POLITYKA BEZPIECZEŃSTWA INFORMACJI W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Grupa objęta: Wszyscy pracownicy Uczelni Miejsce przeznaczenia: Akademia Pomorska w Słupsku
Rozdział I Przepisy ogólne, definicje oraz objaśnienia 1 Polityka Bezpieczeństwa Informacji uwzględnia wymagania dotyczące zarządzania bezpieczeństwem informacji zawarte w Normie PN-ISO/IEC 17799:2007 oraz w poniższych dokumentach: a) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r.(t. jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), b) Ustawa o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994r. (t. jedn. Dz. U. z 2006 r. Nr 90, poz. 631 ze zm.), c) Ustawa o dostępie do informacji publicznej z dnia 6 września 2001r. (Dz. U. 01.112.1198 ze zm.), d) Ustawa o ochronie baz danych z dnia 27 lipca 2001r. (Dz. U. z 2001 r. Nr 128, poz. 1402 ze zm.), e) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), f) Norma PN-1-13335-1 Technika informatyczna - wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Norma PN-ISO 17799:2007 zalecenia zarządzania bezpieczeństwa informacji Niniejsza norma podaje zalecenia dla zarządzania bezpieczeństwem informacji dla wykorzystania przez wszystkich tych, którzy są odpowiedzialni za inicjowanie, wdrażanie lub utrzymywanie bezpieczeństwa w organizacji. Zamiarem jest dostarczenie wspólnej bazy dla opracowywania zakładowych norm bezpieczeństwa i efektywnej praktyki zarządzania bezpieczeństwem informacji oraz zapewnienie zaufania w stosunkach między różnymi organizacjami. Zalecenia zawarte w niniejszej normie należy stosować w sposób selektywny oraz w zgodzie z obowiązującym prawem i przepisami. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden z kilku specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony (jego części znajdują się w różnych miejscach) lub podzielony funkcjonalnie (przetwarzany za pomocą programów realizujących różne funkcje); Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie; zwłaszcza takie, które wykorzystuje się w systemach informatycznych;
System informatyczny - system przetwarzania informacji wraz ze związanymi z nimi ludźmi oraz zasobami technicznymi i finansowymi, które dostarcza i rozprowadza informacje. W szczególności systemem informacyjnym może być system, w którym nie będzie żadnego komputera, a wyłącznie dokumenty papierowe, skoroszyty oraz ludzie tam pracujący, wyposażenie pokoi, czy też organizacja pracy. Ochronie podlegają nie tylko informacje osobowe, ale także ludzie, zasoby techniczne i finansowe; Bezpieczeństwo systemu informatycznego - wdrożenie stosowanych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą; Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem Danych Osobowych jest właściciel / zarządca Akademia Pomorska w Słupsku, który ponosi pełnię odpowiedzialności wynikającej z przepisów ustawy o ochronie danych osobowych w odniesieniu do zbiorów danych osobowych znajdujących się w jego ustawowej dyspozycji; Administrator Bezpieczeństwa Informacji (ABI) - należy przez to rozumieć osobę wyznaczoną przez Administratora Danych Osobowych do nadzorowania przestrzegania zasad ochrony oraz wymagań w zakresie ochrony, wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych. Administrator Systemów Informatycznych (ASI) - należy przez to rozumieć pracownika lub pracowników Informatyki odpowiedzialnych za stosowanie technicznych i organizacyjnych środków ochrony danych osobowych, Osoba upoważniona lub użytkownik systemu osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej, w zakresie wskazanym w upoważnieniu, zwana dalej użytkownikiem; Identyfikator użytkownika (LOGIN) - ciąg znaków literowych i cyfrowych, lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; Hasło (Password) - ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; Zalogowanie - uwierzytelnienie, czyli działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu; Odbiorcy danych osobowych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby, upoważnionej do przetwarzania danych, przedstawiciela, o którym mowa w art. 31 a ustawy o ochronie danych osobowych, podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
Schemat organizacyjny ADMINISTRATOR DANYCH OSOBOWYCH /ADO/ REKTOR APS ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI /ABI/ Pełnomocnik Rektora ds. Ochrony Informacji Niejawnych ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH /ASI/ INFORMATYK 2 1. Polityka Bezpieczeństwa Informacji w uporządkowanej formie opisuje działania organizacyjne i techniczne, których celem jest zapewnienie bezpieczeństwa organizacji, w tym przede wszystkim przetwarzanych danych osobowych. 2. Polityka Bezpieczeństwa Informacji ustala zakresy obowiązków osób i jednostek organizacyjnych w procesie obiegu i ochrony informacji. Określa zakres przetwarzanych danych osobowych w wydawanych regulaminach lub w indywidualnych umowach z podmiotami zewnętrznymi, którym zlecono przetwarzanie danych osobowych. 3. W przypadkach szczególnych cel i zakres przetwarzanych danych mogą określać przepisy ogólnie obowiązujące.
3 1. Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora Bezpieczeństwa Informacji. 2. Osoby użytkowników zaangażowanych w procesie przetwarzania danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania. 3. Osoby użytkowników zaangażowanych w procesie przetwarzania danych osobowych w systemach informatycznych są zobowiązane do postępowania zgodnie z Instrukcją Zarządzania Systemem Informatycznym Akademii Pomorskiej w Słupsku 4 1. Osoby przetwarzające dane są zobowiązane powiadomić Administratora Bezpieczeństwa Informacji o ewentualnych incydentach / naruszeniach bezpieczeństwa systemu ochrony danych osobowych we wszystkich zbiorach 2. Tryb postępowania określa Instrukcja postępowania w sytuacjach naruszenia ochrony danych osobowych 5 Pracownik, który przetwarza w zbiorze danych dane osobowe, do których przetwarzania nie jest upoważniony podlega odpowiedzialności karnej zgodnie z Ustawą o ochronie danych osobowych oraz przepisami kodeksu pracy. Rozdział II Gromadzenie danych osobowych 1 Dane osobowe przetwarzane w Akademii Pomorskiej w Słupsku mogą być uzyskiwane: bezpośrednio od osób, których te dane dotyczą, z innych źródeł, w granicach dozwolonych przepisami prawa. 2 Zbierane dane osobowe muszą być wykorzystane tylko do celów, w jakich są lub będą przetwarzane. Po wykorzystaniu danych osobowych, powinny być one przechowywane w postaci uniemożliwiającej identyfikację osób, których dotyczą.
Rozdział III Obowiązek informacyjny 1 Kierownicy komórek organizacyjnych w Akademii Pomorskiej w Słupsku odpowiedzialni są za poinformowanie osób, których dane przetwarzają o: adresie siedziby, gdzie są zbierane i przetwarzane dane, celu zbierania danych, dobrowolności lub obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej, prawie dostępu do treści swoich danych osobowych oraz ich poprawienia. W przypadku zbierania danych osobowych nie od osób, których one dotyczą, osoby, której dotyczą należy poinformować ponadto o: źródle danych, uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 Ustawy o ochronie danych osobowych. 2 Materiały dotyczące działalności mogą być wysłane tylko do tych osób, które wcześniej wyraziły zgodę na piśmie na przetwarzanie ich danych osobowych w tym celu. Rozdział IV Udzielanie informacji o przetwarzaniu danych osobowych 1 1. Osobowym, których dane przetwarza się w zbiorze danych, przysługuje prawo kontroli ich danych osobowych a szczególności prawo do uzyskania wyczerpujących informacji na temat tych danych. 2. Każda osoba, która wystąpi z wnioskiem o otrzymanie informacji, musi otrzymać odpowiedź na piśmie w terminie nie przekraczającym 30 dni od daty wpłynięcia wniosku, w formie pisemnej. 3. W przypadku, gdy dane osoby są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy o ochronie danych osobowych, albo są zbędne do realizacji celu, dla którego zostały zebrane, Administrator Bezpieczeństwa Informacji jest zobowiązany do ich uzupełnienia, uaktualnienia lub sprostowania.
Rozdział V Ochrona przetwarzania zbiorów danych osobowych 1 Akademia Pomorska w Słupsku jako ADO przestrzega zasad i przepisów oraz środków organizacyjnych i technicznych, zapewniających ochronę przetwarzania danych, w szczególności przed ich udostępnianiem, kradzieżą, uszkodzeniem lub zniszczeniem przez osoby nieupoważnione. 2 W celu realizacji powierzonych zadań Administrator Bezpieczeństwa Informacji ma prawo działać zgodnie z zakresem ustalonych zadań - załącznik zadania ABI. Rozdział VI Zasady udostępnienia danych osobowych Rektor Akademii Pomorskiej w Słupsku udostępnia dane osobowe przetwarzane we własnych zbiorach tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2 1. Zbiory danych udostępnia się na pisemny, umotywowany wniosek, chyba że odrębne przepisy prawa stanowią inaczej. 2. Wniosek powinien zawierać niezbędne informacje, umożliwiające wyszukiwanie żądanych danych osobowych w zbiorze oraz wskazywać ich zakres i przeznaczenie. 3. Wniosek jest rozpatrywany przez Administratora Danych Osobowych, który jednocześnie prowadzi ich ewidencję. 4. Decyzję w sprawie udostępnienia podejmuje Administrator Danych Osobowych osobiście lub inna upoważniona osoba. 5. Administrator Danych Osobowych może odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenia dóbr osobistych osób, których dane dotyczą lub innych osób. 3 1. Akademia Pomorska w Słupsku jako administrator danych może przetwarzanie danych osobowych powierzyć innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej 2. Podmiot, o którym mowa w ust. 1 jest zobowiązany do zastosowania środków organizacyjnych i technicznych zabezpieczających zbiór przed dostępem osób
nieupoważnionych na zasadach określonych w przepisach o ochronie danych osobowych i odpowiedzialność.
INSTRUKCJA POSTĘPOWANIA W SYTUACJACH NARUSZENIA OCHRONY DANYCH OSOBOWYCH ZAŁĄCZNIK DO POLITYKI BEZPIECZEŃSTWA INFORMACJI W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Grupa objęta: Wszyscy pracownicy Uczelni Miejsce przeznaczenia: Akademia Pomorska w Słupsku
1 Celem instrukcji jest określenie sposobu postępowania w przypadku, gdy: stwierdzono naruszenie zabezpieczenia systemu informatycznego w obszarze danych osobowych, stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych / nieinformatycznych. 3 Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub jakiegokolwiek elementu systemu informatycznego, a w szczególności: 1) nieautoryzowany dostęp do danych, 2) nieautoryzowane modyfikacje lub zniszczenie danych, 3) udostępnienie danych nieautoryzowanym podmiotom, 4) nielegalne ujawnienie danych, 5) pozyskiwanie danych z nielegalnych źródeł. 4 1. W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego lub ABI (ewentualnie osobę przez niego upoważnioną), a następnie postępować stosownie do podjętej przez niego decyzji. 2. Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać: 1) opisanie symptomów naruszenia ochrony danych osobowych, 2) określenie sytuacji i czasu w jakim stwierdzono naruszenie ochrony danych osobowych, 3) określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia, 4) określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia. 5 Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu: minimalizację negatywnych skutków zdarzenia, wyjaśnienie okoliczności zdarzenia,
zabezpieczenie dowodów zdarzenia, umożliwienie dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań niniejszej instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: żądania wyjaśnień od pracowników, korzystania z pomocy konsultantów, nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenie Administratora Bezpieczeństwa Informacji wydawane w czasie realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji nadzwyczajnej opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego. 12 Jeżeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Prawa Cywilnego.
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZAŁĄCZNIK DO POLITYKI BEZPIECZEŃSTWA INFORMACJI W OPARCIU O NORMĘ PN-ISO/IEC 17799:2007 Grupa objęta: Wszyscy pracownicy Uczelni Miejsce przeznaczenia: Akademia Pomorska w Słupsku
1. Cel instrukcji Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, przez administratora danych tj w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Definicje Ilekroć w instrukcji jest mowa o: 1) administratorze bezpieczeństwa informacji rozumie się przez to osobę nadzorującą przestrzeganie określonych zasad bezpieczeństwa, 2) administratorze danych rozumie się przez to administratora danych, 3) administratorze systemu informatycznego rozumie się przez to pracownika, któremu w drodze obowiązków służbowych powierzono techniczny nadzór nad funkcjonowaniem i zabezpieczenie sytemu informatycznego, 4) haśle rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi, 5) identyfikatorze rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 6) integralności danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 7) odbiorcy danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: - osoby, której dane dotyczą, - osoby upoważnionej do przetwarzania danych, - przedstawiciela, o którym mowa w art. 31a ustawy, - podmiotu, o którym mowa w art. 31 ustawy, - organów państwowych lub organów samorządu terytorialnego, 8) osobie upoważnionej do przetwarzania danych osobowych rozumie się przez to osobę, która upoważniona została do przetwarzania danych osobowych przez administratora danych na piśmie, 9) poufności danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom lub podmiotom, 10) przetwarzającym rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy, 11) raporcie rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 12) rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 13) rozporządzeniu rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U nr 100, poz. 1024), 14) sieci publicznej rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt. 29 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U z 2004 r. Nr 171, poz. 1800), 15) sieci telekomunikacyjnej rozumie się przez to sieć telekomunikacyjną w rozumieniu
art. 2 pkt. 35 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800), 16) serwisancie rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego lub oprogramowania, 17) systemie informatycznym administratora danych rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych, 18) teletransmisji rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 19) ustawie rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U z 2002 r. nr 101, poz. 926 ze zm.), 20) uwierzytelnianiu rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu, 21) użytkowniku rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło. 3. Poziom bezpieczeństwa Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się poziom wysoki bezpieczeństwa w rozumieniu 6 rozporządzenia. 1) Administrator bezpieczeństwa informacji i administrator systemu informatycznego prowadzą elektroniczny system ewidencji: sprzętu komputerowego, osób pracujących w systemie, nadanych uprawnień pracownikom do właściwych systemów informatycznych, oprogramowania bazodanowego, miejsc przetwarzania danych osobowych, kopii bezpieczeństwa 2) Ewidencja sprzętu komputerowego (paszporty komputerów) muszą być prowadzone również w formie papierowej 3) Upoważnienia do pracy w systemie informatycznym muszą być prowadzone również w formie papierowej 4. Nadawanie i rejestrowanie (wyrejestrowywanie) uprawnień do przetwarzania danych w systemie informatycznym 4.1. Nadawanie i rejestrowanie uprawnień 1) Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie przez administratora systemu informatycznego. 2) Rejestracja użytkownika, o której mowa w pkt. 1, polega na nadaniu identyfikatora i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu. 3) Administrator systemu informatycznego, przekazuje administratorowi bezpieczeństwa informacji prowadzącej ewidencję pracowników upoważnionych informację o identyfikatorze, który został nadany użytkownikowi. 4.2. Wyrejestrowywanie uprawnień 1) Wyrejestrowania użytkownika z systemu informatycznego dokonuje administrator
systemu informatycznego. 2) Wyrejestrowanie, o którym mowa w ust. 1, może mieć charakter czasowy lub trwały. 3) Wyrejestrowanie następuje poprzez: - zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe), - usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe). 4) Przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zatrudniony był użytkownik. 5. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 5.1. Identyfikator Identyfikator składa się z pierwszej litery imienia oraz nazwiska. W identyfikatorze pomija się polskie znaki diakrytyczne. Taki sposób nadawania identyfikatorów gwarantuje ich unikalność. 5.2. Hasło użytkownika 1) Hasło powinno składać się z unikalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może być identyczne z identyfikatorem użytkownika ani jego imieniem lub nazwiskiem. 2) System informatyczny wymusza zmianę hasła co 30 dni; administrator bezpieczeństwa informacji może, w uzasadnionych sytuacjach, polecić dokonanie zmiany hasła przez użytkownika. 3) Zabrania się użytkownikom systemu udostępniania swojego identyfikatora i hasła innym osobom oraz korzystania przez osoby upoważnione do przetwarzania danych osobowych z identyfikatora lub hasła innego użytkownika. 6. Procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu 6.1. Tryb pracy na poszczególnych stacjach roboczych 1) Rozpoczęcie pracy na stacji roboczej następuje po włączeniu napięcia w listwie zasilającej, włączeniu zasilacza awaryjnego (UPS), o ile dane stanowisko jest w taki zasilacz wyposażone, i komputera, a następnie wprowadzeniu indywidualnego, znanego tylko użytkownikowi, hasła i identyfikatora. 2) W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko za zgodą i w towarzystwie użytkownika albo administratora systemu informacyjnego. 3) Przed osobami postronnymi należy chronić ekrany komputerów (ustawienie monitora powinno uniemożliwiać pogląd), wydruki leżące na biurkach oraz w otwartych szafach. 4) Monitory komputerów wyposażone są we włączające się po 20 minutach od przerwania pracy wygaszacze ekranu. Wznowienie wyświetlenia następuje dopiero po wprowadzeniu odpowiedniego hasła. 5) W przypadku opuszczenia stanowiska pracy użytkownik obowiązany jest aktywizować wygaszacz ekranu lub w inny sposób zablokować stację roboczą.
6) Obowiązuje zakaz tworzenia kopii całych zbiorów danych; całe zbiory danych mogą być kopiowane tylko przez administratora systemu lub automatycznie przez system, z zachowaniem procedur ochrony danych osobowych. 7) Jednostkowe dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich zaszyfrowaniu i przechowywane w zamkniętych na klucz szafach. Po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane. 8) Jednostkowe dane mogą być przekazywane pocztą elektroniczną pomiędzy komputerami administratora danych a komputerami przenośnymi użytkowników tylko po ich zaszyfrowaniu. 9) Przesyłanie danych osobowych pocztą elektroniczną może odbywać się tylko w postaci zaszyfrowanej. 10) Obowiązuje zakaz wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet w postaci zaszyfrowanej. 11) Przetwarzając dane osobowe, należy odpowiednio często tworzyć kopie robocze danych, na których się właśnie pracuje, tak by zapobiec ich utracie. 12) Przed opuszczeniem pomieszczenia pracy należy: zabezpieczyć w zamykanych na klucz szaf wszelkie wykonane wydruki zawierające dane osobowe, schować do zamykanych na klucz szaf wszelkie akta zawierające dane osobowe, umieścić klucze do szaf w ustalonym, przeznaczonym do tego miejscu, zamknąć okna. 13) Opuszczając pokój, należy zamknąć za sobą drzwi na klucz i aktywować system alarmowy. Klucz od pokoju przechowywany jest w portierni. 6.2. Tryb pracy na komputerach przenośnych 1) Użytkownicy, którym zostały powierzone komputery przenośne podpisują umowę przekazania do użytku służbowego. 2) O ile to możliwe, przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują procedury określone w niniejszej instrukcji, dotyczące pracy na komputerach stacjonarnych. 3) Użytkownicy, którym zostały powierzone komputery przenośne, powinni chronić je przed uszkodzeniem, kradzieżą i dostępem osób postronnych, szczególną ostrożność należy zachować podczas ich transportu. 4) Obowiązuje zakaz używania komputerów przenośnych przez osoby inne niż użytkownicy, którym zostały one powierzone. 5) Praca na komputerze przenośnym możliwa jest po wprowadzeniu hasła i indywidualnego identyfikatora użytkownika. 6) Użytkownicy są zobowiązani zmieniać hasła w komputerach przenośnych nie rzadziej niż raz na 30 dni. 7) Pliki zawierające dane osobowe przechowywane na komputerach przenośnych są zaszyfrowane i opatrzone hasłem dostępu. 8) Obowiązuje zakaz przetwarzania na komputerach przenośnych całych zbiorów danych lub szerokich z nich wypisów, nawet w postaci zaszyfrowanej. 9) Użytkownicy przetwarzający dane osobowe na komputerach przenośnych obowiązani są do systematycznego wprowadzania tych danych w określone miejsca na serwerze plików administratora danych, a następnie do trwałego usuwania ich z pamięci powierzonych komputerów przenośnych. 10) Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu w powierzonych komputerach przenośnych. Wszelkie zmiany mogą być dokonywane
tylko pod nadzorem administratora systemu, stosownie do wymagań niniejszej instrukcji. W razie wystąpienia usterek w pracy komputerów przenośnych lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosić to administratorowi systemu informatycznego. 11) Komputery przenośne wyposażone są w odpowiednie programy ochrony antywirusowej, których aktualizację sugeruje automatycznie system. 7. Procedury tworzenia kopii zapasowych 1) W systemie informatycznym kopie zapasowe tworzy administrator systemu informatycznego. 2) Dostęp do kopii bezpieczeństwa mają wyłącznie administrator systemu informatycznego i administrator bezpieczeństwa informacji. 3) Nośniki zawierające kopie zapasowe należy oznaczać jako Kopia zapasowa dzienna/tygodniowa/miesięczna wraz z podaniem daty sporządzenia. 8. Częstotliwość wykonywania kopii Kopie zapasowe tworzy się: 1) codziennie na koniec dnia kopię wszystkich danych, które uległy zmianie tego dnia, 2) raz w tygodniu na koniec tygodnia kopię wszystkich aplikacji, 3) raz w miesiącu na koniec miesiąca kopię zarówno danych, jak i aplikacji, w tym także systemu operacyjnego. 9. Testowanie kopii W celu zapewnienia poprawności wykonywanych kopii bezpieczeństwa należy co najmniej raz w tygodniu poddać testowi cyklicznie wybraną kopię. Próba polega na odtworzeniu danych w warunkach testowych i sprawdzeniu, czy jest możliwość odczytania danych. 10. Przechowywanie kopii 1) Kopie zapasowe przechowuje się w wyznaczonym pomieszczeniu, w kasetce metalowej zamykanej na klucz przeznaczonej wyłącznie do przechowywania kopii bezpieczeństwa, która dodatkowo jest przymocowana na stałe, w sposób uniemożliwiający jej wyniesienie, do wnętrza szafy. Szafa również jest zamykana na klucz, a klucze od kasetki i od szafy przechowywane są oddzielnie. Dostęp do kopii posiada wyłącznie administrator bezpieczeństwa informacji oraz administrator systemu informatycznego. 2) Każde wydanie i przyjęcie lub jakiekolwiek użycie kopii jest odnotowywane w ewidencji kopii zapasowych. 3) Zabrania się przechowywania kopii zapasowych w pomieszczeniach przeznaczonych do przechowywania zbiorów danych pozostających w bieżącym użytkowaniu. 11. Likwidacja nośników zawierających kopie 1) Nośniki zawierające nieaktualne kopie danych, będące poza wykazem cyklicznych kopii, likwiduje się. W przypadku nośników jednorazowych, takich jak płyty CD-R, DVD-R, likwidacja polega na ich fizycznym zniszczeniu w taki sposób, by nie można było odczytać ich zawartości. Nośniki wielorazowego użytku, takie jak dyski twarde,
dyskietki, płyty CD-RW, DVD-RW, można wykorzystać ponownie do celów przechowywania kopii bezpieczeństwa po uprzednim usunięciu ich zawartości. 2) Nośniki wielorazowego użytku nienadające się do ponownego użycia należy zniszczyć fizycznie. 12. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe 1) Zbiory danych przechowywane są na serwerze plików obsługującym system informatyczny administratora danych. 2) Zakazuje się przetwarzania danych osobowych na zewnętrznych nośnikach magnetycznych, optycznych i innych oraz ich przesyłania pocztą elektroniczną bez uprzedniego zaszyfrowania. 3) W przypadku posługiwania się nośnikami danych pochodzącymi od podmiotu zewnętrznego użytkownik jest zobowiązany do sprawdzenia go programem antywirusowym na wyznaczonym w tym celu stanowisku komputerowym oraz do oznakowania tego nośnika. 4) Nośniki magnetyczne z zaszyfrowanymi jednostkowymi danymi osobowymi są na czas ich użyteczności przechowywane w zamkniętych na klucz szafach, a po wykorzystaniu dane na nich zawarte są trwale usuwane lub nośniki te są niszczone. 5) Nośniki informatyczne przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do przetwarzania danych osobowych. 13. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 1) Sprawdzanie obecności wirusów komputerowych w systemie informatycznym oraz ich usuwanie odbywa się przy wykorzystaniu oprogramowania zainstalowanego na serwerze, stacjach roboczych oraz komputerach przenośnych przez administratora systemu. 2) Oprogramowanie, o którym mowa w pkt. 1, sprawuje ciągły nadzór (ciągła praca w tle) nad pracą systemu i jego zasobami oraz serwerem i stacjami roboczymi. 3) Niezależnie od ciągłego nadzoru, o którym mowa w pkt. 2, administrator systemu informatycznego nie rzadziej niż raz na tydzień przeprowadza pełną kontrolę obecności wirusów komputerowych w systemie oraz jego zasobach, jak również w serwerze i stacjach roboczych. 4) Do obowiązków administratora systemu należy aktualizacja oprogramowania antywirusowego oraz określenie częstotliwości automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie. 5) Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających się komunikatach, wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem. 6) Użytkownicy mogą korzystać z zewnętrznych nośników danych tylko po uprzednim sprawdzeniu zawartości nośnika oprogramowaniem antywirusowym. 14. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych System informatyczny administratora danych umożliwia automatycznie:
1) przypisanie wprowadzanych danych użytkownikowi (identyfikatorowi użytkownika), który te dane wprowadza do systemu, 2) sygnalizację wygaśnięcia czasu obowiązywania hasła dostępu do stacji roboczej (dotyczy to także komputerów przenośnych), 3) sporządzenie i wydrukowanie dla każdej osoby, której dane są przetwarzane w systemie, raportu zawierającego: datę pierwszego wprowadzenia danych do systemu administratora danych, identyfikator użytkownika wprowadzającego te dane, źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą, informacje o odbiorcach danych, którym dane osobowe zostały udostępnione, sprzeciwu, o którym mowa w art. 32 ust. 1 pkt. 8 ustawy. Odnotowanie informacji, o których mowa w pkt. 3), następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 15. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 1) Przeglądu i konserwacji systemu dokonuje administrator systemu informatycznego. 2) Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale administratora systemu nie rzadziej niż raz na miesiąc. 3) Zapisy logów systemowych powinny być przeglądane przez administratora systemu codziennie oraz każdorazowo po wykryciu naruszenia zasad bezpieczeństwa. 4) Kontrole i testy przeprowadzane przez administratora bezpieczeństwa informacji powinny obejmować zarówno dostęp do zasobów systemu, jak i profile oraz uprawnienia poszczególnych użytkowników. 16. Naprawy urządzeń komputerowych z chronionymi danymi osobowymi 1) Wszelkie naprawy urządzeń komputerowych oraz zmiany w systemie informatycznym administratora danych przeprowadzane są o ile to możliwe przez uprawnionego informatyka. 2) Naprawy i zmiany w systemie informatycznym administratora danych przeprowadzane przez serwisanta prowadzone są pod nadzorem administratora systemu w siedzibie administratora danych, (jeśli to możliwe) lub poza siedzibą administratora danych, po uprzednim nieodwracalnym usunięciu danych w nich przetwarzanych, a jeśli wiązałoby się to z nadmiernymi utrudnieniami, to po podpisaniu umów powierzenia przetwarzania danych osobowych. 3) Jeśli nośnik danych (dysk, dyskietka, płyta lub inne) zostanie uszkodzony i nie można go odczytać ani usunąć z niego danych, należy go zniszczyć mechanicznie. 17. Postanowienia końcowe 1) W sprawach nieokreślonych niniejszą instrukcją należy stosować instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów. 2) Każda osoba upoważniona do przetwarzania danych osobowych zobowiązana jest zapoznać się przed dopuszczeniem do przetwarzania danych z niniejszą instrukcją oraz złożyć stosowne oświadczenie, potwierdzające znajomość jej treści. 3) Niezastosowanie się do procedur określonych w niniejszej instrukcji przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące
rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 kodeksu pracy. 4) Niniejsza instrukcja wchodzi w życie z dniem 1 stycznia 2012 r.
Zadania ABI /ASI Zakres praw i obowiązków Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego 1. Administrator Bezpieczeństwa Informacji odpowiada za bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych w zakresie zgodności zasad postępowania przy przetwarzaniu danych z obowiązującymi przepisami o ochronie danych osobowych. 2. Do zadań Administratora Bezpieczeństwa Informacji należy w szczególności: 1) nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzano dane osobowe oraz kontrolą przebywających w nich osób, 2) zapewnienie bezawaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych, 3) prowadzenie ewidencji wydanych upoważnień i oświadczeń, 4) prowadzenie bieżącej ewidencji osób upoważnionych do przetwarzania danych osobowych w APS. 5) wykonywanie i nadzór nad przechowywaniem kopii awaryjnych, 6) nadzór i kontrola ASI, oraz pozostałych upoważnionych do przetwarzania danych osobowych pracowników, 7) szkolenie pracowników z zakresu ochrony danych oraz informowanie użytkowników o zmianach w systemie ochrony danych osobowych, 8) prowadzenia nadzorów zapowiedzianych oraz okazjonalnych w zakresie przestrzegania Polityki Bezpieczeństwa Informacji w komórkach organizacyjnych Akademii Pomorskiej w Słupsku, 9) Sporządzania notatek i raportów przedstawiających stan realizacji PBI Akademii Pomorskiej - Administratorowi Danych Osobowych (Rektorowi), 10) Zgłaszanie zapotrzebowania na planowanie środków budżetowych w celu podnoszenia poziomu zabezpieczeń w oparciu o wnioski kierowników komórek organizacyjnych. 3. Do zadań Administratora Systemu Informatycznego należy: 1) nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, 2) zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany, 3) nadzór nad czynnościami związanymi z prowadzeniem systemu w zakresie obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywanych procedur uaktualnienia systemów antywirusowych i ich konfiguracji, 4) zlecenie wykonania kopii awaryjnych systemu informatycznego, 5) nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych.
Aktualne informacje dotyczące możliwości szybkiego skontaktowania się z: 1. Administratorem Danych Osobowych Imię i nazwisko: Roman Drozd - Rektor Numer telefonu służbowego: 59 84 05 930 wew. 930 Numer telefonu komórkowego:. 2. Administratorem Bezpieczeństwa Informacji Imię i nazwisko: Franciszek Ciszewski Numer telefonu służbowego: 59 84 05 306 wew.306 Numer telefonu komórkowego:. 3. Administrator Systemu Informatycznego Imię i nazwisko: Wojciech Różański Numer telefonu służbowego: 59 84 05 506 wew. 506 Numer telefonu komórkowego: