulacji przy układach sieci komputerowej lub komputerach B.2 Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu B.3 Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych B.4 Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych B.5 Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania B.6 Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe C Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji. Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem C.1 Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej C.2 Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. Powiadomić Administratora Bezpieczeństwa Informacji. Powiadomić Administratora Bezpieczeństwa Informacji. 7

Załącznik B do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Wzór raportu końcowego sporządzanego przez administratora bezpieczeństwa informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych Raport o sytuacji naruszenia bezpieczeństwa danych osobowych Sporządzający raport: Imię i nazwisko:... stanowisko (funkcja)... Dział, pokój, nr telefonu... Kod formy naruszenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):... 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: 4) Informacje o danych, które zostały lub mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 8

6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania): 7) Wnioski:...... (miejsce, data i godzina sporządzenia raportu) (podpis sporządzającego raport) 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres