Zarządzenie Nr 6/2010

Starosty Kluczborskiego

z dnia 22 lutego 2010r.

 

 

w sprawie zasad przetwarzania danych osobowych, wprowadzenia polityki bezpieczeństwa systemów   
informatycznych do przetwarzania danych osobowych,  instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych, instrukcji tworzenia kopii
bezpieczeństwa w systemie informatycznym oraz instrukcji postępowania na wypadek awarii
systemu informatycznego przy przetwarzaniu danych osobowych w Starostwie Powiatowym w Kluczborku

 

 

Na podstawie § 13 ust. 2 pkt 2 lit.b Regulaminu Organizacyjnego Starostwa Powiatowego
w Kluczborku stanowiącego załącznik do Uchwały Nr XXVIII/163/2008 Rady Powiatu w Kluczborku z dnia
19 grudnia 2008r. zarządzam, co następuje:

 

 

§ 1. Ustalam w Starostwie Powiatowym w Kluczborku:

1)     instrukcję postępowania przy przetwarzaniu danych osobowych stanowiącą Załącznik Nr 1 do niniejszego
Zarządzenia,

2)     politykę bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych Załącznik Nr 2
do niniejszego Zarządzenia,

3)     instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik Nr 3
do niniejszego Zarządzenia,

4)     instrukcję tworzenia kopii bezpieczeństwa w systemie informatycznym przy przetwarzaniu danych osobowych
Załącznik Nr 4 do niniejszego Zarządzenia,

5)     instrukcję postępowania na wypadek awarii systemu informatycznego przy przetwarzaniu danych osobowych
Załącznik Nr 5 do niniejszego Zarządzenia.

 

§ 2.1. Zobowiązuję Naczelnika Wydziału Organizacyjnego do przekazania niniejszego Zarządzenia kierownikom
  komórek  organizacyjnych i pracownikom na samodzielnych stanowiskach.

2. Zobowiązuję  kierowników  komórek organizacyjnych do zapoznania z  niniejszym Zarządzeniem podległych
pracowników.

 

§ 3. Zarządzenie wchodzi w życie z dniem podpisania.

 

§ 4. Traci moc Zarządzenie Nr 12/2009 Starosty Kluczborskiego z dnia 25 lutego 2009r. w sprawie
wprowadzenia polityki bezpieczeństwa systemów informatycznych
do przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Załącznik Nr 1

do Zarządzenia Nr 6/2010

Starosty Kluczborskiego

z dnia 22 lutego 2010r.

 

 

Zasady przetwarzania danych osobowych w

Starostwie Powiatowym w Kluczborku

 

§ 1. Zasady przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku określone są na podstawie
ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

§ 2. Przez użyte w zasadach określeniach należy rozumieć:

1)     dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

2)     dane osobowe powszechnie dostępne – informacje dotyczące osoby fizycznej zawarte w rejestrach jawnych, tj.
dostępnych z mocy prawa dla osób trzecich,

3)     zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lup podzielony funkcjonalnie,

4)     przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, zarówno w systemach
informatycznych, jak i metodami tradycyjnymi (kartoteki, księgi, wykazy),

5)     administrator danych osobowych –Starosta Kluczborski,

6)     administrator bezpieczeństwa informacji –Sekretarz Powiatu,

7)     administrator systemu – informatyk,

8)     kierownik komórki organizacyjnej – Naczelnik Wydziału, Kierownik Biura, Kierownik Referatu.

§ 3. 1.Prowadzenie całokształtu spraw związanych z przetwarzaniem danych osobowych należy do administratora
bezpieczeństwa informacji.

2. Naczelnik Wydziału Organizacyjnego jest odpowiedzialny za prowadzenie dokumentacji z zakresu ochrony danych
osobowych, w tym ewidencji osób upoważnionych do przetwarzania danych osobowych.

§ 4. 1. Obowiązek przestrzegania ochrony danych osobowych dotyczy wszystkich pracowników, którzy mają
dostęp do informacji o charakterze danych osobowych.

2.Naruszenie zasad ochrony danych osobowych, w efekcie którego nastąpiło udostępnienie danych osobie
nieupoważnionej jest ciężkim naruszeniem obowiązków pracowniczych.

 

 

3.Kierownik komórki organizacyjnej i samodzielne stanowiska pracy zobowiązani są do:

1)zastosowania niezbędnych środków technicznych i organizacyjnych określonych w obowiązujących przepisach
i instrukcjach w celu zapewnienia ochrony przetwarzanych danych osobowych,

2)kontroli przestrzegania zasad i sposobu wykonywania operacji przetwarzanych danych,

3)zwracania się do administratora bezpieczeństwa informacji o rozstrzygnięcia, w przypadku istotnych
wątpliwości co do stosowania przepisów prawnych z zakresu ochrony danych osobowych.

4.Czynności przetwarzania danych osobowych może dokonywać jedynie pracownik upoważniony przez
administratora danych osobowych w zakresie indywidualnych obowiązków pracowniczych.

5.Osoba upoważniona przez administratora danych osobowych jest zobowiązana do:

1)     zapoznania się z przepisami prawa w zakresie ochrony danych osobowych,

2)     stosowania określonych przez administratora danych procedur i środków mających na celu zabezpieczenie
danych przed ich udostępnieniem osobom nie upoważnionym,

3)     zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych w celu ochrony
interesów osób, których nie dotyczą,

4)     podporządkowanie się poleceniom kierownika komórki organizacyjnej i przestrzegania ustalonych przez niego
szczegółowych zasad i procedur.

§ 5. 1. W przypadku przyjęcia do pracy nowego pracownika, którego zakres obowiązków obejmować będzie
przetwarzanie danych osobowych, kierownik komórki organizacyjnej zobowiązany jest zwrócić się do administratora danych
osobowych z wnioskiem o wydanie upoważnienia do ich przetwarzania. określającym zbiory danych osobowych, do których
pracownik będzie miał dostęp. Wzór upoważnienia stanowi załącznik nr 1 do niniejszych zasad.

2. W przypadku pracownika zatrudnianego na stanowisko kierownicze lub samodzielne stanowisko pracy czynności
wymienione w ust. 1 określone dla kierownika komórki organizacyjnej wykonuje administrator bezpieczeństwa informacji.

3. Pracownik, któremu administrator danych osobowych udzielił upoważnienia jest zobowiązany do podpisania oświadczenia,
którego treść stanowi załącznik nr 2 do niniejszych zasad.

4. W przypadku zmiany stanowiska, bądź zakresu obowiązków pracowniczych lub w sytuacji określonej w § 4, ust. 2, która
wpływa bezpośrednio na rodzaj i zakres przetwarzania danych, kierownik komórki organizacyjnej lub administrator
bezpieczeństwa informacji zobowiązany jest niezwłocznie skierować wniosek do administratora danych osobowych
o wydanie bądź cofnięcie upoważnienia.

5. Wypowiedzenie umowy o pracę przez pracodawcę lub pracownika powoduje nieważność  upoważnienia do przetwarzania
danych osobowych.

6. Upoważnienie, o którym mowa w ust. 1 sporządza się w trzech egzemplarzach. Po podpisaniu i zarejestrowaniu
upoważnienia, Wydział Organizacyjny przekazuje po jednym egzemplarzu pracownikowi oraz samodzielnemu stanowisku ds. kadr
w celu ujęcia w aktach osobowych pracownika.

§ 6.1.W przypadku konieczności utworzenia nowego zbioru danych wynikającej z obowiązków nałożonych przepisami ustawy,
bądź nowymi zadaniami, kierownik komórki organizacyjnej lub samodzielne stanowisko pracy zobowiązani są niezwłocznie –
nie później jednak niż w ciągu 7 dni – poinformować pisemnie o tym fakcie administratora bezpieczeństwa informacji.

2. Informacja , o której mowa w ust. 1 powinna zawierać:

1)    nazwę zbioru (ewidencji),

2)    podstawę prawną utworzenia nowego zbioru danych,

3)    metodę katalogowania (system komputerowy, metoda tradycyjna),

4)    zakres danych zawartych w zbiorze (np.: imię i nazwisko, PESEL)

5)    sposób zbierania danych osobowych,

6) podmioty, którym dane osobowe będą udostępniane.

3. Po przyjęciu informacji w przypadku konieczności rejestracji zbioru w GIODO administrator bezpieczeństwa informacji
zleca kierownikowi komórki organizacyjnej lub samodzielnemu stanowisku pracy przygotowanie wniosku o rejestrację.

§ 7. 1.W przypadku uzasadnionego podejrzenia naruszenia zasad ochrony danych osobowych w Starostwie Powiatowym,
pracownik zobowiązany jest do niezwłocznego poinformowania o tym kierownika komórki organizacyjnej lub bezpośredniego
przełożonego.

2. Kierownik komórki organizacyjnej lub bezpośredni przełożony pracownika, po dokonaniu oceny stanu faktycznego
i stwierdzeniu naruszenia, jest zobowiązany poinformować o tym fakcie administratora bezpieczeństwa informacji.

3. W przypadku powtarzającego się naruszenia zasad ochrony danych osobowych, administrator bezpieczeństwa
informacji zobowiązany do niezwłocznego poinformowania administratora danych osobowych o tym fakcie.

§8. 1.Osobą odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym jest administrator systemu,
którego zadaniem jest w szczególności przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym
przetwarzane są dane osobowe oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.

2.Sposób zarządzania danymi w systemie informatycznym oraz zasady postępowania w sytuacji naruszenia ochrony
danych osobowych określa odrębna instrukcja- polityka bezpieczeństwa systemów informatycznych.

§ 9. 1.W obiegu wewnętrznym między komórkami organizacyjnymi Starostwa wprowadza się następujące zasady udostępniania
danych osobowych:

1)    informacje zawierające dane powszechnie dostępne może udostępnić pracownik przetwarzający dane
w formie bezpośredniej lub telefonicznie,

2)    zgodę na udostępnienie danych osobowych w szerszym zakresie wyraża kierownik komórki organizacyjnej
lub samodzielne stanowisko pracy

2. W obiegu zewnętrznym zgodę na udostępnienie danych osobowych wyraża administrator danych osobowych zgodnie
z przepisami powszechnie obowiązującymi.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                                                                    

 

 

Załącznik Nr 1

do zasad przetwarzania danych osobowych
w Starostwie Powiatowym w Kluczborku

 

U P O W A Ż N I E N I E

 

Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 z późn. zm)

u p o w a ż n i a m

 

Panią / Pana                …………………………………………………………………………………………………………….

 

do przetwarzania danych osobowych wynikających z zakresu obowiązków pracowniczych, tj. do zbiorów:

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Kluczbork, dnia …………………………..                                          …………………………………………………….

              Administrator Danych osobowych

 

 

 

 

 

 

 

Załącznik Nr 2

do zasad przetwarzania danych osobowych
w Starostwie Powiatowym w Kluczborku

 

 

O Ś W I A D C Z E N I E

 

Oświadczam, iż zapoznałem/am się z przedmiotową ustawą i zobowiązuję się do przestrzegania tajemnicy
ochrony danych osobowych, a szczególności:

• Zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych w celu ochrony
  interesów osób, których dane dotyczą,
• Zabezpieczenia danych przed ich udostępnieniem osobom nie upoważnionym,
• Stosowania niezbędnych środków technicznych i organizacyjnych w podległym wydziale, w celu zapewnienia
  ochrony przetwarzanych danych oraz przestrzegania zasad i sposobu wykonywania operacji przetwarzania
  danych przez podległych pracowników.

 

 

 

 

 

 

 

 

Kluczbork, dnia ……………………………                         ………………………………………………

                                                                                Imię i nazwisko

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Załącznik Nr 2

do Zarządzenia Nr 6/2010 Starosty Kluczborskiego
z dnia 22.02.2010r.

 

POLITYKA BEZPIECZEŃSTWA  SYSTEMÓW INFORMATYCZNYCH
DO PRZETWARZANIA DANYCH OSOBOWYCH

W STAROSTWIE POWIATOWYM W KLUCZBORKU

 

 

I.    Postanowienia ogólne

 

§1. Ilekroć w polityce bezpieczeństwa jest mowa o:

1)      ustawie – to ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych   
(Dz.U. z 2002 r. Nr 101, poz. 926 z późn.zm.);

2)      rozporządzeniu – to Rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzani danych osobowych 
(Dz.U. Nr 100, poz. 1024);

3)      administratorze danych – należy przez to rozumieć Starostę
Kluczborskiego

4)      administratorze bezpieczeństwa informacji – należy przez to rozumieć
Sekretarza Powiatu,

5)      administratorze systemu – rozumie się przez to  Informatyka Starostwa;

6)      osobie upoważnionej do przetwarzania danych osobowych –
rozumie się przez to osobę, która upoważniona została na
piśmie przez Starostę do przetwarzania danych osobowych;

7)      użytkowniku – rozumie się przez to osobę upoważnioną
do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;

8)       przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy;

9)    kierownik komórki organizacyjnej – Naczelnik Wydziału,
Kierownik Biura, Kierownik Referatu.

10) odbiorcy danych – rozumie się przez to każdego, komu
udostępnia się dane osobowe,                  z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upoważnionej do przetwarzania danych,

c)  przedstawiciela, o którym mowa w art. 31 ustawy,

d) podmiotu, o którym mowa w art. 31 ustawy,

e) organów państwowych lub organów samorządu terytorialnego,
którym dane są  udostępnione w związku z prowadzonym postępowaniem;

11)   identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący
osobę upoważnioną do przetwarzania danych osobowych               w systemie informatycznym;

12)   haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany  jedynie osobie uprawnionej
do pracy w systemie informatycznym,

13)   sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu  art.2 pkt 35 ustawy
z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 z późn. zm.);

14)   sieci publicznej – rozumie się przez to publiczną sieć telekomunikacyjną w rozumieniu   art. 2 pkt 29 ustawy
z 16 lipca 2004 r. – Prawo telekomunikacyjne;

15)   teletransmisji – rozumie się przez to przesłanie informacji za pośrednictwem sieci telekomunikacyjnej;

16)   rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane
w sposób jednoznaczny tylko temu podmiotowi;

17)   integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały
zmienione lub zniszczone w sposób nieautoryzowany;

18)   poufność danych – rozumie się przez to właściwość zapewniającą że dane nie są udostępniane nieupoważnionym
podmiotom;

19)   raporcie – rozumie się przez to przygotowanie przez system informatyczny zestawienia zakresu  i treści przetwarzanych
danych;

20)   uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości
podmiotu,

21)   Starostwie – należy przez to rozumieć Starostwo Powiatowe w Kluczborku

 

§2. Wdrożenie polityki bezpieczeństwa ma na celu zabezpieczenie
przetwarzanych przez niego danych osobowych, w tym bezpieczeństwa
danych przetwarzanych w systemie informatycznym i poza nim,

 

§3. W związku z tym, że w zbiorach danych przetwarzane są m.in. dane wrażliwe, a system informatyczny
posiada szerokopasmowe połączenie z internetem, niniejsza polityka bezpieczeństwa służy zapewnieniu wysokiego
poziomu bezpieczeństwa danych w rozumieniu §6 rozporządzenia. Niniejszy dokument opisuje niezbędny do
uzyskania tego bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia,

 

§4. Polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach,
wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych,

 

§5. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do
przetwarzania danych osobowych, zarówno zatrudnionych, jak i innych, np. osób odbywających staż, wolontariuszy,
praktykantów.

 

II. Organizacja przetwarzania danych osobowych

 

§6. Administrator danych osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza;

1)       zleca, podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur
bezpiecznego przetwarzania danych osobowych;

2)       zleca kierownikowi komórki organizacyjnej, aby we współpracy z administratorem bezpieczeństwa informacji
zapewnił użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych;

3)       podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza
z uwzględnieniem zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia
danych osobowych.

 

§7. Administrator bezpieczeństwa informacji (ABI) w szczególności:

1)      sprawuje nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych   i fizycznych
w celu zapewnienia bezpieczeństwa danych;

2)      sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji
z zakresu ochrony danych osobowych;

3)      nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom;

4)      nadzoruje przygotowanie wniosków zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz
prowadzi inną korespondencje z Generalnym Inspektorem;

5)      nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych w Wydziale
Organizacyjnym;

6)      podejmuje odpowiednie działania w wypadku naruszenia systemu informatycznego;

7)     nadzoruje przyznawanie hasła osobie upoważnionej do przetwarzania danych osobowych;

8)      przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób
upoważnianych do przetwarzania danych osobowych;

9)      w porozumieniu z administratorem danych osobowych na czas nieobecności (urlop, choroba) wyznacza
swojego zastępcę.

 

§8. Administrator systemu w szczególności :

1)     zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu
do wszystkich stacji roboczych z pozycji administratora;

2)     przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane
osobowe;

3)     na wniosek kierownika komórki organizacyjnej oraz po zaakceptowaniu przez administratora bezpieczeństwa
informacji, przydziela każdemu użytkownikowi identyfikator  i hasło do systemu informatycznego

4)     nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;

5)     podejmuje działania w zakresie ustalenia i kontroli identyfikatorów dostępu
do systemu informatycznego;

6)     wyrejestrowuje użytkowników na polecenie administratora danych lub administratora bezpieczeństwa informacji,

7)     zmienia w poszczególnych stacjach roboczych hasła dostępu, ujawniając je wyłącznie danemu użytkownikowi
oraz w razie potrzeby administratorowi bezpieczeństwa informacji lub administratorowi danych;

8)     w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje ABI  o naruszeniu
i współdziała z nim przy usuwaniu skutków naruszenia;

9)     prowadzi szczegółową dokumentacje naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie
informatycznym;

10) nadzoruje wykonywanie napraw, konserwacje oraz likwidację urządzeń komputerowych, na których zapisane
są dane osobowe, sprawuje nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym
sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego;

11) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających
wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci
wewnętrznej i bezpiecznej teletransmisji.

 

§9. Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie
ustalonym indywidualnie przez administratora danych i tylko w celu wykonywania nałożonych na niego obowiązków.
Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika niezbędnego do rozpoczęcia
pracy w systemie.

 

§10. Użytkownicy danych pisemnie oświadczając, zobowiązują się do zachowania tajemnicy danych osobowych oraz
przestrzegania procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez
cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji.

   

§11. Wszyscy użytkownicy danych zobowiązują się do:

1)     zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, w tym przepisami niniejszej
polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

2)     stosowania określonych przez administratora danych oraz administratora bezpieczeństwa informacji procedur
oraz wytycznych mających na celu zgodne z prawem przetwarzanie danych;

3)     odpowiedniego zabezpieczenia danych przed ich udostępnianiem osobom nieupoważnionym.  

 

 

 

III. Infrastruktura przetwarzania danych osobowych

 

§12.Dane osobowe przetwarzane są w budynku przy ul. Katowickiej 1 w Kluczborku. Obszar przetwarzania
danych osobowych obejmuje wykaz komórek organizacyjnych, w których są przetwarzane dane osobowe:

 

1)     Wydział Edukacji i Sportu,

2)     Wydział Rolnictwa, Ochrony Środowiska i Leśnictwa,

3)     Biuro Funduszy Pomocowych, Mienia Powiatu i Promocji Powiatu,

4)     Wydział Budownictwa,

5)     Wydział Organizacyjny,

6)     Wydział Finansowy,

7)     Samodzielne stanowisko ds. kadr,

8)     Powiatowy Rzecznik Konsumentów,

9)     Wydział Geodezji, Kartografii, Katastru i Gospodarki Nieruchomościami,

10) Wydział Komunikacji i Transportu.

11) Wydział Spraw Obywatelskich, Zarządzania Kryzysowego i Promocji Zdrowia

12)  Audytor Wewnętrzny

13)  Samodzielne stanowisko ds. ochrony  zabytków

14)  Zespół radców prawnych

 

§13. Administrator systemu prowadzi przechowywaną w kasie pancernej ewidencję haseł    
do stanowisk roboczych poszczególnych użytkowników danych oraz ich identyfikatorów.

 

IV. Struktura zbiorów danych, sposób przepływu danych w systemie.

 

§14. Opis struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu
danych pomiędzy poszczególnymi systemami prowadzi administrator systemu.

 

V. Strategia zabezpieczenia danych osobowych (działania niezbędne do zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych).

 

     

§15. W siedzibie administratora danych wydzielono strefę bezpieczeństwa klasy I, w której dostęp do informacji
zabezpieczony jest wewnętrznymi środkami kontroli. Są to:

1)     pomieszczenie z serwerem, w którym może przebywać wyłącznie  informatyk oraz inne osoby upoważnione
do przetwarzania tylko w  towarzystwie informatyka, a osoby postronne w ogóle nie mają dostępu;
złożony w sekretariacie klucz jest zabezpieczony i opisany. Serwer jest zlokalizowany w odrębnym,
klimatyzowanym pomieszczeniu, zamykanym antywłamaniowymi drzwiami. Okno tego pomieszczenia
zabezpieczone jest kratą antywłamaniową.

2)     pomieszczenie księgowości z kasą pancerną, w którym mogą przebywać pracownicy księgowości, inni
użytkownicy danych tylko w obecności pracowników księgowości,
a osoby postronne w ogóle nie mają dostępu; klucz posiada Skarbnik Powiatu;

3)     pomieszczenie archiwum, w którym może przebywać tylko archiwista oraz osoba, której zlecono
porządkowanie archiwum, inne osoby upoważnione do przetwarzania danych osobowych tylko
w towarzystwie archiwisty, osoby postronne w ogóle nie mają dostępu; złożony w Wydziale Organizacyjnym klucz jest zabezpieczony i opisany;

 

§16. W strefie bezpieczeństwa klasy II do danych osobowych mają dostęp wszystkie osoby upoważnione
do przetwarzania danych osobowych zgodnie z zakresami upoważnień                      do przetwarzania danych
osobowych, a osoby postronne tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych.
Strefa ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie Starostwa.
Do strefy bezpieczeństwa klasy II należy także kancelaria ogólna. Jednak przeglądanie akt spraw i sporządzanie
z nich notatek przez strony jest możliwe tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych.

 

§17. Wszystkie urządzenia systemu informatycznego są zasilane za pośrednictwem zasilaczy awaryjnych (tzw. UPS-ów).

      

§18. Okablowanie sieciowe zostało zaprojektowane w ten sposób, że dostęp do linii teletransmisyjnych jest możliwy
tylko z pomieszczeń zamykanych na klucz. Ponadto kable sieciowe nie krzyżują się z okablowaniem zasilającym,
co zapobiega interferencjom.

 

§19. Sieć lokalna podłączona do Internetu oddzielona jest sprzętowym firewallem.

 

§20. Bieżąca konserwacja sprzętu prowadzona jest tylko przez pracowników, przede wszystkim przez Informatyka.
Natomiast poważne naprawy wykonane przez personel zewnętrzny realizowane są w siedzibie Starostwa.

 

§21. Wszystkie awarie, działania konserwacyjne i naprawy systemu informatycznego są opisywane w stosownych
protokołach podpisywanych przez osoby w nich uczestniczące, a także przez administratora bezpieczeństwa informacji.

 

§22. Administrator systemu dopuszcza konserwowanie i naprawę sprzętu poza siedzibą Starostwa jedynie po trwałym
usunięciu danych osobowych. Zużyty sprzęt służący
do przetwarzania danych osobowych może być zbywany dopiero po trwałym usunięciu danych osobowych,
a urządzenia uszkodzone powinny być przekazywane właściwym podmiotom w celu utylizacji

 

§23. Administrator systemu wskazuje użytkownikom, jak postępować, aby zapewnić:

1)     ochronę elektromagnetyczną nośników danych – dyskietek z danymi, a szczególnie nośników danych,
na których przechowywane są kopie zapasowe (należy przechowywać je z dala od magnesów
oraz urządzeń wytwarzających pole magnetyczne, a więc nie wprost na urządzeniach komputerowych),

2)     prawidłową lokalizację komputerów.

 

§24. Dla bezpieczeństwa danych każda osoba upoważniona do przetwarzania danych powinna:

1)     kasować dane na dyskach przenośnych;  po ich wykorzystaniu

2)     pilnego strzeżenia akt, dyskietek, pamięci przenośnych i komputerów przenośnych;

3)     stawiania ekranów komputerowych tak, aby osoby nie powołane nie mogły oglądać ich zawartości,
a zwłaszcza nie naprzeciwko wejścia do pomieszczenia;

4)     nie zapisywania hasła wymaganego  do uwierzytelnienia się w systemie na papierze lub innym nośniku;

5)     nie podłączania do listew podtrzymujących napięcie, przeznaczonych dla sprzętu komputerowego,
innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. grzejników, czajników, wentylatorów);

6)     dbania o prawidłową wentylację komputerów (nie można zasłaniać im kratek wentylatorów meblami, zasłonami
lub stawiać tuż przy ścianie);

7)     powstrzymywania się przez osoby upoważnione do przetwarzania danych osobowych od samodzielnej
integracji w oprogramowanie i konfiguracje powierzonego sprzętu (szczególnie komputerów przenośnych),
nawet gdy z pozoru mogłoby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych;

8)     przestrzegania przez osoby upoważnione do przetwarzania danych osobowych swoich uprawnień w systemie,
tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania
się do zaleceń administratora bezpieczeństwa informacji;

9)     nie pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności
osoby upoważnionej do przetwarzania danych osobowych;

10)  opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po  zablokowaniu stacji roboczej
w inny sposób;

11)  kopiowanie tylko jednostkowych danych (pojedynczych plików), obowiązuje zakaz robienia kopii całych zbiorów
danych lub takich ich części, które nie są konieczne do wykonania obowiązków przez pracownika; jednostkowe
dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich zaszyfrowaniu i przechowywane
w zamkniętych na klucz szafach; po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie
zniszczyć nośniki na których są przechowywane;

12) udostępniania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej;

13) nie wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet
w postaci zaszyfrowanej;

14) wykonania kopii roboczych danych, na których się właśnie pracuje, tak często, aby zapobiec ich utratę;

15) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie
obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu
napięcia w UPS i listwie;

16) chowanie do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe, przed opuszczeniem
miejsca pracy po zakończeniu dnia pracy;

17) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy;

18) zamykania okien w razie opadów lub innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu
danych osobowych;

19) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy;

20) zamykania drzwi na klucz po zakończeniu pracy w danym dniu.

 

§25. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających dane osobowe      w zamykanych
szafach, to należy powiadomić o tym Sekretarza Powiatu lub Naczelnika Wydziału Organizacyjnego, który zgłasza
osobom sprzątającym  jednorazową rezygnację z wykonania sprzątania pomieszczenia.

 

§26. Osoby upoważnione do przetwarzania danych osobowych powinny pamiętać zwłaszcza, że:

1)     dane z nośników po wprowadzeniu ich do systemu informatycznego powinny być trwale usuwane z tych
nośników przez fizyczne zniszczenie (np. płyty CD-ROM) lub skasowanie danych programem usuwającym
trwale pliki; jeśli istnieje uzasadniona konieczność, to dane pojedynczych osób (a nie całe zbiory czy
obszerne wypisy ze zbiorów) mogą być przechowywane na specjalnie oznaczonych nośnikach;
nośniki te muszą być przechowywane w zamkniętych na klucz szafach, nie mogą być udostępniane
osobom postronnym; po ustaniu przydatności tych danych nośniki powinny być trwale kasowane lub niszczone;

2)     uszkodzone nośniki przed ich wyrzuceniem należy zniszczyć fizycznie (przeciąć, przełamać);

3)     po wykorzystaniu wydruki zawierające dane osobowe należy codziennie przed zakończeniem pracy zniszczyć
w niszczarce; jeżeli to możliwe, nie należy przechowywać takich wydruków na biurku ani wynosić poza siedzibę
administratora danych;

4)     zabrania się powtórnego używania do sporządzania brudnopisów pism jednostronnie zadrukowanych kart,
jeśli zawierają one chronione dane; zaleca się natomiast dwustronne drukowanie brudnopisów pism i sporządzanie dwustronnych dokumentów.

 

§27. 1.Bezpieczeństwo danych, a w szczególności ich integralność i dostępność w dużym stopniu zależy od
zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to przynajmniej
w pewnym stopniu – uniknąć
wielokrotnego wprowadzania tych samych danych do systemu informatycznego .

2. Sporządzanie kopii zapasowych określa ,,Instrukcja zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych”.

 

§28. Inne wymogi bezpieczeństwa systemowego określają instrukcje obsługi producentów sprzętu i używanych
programów, wskazówki administratora bezpieczeństwa informacji oraz ,,Instrukcja zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych”.

 

§29. Pocztą elektroniczną (miedzy komputerami przenośnymi a stacjonarnymi systemu informatycznego)
można przesyłać tylko jednostkowe dane, a nie całe bazy lub obszerne z nich wypisy, i tylko w postaci zaszyfrowanej. C
hroni to przesłane dane przed ,,przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym rozproszeniem ich w internecie.

 

§30. Przed atakami z sieci zewnętrznej wszystkie komputery (w tym także przenośne) chronione są środkami dobranymi
przez administratora systemu w porozumieniu z administratorem bezpieczeństwa informacji. Ważne jest, aby użytkownicy
zwracali uwagę na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń. O wszystkich
takich przypadkach należy informować administratora bezpieczeństwa informacji lub administratora systemu oraz
umożliwić im monitorowanie oraz aktualizację środków (urządzeń, programów) bezpieczeństwa.  

 

§31. Administrator systemu w porozumieniu z administratorem bezpieczeństwa informacji dobiera elektronicznie
środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany,
inne możliwości wdarcia się do systemu), a także stosownie do rozbudowy systemu informatycznego i powiększania
bazy danych. Jednocześnie należy zwracać uwagę czy rozwijający się system zabezpieczeń sam nie powoduje nowych zagrożeń.

      

§32. Stosuje się następujące sposoby kryptograficzne ochrony danych:

1)     przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się protokół POP – tunelowanie;

2)     przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów wynagrodzeń, używa się bezpiecznych stron https://.

 

§33. Poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela się konta opatrzone niepowtarzalnym identyfikatorem umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych. Administrator systemu po uprzednim przedłożeniu upoważnienia do przetwarzania danych osobowych, stosownie do wniosku kierownika komórki organizacyjnej, przydziela pracownikowi upoważnionemu do przetwarzania danych konto w systemie informatycznym dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem.

 

§34. W razie potrzeby, po uzyskaniu uprzedniej akceptacji administratora bezpieczeństwa informacji, administrator systemu może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych nie mającej statusu pracownika.

 

§35. Pierwsze hasło wymagane do uwierzytelnienia się w systemie przydzielane jest przez administratora systemu.

 

§36. Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowanie się do zaleceń administratora bezpieczeństwa informacji i administratora systemu.

 

§37. System informatyczny posiada szerokopasmowe połączenie z internetem. Dostęp do niego jest jednak ograniczony. Przyłączone są tylko wybrane stacje robocze.

 

§38. Korzystanie z zasobów sieci wewnętrznej (intranet) jest możliwe tylko w zakresie uprawnień przypisanych do danego konta osoby upoważnionej do przetwarzania danych osobowych.

     

§39. Urządzenia przenośne oraz nośniki danych wynoszone z siedziby Starostwa nie powinny być pozostawiane bez nadzoru w miejscach publicznych. Komputery przenośne należy przewozić w służbowych torbach.

 

§40. W domu natomiast niedozwolone jest udostępnianie domownikom komputera przenośnego. Użytkownik powinien zachować w tajemnicy wobec domowników identyfikator i hasło, których podanie jest koniecznie do rozpoczęcia pracy na komputerze przenośnym.

 

§41. Administrator systemu w razie potrzeby wskazuje w dokumencie powierzenia komputera przenośnego osobie upoważnionej do przetwarzania danych osobowych na konieczność i częstotliwość sporządzania kopii zapasowych danych przetwarzanych na komputerze przenośnym administratora danych oraz określa zasady:

1)     postępowania w razie nieobecności w pracy dłużej niż 5 dni. Jeśli komputer przenośny nie może być zwrócony przed okresem nieobecności, to użytkownik tego komputera powinien niezwłocznie powiadomić o tym administratora bezpieczeństwa informacji i uzgodnić z nim zwrot komputera przenośnego administratorowi systemu;

2)     zwrotu sprzętu w razie ustania stosunku pracy      

  

§42. Administrator systemu przeprowadza synchronizację zegarów stacji roboczych z serwerem, ograniczając dopuszczalność zmiany w ustawieniach zegarów. Jakiekolwiek zmiany ustawień zegarów mogą być dokonywane jedynie przez informatyka z konta o uprawnieniach administracyjnych.

 

§43.. System informatyczny umożliwia zapisywanie zdarzeń wyjątkowych  na potrzeby audytu i przechowywanie informacji o nich przez określony czas.

 

§44. Zapisy takie obejmują:

1)     identyfikator użytkownika;

2)     datę i czas zalogowania i wylogowania się systemu;

3)     tożsamość stacji roboczej;

4)     zapisy udanych i nieudanych prób dostępu do systemu,

5)     zapisy udanych i nieudanych prób dostępu do danych osobowych i innych zasobów systemowych.

 

§45. Administrator bezpieczeństwa informacji przeprowadza co najmniej raz na 2 lata przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane współpracować z administratorem bezpieczeństwa informacji w tym zakresie przez wypełnienie kwestionariuszy przeglądu i w razie potrzeby udzielenie innych koniecznych informacji.

 

§46. Administrator bezpieczeństwa informacji może zarządzić przeprowadzenie dodatkowego przeglądu w razie zmian w obowiązującym prawie, ograniczających dopuszczalny zakres przetwarzanych danych osobowych. Dodatkowy przegląd może być konieczny także w sytuacji zmian organizacyjnych. Z przebiegu usuwania danych osobowych należy sporządzić protokół podpisywany przez administratora bezpieczeństwa informacji i naczelnika wydziału, w którym usunięto dane osobowe.

      

§47. Wykazy zbiorów danych osobowych przechowywane są zgodnie z zapisami   Rozporządzenia Prezesa Rady Ministrów z dnia 18 grudnia 1998 r. w sprawie instrukcji kancelaryjnej dla organów powiatu ( Dz.U. z 1998 nr 160 poz. 1074 z późn. zm.)

 

§48. Niezastosowanie się do prowadzonej przez administratora danych polityki bezpieczeństwa przetwarzania danych osobowych, której założenia określa niniejszy dokument i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowanie jako naruszenie obowiązków pracowniczych, podlegające sankcjom dyscyplinarnym oraz sankcjom karnym, w szczególności wynikającym z art. 51-54 ustawy oraz art. 266 Kodeksu Karnego.

      

§49. Administrator bezpieczeństwa informacji analizuje, czy polityka bezpieczeństwa
i pozostała dokumentacja jest adekwatna do zmian:

1)     w budowie systemu informatycznego,

2)     zmian organizacyjnych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych,

3)     zmian w obowiązującym prawie.

 

§50. Administrator danych w razie konieczności może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot.

 

 

VI. Postępowanie w przypadku naruszenia ochrony danych osobowych

 

§51. W przypadku stwierdzenia naruszenia:

1)     zabezpieczenie systemu informatycznego,

2)     technicznego stanu urządzeń,

3)     zawartości zbioru danych osobowych,

4)     jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,

5)     innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, kradzież itp.)

każda osoba jest zobowiązana do niezwłocznego powiadomienia o tym fakcie administratora bezpieczeństwa informacji i bezpośredniego przełożonego.

 

§52. Po wykonaniu czynności określonych w §51 należy:

1)     niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn i sprawców,

2)     rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,

3)     zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się           z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę zdarzenia,

4)     podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego lub aplikacji użytkowej,

5)     zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku,

6)     nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpieczeństwa informacji lub osoby upoważnionej.

 

§53. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, administrator systemu lub osoba upoważniona:

1)     zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy Starostwa,

2)     może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,

3)     w razie potrzeby powiadamia o zaistniałym naruszeniu administratora bezpieczeństwa informacji,

4)     administrator bezpieczeństwa informacji, jeżeli zachodzi taka potrzeba zleca usunięcie występujących naruszeń oraz powiadamia odpowiednie instytucje.

 

§54. Administrator systemu dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg wzoru stanowiącego załącznik nr 1 do niniejszej polityki bezpieczeństwa.

 

§55. Raport o którym mowa w §54 administrator systemu niezwłocznie przekazuje administratorowi bezpieczeństwa informacji.

 

§56. Zaistniałe naruszenie może stać się przedmiotem szczegółowej analizy prowadzonej przez zespół powołany przez administratora danych.

 

§57. Analiza o której mowa w §56 powinna zawierać wszechstronną ocenę zaistniałego naruszenia wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom  w przyszłości.

 

 

 

 

 

 

Załącznik nr 1 do Polityki bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w  Starostwie Powiatowym w Kluczborku.

 

Raport

z naruszenia bezpieczeństwa systemu informatycznego w Starostwie Powiatowym w Kluczborku.

1. Data:................................................Godzina:.........................................................

 

2. Osoba powiadamiająca o zaistniałym zdarzeniu:

............................................................................................................................................(Imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)

 

1.     Lokalizacja zdarzenia:

..............................................................................................................................................

2.     Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:

............................................................................................................................................

............................................................................................................................................

3.     Podjęte działania:

..............................................................................................................................................

..............................................................................................................................................

4.     Przyczyny wystąpienia zdarzenia:

..............................................................................................................................................

..............................................................................................................................................

5.     Postępowanie wyjaśniające:

.............................................................................................................................................

 

 

  

                    …………………………………………………… ……………….. 

                                                                        data, podpis administratora bezpieczeństwa informa

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Załącznik Nr 3

do Zarządzenia Nr 6/2010

Starosty Kluczborskiego

z dnia 22 lutego 2010r.

 

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

 

I. Cel instrukcji

 

Instrukcja określa sposób zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych osobowych w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnianiem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem
lub zniszczeniem, opisuje nadawanie uprawnień użytkownikom, określa sposoby pracy    w systemie informatycznym oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego Starostwa Powiatowego w Kluczborku.

 

II. Definicje

 

§1. Ilekroć w instrukcji jest mowa o:

1)     ustawie – rozumie się przez to ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.),

2)     rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024),

3)     administratorze danych – należy przez to rozumieć Starostę Kluczborskiego,

4)     administratorze bezpieczeństwa informacji – należy rozumieć przez to Sekretarza Powiatu,

5)     administratorze systemu – rozumie się przez to Informatyka Starostwa,

6)     osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez          to osobę zatrudnioną na podstawie umowy o pracę, umowy zlecenia lub innej umowy, osobę odbywającą u administratora danych staż absolwencki, praktykę studencką, wolontariat, której nadane zostało przez administratora danych upoważnienie do przetwarzania danych osobowych,

7)     użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano uprawnienia do przetwarzania danych w systemie informatycznym,

8)     sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych Starostwa Powiatowego w Kluczborku wyłącznie do własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,

9)     sieci rozległej – należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 16 lipca 2004r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 z późn. zm.)

10) systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych,

11) identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną                    do przetwarzania danych osobowych w wyznaczonych przez administratora danych osobowych obszarach systemu informatycznego administratora danych,

12) haśle – rozumie się przez to ośmioznakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie, której nadano identyfikator użytkownika,

13) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

a)     osoby, której dane dotyczą,

b)     osoby, upoważnionej do przetwarzania danych,

c)     przedstawiciela, o którym mowa w art. 31a ustawy,

d)     podmiotu, o którym mowa w art. 31 ustawy,

e)     organów państwowych lub organów samorządu terytorialnego, którym dane  są udostępniane w związku z prowadzonym postępowaniem;

12) serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się       sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego.

 

III. Poziom bezpieczeństwa

 

§2. Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się ,,poziom wysoki” bezpieczeństwa w rozumieniu
§6 rozporządzenia.

 

IV. Nadawanie i rejestrowanie (wyrejestrowywanie) uprawnień do przetwarzania danych w systemie informatycznym

 

§3. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z :

     - Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 ze zm.),

     - Polityką bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku,

     - niniejszym dokumentem,

oraz posiadać upoważnienie do przetwarzania danych osobowych.

 

§4. Administrator Systemu przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upoważnienia określającego zakres uprawnień pracownika, którego wzór stanowi załącznik nr 1, z wyłączeniem osób kierujących Starostwem.

 

§5. Administrator Systemu jest zobowiązany upoważnić co najmniej jednego pracownika - do rejestracji użytkowników w systemie informatycznym w czasie swojej nieobecności dłuższej niż 21 dni.

 

§6. Rejestracja użytkownika, polega na nadaniu unikalnego identyfikatora
i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu.

 

§7. Wyrejestrowanie użytkownika z systemu informatycznego dokonuje administrator systemu na wniosek przełożonego, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień, zatwierdzonego przez Administratora bezpieczeństwa informacji.

 

§8. Wyrejestrowanie, o którym mowa w §7, może mieć charakter czasowy lub trwały.

 

§9. Wyrejestrowanie następuje przez:

1)     zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe)

2)     usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe).

 

§10. Przyczyną czasowego wyrejestrowania użytkownika z systemu informatycznego może być:

1)     wypowiedzenie umowy o pracę;

2)     wszczęcie postępowania dyscyplinarnego względem osoby upoważnionej                   do przetwarzania danych osobowych.

3)     zawieszenie w pełnieniu obowiązków służbowych

 

§11. Przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zatrudniony był użytkownik.

 

§12. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło.

 

§13. Administrator Systemu zobowiązany jest do prowadzenia i ochrony rejestru użytkowników i ich uprawnień w systemie informatycznym, rejestr stanowi załącznik nr 2.

 

V. Metody i środki uwierzytelniania oraz procedury związane z ich zarządzeniem  i użytkowaniem

 

§14. Identyfikator składa się z co najmniej sześciu znaków, z których pierwszy znak  odpowiada pierwszej literze imienia użytkownika pisanej dużymi literami, a drugi znak odpowiada pierwszej literze nazwiska pisanej dużymi literami i kolejne litery nazwiska pisane małymi literami. W identyfikatorze pomija się polskie znaki diakrytyczne.

 

§15. W przypadku zbieżności nadawanego identyfikatora z identyfikatorem wcześniej zarejestrowanego użytkownika administrator systemu. Za zgodą administratora bezpieczeństwa informacji, nadaje inny identyfikator odstępując od zasady określonej
w   §14.

 

§16. W systemie stosuje się uwierzytelnianie dwustopniowe: na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji.

 

§17. Identyfikator użytkownika w aplikacji (o ile działanie aplikacji na to pozwala), powinien być tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej.

 

§18. Kierownicy komórek organizacyjnych zobowiązani są pisemnie informować Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych pracowników mających wpływ na zakres posiadanych uprawnień w systemie informatycznym.

 

§19. Bezpośredni dostęp do systemu informatycznego może mieć miejsce wyłącznie            po podaniu identyfikatora i właściwego hasła.

 

§20. Hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni.

 

§21. Identyfikator użytkownika nie powinien być zmieniany bez wyraźnej przyczyny,            a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie.

 

§22. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł.

 

§23. Hasło użytkownika utrzymuję się również w tajemnicy po upływie ich ważności.

 

§24. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie.

 

§25. W sytuacji kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do powiadomienia Administratora Systemu w celu nadania nowego hasła.

 

§26. Hasło powinno składać się z niepowtarzalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne o ile system informatyczny na to pozwala. Hasło nie może być identyczne z identyfikatorem użytkownika w jakiejkolwiek formie(pisanej dużymi literami, w odwrotnym porządku, dublując każdą literę itp.),  ani z jego imieniem lub nazwiskiem.

 

§27. Zakazuje się stosować haseł, które użytkownik stosował uprzednio w okresie minionego roku,  imion osób z najbliższej rodziny, ogólnie dostępnych informacji o użytkowniku takich jak numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy na której mieszka lub pracuje, przewidywanych sekwencji z klawiatury (np.: „QWERTY” i „12345” itp.

 

§28. 1. Zmiany hasła nie wolno zlecać innym osobom, oprócz Administratora Systemu.

2. Zmiany haseł dokonuje się co najmniej raz na 30 dni.

 

§29. Nie należy korzystać z opcji zapamiętywania hasła w systemie.

§30. Hasło administratora systemu przechowywane jest w zamkniętej kopercie w sejfie ognioodpornym w pomieszczeniu serwerowni, do którego mają dostęp wyłącznie Starosta       i zastępca Starosty, Administrator Systemu oraz Administrator Bezpieczeństwa Informacji. 

 

 

VI. Procedury tworzenia kopii zapasowych

 

§31. Kopie zapasowe tworzy się:

1)     codziennie – w przypadku programu SIGID,EGB2000, OSRODEK5

2)     raz w tygodniu – pozostałe programy,

3)     nie rzadziej niż raz na miesiąc – w wypadku zbioru programu Qwark,

4)     kwartalnie, na płycie CD/DVD przechowywane w zamkniętej szafie w pokoju              u Administratora Systemu.

5)     raz w roku kalendarzowym robiona jest kopia na płytach DVD, jeżeli na to pozwala wielkość danych zgromadzonych w ciągu roku.

 

§32.  Szczegółowy opis wykonywania kopii zapasowych oprogramowania w Starostwie Powiatowym w Kluczborku jest opisany w „Instrukcji tworzenia kopii bezpieczeństwa”

 

§33. Wybrane kopie wykonywane są po zakończeniu pracy wszystkich użytkowników w sieci komputerowej.

 

§34. Kopia bezpieczeństwa wykonywana jest na płytach CD/DVD lub innym nośniku danych.

 

§35. W przypadku wykonywania zabezpieczeń długoterminowych na taśmach magnetycznych lub płytach CD/DVD, nośniki te należy dwa razy w roku sprawdzać pod kątem ich dalszej przydatności.

 

§36. Stwierdzenie utraty przez kopie awaryjne waloru przydatności do celu, o którym mowa w §35, upoważnia Administratora Systemu do ich zniszczenia.

 

 

 

 

VII. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz wirusami komputerowymi

 

§37. Na każdym stanowisku komputerowym musi być zainstalowane oprogramowanie antywirusowe pracujące w trybie monitora (ciągła praca w tle).

 

§38. Każdy e-mail oraz załączniki muszą być sprawdzone przez program antywirusowy pod kątem obecności wirusów.

§39. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w miesiącu.

 

§40. Jeżeli oprogramowanie antywirusowe pozwala, to należy ustawić harmonogram zadań tak aby raz w tygodniu lub więcej razy sprawdzał daną jednostkę komputerową pod kątem obecności wirusów.

 

§41. Do obowiązków Administratora Systemu należy aktualizacja oprogramowania antywirusowego oraz określenie częstotliwości automatycznych aktualizacji definicji wirusów dokonywanych przez to oprogramowanie.

 

§42. Zabrania się używania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć.

 

§43. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik.

 

§44. Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który pocztę otrzymał.

 

§45. Administrator Systemu Informatycznego przeprowadza cyklicznie kontrole                        antywirusowe na wszystkich komputerach – minimum co trzy miesiące.

 

§46. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze              w przypadku stwierdzenia nieprawidłowości zgłoszonych przez pracownika                           w funkcjonowaniu sprzętu komputerowego lub oprogramowania.

 

§47. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wykryto wirusa oraz wszystkie posiadane przez użytkownika nośniki.

 

§48. Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających komunikatach wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem.

 

§49. Użytkownicy mogą korzystać z zewnętrznych nośników danych tylko po uprzednim sprawdzeniu zawartości nośnika oprogramowaniem antywirusowym.

 

 

 

 

 

VIII. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

 

§50. Przeglądu i konserwacji systemu dokonuje administrator systemu doraźnie.

 

§51. Przeglądu i konserwacji urządzeń wchodzących w skład systemu informatycznego powinny być wykonywane w terminach określonych przez producenta sprzętu.

 

§52. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny powinny być przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić Administratora Bezpieczeństwa Informacji.

 

§53. Przeglądu pliku zawierającego raport dotyczący działalność aplikacji bądź systemów serwerowych (log systemowy) Administrator Systemu dokonuje nie rzadziej niż raz na miesiąc.

 

§54. Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale Administratora Systemu nie rzadziej niż raz na miesiąc.

 

§55. W przypadku działań konserwacyjnych, awarii oraz napraw Administrator Bezpieczeństwa Informacji prowadzi „Dziennik systemu informatycznego Starostwa Powiatowego w Kluczborku załącznik nr 3

 

§56. Wpisów do dziennika może dokonywać Administrator Danych, Administrator Bezpieczeństwa Informacji lub Administrator Systemu.

 

 

XIV. Postanowienia końcowe

 

§57. W sprawach nieokreślonych niniejszą instrukcją należy stosować instrukcje obsługi
i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów.

 

§58. Naruszenie obowiązków wynikających z niniejszej instrukcji oraz przepisów o ochronie danych osobowych może być uznane za ciężkie naruszenie obowiązków pracowniczych, podlegające sankcjom dyscyplinarnym oraz sankcjom karnym, w szczególności wynikającym z art. 49-54 ustawy.

 

 

 

 

 

 

 

 

 

Załącznik nr 1

do Instrukcji Zarządzania

Systemem Informatycznym

 

 

 

WNIOSEK

O NADANIE UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM

 

Nowy użytkownik

Modyfikacja uprawnień

Odebranie uprawnień w systemie                 informatycznym

 

 

Imię i nazwisko użytkownika:	Wydział/biuro/samodzielne stanowisko
Opis i zakres uprawnień użytkownika w systemie informatycznym
Data wystawienia:	Podpis bezpośredniego przełożonego użytkownika systemu:
Podpis Administratora Systemu:	Akceptacja ABI

 

Załącznik nr 2

do Instrukcji Zarządzania Systemem Informatycznym

 

 

 

EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRACY W SYSTEMIE INFORMATYCZNYM ORAZ UPOWAŻNINYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

 

L.p.	Nazwisko, Imię	System/aplikacja	Zakres upoważnienia do przetwarzania danych osobowych	Data nadania uprawnień	Data ustania uprawnień	Identyfikator użytkownika