Zarządzenie Nr 6/2010
Starosty Kluczborskiego z dnia 22 lutego 2010r. w sprawie zasad przetwarzania danych osobowych, wprowadzenia polityki bezpieczeństwa systemów Na podstawie § 13 ust. 2 pkt 2 lit.b Regulaminu Organizacyjnego Starostwa Powiatowego § 1. Ustalam w Starostwie Powiatowym w Kluczborku: 1) instrukcję postępowania przy przetwarzaniu danych osobowych stanowiącą Załącznik Nr 1 do niniejszego 2) politykę bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych Załącznik Nr 2 3) instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik Nr 3 4) instrukcję tworzenia kopii bezpieczeństwa w systemie informatycznym przy przetwarzaniu danych osobowych 5) instrukcję postępowania na wypadek awarii systemu informatycznego przy przetwarzaniu danych osobowych § 2.1. Zobowiązuję Naczelnika Wydziału Organizacyjnego do przekazania niniejszego Zarządzenia kierownikom 2. Zobowiązuję kierowników komórek organizacyjnych do zapoznania z niniejszym Zarządzeniem podległych § 3. Zarządzenie wchodzi w życie z dniem podpisania. § 4. Traci moc Zarządzenie Nr 12/2009 Starosty Kluczborskiego z dnia 25 lutego 2009r. w sprawie Załącznik Nr 1 do Zarządzenia Nr 6/2010 Starosty Kluczborskiego z dnia 22 lutego 2010r. Zasady przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku § 1. Zasady przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku określone są na podstawie § 2. Przez użyte w zasadach określeniach należy rozumieć: 1) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 2) dane osobowe powszechnie dostępne – informacje dotyczące osoby fizycznej zawarte w rejestrach jawnych, tj. 3) zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według 4) przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, zarówno w systemach 5) administrator danych osobowych –Starosta Kluczborski, 6) administrator bezpieczeństwa informacji –Sekretarz Powiatu, 7) administrator systemu – informatyk, 8) kierownik komórki organizacyjnej – Naczelnik Wydziału, Kierownik Biura, Kierownik Referatu. § 3. 1.Prowadzenie całokształtu spraw związanych z przetwarzaniem danych osobowych należy do administratora 2. Naczelnik Wydziału Organizacyjnego jest odpowiedzialny za prowadzenie dokumentacji z zakresu ochrony danych § 4. 1. Obowiązek przestrzegania ochrony danych osobowych dotyczy wszystkich pracowników, którzy mają 2.Naruszenie zasad ochrony danych osobowych, w efekcie którego nastąpiło udostępnienie danych osobie 3.Kierownik komórki organizacyjnej i samodzielne stanowiska pracy zobowiązani są do: 1)zastosowania niezbędnych środków technicznych i organizacyjnych określonych w obowiązujących przepisach 2)kontroli przestrzegania zasad i sposobu wykonywania operacji przetwarzanych danych, 3)zwracania się do administratora bezpieczeństwa informacji o rozstrzygnięcia, w przypadku istotnych 4.Czynności przetwarzania danych osobowych może dokonywać jedynie pracownik upoważniony przez 5.Osoba upoważniona przez administratora danych osobowych jest zobowiązana do: 1) zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, 2) stosowania określonych przez administratora danych procedur i środków mających na celu zabezpieczenie 3) zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych w celu ochrony 4) podporządkowanie się poleceniom kierownika komórki organizacyjnej i przestrzegania ustalonych przez niego § 5. 1. W przypadku przyjęcia do pracy nowego pracownika, którego zakres obowiązków obejmować będzie 2. W przypadku pracownika zatrudnianego na stanowisko kierownicze lub samodzielne stanowisko pracy czynności 3. Pracownik, któremu administrator danych osobowych udzielił upoważnienia jest zobowiązany do podpisania oświadczenia, 4. W przypadku zmiany stanowiska, bądź zakresu obowiązków pracowniczych lub w sytuacji określonej w § 4, ust. 2, która 5. Wypowiedzenie umowy o pracę przez pracodawcę lub pracownika powoduje nieważność upoważnienia do przetwarzania 6. Upoważnienie, o którym mowa w ust. 1 sporządza się w trzech egzemplarzach. Po podpisaniu i zarejestrowaniu § 6.1.W przypadku konieczności utworzenia nowego zbioru danych wynikającej z obowiązków nałożonych przepisami ustawy, 2. Informacja , o której mowa w ust. 1 powinna zawierać: 1) nazwę zbioru (ewidencji), 2) podstawę prawną utworzenia nowego zbioru danych, 3) metodę katalogowania (system komputerowy, metoda tradycyjna), 4) zakres danych zawartych w zbiorze (np.: imię i nazwisko, PESEL) 5) sposób zbierania danych osobowych, 6) podmioty, którym dane osobowe będą udostępniane. 3. Po przyjęciu informacji w przypadku konieczności rejestracji zbioru w GIODO administrator bezpieczeństwa informacji § 7. 1.W przypadku uzasadnionego podejrzenia naruszenia zasad ochrony danych osobowych w Starostwie Powiatowym, 2. Kierownik komórki organizacyjnej lub bezpośredni przełożony pracownika, po dokonaniu oceny stanu faktycznego 3. W przypadku powtarzającego się naruszenia zasad ochrony danych osobowych, administrator bezpieczeństwa §8. 1.Osobą odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym jest administrator systemu, 2.Sposób zarządzania danymi w systemie informatycznym oraz zasady postępowania w sytuacji naruszenia ochrony § 9. 1.W obiegu wewnętrznym między komórkami organizacyjnymi Starostwa wprowadza się następujące zasady udostępniania 1) informacje zawierające dane powszechnie dostępne może udostępnić pracownik przetwarzający dane 2) zgodę na udostępnienie danych osobowych w szerszym zakresie wyraża kierownik komórki organizacyjnej 2. W obiegu zewnętrznym zgodę na udostępnienie danych osobowych wyraża administrator danych osobowych zgodnie Załącznik Nr 1 do zasad przetwarzania danych osobowych U P O W A Ż N I E N I E Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, u p o w a ż n i a m Panią / Pana ……………………………………………………………………………………………………………. do przetwarzania danych osobowych wynikających z zakresu obowiązków pracowniczych, tj. do zbiorów: …………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………. Kluczbork, dnia ………………………….. ……………………………………………………. Administrator Danych osobowych Załącznik Nr 2 do zasad przetwarzania danych osobowych O Ś W I A D C Z E N I E Oświadczam, iż zapoznałem/am się z przedmiotową ustawą i zobowiązuję się do przestrzegania tajemnicy Kluczbork, dnia …………………………… ……………………………………………… Imię i nazwisko Załącznik Nr 2 do Zarządzenia Nr 6/2010 Starosty Kluczborskiego POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH W STAROSTWIE POWIATOWYM W KLUCZBORKU I. Postanowienia ogólne §1. Ilekroć w polityce bezpieczeństwa jest mowa o: 1) ustawie – to ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych 2) rozporządzeniu – to Rozporządzenie Ministra Spraw Wewnętrznych 3) administratorze danych – należy przez to rozumieć Starostę 4) administratorze bezpieczeństwa informacji – należy przez to rozumieć 5) administratorze systemu – rozumie się przez to Informatyka Starostwa; 6) osobie upoważnionej do przetwarzania danych osobowych – 7) użytkowniku – rozumie się przez to osobę upoważnioną 8) przetwarzającym – rozumie się przez to podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy zawieranej zgodnie z art. 31 ustawy; 9) kierownik komórki organizacyjnej – Naczelnik Wydziału, 10) odbiorcy danych – rozumie się przez to każdego, komu a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31 ustawy, d) podmiotu, o którym mowa w art. 31 ustawy, e) organów państwowych lub organów samorządu terytorialnego, 11) identyfikatorze – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący 12) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej 13) sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu art.2 pkt 35 ustawy 14) sieci publicznej – rozumie się przez to publiczną sieć telekomunikacyjną w rozumieniu art. 2 pkt 29 ustawy 15) teletransmisji – rozumie się przez to przesłanie informacji za pośrednictwem sieci telekomunikacyjnej; 16) rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane 17) integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały 18) poufność danych – rozumie się przez to właściwość zapewniającą że dane nie są udostępniane nieupoważnionym 19) raporcie – rozumie się przez to przygotowanie przez system informatyczny zestawienia zakresu i treści przetwarzanych 20) uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości 21) Starostwie – należy przez to rozumieć Starostwo Powiatowe w Kluczborku §2. Wdrożenie polityki bezpieczeństwa ma na celu zabezpieczenie §3. W związku z tym, że w zbiorach danych przetwarzane są m.in. dane wrażliwe, a system informatyczny §4. Polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny w księgach, §5. Procedury i zasady określone w niniejszym dokumencie stosuje się do wszystkich osób upoważnionych do II. Organizacja przetwarzania danych osobowych §6. Administrator danych osobowych realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza; 1) zleca, podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur 2) zleca kierownikowi komórki organizacyjnej, aby we współpracy z administratorem bezpieczeństwa informacji 3) podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza §7. Administrator bezpieczeństwa informacji (ABI) w szczególności: 1) sprawuje nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych 2) sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji 3) nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom; 4) nadzoruje przygotowanie wniosków zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych oraz 5) nadzoruje prowadzenie ewidencji i innej dokumentacji z zakresu ochrony danych osobowych w Wydziale 6) podejmuje odpowiednie działania w wypadku naruszenia systemu informatycznego; 7) nadzoruje przyznawanie hasła osobie upoważnionej do przetwarzania danych osobowych; 8) przygotowuje materiały szkoleniowe z zakresu ochrony danych osobowych i prowadzi szkolenia osób 9) w porozumieniu z administratorem danych osobowych na czas nieobecności (urlop, choroba) wyznacza §8. Administrator systemu w szczególności : 1) zarządza systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu 2) przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane 3) na wniosek kierownika komórki organizacyjnej oraz po zaakceptowaniu przez administratora bezpieczeństwa 4) nadzoruje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych; 5) podejmuje działania w zakresie ustalenia i kontroli identyfikatorów dostępu 6) wyrejestrowuje użytkowników na polecenie administratora danych lub administratora bezpieczeństwa informacji, 7) zmienia w poszczególnych stacjach roboczych hasła dostępu, ujawniając je wyłącznie danemu użytkownikowi 8) w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje ABI o naruszeniu 9) prowadzi szczegółową dokumentacje naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie 10) nadzoruje wykonywanie napraw, konserwacje oraz likwidację urządzeń komputerowych, na których zapisane 11) podejmuje działania służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających §9. Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie §10. Użytkownicy danych pisemnie oświadczając, zobowiązują się do zachowania tajemnicy danych osobowych oraz §11. Wszyscy użytkownicy danych zobowiązują się do: 1) zapoznania się z przepisami prawa w zakresie ochrony danych osobowych, w tym przepisami niniejszej 2) stosowania określonych przez administratora danych oraz administratora bezpieczeństwa informacji procedur 3) odpowiedniego zabezpieczenia danych przed ich udostępnianiem osobom nieupoważnionym. III. Infrastruktura przetwarzania danych osobowych §12.Dane osobowe przetwarzane są w budynku przy ul. Katowickiej 1 w Kluczborku. Obszar przetwarzania 1) Wydział Edukacji i Sportu, 2) Wydział Rolnictwa, Ochrony Środowiska i Leśnictwa, 3) Biuro Funduszy Pomocowych, Mienia Powiatu i Promocji Powiatu, 4) Wydział Budownictwa, 5) Wydział Organizacyjny, 6) Wydział Finansowy, 7) Samodzielne stanowisko ds. kadr, 8) Powiatowy Rzecznik Konsumentów, 9) Wydział Geodezji, Kartografii, Katastru i Gospodarki Nieruchomościami, 10) Wydział Komunikacji i Transportu. 11) Wydział Spraw Obywatelskich, Zarządzania Kryzysowego i Promocji Zdrowia 12) Audytor Wewnętrzny 13) Samodzielne stanowisko ds. ochrony zabytków 14) Zespół radców prawnych §13. Administrator systemu prowadzi przechowywaną w kasie pancernej ewidencję haseł IV. Struktura zbiorów danych, sposób przepływu danych w systemie. §14. Opis struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu V. Strategia zabezpieczenia danych osobowych (działania niezbędne do zapewnienia poufności, §15. W siedzibie administratora danych wydzielono strefę bezpieczeństwa klasy I, w której dostęp do informacji 1) pomieszczenie z serwerem, w którym może przebywać wyłącznie informatyk oraz inne osoby upoważnione 2) pomieszczenie księgowości z kasą pancerną, w którym mogą przebywać pracownicy księgowości, inni 3) pomieszczenie archiwum, w którym może przebywać tylko archiwista oraz osoba, której zlecono §16. W strefie bezpieczeństwa klasy II do danych osobowych mają dostęp wszystkie osoby upoważnione §17. Wszystkie urządzenia systemu informatycznego są zasilane za pośrednictwem zasilaczy awaryjnych (tzw. UPS-ów). §18. Okablowanie sieciowe zostało zaprojektowane w ten sposób, że dostęp do linii teletransmisyjnych jest możliwy §19. Sieć lokalna podłączona do Internetu oddzielona jest sprzętowym firewallem. §20. Bieżąca konserwacja sprzętu prowadzona jest tylko przez pracowników, przede wszystkim przez Informatyka. §21. Wszystkie awarie, działania konserwacyjne i naprawy systemu informatycznego są opisywane w stosownych §22. Administrator systemu dopuszcza konserwowanie i naprawę sprzętu poza siedzibą Starostwa jedynie po trwałym §23. Administrator systemu wskazuje użytkownikom, jak postępować, aby zapewnić: 1) ochronę elektromagnetyczną nośników danych – dyskietek z danymi, a szczególnie nośników danych, 2) prawidłową lokalizację komputerów. §24. Dla bezpieczeństwa danych każda osoba upoważniona do przetwarzania danych powinna: 1) kasować dane na dyskach przenośnych; po ich wykorzystaniu 2) pilnego strzeżenia akt, dyskietek, pamięci przenośnych i komputerów przenośnych; 3) stawiania ekranów komputerowych tak, aby osoby nie powołane nie mogły oglądać ich zawartości, 4) nie zapisywania hasła wymaganego do uwierzytelnienia się w systemie na papierze lub innym nośniku; 5) nie podłączania do listew podtrzymujących napięcie, przeznaczonych dla sprzętu komputerowego, 6) dbania o prawidłową wentylację komputerów (nie można zasłaniać im kratek wentylatorów meblami, zasłonami 7) powstrzymywania się przez osoby upoważnione do przetwarzania danych osobowych od samodzielnej 8) przestrzegania przez osoby upoważnione do przetwarzania danych osobowych swoich uprawnień w systemie, 9) nie pozostawiania osób postronnych w pomieszczeniu, w którym przetwarzane są dane osobowe, bez obecności 10) opuszczania stanowiska pracy dopiero po aktywizowaniu wygaszacza ekranu lub po zablokowaniu stacji roboczej 11) kopiowanie tylko jednostkowych danych (pojedynczych plików), obowiązuje zakaz robienia kopii całych zbiorów 12) udostępniania danych osobowych pocztą elektroniczną tylko w postaci zaszyfrowanej; 13) nie wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz szerokich z nich wypisów, nawet 14) wykonania kopii roboczych danych, na których się właśnie pracuje, tak często, aby zapobiec ich utratę; 15) kończenia pracy na stacji roboczej po wprowadzeniu danych przetwarzanych tego dnia w odpowiednie 16) chowanie do zamykanych na klucz szaf wszelkich akt zawierających dane osobowe, przed opuszczeniem 17) umieszczania kluczy do szaf w ustalonym, przeznaczonym do tego miejscu po zakończeniu dnia pracy; 18) zamykania okien w razie opadów lub innych zjawisk atmosferycznych, które mogą zagrozić bezpieczeństwu 19) zamykania okien w razie opuszczania pomieszczenia, w tym zwłaszcza po zakończeniu dnia pracy; 20) zamykania drzwi na klucz po zakończeniu pracy w danym dniu. §25. Jeśli niemożliwe jest umieszczenie wszystkich dokumentów zawierających dane osobowe w zamykanych §26. Osoby upoważnione do przetwarzania danych osobowych powinny pamiętać zwłaszcza, że: 1) dane z nośników po wprowadzeniu ich do systemu informatycznego powinny być trwale usuwane z tych 2) uszkodzone nośniki przed ich wyrzuceniem należy zniszczyć fizycznie (przeciąć, przełamać); 3) po wykorzystaniu wydruki zawierające dane osobowe należy codziennie przed zakończeniem pracy zniszczyć 4) zabrania się powtórnego używania do sporządzania brudnopisów pism jednostronnie zadrukowanych kart, §27. 1.Bezpieczeństwo danych, a w szczególności ich integralność i dostępność w dużym stopniu zależy od 2. Sporządzanie kopii zapasowych określa ,,Instrukcja zarządzania systemem informatycznym służącym do §28. Inne wymogi bezpieczeństwa systemowego określają instrukcje obsługi producentów sprzętu i używanych §29. Pocztą elektroniczną (miedzy komputerami przenośnymi a stacjonarnymi systemu informatycznego) §30. Przed atakami z sieci zewnętrznej wszystkie komputery (w tym także przenośne) chronione są środkami dobranymi §31. Administrator systemu w porozumieniu z administratorem bezpieczeństwa informacji dobiera elektronicznie §32. Stosuje się następujące sposoby kryptograficzne ochrony danych: 1) przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się protokół POP – tunelowanie; 2) przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów wynagrodzeń, używa się bezpiecznych stron https://. §33. Poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela się konta opatrzone niepowtarzalnym identyfikatorem umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do przetwarzania danych osobowych. Administrator systemu po uprzednim przedłożeniu upoważnienia do przetwarzania danych osobowych, stosownie do wniosku kierownika komórki organizacyjnej, przydziela pracownikowi upoważnionemu do przetwarzania danych konto w systemie informatycznym dostępne po wprowadzeniu prawidłowego identyfikatora i uwierzytelnieniu hasłem. §34. W razie potrzeby, po uzyskaniu uprzedniej akceptacji administratora bezpieczeństwa informacji, administrator systemu może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych nie mającej statusu pracownika. §35. Pierwsze hasło wymagane do uwierzytelnienia się w systemie przydzielane jest przez administratora systemu. §36. Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowanie się do zaleceń administratora bezpieczeństwa informacji i administratora systemu. §37. System informatyczny posiada szerokopasmowe połączenie z internetem. Dostęp do niego jest jednak ograniczony. Przyłączone są tylko wybrane stacje robocze. §38. Korzystanie z zasobów sieci wewnętrznej (intranet) jest możliwe tylko w zakresie uprawnień przypisanych do danego konta osoby upoważnionej do przetwarzania danych osobowych. §39. Urządzenia przenośne oraz nośniki danych wynoszone z siedziby Starostwa nie powinny być pozostawiane bez nadzoru w miejscach publicznych. Komputery przenośne należy przewozić w służbowych torbach. §40. W domu natomiast niedozwolone jest udostępnianie domownikom komputera przenośnego. Użytkownik powinien zachować w tajemnicy wobec domowników identyfikator i hasło, których podanie jest koniecznie do rozpoczęcia pracy na komputerze przenośnym. §41. Administrator systemu w razie potrzeby wskazuje w dokumencie powierzenia komputera przenośnego osobie upoważnionej do przetwarzania danych osobowych na konieczność i częstotliwość sporządzania kopii zapasowych danych przetwarzanych na komputerze przenośnym administratora danych oraz określa zasady: 1) postępowania w razie nieobecności w pracy dłużej niż 5 dni. Jeśli komputer przenośny nie może być zwrócony przed okresem nieobecności, to użytkownik tego komputera powinien niezwłocznie powiadomić o tym administratora bezpieczeństwa informacji i uzgodnić z nim zwrot komputera przenośnego administratorowi systemu; 2) zwrotu sprzętu w razie ustania stosunku pracy §42. Administrator systemu przeprowadza synchronizację zegarów stacji roboczych z serwerem, ograniczając dopuszczalność zmiany w ustawieniach zegarów. Jakiekolwiek zmiany ustawień zegarów mogą być dokonywane jedynie przez informatyka z konta o uprawnieniach administracyjnych. §43.. System informatyczny umożliwia zapisywanie zdarzeń wyjątkowych na potrzeby audytu i przechowywanie informacji o nich przez określony czas. §44. Zapisy takie obejmują: 1) identyfikator użytkownika; 2) datę i czas zalogowania i wylogowania się systemu; 3) tożsamość stacji roboczej; 4) zapisy udanych i nieudanych prób dostępu do systemu, 5) zapisy udanych i nieudanych prób dostępu do danych osobowych i innych zasobów systemowych. §45. Administrator bezpieczeństwa informacji przeprowadza co najmniej raz na 2 lata przegląd przetwarzanych danych osobowych pod kątem celowości ich dalszego przetwarzania. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane współpracować z administratorem bezpieczeństwa informacji w tym zakresie przez wypełnienie kwestionariuszy przeglądu i w razie potrzeby udzielenie innych koniecznych informacji. §46. Administrator bezpieczeństwa informacji może zarządzić przeprowadzenie dodatkowego przeglądu w razie zmian w obowiązującym prawie, ograniczających dopuszczalny zakres przetwarzanych danych osobowych. Dodatkowy przegląd może być konieczny także w sytuacji zmian organizacyjnych. Z przebiegu usuwania danych osobowych należy sporządzić protokół podpisywany przez administratora bezpieczeństwa informacji i naczelnika wydziału, w którym usunięto dane osobowe. §47. Wykazy zbiorów danych osobowych przechowywane są zgodnie z zapisami Rozporządzenia Prezesa Rady Ministrów z dnia 18 grudnia 1998 r. w sprawie instrukcji kancelaryjnej dla organów powiatu ( Dz.U. z 1998 nr 160 poz. 1074 z późn. zm.) §48. Niezastosowanie się do prowadzonej przez administratora danych polityki bezpieczeństwa przetwarzania danych osobowych, której założenia określa niniejszy dokument i naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowanie jako naruszenie obowiązków pracowniczych, podlegające sankcjom dyscyplinarnym oraz sankcjom karnym, w szczególności wynikającym z art. 51-54 ustawy oraz art. 266 Kodeksu Karnego. §49. Administrator bezpieczeństwa informacji analizuje, czy polityka bezpieczeństwa 1) w budowie systemu informatycznego, 2) zmian organizacyjnych, w tym również zmian statusu osób upoważnionych do przetwarzania danych osobowych, 3) zmian w obowiązującym prawie. §50. Administrator danych w razie konieczności może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot. VI. Postępowanie w przypadku naruszenia ochrony danych osobowych §51. W przypadku stwierdzenia naruszenia: 1) zabezpieczenie systemu informatycznego, 2) technicznego stanu urządzeń, 3) zawartości zbioru danych osobowych, 4) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych, 5) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, kradzież itp.) każda osoba jest zobowiązana do niezwłocznego powiadomienia o tym fakcie administratora bezpieczeństwa informacji i bezpośredniego przełożonego. §52. Po wykonaniu czynności określonych w §51 należy: 1) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn i sprawców, 2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, 3) zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę zdarzenia, 4) podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego lub aplikacji użytkowej, 5) zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku, 6) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora bezpieczeństwa informacji lub osoby upoważnionej. §53. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, administrator systemu lub osoba upoważniona: 1) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy Starostwa, 2) może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem, 3) w razie potrzeby powiadamia o zaistniałym naruszeniu administratora bezpieczeństwa informacji, 4) administrator bezpieczeństwa informacji, jeżeli zachodzi taka potrzeba zleca usunięcie występujących naruszeń oraz powiadamia odpowiednie instytucje. §54. Administrator systemu dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg wzoru stanowiącego załącznik nr 1 do niniejszej polityki bezpieczeństwa. §55. Raport o którym mowa w §54 administrator systemu niezwłocznie przekazuje administratorowi bezpieczeństwa informacji. §56. Zaistniałe naruszenie może stać się przedmiotem szczegółowej analizy prowadzonej przez zespół powołany przez administratora danych. §57. Analiza o której mowa w §56 powinna zawierać wszechstronną ocenę zaistniałego naruszenia wskazanie odpowiedzialnych, wnioski co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości. Załącznik nr 1 do Polityki bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku. Raport z naruszenia bezpieczeństwa systemu informatycznego w Starostwie Powiatowym w Kluczborku. 1. Data:................................................Godzina:......................................................... 2. Osoba powiadamiająca o zaistniałym zdarzeniu: ............................................................................................................................................(Imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje) 1. Lokalizacja zdarzenia: .............................................................................................................................................. 2. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: ............................................................................................................................................ ............................................................................................................................................ 3. Podjęte działania: .............................................................................................................................................. .............................................................................................................................................. 4. Przyczyny wystąpienia zdarzenia: .............................................................................................................................................. .............................................................................................................................................. 5. Postępowanie wyjaśniające: ............................................................................................................................................. …………………………………………………… ……………….. data, podpis administratora bezpieczeństwa informa Załącznik Nr 3 do Zarządzenia Nr 6/2010 Starosty Kluczborskiego z dnia 22 lutego 2010r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH Instrukcja określa sposób zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych osobowych w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnianiem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem II. Definicje §1. Ilekroć w instrukcji jest mowa o: 1) ustawie – rozumie się przez to ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), 2) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), 3) administratorze danych – należy przez to rozumieć Starostę Kluczborskiego, 4) administratorze bezpieczeństwa informacji – należy rozumieć przez to Sekretarza Powiatu, 5) administratorze systemu – rozumie się przez to Informatyka Starostwa, 6) osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę zatrudnioną na podstawie umowy o pracę, umowy zlecenia lub innej umowy, osobę odbywającą u administratora danych staż absolwencki, praktykę studencką, wolontariat, której nadane zostało przez administratora danych upoważnienie do przetwarzania danych osobowych, 7) użytkowniku – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano uprawnienia do przetwarzania danych w systemie informatycznym, 8) sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych Starostwa Powiatowego w Kluczborku wyłącznie do własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych, 9) sieci rozległej – należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 16 lipca 2004r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 z późn. zm.) 10) systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych, 11) identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez administratora danych osobowych obszarach systemu informatycznego administratora danych, 12) haśle – rozumie się przez to ośmioznakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie, której nadano identyfikator użytkownika, 13) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby, upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a ustawy, d) podmiotu, o którym mowa w art. 31 ustawy, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem; 12) serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego. III. Poziom bezpieczeństwa §2. Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się ,,poziom wysoki” bezpieczeństwa w rozumieniu IV. Nadawanie i rejestrowanie (wyrejestrowywanie) uprawnień do przetwarzania danych w systemie informatycznym §3. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z : - Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 ze zm.), - Polityką bezpieczeństwa systemów informatycznych do przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku, - niniejszym dokumentem, oraz posiadać upoważnienie do przetwarzania danych osobowych. §4. Administrator Systemu przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upoważnienia określającego zakres uprawnień pracownika, którego wzór stanowi załącznik nr 1, z wyłączeniem osób kierujących Starostwem. §5. Administrator Systemu jest zobowiązany upoważnić co najmniej jednego pracownika - do rejestracji użytkowników w systemie informatycznym w czasie swojej nieobecności dłuższej niż 21 dni. §6. Rejestracja użytkownika, polega na nadaniu unikalnego identyfikatora §7. Wyrejestrowanie użytkownika z systemu informatycznego dokonuje administrator systemu na wniosek przełożonego, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień, zatwierdzonego przez Administratora bezpieczeństwa informacji. §8. Wyrejestrowanie, o którym mowa w §7, może mieć charakter czasowy lub trwały. §9. Wyrejestrowanie następuje przez: 1) zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej blokadę (wyrejestrowanie czasowe) 2) usunięcie danych użytkownika z bazy użytkowników systemu (wyrejestrowanie trwałe). §10. Przyczyną czasowego wyrejestrowania użytkownika z systemu informatycznego może być: 1) wypowiedzenie umowy o pracę; 2) wszczęcie postępowania dyscyplinarnego względem osoby upoważnionej do przetwarzania danych osobowych. 3) zawieszenie w pełnieniu obowiązków służbowych §11. Przyczyną trwałego wyrejestrowania użytkownika z systemu informatycznego jest rozwiązanie lub wygaśnięcie stosunku pracy lub innego stosunku prawnego, w ramach którego zatrudniony był użytkownik. §12. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło. §13. Administrator Systemu zobowiązany jest do prowadzenia i ochrony rejestru użytkowników i ich uprawnień w systemie informatycznym, rejestr stanowi załącznik nr 2. V. Metody i środki uwierzytelniania oraz procedury związane z ich zarządzeniem i użytkowaniem §14. Identyfikator składa się z co najmniej sześciu znaków, z których pierwszy znak odpowiada pierwszej literze imienia użytkownika pisanej dużymi literami, a drugi znak odpowiada pierwszej literze nazwiska pisanej dużymi literami i kolejne litery nazwiska pisane małymi literami. W identyfikatorze pomija się polskie znaki diakrytyczne. §15. W przypadku zbieżności nadawanego identyfikatora z identyfikatorem wcześniej zarejestrowanego użytkownika administrator systemu. Za zgodą administratora bezpieczeństwa informacji, nadaje inny identyfikator odstępując od zasady określonej §16. W systemie stosuje się uwierzytelnianie dwustopniowe: na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji. §17. Identyfikator użytkownika w aplikacji (o ile działanie aplikacji na to pozwala), powinien być tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej. §18. Kierownicy komórek organizacyjnych zobowiązani są pisemnie informować Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych pracowników mających wpływ na zakres posiadanych uprawnień w systemie informatycznym. §19. Bezpośredni dostęp do systemu informatycznego może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. §20. Hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni. §21. Identyfikator użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. §22. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł. §23. Hasło użytkownika utrzymuję się również w tajemnicy po upływie ich ważności. §24. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie. §25. W sytuacji kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do powiadomienia Administratora Systemu w celu nadania nowego hasła. §26. Hasło powinno składać się z niepowtarzalnego zestawu co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne o ile system informatyczny na to pozwala. Hasło nie może być identyczne z identyfikatorem użytkownika w jakiejkolwiek formie(pisanej dużymi literami, w odwrotnym porządku, dublując każdą literę itp.), ani z jego imieniem lub nazwiskiem. §27. Zakazuje się stosować haseł, które użytkownik stosował uprzednio w okresie minionego roku, imion osób z najbliższej rodziny, ogólnie dostępnych informacji o użytkowniku takich jak numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy na której mieszka lub pracuje, przewidywanych sekwencji z klawiatury (np.: „QWERTY” i „12345” itp. §28. 1. Zmiany hasła nie wolno zlecać innym osobom, oprócz Administratora Systemu. 2. Zmiany haseł dokonuje się co najmniej raz na 30 dni. §29. Nie należy korzystać z opcji zapamiętywania hasła w systemie. §30. Hasło administratora systemu przechowywane jest w zamkniętej kopercie w sejfie ognioodpornym w pomieszczeniu serwerowni, do którego mają dostęp wyłącznie Starosta i zastępca Starosty, Administrator Systemu oraz Administrator Bezpieczeństwa Informacji. VI. Procedury tworzenia kopii zapasowych §31. Kopie zapasowe tworzy się: 1) codziennie – w przypadku programu SIGID,EGB2000, OSRODEK5 2) raz w tygodniu – pozostałe programy, 3) nie rzadziej niż raz na miesiąc – w wypadku zbioru programu Qwark, 4) kwartalnie, na płycie CD/DVD przechowywane w zamkniętej szafie w pokoju u Administratora Systemu. 5) raz w roku kalendarzowym robiona jest kopia na płytach DVD, jeżeli na to pozwala wielkość danych zgromadzonych w ciągu roku. §32. Szczegółowy opis wykonywania kopii zapasowych oprogramowania w Starostwie Powiatowym w Kluczborku jest opisany w „Instrukcji tworzenia kopii bezpieczeństwa” §33. Wybrane kopie wykonywane są po zakończeniu pracy wszystkich użytkowników w sieci komputerowej. §34. Kopia bezpieczeństwa wykonywana jest na płytach CD/DVD lub innym nośniku danych. §35. W przypadku wykonywania zabezpieczeń długoterminowych na taśmach magnetycznych lub płytach CD/DVD, nośniki te należy dwa razy w roku sprawdzać pod kątem ich dalszej przydatności. §36. Stwierdzenie utraty przez kopie awaryjne waloru przydatności do celu, o którym mowa w §35, upoważnia Administratora Systemu do ich zniszczenia. VII. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz wirusami komputerowymi §37. Na każdym stanowisku komputerowym musi być zainstalowane oprogramowanie antywirusowe pracujące w trybie monitora (ciągła praca w tle). §38. Każdy e-mail oraz załączniki muszą być sprawdzone przez program antywirusowy pod kątem obecności wirusów. §39. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w miesiącu. §40. Jeżeli oprogramowanie antywirusowe pozwala, to należy ustawić harmonogram zadań tak aby raz w tygodniu lub więcej razy sprawdzał daną jednostkę komputerową pod kątem obecności wirusów. §41. Do obowiązków Administratora Systemu należy aktualizacja oprogramowania antywirusowego oraz określenie częstotliwości automatycznych aktualizacji definicji wirusów dokonywanych przez to oprogramowanie. §42. Zabrania się używania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć. §43. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik. §44. Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który pocztę otrzymał. §45. Administrator Systemu Informatycznego przeprowadza cyklicznie kontrole antywirusowe na wszystkich komputerach – minimum co trzy miesiące. §46. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w przypadku stwierdzenia nieprawidłowości zgłoszonych przez pracownika w funkcjonowaniu sprzętu komputerowego lub oprogramowania. §47. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wykryto wirusa oraz wszystkie posiadane przez użytkownika nośniki. §48. Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających komunikatach wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem. §49. Użytkownicy mogą korzystać z zewnętrznych nośników danych tylko po uprzednim sprawdzeniu zawartości nośnika oprogramowaniem antywirusowym. VIII. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych §50. Przeglądu i konserwacji systemu dokonuje administrator systemu doraźnie. §51. Przeglądu i konserwacji urządzeń wchodzących w skład systemu informatycznego powinny być wykonywane w terminach określonych przez producenta sprzętu. §52. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny powinny być przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić Administratora Bezpieczeństwa Informacji. §53. Przeglądu pliku zawierającego raport dotyczący działalność aplikacji bądź systemów serwerowych (log systemowy) Administrator Systemu dokonuje nie rzadziej niż raz na miesiąc. §54. Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale Administratora Systemu nie rzadziej niż raz na miesiąc. §55. W przypadku działań konserwacyjnych, awarii oraz napraw Administrator Bezpieczeństwa Informacji prowadzi „Dziennik systemu informatycznego Starostwa Powiatowego w Kluczborku załącznik nr 3 §56. Wpisów do dziennika może dokonywać Administrator Danych, Administrator Bezpieczeństwa Informacji lub Administrator Systemu. XIV. Postanowienia końcowe §57. W sprawach nieokreślonych niniejszą instrukcją należy stosować instrukcje obsługi §58. Naruszenie obowiązków wynikających z niniejszej instrukcji oraz przepisów o ochronie danych osobowych może być uznane za ciężkie naruszenie obowiązków pracowniczych, podlegające sankcjom dyscyplinarnym oraz sankcjom karnym, w szczególności wynikającym z art. 49-54 ustawy. Załącznik nr 1 do Instrukcji Zarządzania Systemem Informatycznym WNIOSEK O NADANIE UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM
Nowy użytkownik Modyfikacja uprawnień informatycznym Imię i nazwisko użytkownika: Wydział/biuro/samodzielne stanowisko Opis i zakres uprawnień użytkownika w systemie informatycznym Data wystawienia: Podpis bezpośredniego przełożonego użytkownika systemu: Podpis Administratora Systemu: Akceptacja ABI
informatycznych do przetwarzania danych osobowych, instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych, instrukcji tworzenia kopii
bezpieczeństwa w systemie informatycznym oraz instrukcji postępowania na wypadek awarii
systemu informatycznego przy przetwarzaniu danych osobowych w Starostwie Powiatowym w Kluczborku
w Kluczborku stanowiącego załącznik do Uchwały Nr XXVIII/163/2008 Rady Powiatu w Kluczborku z dnia
19 grudnia 2008r. zarządzam, co następuje:
Zarządzenia,
do niniejszego Zarządzenia,
do niniejszego Zarządzenia,
Załącznik Nr 4 do niniejszego Zarządzenia,
Załącznik Nr 5 do niniejszego Zarządzenia.
komórek organizacyjnych i pracownikom na samodzielnych stanowiskach.
pracowników.
wprowadzenia polityki bezpieczeństwa systemów informatycznych
do przetwarzania danych osobowych w Starostwie Powiatowym w Kluczborku.
ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
dostępnych z mocy prawa dla osób trzecich,
określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lup podzielony funkcjonalnie,
informatycznych, jak i metodami tradycyjnymi (kartoteki, księgi, wykazy),
bezpieczeństwa informacji.
osobowych, w tym ewidencji osób upoważnionych do przetwarzania danych osobowych.
dostęp do informacji o charakterze danych osobowych.
nieupoważnionej jest ciężkim naruszeniem obowiązków pracowniczych.
i instrukcjach w celu zapewnienia ochrony przetwarzanych danych osobowych,
wątpliwości co do stosowania przepisów prawnych z zakresu ochrony danych osobowych.
administratora danych osobowych w zakresie indywidualnych obowiązków pracowniczych.
danych przed ich udostępnieniem osobom nie upoważnionym,
interesów osób, których nie dotyczą,
szczegółowych zasad i procedur.
przetwarzanie danych osobowych, kierownik komórki organizacyjnej zobowiązany jest zwrócić się do administratora danych
osobowych z wnioskiem o wydanie upoważnienia do ich przetwarzania. określającym zbiory danych osobowych, do których
pracownik będzie miał dostęp. Wzór upoważnienia stanowi załącznik nr 1 do niniejszych zasad.
wymienione w ust. 1 określone dla kierownika komórki organizacyjnej wykonuje administrator bezpieczeństwa informacji.
którego treść stanowi załącznik nr 2 do niniejszych zasad.
wpływa bezpośrednio na rodzaj i zakres przetwarzania danych, kierownik komórki organizacyjnej lub administrator
bezpieczeństwa informacji zobowiązany jest niezwłocznie skierować wniosek do administratora danych osobowych
o wydanie bądź cofnięcie upoważnienia.
danych osobowych.
upoważnienia, Wydział Organizacyjny przekazuje po jednym egzemplarzu pracownikowi oraz samodzielnemu stanowisku ds. kadr
w celu ujęcia w aktach osobowych pracownika.
bądź nowymi zadaniami, kierownik komórki organizacyjnej lub samodzielne stanowisko pracy zobowiązani są niezwłocznie –
nie później jednak niż w ciągu 7 dni – poinformować pisemnie o tym fakcie administratora bezpieczeństwa informacji.
zleca kierownikowi komórki organizacyjnej lub samodzielnemu stanowisku pracy przygotowanie wniosku o rejestrację.
pracownik zobowiązany jest do niezwłocznego poinformowania o tym kierownika komórki organizacyjnej lub bezpośredniego
przełożonego.
i stwierdzeniu naruszenia, jest zobowiązany poinformować o tym fakcie administratora bezpieczeństwa informacji.
informacji zobowiązany do niezwłocznego poinformowania administratora danych osobowych o tym fakcie.
którego zadaniem jest w szczególności przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym
przetwarzane są dane osobowe oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.
danych osobowych określa odrębna instrukcja- polityka bezpieczeństwa systemów informatycznych.
danych osobowych:
w formie bezpośredniej lub telefonicznie,
lub samodzielne stanowisko pracy
z przepisami powszechnie obowiązującymi.
w Starostwie Powiatowym w Kluczborku
poz. 926 z późn. zm)
w Starostwie Powiatowym w Kluczborku
ochrony danych osobowych, a szczególności:
interesów osób, których dane dotyczą,
ochrony przetwarzanych danych oraz przestrzegania zasad i sposobu wykonywania operacji przetwarzania
danych przez podległych pracowników.
z dnia 22.02.2010r.
DO PRZETWARZANIA DANYCH OSOBOWYCH
(Dz.U. z 2002 r. Nr 101, poz. 926 z późn.zm.);
i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzani danych osobowych
(Dz.U. Nr 100, poz. 1024);
Kluczborskiego
Sekretarza Powiatu,
rozumie się przez to osobę, która upoważniona została na
piśmie przez Starostę do przetwarzania danych osobowych;
do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
Kierownik Biura, Kierownik Referatu.
udostępnia się dane osobowe, z wyłączeniem:
którym dane są udostępnione w związku z prowadzonym postępowaniem;
osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
do pracy w systemie informatycznym,
z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 z późn. zm.);
z 16 lipca 2004 r. – Prawo telekomunikacyjne;
w sposób jednoznaczny tylko temu podmiotowi;
zmienione lub zniszczone w sposób nieautoryzowany;
podmiotom;
danych;
podmiotu,
przetwarzanych przez niego danych osobowych, w tym bezpieczeństwa
danych przetwarzanych w systemie informatycznym i poza nim,
posiada szerokopasmowe połączenie z internetem, niniejsza polityka bezpieczeństwa służy zapewnieniu wysokiego
poziomu bezpieczeństwa danych w rozumieniu §6 rozporządzenia. Niniejszy dokument opisuje niezbędny do
uzyskania tego bezpieczeństwa zbiór procedur i zasad dotyczących przetwarzania danych osobowych oraz ich zabezpieczenia,
wykazach i innych zbiorach ewidencyjnych, jak i w systemach informatycznych,
przetwarzania danych osobowych, zarówno zatrudnionych, jak i innych, np. osób odbywających staż, wolontariuszy,
praktykantów.
bezpiecznego przetwarzania danych osobowych;
zapewnił użytkownikom odpowiednie stanowiska pracy umożliwiające bezpieczne przetwarzanie danych;
z uwzględnieniem zmian w obowiązującym prawie, organizacji administratora danych oraz technik zabezpieczenia
danych osobowych.
w celu zapewnienia bezpieczeństwa danych;
z zakresu ochrony danych osobowych;
prowadzi inną korespondencje z Generalnym Inspektorem;
Organizacyjnym;
upoważnianych do przetwarzania danych osobowych;
swojego zastępcę.
do wszystkich stacji roboczych z pozycji administratora;
osobowe;
informacji, przydziela każdemu użytkownikowi identyfikator i hasło do systemu informatycznego
do systemu informatycznego;
oraz w razie potrzeby administratorowi bezpieczeństwa informacji lub administratorowi danych;
i współdziała z nim przy usuwaniu skutków naruszenia;
informatycznym;
są dane osobowe, sprawuje nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym
sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego;
wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci
wewnętrznej i bezpiecznej teletransmisji.
ustalonym indywidualnie przez administratora danych i tylko w celu wykonywania nałożonych na niego obowiązków.
Zakres dostępu do danych przypisany jest do niepowtarzalnego identyfikatora użytkownika niezbędnego do rozpoczęcia
pracy w systemie.
przestrzegania procedur ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych obowiązuje przez
cały okres zatrudnienia u administratora danych, a także po ustaniu stosunku pracy lub odwołaniu z pełnionej funkcji.
polityki i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
oraz wytycznych mających na celu zgodne z prawem przetwarzanie danych;
danych osobowych obejmuje wykaz komórek organizacyjnych, w których są przetwarzane dane osobowe:
do stanowisk roboczych poszczególnych użytkowników danych oraz ich identyfikatorów.
danych pomiędzy poszczególnymi systemami prowadzi administrator systemu.
integralności i rozliczalności przetwarzanych danych).
zabezpieczony jest wewnętrznymi środkami kontroli. Są to:
do przetwarzania tylko w towarzystwie informatyka, a osoby postronne w ogóle nie mają dostępu;
złożony w sekretariacie klucz jest zabezpieczony i opisany. Serwer jest zlokalizowany w odrębnym,
klimatyzowanym pomieszczeniu, zamykanym antywłamaniowymi drzwiami. Okno tego pomieszczenia
zabezpieczone jest kratą antywłamaniową.
użytkownicy danych tylko w obecności pracowników księgowości,
a osoby postronne w ogóle nie mają dostępu; klucz posiada Skarbnik Powiatu;
porządkowanie archiwum, inne osoby upoważnione do przetwarzania danych osobowych tylko
w towarzystwie archiwisty, osoby postronne w ogóle nie mają dostępu; złożony w Wydziale Organizacyjnym klucz jest zabezpieczony i opisany;
do przetwarzania danych osobowych zgodnie z zakresami upoważnień do przetwarzania danych
osobowych, a osoby postronne tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych.
Strefa ta obejmuje wszystkie pozostałe pomieszczenia zaliczone do obszaru przetwarzania danych w siedzibie Starostwa.
Do strefy bezpieczeństwa klasy II należy także kancelaria ogólna. Jednak przeglądanie akt spraw i sporządzanie
z nich notatek przez strony jest możliwe tylko w obecności pracownika upoważnionego do przetwarzania danych osobowych.
tylko z pomieszczeń zamykanych na klucz. Ponadto kable sieciowe nie krzyżują się z okablowaniem zasilającym,
co zapobiega interferencjom.
Natomiast poważne naprawy wykonane przez personel zewnętrzny realizowane są w siedzibie Starostwa.
protokołach podpisywanych przez osoby w nich uczestniczące, a także przez administratora bezpieczeństwa informacji.
usunięciu danych osobowych. Zużyty sprzęt służący
do przetwarzania danych osobowych może być zbywany dopiero po trwałym usunięciu danych osobowych,
a urządzenia uszkodzone powinny być przekazywane właściwym podmiotom w celu utylizacji
na których przechowywane są kopie zapasowe (należy przechowywać je z dala od magnesów
oraz urządzeń wytwarzających pole magnetyczne, a więc nie wprost na urządzeniach komputerowych),
a zwłaszcza nie naprzeciwko wejścia do pomieszczenia;
innych urządzeń, szczególnie tych łatwo powodujących spięcia (np. grzejników, czajników, wentylatorów);
lub stawiać tuż przy ścianie);
integracji w oprogramowanie i konfiguracje powierzonego sprzętu (szczególnie komputerów przenośnych),
nawet gdy z pozoru mogłoby to usprawnić pracę lub podnieść poziom bezpieczeństwa danych;
tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania
się do zaleceń administratora bezpieczeństwa informacji;
osoby upoważnionej do przetwarzania danych osobowych;
w inny sposób;
danych lub takich ich części, które nie są konieczne do wykonania obowiązków przez pracownika; jednostkowe
dane mogą być kopiowane na nośniki magnetyczne, optyczne i inne po ich zaszyfrowaniu i przechowywane
w zamkniętych na klucz szafach; po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie
zniszczyć nośniki na których są przechowywane;
w postaci zaszyfrowanej;
obszary serwera, a następnie prawidłowym wylogowaniu się użytkownika i wyłączeniu komputera oraz odcięciu
napięcia w UPS i listwie;
miejsca pracy po zakończeniu dnia pracy;
danych osobowych;
szafach, to należy powiadomić o tym Sekretarza Powiatu lub Naczelnika Wydziału Organizacyjnego, który zgłasza
osobom sprzątającym jednorazową rezygnację z wykonania sprzątania pomieszczenia.
nośników przez fizyczne zniszczenie (np. płyty CD-ROM) lub skasowanie danych programem usuwającym
trwale pliki; jeśli istnieje uzasadniona konieczność, to dane pojedynczych osób (a nie całe zbiory czy
obszerne wypisy ze zbiorów) mogą być przechowywane na specjalnie oznaczonych nośnikach;
nośniki te muszą być przechowywane w zamkniętych na klucz szafach, nie mogą być udostępniane
osobom postronnym; po ustaniu przydatności tych danych nośniki powinny być trwale kasowane lub niszczone;
w niszczarce; jeżeli to możliwe, nie należy przechowywać takich wydruków na biurku ani wynosić poza siedzibę
administratora danych;
jeśli zawierają one chronione dane; zaleca się natomiast dwustronne drukowanie brudnopisów pism i sporządzanie dwustronnych dokumentów.
zdyscyplinowanego, codziennego umieszczania danych w wyznaczonych zasobach serwera. Pozwala to przynajmniej
w pewnym stopniu – uniknąć
wielokrotnego wprowadzania tych samych danych do systemu informatycznego .
przetwarzania danych osobowych”.
programów, wskazówki administratora bezpieczeństwa informacji oraz ,,Instrukcja zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych”.
można przesyłać tylko jednostkowe dane, a nie całe bazy lub obszerne z nich wypisy, i tylko w postaci zaszyfrowanej. C
hroni to przesłane dane przed ,,przesłuchami” na liniach teletransmisyjnych oraz przed przypadkowym rozproszeniem ich w internecie.
przez administratora systemu w porozumieniu z administratorem bezpieczeństwa informacji. Ważne jest, aby użytkownicy
zwracali uwagę na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń. O wszystkich
takich przypadkach należy informować administratora bezpieczeństwa informacji lub administratora systemu oraz
umożliwić im monitorowanie oraz aktualizację środków (urządzeń, programów) bezpieczeństwa.
środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany,
inne możliwości wdarcia się do systemu), a także stosownie do rozbudowy systemu informatycznego i powiększania
bazy danych. Jednocześnie należy zwracać uwagę czy rozwijający się system zabezpieczeń sam nie powoduje nowych zagrożeń.
i pozostała dokumentacja jest adekwatna do zmian:
I. Cel instrukcji
lub zniszczeniem, opisuje nadawanie uprawnień użytkownikom, określa sposoby pracy w systemie informatycznym oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego Starostwa Powiatowego w Kluczborku.
§6 rozporządzenia.
i przydzieleniu hasła oraz wprowadzeniu tych danych do bazy użytkowników systemu.
w §14.
i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów.
Załącznik nr 2
do Instrukcji Zarządzania Systemem Informatycznym
EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRACY W SYSTEMIE INFORMATYCZNYM ORAZ UPOWAŻNINYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
L.p. |
Nazwisko, Imię |
System/aplikacja |
Zakres upoważnienia do przetwarzania danych osobowych |
Data nadania uprawnień |
Data ustania uprawnień |
Identyfikator użytkownika |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Załącznik nr 3
do Instrukcji Zarządzania
Systemem Informatycznym
Dziennik zawiera opisy wszelkich zdarzeń istotnych dla działania systemu informatycznego w szczególności:
- w przypadku awarii – opis awarii, przyczyna awarii, szkody wynikłe na skutek awarii, sposób usunięcia awarii, opis systemu po awarii, wnioski,
- w przypadku konserwacji systemu – opis podjętych działań, wnioski.
DZIENNIK SYSTEMU INFORMATYCZNEGO
STAROSTWA POWIATOWEGO W KLUCZBORKU
L.p. |
Data i godzina zdarzenia |
Opis zdarzenia |
Podjęte działania/wnioski |
Podpis |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Załącznik Nr 4
do Zarządzenia Nr 6/2010
Starosty Kluczborskiego
z dnia 22 lutego 2010r.
INSTRUKCJA TWORZENIA KOPII BEZPIECZEŃSTWA W SYSTEMIE INFORMATYCZNYM W STAROSTWIE POWIATOWYM W KLUCZBORKU
II. Cel instrukcji
Instrukcja określa sposób tworzenia kopii bezpieczeństwa w aplikacjach wykorzystywanych w Starostwie Powiatowym w Kluczborku.
II. Definicje
Ilekroć w instrukcji jest mowa o:
14) polityce bezpieczeństwa – rozumie się przez to politykę bezpieczeństwa w Starostwie Powiatowym w Kluczborku,
15) instrukcji – rozumie się przez to instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
16) administratorze systemu – rozumie się przez to Informatyka,
17) systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną administratora danych,
18) program – rozumie się przez program komputerowy wykorzystywany do pracy
na danej jednostce komputerowej przez użytkownika.
III. Pojęcia ogólne
W instrukcji znajduje się opis aplikacji w których należy wykonywać archiwizację danych na różnego rodzaju nośnikach.
W przypadku tworzenia kopii Administrator Systemu musi brać pod uwagę czynności określone w instrukcji.
IV. Opis wykonywania czynności
Wybrane kopie wykonywane są po zakończeniu pracy wszystkich użytkowników w sieci komputerowej.
Wykonywanie kopii zapasowych w poszczególnych programach różni się w zależności
od aplikacji i sposobu przechowywania danych w poszczególnych aplikacjach.
W zależności od sposobu przechowywania danych wykonuje się kopie awaryjne.
W przypadku gdy program jest zainstalowany sieciowo wtedy jest kopiowana baza danych na poszczególne stanowisko ustalone przez Administratora Systemu.
Gdy program jest zainstalowany lokalnie wtedy Administrator Systemu w wyznaczonych odstępach czasowych wykonuje kopię bezpieczeństwa. Sposób zapisu zbiorów danych został opisany poniżej w zależności od wydziałów znajdujących się w Starostwie Powiatowym w Kluczborku oraz częstotliwość wykonywania kopii.
Samodzielne Stanowisko ds. Ochrony Zabytków
Znajduje się program Gminna Ewidencja Zabytków – w przypadku tego programu częstotliwość zapisywania kopii jest wykonywana raz na pół roku przez Administratora Systemu. Kopiowana jest zawartość tego programu do komputera w pomieszczeniu Administratora Systemu. Raz w roku zawartość kopii zapasowej jest zapisywana na nośniku CD/DVD przechowywanym w pomieszczeniu Administratora Systemu w zamykanej szafie.
Wydział Edukacji i Sportu
Program System Informacji Oświatowej – program działa lokalnie na komputerze, kopia jest wykonywana raz na rok. Również zawartość jest wgrywana na komputer Administratora Systemu.
Program Sigma Optimum – również baza danych jest nagrywana na komputer
u Administratora Systemu raz na dwa tygodnie. Ostatnią bazę w miesiącu zostawia się z każdego miesiąca, a następnie z całego roku zostaje zapisana na nośniku DVD przechowywanym w pomieszczeniu Administratora Systemu zamkniętym w szafie.
Wydział Rolnictwa, Ochrony Środowiska i Leśnictwa
Program o nazwie F7 – baza zostaje zapisana raz w tygodniu. Schemat zapisu jest podobny jak w poprzednich aplikacjach czyli bazę z ostatniego tygodnia miesiąca pozostawia się oraz pod koniec roku kalendarzowego zostaje zapisany na nośniku DVD przechowywanym w pomieszczeniu Administratora Systemu w zamykanej szafie.
Wydział Budownictwa
Program Estima Architekt pracuje na serwerze, udostępniony jest stacjom roboczym w Wydziale Budownictwa, zbiór zostaje zapisywany raz dziennie w godzinach nocnych. Następnie raz w miesiącu kopia zawartości Backup zapisywana jest na komputer u Administratora Systemu, a także jest zapisywana na nośnik DVD raz w miesiącu.
Wydział Finansowy
SIGID FK – archiwizacja wykonywana jest raz dziennie na koniec dnia pracy zawartość jest grupowana w katalogach o danej dacie w danym dniu. Przechowywana jest na dwóch komputerach u Administratora Systemu. Zawartość całego roku kalendarzowego jest nagrywana na nośniku DVD raz w roku przechowywanym w pomieszczeniu Administratora Systemu w zamykanej szafie.
SIGID FK Organ – schemat jest taki sam jak wyżej.
SIGID Wieczyste Użytkowanie – schemat jest taki sam jak wyżej.
Program płacowy QWARK – kopia jest wykonywana lokalnie na stanowisku lokalnym, zawartość jest kopiowana na komputer Administratora Systemu. Częstotliwość wykonywania kopii jest określona raz w miesiącu.
Program Płatnik – kopiowany jest zbiór bazy danych z katalogu sieciowego na komputer Administratora Systemu raz w miesiącu.
Program do sprawozdań Bestia – zawartość bazy jest kopiowana na lokalnym komputerze oraz na komputer Administratora Systemu, częstotliwość wykonywania kopii jest ustalona raz w miesiącu.
Program Budżet JST PLUS/JB zawartość bazy znajduję się w katalogu sieciowym na serwerze. Częstotliwość zapisywania kopii zapasowej jest określona raz na dwa tygodnie ostatnia wersja z danego miesiąca jest przechowywana na komputerze Administratora Systemu i również zapisywana na nośnik DVD przechowywany w pomieszczeniu Administratora Systemu w zamykanej szafie.
Samodzielne Stanowisko ds. Kadr
Na tym stanowisku jest wykorzystywany program E-PFRON. Zawartość danych znajduje się na serwerze, kopia jest wykonywana raz na pół roku przez Administratora Systemu na zapasowy komputer znajdujący się u Administratora Systemu. Raz na rok zawartość jest zapisywana również na nośnik DVD przechowywany w pomieszczeniu Administratora Systemu w zamykanej szafie.
Wydział Geodezji, Kartografii, Katastru i Gospodarki Nieruchomościami
W wydziale kopie są gromadzone na serwerze oprócz tego są kopiowane w ustalone miejsca na poszczególnych stanowiskach. Kopiowanie jest wykonywane przez odpowiednio ustawiony skrypt komputerowy.
Program EGB2000 – baza danych w tej aplikacji jest zapisywana na serwerze codziennie następnie baza jest kopiowana na stanowisko komputerowe w Ośrodku Dokumentacji Geodezyjnej. Kolejna kopia tego zbioru jest wgrywana na stanowisko Dyżur w Ewidencji Geodezyjnej, trzecia kopia jest sporządzana na stanowisku u Naczelnika Wydziału oraz na stanowisku u Administratora Systemu.
Program Ośrodek5 – kopia jest wykonywana na stanowisku kierownika Ośrodka Dokumentacji Geodezyjnej, a następnie kopiowany na stanowisko u Administratora Systemu. Częstotliwość zapisywania bazy jest ustawiona raz na dzień kopia jest tworzona automatycznie po zakończeniu pracy Starostwa Powiatowego.
Wydział Komunikacji i Transportu
Program Licencje i zezwolenia – w tym programie częstotliwość wykonywania kopii jest ustalona raz na dwa tygodnie. Ostatnią kopię miesiąca jest kopiowana na komputer u Administratora Systemu. Raz w roku jest tworzona płyta DVD z całego roku kalendarzowego przez Administratora Systemu i przechowywana w specjalnym miejscu.
Kopia bezpieczeństwa wykonywana jest na płytach CD/DVD lub innym nośniku danych.
W przypadku wykonywania zabezpieczeń długoterminowych na taśmach magnetycznych lub płytach CD/DVD, nośniki te należy dwa razy w roku sprawdzać pod kątem ich dalszej przydatności
Stwierdzenie utraty przez kopie awaryjne waloru przydatności do dalszego użytkowania upoważnia Administratora Systemu do ich zniszczenia
Zawartość folderów dla użytkowników jest archiwizowana raz na rok przez Administratora Systemu na dysk twardy i przechowywana w zamykanej szafie.
Załącznik Nr 5
do Zarządzenia Nr 6/2010
Starosty Kluczborskiego
z dnia 22 lutego 2010r.
INSTRUKCJA POSTĘPOWANIA NA WYPADEK AWARII SYSTEMU INFORMATYCZNEGO W STAROSTWIE POWIATOWYM W KLUCZBORKU
III. Cel instrukcji
Instrukcja określa sposób postępowania w razie awarii systemu w Starostwie Powiatowym w Kluczborku.
II. Definicje
§1. Ilekroć w instrukcji jest mowa o:
19) polityce bezpieczeństwa – rozumie się przez to politykę bezpieczeństwa w Starostwie Powiatowym w Kluczborku,
20) instrukcji – rozumie się przez to instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
21) administratorze danych – należy przez to rozumieć Starostę Kluczborskiego,
22) administratorze bezpieczeństwa informacji – reprezentowanym przez Sekretarza Powiatu,
23) administratorze systemu – rozumie się przez to Informatyka,
24) sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych Starostwa Powiatowego w Kluczborku wyłącznie do własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,
25) sieci rozległej – należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 16 lipca 2004r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 z późn. zm.)
26) systemie informatycznym– rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny
i system ten tworzy sieć teleinformatyczną administratora danych,
27) serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się
sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego
III Postępowanie w przypadku awarii
§2. W razie wystąpienia awarii systemu informatycznego administrator systemu ustala przyczynę jaka doprowadziła do awarii. Próbuje ustalić przyczynę czy spowodowane jest
to oprogramowaniem lub przyczyną typowo sprzętową.
§3. Administrator Systemu informuje Administratora Bezpieczeństwa Informacji o zaistniałej sytuacji.
§4. Administrator Systemu w razie potrzeby przełącza system na drugi serwer bądź komputer w celu umożliwienia dalszej pracy w Starostwie Powiatowym w Kluczborku pod warunkiem, że aplikacja daje możliwość przełączenia na inny serwer bądź komputer.
§5. Wgranie przez Administratora Systemu baz danych z odpowiednich aplikacji w celu poprawnego uruchomienia aplikacji działających w Starostwie Powiatowym.
IV. Postępowanie w przypadku wykrycia usterki związanej z awarią
§6. Po wykryciu usterki Administrator Systemu próbuje w jak najszybszy sposób przywrócić prawidłowe działanie systemu informatycznego.
§7. Jeżeli wiąże się to z zakupem części składa zamówienie na poszczególną cześć.
§8. W pozostałych przypadkach gdy usterka nie jest możliwa do zlokalizowania oraz naprawienia wzywa serwisanta w celu wyeliminowania problemu.
V. Stwierdzenie naruszenia ochronny danych osobowych
§9. Administrator Systemu odwołuje się do istniejącej dokumentacji i działa zgodnie
z zasadami przyjętymi w polityce bezpieczeństwa oraz w instrukcji bezpieczeństwa.