Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach Na podstawie 21 ust. 7 Regulaminu Organizacyjnego Gminnego Ośrodka Kultury w Wodyniach z dnia 01.02.2011 r. zarządza się, co następuje: 1 Wprowadza się Politykę bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach stanowiącą załącznik nr 1 do niniejszego zarządzenia. Zarządzenie wchodzi w życie z dniem podjęcia. 2
Załącznik Nr 1 do Zarządzenia Nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GMINNEGO OŚRODKA KULTURY W WODYNIACH Gminny Ośrodek Kultury w Wodyniach, zwany dalej GOK, świadom zagrożeń związanych z przetwarzaniem i ochroną danych osobowych, w szczególności z zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych deklaruje: 1) podejmowanie wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych, 2) stałe podnoszenie świadomości oraz kwalifikacji osób przetwarzających dane osobowe w GOK w zakresie problematyki bezpieczeństwa tych danych, 3) traktowanie obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby. Realizując postanowienia ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002 r. nr 101 poz. 926 z późn. zm.) oraz wydane w oparciu o delegację ustawową przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100 poz. 1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych przetwarzanych w GOK. Rozdział 1 CZĘŚĆ OGÓLNA 1. Objąć w ramach polityki bezpieczeństwa dane osobowe, którymi zgodnie z ustawą wymienioną na wstępie są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Stosować reguły i zasady do przetwarzania danych osobowych prowadzonych zarówno w kartotekach, rejestrach, księgach, wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. Celem polityki bezpieczeństwa jest takie postępowanie, aby osoby upoważnione do przetwarzania danych osobowych w pełni zabezpieczyły dostęp do nich przed osobami nieupoważnionymi i zabezpieczyły je oraz gromadziły w zborach zgodnie z wymogami ustawy.
4. Traktować całokształt działań jako ochronę prywatności osób, których dane są przetwarzane oraz jako wymóg ustawowy. Rozdział 2 CZĘŚĆ SZCZEGÓŁOWA 1. Obszar, w którym przetwarzane są dane osobowe stanowi siedziba GOK. 2. Wykaz zbiorów danych osobowych przetwarzanych w GOK: Nazwa zbioru danych osobowych Sposób gromadzenia danych Kadry Forma papierowa, forma elektroniczna Płace Forma papierowa, forma elektroniczna Uczestnicy zajęć w GOK Forma papierowa, forma elektroniczna Uczestnicy projektów realizowanych w Forma papierowa, forma elektroniczna GOK Uczestnicy konkursów Forma papierowa, forma elektroniczna 3. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności i integralności przetwarzanych danych opisuje Instrukcja zarządzania systemem informatycznym. Rozdział 3 OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH 1. Rodzaje zagrożeń naruszających ochronę danych osobowych: 1) zagrożenia losowe: a) zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) ich wystąpienie może prowadzić do utraty integralności danych lub ich zniszczenia lub uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, jednak nie dochodzi do naruszenia poufności danych; b) wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania) w wyniku ich wystąpienia może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych; 2) zagrożenia zamierzone (świadome i celowe naruszenia poufności danych) w wyniku ich wystąpienia zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy; w ramach tej kategorii zagrożeń wyróżnia się: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawnione przekazanie danych, bezpośrednie zagrożenie materialnych składników systemu (np. kradzież sprzętu). 2. Okoliczności zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej); 2) niewłaściwe parametry środowiska (np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego); 3) awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie
w kierunku naruszenia ochrony danych; 4) pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu; 5) pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie; 6) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie; 7) modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia; 8) ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony ich przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń; 9) praca w systemie informatycznym, wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych (np. praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu); 10) podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych; 11) rażące naruszenie obowiązków w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce lub kserokopiarce, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii zapasowych, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskietkach, pamięciach flash, płytach CD, DVD oraz wydrukach komputerowych w formie niezabezpieczonej (otwarte szafy, biurka, regały i inne). 4. Szczegółowe zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Rozdział 4 ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH 1. Formy zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe: 1) wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych także w godzinach pracy; 2) dane osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (pamięć flash, płyta CD, DVD, dyskietka) po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe w szafach metalowych lub pancernych; klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych; 3) nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach; 2. Formy zabezpieczeń przed nieautoryzowanym dostępem do baz danych Ośrodka: 1) podłączenie urządzenia końcowego (komputera, terminala, drukarki) do sieci komputerowej Ośrodka dokonywane jest przez administratora systemu informatycznego;
2) udostępnianie użytkownikowi zasobów sieci zawierających dane osobowe (programów i baz danych) przez administratora systemu informatycznego następuje na podstawie upoważnienia do przetwarzania danych osobowych; 3) identyfikacja użytkownika w systemie poprzez zastosowanie uwierzytelnienia; 4) udostępnianie kluczy i uprawnień do wejścia do pomieszczeń, gdzie przetwarzane są dane osobowe tylko pracownikom do tego upoważnionym; 5) stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach ze środowiskiem operacyjnym MS Windows; 6) zabezpieczenie hasłami kont na komputerach; 7) ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym. 3. Formy zabezpieczeń przed nieautoryzowanym dostępem do baz danych Ośrodka poprzez Internet: 1) logiczne oddzielenie sieci wewnętrznej LAN od sieci zewnętrznej, uniemożliwiające uzyskanie połączenia z bazą danych spoza systemu informatycznego, jak również uzyskanie dostępu z systemu do sieci rozległej Internet, 2) zastosowanie dwóch poziomów zabezpieczenia sieci: a) pierwszy poziom ochrony stanowi lokalna brama sieciowa z zainstalowanym systemem typu firewall z funkcją analizy charakteru ruchu sieciowego uniemożliwiającym nawiązanie połączenia z chronionymi komputerami oraz blokującym ruch o charakterze niepożądanym lub takim, który może zostać uznany za szkodliwy, b) drugi poziom zabezpieczeń stanowią listy dostępu na głównym routerze uniemożliwiające nawiązanie połączenia z jakimkolwiek niewskazanym jawnie komputerem w sieci. 4. Formy zabezpieczeń przed utratą danych osobowych w wyniku awarii: 1) odrębne zasilanie sprzętu komputerowego; 2) ochrona serwerów przed zanikaniem zasilania poprzez stosowanie zasilaczy zapasowych UPS; 3) ochrona przed utratą zgromadzonych danych poprzez cykliczne wykonywanie kopii zapasowych, z których, w przypadku awarii, odtwarzane są dane i system operacyjny; 4) zastosowanie ochrony przeciwpożarowej poprzez umieszczenie gaśnic, okresowo kontrolowanych przez specjalistę. 5. Organizacyjną ochronę danych i ich przetwarzania realizuje się poprzez: 1) zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych, przed dopuszczeniem jej do pracy przy ich przetwarzaniu; 2) przeszkolenie osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych oraz form zabezpieczenia pomieszczeń i budynku; 3) kontrolowanie pomieszczeń i budynku; 4) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych; 5) wyznaczenie administratora bezpieczeństwa informacji.