herb BIP - Urząd Gminy w Starym Czarnowie

www.stareczarnowo.pl

ZARZĄDZENIE NR I/12/06 Wójta Gminy Stare Czarnowo z dnia 08 marca 2006 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

ZARZĄDZENIE NR I/12/06
Wójta Gminy Stare Czarnowo
z dnia 08 marca 2006 r.


w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych orawz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)  zarządzam, co następuje:

§ 1. Ustala się:

  1. Politykę bezpieczeństwa przetwarzania danych osobowych systemu informatycznego Urzędu Gminy Stare Czarnowo - stanowiącą załącznik nr 1,
  2. Instrukcję zarządzania systemem informatycznym Urzędu Gminy Stare Czarnowo – stanowiącą załącznik nr 2,

§ 2. Wykonanie Zarządzenia powierza się Skarbnikowi Gminy oraz kierownikom jednostek organizacyjnych Urzędu Gminy.

§ 3. Traci moc zarządzenie Nr 3/2000 Wójta Gminy Stare Czarnowo z dnia 05 maja 2000 r. w sprawie instrukcji dotyczącej sposobu zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz postępowania w sytuacji naruszenia danych osobowych.

§ 4. Zarządzenie wchodzi w życie z dniem podjęcia.

 

Wójt Gminy Stare Czarnowo

mgr Marek Woś

 

 

Załącznik nr 1
do Zarządzenia nr I/12/06
Wójta Gminy Stare Czarnowo
z dnia 08 marca 2006 r.

POLITYKA BEZPIECZEŃSTWA
PRZETWARZANIA DANYCH OSOBOWYCH
SYSTEMU INFORMATYCZNEGO
URZĘDU GMINY W STARYM CZARNOWIE 


Podstawa prawna:

  • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
  • ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101, poz. 926 z późn. zm.)

 
I. Definicje

Ilekroć w niniejszym dokumencie jest mowa o:

  1. Urzędzie – należy przez to rozumieć Urząd Gminy w Starym Czarnowie.
  2. Administratorze Danych – należy przez to rozumieć Wójta Gminy Stare Czarnowo.
  3. Administratorze Bezpieczeństwa Informacji – należy przez to rozumieć pracownika Urzędu lub inną osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony określonych w niniejszym dokumencie oraz wymagań w zakresie ochrony wynikających z powszechnie obowiązujących przepisów o ochronie danych osobowych,
  4. Administratorze Systemu Informatycznego – należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony,
  5. użytkowniku systemu – należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym Urzędu. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w Urzędzie lub wolontariusz,
  6. sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych Urzędu wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,
  7. sieci rozległej – należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.)

II. Wyznaczenie Administratora Bezpieczeństwa Informacji.

Administrator Danych powierza obowiązki Administratora Bezpieczeństwa Informacji osobie wymienionej w Załączniku Nr 1.

III.  Obszar przetwarzania danych osobowych

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wyznacza Administrator Bezpieczeństwa Informacji według wzoru określonego w Załączniku Nr 2 do niniejszego opracowania.

IV.  Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym

  1. W skład systemu wchodzą:
    • dokumentacja papierowa (korespondencja, wnioski, deklaracje, itd.)
    • urządzenia i oprogramowanie komputerowe służące do przetwarzania informacji oraz procedury przetwarzania danych w tym systemie, w tym procedury awaryjne.
    • wydruki komputerowe
  2. Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym prowadzi Administrator Bezpieczeństwa Informacji.

V.   Struktury zbiorów danych osobowych oraz sposób przepływu danych.

Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami stanowi Załącznik Nr 3 do niniejszego dokumentu.

VI.   Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  1. Środki ochrony fizycznej
    1. Budynek Urzędu, w którym zlokalizowany jest obszar przetwarzania danych osobowych jest nadzorowany przez straż miejską całą dobę (zamykany po zakończeniu pracy).
    2. Wszystkie pomieszczenia Urzędu posiadają alarm przeciwpożarowy.
    3. Urządzenia służące do przetwarzania danych osobowych znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi.
    4. W pomieszczeniu serwerów zainstalowano żaluzje antywłamaniowe, oraz klimatyzację.
    5. Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania danych osobowych dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych lub w obecności kierownika działu.
    6. Pomieszczenia, o których mowa wyżej, powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich osób trzecich.
    7. W przypadku przebywania osób postronnych w pomieszczeniach, o których mowa wyżej, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, aby uniemożliwić tym osobom wgląd w dane.
    8. Do przebywania w pomieszczeniu serwera (pokój nr ...........) uprawnieni są: administrator bezpieczeństwa informacji, osoby odpowiedzialne za obsługę informatyczną Urzędu oraz kierownik urzędu.
    9. Przebywanie w pomieszczeniu serwera osób nieuprawnionych (konserwator, elektryk, sprzątaczka) dopuszczalne jest tylko w obecności jednej z osób upoważnionych, o których mowa w pkt. 8, a w przypadku ich nieobecności - w obecności osoby pisemnie upoważnionej przez kierownika urzędu.
  2. Środki sprzętowe, informatyczne i telekomunikacyjne
    1. Każdy dokument papierowy przeznaczony do wyrzucenia powinien być uprzednio zniszczony w sposób uniemożliwiający jego odczytanie (np. przy pomocy niszczarki dokumentów)
    2. Urządzenia wchodzące w skład systemu informatycznego podłączone są do odrębnego obwodu elektrycznego, zabezpieczonego na wypadek zaniku napięcia albo awarii w sieci zasilającej centralnym UPS-em.
    3. Siec lokalna podłączona do Internetu za pomocą odrębnego komputera spełniającego funkcje Proxy Server’a oraz Firewall’a (zapory ogniowej).
    4. Zastosowano oprogramowanie do tworzenia kopii zapasowych.
    5. Na wszystkich serwerach oraz stacjach roboczych zainstalowano oprogramowanie antywirusowe. Poczta elektroniczna wpływająca do Urzędu skanowana jest programem antywirusowym przed przesłaniem jej do użytkownika.
    6. Kopie awaryjne wykonywane są na nośnikach taśmowych i płytach CD-R
  3. Środki ochrony w ramach oprogramowania systemu
    1. Dostęp fizyczny do baz danych osobowych zastrzeżony jest wyłącznie dla osób zajmujących się obsługą informatyczną Urzędu
    2. Konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych jedynie za pośrednictwem aplikacji
    3. System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów informatycznych systemu
    4. W sieciowym systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do sieci
  4. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych
    1. Zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji
    2. Dla każdego użytkownika systemu jest ustalony odrębny identyfikator
    3. Zdefiniowano użytkowników i ich prawa dostępu do danych osobowych na poziomie aplikacji (unikalny identyfikator i hasło)
  5. Środki ochrony w ramach systemu użytkowego
    1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika
    2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest hasłem uruchomieniowym
  6. Środki organizacyjne
    1. Wyznaczono administratora bezpieczeństwa informacji, który przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upoważnienia kierownika urzędu określającego zakres uprawnień pracownika.
    2. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich do pracy z tymi danymi szkolone w zakresie obwiązujących przepisów o ochronie danych osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych w systemie informatycznym.
    3. Prowadzona jest ewidencja osób upoważnionych do przetwarzaniu danych osobowych
    4. Wprowadzono instrukcję zarządzania systemem informatycznym
    5. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych
    6. Wprowadzono obowiązek rejestracji wszystkich przypadków awarii systemu, działań konserwacyjnych w systemie oraz naprawy systemu.
    7. Określono sposób postępowania z nośnikami informacji.

VIII.   Znajomość polityki bezpieczeństwa systemu informatycznego

Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani są wszyscy pracownicy Urzędu upoważnieni do przetwarzania danych w systemie informatycznym.

 

Załącznik nr 2
do Zarządzenia nr I/12/06
Wójta Gminy Stare Czarnowo
z dnia 08 marca 2006 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
URZĘDU GMINY W STARYM CZARNOWIE

Podstawa prawna:

  • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
  • ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101, poz. 926 z późn. zm.)

I. Definicje

Ilekroć w niniejszym dokumencie jest mowa o:

  1. Urzędzie – należy przez to rozumieć Urząd Gminy w Starym Czarnowie,
  2. Administratorze Danych – należy przez to rozumieć Wójta Gminy Stare Czarnowo
  3. Administratorze Bezpieczeństwa Informacji – należy przez to rozumieć pracownika Urzędu lub inną osobę wyznaczoną do nadzorowania przestrzegania zasad ochrony danych osobowych ustanowionego zgodnie z Polityką bezpieczeństwa przetwarzania danych osobowych Urzędu
  4. Administratorze Systemu Informatycznego – należy przez to rozumieć osobę odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych i organizacyjnych środków ochrony,
  5. użytkowniku systemu – należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym Urzędu. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w Urzędzie lub wolontariusz,
  6. sieci lokalnej – należy przez to rozumieć połączenie systemów informatycznych Urzędu wyłącznie dla własnych jej potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,
  7. sieci rozległej – należy przez to rozumieć sieć publiczną w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.)

II  Procedury nadawania i zmiany uprawnień do przetwarzania danych

  1. Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych osobowych musi zapoznać się z:
    • Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926 z późn. zm.),
    • Polityką bezpieczeństwa przetwarzania danych osobowych systemu informatycznego,
    • niniejszym dokumentem.
  2. Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi Załącznik Nr 2.
  3. Administrator bezpieczeństwa informacji przyznaje uprawnienia w zakresie dostępu do systemu informatycznego na podstawie pisemnego upoważnienia (wniosku) administratora danych określającego zakres uprawnień pracownika, którego wzór stanowi Załącznik Nr 1 do niniejszego opracowania.
  4. Jedynie prawidłowo wypełniony wniosek o nadanie uprawnień w systemie oraz zmianę tych uprawnień jest podstawą rejestracji uprawnień w systemie.
  5. Przyznanie uprawnień w zakresie dostępu do systemu informatycznego polega na wprowadzeniu do systemu dla każdego użytkownika unikalnego identyfikatora, hasła oraz zakresu dostępnych danych i operacji.
  6. Hasło ustanowione podczas przyznawania uprawnień przez Administratora Bezpieczeństwa Informacji należy zmienić na indywidualne podczas pierwszego logowania się w systemie informatycznym. Ustanowione hasło, administrator przekazuje użytkownikowi ustnie.
  7. Pracownik ma prawo do wykonywania tylko tych czynności, do których został upoważniony.
  8. Pracownik ponosi odpowiedzialność za wszystkie operacje wykonane przy użyciu jego identyfikatora i hasła dostępu.
  9. Wszelkie przekroczenia lub próby przekroczenia przyznanych uprawnień traktowane będą jako naruszenie podstawowych obowiązków pracowniczych.
  10. Pracownik zatrudniony przy przetwarzaniu danych osobowych zobowiązany jest do zachowania ich w tajemnicy. Tajemnica obowiązuje go również po ustaniu zatrudnienia.
  11. W systemie informatycznym stosuje się uwierzytelnianie dwustopniowe: na poziomie dostępu do sieci lokalnej oraz dostępu do aplikacji.
  12. Identyfikator użytkownika w aplikacji (o ile działanie aplikacji na to pozwala), powinien być tożsamy z tym, jaki jest mu przydzielany w sieci lokalnej.
  13. Odebranie uprawnień pracownikowi następuje na pisemny wniosek kierownika, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień.
  14. Kierownicy komórek organizacyjnych zobowiązani są pisemnie informować Administratora Bezpieczeństwa Informacji o każdej zmianie dotyczącej podległych pracowników mającej wpływ na zakres posiadanych uprawnień w systemie informatycznym.
  15. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych należy niezwłocznie wyrejestrować z systemu informatycznego, w którym są one przetwarzane oraz unieważnić jej hasło.
  16. Administrator bezpieczeństwa informacji zobowiązany jest do prowadzenia i ochrony rejestru użytkowników i ich uprawnień w systemie informatycznym.
  17. Rejestr, którego wzór stanowi Załącznik Nr 3, powinien zawierać:
    • imię i nazwisko użytkownika systemów informatycznych,
    • rodzaj uprawnienia,
    • datę nadania uprawnienia,
    • datę odebrania uprawnienia,
    • przyczynę odebrania uprawnienia,
    • podpis administratora bezpieczeństwa informacji.
  18. Rejestr powinien odzwierciedlać aktualny stan systemu w zakresie użytkowników i ich uprawnień oraz umożliwiać przeglądanie historii zmian uprawnień użytkowników.

III. Zasady posługiwania się hasłami.

  1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła.
  2. Hasło użytkownika powinno być zmieniane co najmniej raz w miesiącu.
  3. Identyfikator użytkownika nie powinien być zmieniany bez wyraźnej przyczyny, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie.
  4. Pracownicy są odpowiedzialni za zachowanie poufności swoich haseł.
  5. Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności.
  6. Pracownik nie ma prawa do udostępniania haseł danej grupy osobom spoza tej grupy, dla której zostały one utworzone.
  7. Hasło należy wprowadzać w sposób, który uniemożliwia innym osobom jego poznanie.
  8. W sytuacji, kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony, pracownik zobowiązany jest do natychmiastowej zmiany hasła.
  9. Przy wyborze hasła obowiązują następujące zasady:
    1. minimalna długość hasła - 6 znaków,
    2. zakazuje się stosować:
      • haseł, które użytkownik stosował uprzednio w okresie minionego roku,
      • swojej nazwy użytkownika w jakiejkolwiek formie (pisanej dużymi literami, w odwrotnym porządku, dublując każdą literę, itp.),
      • ogólnie dostępnych informacji o użytkowniku takich jak: numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy na której mieszka lub pracuje, itp.
      • wyrazów słownikowych,
      • przewidywalnych sekwencji znaków z klawiatury np.: QWERTY”, ”12345678”,itp.
    3. należy stosować:
      • hasła zawierające kombinacje liter i cyfr,
      • hasła zawierające znaki specjalne: znaki interpunkcyjne, nawiasy, symbole @, #, &, itp. o ile system informatyczny na to pozwala
      • hasła, które można zapamiętać bez zapisywania,
      • hasła łatwe i szybkie do wprowadzenia, po to by trudniej było podejrzeć je osobom trzecim,
  10. Zmiany hasła nie wolno zlecać innym osobom.
  11. W systemach, które umożliwiają opcję zapamiętania nazw użytkownika lub jego hasła nie należy korzystać z tego ułatwienia.
  12. Hasło użytkownika o prawach administratora powinno znajdować się w zalakowanej kopercie w zamykanej na klucz szafie metalowej, do której dostęp mają:
    1. Administrator Bezpieczeństwa Informacji
    2. Kierownik Urzędu lub osoba przez niego wyznaczona

IV. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie

  1. Przed rozpoczęciem pracy w systemie komputerowym należy zameldować się do systemu przy użyciu indywidualnego identyfikatora oraz hasła.
  2. Przy opuszczeniu stanowiska pracy na odległość uniemożliwiającą jego obserwację należy wykonać opcję wymeldowania z systemu (zablokowania dostępu), lub jeżeli taka możliwość nie istnieje wyjść z programu.
  3. Osoba udostępniająca stanowisko komputerowe innemu upoważnionemu pracownikowi zobowiązana jest wykonać funkcję wymeldowania z systemu.
  4. Przed wyłączeniem komputera należy bezwzględnie zakończyć pracę uruchomionych programów, wykonać zamknięcie systemu i jeżeli jest to konieczne wymeldować się z sieci komputerowej (polecenie: logout).
  5. Niedopuszczalne jest wyłączanie komputera przed zamknięciem oprogramowania oraz zakończeniem pracy w sieci.

V. Procedury tworzenia zabezpieczeń

  1. Za systematyczne przygotowanie kopii bezpieczeństwa odpowiada Administrator Bezpieczeństwa Informacji, a w przypadku jego nieobecności Administrator Systemu Informatycznego.
  2. Kopie bezpieczeństwa wykonywane są raz na miesiąc po zakończeniu pracy wszystkich użytkowników w sieci komputerowej.
  3. Zabezpieczenie wszystkich programów i danych wykonywane jest w pierwszym tygodniu po 15 dniu każdego miesiąca w postaci zapisu na płycie CD-R,
  4. Płyty CD-R przechowuje się w sejfie (zainstalowanym w sekretariacie Urzędu)
  5. W przypadku wykonywania zabezpieczeń długoterminowych lub dyskietkach lub płytach CD-R, nośniki te należy co kwartał sprawdzać pod kątem ich dalszej przydatności.

VI. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz wydruków

  1. Elektroniczne nośniki informacji
    1. Dane osobowe w postaci elektronicznej - za wyjątkiem kopii bezpieczeństwa - zapisane na dyskietkach, dyskach magnetooptycznych czy dyskach twardych nie są wynoszone poza siedzibę Urzędu.
    2. Wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa przetwarzania danych osobowych Urzędu.
    3. Po zakończeniu pracy przez użytkowników systemu, wymienne elektroniczne nośniki informacji są przechowywane w zamykanych szafach biurowych lub kasetkach.
    4. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
    5. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymywania danych osobowych pozbawia się wcześniej zapisu tych danych.
    6. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upoważnionej.
  2. Kopie zapasowe
    1. Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi programowych zastosowanych do przetwarzania danych są przechowywane w sejfie w sekretariacie Urzędu.
    2. Dostęp do ww. sejfu mają tylko upoważnieni pracownicy.
  3. Wydruki
    1. W przypadku konieczności przechowywania wydruków zawierających dane osobowe należy je przechowywać w miejscu uniemożliwiającym bezpośredni dostęp osobom niepowołanym
    2. Pomieszczenie, w którym przechowywane są wydruki robocze musi być należycie zabezpieczone po godzinach pracy.
    3. Wydruki, które zawierają dane osobowe i są przeznaczone do usunięcia, należy zniszczyć w stopniu uniemożliwiającym ich odczytanie.

VII.   Środki ochrony systemu przed złośliwym oprogramowaniem, w tym wirusami komputerowymi

  1. Na każdym stanowisku komputerowym oraz serwerze musi być zainstalowane oprogramowanie antywirusowe pracujące w trybie monitora.
  2. Każdy e-mail wpływający do Urzędu musi być sprawdzony pod kątem występowania wirusów przez bramę antywirusową.
  3. Definicje wzorców wirusów aktualizowane są nie rzadziej niż raz w miesiącu.
  4. Zabrania się używania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć.
  5. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik.
  6. Zabrania się odczytywania załączników poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje pracownik, który pocztę otrzymał.
  7. Administrator Systemu Informatycznego przeprowadza cykliczne kontrole antywirusowe na wszystkich komputerach - minimum co trzy miesiące.
  8. Kontrola antywirusowa przeprowadzana jest również na wybranym komputerze w przypadku zgłoszenia nieprawidłowości w funkcjonowaniu sprzętu komputerowego lub oprogramowania.
  9. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wirusa wykryto oraz wszystkie posiadane przez użytkownika dyskietki.

VIII. Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych.

  1. Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom upoważnionym.
  2. Udostępnienie danych osobowych, w jakiejkolwiek postaci, jednostkom nieuprawnionym wymaga pisemnego upoważnienia Administratora Danych.
  3. Udostępnienie danych osobowych nie może być realizowane drogą telefoniczną.
  4. Udostępnienie danych osobowych może nastąpić wyłącznie po przedstawieniu wniosku, którego wzór stanowi Załącznik Nr 4 do niniejszej instrukcji.
  5. Kierownicy komórek organizacyjnych prowadzą rejestry udostępnionych danych osobowych zawierające co najmniej: datę udostępnienia, podstawę, zakres udostępnionych informacji oraz osobę lub instytucję dla której dane udostępniono.
  6. Aplikacje wykorzystywane do obsługi baz danych osobowych powinny zapewniać odnotowanie informacji o udzielonych odbiorcom danych. Zakres informacji powinien obejmować co najmniej: dane odbiorcy, datę wydania, zakres udostępnionych danych.

IX. Sposób postępowania w sytuacji naruszenia ochrony danych osobowych

Sposób postępowania w sytuacji stwierdzenia naruszenia ochrony danych osobowych określa Załącznik Nr 5 do niniejszej instrukcji.

IX. Procedury wykonywania przeglądów i konserwacji systemu

  1. Przeglądy i konserwacja urządzeń
    1. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego powinny być wykonywane w terminach określonym przez producenta sprzętu.
    2. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości należy zawiadomić Administratora Bezpieczeństwa Informacji.
  2. Przegląd programów i narzędzi programowych
    1. Konserwacja baz danych przeprowadzana jest zgodnie z zaleceniami twórców poszczególnych programów.
    2. Administrator bezpieczeństwa informacji zobowiązany jest uaktywnić mechanizm zliczania nieudanych prób zameldowania się do systemu oraz ustawić blokadę konta użytkownika po wykryciu trzech nieudanych prób, we wszystkich systemach posiadających taką funkcję.
    3. Wszystkie logi opisujące pracę systemu, zameldowania i wymeldowania użytkowników oraz rejestr z systemu śledzenia wykonywanych operacji w programie należy przed usunięciem zapisać na płytę CD-R.
  3. Rejestracja działań konserwacyjnych, awarii oraz napraw.
    1. Administrator Bezpieczeństwa Informacji prowadzi „Dziennik systemu informatycznego Urzędu Miejskiego”. Wzór i zakres informacji rejestrowanych w dzienniku określony jest w Załączniku Nr 6.
    2. Wpisów do dziennika może dokonywać Administrator Danych, Administrator Bezpieczeństwa Informacji lub osoby przez nich wyznaczone.

X. Połączenie do sieci Internet

  1. Połączenie lokalnej sieci komputerowej Urzędu z Internetem jest dopuszczalne wyłącznie po zainstalowaniu mechanizmów ochronnych (firewall + proxy) oraz kompleksowego oprogramowania antywirusowego.

Metadane - wyciąg z rejestru zmian

Akcja Osoba Data
Dodanie dokumentu: redaktor 22-05-2006 12:05
Osoba, która wytworzyła informację lub odpowiada za treść informacji: 22-05-2006
Ostatnia aktualizacja: Administrator Serwisu 22-05-2006 13:04