ZARZĄDZENIE NR 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30 czerwca 2006 r. w sprawie wyznaczenia administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych w biurze Nadleśnictwa Szczebra. Na podstawie art. 35 ust. 1 pkt 2 Ustawy z dnia 28 września 1991 roku o Lasach (jednolity tekst Dz.U. z 2005 r. Nr 45, poz. 435 ) oraz 22 ust. 3 Statutu Państwowego Gospodarstwa Leśnego "Lasy Państwowe", stanowiącego załącznik do zarządzenia Nr 50 Ministra Ochrony Środowiska, Zasobów Naturalnych i Leśnictwa z dnia 18 maja 1994 roku w sprawie nadania statutu Państwowemu Gospodarstwu Leśnemu "Lasy Państwowe", w związku z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926) oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024), zarządzam co następuje: Wyznaczam w Nadleśnictwie Szczebra na administratorów bezpieczeństwa informacji, zwanych dalej administratorami, następujących pracowników: 1 a) Pana Pawła Glińskiego specjalistę ds. ekologii ochrony przyrody i turystyki na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych w Systemie Informatycznym Lasów Państwowych w biurze Nadleśnictwa Szczebra, b) Panią Leokadię Szczudło specjalistę ds. kadr na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych zawartych w teczkach osobowych, kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, będących w zasobach biura Nadleśnictwa Szczebra. Do zadań administratorów należy: 1. Przeciwdziałanie dostępowi osób niepowołanych do systemu i zbiorów danych osobowych. 2 2. Podejmowanie działań w przypadku wykrycia naruszeń w zakresie przechowywania i przetwarzania danych osobowych, określonych w załączniku nr 1. 3. Prowadzenie dokumentacji dotyczącej przetwarzania danych osobowych, określonej w 2 p.6 oraz w załączniku nr 2.
4. Kontrola nad tym, jakie dane osobowe, kiedy i przez kogo są wprowadzane do zbiorów oraz komu są przekazywane lub udostępniane. 5. Przeprowadzenie szkoleń w zakresie zabezpieczenia danych w systemie informatycznym dla pracowników biura, w tym dla nowo zatrudnionych. 6. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych, zawierającej: a) imię i nazwisko osoby upoważnionej, b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, c) identyfikator w jakim dane są przetwarzane, w systemie informatycznym. 3 1. Wprowadzam politykę bezpieczeństwa w zakresie ochrony danych osobowych, stanowiącą załącznik nr 1 do zarządzenia. 2. Określam sposób zabezpieczenia danych osobowych w systemie informatycznym zawarty w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych", stanowiącej załącznik nr 2 do zarządzenia. 3. Określam wzór upoważnienia do przetwarzania danych osobowych, stanowiący załącznik nr 3 do zarządzenia. W sprawach nieuregulowanych w niniejszym zarządzeniu mają zastosowanie przepisy zawarte w ustawie i rozporządzeniu cytowanych na wstępie. 4 5 Zarządzenie wchodzi w życie z dniem 01.07.2006 r. Do wiadomości: 1. Zastępca nadleśniczego 2. Główny księgowy 3. Inżynier nadzoru 4. Sekretarz 5. Administratorzy danych osobowych
Załącznik nr 1 do Zarządzenia nr 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30.06.2006 r. Polityka bezpieczeństwa w zakresie przetwarzania danych osobowych w biurze Nadleśnictwa Szczebra w Szczebrze Bezpieczeństwo informacji w zakresie przetwarzania danych osobowych oznacza stosowanie zasad określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926), rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024 oraz zarządzeniu Nadleśniczego Nadleśnictwa Szczebra nr 30/2005 z dnia 30.12.2005 r. w sprawie wyznaczenia administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych w biurze Nadleśnictwa Szczebra. 1 Przestrzeganie zasad bezpieczeństwa dotyczy wszystkich pracowników biura Nadleśnictwa Szczebra. 2 3 1. Dane osobowe w biurze Nadleśnictwa Szczebra przetwarzane i przechowywane są w Działach GK pokój nr 10 i 7, SA pokój nr 16, NZ pokój nr 5. 2. Kopie baz danych zawierających dane osobowe znajdują się kasie pancernej w Kasie Nadleśnictwa oraz poza budynkiem biura Nadleśnictwa Szczebra - w sejfie bankowym. 4
1. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. W aplikacji LAS rejestruje się dane osobowe dla: 2.1. osób zatrudnionych, 2.2. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej oraz rejestracji szkód łowieckich. 3. Przetwarzane danych osobowych może odbywać się wyłącznie za pomocą aplikacji związanych z Systemem Informatycznym Lasów Państwowych, w oparciu o infrastrukturę techniczno-organizacyjna sieci LAN/WAN LP (Zarządzenie 14 DGLP z dnia 28.02.2005 w sprawie jednorodności konfiguracji urządzeń sieciowych sieci WAN LP), za pomocą Raportów SILP, w aplikacji Płatnik związanej z rozliczeniami z ZUS oraz raportach PIT w korespondencji z urzędami skarbowymi, z zachowaniem zasad bezpieczeństwa funkcjonowania SILP (Zarządzenie 9 DGLP z 10.03.1997) oraz zasad bezpiecznej eksploatacji zasobów informatycznych LP (Zarządzenie 26 DGLP z 08.04.2004) 5 1. Programy i funkcje związane w przetwarzaniem danych osobowych zostały szczegółowo określone w instrukcjach użytkownika aplikacji LAS (Dokumentacja użytkownika w zakresie zmian w aplikacji LAS w związku z dostosowaniem jej do wymogów prawa w zakresie ochrony danych osobowych ProHolding zp. z o.o. Kraków 2002), Raporty SILP, PIT/ROR oraz Płatnik. 2. Wykaz zbiorów danych osobowych, programów oraz miejsc ich przetwarzania: Ekran (ścieżka dojścia do menu) Nazwa tabeli SILP Aplikacja Opis Dostęp Adresy (Dane wspólne>adresy) Informacje o danych osobowych (Dane wspólne>adresy>inform acja o danych osobowych) v_adress v_pers_d LAS Wprowadzanie informacji o danych osobowych organizacyjna SA, GK organizacyjna SA, NZ, GK Informacja o udostępnieniach danych (dane wspólne > Udostępnienia danych) Lista osób, których dane udostępniono wraz z zakresem udostępnienia organizacyjna SA, NZ, GK
Ekran (ścieżka dojścia do menu) Nazwa tabeli SILP Aplikacja Opis Dostęp Dane osobowe (Kadry Płace > Dane personalne) Wprowadzanie danych osobowych pracowników organizacyjna - SA, GK Klient (Gospodarka towarowa > Dane podstawowe > Klienci) c_client Wprowadzanie danych osobowych klientów organizacyjna SA, GK, NZ Adres dodatkowy (Finanse księgowość > Dane podstawowe fin.- księgowe> Konta, rodz. i m. powst.k > Klienci drobni) a_div_a Dane osobowe klientów drobnych organizacyjna SA, GK, NZ Zlecenie (Gospodarka towarowa > Przychód/rozchód towarów > Zlecenia c_ord_h Dane osobowe klientów drobnych organizacyjna - SA, GK, NZ Szkoda łowiecka (Gospodarka towarowa > Gospodarka łowiecka > Szkody łowieckie) c_dam_wild Dane osobowe klientów drobnych organizacyjna - NZ Płatnik Dane osobowe pracowników Komórka organizacyjna GK Raporty SILP Raporty z modułu Kadry i Płace organizacyjna SA, PIT PIT 4, PIT 11/8B, PIT 40 SA, GK 6 1. Każda osoba zatrudniona w Nadleśnictwie Szczebra w Szczebrze, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób), powinna niezwłocznie poinformować o tym osobę zatrudnioną przy przetwarzaniu danych osobowych lub administratora bezpieczeństwa informacji, przełożonego lub inną upoważnioną przez osobę.
2. Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych, zobowiązana jest niezwłocznie ustnie powiadomić o tym administratora bezpieczeństwa informacji. 7 1. Dane osobowe zostają ujawnione, gdy stają się znane w całości lub części pozwalającej na określenie osobom nieuprawnionym tożsamości osoby, której dane dotyczą. 2. W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpieczeństwa należy przeprowadzić postępowanie wyjaśniające, czy dane osobowe należy uznać za ujawnione. 8 1. Administratorzy bezpieczeństwa informacji, po uzyskaniu sygnału o naruszeniu danych osobowych, powinni w pierwszej kolejności: a) zapisać wszelkie informacje związane z danym zdarzeniem, b) na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, c) przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby niepowołanej, d) wyniki postępowania zabezpieczającego oraz okoliczności naruszenia bezpieczeństwa danych osobowych należy ująć w raporcie i niezwłocznie przekazać Nadleśniczemu NadleśnictwaSzczebrawSzczebrze. 2. Niezwłocznie po uzyskaniu informacji o naruszeniu danych osobowych należy podjąć działania w celu powstrzymania lub ograniczenia dostępu do danych przez osoby niepowołane poprzez: a) fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nie uprawnionej, b) wylogować użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych, c) zmianę hasła na konto administratora bezpieczeństwa informacji i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania, d) zamknięcie i opieczętowanie urządzeń, w których przechowywane są dane osobowe w formie analogowej. 3. Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić analizę stanu zabezpieczenia danych osobowych, w celu potwierdzenia lub wykluczenia faktu ponownego naruszenia ochrony danych. 9
1. Po dokonaniu czynności zabezpieczenia danych osobowych i ustaleniu przyczyn naruszenia ochrony danych osobowych należy niezwłocznie przywrócić normalny stan działania Systemu Informatycznego Lasów Państwowych w biurze Nadleśnictwa Szczebra. 2. Po przywróceniu prawidłowego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę, w celu określenia przyczyna naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowania podobnych zdarzeń w przyszłości. 3. Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych, należy przeprowadzić dodatkowe szkolenie osób biorących udział przy przetwarzaniu danych osobowych. Administrator bezpieczeństwa informacji przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia oraz w terminie 7 dni przekazuje go Nadleśniczemu Nadleśnictwa Szczebra. 10 Zatwierdzam:
Załącznik nr 2 do Zarządzenia nr 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30.06.2006 r. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 1 1. Instrukcja określa ogólne zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w systemie informatycznym oraz przetwarzania danych osobowych zawartych, w innych zbiorach w Nadleśnictwie Szczebra w Szczebrze. 2. Instrukcja jest przeznaczona dla osób zatrudnionych przy przetwarzaniu danych osobowych oraz administratorów bezpieczeństwa informacji odpowiedzialnych za bezpieczeństwo danych osobowych. Ilekroć w instrukcji jest mowa o: 2 1. Nadleśniczym - należy przez to rozumieć Nadleśniczego Nadleśnictwa Szczebra w Szczebrze. 2. Zbiorze danych - rozumie się, każdy posiadający strukturę zestaw danych o charakterze osobowym. 3. Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie itp. 4. Danych osobowych - rozumie się przez to każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby. 5. Użytkowniku - rozumie się przez to osobę upoważnioną do dostępu i przetwarzania danych osobowych. 6. Administratorze - rozumie się przez to wyznaczonego przez Nadleśniczego Nadleśnictwa Szczebra w Szczebrze administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych. 7. Systemie informatycznym - należy przez to rozumieć system przetwarzania danych w SILP wraz ze związanymi z nimi ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje.
8. Zabezpieczeniu systemu informatycznego - należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą. 3 1. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych mogą być dopuszczone osoby posiadające te czynności w zakresie obowiązków. 2. Do pracy przy przetwarzaniu danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie Nadleśniczego według wzoru stanowiącego załącznik nr 3 do zarządzenia. Wyznaczeni przez Nadleśniczego Nadleśnictwa Szczebra administratorzy odpowiadają za bezpieczeństwo danych osobowych w systemie informatycznym i danych osobowych zawartych w innych zbiorach, a w szczególności za: 4 1. Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe. 2. Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych. 3. Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem. 4. Nadzorowanie napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. 5. Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany. 6. Nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny. 7. Tworzenie kopii zapasowych zbiorów danych osobowych oraz oprogramowania i narzędzi służących do przetwarzania danych osobowych. 8. Podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego. 9. Analiza sytuacji i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych. 5 1. Przebywanie osób nieuprawnionych do dostępu do danych osobowych w obszarze przetwarzania danych jest dopuszczalne tylko w obecności administratora lub osoby upoważnionej do przetwarzania danych.
2. Pomieszczenia, w których przetwarzane są dane osobowe powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich. 6 1. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, administrator sieci ustala odrębny identyfikator i hasło. 2. Hasło powinno składać się, co najmniej z 8 znaków i zawierać małe i wielkie litery oraz cyfry i znaki specjalne. 3. Hasło użytkowników należy zmieniać nie rzadziej jak jeden raz na miesiąc. 4. Dostęp do danych osobowych przetwarzanych w systemie może odbywać się wyłącznie po podaniu identyfikatora i właściwego hasła. 5. Identyfikator, o którym mowa wyżej wpisuje się do ewidencji określonej w art. 39 ust. l ustawy o ochronie danych osobowych wraz z imieniem i nazwiskiem użytkownika oraz rejestruje w systemie informatycznym 6. Identyfikatory, które utraciły ważność należy wyrejestrować, a ich hasła unieważnić. 7. W czasie przerw w pracy komputer, na którym przetwarzane są dane osobowe musi być zablokowany. Osoby przetwarzające dane osobowe po zakończeniu pracy muszą wyrejestrować się z systemu. 8. Kopie baz danych, w których zawarte są dane osobowe, wykonywane muszą być codziennie. Jedna kopia z tygodnia powinna być przechowywana poza budynkiem, w którym znajduje się serwer, pozostałe kopie powinny być przechowywane w kasach pancernych. 7 1. W przypadku konieczności udostępnienia danych osobowych, administrator udostępnia posiadane w zbiorze dane osobowe osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2. Dane osobowe mogą być udostępnione innym osobom niż wymienione w ust. l, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. 3. Dane osobowe udostępnia się na pisemny wniosek, chyba, że przepis innej ustawy stanowi inaczej. 4. Udostępnione dane osobowe można wykorzystywać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Postanowienia instrukcji dotyczą w odpowiednim zakresie również postępowania przy przetwarzaniu danych osobowych zgromadzonych w formie katalogów, teczek itp. 8 Zatwierdzam:
Załącznik nr 3 do Zarządzenia nr 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30.06.2006 r. Wzór upoważnienia do przetwarzania danych osobowych Imię i nazwisko osoby upoważnionej: Stanowisko służbowe: Komórka organizacyjna:. Data nadania upoważnienia: Data ustania upoważnienia:.. Identyfikator w SILP:... Zakres upoważnienia do przetwarzania danych osobowych: Ekran (ścieżka dojścia do menu) Nazwa tabeli SILP Aplikacja Opis Upoważniony pracownik zobowiązuje się zachować tajemnicę przetwarzanych danych osobowych oraz przestrzegać Zarządzenie Nadleśniczego Nadleśnictwa Szczebra nr 21/2006 z dnia 30.06.2006 r. w sprawie wyznaczenia administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych w biurze Nadleśnictwa Szczebra w Szczebrze. Podpis pracownika: Podpis Nadleśniczego: Zatwierdzam: