INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH



Podobne dokumenty
Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH PRAKTYKI LEKARSKIEJ/DENTYSTYCZNEJ....

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

DECYZJA NR 2/11 SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO. z dnia 3 stycznia 2011 r.

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

ZARZĄDZENIE NR 62/2015 BURMISTRZA MIASTA LUBAŃ. z dnia 17 marca 2015 r.

Nadleśnictwo Chojna. W celu:

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Umowa o powierzanie przetwarzania danych osobowych

Polityka bezpieczeństwa danych osobowych w Fundacji PCJ Otwarte Źródła

Warszawa, dnia 19 lipca 2016 r. Poz ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 18 lipca 2016 r.

ZARZĄDZENIE NR 130/15 BURMISTRZA MIASTA I GMINY RADKÓW. z dnia 25 września 2015 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 21 /2011 DYREKTORA MUZEUM ŚLĄSKA OPOLSKIEGO W OPOLU z dnia 30 grudnia 2011 r.

PRZETWARZANIE DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH do umowy nr

ZARZĄDZENIE NR 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30 czerwca 2006 r.

Znak: OR

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W RÓśANIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Załącznik nr 7 do Umowy Nr z dnia r. Oświadczenie Podwykonawcy (WZÓR) W związku z wystawieniem przez Wykonawcę: faktury nr z dnia..

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN dokonywania okresowych ocen kwalifikacyjnych pracowników samorządowych zatrudnionych w Miejskim Przedszkolu Nr 5 w Ciechanowie.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Załącznik nr 1 do Zarządzenia Nr 113 /2015 Burmistrza Miasta Tarnowskie Góry z dnia

REGULAMIN OKRESOWEJ OCENY PRACOWNIKÓW URZĘDU GMINY W SULĘCZYNIE

Okręgowa Rada Pielęgniarek i Położnych Regionu Płockiego

Regulamin Przedszkola Na Zielonym Wzgórzu w Lusówku zawierający zasady przyprowadzania i odbierania dzieci z przedszkola

Procedura przyprowadzania i odbierania dzieci ze Żłobka Miejskiego w Sieradzu

I. Postanowienia ogólne

Regulamin serwisu internetowego ramowka.fm

REGULAMIN OKRESOWYCH OCEN PRACOWNIKÓW URZĘDU GMINY LIMANOWA ORAZ KIEROWNIKÓW JEDNOSTEK ORGANIZACYJNYCH GMINY LIMANOWA

AKADEMII POMORSKIEJ W SŁUPSKU

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

U M O W A. NR PI.IT z dnia. roku

OBSŁUGA RADY MIEJSKIEJ

Polityka prywatności strony internetowej wcrims.pl

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA

Warszawa, dnia 17 marca 2016 r. Poz ZARZĄDZENIE Nr 30 PREZESA RADY MINISTRÓW. z dnia 9 marca 2016 r.

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

RZECZPOSPOLITA POLSKA MINISTER CYFRYZACJI

Ogłoszenie Zarządu o zwołaniu Nadzwyczajnego Walnego Zgromadzenia Akcjonariuszy Yellow Hat S.A. z siedzibą w Warszawie

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Gminy Kampinos

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

Zarządzenie Nr 325/09 Burmistrza Miasta Bielsk Podlaski z dnia 29 czerwca 2009 r.

SPOSÓB POSTEPOWANIA PODCZAS UDZIELENIA KARY UPOMIENIA LUB NAGANY

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

UCHWAŁA NR./06 RADY DZIELNICY PRAGA PÓŁNOC M. ST. WARSZAWY

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Instrukcja kasowa. Spółdzielni Mieszkaniowej Lokatorsko Własnościowej PRZYMORZE w Świnoujściu. tekst jednolity na dzień 14 maja 2015 r.

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

REGULAMIN PRZEPROWADZANIA OCEN OKRESOWYCH PRACOWNIKÓW NIEBĘDĄCYCH NAUCZYCIELAMI AKADEMICKIMI SZKOŁY GŁÓWNEJ HANDLOWEJ W WARSZAWIE

ZARZĄDZENIE Nr 28/2010 Prezydenta Miasta Otwocka z dnia 05 marca 2010 r.

Zarządzenie nr 7 Rektora Uniwersytetu Jagiellońskiego z 26 stycznia 2011 roku

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

Statut Audytu Wewnętrznego Gminy Stalowa Wola

Zarządzenie Nr 10/2009 Wójta Gminy Kołczygłowy z dnia 16 marca 2009 r.

Załącznik Nr 2 do Regulaminu Konkursu na działania informacyjno- promocyjne dla przedsiębiorców z terenu Gminy Boguchwała

Rozdział 1 - Słownik terminów.

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

Uchwała nr 21 /2015 Walnego Zebrania Członków z dnia w sprawie przyjęcia Regulaminu Pracy Zarządu.

ZARZĄDZENIE Nr 21/12

OGŁOSZENIE O ZWOŁANIU NADZWYCZAJNEGO WALNEGO ZGROMADZENIA. Zarząd Spółki Europejski Fundusz Energii S.A. ( Spółka ) z siedzibą w Warszawie

IWONA PASIERBIAK. WSPÓLNIK ZARZĄDZAJĄCY KPWW Kancelaria Prawnicza PASIERBIAK, WASILWESKI I WSPÓLNICY. Warszawa, 5 listopada 2012 r.

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

Ogłoszenie o zwołaniu Zwyczajnego Walnego Zgromadzenia "NOVITA" Spółka Akcyjna z siedzibą w Zielonej Górze

Zamawiający potwierdza, że zapis ten należy rozumieć jako przeprowadzenie audytu z usług Inżyniera.

UCHWAŁA NR IX/49/15 RADY GMINY MARKLOWICE. z dnia 7 września 2015 r. w sprawie określenia zasad korzystania z Gminnego Centrum Rekreacji.

Regulamin korzystania z aplikacji mobilnej McDonald's Polska

REGULAMIN KORZYSTANIA Z PLACU ZABAW W PRZEDSZKOLU PUBLICZNYM NR 1 STOKROTKA W MRĄGOWIE

Wykonawca/Upełnomocnieni przedstawiciele Wykonawcy:

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

Zawarta w Warszawie w dniu.. pomiędzy: Filmoteką Narodową z siedzibą przy ul. Puławskiej 61, Warszawa, NIP:, REGON:.. reprezentowaną przez:

w sprawie ustalenia Regulaminu przeprowadzania kontroli przedsiębiorców

Regulamin Systemu Stypendialnego. Fundacji Grażyny i Wojciecha Rybka Pomoc i Nadzieja. w Bydgoszczy (tekst jednolity)

z dnia 4 lutego 2015 r. w sprawie badań psychologicznych osób zgłaszających chęć pełnienia zawodowej służby wojskowej

REGULAMIN przeprowadzania okresowych ocen pracowniczych w Urzędzie Miasta Mława ROZDZIAŁ I

ZARZĄDZENIE NR 41) /2013 Dyrektora Zarzadu Terenów Publicznych z dnia )±..hkj.~.\.n..q...w~~ii

Wersja z dn r.

Zarządzenie Nr 2 /2014 Dyrektora Domu Pomocy Społecznej Im. W. Michelisowej w Lublinie z dnia 6 marca 2014r.

Rozdział I Postanowienia Ogólne

Instrukcja ochrony danych osobowych. Rozdział 1 Postanowienia ogólne

Program - "Chronimy Dzieci w żłobkach" POLITYKA OCHRONY DZIECI DOMOWEGO ŻŁOBKA AKUKU

Warszawa, dnia 1 października 2013 r. Poz. 783 UCHWAŁA ZARZĄDU NARODOWEGO BANKU POLSKIEGO. z dnia 24 września 2013 r.

PROJEKT UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Przetwarzanie danych osobowych w Internecie. European Commission Enterprise and Industry

ZAPYTANIE OFERTOWE (zamówienie publiczne dotyczące kwoty poniżej euro)

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

Transkrypt:

Załącznik nr 4 do Zarządzenia nr 34/08 Wójta Gminy Kikół z dnia 2 września 2008 r. w sprawie ochrony danych osobowych w Urzędzie Gminy w Kikole, wprowadzenia dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Załącznik 4 do Zarządzenia nr 34/08 str. 1/8

1 Celem instrukcji jest określenie sposobu postępowania gdy: 1. Stwierdzono naruszenie zabezpieczeń danych osobowych. 2. W przypadku danych przetwarzanych w formie tradycyjnej stan pomieszczeń, szaf, okien, drzwi, dokumentów lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 3. W przypadku danych przetwarzanych w formie elektronicznej stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu, jakość komunikacji lub inne zaobserwowane symptomy mogą wskazywać na naruszenie bezpieczeństwa danych osobowych. 2 Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w przypadku naruszenia bezpieczeństwa tych danych, zgodne z Tabelą form naruszeń bezpieczeństwa danych osobowych, stanowiącą załącznik A do niniejszej instrukcji. 3 Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia lub usunięcia, a w szczególności: a) nieautoryzowany dostęp do danych, b) nieautoryzowane modyfikacje lub zniszczenie danych, c) udostępnienie danych nieautoryzowanym podmiotom, d) nielegalne ujawnienie danych, e) pozyskiwanie danych z nielegalnych źródeł. 4 1. W przypadku stwierdzenia naruszenia zabezpieczeń lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych w jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie zgłosić ten fakt bezpośredniemu przełożonemu, Administratorowi Bezpieczeństwa Informacji lub Lokalnemu Administratorowi Bezpieczeństwa informacji, a następnie postępować stosownie do podjętej przez niego decyzji. 2. Zgłoszenie naruszenia zabezpieczeń danych osobowych powinno zawierać: a) opisanie symptomów naruszenia zabezpieczeń danych osobowych, b) określenie sytuacji i czasu w jakim stwierdzono naruszenie zabezpieczeń danych osobowych, c) określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia, d) określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia. Załącznik 4 do Zarządzenia nr 34/08 str. 2/8

5 Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu: a) minimalizację negatywnych skutków zdarzenia, b) wyjaśnienie okoliczności zdarzenia, c) zabezpieczenie dowodów zdarzenia, d) umożliwienie dalszego bezpiecznego przetwarzania danych. 6 W celu realizacji zadań wynikających z niniejszej instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a w szczególności: a) żądania wyjaśnień od pracowników, b) korzystania z pomocy konsultantów, c) nakazania przerwania pracy, zwłaszcza w zakresie przetwarzania danych osobowych. 7 Polecenia Administratora Bezpieczeństwa Informacji lub innej upoważnionej przez niego osoby wydawane w celu realizacji zadań wynikających z niniejszej instrukcji są priorytetowe i winny być wykonywane przed innymi poleceniami, zapewniając ochronę danych osobowych. 8 Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji lub inną upoważnioną przez niego osobą traktowana będzie jako naruszenie obowiązków pracowniczych. 9 Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych opracowuje raport końcowy, w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości. Wzór raportu stanowi załącznik B do niniejszej instrukcji. 10 Nieprzestrzeganie zasad postępowania określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy. 11 Jeżeli skutkiem działania określonego w 10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego. Załącznik 4 do Zarządzenia nr 34/08 str. 3/8

12 Jeżeli skutkiem działania określonego w 10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Prawa Cywilnego. Załącznik 4 do Zarządzenia nr 34/08 str. 4/8

Załącznik A do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Tabela form naruszeń bezpieczeństwa danych osobowych Kod naruszenia A Formy naruszeń Sposób postępowania Forma naruszenia ochrony danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy: A.1.1 A.1.2 A.1.3 Ujawnianie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 A.2.3 A.2.4 A.2.5 A.2.6 A.2.7 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami Samodzielne instalowanie jakiegokolwiek oprogramowania. Modyfikowanie parametrów systemu i aplikacji. Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić Administratora Bezpieczeństwa Informacji. Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport. Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Sporządzić raport. Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji. Pouczyć osobę popełniającą wymieniona czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Pouczyć osobę popełniającą wymienioną czynność, aby zaczęła stosować się do wymogów bezpieczeństwa pracy. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Załącznik 4 do Zarządzenia nr 34/08 str. 5/8

A.3 W zakresie dokumentów i obrazów zawierających dane osobowe A.3.1 A.3.2 A.3.3 A.3.4 A.3.5 A.3.6 A.3.7 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych Zabezpieczyć dokumenty. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń sporządzić raport. Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Administratora Bezpieczeństwa Informacji. Podjąć próbę odzyskania kopii. Powiadomić Administratora Bezpieczeństwa Informacji. A.4 W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych A.4.1 A.4.2 A.4.3 Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Zabezpieczyć (zamknąć) pomieszczenie. Powiadomić przełożonych. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i Administratora Bezpieczeństwa Informacji. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci. A.5.1 A.5.2 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.) Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Sporządzić raport. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Administratora Bezpieczeństwa Informacji. Załącznik 4 do Zarządzenia nr 34/08 str. 6/8

B B.1 B.2 B.3 B.4 B.5 B.6 C C.1 C.2 lub ignorowania takiego faktu Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych Ślady manipulacji przy układach sieci komputerowej lub komputerach Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie Administratora Bezpieczeństwa Informacji. Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej Próba nieuzasadnionego przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. Powiadomić Administratora Bezpieczeństwa Informacji. Powiadomić Administratora Bezpieczeństwa Informacji. Załącznik 4 do Zarządzenia nr 34/08 str. 7/8

Załącznik B do Instrukcji postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych Wzór raportu końcowego sporządzanego przez administratora bezpieczeństwa informacji po zażegnaniu sytuacji naruszającej bezpieczeństwo danych osobowych Raport o sytuacji naruszenia bezpieczeństwa danych osobowych Sporządzający raport: Imię i nazwisko:... stanowisko (funkcja)... Dział, pokój, nr telefonu... Kod formy naruszenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):... 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: 4) Informacje o danych, które zostały lub mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania): 7) Wnioski:...... (miejsce, data i godzina sporządzenia raportu) (podpis sporządzającego raport) Załącznik 4 do Zarządzenia nr 34/08 str. 8/8

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres