INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 1 IM.MARII SKŁODOWSKIEJ-CURIE W ŁOBZIE I. CELE WPROWADZENIA I ZAKRES ZASTOSOWANIA INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 1. Instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w Szkole Podstawowej nr 1 im. M. Skłodowskiej Curie w Łobzie, zwana dalej instrukcją, została wprowadzona w celu spełnienia wymagań, o których jest mowa w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r., nr 101, poz. 926. z późniejszymi zmianami) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych (Dz. U. 2004 r., nr 100, poz. 1024), tj. zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Instrukcja jest dokumentem powiązanym z Polityką bezpieczeństwa w zakresie zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w Szkole Podstawowej nr 1 im. M. Skłodowskiej Curie w Łobzie i wraz z nim składa się na dokumentację wymaganą przez art. 36. ust. 2. ustawy o ochronie danych osobowych. 3. Niniejsza instrukcja znajduje zastosowanie do systemów informatycznych, stosowanych w szkole, w których są przetwarzane dane osobowe. 4. Instrukcja podlega monitorowaniu i w razie potrzeby uaktualnianiu każdego roku, do końca stycznia, przez administratora danych osobowych lub upoważnioną przez niego osobę, w ramach sprawowania kontroli zarządczej. 5. Dokument instrukcji przechowywany jest w wersji papierowej i elektronicznej. 1
II. PROCEDURA NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Upoważnienie i uprawnienia do przetwarzania danych osobowych Administrator Danych Osobowych ADO (Dyrektor Szkoły Podstawowej nr 1 w Łobzie) udziela użytkownikowi upoważnienia do przetwarzania danych osobowych wg wzoru zamieszczonego w Polityce bezpieczeństwa systemów informatycznych przetwarzania danych osobowych w Szkole Podstawowej nr 1 im. Marii Skłodowskiej - Curie w Łobzie. 2. Osoby odpowiedzialne za administrację użytkownikami w systemie informatycznym Osobami odpowiedzialnymi za administrację systemem informatycznym jest Administrator Systemu Informatycznego. 3. Zasady przyznawania identyfikatorów W celu jednoznacznego określenia użytkowników przyjmuje się następującą metodologię nadawania nazw kont użytkowników : imię + pierwsza litera nazwiska (przykład Jan Kowalski, identyfikator :jank. W budowanym identyfikatorze wyklucza się stosowanie znaków narodowych (ą, ę itp.), natomiast wielkość używanych znaków nie ma znaczenia. Jeżeli nowo tworzony identyfikator byłby zbieżny z już istniejącym, do identyfikatora dodaje się kolejną literę nazwiska. Powyższe zasady nie dotyczą systemów informatycznych, w których nazwa użytkownika jest tworzona przez sam system. 4. Nadawanie i rejestrowanie uprawnień. Dostęp do systemu informatycznego, służącego do przetwarzania danych osobowych, może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, zarejestrowana jako użytkownik w tym systemie przez dyrektora szkoły lub uprawnioną przez niego osobę. Rejestracja użytkownika, o którym jest mowa w punkcie 1 polega na nadaniu identyfikatora i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu. 5. Wyrejestrowanie uprawnień. Wyrejestrowanie użytkownika systemu informatycznego dokonuje dyrektor szkoły lub upoważniona przez niego osoba. Wyrejestrowanie może mieć charakter czasowy lub trwały. Wyrejestrowanie następuje przez: a) zablokowanie konta użytkownika do czasu ustania przyczyny, uzasadniającej blokadę (wyrejestrowanie czasowe), b) usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe). 2
Czasowe wyrejestrowanie użytkownika z systemu musi nastąpić w razie: a) nieobecności użytkownika w pracy, trwającej dłużej niż 21 dni kalendarzowych, b) zawieszenia w pełnieniu obowiązków służbowych, Przyczyną czasowego wyrejestrowania użytkownika z systemu informatycznego może być: a) wypowiedzenie umowy o pracę, b) wszczęcie postępowania dyscyplinarnego, c) przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zatrudniony był użytkownik. III. STOSOWANE METODY I ŚRODKI UWIERZYTELNIANIA ORAZ PROCEDURY ZWIĄZANE Z ICH ZARZĄDZANIEM I UŻYTKOWANIEM 1. Konstruowanie haseł Długość hasła nie może być krótsza niż 8 znaków alfanumerycznych. Hasło musi być kombinacją złożoną z liter i co najmniej jednej cyfry. W haśle mogą być używane małe i wielkie litery. 2. Przechowywanie haseł i kluczy elektronicznych użytkowników ASI przechowuje hasła i klucze elektroniczne w magazynie haseł. W magazynie haseł przechowuje się jedynie hasła, których nie można w prosty i szybki sposób zmienić. Magazyn haseł przechowywany jest w sejfie. 3. Przechowywanie haseł administratorów Wszystkie hasła administratorów przechowuje się w jawnej postaci na papierze w zapieczętowanej kopercie w sejfie. Po każdej zmianie któregoś z w/w haseł, nowe hasła muszą być ponownie złożone e sejfie. 4. Zmiana hasła Hasła muszą być zmieniane nie rzadziej niż co 30 dni kalendarzowych. Dla systemów nie wymuszających zmiany hasła, ASI informuje użytkownika o konieczności zmiany hasła w określonym terminie. IV. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UZYTKOWNIKÓW SYSTEMU 1. Rozpoczęcie pracy Użytkownik loguje się do systemu operacyjnego używając do tego celu własnej nazwy użytkownika i odpowiedniego hasła. W razie stwierdzenia, że logowanie jest niemożliwe z użyciem aktualnie obowiązujących haseł należy zawiadomić ASI. Przy logowaniu należy zwracać uwagę na komunikaty systemu monitujące o zmianę hasła i stosować się do ich treści. 2. Tymczasowe zaprzestanie pracy W sytuacji gdy użytkownik zmuszony jest opuścić stanowisko komputerowe poza zajmowane pomieszczenie lub kiedy wgląd do danych wyświetlanych na monitorze 3
może mieć nieuprawniona osoba, należy skorzystać z mechanizmu czasowej blokady dostępu do komputera poprzez uruchomienie wygaszacza ekranu z hasłem. Hasło wygaszacza ekranu powinno być zbieżne z hasłem logowania do systemu. 3. Zakończenie pracy Przed zakończeniem pracy należy zwrócić uwagę, aby wylogować się z używanych programów i prawidłowo je zakończyć. Dopiero tak przygotowany system można zamknąć i wyłączyć komputer. Wszelkie problemy z zakończeniem działania programów lub systemu operacyjnego należy zgłaszać ASI. 4. Czynności kontrolne Użytkownik ma obowiązek przed rozpoczęciem pracy sprawdzić stanowisko komputerowe, z którego korzysta. Szczególna uwagę powinien zwrócić na ślady prób otwarcia komputera. Po uruchomieniu komputera powinien sprawdzić czy nie ma oznak modyfikacji danych. Wszelkie nieprawidłowości i podejrzenia należy zgłaszać ASI. V. SPOSÓB, MIEJSCE I OKRES PRZECHOWYWANIA ORAZ PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA Wszystkie czynności związane z tworzeniem kopii zapasowych, ich testowaniem oraz likwidacją nośników są prowadzone przez ASI. 1. Elektroniczne nośniki informacji zawierające dane osobowe Dane osobowe przechowuje się na dyskach twardych komputerów lub dyskach serwerów w zależności od zastosowanego systemu. Stacje robocze, na których są przechowywane dane osobowe wyznacza ADO w uzgodnieniu z ASI. W przypadku serwerów ich ochrona polega na wyizolowaniu urządzeń w odrębnych, zamkniętych pomieszczeniach, do których dostęp posiada tylko ASI. 2. Metody tworzenia kopii zasady ogólne W systemach informatycznych, które opierają się o pracę w technologii klient-serwer kopie bezpieczeństwa wykonuje się po stronie serwera. Do indywidualnych systemów informatycznych na pojedynczych komputerach, lub w małym otoczeniu sieciowym, kopie wykonuje się na komputerze, na którym zainstalowany jest dany program a także na serwerze. Niedopuszczalne jest przechowywanie pojedynczej kopii danych wyłącznie na tym samym komputerze, w którym pracuje lub jest zainstalowane oprogramowanie (serwer). W związku z tym wykonuje się kopie na nośnikach zewnętrznych takich jak płyty CD lub DVD i nośniki USB. Kopie oprogramowania wykonuje się dla każdego egzemplarza posiadanego systemu. 3. Częstotliwość wykonywania kopii Cykliczność wykonywania kopii bezpieczeństwa opiera się o następujący schemat roczny kopie tygodniowe, kopie miesięczne, kopie roczne. Nie wykonuje się cyklicznych kopii oprogramowania. 4
4. Testowanie kopii W celu zapewnienia pewności co do poprawności wykonywanych kopii bezpieczeństwa należy poddać testowi cyklicznie wybraną kopię. Próba polega na odtworzeniu danych w warunkach testowych i sprawdzeniu czy jest możliwość odczytania danych. W przypadku wykrycia nieprawidłowości, w którejkolwiek kopii, badaniom należy poddać każdy rodzaj kopii. 5. Przechowywanie kopii Kopie zapasowe przechowuje się w kasie pancernej w sekretariacie szkoły. Dostęp do kopii zapasowych ma dyrektor, wicedyrektor, sekretarz szkoły oraz ASI. Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny się charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu przechowywania na nich danych. Czas przechowywania kopii zapasowych zbiorów lokalnych ustala się na: - kopia codzienna (jeżeli wymagana) - 1 tydzień - kopia tygodniowa (piątkowa jeżeli wymagana)) - 1 miesiąc - kopia miesięczna - 1 rok - kopia roczna (ostatni dzień okresu bilansowego)- 5 lat Miejsca przechowywania kopii bezpieczeństwa muszą podlegać szczególnej ochronie. 6. Likwidacja nośników zawierających kopie Nośniki zawierające nieaktualne kopie danych likwiduje się. W przypadku nośników jednorazowych takich jak płyty CD-R, DVD-R likwidacja polega na ich fizycznym zniszczeniu w taki sposób, aby nie można było odczytać ich zawartości. Nośniki wielorazowego użytku takie jak dyski twarde, dyskietki, płyty CD-RW, DVD-RW, można wykorzystać ponownie do celów przechowywania kopii bezpieczeństwa po uprzednim usunięciu ich zawartości. Nośniki wielorazowego użytku nie nadające się do ponownego użycia należy zniszczyć fizycznie. VI. SPOSÓB ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, KTÓREGO CELEM JEST UZYSKANIE NIEUPRAWNIONEGO DOSTĘPU. 1. Obszary systemu informatycznego narażone na ingerencję wirusów komputerowych oraz wszelkiego innego oprogramowania Na działanie wirusów komputerowych narażone są wszystkie stanowiska komputerowe, które są przyłączone do sieci komputerowej oraz te, które są wyposażone w czytniki nośników elektronicznych takich jak stacje dyskietek, czytniki optyczne i inne nośniki danych umożliwiające wprowadzanie danych lub programów z zewnątrz. 2. Źródła przedostawania się szkodliwego oprogramowania do systemów Do źródeł szkodliwego oprogramowania można zaliczyć ; a) Pliki zapisane na nośnikach elektronicznych, b) Pliki przesyłane za pomocą poczty elektronicznej, c) Pliki pobierane ze stron internetowych, 5
d) Pliki prywatne użytkowników. 3. Czynności profilaktyczne minimalizujące wpływ szkodliwego oprogramowania ASI zobowiązany jest do: a) Wprowadzania sprzętowych i programowych zabezpieczeń blokujących działanie niepożądanego oprogramowania w systemie, b) Szkolenia pracowników w zakresie bezpiecznego użytkowania oprogramowania VII. SPOSÓB REALIZACJI WYMOGÓW, O KTÓRYCH MOWA W 7 UST. 1. PKT. 4. ROZPORZĄDZENIA MSWIA 1. System informatyczny, przetwarzający dane osobowe posiada mechanizm uwierzytelniający użytkownika, wykorzystujący identyfikator i hasło. Posiada mechanizmy, pozwalające na określenie uprawnień użytkownika do korzystania z przetwarzanych informacji (np. prawo do odczytu danych, modyfikacji istniejących danych, tworzenia nowych danych, usuwania danych). 2. System informatyczny, przetwarzający dane osobowe, posiada mechanizmy, pozwalające na odnotowanie faktu wykonania operacji na danych. W szczególności zapis ten powinien obejmować: a) rozpoczęcie i zakończenie pracy przez użytkownika systemu, b) operacje wykonywane na przetwarzanych danych, a w szczególności ich dodanie, modyfikację oraz usunięcie, c) przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom niebędącym właścicielem ani współwłaścicielem systemu, d) nieudane próby dostępu do systemu informatycznego, przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych, e) błędy w działaniu systemu informatycznego podczas pracy danego użytkownika. 3. Zapis działań użytkownika uwzględnia: a) identyfikator użytkownika, b) datę i czas, w którym zdarzenie miało miejsce, c) rodzaj zdarzenia, d) określenie informacji, których zdarzenie dotyczy (identyfikatory rekordów). 4. System informatyczny zapewnia zapis faktu przekazania danych osobowych z uwzględnieniem: a) identyfikatora osoby, której dane dotyczą, b) osoby przesyłającej dane, c) odbiorcy danych, d) zakresu przekazanych danych osobowych, 6
e) daty operacji, f) sposobu przekazania danych. 5. W przypadku gdy system informatyczny nie zapewnia zapisu faktu przetwarzania danych osobowych, dane zapisywane są w pliku Excel, który zabezpieczony jest hasłem z możliwością generowania raportu (data i czas dokonywania zmian w systemie). VIII. PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH 1. Cele wykonywania przeglądów i konserwacji a) Zapewnienie ciągłości pracy systemów poprzez eliminowanie niespodziewanych awarii wskutek naturalnego zużycia się urządzeń, b) Wykrywanie i eliminacja ewentualnych zagrożeń wynikających z pracy systemów bez okresowej kontroli, c) Dostrzeganie potrzeb modyfikacji istniejącej infrastruktury, d) Wykrywanie niesprawnych nośników powodujących problemy lub wprowadzających przekłamania przy przenoszeniu danych. 2. Zakres wykonywanych przeglądów i konserwacji a) Wszystkie systemy informatyczne z wyjątkiem tych, które są objęte wyłączną obsługą serwisową przez producenta, b) Oprogramowanie systemowe, a także oprogramowanie biurowe w ogólnym zakresie, c) Wszystkie komputery, z wyjątkiem tych, które są objęte wyłączną gwarancją producenta, d) Drukarki, skanery, monitory, dyski twarde, napędy optyczne, a także inny sprzęt peryferyjny poddawany jest jedynie ogólnym przeglądom, a wszelki czynności serwisowe wykonywane są przez specjalistyczne punkty serwisowe. 3. Częstotliwość wykonywania przeglądów i konserwacji a) Stacje robocze (sprzęt) co najmniej raz w roku b) Stacje robocze (oprogramowanie) co najmniej raz w roku c) Monitory komputerowe co pół roku d) Drukarki i inne peryferia co pół roku e) Elementy infrastruktury sieciowej co najmniej raz w roku f) Systemy informatyczne co pół roku. 4. Bezpieczeństwo nośników przekazywanych do naprawy Nośniki, które uległy uszkodzeniu, zawierające dane osobowe można przekazać do naprawy pod warunkiem, że firma posiada autoryzacje i wystawi stosowne oświadczenie o zapewnieniu poufności ewentualnie pozyskanych informacji. 7
W przypadku przekazywania całego urządzenia do naprawy należy zadbać o to, aby przed przekazaniem urządzenia pozbawić go nośników zawierających dane lub jeśli to niemożliwe usunąć te dane z nośnika w sposób uniemożliwiający ich odzyskanie. W sytuacji gdy nie ma możliwości usunięcia danych, dopuszcza się naprawę urządzenia w obecności osoby upoważnionej przez administratora danych. 5. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. IX. POZIOM BEZPIECZEŃSTWA Uwzględniając kategorie danych osobowych oraz konieczności zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się poziom wysoki bezpieczeństwa w rozumieniu 6 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Wprowadza się następujące zabezpieczenia danych w systemie informatycznym: 1. Na wszystkich stacjach roboczych, na których przetwarzane są dane osobowe wprowadza się wysoki poziom zabezpieczeń. 2. Ochronę przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych zapewniają zasilacze UPS. 3. Na każdym stanowisku komputerowym musi być zainstalowane oprogramowanie antywirusowe z włączoną ochroną antywirusową i antyspamowe. 4. Przesyłanie danych poza obszar przetwarzania: a) Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych, w szczególności poprzez login hasło dostępu. b) W wypadku przesyłania danych osobowych poza sieć przystosowaną do transferu danych osobowych należy zastosować szczególne środki bezpieczeństwa, które obejmują zastosowanie mechanizmów szyfrowania danych osobowych; zastosowanie mechanizmów podpisu elektronicznego zabezpieczającego transmisje danych osobowych oraz rejestrację transmisji wysyłania danych osobowych. 5. Stosuje się wysyłanie danych osobowych tylko z wykorzystaniem określonej aplikacji i tylko przez określonych użytkowników 6. Stosuje się następujące sposoby kryptograficznej ochrony danych: a) przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się POP 8
tunelowanie, szyfrowanie połączenia. b) przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów wynagrodzeń, używa się bezpiecznych stron https://. c) Przy przesyłaniu danych z programu Płatnik stosuje się łącze szyfrowane za pomocą certyfikatu kwalifikowanego. X. POSTEPOWANIE W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH 1. Naruszenie ochrony danych osobowych Za naruszenie ochrony danych osobowych uznaje się przypadki, w których ; a) Stwierdzono naruszenie zabezpieczenia systemu teleinformatycznego b) Stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci teleinformatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Postępowanie w przypadku naruszenia ochrony danych osobowych Każdy użytkownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie teleinformatycznym szkoły zobowiązany jest do niezwłocznego poinformowania ASI. Po weryfikacji zgłoszenia ASI zobowiązany jest do poinformowania ABI o naruszeniu ochrony danych osobowych i niezwłocznie przystępuje do następujących działań: a) Podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowanie szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in. odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej; zmianę hasła poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu. b) Szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych. c) Przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej itp. d) Przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenia bazy danych, odtworzenia jej z kopii awaryjnej z zachowaniem środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą e) Jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania, wszystkich dokumentów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania. f) Zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o 9
naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu. Po przywróceniu pierwotnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia. ASI przygotowuje raport o przyczynach, przebiegu i wnioskach ze zdarzenia, który przekazuje ABI. Po dokonaniu analizy raportu ze zdarzenia ABI przedstawia go Administratorowi Danych wraz z propozycjami podjęcia odpowiednich działań mających na celu zapobieżenie w przyszłości podobnym zdarzeniom. ABI wnioskuje o ewentualne wyciągnięcie konsekwencji wobec winnych naruszenia. 10