POLITYKA BEZPIECZEŃSTWA Gimnazjum nr 13 im. Jana III Sobieskiego ul. Kreta 20 44-274 Rybnik Data i miejsce sporządzenia dokumentu: 7.05.2012r. Rybnik Ilość stron: 23 Organ zatwierdzający: Dyrektor szkoły - 1 -
SPIS TREŚCI SPIS TREŚCI 2 1. Wstęp 3 1.1. Informacje ogólne 3 1.2. Cel przygotowania Polityki bezpieczeństwa 4 1.3. Zakres informacji objętych Polityką Bezpieczeństwa oraz zakres zastosowania 5 1.4. Sposób aktualizacji oraz przeglądania Polityki Bezpieczeństwa 6 1.5. Sposób przechowywania dokumentu Polityki Bezpieczeństwa 7 1.6. Wyjaśnienie terminów używanych w dokumencie Polityki Bezpieczeństwa 8 2. Wykaz zbiorów danych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych 10 3. Opis struktury zbiorów danych wskazujący zawartość pól informacyjnych i powiązania między poszczególnymi polami informacyjnymi 11 3.1. Opis struktur zbiorów danych 11 3.2. Wskazanie zawartości poszczególnych pól informacyjnych i powiązania między nimi 12 4. Sposób przepływu danych osobowych pomiędzy systemami informatycznymi 13 5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe 14 6. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych 15 6.1. Środki ochrony fizycznej danych osobowych 15 6.2. Środki sprzętowe, informatyczne i telekomunikacyjne 17 6.3. Środki ochrony w ramach oprogramowania urządzeń teletransmisji 19 6.4. Środki w ramach oprogramowania systemów 20 6.5. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych 21 6.6. Środki ochrony w ramach systemu użytkowego 22 6.7. Środki organizacyjne 23-2 -
1. WSTĘP 1.1 INFORMACJE OGÓLNE Niniejszy dokument Polityki Bezpieczeństwa został opracowany przez Justynę Rusin - Administratora Danych Gimnazjum nr 13 im. Jana III Sobieskiego w Rybniku, w celu zapewnienia zgodności przetwarzania danych osobowych z polskim ustawodawstwem. Polityka Bezpieczeństwa wraz z instrukcją zarządzania systemem informatycznym stanowi dokumentację przetwarzania danych osobowych w rozumieniu 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.). Polityka Bezpieczeństwa została wdrożona zarządzeniem dyrektora i obowiązuje od dnia 08.05.2012 r. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu Polityki Bezpieczeństwa, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą. Każda osoba mającą dostęp do danych osobowych z upoważnienia Administratora Danych, została zapoznana z Polityką Bezpieczeństwa i zobowiązana do jej przestrzegania w zakresie wynikającym z przydzielonych zadań. Dotyczy to w szczególności pracowników zatrudnionych przez Administratora Danych. Osoby o których mowa, złożyły na piśmie oświadczenie o zapoznaniu się z treścią Polityki Bezpieczeństwa oraz zobowiązały się do stosowania zawartych w niej postanowień. - 3 -
1.2. CEL PRZYGOTOWANIA POLITYKI BEZPIECZEŃSTWA Podstawowym celem przyświecającym przygotowaniu i wdrożeniu dokumentu Polityki Bezpieczeństwa było zapewnienie zgodności działania Gimnazjum nr 13 im. Jana III Sobieskiego w Rybniku z ustawą o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi. Opracowany dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: 1. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.), 2. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 3. ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. 2004 r. Nr 256 poz. 2572 z późn. zm.), 4. rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. 2002 r. Nr 23 poz. 225 z późn. zm.), 5. ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (tj. Dz.U. z 2001 r. nr 128, poz. 1402 z późn. zm.). Należy przez powyższe rozumieć w szczególności realizację w niniejszym dokumencie wymogu opisania sposobu przetwarzania danych osobowych oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zadaniem Polityki Bezpieczeństwa jest także określenie podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. - 4 -
1.3. ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA ORAZ ZAKRES ZASTOSOWANIA Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Jest to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Gimnazjum nr1 3 im. Jana III Sobieskiego w Rybniku. Polityka Bezpieczeństwa, odnosi się całościowo do problemu zabezpieczenia danych osobowych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Na Politykę Bezpieczeństwa składają się następujące informacje: 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, 4. sposób przepływu danych pomiędzy poszczególnymi systemami, 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Politykę Bezpieczeństwa stosuje się do wszelkich czynności, stanowiących w myśl ustawy o ochronie danych osobowych, przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosowane są zasady przetwarzania danych osobowych ujęte w niniejszym dokumencie Polityki Bezpieczeństwa. Rygorowi Polityki Bezpieczeństwa podlegają także dane powierzone Gimnazjum nr 13 im. Jana III Sobieskiego w Rybniku do przetwarzania na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych oraz dane osobowe, których Gimnazjum nr 13 im. Jana III Sobieskiego w Rybniku jest odbiorcą w rozumieniu ustawy o ochronie danych osobowych. 1.4. SPOSÓB AKTUALIZACJI ORAZ PRZEGLĄDANIA POLITYKI BEZPIECZEŃSTWA - 5 -
W związku z dynamiką zmian w zakresie bezpieczeństwa informacji oraz mając na uwadze częste zmiany w konstrukcji systemów informatycznych, Administrator Danych zobowiązuje się dokonywać corocznie przeglądów i aktualizacji Polityki Bezpieczeństwa. Weryfikacja zapisów Polityki Bezpieczeństwa jest prowadzona pod kątem zgodności stanu deklarowanego ze stanem faktycznym. Do końca stycznia każdego roku kalendarzowego Administrator Danych lub osoba przez niego upoważniona dokona sprawdzenia aktualności Polityki Bezpieczeństwa. Do końca czerwca każdego roku zostanie przygotowany raport zawierający wnioski płynące z przeprowadzonej weryfikacji Polityki Bezpieczeństwa. Raport będzie zawierał informacje pozwalające na wyeliminowanie niezgodności stanu opisanego w Polityce Bezpieczeństwa ze stanem faktycznym. Polityka bezpieczeństwa podlega aktualizacji każdorazowo w przypadku likwidacji, utworzenia lub zmiany zawartości zbioru danych, a także w przypadku zmiany przepisów prawa dotyczącego ochrony danych osobowych, wymagającej aktualizacji Polityki. Aktualizacja Polityki Bezpieczeństwa jest przeprowadzana przez Administratora Danych. Nowa wersja Polityki Bezpieczeństwa zastępuje poprzednio obowiązującą. Administrator Danych wprowadza w życie nową wersję Polityki Bezpieczeństwa w formie decyzji, określając w jej treści od kiedy nowy dokument obowiązuje. 1.5. SPOSÓB PRZECHOWYWANIA DOKUMENTU POLITYKI BEZPIECZEŃSTWA - 6 -
Dokument Polityki Bezpieczeństwa jest przechowywany w wersji elektronicznej, na komputerze zabezpieczonym przed dostępem osób nieupoważnionych. Zapewniona jest możliwość wydrukowania aktualnej wersji dokumentu Polityki Bezpieczeństwa w terminie 12 godzin od pojawienia się takiej potrzeby. Kopia pliku Polityki Bezpieczeństwa wykonywana jest po każdej aktualizacji. Wykonanie kopii skutkuje usunięciem poprzednio przygotowanej kopii.. Dokument Polityki Bezpieczeństwa jest przechowywany wraz z innymi dokumentami, do których dostęp posiada tylko Administrator Danych oraz upoważnione przez niego osoby. Wydrukowany po aktualizacji dokument Polityki Bezpieczeństwa zastępuje poprzedni, który ulga zniszczeniu. 1.6. WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE POLITYKI BEZPIECZEŃSTWA - 7 -
1. ustawa - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 r. Nr 133 poz. 883 z późn. zm.), zwaną dalej ustawą", 2. rozporządzenie rozumie się przez to rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.), zwane dalej rozporządzeniem, 3. dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 4. polityka bezpieczeństwa dokument polityki bezpieczeństwa w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej polityką, 5. instrukcja zarządzania systemem informatycznym dokument instrukcji zarządzania systemem informatycznym w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej instrukcją, 6. zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 7. przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 8. system informatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 9. zabezpieczenie danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 10. usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 11. administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych, 12. zgoda osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, 13. odbiorca danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a. osoby, której dane dotyczą, b. osoby upoważnionej do przetwarzania danych, - 8 -
c. przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych, d. podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 14. państwo trzecie - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego, 15. identyfikator użytkownika u - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 16. hasło - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 17. sieć telekomunikacyjna - rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.), 18. sieć publiczna - rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne, 19. telentransmisja - rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 20. rozliczalność - rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 21. integralność danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 22. raport - rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 23. poufność danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom, 24. uwierzytelnianie - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 2. WYKAZ ZBIORÓW WRAZ ZE WSKAZANIEM PROGRAMÓW STOSOWANYCH DO PRZETWARZANIA DANYCH - 9 -
L.P. Nazwa zbioru Systemy informatyczne stosowane do Zastosowany poziom Uwagi danych przetwarzania danych osobowych bezpieczeństwa w zbiorze 1. Uczniowie oraz Word, Excel, OKE, SIO, Vulcan Optivum: kandydaci do Sekretariat, Świadectwa, Nabór, Dziennik wysoki szkoły elektroniczny, 2. Pracownicy oraz Word, Excel, Vulcan Optivum Płace, Arkusz wysoki kandydaci do Organizacyjny,SIO, eru-pzu pracy 3. Rodzice/prawni Word, Excel, Vulcan Optivum: Sekretariat, wysoki opiekunowie Nabór 4. Płace Vulcan Optivum Płace, Płatnik - ZUS wysoki - 10 -
3. OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY POSZCZEGÓLNYMI POLAMI INFORMACYJNYMI 3.1. OPIS STRUKTURY ZBIORÓW DANYCH L.P. NAZWA ZBIORU ZAKRES PRZETWARZANYCH DANYCH 1. Uczniowie oraz kandydaci do szkoły Imię (imiona) nazwisko, data urodzenia, nr PESEL, adres zamieszkania, klasa, data przyjęcia do szkoły, oceny, obecność na zajęciach, dokumentacja medyczna, oceny zachowania. 2. Pracownicy oraz kandydaci do pracy Imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), numer telefonu, wykształcenie, przebieg dotychczasowego zatrudnienia, numer PESEL i NIP, imiona i nazwiska oraz daty urodzenia dzieci pracownika. 3. Rodzice/prawni opiekunowie Imiona, nazwiska, adres zamieszkania, numer telefonu 4. Płace Wysokość wynagrodzenia pracowników, imię (imiona) nazwisko, data i miejsce urodzenia, miejsce zamieszkania i zameldowania, numer telefonu, numery kont bankowych, numer NIP i PESEL. 3.2. WSKAZANIE ZAWARTOŚCI POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI L.P. Nazwa zbioru Dane osobowe Opis pola informacyjnego i powiązania z innymi polami - 11 -
1 uczniowie imię w polu przechowywane jest imię lub imiona ucznia 2 uczniowie nazwisko w polu przechowywane jest nazwisko ucznia 3 uczniowie data i miejsce w polu przechowywana jest data i miejsce urodzenia ucznia urodzenia 4 uczniowie adres w polu przechowywany jest adres zamieszkania i/lub zameldowania ucznia (nazwa ulicy, numer domu lub numer mieszkania, kod pocztowy, miejscowość) 5 uczniowie PESEL w polu przechowywany jest numer PESEL ucznia 6 pracownicy imię w polu przechowywane jest imię lub imiona pracownika 7 pracownicy nazwisko w polu przechowywane jest nazwisko / nazwiska pracownika 8 pracownicy data i miejsce w polu przechowywana jest data i miejsce urodzenia pracownika urodzenia 9 pracownicy adres w polu przechowywany jest adres zamieszkania i/lub zameldowania pracownika (nazwa ulicy, numer domu lub numer mieszkania, kod pocztowy, miejscowość 10 pracownicy PESEL w polu przechowywany jest numer PESEL pracownika 11 pracownicy numer telefonu w polu przechowywany jest numer telefonu pracownika 12 rodzice/ opiekunowie 13 rodzice/ opiekunowie 14 rodzice/ opiekunowie imię nazwisko adres w polu przechowywane są imiona rodziców/opiekunów prawnych w polu przechowywane są nazwiska rodziców/opiekunów prawnych w polu przechowywany jest adres zamieszkania i/lub zameldowania rodziców/ opiekunów prawnych (nazwa ulicy, numer domu lub numer mieszkania, kod pocztowy, miejscowość w polu przechowywany jest numer telefonu i adres e-mail 15 rodzice/ numer telefonu, opiekunowie adres e-mail 16 płace imię w polu przechowywane jest imię lub imiona pracownika 17 płace nazwisko w polu przechowywane jest nazwisko lub nazwiska pracownika 18 płace adres w polu przechowywany jest adres zamieszkania i/lub zameldowania pracownika (nazwa ulicy, numer domu lub numer mieszkania, kod pocztowy, miejscowość 19 płace data i miejsce w polu przechowywana jest data i miejsce urodzenia pracownika urodzenia 20 płace numer telefonu w polu przechowywany jest numer telefonu pracownika 21 płace numer NIP w polu przechowywany jest numer identyfikacji podatkowej pracownika 22 płace numer PESEL w polu przechowywany jest numer PESEL pracownika 23 płace wynagrodzenie w polu przechowywana jest wysokość wynagrodzenia (wszystkie składniki wynagrodzenia) pracownika) 24 płace konto bankowe w polu przechowywany jest numer konta bankowego pracownika i nazwa banku 4. SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH POMIĘDZY SYSTEMAMI INFORMATYCZNYMI - 12 -
L.P. Źródłowy system informatyczny Docelowy system informatyczny Zakres przysłanych danych osobowych 1 Word/Excel Word/Excel imię i nazwisko ucznia, data i miejsce urodzenia, PESEL, adres zamieszkania/zameldowania 2 SIO PESEL pracowników, dane o wynagrodzeniu, zatrudnieniu, wykształceniu, 3 OKE imię i nazwisko ucznia, data i miejsce urodzenia, PESEL 4 Dziennik Lekcyjny Imię i nazwisko ucznia, oceny Optivum 5 BRE Bank SA Imię i nazwisko pracownika, numer konta, wysokość przelewu 6 Płatnik ZUS imię i nazwisko pracownika, data i miejsce urodzenia, PESEL, adres zamieszkania i zameldowania, numer telefonu 7 eru - PZU imię i nazwisko pracownika, data 8 Vulcan Optivum nabór elektroniczny urodzenia, PESEL, adres zamieszkania imię i nazwisko ucznia, data i miejsce urodzenia, PESEL, adres zamieszkania/zameldowania, imiona i nazwiska rodziców, adres zamieszkania, numer telefonu, numer szkoły rejonowej, numer szkoły wybranej. Sposób transmisji manualny (eksport oraz import) przesyłanie danych poprzez sieć telekomunikacyjną Manualny (eksport oraz import) przesyłanie danych poprzez sieć telekomunikacyjną przesyłanie danych poprzez sieć telekomunikacyjną przesyłanie danych poprzez sieć telekomunikacyjną przesyłanie danych poprzez sieć telekomunikacyjną 5. WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI CI POMIESZCZEŃ,, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE Adres /lokalizacja Uwagi Dane osobowe przetwarzane jako Gimnazjum nr 13 im. Jana III Sobieskiego, sekretariat, gabinet dyrektora, - 13 -
Administrator Danych Dane osobowe przetwarzane jako Przetwarzający Dane osobowe powierzone do przetwarzania Przetwarzającemu ul. Kręta 20, 44-274 Rybnik Gimnazjum nr 13 im. Jana III Sobieskiego, ul. Kręta 20, 44-274 Rybnik Wydział Edukacji Urzędu Miasta Rybnika Ul. Zamkowa 5 44-200 Rybnik Kuratorium Oświaty w Katowicach Delegatura Rybnik Ul. 3-go Maja 27 44-200 Rybnik ZUS, Rybnik ul. Reymonta 2 44-200 Rybnik OKE Jaworzno, ul. Mickiewicza 4 PZU, ul. Plac Wolności 19 BRE Bank SA o. Rybnik, ul. Rudzka 3 Vulcan sp. zo.o. Oddział Katowice ul. M. Skłodowskiej Curie 30/5 Sekretariat, pokój nauczycielski, pracownia komputerowa Pracownicy Referatu Ogólnego, Referatu Analiz i Planowania, księgowa, wizytatorzy, 6. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI CI PRZETWARZANYCH DANYCH OSOBOWYCH 6.1. ŚRODKI OCHRONY FIZYCZNEJ DANYCH OSOBOWYCH 1) Dane osobowe przetwarzane są s w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w - 14 -
odrębnych przepisach 2) Bazy danych osobowych przechowywane są s w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nieantywłamaniowymi) 3) Bazy danych osobowych przechowywane są s w pomieszczeniu zabezpieczonym drzwiami wzmacnianymi (nieantywłamaniowymi) 4) Bazy danych osobowych przechowywane są s w pomieszczeniu zabezpieczonym drzwiami antywłamaniowymi 5) Bazy danych osobowych przechowywane są s w pomieszczeniu, w którym okna zabezpieczone są s za pomocą krat, rolet lub folii antywłamaniowej 6) Pomieszczenie, w którym przetwarzane są s dane osobowe wyposażone one jest w system alarmowy przeciwwłamaniowy TAK/ K/NIE 7) Dostęp p do pomieszczeń,, w których przetwarzane są s dane osobowe objęty jest systemem kontroli dostępu. 8) Dostęp p do pomieszczeń,, w których przetwarzane są s dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych p 9) Dostęp p do pomieszczeń,, w których przetwarzane są s dane osobowe jest nadzorowany przez całą dobę. 10) Kopie zapasowe baz danych osobowych przechowywane są s w innym pomieszczeniu niż to, w którym znajduje się komputer główny, na którym dane osobowe przetwarzane są s na bieżąco. - 15 -
11) Kopie zapasowe/archiwalne baz danych osobowych przechowywane są s w zamkniętej niemetalowej szafie. 12) Kopie zapasowe/archiwalne baz danych osobowych przechowywane są s w zamkni niętej szafie metalowej (nieantywłamaniowej). 13) Kopie zapasowe/archiwalne baz danych osobowych przechowywane są s w zamkniętym sejfie lub kasie pancernej. 14) Baza danych osobowych w formie pisemnej przechowywana jest w zamkniętej niemetalowej szafie 15) Baza danych w formie pisemnej przechowywana jest w zamkniętej szafie metalowej (nieantywłamaniowej). 16) Baza danych w formie pisemnej przechowywana jest w zamkniętym sejfie lub kasie pancernej 6.2. ŚRODKI SPRZĘTOWE, INFORMATYCZNE I TELEKOMUNIKACYJNE 1) Pomieszczenie, w którym przetwarzane są s dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpo wpożarowego lub wolnostojącej gaśnicy. 2) Dokumenty zawierające dane osobowe po ustaniu przydatności są s niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. - 16 -
3) Baza danych osobowych prowadzona jest wyłącznie w postaci papierowej (bez użycia u systemów informatycznych). 4) Baza danych osobowych obowych prowadzona jest przy użyciu u komputera przenośnego. nego. 5) Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową. 6) Co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną (np. Internetem). 7) Żadne z urządze dzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną (np. Internetem). 8) Uniemożliwiono iwiono użytkownikom u systemu informatycznego, w którym przetwarzane są s dane osobowe wykonywania kopii tych danych. 9) Zastosowano urządzenia typu UPS lub generator prądu lub wydzieloną sieć elektroenergetyczną,, chroniące ce system informatyczny służący do przetwarzania danych osobowych przed awarią zasilania. 10) Zastosowano środki kryptograficznej ochrony danych osobowych w trakcie teletransmisji. 11) Zastosowano macierz dyskową w komputerze głównym w celu ochrony danych osobowych. owych. 12) Użyto U system Firewall do ochrony dostępu do sieci komputerowej. 13) Użyto U system IDS/IPS do ochrony dostępu do sieci komputerowej - 17 -
6.3. ŚRODKI OCHRONY W RAMACH OPROGRAMOWANIA URZĄDZE DZEŃ TELETRANSMISJI TRANSMISJI 1) Proces teletransmisji zabezpieczony jest za pomocą środków uwierzytelnienia. 2) Proces teletransmisji zabezpieczony jest za pomocą środków kryptograficznej ochrony danych osobowych. - 18 -
3) Zastosowanie procedury oddzwonienia nia (callback) przy transmisji realizowanej za pośrednictwem modemu. 6.4. ŚRODKI W RAMACH OPROGRAMOWANIA SYSTEMÓW 1) Dostęp p do bazy danych osobowych przetwarzanych za pomocą komputera zabezpieczony jest na tym komputerze e za pomocą hasła BIOS. 2) Dostęp p do systemu operacyjnego komputera, w którym przetwarzane są s dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika u oraz hasła. - 19 -
3) Dostęp p do systemu operacyjnego komputera, w którym k przetwarzane są s dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej. 4) W systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł. 5) Zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników u systemu informatycznego. 6) Zastosowano system rejestracji dostępu do bazy danych osobowych owych 7) Zastosowano oprogramowanie zabezpieczające ce przed nieuprawnionym dostępem do systemu informatycznego. 8) Zastosowano oprogramowanie umożliwiaj liwiające wykonanie kopii zapasowych bazy danych osobowych. 6.5. ŚRODKI OCHRONY W RAMACH NARZĘDZI BAZ DANYCH I INNYCH NARZĘDZI PROGRAMOWYCH 1) Wykorzystano środki pozwalające na rejestrację dokonanych zmian w bazie danych osobowych. 2) Zastosowano środki umożliwiaj liwiające określenie praw dostępu do bazy danych osobowych. - 20 -
3) Dostęp p do bazy danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika u oraz hasła. 4) Dostęp p do bazy danych osobowych zabezpieczony jest za pomoc mocą procesu uwierzytelnienia enia z wykorzystaniem karty mikroprocesorowej. 5) Dostęp p do bazy danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem tokena. 6) Dostęp p do bazy danych osobowych zabezpieczony jest za pomocą procesu u uwierzytelnienia z wykorzystaniem technologii biometrycznej. 7) Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do bazy danych osobowych. 8) Zastosowano mechanizm umożliwiaj liwiający rejestrację identyfikatora użytkownikau wprowadzającego dane osobowe. 9) Zastosowano kryptograficzne środki ochrony danych osobowych. 6.6. ŚRODKI OCHRONY W RAMACH SYSTEMU UŻYTKOWEGO U 1) Stacja końcowa umożliwiaj liwiająca dostęp p do bazy danych osobowych jest zabezpieczona identyfikatorem i hasłem dostępu 2) Wygaszacze ekranów na stanowiskach, na których przetwarzane są s dane osobowe - 21 -
3) Mechanizm blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywno eaktywności pracy użytkownika u 6.7. ŚRODKI ORGANIZACYJNE Środek organizacyjny Opis środków ochrony fizycznej danych stanowi treść niniejszego dokumentu (Pkt. 6 2 ppkt. E rozporządzenia) Do przetwarzania danych osobowych dopuszczono wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Zastosowano (TAK / NIE) TAK TAK Uwagi - 22 -
Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych Wyznaczono administratora bezpiecze zeństwa informacji Administrator danych sam nadzoruje przestrzeganie zasad ochrony przetwarzanych danych osobowych Opracowano i wdrożono ono politykę bezpieczeństwa o której mowa w ustawie o ochronie danych osobowych Opracowano i wdrożono ono instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi cymi ochrony danych osobowych Przeszkolono osoby zatrudnione przy p przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy Monitory komputerów, na których przetwarzane są s dane osobowe obowe ustawione są s w sposób uniemożliwiaj liwiający wgląd osobom postronnym TAK TAK TAK TAK TAK TAK TAK TAK TAK - 23 -