ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.



Podobne dokumenty
ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Polityki bezpieczeństwa danych osobowych w UMCS

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Załącznik do zarządzenia nr 5/2016 Polityka bezpieczeństwa danych osobowych POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

ZARZĄDZENIE NR 838/2009 PREZYDENTA MIASTA KRAKOWA Z DNIA 21 kwietnia 2009 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Rozdział I Postanowienia ogólne

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Przykładowa lista zagroŝeń dla systemu informatycznego

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

a) po 11 dodaje się 11a 11g w brzmieniu:

Amatorski Klub Sportowy Wybiegani Polkowice

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA Danych Osobowych

PolGuard Consulting Sp.z o.o. 1

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu Urzędu Miasta i Gminy Frombork. Postanowienia ogólne 1.

Polityka Bezpieczeństwa Ochrony Danych Osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Dane osobowe w data center

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

INSTRUKCJA. Rozdział 5 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

ZARZĄDZENIE NR 211/2012 WÓJTA GMINY WALIM. z dnia 20 listopada 2012 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA E-BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA I REGULAMIN OCHRONY DANYCH OSOBOWYCH

Transkrypt:

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r. w sprawie wprowadzenia Procedury alarmowej i ustalenia zasad sporządzania Sprawozdania rocznego stanu systemu ochrony danych osobowych w ramach Polityki bezpieczeństwa informacji w systemach informatycznych i kartotekach słuŝących do przetwarzania danych osobowych w Urzędzie Miejskim w Bornem Sulinowie Na podstawie art. 33 ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2013 r., poz. 594 ze zm.) w związku z art. 36 ust. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182) zarządzam, co następuje: 1. 1. Wprowadzam do uŝytku Procedurę alarmową dotyczącą ochrony danych osobowych stanowiącą załącznik nr 1 do niniejszego zarządzenia. 2. Załącznik nr 1 nie podlega publikacji. 2. 1. Ustalam zasady sporządzania Sprawozdania rocznego stanu systemu ochrony danych osobowych stanowiącego załącznik nr 2 do niniejszego zarządzenia 2. Załącznik nr 2 nie podlega publikacji. 3. Zobowiązuje się pracowników Urzędu Miejskiego w Bornem Sulinowie do stosowania zasad określonych w w/w dokumentach 4. Wykonanie zarządzenia powierzam Sekretarzowi Gminy. 5. Zarządzenie wchodzi w Ŝycie z dniem podpisania.

URZĄD MIEJSKI W BORNEM SULINOWIE Załącznik nr 1 do Zarządzenia nr 96/2014 Burmistrza Bornego Sulinowa z dnia 27.10.2014r Procedura alarmowa Ochrona danych osobowych w Urzędzie Miejskim w Bornem Sulinowie 2014 rok U R Z Ą D MIEJSKI W BORNEM SULINOWIE UL. ALEJA NIEPODLEGŁOŚCI 6

Spis treści: 1. Wstęp 2. Podstawowe definicje i pojęcia 3. Procedura alarmowa 4. Rejestr uchybień i zagroŝeń oraz szczegółowa instrukcja postępowania dla osób posiadających upowaŝnienie do przetwarzania danych osobowych w Urzędzie Miejskim w Bornem Sulinowie 5. Załączniki str. 3

1. Wstęp Administrator Danych Osobowych w Urzędzie Miejskim w Bornem Sulinowie w celu pełnej kontroli oraz zapobiegania moŝliwym zagroŝeniom związanym z ochroną danych osobowych na podstawie art. 36.1. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) wprowadza dokument o nazwie Procedura Alarmowa. Zapisy tego dokumentu obowiązują wszystkich pracowników Urzędu Miejskiego w Bornem Sulinowie, którzy przetwarzają dane osobowe w systemach informatycznych i w wersji papierowej. Z niniejszym dokumentem powinni zapoznać się wszyscy pracownicy, a w szczególności: 1) kierownicy referatów i pracownicy z samodzielnych stanowisk pracy, 2) osoby upowaŝnione do przetwarzania danych osobowych w zbiorach i bazach danych, 3) obsługa informatyczna Urzędu Miejskiego. Niniejsze procedury korespondują z dokumentem pn. Polityka Bezpieczeństwa Informacji w systemach informatycznych i kartotekach słuŝących do przetwarzania danych osobowych w Urzędzie Miejskim w Bornem Sulinowie, która została wprowadzona Zarządzeniem nr 80/2012 Burmistrza Bornego Sulinowa z dnia 14 grudnia 2012 r. Za rozpowszechnienie dokumentu i umoŝliwienie zapoznania się z nim przez wszystkich pracowników odpowiedzialny jest Administrator Bezpieczeństwa Informacji. Dokument powinien zostać umieszczony w formie elektronicznej, na wewnętrznych zasobach sieciowych Urzędu Miejskiego, do których dostęp posiadają wszyscy pracownicy Urzędu Miejskiego w Bornem Sulinowie lub w uzasadnionych przypadkach na Ŝądanie powinien zostać im przedłoŝony w formie papierowej. Podstawa prawna: 1) Ustawę z dn. 29.08.1997 r. o ochronie danych osobowych (ze zm.), 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3.06.1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upowaŝnienia Inspektora Ochrony Danych Osobowych (ze zm.), 3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych, str. 4

2. Podstawowe definicje i pojęcia ADO - Administrator Danych Osobowych Burmistrz Bornego Sulinowa. ABI - Administrator Bezpieczeństwa Informacji osoba wyznaczona przez Administratora Danych Osobowych do pełnienia funkcji Administratora Bezpieczeństwa Informacji. ASI - osoba wyznaczona przez Administratora Danych Osobowych do pełnienia funkcji Administratora Systemu Informatycznego Urzędu Miejskiego w Bornem Sulinowie. UŜytkownik danych kaŝdy pracownik, który wykonując czynności słuŝbowe, przetwarza dane osobowe, tzn. wykonuje na nich operacje takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie; Osoba upowaŝniona osoba posiadająca upowaŝnienie wydane przez ABI lub osobę uprawnioną przez niego i dopuszczona jako uŝytkownik do przetwarzania danych osobowych w systemie informatycznym w zakresie wskazanym w upowaŝnieniu. Osoba uprawniona osoba posiadająca upowaŝnienie wydane przez ABI do wykonywania w jego imieniu określonych czynności. Uchybienie - świadome lub nieświadome działania zmierzające do zagroŝenia, wskutek których moŝe dojść do utraty danych osobowych, kradzieŝy danych osobowych lub uszkodzenia nośników danych. ZagroŜenie - świadome lub nieświadome działania, wskutek których doszło do utraty danych osobowych, kradzieŝy danych osobowych lub uszkodzenia nośników danych. Procedura alarmowa sposób postępowania (rodzaj czynności) osób funkcyjnych i pracowników w sytuacji zagroŝenia utraty danych osobowych przetwarzanych w Urzędzie Miejskim w Bornem Sulinowie. str. 5

3. Procedura alarmowa Procedura alarmowa wskazuje na moŝliwe zagroŝenia oraz definiuje Dziennik Uchybień i ZagroŜeń, związany z niewłaściwym przetwarzaniem danych osobowych lub ich wyciekiem. Celem Procedury Alarmowej jest skatalogowanie moŝliwych uchybień i zagroŝeń oraz opisanie procedur działania w przypadku ich wystąpienia, jak i równieŝ ograniczenie ich powstania w przyszłości. Częścią Procedury Alarmowej jest Dziennik Uchybień i ZagroŜeń - (załącznik nr 1), Protokół ZagroŜenia - (załącznik nr 2), oraz Protokół Uchybienia - (załącznik nr 3), Dokumenty prowadzone są przez ABI w przypadku stwierdzenia naruszenia ochrony danych osobowych w Urzędzie Miejskim w Bornem Sulinowie. Reagowanie w sytuacji powstania uchybień i zagroŝenia wiąŝe się ze strukturą uprawnień oraz zakresem odpowiedzialności za prawidłowe przetwarzanie danych osobowych w Urzędzie Miejskim w Bornem Sulinowie (rys. 1). OSOBY UPRAWNIONE ADO - Burmistrz ABI inspektor ds. ZK ASI - informatyk PRZEPISY WYTYCZNE ORGANIZACJA SYSTEM INFORMATYCZNY Serwis Jednostki organizacyjne Gminy/ współpracujące OSOBY UPOWAŻNIONE KIEROWNIK KOMÓRKI ORGANIZACYJNEJ (SAMODZIELNE STANOWISKO PRACY) PRACOWNICY UM Rysunek 1 Struktura uprawnień oraz zakresu odpowiedzialności za prawidłowe przetwarzanie danych w Urzędzie Miejskim w Bornem Sulinowie str. 6

4. Charakterystyka moŝliwych Uchybień i ZagroŜeń 4.1. Uchybienia i zagroŝenia nieświadome wewnętrzne i zewnętrzne Do uchybień i zagroŝeń nieświadomych wewnętrznych i zewnętrznych naleŝą działania pracowników Urzędu Miejskiego lub osób nie będących pracownikami Urzędu Miejskiego, w następstwie których moŝe dojść lub doszło do zniszczenia danych, wycieku danych lub naruszenia ich poufności. W szczególności są to działania takie jak: - niewłaściwe zabezpieczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, - niewłaściwe zabezpieczenie danych przetwarzanych na stanowisku pracy, - niewłaściwe zabezpieczenie sprzętu komputerowego, włamanie do systemu, - dopuszczenie do przetwarzania danych przez osoby nieposiadające upowaŝnienia, - pomyłki informatyków, samowolna zmiana oprogramowania, - wykorzystanie sprzętu do celów prywatnych z uŝyciem nie sprawdzonych nośników danych, - brak reakcji na zagroŝenia, - kradzieŝ danych, - niewłaściwe przechowywanie, posługiwanie się oraz nieuprawnione udostępnianie haseł i kodów dostępu, - pozostawienie bez opieki a w konsekwencji utrata lub kradzieŝ sprzętu informatycznego, - działanie wirusów i innego szkodliwego oprogramowania oraz inne działania, wskutek których dojdzie do utraty danych osobowych lub uszkodzenia nośników danych. 5.2. Uchybienia i zagroŝenia umyślne wewnętrzne i zewnętrzne Do uchybień i zagroŝeń umyślnych wewnętrznych i zewnętrznych naleŝą celowe działania pracowników Urzędu Miejskiego, w następstwie których moŝe dojść lub doszło do zniszczenia danych, wycieku danych lub naruszenia ich poufności. W szczególności są to działania takie jak: - celowe zniszczenie sprzętu, danych osobowych lub nośników danych, - kradzieŝ lub utrata danych osobowych, - dopuszczenie do przetwarzania danych przez osoby nieposiadające upowaŝnienia, - nadmierne nadawanie uprawnień do dostępu do systemu i przetwarzanych danych osobowych, - kradzieŝ danych, - zainfekowanie złośliwego oprogramowania, - niewłaściwe niszczenie dokumentów, - nie stosowanie obowiązujących procedur, brak szkolenia, - kradzieŝ sprzętu informatycznego, - działanie wirusów i innego szkodliwego oprogramowania oraz inne działania, wskutek których dojdzie do utraty danych osobowych lub uszkodzenia nośników danych. str. 7

5.3. Uchybienia i zagroŝenia losowe Do uchybień i zagroŝeń losowych naleŝą sytuacje losowe, w następstwie których moŝe dojść lub doszło do zniszczenia danych, wycieku danych lub naruszenia ich poufności. W szczególności są to sytuacje takie jak: - klęski Ŝywiołowe, - przerwy w dostawie prądu (zasilania), - niesprawne źródła zasilania awaryjnego, - awarie serwera i innych urządzeń wchodzących w skład systemu, - poŝar, - zalanie wodą. 4.4. Procedura postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych. KaŜdy pracownik Urzędu Miejskiego w Bornem Sulinowie posiadający upowaŝnienie do przetwarzania danych osobowych, w przypadku stwierdzenia uchybienia lub zagroŝenia ma obowiązek niezwłocznie powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji lub Administratora Danych (rys 2). Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia uchybienia ma obowiązek: odnotować kaŝde uchybienie w Dzienniku Uchybień i ZagroŜeń, sporządzić Protokół Uchybienia, wprowadzić procedury uniemoŝliwiające ponowne powstanie uchybienia. Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia zagroŝenia ma obowiązek: zabezpieczyć dowody, powiadomić policję (w przypadku włamania) zabezpieczyć dane osobowe oraz nośniki danych, odnotować kaŝde zagroŝenie w Dzienniku Uchybień i ZagroŜeń sporządzić Protokół ZagroŜenia wprowadzić procedury uniemoŝliwiające ponowne powstanie zagroŝenia powiadomić o zaistniałej sytuacji Administratora Danych podjąć próbę przywrócenia stanu sprzed zaistnienia zagroŝenia. Administrator Danych Osobowych w przypadku stwierdzenia zagroŝenia moŝe wyciągnąć konsekwencje dyscyplinarne wobec osób odpowiedzialnych za zagroŝenie. str. 8

Uchybienie Zagrożenie Nieumyślne, Umyślne Wewnętrzne i Zewnętrzne, Losowe Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia uchybienia ma obowiązek: 1. odnotować każde uchybienie w Dzienniku Uchybień i Zagrożeń 2. sporządzić Protokół Uchybienia 3. wprowadzić procedury uniemożliwiające ponowne powstanie uchybienia PRACOWNIK UM ASI ABI Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia zagrożenia ma obowiązek: 1. zabezpieczyć dowody, powiadomić policję (w przypadku włamania) 2. zabezpieczyć dane osobowe oraz nośniki danych 3. odnotować każde zagrożenie w Dzienniku Uchybień i Zagrożeń 4. sporządzić Protokół Zagrożenia 5. wprowadzić procedury uniemożliwiające ponowne powstanie zagrożenia 6. powiadomić o zaistniałej sytuacji Administratora Danych 7. podjąć próbę przywrócenia stanu sprzed zaistnienia zagrożenia ADO Administrator Danych Osobowych w przypadku stwierdzenia zagrożenia ma obowiązek wyciągnięcia konsekwencji dyscyplinarnych wobec osób odpowiedzialnych za zagrożenie Rysunek 2 Postępowanie w przypadku naruszenia ochrony danych osobowych. Szczegółowy zakres incydentów związanych z bezpieczeństwem informacji w wyniku których moŝe dojść do utraty danych osobowych określa Polityka Bezpieczeństwa Informacji. str. 9

4. Rejestr uchybień i zagroŝeń oraz szczegółowa instrukcja postępowania dla osób posiadających upowaŝnienie do przetwarzania danych osobowych w Urzędzie Miejskim Kod uchybienia lub zagroŝenia Uchybienia i zagroŝenia nieświadome, świadome wewnętrzne i zewnętrzne oraz zdarzenia losowe 01 Pomieszczenie, środki do przetwarzania danych osobowych pozostają bez nadzoru. 02 Pominięto system kontroli dostępu do stref administracyjnych Urzędu Miejskiego i pomieszczeń teletechnicznych. 03 Pozostawienie niezabezpieczonych pomieszczeń, szaf w których przechowywane są dane osobowe oraz dokumentów na biurkach po zakończeniu pracy. 04 Dokumenty i nośniki elektroniczne zawierające dane osobowe nie zostały zniszczone w sposób uniemoŝliwiający ich odczyt, pozostawiono je koszu naśmieci lub nie odebrano wydruków z drukarek ogólnodostępnych. 05 Zgubiono klucze, lub wykonano kopie kluczy do pomieszczeń biurowych w których przechowuje się dane osobowe, nie zachowując obowiązującej procedury. 06 Zidentyfikowano lub wykorzystywano środek przetwarzający informacje nieznanego pochodzenia (sprzęt, nośniki) oraz wykonywanie zdalnej pracy przy pomocy komputera inny niŝ słuŝbowy. 07 Niestosowanie się do wymagań dotyczących złoŝoności haseł, przechowywanie ich w sposób niewłaściwy lub nieuprawnione ich udostępnianie. 08 Pojawienie się nieautoryzowanej informacji na stronie internetowej. Postępowanie w przypadku uchybienia lub zagroŝenia osobowe oraz powiadomić ABI. uchybienia. NaleŜy zabezpieczyć pomieszczenia i powiadomić ABI. zagroŝenia i powiadamia ADO. osobowe, pomieszczenia i powiadomić ABI. uchybienia. osobowe, nośniki, dokumenty i powiadomić ABI. ABI sporządza protokół uchybienia. osobowe, pomieszczenia i powiadomić ABI. zagroŝenia i powiadamia ADO. osobowe, sprzęt i powiadomić ABI. NaleŜy zabezpieczyć sprzęt. zagroŝenia lub uchybienia, powiadamia ADO adekwatnie do sytuacji. osobowe, sprzęt i powiadomić ABI. ASI zmienia hasło dostępu. zagroŝenia i powiadamia ADO. osobowe i powiadomić ABI. zagroŝenia i powiadamia ADO, ASI identyfikuje źródło informacji. str. 10

09 Podjęto pracę w stanie zagroŝenia bezpieczeństwa informacji (m.in. próba logowania za pomocą nieprawidłowego hasła) w wyniku czego zostało zablokowane konto uŝytkownika. 10 Stwierdzono wykorzystywanie słuŝbowej poczty do celów prywatnych oraz ogólnopolskich serwisów pocztowych w celach słuŝbowych. 11 Komputer nie jest zabezpieczony hasłem. 12 Stwierdzono wykorzystywanie nielegalnego lub złośliwego oprogramowania (wirusa, atak hackera) oraz narzędzi słuŝących do obchodzenia zabezpieczeń w systemie informatycznym, próby instalacji nie zatwierdzonego oprogramowania lub zmiany konfiguracji sprzętowej oraz programowej systemów oraz stacji roboczych przez nieupowaŝnione osoby. 13 Nie zgłaszane są przypadki nieprawidłowego działania systemów bezpieczeństwa. 14 Dostęp do danych osobowych mają osoby nieposiadające upowaŝnienia, pracownik nie podpisał oświadczeń. 15 Nie anulowano uprawnień pracownikowi, z którym wygasła, rozwiązano umowę o pracę, nie rozliczył się z powierzonych materiałów i środków przetwarzania informacji. 16 Brak zabezpieczeń w umowach ze stronami trzecimi z którymi wiąŝe się przetwarzanie danych osobowych lub umoŝliwienie stronie wykonywanie czynności na terenie Urzędzie Miejskim w wyniku, której moŝe dojść do utraty danych (serwisanci). 17 Utrata danych osobowych w wyniku kradzieŝy, zagubienia, nieuprawnionego przekazania. osobowe, sprzęt i powiadomić ABI. zagroŝenia i powiadamia ADO. osobowe i powiadomić ABI. ABI sporządza protokół uchybienia. osobowe oraz powiadomić ABI. uchybienia. osobowe, sprzęt i powiadomić ABI. zagroŝenia i powiadamia ADO. NaleŜy powiadomić ABI. ABI sporządza protokół uchybienia. NaleŜy uniemoŝliwić dostęp osób bez upowaŝnienia oraz powiadomić ABI. ABI sporządza protokół uchybienia. osobowe i powiadomić ABI. ABI sporządza protokół uchybienia. osobowe i powiadomić ABI. ABI sporządza protokół zagroŝenia i powiadamia ADO. osobowe i powiadomić ABI. ABI sporządza protokół zagroŝenia. str. 11

18 Nadawanie nadmiernych uprawnień dostępu do systemów przetwarzających dane osobowe. 19 Nieuprawniony dostęp do otwartych aplikacji w systemie informatycznym. 20 Próba kradzieŝy danych osobowych poprzez zewnętrzny nośnik danych. 21 Próba kradzieŝy danych osobowych w formie papierowej. 22 Nieuprawniony dostęp do danych osobowych w formie papierowej. 23 Dane osobowe przechowywane są w niezabezpieczonym pomieszczeniu. 24 Próba włamania do pomieszczenia/budynku, kradzieŝy sprzętu przetwarzającego dane osobowe. 25 Działanie zewnętrznych aplikacji, wirusów, złośliwego oprogramowania. 26 Brak aktywnego oprogramowania antywirusowego. NaleŜy powiadomić ABI. ABI sporządza protokół uchybienia. NaleŜy powiadomić ABI, który powinien sprawdzić system uwierzytelniania oraz sprawdzić czy nie doszło do kradzieŝy lub zniszczenia danych. ABI sporządza protokół uchybienia. NaleŜy nie dopuścić do kradzieŝy danych i powiadomić ABI. ABI powinien zabezpieczyć nośnik danych i powiadomić ADO. ABI sporządza protokół zagroŝenia i powiadamia ADO. NaleŜy nie dopuścić do kradzieŝy danych i powiadomić ABI. ABI powinien zabezpieczyć dane i powiadomić ADO. ABI sporządza protokół zagroŝenia i powiadamia ADO. NaleŜy uniemoŝliwić dostęp osób bez upowaŝnienia oraz powiadomić ABI. ABI sporządza protokół uchybienia. NaleŜy powiadomić ABI. ABI powinien zabezpieczyć pomieszczenie. ABI sporządza protokół uchybienia. NaleŜy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i wzywa policję. ABI sporządza protokół zagroŝenia i powiadamia ADO. NaleŜy zrobić audyt systemów zabezpieczeń, a w szczególności systemów antywirusowych, firewall. ABI powinien ocenić, czy nie doszło do utraty danych osobowych i w zaleŝności od tego sporządzić protokół uchybienia lub zagroŝenia. NaleŜy powiadomić ABI. ABI powinien zaktualizować lub nabyć oprogramowanie antywirusowe. uchybienia. str. 12

27 Nieuprawniona zmiana, zniszczenie lub modyfikacja danych osobowych w formie papierowej. 28 Nieuprawniona zmiana, zniszczenie, uszkodzenie, (w tym sprzętu oraz nośników przetwarzających dane osobowe) lub modyfikacja danych osobowych w systemie informatycznym. 29 Awaria systemu informatycznego, uszkodzenie komputerów, nośników danych. 30 Próba nieuprawnionej interwencji przy sprzęcie komputerowym. 31 Utrudniona dostępność systemu informatycznego spowodowana awarią zasilania urządzeń przetwarzających informacje, obciąŝeniem procesora, przekroczenie dostępnych zasobów systemowych, itp. 32 Błędy w obsłudze i konserwacji sprzętu komputerowego oraz przechowywaniu, eksploatacji i konserwacji oprogramowania. 33 Nie wykonywane są kopie bezpieczeństwa ora nie weryfikuje się moŝliwości odtworzenia danych z kopii zapasowych. 34 Zdarzenia losowe (poŝar, zalanie, klęska Ŝywiołowa). NaleŜy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i powiadamia ADO. ABI sporządza protokół zagroŝenia. NaleŜy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i powiadamia ADO. zagroŝenia. NaleŜy powiadomić ABI. ABI powinien ocenić w wyniku czego doszło do zniszczenia i przywrócić dane z kopii zapasowej. ABI powiadamia ADO i sporządza protokół zagroŝenia. NaleŜy uniemoŝliwić dostęp osób do sprzętu komputerowego oraz powiadomić ABI. ABI sporządza protokół uchybienia osobowe, pomieszczenia i powiadomić ABI. ABI sporządza protokół uchybienia. NaleŜy zabezpieczyć sprzęt i oprogramowania i powiadomić ABI. uchybienia. osobowe, pomieszczenia i powiadomić ABI. zagroŝenia i powiadamia ADO. Powiadomić ABI i ASI. ABI oszacowuje powstałe starty i sporządza protokół zagroŝenia lub uchybienia i powiadamia ADO. str. 13

Załącznik nr 1 do Procedury Alarmowej DZIENNIK UCHYBIEŃ I ZAGROŻEŃ Kod Data i godzina zdarzenia Rodzaj zdarzenia (uchybienie/ zagroŝenie) Opis zdarzenia Skutki zdarzenia Działania naprawcze Podpis ABI str. 14

Załącznik nr 2 do Procedury Alarmowej Urząd Miejski w Bornem Sulinowie Borne Sulinowo, dnia 20 r. ul. Al. Niepodległości 6 PROTOKÓŁ ZAGROŻENIA Data i godzina wystąpienia zagroŝenia -... Kod zagroŝenia -... Opis zagroŝenia............... Przyczyny powstania zagroŝenia............... Zaistniałe skutki zagroŝenia............... Podjęte działania naprawczo-zapobiegawcze......... Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych...... Podpis Podpis str. 15

Załącznik nr 3 do Procedury Alarmowej Urząd Miejski w Bornem Sulinowie Borne Sulinowo, dnia 20 r. ul. Al. Niepodległości 6 PROTOKÓŁ UCHYBIENIA Data i godzina wystąpienia uchybienia -... Kod uchybienia -... Opis uchybienia Przyczyny powstania uchybienia Zaistniałe skutki uchybienia Podjęte działania naprawczo-zapobiegawcze Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych...... Podpis Podpis str. 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres