INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Podobne dokumenty
INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

POLITYKA BEZPIECZEŃSTWA. Rozdział 2. Deklaracja intencji, cele i zakres polityki bezpieczeństwa.

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

1. Podstawowe zasady przetwarzania danych w Spółce

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Instrukcja Zarządzania Systemem Informatycznym

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja Postępowania w Sytuacji Naruszeń. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Załącznik 3 do Zarządzenia nr 34/08 str. 1/10

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W SPÓŁDZIELNI MIESZKANIOWEJ DĘBINA W POZNANIU

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Zarządzenie Nr 280 / 2009 Wójta Gminy Bystra-Sidzina z dnia 4 czerwca 2009 r.

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH w Szkole Podstawowej nr 48 im. Józefa Piłsudskiego w Lublinie

Regulamin w zakresie przetwarzania danych osobowych w Centrum Kształcenia Ustawicznego nr 2 w Lublinie

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUKCJA ZARZĄDZANIA

INSTRUKCJA OSOBOWYCH

2.2 Monitory stanowisk, na których przetwarzane są dane osobowe muszą zostać tak ustawione, aby uniemożliwić osobom postronnym wgląd w te dane.

ZATWIERDZAM DOKUMENTACJA RODO. w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego Zośki w Łodzi rok

POLITYKA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie "VILLA FALSZTYN Paweł Tarapata z dnia 25 maja 2018 roku

POLITYKA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie "ECO CARBO" Marta Tarapata z dnia 25 maja 2018 roku

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH w ECOCARBO spółka z ograniczoną odpowiedzialnością s.k. z siedzibą w Krakowie z dnia 25 maja 2018 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA I OCHRONY PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

załącznik do Zarządzenia dyrektora szkoły z dnia 20 maja 2013 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

3. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r (Dz.U );

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Polityka bezpieczeństwa informacji

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARPA MARYMONCKA I. POSTANOWIENIA OGÓLNE

Szkoła Podstawowa nr 2

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ OŻARÓW W OŻAROWIE MAZOWIECKIM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ KRAKUS W KRAKOWIE

Dokumentacja ochrony danych osobowych

Transkrypt:

Załącznik nr 4 do Zarządzenia nr 7 / 2007 Dyrektora Powiatowego Urzędu Pracy w Kwidzynie z dnia 12.07.2007 r. w sprawie ochrony danych osobowych w Powiatowym Urzędzie Pracy w Kwidzynie, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1 Celem instrukcji jest określenie sposobu postępowania gdy: 1. Stwierdzono naruszenie zabezpieczeń danych osobowych. 2. W przypadku danych przetwarzanych w formie tradycyjnej stan pomieszczeń, szaf, okien, drzwi, dokumentów lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 3. W przypadku danych przetwarzanych w formie elektronicznej stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu, jakość komunikacji lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w przypadku naruszenia bezpieczeństwa tych danych, zgodne z Tabelą form naruszeń bezpieczeństwa danych osobowych, stanowiącą załącznik A do niniejszej instrukcji. 3 Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub usunięcia, a w szczególności: a) nieautoryzowany dostęp do danych, b) nieautoryzowane modyfikacje lub zniszczenie danych, c) udostępnienie danych nieautoryzowanym podmiotom, d) nielegalne ujawnienie danych, e) pozyskiwanie danych z nielegalnych źródeł. 4 1. W przypadku stwierdzenia naruszenia zabezpieczeń lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych w jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie zgłosić ten fakt bezpośredniemu przełożonemu, Administratorowi Bezpieczeństwa Informacji lub Lokalnemu Administratorowi Bezpieczeństwa informacji, a następnie postępować stosownie do podjętej przez niego decyzji. 2. Zgłoszenie naruszenia zabezpieczeń danych osobowych powinno zawierać: a) opisanie symptomów naruszenia zabezpieczeń danych osobowych, b) określenie sytuacji i czasu w jakim stwierdzono naruszenie zabezpieczeń danych osobowych, c) określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia, d) określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.

5 Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu: a) minimalizację negatywnych skutków zdarzenia, b) wyjaśnienie okoliczności zdarzenia, c) zabezpieczenie dowodów zdarzenia, d) umożliwienie dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań wynikających z niniejszej instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: a) żądania wyjaśnień od pracowników, b) korzystania z pomocy konsultantów, c) nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenia Informacji lub innej upoważnionej przez niego osoby wydawane w celu realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi poleceniami, zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji lub inną upoważnioną przez niego osobą traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. Wzór raportu stanowi załącznik B do niniejszej instrukcji. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy.

11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego. 12 Jeżeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Prawa Cywilnego.

Załącznik A do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Tabela form naruszeń bezpieczeństwa danych osobowych Kod naruszenia Formy naruszeń Sposób postępowania A Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy: A.1.1 A.1.2 A.1.3 Ujawnianie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Informacji. A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji.

A.2.3 A.2.4 A.2.5 A.2.6 A.2.7 Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami. Samodzielne instalowanie jakiegokolwiek oprogramowania. Modyfikowanie parametrów systemu i aplikacji. Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Informacji. Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić Administratora Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić A.3 W zakresie dokumentów i obrazów zawierających dane osobowe. A.3.1 A.3.2 A.3.3 A.3.4 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. Zabezpieczyć dokumenty. Sporządzić Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń sporządzić Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport

A.3.5 A.3.6 A.3.7 Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane - sporządzić raport Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Informacji. Podjąć próbę odzyskania kopii. Powiadomić Administratora A.4 W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych A.4.1 A.4.2 A.4.3 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonych. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i Informacji. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci.

A.5.1 A.5.2 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych. B.1 B.2 B.3 B.4 B.5 B.6 Ślady manipulacji przy układach sieci komputerowej lub komputerach. Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania. Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. Powiadomić niezwłocznie Informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie Informacji.

C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem C.1 C.2 Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej. Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. Powiadomić Administratora Powiadomić Administratora

Załącznik B do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Wzór raportu końcowego sporządzanego przez administratora bezpieczeństwa informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych Raport o sytuacji naruszenia bezpieczeństwa danych osobowych Sporządzający raport: Imię i nazwisko...,... stanowisko (funkcja)... Dział, pokój, nr telefonu... Kod formy naruszenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: 4) Informacje o danych, które zostały lub mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania): 7) Wnioski:...... (miejsce, data i godzina sporządzenia raportu) (podpis sporządzającego raport)

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres