Załcznik Nr 1 do Zarzdzenia Nr / 05 Starosty Pabianickiego z dnia 23 maja 2005 roku Instrukcja zarzdzania systemem informatycznym słucym do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach Rozdział I Procedury nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynnoci 1 1. Uprawnienia do korzystania z systemu informatycznego przetwarzajcego dane osobowe nadawane s przez Starost Pabianickiego - Administratora Danych na wniosek bezporedniego przełoonego pracownika, zaopiniowany przez Administratora Bezpieczestwa Informacji. Wniosek składany jest za porednictwem Administratora Bezpieczestwa Informacji. 2. Naczelnik wydziału lub kierownik komórki organizacyjnej wnioskujcy o zatrudnienie nowego pracownika, obowizany jest wskaza we wniosku o zatrudnienie czy pracownik ten na zajmowanym stanowisku bdzie i w jakim zakresie przetwarzał dane osobowe w systemie informatycznym. 3. Inspektor Biura Zarzdu Powiatu prowadzcy sprawy kadrowe po uzyskaniu informacji o tym, e nowo zatrudniony pracownik w ramach zajmowanego stanowiska bdzie przetwarzał dane osobowe w systemie informatycznym, odnotowuje ten fakt w odpowiedniej rubryce Karty obiegowej pracownika przyjmowanego do pracy. 2 1. Wniosek o nadanie pracownikowi dostpu do systemu informatycznego przetwarzajcego dane osobowe winien zawiera: 1) Nazwisko i imi pracownika oraz ewentualnie identyfikator słubowy. 2) Nazw stanowiska pracy. 3) Opis stanowiska lub zakres obowizków zwizanych z przetwarzaniem danych osobowych. 4) Okrelenie wnioskowanego zakresu danych osobowych i sposobu ich przetwarzania. 5) Uzasadnienie wnioskowanego zakresu danych osobowych. 2. Wzór wniosku okrela załcznik nr 1. 3 1. Wniosek, o którym mowa w 2 jest przekazywany przez przełoonego pracownika Administratorowi Bezpieczestwa Informacji, który winien wyda stosown opini i przygotowa projekt decyzji upowanienia Administratora Danych, w terminie trzech dni roboczych od dnia jego otrzymania.
2. W szczególnych wypadkach termin rozpatrzenia wniosku moe ulec wydłueniu. 4 Administrator Bezpieczestwa Informacji przy rozpatrywaniu wniosku winien wzi pod uwag: 1. Zakres obowizków pracownika. 2. Zasad wiedzy uzasadnionej 3. Zasad separacji uprawnie, z uwzgldnieniem: 1) wnioskowanego zakresu uprawnie, 2) zakresu uprawnie posiadanych w danej chwili przez pracownika. 4. Zaufanie do pracownika wynikajce z przebiegu jego zatrudnienia i jego ewentualnego współudziału w incydentach zwizanych z bezpieczestwem przetwarzanych informacji. 5 1. Administrator Bezpieczestwa Informacji wydaje opini i przygotowuje projekt decyzji upowanienia Administratora Danych, w której moe: 1) Wyrazi zgod na nadanie uprawnie zgodnie z zakresem wnioskowanym przez przełoonego pracownika. 2) Wyrazi zgod na nadanie ograniczonych uprawnie zawierajcych si w zakresie wnioskowanym przez przełoonego pracownika. 3) Nie wyrazi zgody na nadanie uprawnie danemu pracownikowi. 2. Wzór decyzji upowanienia okrela załcznik nr 2. 3. Administrator Bezpieczestwa Informacji przechowuje kopie wydanych decyzji upowanie do przetwarzania danych osobowych. 6 1. W kadym z przypadków okrelonych w 5, Administrator Danych, po uzyskaniu opinii Administratora Bezpieczestwa Informacji, przekazuje decyzj - upowanienie osobie wnioskujcej o nadanie uprawnie pracownikowi. 2. Od opinii wydanej przez Administratora Bezpieczestwa Informacji przełoony pracownika moe odwoła si do Starosty Pabianickiego. 3. Decyzja Starosty Pabianickiego jest ostateczna. 7 1. Administrator Bezpieczestwa Informacji informuje o zakresie obowizków i odpowiedzialnoci pracownika, któremu nadano uprawnienia do dostpu do systemu informatycznego przetwarzajcego dane osobowe, za ochron danych osobowych. 2. Zakres odpowiedzialnoci, o którym mowa w ust.1 w szczególnoci obejmuje: 1) Zabezpieczenie informacji poprzez nieujawnianie hasła do korzystania z systemu informatycznego oraz wprowadzanie hasła w sposób zabezpieczajcy je przed podejrzeniem przez inne osoby. 2) Blokowanie stacji roboczej, w czasie gdy pracownik przebywa poza swoim stanowiskiem pracy. 3) Wyłcznie aplikacji przetwarzajcej dane osobowe, w czasie gdy w pomieszczeniu przebywaj osoby nieuprawnione do dostpu do tych danych, a
istnieje realne zagroenie podejrzenia wywietlanych na monitorze komputera danych. 4) Przestrzeganie zasad bezpieczestwa zwizanych z korzystaniem z noników przenonych, na których zostały zapisane dane osobowe. 5) Przekazywanie danych osobowych wewntrz systemu lub sieci informatycznej zgodnie z wymaganiami w zakresie ich zabezpieczenia. 6) Zabezpieczenie dostpu do obszaru, w którym odbywa si przetwarzanie danych osobowych poprzez zamykanie drzwi i okien oraz niedopuszczanie osób nieupowanionych do przebywania w tym obszarze. 7) Zachowanie w tajemnicy danych osobowych równie po ustaniu zatrudnienia. 8) Zachowanie w tajemnicy haseł, równie po utracie ich wanoci. 9) Zachowanie w tajemnicy informacji na temat procesów przetwarzania danych osobowych, równie po ustaniu zatrudnienia. 10) Zachowanie w tajemnicy informacji na temat sposobów zabezpieczenia danych osobowych, równie po ustaniu zatrudnienia. 8 Nadanie pracownikowi uprawnie do korzystania z systemu informatycznego przetwarzajcego dane osobowe obejmuje: 1. Przeprowadzenie szkolenia w zakresie bezpieczestwa danych osobowych przetwarzanych w systemie informatycznym oraz prawnych aspektów ochrony tych danych. 2. Poinformowanie o indywidualnym zakresie odpowiedzialnoci pracownika, któremu nadaje si uprawnienia do przetwarzania danych osobowych, za ochron danych przed niepowołanym dostpem, nieuzasadnion modyfikacj lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem oraz 3. Podpisanie przez pracownika aneksu do zakresu obowizków, uprawnie odpowiedzialnoci i zobowizanie si do jego przestrzegania dokument ten sporzdzany jest w 4 egzemplarzach z czego jeden egzemplarz przechowywany jest przez Administratora Bezpieczestwa Informacji, drugi egzemplarz otrzymuje inspektor Biura Zarzdu Powiatu prowadzcy sprawy kadrowe, trzeci egzemplarz bezporedni przełoony pracownika, czwarty za egzemplarz otrzymuje pracownik. Wzór aneksu okrela załcznik nr 3. 4. Wydanie przez Administratora Bezpieczestwa Informacji, podpisanego przez Starost Pabianickiego jako Administratora Danych, pisemnego upowanienia pracownika do obsługi systemu informatycznego oraz urzdze wchodzcych w jego skład, słucych do przetwarzania danych osobowych. Upowanienie to okrela zakres uprawnie nadawanych pracownikowi. 5. Przydzielenie uytkownikowi identyfikatora w postaci DOnnn, gdzie nnn jest numerem ewidencyjnym pracownika, numer ten jest niepowtarzalny konto w systemie informatycznym jest wprowadzane przez Administratora Bezpieczestwa Informacji. Identyfikator uytkownika winien mu by nadany tylko raz i nie powinien by póniej zmieniany. 6. Skonfigurowanie uprawnie uytkownika w ramach konta zgodnie z zakresem uprawnie zatwierdzonych przez Administratora Bezpieczestwa Informacji. 7. Wygenerowanie tymczasowego, losowego hasła dla uytkownika i przekazanie go uytkownikowi w zamknitej kopercie. Konto uytkownika powinno by skonfigurowane w ten sposób, aby przy pierwszym logowaniu si system wymusił zmian hasła. Za wygenerowanie hasła odpowiada Administrator Bezpieczestwa
Informacji, który wydaje pracownikowi kopert z hasłem za pokwitowaniem zawierajcym klauzul zobowizujca pracownika do zachowania w tajemnicy haseł do systemu informatycznego przetwarzajcego dane osobowe, równie po upływie okresu ich wanoci. 8. Zaopatrzenie ekranu monitora komputerowego w wygaszacz z ustawion opcj wymagania hasła, które po upływie maksymalnie 1 minuty nieaktywnoci uytkownika automatycznie wyłcza funkcje eksploatacji ekranu. 9. Administrator Bezpieczestwa Informacji fakt wykonania czynnoci wymienionych w ust. 1 8, 1) w przypadku nowo zatrudnianego pracownika - potwierdza przez złoenie własnorcznego podpisu w odpowiedniej rubryce Karty obiegowej nowo zatrudnianego pracownika i dokonuje stosownego zapisu w czci II decyzji - upowanienia, o której mowa w 5 ust.2. 2) w przypadku pozostałych pracowników dokonuje stosownego zapisu w czci II decyzji - upowanienia, o której mowa w 5 ust.2. 9 Zmiana uprawnie uytkownika w systemie informatycznym przetwarzajcym dane osobowe wymaga przekazania przez przełoonego pracownika Administratorowi Bezpieczestwa Informacji wniosku zawierajcego: 1. Nazwisko i imi pracownika oraz ewentualnie identyfikator słubowy. 2. Nazw stanowiska pracy 3. Opis stanowiska pracy lub zakres obowizków zwizanych z przetwarzaniem danych osobowych. 4. Okrelenie wnioskowanego zakresu zmian w uprawnieniach ze szczególnym wskazaniem: 1) uprawnie, które powinny zosta odebrane, 2) uprawnie, które powinny zosta nadane. 5. Uzasadnienie wnioskowanego zakresu danych osobowych. 10 1. Po zatwierdzeniu zakresu uprawnie przez Administratora Bezpieczestwa Informacji uprawnienia pracownika s zmieniane. 2. Fakt dokonania zmiany zakresu uprawnie Administrator Bezpieczestwa Informacji odnotowuje w czci III decyzji upowanienia, o której mowa w 5 ust.2. 11 1. Administrator Bezpieczestwa Informacji ma prawo ograniczy uprawnienia uytkownika w systemie informatycznym, w razie gdy posiadany przez uytkownika zakres uprawnie stanowi zagroenie dla bezpieczestwa systemu i przetwarzanych w nim danych. 2. W sytuacji, o której mowa w ust.1: 1) Administrator Bezpieczestwa Informacji dokonuje odebranie okrelonych uprawnie uytkownikowi 2) Administrator Bezpieczestwa Informacji informuje o fakcie odebrania uprawnie przełoonego pracownika oraz pracownika. 3) Przełoony pracownika ma prawo odwoła si od decyzji Administratora
Bezpieczestwa Informacji do Starosty Pabianickiego jako Administratora Danych. Decyzja Starosty Pabianickiego jest ostateczna. 12 Całkowite odebranie uprawnie pracownikowi do korzystania z systemu informatycznego przetwarzajcego dane osobowe winno mie miejsce, gdy: 1. Z pracownikiem została rozwizana umowa o prac, 2. Zakres obowizków słubowych pracownika uległ zmianie, która spowodowała utrat potrzeby korzystania z systemu informatycznego przetwarzajcego dane osobowe. 3. Pracownik spowodował swoim celowym działaniem incydent majcy negatywny wpływ na bezpieczestwo systemu informatycznego i przetwarzanych w nim danych osobowych. 4. Istnieje uzasadniona obawa, e korzystanie przez pracownika z systemu informatycznego przetwarzajcego dane osobowe wie si z powanym ryzykiem utraty poufnoci, integralnoci lub dostpnoci tych danych. 13 Odebranie uprawnie do korzystania z systemu informatycznego przetwarzajcego dane osobowe moe nastpi na podstawie: 1. Pisemnego wniosku przełoonego pracownika w zwizku ze zmian zakresu obowizków, uprawnie i odpowiedzialnoci pracownika upowanionego do przetwarzania danych osobowych. 2. Karty obiegowej wystawionej przez Inspektora Biura Zarzdu Powiatu prowadzcego sprawy kadrowe, w zwizku z rozwizaniem stosunku pracy z pracownikiem upowanionym do przetwarzania danych osobowych. 3. Decyzji Administratora Bezpieczestwa Informacji w zwizku z racym naruszeniem obowizujcych przepisów i procedur obowizujcych przy przetwarzaniu danych osobowych. 14 Proces odebrania uprawnie obejmuje: 1. Przekazanie wniosku o odebranie uprawnie do korzystania z systemu informatycznego przetwarzajcego dane osobowe do Administratora Bezpieczestwa Informacji ( za wyjtkiem sytuacji, gdy odebranie uprawnie ma mie miejsce na wniosek Administratora Bezpieczestwa Informacji) z okreleniem: 1) imienia i nazwiska oraz numeru ewidencyjnego pracownika, 2) przyczyny koniecznoci odebrania uprawnie. 2. Dokonanie przez Administratora Bezpieczestwa Informacji uniewanienia hasła, zablokowania konta uytkownika, odebrania wszelkich uprawnie do zasobów systemu przypisanych do tego konta, wyrejestrowanie identyfikatora oraz likwidacji konta. Czynnoci te powinny zosta wykonane w cigu 2 godzin od chwili otrzymania wniosku. 3. Potwierdzenie przez Administratora Bezpieczestwa Informacji wykonania stosownych czynnoci, przez złoenie własnorcznego podpisu w odpowiedniej rubryce Karty obiegowej pracownika oraz w czci III decyzji upowanienia, o której mowa w 5 ust.2.
15 1. Administrator Bezpieczestwa Informacji prowadzi ewidencj osób zatrudnionych przy przetwarzaniu danych osobowych. 2. Ewidencja, o której mowa w ust.1, obejmuje: 1) Lp. 2) Imi i nazwisko pracownika, komórka organizacyjna, stanowisko. 3) Dat nadania upowanienia dostpu do danych osobowych, nr decyzji. 4) Dat ustania upowanienia dostpu do danych osobowych. 5) Zakres upowanienia dostpu do danych osobowych. 6) Identyfikator uytkownika w systemie informatycznym. 7) Uwagi Wzór ewidencji okrela załcznik nr 4 4. Załcznikami do ewidencji s: 1) Wniosek o nadanie, odebranie oraz zmian uprawnie. 2) Decyzja upowanienie wydane przez Administratora Danych. 3) Aneks do zakresu obowizków, uprawnie i odpowiedzialnoci pracownika. 4) Pokwitowanie odebrania hasła tymczasowego przez pracownika. 5) Inne dokumenty zwizane z procesem zarzdzania uprawnieniami pracowników do dostpu do danych osobowych przetwarzanych w systemie informatycznym. 5. Administrator Bezpieczestwa Informacji jest zobowizany do prowadzenia ewidencji na bieco i dołoenia wszelkich stara, aby była ona rzetelna i odzwierciedlała istniejcy stan rzeczy. Rozdział II Stosowane metody i rodki uwierzytelnienia oraz procedury zwizane z ich zarzdzaniem i uytkowaniem 16 1. System informatyczny przetwarzajcy dane osobowe musi posiada mechanizm uwierzytelniajcy uytkownika, wykorzystujcy identyfikator i hasło. 2. System informatyczny musi posiada mechanizm wymuszajcy zmian hasła po upływie 30 dni od dnia ostatniej zmiany hasła. 3. System informatyczny musi posiada mechanizm pozwalajcy na wymuszanie jakoci hasła. 4. System informatyczny powinien posiada mechanizmy automatycznego generowania przez Administratora Bezpieczestwa Informacji haseł dla uytkowników, które mog by włczone przez niego w uzasadnionych przypadkach. 5. System informatyczny słucy do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach powinien posiada zaimplementowane mechanizmy techniczne pozwalajce na: 1) Wymuszanie hasła tymczasowego. 2) Wymuszanie okresowej zmiany hasła. 3) Kontrol jakoci hasła. 4) Sprawdzanie, czy wprowadzone hasło róni si od piciu ostatnio stosowanych.
17 1. Dostp do systemu informatycznego jest moliwy wyłcznie po podaniu identyfikatora i właciwego hasła. 2. Za przydzielenie identyfikatora uytkownikowi odpowiada Administrator Bezpieczestwa Informacji. 3. Identyfikator jest w sposób jednoznaczny przypisany uytkownikowi i nie moe by zmieniany. 4. Administrator Bezpieczestwa Informacji prowadzi wykaz identyfikatorów wraz z nazwiskiem i imieniem, której został on przydzielony. 5. Identyfikator nie moe by powtórnie przydzielony innej osobie. 18 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za wygenerowanie dla nowego uytkownika hasła tymczasowego. 2. Hasło tymczasowe powinno by przekazane uytkownikowi za pokwitowaniem w zamknitej kopercie. 3. Przy pierwszym dostpie do systemu informatycznego przetwarzajcego dane osobowe hasło tymczasowe powinno zosta zmienione. 4. Zapisane hasło tymczasowe uytkownik winien zniszczy. 19 Hasło uywane do dostpu do systemu informatycznego przetwarzajcego dane osobowe powinno spełnia poniej opisane warunki: 1. Nie powinno by krótsze ni 8 znaków. 2. Powinno zawiera litery, cyfry i znaki specjalne. 3. Nie powinno by słowem ze słownika, imieniem, nazwiskiem, dat urodzenia, numerem telefonu itp. 20 1. Hasło jest zmieniane przez uytkownika co najmniej raz na miesic. 2. Nowe hasło powinno by róne od piciu ostatnio uywanych przez pracownika haseł. 21 Uytkownik jest zobowizany do: 1. Nieujawniania hasła innym osobom. 2. Zachowania hasła w tajemnicy równie po wyganiciu jego wanoci. 3. Niezapisywaniu hasła. 4. Przestrzegania zasad dotyczcych jakoci i czstotliwoci zmian hasła. 5. Wprowadzania hasła do systemu informatycznego przetwarzajcego dane osobowe w sposób minimalizujcy ryzyko podejrzenia go. 22 1. W przypadku zapomnienia hasła uytkownik zwraca si do Administratora Bezpieczestwa Informacji o wygenerowanie nowego hasła tymczasowego.
2. Nowe hasło tymczasowe uytkownik otrzymuje za pokwitowaniem w zamknitej kopercie i jest zobowizany do jego zmiany po zalogowaniu si do systemu informatycznego oraz do zniszczenia zapisanego hasła. 3. Fakt wygenerowania nowego hasła tymczasowego jest odnotowywany przez Administratora Bezpieczestwa Informacji. 23 W wypadku wykorzystywania przez uytkownika w systemie informatycznym przetwarzajcym dane osobowe kilku rónych haseł ze wzgldu na wielopoziomowe uwierzytelnienie (np. oddzielnie dla systemu operacyjnego i oddzielnie dla aplikacji) reguły opisane w niniejszym rozdziale odnosz si do wszystkich poziomów uwierzytelnienia. 24 Osoby uprawnione do wykonywania prac administracyjnych w systemie informatycznym przetwarzajcym dane osobowe posiadaj własne konta administracyjne, do których maj przydzielone hasła. Zasady zarzdzania hasłami s analogiczne, jak w przypadku zwykłych haseł uytkowników. 25 Administrator Bezpieczestwa Informacji jest odpowiedzialny za nadzorowanie funkcjonowania mechanizmów uwierzytelniajcych. Rozdział III Procedury rozpoczcia, zawieszenia i zakoczenia pracy przeznaczone dla uytkowników 26 Rozpoczcie pracy w systemie informatycznym przetwarzajcym dane osobowe odbywa si poprzez: 1) Przygotowanie stanowiska pracy. 2) Włczenie stacji roboczej 3) Wybranie odpowiedniej opcji umoliwiajcej logowanie do systemu. 4) Zalogowanie si do systemu przez wprowadzenie swojego identyfikatora i hasła. 27 1. Rozpoczcie pracy uytkownika w systemie informatycznym obejmuje wprowadzenie identyfikatora i hasła w sposób minimalizujcy ryzyko podejrzenia przez osoby nieupowanione oraz ogólne stwierdzenie poprawnoci działania systemu. 2. Uytkownik powinien powiadomi Administratora Bezpieczestwa Informacji zgodnie z instrukcj postpowania w sytuacji naruszenia ochrony danych osobowych, jeeli: 1) Wygld aplikacji odbiega od stanu normalnego.
2) Pewne opcje dostpne uytkownikowi w normalnej sytuacji, przestały by dostpne lub te pewne opcje, niedostpne w normalnej sytuacji, stały si dostpne. 3) Sposób działania aplikacji znaczco odbiega od normalnego stanu. 4) Zakres danych lub sposobu ich przedstawiania przez aplikacj odbiega od stanu normalnego. 1. System informatyczny przetwarzajcy dane osobowe musi posiada mechanizmy pozwalajce na okrelenie uprawnie uytkownika do korzystania z przetwarzanych informacji. 2. Uprawnienia, o którym mowa w ust.1, mog w szczególnoci obejmowa: 1) Prawo do odczytu danych. 2) Prawo do odczytu wartoci statystycznych dla okrelonej populacji danych, 3) Prawo do modyfikacji istniejcych danych. 4) Prawo do usuwania danych. 5) Prawo do przekazywania (przesyłania) danych. 28 29 1. Precyzja okrelania uprawnie jest uzaleniona od specyfiki systemu informatycznego, w którym przetwarzane s dane osobowe i wyników analizy ryzyka. 2. Uprawnienia, o których mowa w ust.1, mog by uzalenione od: 1) Identyfikatora zbioru danych. 2) Semantyki danych. 3) Historii dostpu do danych. 4) Identyfikatora stacji roboczej, z której korzysta uytkownik. 5) Czasu, w jaki uytkownik korzysta z danych. 6) Innych uytkowników korzystajcych w tym samym czasie z danych. 7) Identyfikatorów ewentualnych odbiorców danych. 8) Przypisanie identyfikatorowi uytkownika roli, której zostały przypisane przywileje. 9) Włczenie identyfikatora uytkownika do grupy, dla której okrelono przywileje. 30 1. W systemie informatycznym przetwarzajcym dane osobowe nowo stworzony identyfikator uytkownika nie powinien posiada adnych praw do korzystania z przetwarzanych zasobów informacyjnych. 2. Nadanie przywilejów odbywa si explicite i odpowiedzialny jest za to Administrator Bezpieczestwa Informacji. 31 1. Kady dostp uytkownika do zasobów informacyjnych przetwarzanych w systemie informatycznym musi by poprzedzony weryfikacj uprawnie uytkownika. 2. System informatyczny powinien posiada mechanizm pozwalajcy na odebranie uytkownikowi wszystkich uprawnie do przetwarzanych zasobów informacyjnych.
32 1. System informatyczny przetwarzajcy dane osobowe powinien, w miar technicznych moliwoci, posiada mechanizmy umoliwiajce okrelenie uprawnie do przekazywania informacji innym uytkownikom, pozwalajce na kontrol przepływu informacji. 2. Uprawnienia, o których mowa w ust.1, w szczególnoci powinny okrela: 1) Rodzaj i zakres danych osobowych. 2) Identyfikatory odbiorców danych osobowych. 33 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za okrelenie efektywnych metod autoryzacji uytkowników w poszczególnych elementach systemu informatycznego przetwarzajcego dane osobowe, w sposób zapewniajcy właciwy poziom bezpieczestwa i wydajnoci systemu, z uwzgldnieniem pokrywania si zakresów funkcjonalnoci pewnych metod. 2. W szczególnoci Administrator Bezpieczestwa Informacji winien uwzgldni mechanizmy autoryzacji uytkowników w: 1) Systemach operacyjnych. 2) Systemach zarzdzania bazami danych. 3) Aplikacjach. 4) Aktywnych elementach sieciowych i oprogramowaniu wspierajcym kontrol przepływu danych w sieci informatycznej. 34 Administrator Bezpieczestwa Informacji jest odpowiedzialny za nadzór nad funkcjonowaniem mechanizmów autoryzacji uytkowników. 35 Zakoczenie pracy w systemie informatycznym przetwarzajcym dane osobowe odbywa si poprzez: 1) Zamknicie aplikacji. 2) Odłczenie si od zasobów systemowych. 3) Zamknicie systemu operacyjnego. 4) Wyłczenie stacji roboczej. 36 1. Zabrania si uytkownikom pracujcym w systemie informatycznym przetwarzajcym dane osobowe : 1) Udostpniania stacji roboczej osobom nieupowanionym. 2) Udostpniana stacji roboczej do konserwacji lub naprawy bez porozumienia z Administratorem Bezpieczestwa Informacji. 3) Uywania nielicencjonowanego oprogramowania komputerowego. 2. Zasady uytkowania oprogramowania komputerowego w Starostwie Powiatowym w Pabianicach okrela odrbne zarzdzenie Starosty Pabianickiego.
Rozdział IV Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzdzi programowych słucych do ich przetwarzania 37 1. Dane osobowe przetwarzane w systemie informatycznym podlegaj zabezpieczeniu poprzez tworzenie kopii zapasowych. 2. Za proces tworzenia kopii zapasowych odpowiada Administrator Bezpieczestwa Informacji. 3. W szczególnoci Administrator Bezpieczestwa Informacji okrela: 1) Czstotliwo tworzenia kopii zapasowych wynikajc z czstotliwoci wprowadzania zmian do zabezpieczanych danych, 2) Techniczny sposób tworzenia kopii zapasowych, w szczególnoci sprzt, oprogramowanie i noniki, których wykorzystanie uzasadnione jest moliwoci współpracy z istniejc w Starostwie Powiatowym w Pabianicach infrastruktur informatyczn oraz wielkoci danych osobowych, które podlegaj zabezpieczeniu poprzez utworzenie kopii, 3) Rodzaj kopii zapasowych (pełne, przyrostowe, rónicowe). 38 Administrator Bezpieczestwa Informacji jest odpowiedzialny za: 1. Wyznaczenie grafiku tworzenia kopii zapasowych, z uwzgldnieniem wymaga w zakresie czstotliwoci ich tworzenia. 2. Proces tworzenia kopii zapasowych. 3. Proces weryfikacji poprawnoci utworzenia kopii zapasowych. 4. Okresowe z czstotliwoci uzalenion od czasu przechowywania kopii testowanie moliwoci odtworzenia danych z kopii zapasowych. 5. Zabezpieczenie dostaw noników wykorzystywanych do tworzenia kopii zapasowych. 6. Koordynacj procesu odtwarzania danych w razie wystpienia awarii. 39 1. Noniki kopii zapasowych s przechowywane w pomieszczeniu innym ni to, w którym znajduje si sprzt informatyczny przetwarzajcy dane osobowe. 2. Pomieszczenie, w którym przechowywane s kopie zapasowe, powinno by zabezpieczone ze wzgldu na: 1) Ochron przed dostpem osób nieupowanionych. 2) Ochron przed niewłaciwymi warunkami klimatycznymi (temperatura, wilgotno). 3) Ochron przed promieniowaniem elektromagnetycznym. 4) Ochron przed zalaniem (np. na skutek awarii sieci wodocigowej). 2. Noniki kopii zapasowych powinny by przechowywane w ogniotrwałym sejfie. 3. Przy przenoszeniu noników kopii zapasowych z miejsca ich tworzenia do miejsca przechowywania naley zabezpieczy je przed kradzie, zagubieniem lub zniszczeniem. Noniki powinny by przenoszone w zamknitym pojemniku, przez dwie, upowanione do tego przez Administratora Bezpieczestwa Informacji, osoby.
40 1. W Starostwie Powiatowym w Pabianicach wykonywane s kopie zapasowe nastpujcych zbiorów: 1) zawierajce dane osobowe, 2) zawierajce dane słuce do prawidłowego funkcjonowania systemu informatycznego Starostwa Powiatowego w Pabianicach, 3) zawierajce inne dane wytwarzane przez pracowników Starostwa Powiatowego w Pabianicach i przechowywane na serwerze/ serwerach Starostwa Powiatowego w Pabianicach na podstawie odrbnych przepisów. 2. Kopie zapasowe zawierajce tworzy si w nastpujcy sposób: 1) Raz na miesic wykonywana jest pełna kopia zapasowa wszystkich zbiorów zawierajcych dane osobowe. Kopie te wykonywane s na nonikach magnetycznych przy pomocy odpowiednich urzdze (streamer). Kopie miesiczne przechowywane s przez okres nie krótszy ni 3 miesice i nie dłuszy ni pół roku. O okresie przechowywania tych kopii decyduje Administrator Bezpieczestwa Informacji. 2) Codziennie wykonywana jest kopia zapasowa wszystkich zbiorów zawierajcych dane osobowe. Pełny cykl kopii przyrostowej wynosi od piciu do siedmiu dni, w zalenoci od decyzji Administratora Bezpieczestwa Informacji. 3) Kopia zapasowa zbiorów, o których mowa w ust.1 pkt. 2 wykonywana jest przy kadej zmianie majcej znaczenie dla prawidłowego funkcjonowania systemu informatycznego Starostwa Powiatowego w Pabianicach. Kopie te nie mog zawiera adnych zbiorów zawierajcych dane osobowe. Kopie te przechowywane s na nonikach optycznych (płytach CD). Okres przechowywania kadej kopii okrela za kadym razem Administrator Bezpieczestwa Informacji, jednak nie moe by on krótszy ni 3 miesice. Na kadym noniku musi by wyranie zapisana data sporzdzenia kopii oraz przewidywana data jej zniszczenia. 4) Raz na 6 miesicy wykonywana jest pełna kopia zapasowa zbiorów, o których mowa w ust. 1 pkt 1-3. Kopie wykonywane s na nonikach magnetycznych (kasetach) przy pomocy odpowiednich urzdze (streamer). Kopie te s przechowywane przez okres dwóch lat. 5) Po przekroczeniu okresu przechowywania kopii zapasowych, o których mowa w pkt 1-4 noniki wykorzystane do ich sporzdzenia s w zalenoci od dalszej przydatnoci nonika wykorzystywane ponownie bd niszczone. 41 Kopie zapasowe informacji przechowywanych w systemie informatycznym przetwarzajcym dane osobowe tworzone s w nastpujcy sposób: 1. Kopia zapasowa aplikacji przetwarzajcej dane osobowe pełna kopia wykonywana jest po wprowadzeniu zmian do aplikacji, kopie umieszcza si na nonikach optycznych, kopia wystpuje w dwóch egzemplarzach, przy czym jeden egzemplarz przechowywany jest pomieszczeniu wskazanym w 4, a drugi w Powiatowym Orodku Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach przy ul. Kociuszki 24. 2. Kopia zapasowa danych osobowych przetwarzanych przez aplikacj pełna kopia wykonywana jest raz w miesicu w dwóch egzemplarzach, oba s przechowywane w
Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w 4, druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie wykonywana jest kopia przyrostowa lub rónicowa ( w zalenoci od specyfiki zmian informacji w systemie informatycznym) w jednym egzemplarzu przechowywana w Starostwie Powiatowym w Pabianicach. Rodzaj wykonywanej codziennej kopii okrela Administrator Bezpieczestwa Informacji. Kopie wykonywane s na noniku magnetycznym (kaseta). 3. Kopia zapasowa danych konfiguracyjnych systemu informatycznego przetwarzajcego dane osobowe, w tym uprawnie systemu pełna kopia wykonywana jest raz na miesic w dwóch egzemplarzach, oba s przechowywane w Starostwie Powiatowym w Pabianicach, jedna w pomieszczeniu wskazanym w 4, druga w pomieszczeniu Wydziału Komunikacji i Transportu. Codziennie moe by wykonywana kopia rónicowa w jednym egzemplarzu, o ile dane konfiguracyjne uległy zmianom. Kopie wykonywane s na noniku magnetycznym (kaseta). 4. Do tworzenia kopii zapasowych wykorzystywane s dedykowane do tego celu urzdzenia wchodzce w skład systemu informatycznego. 42 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za tworzenie grafiku okrelajcego kto, w jakie dni i o jakich godzinach tworzy kopie zapasowe. 2. Grafik, o którym mowa w ust.1, obowizuje na dany tydzie i jest publikowany najpóniej w czwartek poprzedniego tygodnia. 3. W razie koniecznoci wprowadzenia zmian w grafiku Administrator Bezpieczestwa Informacji wprowadza jak najszybciej stosowne zmiany. 4. Administrator Bezpieczestwa Informacji jest odpowiedzialny za dostarczanie grafiku wyznaczonym osobom oraz dopilnowanie jego realizacji. 5. Administrator Bezpieczestwa Informacji jest odpowiedzialny za dokonywanie okresowych zakupów noników kopii zapasowych. 43 Administrator Bezpieczestwa Informacji jest odpowiedzialny za tworzenie dokumentacji zarzdzania kopiami zapasowymi obejmujcej: 1. Zapis faktu utworzenia kopii, z uwzgldnieniem typu kopii i zakresu danych dziki niej zabezpieczonych. 2. Miejsce składowania kopii. 3. Wykonane testy odtworzeniowe z wykorzystaniem kopii zapasowej. 4. Wykorzystanie kopii zapasowej do odtworzenia danych w wyniku awarii. 5. Zniszczenie danych przechowywanych na noniku. 44 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za prowadzenie ewidencji noników uytych do przechowywania kopii zapasowych 2. Zapisy w ewidencji, o której mowa w ust.1, uwzgldniaj numery ewidencyjne noników. S one zapisywane w postaci: D1/S/T/D2 gdzie: D1 dzie utworzenia kopii,
S oznaczenie systemu, z którego dane zostały zapisane na kopii zapasowej lub zakresu danych, T - typ kopii zapasowej (pełny, przyrostowy, rónicowy), D2 - dzie utworzenia kolejnej kopii. 45 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za przeprowadzanie testów moliwoci odtworzenia danych z kopii zapasowych. 2. Administrator Bezpieczestwa Informacji w celu przeprowadzenia testów, o których mowa w ust.1, zabezpiecza platform sprztowo programow. 3. Testy przeprowadzane s raz na pół roku i obejmuj sprawdzanie moliwoci odtworzenia przechowywanych danych osobowych oraz danych konfiguracyjnych. 4. Administrator Bezpieczestwa Informacji sporzdza protokół potwierdzajcy wykonanie testów, uwzgldniajcy: 1) Imi i nazwisko osoby przeprowadzajcej test, 2) Powodzenie lub niepowodzenie odtworzenia danych z kopii zapasowej, 3) Czas potrzebny na odtworzenie danych, 4) Problemy, które pojawiły si w czasie wykonywania testu. 2. Negatywne wyniki testu lub zaistnienie problemów w trakcie odtwarzania danych moe sta si podstaw do zmiany sposobu tworzenia kopii zapasowej w Starostwie Powiatowym w Pabianicach lub zmiany technologii wykorzystywanej do tworzenia kopii (urzdzenia, noniki). 3. W przypadku wystpienia negatywnych wyników lub problemów Administrator Bezpieczestwa Informacji jest odpowiedzialny za przeprowadzenie analizy przyczyn i podjcia działa w celu zmniejszenia ryzyka utraty danych poprzez brak moliwoci odtworzenia kopii. Rozdział V Sposób, miejsce i okres przechowywania elektronicznych noników informacji zawierajcych dane osobowe oraz kopii zapasowych 46 1. Noniki danych osobowych zarówno w postaci elektronicznej, jak i papierowej winny by zabezpieczone przed dostpem osób nieupowanionych, nieautoryzowan modyfikacj i zniszczeniem. 2. Dane osobowe mog by zapisywane na nonikach przenonych w przypadku tworzenia kopii zapasowych lub gdy istnieje konieczno przeniesienia tych danych w postaci elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione, niemoliwe lub zbyt niebezpieczne. 3. Administrator Bezpieczestwa Informacji prowadzi ewidencj noników przenonych uywanych do zapisu danych osobowych z uwzgldnieniem: 1) Numeru ewidencyjnego nonika, 2) Rodzaju informacji zapisanych na noniku, 3) Nazwiska lub identyfikatora osoby, na której wniosek zapisano nonik, 4) Nazwiska lub identyfikatora osoby, która pierwotnie zapisała dane na noniku, 5) Daty pierwotnego zapisania danych na noniku, 6) Celu, w jakim dane te zostały zapisane,
7) Nazwisk lub identyfikatorów osób, które odczytywały lub modyfikowały dane zapisane na noniku, oraz dat, kiedy operacje te miały miejsce, 8) Miejsca przechowywania nonika, 9) Adnotacji o zniszczeniu nonika lub zapisanych na nim danych. 47 1. Noniki przenone (takie jak dyskietki, CD- ROMy itp.), na których przechowywane s dane osobowe podlegaj cisłej ewidencji i kontroli. 2. Kady nonik posiada numer ewidencyjny, postaci DO XXX - YYY, gdzie XXX oznacza nazw komórki organizacyjnej, w której zapisano dane na noniku, za YYY kolejny numer nonika w tej komórce organizacyjnej. 48 Administrator Bezpieczestwa Informacji sprawuje kontrol nad miejscem przechowywania noników przenonych zawierajcych dane osobowe oraz dostpem do nich pracowników Starostwa Powiatowego w Pabianicach lub innych osób. 49 Zapisanie danych osobowych na noniku przenonym moe nastpi tylko w sytuacji, gdy operacja taka jest uzasadniona, w szczególnoci ze wzgldu na: 1. Tworzenie kopii zapasowych danych osobowych przetwarzanych w systemie informatycznym. 2. Przenoszenie danych osobowych, jeeli przesyłanie ich z wykorzystaniem sieci informatycznych jest zbyt niebezpieczne, niemoliwe lub zbyt skomplikowane ze wzgldów technicznych lub organizacyjnych. 50 1. Nonik przenony moe by wykorzystany do przenoszenia danych osobowych pod warunkiem zabezpieczenia go przed kradzie lub utrat. 2. Nonik moe by przekazywany tylko pomidzy osobami upowanionymi do przetwarzania danych osobowych. 3. Nonik podlega szyfrowaniu, w szczególnoci gdy jest uywany do przenoszenia danych osobowych poza terenem Starostwa Powiatowego w Pabianicach. 4. W przypadkach uzasadnionych wynikami analizy ryzyka stosuje si podział danych pomidzy kilka noników w taki sposób, aby niemoliwe było odczytanie danych w sytuacji posiadania tylko jednego z nich. 5. Administrator Bezpieczestwa Informacji zapewni odpowiednie mechanizmy techniczne pozwalajce na właciwe zabezpieczenie noników przenonych. 51 Nonik przenony moe znajdowa si poza terenem Starostwa Powiatowego w Pabianicach w sytuacji gdy: 1) Jest to kopia zapasowa, któr zgodnie z obowizujcymi przepisami przechowuje si poza terenem Starostwa Powiatowego w Pabianicach.
2) Jest on przenoszony, a charakter transportu wymaga, aby znalazł si poza terenem Starostwa Powiatowego w Pabianicach. 3) Został on przekazany innemu podmiotowi, któremu Starosta Pabianicki jako Administrator Danych, był obowizany lub uprawniony przekaza dane osobowe. Przekazanie nonika innemu podmiotowi wymaga zgody Starosty Pabianickiego z uwzgldnieniem: a) wskazania osoby przekazujcej nonik, b) wskazania osoby odbierajcej nonik, c) potwierdzenia faktu przekazania nonika wraz z opisem jego zawartoci. Za przechowywanie potwierdze przekazania nonika odpowiada Administrator Bezpieczestwa Informacji. 52 1. Wydruki z danymi osobowymi oznaczane s numerami ewidencyjnymi w postaci DO W XXX - YYY, gdzie XXX oznacza nazw komórki organizacyjnej Starostwa Powiatowego w Pabianicach, w której stworzono wydruk, za YYY kolejny numer wydruku stworzonego w tej komórce organizacyjnej. 2. Administrator Bezpieczestwa Informacji prowadzi ewidencj wydruków danych osobowych ze szczególnym uwzgldnieniem faktu przekazania wydruku poza teren Starostwa Powiatowego w Pabianicach. 3. Ewidencja, o której mowa w ust.2, winna obejmowa: 1) Numer ewidencyjny wydruku, 2) Rodzaj informacji na wydruku, 3) Nazwisko lub identyfikator osoby, która sporzdziła wydruk, 4) Dat pierwotnego zapisania danych na noniku, 5) Cel, w jakim wydruk został sporzdzony, 6) Miejsce przechowywania nonika, 7) Adnotacj o przekazaniu wydruku poza teren Starostwa Powiatowego w Pabianicach lub zniszczenia wydruku. 2. Ewidencja wydruków sporzdzana jest w celu rozliczalnoci procesów przetwarzania informacji w systemie informatycznym przetwarzajcym dane osobowe. 53 1. Noniki danych osobowych oraz wydruki powinny by przechowywane w zamknitych szafkach wewntrz obszaru przeznaczonego do przetwarzania danych osobowych i nie powinny by bez uzasadnionej potrzeby wynoszone poza ten obszar. 2. Przekazywanie noników danych osobowych i wydruków poza teren Starostwa Powiatowego w Pabianicach moe odbywa si zgodnie z obowizujcymi przepisami. 54 1. Kopie zapasowe przechowywane s na terenie Starostwa Powiatowego w Pabianicach w sejfie zlokalizowanym w pomieszczeniach Wydziału Ochrony rodowiska, Rolnictwa i Lenictwa Starostwa Powiatowego w Pabianicach, przeznaczonym tylko i wyłcznie do przechowywania kopii zapasowych. Klucze od tego sejfu posiadaj Administrator Bezpieczestwa Informacji i Sekretarz Powiatu.
2. Jeeli obowizujce przepisy zobowizuj do sporzdzania dwóch kopii zapasowych, druga kopia przechowywana jest w Powiatowym Orodku Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach przy ul. Kociuszki 25. Klucze od szafy posiadaj Administrator Bezpieczestwa Informacji i Dyrektor Powiatowego Orodka Dokumentacji Geodezyjnej i Kartograficznej w Pabianicach. 3. Kopie zapasowe danych osobowych przetwarzanych w budynkach A, B i C Starostwa Powiatowego w Pabianicach, mog by przechowywane w pomieszczeniach w szafie metalowej umieszczonej w pokoju Naczelnika Wydziału Komunikacji i Transportu. Klucze od szafy posiadaj Administrator Bezpieczestwa Informacji i Naczelnik Wydziału Komunikacji. 55 1. Jeeli odrbne przepisy nie stanowi inaczej, w zalenoci od rodzaju przechowywanych informacji Administrator Bezpieczestwa Informacji jest odpowiedzialny za indywidualne okrelenie wymaganego czasu przechowywania noników danych osobowych, wydruków, jak równie danych osobowych w systemie informatycznym. 2. Administrator Bezpieczestwa Informacji okresowo publikuje list rodzajów informacji wraz z wymaganym czasem przechowywania danych osobowych. 3. Lista, o której mowa w ust.2, dystrybuowana jest wród wszystkich pracowników upowanionych do przetwarzania danych osobowych w systemie informatycznym. 4. W przypadku gdy informacje zawarte w wytworzonym dokumencie nie znajduj si na licie, o której mowa w ust. 2, lub istniej wtpliwoci co do ich zakwalifikowania, osoba, na której wniosek sporzdzono dokument, zobowizana jest zwróci si w przecigu 3 dni roboczych do Administratora Bezpieczestwa Informacji celem okrelenia wymaganego czasu przechowywania dokumentu. 56 1. Dane osobowe przechowywane na nonikach przenonych, jeeli nie s dłuej potrzebne, podlegaj procesowi bezpiecznego niszczenia. 2. Jeeli charakter nonika nie pozwala na usunicie z niego danych, nonik podlega trwałemu zniszczeniu. 3. Trwałe zniszczenie danych lub nonika odbywa si na zlecenie osoby, na której wniosek nonik zapisano, lub na zlecenie Administratora Bezpieczestwa Informacji. Rozdział VI Sposób zabezpieczenia systemu informatycznego przed działalnoci oprogramowania, którego celem jest uzyskanie nieuprawnionego dostpu do systemu informatycznego 57 1. System informatyczny przetwarzajcy dane osobowe powinien by wyposaony w mechanizmy ochrony antywirusowej, o ile: 1) System operacyjny wykorzystywany do przetwarzania danych osobowych lub aplikacje biorce udział w ich przetwarzaniu s naraone na wystpowanie wirusów.
2) Istnieje moliwo wprowadzenia do systemu informatycznego wirusów z zewntrz za porednictwem sieci informatycznej lub noników przenonych. 2. System informatyczny w Starostwie Powiatowym w Pabianicach chroniony bdzie przed działaniem wirusów komputerowych aktualnym oprogramowaniem antywirusowym aktualizowanym na bieco. 3. W celu przeciwdziałania wirusom i atakom zainfekowanych plików system Informatyczny bdzie skanowany przez Administratora Bezpieczestwa Informacji co 24 godziny pod ktem obecnoci w systemie wirusów i innych zagroe. 58 Mechanizmy ochrony antywirusowej wykorzystywane w systemie informatycznym przetwarzajcym dane osobowe winny cechowa si: 1. Moliwoci analizy danych wprowadzanych do systemu informatycznego za porednictwem sieci informatycznej poprzez analiz ruchu sieciowego i/lub integracj z aplikacjami słucymi do wymiany danych przy pomocy sieci informatycznej. 2. Moliwoci analizy noników danych uywanych do przenoszenia danych do systemu informatycznego. 3. Moliwoci przeprowadzania analizy wybranych katalogów z zapisanymi plikami pod ktem istnienia zagroenia ze strony wirusów. 4. Mechanizmowi pozwalajcemu na centralne zarzdzanie systemem antywirusowym. 5. Uaktualnianiem wzorców wirusów we wszystkich modułach systemu antywirusowego z jednego centralnego punktu. 6. Moliwoci automatycznego uruchamiania si modułów analizujcych zapisane dane pod ktem istnienia wirusów w zalenoci od czasu lub zaistniałego zdarzenia. Posiadaniem przez moduły systemu antywirusowego, w szczególnoci zainstalowane na stacjach roboczych uytkowników, cech uniemoliwiajcych wyłczenie ich funkcjonowania przez osob inn ni upowanion przez Administratora Bezpieczestwa Informacji. 7. Zarówno lokalnym, jak i centralnym zapisem wyników analizy, w szczególnoci faktu wykrycia wirusa, jego specyfiki i usunicia (o ile było ono moliwe). 59 1. W celu zapewnienia ochrony antywirusowej Administrator Bezpieczestwa Informacji jest odpowiedzialny za zarzdzanie systemem wykrywajcym i usuwajcym wirusy i inne niebezpieczne kody. 2. System antywirusowy powinien by skonfigurowany w nastpujcy sposób: 1) Skanowanie dysków zawierajcych potencjalnie niebezpieczne kody przy włczeniu komputera lub raz dziennie, 2) Skanowanie informacji przesyłanych do systemu informatycznego pod ktem pojawienia si niebezpiecznych kodów na bieco. 2. Administrator Bezpieczestwa Informacji ponadto powinien wydzieli obszary przestrzeni dyskowej, w której przechowywane s dane w formacie niepodlegajcym infekcji. Czstotliwo skanowania tych obszarów jest uzaleniona od ich rozmiaru, w szczególnoci moe by ona ograniczona do sprawdzenia, czy format wystpujcych tam danych nie pozwala na ich zainfekowanie. 60
Administrator Bezpieczestwa Informacji jest odpowiedzialny za: 1. Instalacj i konfiguracj systemu antywirusowego na wszystkich elementach systemu informatycznego przetwarzajcego dane osobowe, na których instalacja jest uzasadniona wynikami analizy ryzyka. 2. Uaktualnianie wzorców wirusów. 3. Analiz wyników działania systemu antywirusowego i reagowanie na fakt wykrycia wirusa poprzez: 1) Okrelenie ródła infekcji, 2) Usunicie wirusa, o ile nie zostało automatycznie wykonane przez system antywirusowy, 3) Podjcie kroków minimalizujcych ryzyko rozprzestrzeniania si wirusa, 4) Podjcie działa zmierzajcych do zapobieenia tego rodzaju wypadkom w przyszłoci. 2. Zarzdzanie systemem antywirusowym, w tym okrelenie warunków działania systemu, aby zapewni jego maksymaln efektywno przy jednoczesnej moliwie najwikszej minimalizacji negatywnego wpływu działania systemu antywirusowego na korzystanie przez uytkowników z systemu antywirusowego. 61 Systemy antywirusowe zainstalowane na stacjach roboczych powinny by skonfigurowane w nastpujcy sposób: 1. Zablokowanie moliwoci ingerencji uytkownika w ustawienia w ustawienia oprogramowania antywirusowego. 2. Moliwo centralnego uaktualniania wzorców wirusów. 3. Moliwo centralnego zbierania informacji o wynikach pracy oprogramowania. 4. Moliwo centralnej konfiguracji oprogramowania. 62 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za aktualizacj wzorców wirusów. 2. System antywirusowy powinien by aktualizowany na podstawie materiałów publikowanych przez producenta oprogramowania. 63 1. W przypadku wystpienia infekcji i braku moliwoci automatycznego usuwania wirusów przez system antywirusowy, Administrator Bezpieczestwa Informacji winien podj działania zmierzajce do usunicia zagroenia. 2. Działania, o których mowa w ust.1, w szczególnoci mog obejmowa: 1) Usunicie zainfekowanych plików, o ile jest to akceptowane ze wzgldu na prawidłowe funkcjonowanie systemu informatycznego, 2) Odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane zapisane na kopiach nie s zainfekowane, 3) Samodzieln ingerencj w zawarto pliku w zalenoci od posiadanych kwalifikacji lub skonsultowanie si z zewntrznymi ekspertami. Rozdział VII
Sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r 64 1. System informatyczny przetwarzajcy dane osobowe musi posiada mechanizmy pozwalajce na odnotowanie faktu wykonania operacji na danych. 2. Zapis, o którym mowa w ust.1, powinien w szczególnoci obejmowa: 1) rozpoczcie i zakoczenie pracy przez uytkownika w systemie informatycznym. 2) Operacje wykonywane na przetwarzanych danych, w szczególnoci: a) odczyt, w tym odczyt danych statystycznych, b) modyfikacj lub zapis, c) udostpnianie, d) usunicie. 3) Przesyłanie danych przetwarzanych w systemie informatycznym innym uytkownikom lub podmiotom. 4) Nieudane próby dostpu do systemu informatycznego przetwarzajcego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych przetwarzanych w systemie informatycznym. 5) Błdy w działaniu systemu informatycznego podczas pracy danego uytkownika. 65 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za okrelenie i przypisanie poszczególnym zdarzeniom stopnia krytycznoci, odzwierciedlajcego znaczenie operacji wykonanej przez uytkownika lub zaistniałego zdarzenia dla bezpieczestwa przetwarzanych danych osobowych. 2. Stosuje si nastpujce stopnie krytycznoci: 1) krytyczne operacja lub zdarzenie moe mie krytyczne znaczenie dla bezpieczestwa przetwarzanych danych osobowych lub prawidłowego funkcjonowania systemu informatycznego przetwarzajcego dane osobowe. 2) Istotne operacja lub zdarzenie w istotny sposób wpływa na dane osobowe i moliwo ich poprawnego i bezpiecznego przetwarzania. 3) Normalne operacja lub zdarzenie wystpuje normalnie w przypadku przetwarzania w systemie informatycznym danych osobowych i nie ma specjalnego wpływu na ich bezpieczestwo. 66 Zapis działa uytkowników uwzgldnia: 1. Identyfikator uytkownika. 2. Dat i czas, w jakim zdarzenie miało miejsce. 3. Identyfikator stacji roboczej, z której korzysta uytkownik. 4. Rodzaj zdarzenia. 5. Okrelenie informacji, których zdarzenie dotyczy w zalenoci od moliwoci technicznych okrelenie to moe obejmowa zbiór danych, rekordy, które uytkownik przetwarzał lub poszczególne atrybuty w rekordach, które uytkownik przetwarzał.
6. Okrelenie stopnia krytycznoci zdarzenia. 67 1. Zapis działa uytkowników powinien by prowadzony w taki sposób, aby moliwe było łatwe przeanalizowanie zapisanych operacji lub zdarze ze wzgldu na ich stopie krytycznoci 2. System informatyczny powinien posiada mechanizmy automatyczne powiadomienia Administratora Bezpieczestwa Informacji o zaistnieniu zdarzenia krytycznego. 3. Mechanizmy, o których mowa w ust.2, mog obejmowa wywietlanie komunikatu na stacji roboczej Administratora Bezpieczestwa Informacji, przesyłanie wiadomoci poczt elektroniczn itp. 68 1. Zapis operacji uwzgldnia równie odnotowywanie wprowadzenia danych osobowych dla kadej osoby, której dane s przetwarzane w systemie informatycznym. 2. Zapis operacji, o którym mowa w ust.1 obejmuje: 1) Okrelenie danych osobowych. 2) Dat i czas wprowadzenia danych osobowych. 3) ródło pochodzenia danych osobowych, jeeli mog one pochodzi z rónych ródeł. 4) Identyfikator uytkownika wprowadzajcego dane osobowe. 5) Identyfikator stacji roboczej, z której dane te zostały wprowadzone. 69 Zapis operacji i zdarze powinien by prowadzony z uwzgldnieniem: 1. Ochrony przed dostpem do niego osób nieupowanionych. 2. Ochrony przed wprowadzaniem nieautoryzowanych zmian w zapisie zdarze. 3. Zabezpieczenia integralnoci przechowywanych w zapisie operacji i zdarze informacji oraz wprowadzenia mechanizmów pozwalajcych wykrycie zafałszowania we wprowadzonych danych. 4. Zabezpieczenia mechanizmów zapisu operacji i zdarze przed przypadkowym lub celowym zablokowaniem ich działania. 5. Ochrony zapisu operacji lub zdarze przed przypadkowym lub celowym usuniciem zapisu. 6. Okresowej archiwizacji zapisanych operacji i zdarze i przechowywania kopii zapasowych z uwzgldnieniem zabezpieczenia ich poufnoci, integralnoci i dostpnoci. 7. Moliwoci wydruku zapisu zdarze w formie czytelnej. 70 1. Administrator Bezpieczestwa Informacji jest odpowiedzialny za okresowe przeprowadzanie analizy zapisu operacji i zdarze w celu: 1) Wykrycia potencjalnych narusze bezpieczestwa danych osobowych przetwarzanych w systemie informatycznym.
2) Weryfikacji zgodnoci sposobu wykorzystania przez uytkowników systemu informatycznego przetwarzajcego dane osobowe z okrelonymi, w procesie nadawania uprawnie do korzystania z tego systemu, celami. 3) Wykrycia potencjalnych niesprawnoci w funkcjonowaniu systemu informatycznego. 4) Optymalizacji działania systemu informatycznego przetwarzajcego dane osobowe. 5) Wykrycia potencjalnych podatnoci na zagroenia zwizane z przetwarzaniem danych osobowych oraz podjcia działa w celu wzmocnienia mechanizmów zabezpieczajcych. 2. Mechanizm zapisu operacji i zdarze powinien by wyposaony w narzdzia umoliwiajce efektywne przeprowadzanie analiz, o których mowa w ust.1, w tym równie bada statystycznych. Rozdział VIII Procedury wykonywania przegldów i konserwacji systemów oraz noników informacji słucych do przetwarzania danych 71 1. Wszelkie prace zwizane z naprawami i konserwacj systemu informatycznego przetwarzajcego dane osobowe musz uwzgldnia zachowanie wymaganego wysokiego poziomu bezpieczestwa tych danych przed dostpem do nich osób nieupowanionych. 2. Decyzje o przeprowadzeniu naprawy lub/i konserwacji systemu informatycznego przetwarzajcego dane osobowe, podejmowa moe Administrator Bezpieczestwa Informacji lub osoba przez niego upowaniona. 72 1. Prace serwisowe mog by wykonywane wyłcznie przez firmy, z którymi została podpisana stosowna umowa normujca w szczególnoci zasady ochrony danych osobowych. 2. Umowa, o której mowa w ust. 1 powinna okrela: 1) Zakres prac, które mog by realizowane w ramach serwisu, 2) Dni i godziny dostpnoci serwisu, gwarantowany czas reakcji (od chwili zgłoszenia do chwili pojawienia si serwisanta), gwarantowany czas naprawy (lub podstawienia pełnosprawnego zamiennika) liczony od chwili zgłoszenia do momentu przywrócenia pełnej funkcjonalnoci, 3) Warunki wynagrodzenia firmy serwisowej, 4) Sposób zgłaszania koniecznoci wykonania prac serwisowych (numer telefonu lub faksu, adres poczty elektronicznej, nazwiska osób upowanionych do przyjmowania zgłosze) oraz sposób potwierdzenia przyjcia zgłoszenia wraz z podaniem nazwisk serwisantów, którzy bd przeprowadzali prace, 5) Sposób stwierdzenia tosamoci osób przeprowadzajcych prace serwisowe (w szczególnoci sprawdzania zgodnoci ich tosamoci z danymi podanymi przez osob potwierdzajc przyjcie zgłoszenia), 6) Zasady nadzorowania przez upowanionych pracowników Starostwa Powiatowego w Pabianicach pracy serwisantów i sposobu wykonywania naprawy,