Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. Rozdział 2. Deklaracja intencji, cele i zakres polityki bezpieczeństwa.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Amatorski Klub Sportowy Wybiegani Polkowice

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Polityka Bezpieczeństwa Ochrony Danych Osobowych w Pomorskim Ośrodku Ruchu Drogowego w Gdańsku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Definicje. Wstęp. Przez użyte w Polityce określenia należy rozumieć:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Rozdział I Postanowienia ogólne

Polityka Ochrony Danych Osobowych W

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Gabinecie chiropraktycznym Marcin Cieliczka

FENIX PSYCHOTERAPIA UZALEŻNIEŃ SP. Z O.O WODZISŁAW ŚLĄSKI UL. PAWŁA POŚPIECHA 1A KODEKS DOBRYCH PRAKTYK OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Rozdział I Zagadnienia ogólne

RODO - POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Oxymoron Sp. z o.o.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

W dokumencie tym przedstawione zostaną:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

Polityka Ochrony Danych Osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

INSTRUKCJA. Rozdział 5 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

Członkostwo i składka Spa Club przystań Hotel & Spa

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

POLITYKA BEZPIECZEŃSTWA. Regionalne Wąbrzeskie Towarzystwo Budownictwa Społecznego Spółka z o.o r. Wąbrzeźno

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZARZĄDZENIE Nr 7/2010. Dyrektora Szkoły Podstawowej nr 10 im. Marii Skłodowskiej Curie w Zduńskiej Woli z dnia 20 grudnia 2010 r.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Instrukcja Zarządzania Systemem Informatycznym

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu Urzędu Miasta i Gminy Frombork. Postanowienia ogólne 1.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA INSTAL-KONIN PIOTR KRYGIER. Data i miejsce sporządzenia dokumentu: Ilość stron:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

INSTRUKCJA ZARZĄDZANIA

REGULAMIN WEWNĘTRZNYCH PROCEDUR

INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

Transkrypt:

Załącznik Nr 2 do Zarządzenia Nr 191/05/2015 Prezydenta Miasta Starogard Gdański Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Niniejsza instrukcja reguluje postępowanie pracowników Urzędu Miasta zatrudnionych przy przetwarzaniu danych osobowych, definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem niniejszej instrukcji jest określenie zadań pracowników w zakresie: 1) ochrony danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą oraz ochroną zasobów technicznych; 2) prawidłowego reagowania pracowników zatrudnionych przy przetwarzaniu danych osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych lub zabezpieczeń systemu informatycznego; 3) ograniczenia ryzyka powstania zagrożeń oraz minimalizacja skutków wystąpienia zagrożeń. 1 2 Naruszenie systemu ochrony danych osobowych może zostać stwierdzone na podstawie oceny: 1) stanu urządzeń technicznych; 2) zawartości zbiorów danych osobowych; 3) sposobu działania programu lub jakości komunikacji w sieci teleinformatycznej; 4) metod pracy (w tym obiegu dokumentów). 3 1. Każdy pracownik Urzędu Miasta w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest bezzwłocznie powiadomić ABI lub bezpośredniego przełożonego. 2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów; 2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych; 3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek). 3. Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą: 1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności); Strona 1 z 15

2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników utrata/zagubienie danych); 3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 4. W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego: 1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki; 2) inicjuje ewentualne działania dyscyplinarne; 3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości; 4) dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych (zał.nr 3), podejmuje działania zapobiegawcze. 5. W przypadku stwierdzenia naruszenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu (zał. nr 2 lub 3) o naruszeniu ochrony danych osobowych wg załączonego wzoru który zawiera co najmniej: 1) kod formy naruszenia danych osobowych wg załączonego katalogu zagrożeń i incydentów bezpieczeństwa danych osobowych (zał. nr 1); 2) ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia, skutki, oraz wielkość szkód które zaistniały; 3) zabezpiecza ewentualne dowody winy; 4) ustala osoby odpowiedzialne za naruszenia; 5) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody); 6) inicjuje działania dyscyplinarne; 7) rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości. 6. ABI sporządzony raport i ewidencjonuje w Rejestrze incydentów i zagrożeń (zał. nr 4). 4 Procedura działań korygujących i zapobiegawczych 1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych, wynikających z zaistnienia naruszeń lub zagrożeń bezpieczeństwa danych, oraz zagrożeń systemu ochrony danych osobowych. 2. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych. 3. Osobą odpowiedzialną za nadzór nad procedurą jest 4. Definicje: 1) incydent naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność; 2) zagrożenie potencjalna możliwość wystąpienia incydentu; 3) korekcja działanie w celu wyeliminowania skutków incydentu; Strona 2 z 15

4) działanie korygujące jest to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji; 5) działania zapobiegawcze jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądane; 6) kontrola systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarzadzania systemem informatycznym. Opis czynności 5 1.ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są: 1) zgłoszenia od kierowników komórek organizacyjnych lub pracowników; 2) wyniki kontroli w tym ustalone przyczyny i okoliczności naruszenia bezpieczeństwa danych osobowych. 2.W przypadku, gdy ABI stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: 1) źródło powstania incydentu lub zagrożenia; 2) zakres działań korygujących lub zapobiegawczych; 3) termin realizacji, osobę odpowiedzialną. 6 1. Bezpośredni przełożony pracownika po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, jest zobowiązany niezwłocznie powiadomić ABI, chyba, że zrobił to pracownik, który stwierdził naruszenie. 2. Na stanowisku, na którym stwierdzono naruszenie zabezpieczenia danych ABI lub osoba przełożona pracownika przejmują nadzór nad pracą w systemie odsuwając jednocześnie od stanowiska pracownika, który dotychczas na nim pracował, aż do czasu wydania odmiennej decyzji. 7 1. ABI zobowiązany jest do powiadomienia o zaistniałej sytuacji ADO, który podejmuje decyzje o wykonaniu czynności zmierzających do przywrócenia poprawnej pracy systemu oraz o ponownym przystąpieniu do pracy w systemie. 2. ABI zobowiązany jest do sporządzenia Raportu z przeglądu incydentów i zdarzeń, przedstawiając go do zatwierdzenia ADO (zał.nr 5). 8 1. Za naruszanie ochrony danych osobowych obowiązują kary przewidziane przepisami prawa. 2. Za naruszenie ochrony danych osobowych ADO może stosować kary porządkowe, niezależnie od zastosowania kar, o których mowa wyżej. Strona 3 z 15

Katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych Nr (kod) naruszeń Formy naruszeń Kierownika komórki organizacyjnej Sposób postępowania Administratora Bezpieczeństwa Informacji Zał. nr 1 A Formy naruszenia danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych A.1 W zakresie wiedzy A.1.1 A.1.2 A.1.3 Ujawnienie sposobu działania aplikacji i systemu jej zabezpieczeń osobom niepowołanym. Ujawnienie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. Dopuszczenie i stwarzanie warunków, aby ktokolwiek mógł pozyskać informację o sprzęcie i pozostałej infrastrukturze informatycznej np. z obserwacji lub dokumentacji. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Powiadomić Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Powiadomić Natychmiast przerwać czynność prowadzącą do ujawnienia informacji. Powiadomić raport z opisem, jaka informacja została ujawniona. raport z opisem, jaka informacja została ujawniona. raport z opisem, jaka informacja została ujawniona. A.2 W zakresie sprzętu i oprogramowania A.2.1 A.2.2 Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Niezwłocznie zakończyć działanie aplikacji. Pouczyć osobę, która dopuściła do takiej sytuacji. Przekazać informacje do Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła się do takiej sytuacji. Sporządzić komórki organizacyjnej i sporządza Strona 4 z 15

A.2.3 A.2.4 A.2.5 A.2.6 Pozostawienie w jakimkolwiek niezabezpieczonym a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych i sieci. Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych przez osoby nie będące pracownikami. Samodzielne instalowanie i wykorzystanie nielegalnego oprogramowania oraz narzędzi służących do obchodzenia zabezpieczeń w systemach informatycznych. Zmiana konfiguracji sprzętowej oraz programowej systemów oraz stacji roboczych przez niepowołane osoby. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić Wezwać osobę nieuprawnioną do opuszczenia stanowiska pracy. Ustalić jakie czynności zostały wykonane przez osobę nieuprawnioną Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić Wzywa administratora systemu informatycznego w celu odinstalowania programów. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. A.2.7 A.2.8 A.2.9 Odczytywanie nośników przed sprawdzeniem ich programem antywirusowym. Wykorzystanie ogólnodostępnych serwisów pocztowych (np. Wirtualna Polska, Onet.pl, o2.pl)w celach służbowych. Wykorzystanie służbowej poczty elektronicznej do celów prywatnych. Pouczyć osobę popełniającą zaczęła stosować się do wymogów bezpieczeństwa pracy. jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić Wzywa administratora systemu informatycznego w celu wykonania kontroli antywirusowej. A.3 W zakresie dokumentów i obrazów zawierające dane osobowe Strona 5 z 15

A.3.1 Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. Zabezpieczyć dokumenty. Przekazać informację do Przyjmuje informację komórki organizacyjnej A.3.2. A.3.3 A.3.4 A.3.5 A.3.6 A.3.7 A.4 A.4.1 Przechowywanie dokumentów zabezpieczonych w niedostatecznym stopniu przed dostępem osób niepowołanych. Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Dopuszczenie do kopiowania dokumentów i utraty kontroli nad kopią. Dopuszczenie aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. nie kopii danych na nośnikach danych w sytuacji nie przewidzianych procedurą. Utrata kontroli nad kopią danych osobowych. Spowodować poprawienie zabezpieczeń. Przekazać informacje do Zabezpieczyć niewłaściwie zniszczone dokumenty. Sporządzić Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. powiadomić Sporządzić Wezwać nieuprawniona osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane sporządzić Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić Podjąć próbę odzyskania kopii. Powiadomić jednostki raport komórki W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych Opuszczenie i pozostawienie bez dozoru niezamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Zabezpieczyć (zamknąć) pomieszczenie. Sporządzić Strona 6 z 15

A.4.2 Wpuszczenie do pomieszczenia osób nieznanych i dopuszczenie ich do kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Sporządzić A.4.3 Dopuszczenie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakiejkolwiek urządzenia do sieci komputerowej, demontowały elementy obudów do gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Sporządzić A.4.4 Pozostawienie otwartych okien, drzwi po zakończeniu pracy. Zabezpieczyć (zamknąć) pomieszczenie. Sporządzić A.4.5 A.4.6 A.4.7 A.4.8 A.4.9 A.4.10 Pożar, zalanie. Podjąć próbę odzyskania dokumentacji i sprzętu. Powiadomić Nieprzestrzeganie polityki czystego biurka oraz czystego ekranu Pozostawienie dokumentów w koszu na śmieci. Pozostawienie wydruków na ogólnodostępne drukarce. Nieautoryzowane wykonanie kopii klucza do pomieszczeń biurowych. Wyniesienie kluczy od pomieszczeń biurowych po zakończonej pracy. jej zaniechała. Niezwłocznie powiadomić Zabezpieczyć dokumenty. Przekazać informację do Zabezpieczyć dokumenty. Przekazać informację do jej zaniechała. Niezwłocznie powiadomić ABI jej zaniechała. Niezwłocznie powiadomić ABI jednostki Przyjmuje informację Przyjmuje informację Strona 7 z 15

A.5 W zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci A.5.1 A.5.2 Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakiejkolwiek manipulacji przy urządzeniach lub okablowaniach sieci komputerowej w miejscach publicznych (hole, korytarze, itp) Dopuszczenie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania takiego faktu. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i od B Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych B.1 Ślady manipulacji przy układach sieci komputerowej lub komputerach. B.2 B.3 Obecność nowych kabli o nieznanym przeznaczeniu lub pochodzeniu. Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. B.4 Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Strona 8 z 15

B.5 B.6. Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe B.7 Zidentyfikowano środek przetwarzający informacje nieznanego pochodzenia (sprzęt, nośnik.) B.8 Wykorzystano niezinwentaryzowany środek przetwarzania informacji (nie będący własnością pracodawcy). B.9 Przechowywanie haseł w niewłaściwy sposób. B.10 Przekazywanie haseł innym osobom. B.11 Pojawienie się nieautoryzowanej informacji na stronie internetowej. B.12 Niewłaściwe niszczenie nośników z danymi pozwalającymi na ich odczyt. B.13 Wykorzystanie służbowych środków przetwarzania informacji do celów prywatnych. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie jej zaniechała. Niezwłocznie powiadomić jej zaniechała. Niezwłocznie powiadomić służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. jej zaniechała. Niezwłocznie powiadomić ABI wyjaśnienia sytuacji Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. raport Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Wzywa administratora systemu informatyczne w celu przywrócenia stanu pierwotnego. Strona 9 z 15

B.14 Nadmierne uprawnienia w systemach w stosunku do wykonywanej pracy. B.15 Nieuprawniona zmiana danych lub ich uszkodzenie. B.16 Fizyczne zniszczenie lub uszkodzenie sprzętu oraz nośników przetwarzających informacje jej zaniechała. Niezwłocznie powiadomić B.17 Kradzież sprzętu przetwarzającego informacje. B.18 Błędy w obsłudze i konserwacji sprzętu komputerowego służącego do przetwarzania informacji. B.19 W wyniku rozwiązania umowy z pracownikiem nie podjęto działań związanych z odebraniem uprawnień B.20 Nieuprawniony dostęp do strefy administracyjnej. służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i Sporządzić Niezwłocznie powiadomić Przyjmuje raport komórki C Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem C.1 Próba uzyskania hasła uprawniającego do dostępu do danych osobowych w ramach pomocy technicznej. Powiadomić Strona 10 z 15

Próba nieuzasadnionego C.2 przeglądania (modyfikowania) w ramach pomocy technicznej danych osobowych za pomocą aplikacji w bazie danych identyfikatorem i hasłem użytkownika. C.3 Nie wykonanie kopii zapasowych Przyjmuje raport komórki Przyjmuje raport komórki C.4 Nie zweryfikowanie możliwości odtworzenia danych z kopii zapasowych. Powiadomić Sporządzić Powiadomić Sporządzić Powiadomić Sporządzić Przyjmuje raport komórki Strona 11 z 15

Raport z incydentu naruszającego bezpieczeństwo danych osobowych ze względu na poufność, dostępność i integralność Zał. nr 2 jący raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy naruszenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych: 4) Informacje o danych, które zostały lub mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania korekcyjne, korygujące, zapobiegawcze): Data:... Podpis: Strona 12 z 15

Zał. nr 3 Raport z zagrożenia bezpieczeństwo danych osobowych jący raport Imię i nazwisko stanowisko (funkcja) Dział, pokój nr Kod formy zagrożenia ochrony danych... (wg tabeli) 1) Miejsce, dokładny czas i data stwierdzenia zagrożenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.): 2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do zagrożenia ochrony danych osobowych): 3) Osoby, które uczestniczyły w zdarzeniu związanym z zagrożeniem ochrony danych osobowych: 4) Informacje o danych, które mogły zostać ujawnione: 5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem: 6) Krótki opis wydarzenia związanego z zagrożeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania zapobiegawcze): Data:... Podpis: Strona 13 z 15

Zał. nr 4 Rejestr incydentów i zagrożeń Nr raportu Zagrożenia/incyde ntu Kod formy naruszenia Osoba Podjęte działania Wyniki podjętych działań zgłaszająca Powodująca naruszenie zapobiegawcze korygujące korekcyjne Data zamknięcia zagrożenia/ incydentu Uwagi Strona 14 z 15

Zał. nr 5 Raport z przeglądu zagrożeń/incydentów bezpieczeństwa danych osobowych Nr przeglądu RAPORT Z PRZEGLĄDU ZAGROŻEŃ/INCYDENTÓW Data sporządzenia raportu Data przeprowadzenia przeglądu Podsumowanie wyników przeglądu: Spostrzeżenia służące doskonaleniu:. Załączniki do raportu:.. Sporządził. Zatwierdził Strona 15 z 15

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres