Embed Size (px)
Citation preview
Załącznik nr 1 do zarządzenia dyrektora
Szkoły Podstawowej w Glinkach z dnia21 października 2013
Procedura w zakresie ochrony danych osobowych
i systemu informatycznego służącego do przetwarzania
danych osobowych w Szkole Podstawowej w
Glinkach
Glinki 2013r
I. POLITYKA BEZPIECZEŃSTWA
Pojęcia podstawowe
1. Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz rozporządzeniu Ministra Spraw Wewnętrznych I Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz. U. z 2004 r. Nr 100, poz. 1024. Opracowany dokument jest zgodny z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osób oraz ochrony prywatności w sektorze komunikacji elektronicznej.2.Niniejsza Procedura określa tryb i zasady ochrony danych osobowych przetwarzanych w Szkole Podstawowej w Glinkach, zwanym dalej Jednostką.3. Ilekroć w regulaminie jest mowa o :a) Jednostce – rozumie się przez Szkołę Podstawową w Glinkach
b) zbiorze danych osobowych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
c) danych osobowych - rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
d) przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
e) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
f) systemie tradycyjnym - rozumie się przez to zespół procedur organizacyjnych,związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;g) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
h) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
i) administratorze danych osobowych - w świetle art. 3 i 7 pkt 4 ustawy o ochronie danych osobowych rozumie się przez to Dyrektora Jednostki, który decyduje o celach i środkach przetwarzania danych osobowych;
j) administratorze bezpieczeństwa informacji- rozumie się przez to osobę wyznaczoną przez Dyrektora Szkoły podstawowej w Glinkach nadzorującą przestrzeganie zasad ochrony danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
k) administratorze systemu informatycznego - rozumie się przez to osobę zatrudnioną przez Dyrektora Szkoły podstawowej w Glinkach , upoważnioną do realizacji zadań związanych z zarządzaniem systemem informatycznym;
l) użytkowniku systemu informatycznego - rozumie się przez to upoważnionego przez Dyrektora SP Glinki , wyznaczonego do przetwarzania danych osobowych w systemie informatycznym pracownika, który odbył stosowne szkolenie w zakresie ochrony tych danych;
m) zgodzie osoby, której te dane dotyczą - rozumie się przez to
oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie - zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Cele
Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym dostępem do:
a) systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem;
b) informacji zgromadzonych, przetwarzanych w formie tradycyjnej.Niniejsze opracowanie określa politykę bezpieczeństwa w zakresie przetwarzania danych osobowych przez pracowników SP Glinki a w szczególności pracowników administracji oraz administratorów systemów informatycznych.
Dane osobowe w SP Glinkach są gromadzone, przechowywane, edytowane, archiwizowane w dokumentach papierowych, jak również w systemach informatycznych na elektronicznych nośnikach informacji.Powyższy dokument wprowadza regulacje w zakresie zasad organizacji procesu przetwarzania i odnosi się swoją treścią do informacjia) w formie papierowej - przetwarzanej w ramach SYSTEMU TRADYCYJNEGO ;b) w formie elektronicznej - przetwarzanej w ramach SYSTEMU INFORMATYCZNEGO;
Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawują:
a) Dyrektorc) Główna Księgowa
Z zapisanymi w polityce bezpieczeństwa obowiązkowo są zapoznawani wszyscy użytkownicy systemów informatycznych i tradycyjnych.Do informacji przechowywanych w systemach informatycznych jak i dokumentów tradycyjnych mają dostęp jedynie upoważnieni pracownicy SP Glinki oraz osoby mające imienne zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania tych danych w tajemnicy.Dane osobowe są chronione zgodnie z polskim prawem oraz
procedurami obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności przetwarzanych danych. Systemy informatyczne oraz tradycyjne, które przechowują dane osobowe, są chronione odpowiednimi środkami technicznymi. Opracowane procedury określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania z systemów informatycznych. Każdy użytkownik systemu informatycznego zobowiązany jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom. Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się po zakończeniu korzystania z usług systemów informatycznych.
II. ADMINISTRACJA I ORGANIZACJA
BEZPIECZEŃSTWA Informacje ogólne
Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania danych osobowych odpowiada administrator danych osobowych. Pracownicy upoważnieni do przetwarzania danych obowiązani są zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą utratą uszkodzeniem lub zniszczeniem. Administrator danych może wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Prowadzi on dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Administrator bezpieczeństwa informacji
Administrator Bezpieczeństwa Informacji wykonuje wszystkie prace niezbędne do efektywnego oraz bezpiecznego zarządzania systemami informatycznymi i tradycyjnymi. Administrator Bezpieczeństwa Informacji jest zobowiązany do zapewnienia, poprzez zastosowanie odpowiednich środków i metod kontroli dostępu, iż wyłącznie autoryzowany personel ma dostęp do systemów informatycznych i tradycyjnych. Ponadto określa warunki oraz sposób przydzielania użytkownikom kont i haseł.
Administrator Bezpieczeństwa Informacji posiada bieżącą listę osób upoważnionych do przetwarzania danych osobowych. Szczegółowy zakres odpowiedzialności i obowiązków Administratora Bezpieczeństwa Informacji jest następujący:a) nadzoruje bezpieczeństwo systemów informatycznych i tradycyjnych;b) nadzoruje przestrzeganie przez wszystkich użytkowników stosowanie obowiązujących procedur;c) weryfikuje listę autoryzowanych użytkowników systemów informatycznych;d) doradza użytkownikom w zakresie bezpieczeństwa;g) prowadzi kontrole w zakresie bezpieczeństwa;h) przygotowuje wnioski pokontrolne dla Administratora.
Administrator systemu informatycznego
Administrator systemu informatycznego wykonuje wszystkie prace niezbędne do efektywnego oraz bezpiecznego zarządzania systemem informatycznym. Jest zobowiązany do zapewnienia, poprzez zastosowanie odpowiednich środków i metod kontroli dostępu, w taki sposób, że wyłącznie autoryzowany personel ma dostęp do systemów informatycznych. Przydziela użytkownikom systemu informatycznego konta i hasła. Ewidencjonuje użytkowników systemu.Szczegółowy zakres odpowiedzialności i obowiązków Administratora Systemu Informatycznego jest następujący:a) odpowiada za bezpieczeństwo systemu informatycznego;b) zobowiązuje i bieżąco kontroluje stosowanie się użytkowników do obowiązujących procedur;c) utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu informatycznego;d) zapewnia aktualizację dokumentacji technicznej systemu w tym opis struktur zbiorów i ich zależności.
Użytkownik systemu
Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy na stanowisku pracy również z wykorzystaniem stacji roboczej. Jest odpowiedzialny przed Administratorem Bezpieczeństwa Informacji za nadzór, i utrzymanie niezbędnych warunków
bezpieczeństwa w szczególności do przestrzegania procedur dostępu do systemu i ochrony danych osobowych.
Poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym
Do grupy danych osobowych przetwarzanych w Jednostce jako pojedyncze informacje, w zestawach lub zbiorach w postaci papierowej ustala się zabezpieczenia na poziomie podstawowym. Do grupy danych osobowych przetwarzanych w systemach informatycznych, ustala się zabezpieczenia na poziomie podstawowym
Procedury dostępu do systemu1. Procedury dostępu do systemów tradycyjnych określa „Dokumentacja kancelaryjna” wraz z obiegiem dokumentów finansowych i instrukcją kancelaryjną2.Procedury dostępu do systemów informatycznych :Każdy pracownik mający dostęp do systemu informatycznego z możliwością przetwarzania danych w tym osobowych musi przejść odpowiednie przeszkolenie oraz posiadać upoważnienie wydane przez dyrektora szkoły
III. OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI
Dane osobowe są gromadzone, przechowywane i przetwarzane w formie tradycyjnej oraz elektronicznych takich jak:Dokumentacjaosobowa:a) Akta osobowe pracownikówb) Dokumentacja kształcenia i wychowania uczniówc) Dane dotyczące rodziców lub opiekunów prawnychd) Protokoły Rady Pedagogicznej i Komisji Przedmiotowyche) Zarządzenia i decyzje dyrektoraf) Dokumentacja finansowo – księgowag) Dokumentacja kadrowah) Dokumentacja wychowawcy klasy i pedagogów szkolnych
i) Dokumenty przesyłane przez dyrektora w systemie podpisu cyfrowegoj) Dane dotyczące osiągnięć dydaktyczno – wychowawczych uczniów SP Glinki.l) Wydruki komputerowem) Dane uczniów w systemie Okręgowej Komisji EgzaminacyjnejDo przetwarzania zbiorów danych osobowych w systemie informatycznymJednostki, stosowane są następujące programy: Programy firmy Vulcan OPTIVUM:d) program finansowo – księgowy f) kadryProgramy biurowe: WORD, EXCEL, POWER POINT, Program “Płatnik”Program SIOZgodnie z postanowieniami art. 40 ustawy o ochronie danych osobowych, z uwagi na gromadzone kategorie zbiorów danych osobowych w Szkole Podstawowej w Glinkach jest zwolniona z obowiązku zgłoszenia i rejestracji tych zbiorów u Generalnego Inspektora Ochrony Danych Osobowych.Sposób przepływu danych pomiędzy poszczególnymi systemami1. Komunikacja tradycyjna:- obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi Jednostki, winien odbywać w sposób zapewniający pełną ochronę przed ujawnieniem zawartych w tych dokumentach danych (infor macji).2. Komunikacja w sieci komputerowej:Przekazywanie informacji (danych) w systemie informatycznym poza siećlokalną Jednostki odbywa się w relacji:SP Glinki – Urząd Miejski w Karczewie - Zakład Ubezpieczeń Społecznych - Urząd Skarbowy- Bank Spółdzielczy w Karczewie - Narodowy Fundusz Ochrony Zdrowia- Okręgowa Komisja Egzaminacyjna – Kuratorium Oświaty w Warszawie – MEN – Główny Urząd Statystyczny
IV.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCHDostęp do danych wprowadzonych przez użytkowników systemów informatycznych mają jedynie upoważnieni pracownicy oraz administratorzy
systemu zapewniający jego prawidłową eksploatację. Wszyscy pracownicy, będący użytkownikami systemu zobowiązani są do zachowania tych danych w tajemnicy.a) Ochronie podlegają dane osobowe gromadzone i przetwarzane w dokumentacji tradycyjnej oraz w urządzeniach i systemie informatycznym SP Glinkachb) Pomieszczenia, w których przetwarza się dane osobowe powinny być fizycznie zabezpieczone przed dostępem osób nieuprawnionych, to znaczyposiadać odpowiednie zamki do drzwi, zabezpieczenia w oknach oraz być wyposażone w środki ochrony ppoż.c) Dokumenty i nośniki informacji, zawierające dane osobowe powinny być zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych. Jeśli nie są aktualnie używane powinny być przechowywane w szafach lub w innych przeznaczonych do tego celu urządzeniach biurowych, posiadających odpowiednie zabezpieczenia :Zasady zabezpieczania danych:a) zbiory dokumentacji tradycyjnej winny znajdować się w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych;b) Zbiory dokumentacji elektronicznej będącej na dyskach twardych komputerów lub innych nośnikach informacji powinny znajdować się w pomieszczeniach odpowiednio zabezpieczonych a także w szafach z dodatkowym zabezpieczeniem.
Udostępnianie posiadanych w zbiorze danych osobowycha) Do udostępniania posiadanych w zbiorze danych osobowych upoważniony jest administrator danych osobowych lub pracownik posiadający wymagane prawem upoważnienie administratora.b) W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lubpodmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
V. BEZPIECZEŃSTWO PERSONELU Informacje ogólne
Należy mieć świadomość, że każdy, kto ma dostęp do pomieszczenia, w którym zainstalowano sprzęt systemu informatycznego może spowodować jego uszkodzenie lub może mieć dostęp do informacji wyświetlanych na monitorze lub wydruków.Zagrożenia w stosunku do systemu mogą pochodzić również od każdej
innej osoby np. personelu pomocniczego, technicznego, konsultanta itp., posiadającej wystarczające umiejętności i wiedzę, aby uzyskać dostęp do sieci.
Użytkownicy systemuWszyscy użytkownicy systemu muszą stosować się do obowiązujących procedur bezpieczeństwa.Hasło podlega szczególnej ochronie. Użytkownik ma obowiązek tworzenia haseł o długości min. 8 znaków, nie trywialnych, tzn. nie może używać imion, danych identyfikujących użytkownika oraz jego najbliższych, numerów rejestracyjnych, marek lub typów swoich samochodów itp., oraz nie może tworzyć haseł przez kombinację tych nazw lub ich zmianę uporządkowania np. od tyłu. Jest wprowadzony wymóg zabraniający dokonywana zapisów haseł przez użytkowników. W przypadku, gdy użytkownik zapomni swoje hasło, może on uzyskać nowe hasło od Administratora Systemu zgodnie z obowiązująca procedurą
VI. BEZPIECZEŃSTWO FIZYCZNE
Informacje ogólneInformacja przetwarzana i przechowywana w systemie musi być zabezpieczona w szczególny sposób. Środki bezpieczeństwa fizycznego są konieczne dla zapobiegania niepowołanemu dostępowi do informacji, nieautoryzowanym operacjom w systemie, kontroli dostępu do zasobów oraz w celu zabezpieczenia sprzętu teleinformatycznego.
Ochrona serwera, stacji roboczych i nośnikówPomieszczenia, w których znajdują się stanowiska komputerowe są:a) zamknięte, jeśli nikt w nich nie przebywa;b) zamykane szafy
Zasady kont roli sprzętuInstalacja urządzeń systemu i sieci teleinformatycznej odbywa się za wiedzą i pod kontrolą Dyrektora lub Administratora bezpieczeństwa informacji, który jest również odpowiedzialny za warunki wprowadzania do użycia, przechowywania, eksploatacji oraz wycofywania z użycia każdego urządzenia.
VII. BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA
Informacje ogólneSprzęt i oprogramowanie, indywidualnie lub łącznie mają ścisły związek z bezpieczeństwem systemu i sieci teleinformatycznej. Dlatego, powinny być ściśle przestrzegane procedury bezpieczeństwa odnoszące się do tych
elementów.
Bezpieczeństwo sprzętowe
Sieć teleinformatyczna jest organizacyjnym i technicznym połączeniem systemów teleinformatycznych wraz z łączącymi je urządzeniami i liniami telekomunikacyjnymi. Niedopuszczalne jest samowolne przemieszczanie lub zmiana konfiguracji stacji roboczej bez wiedzy dyrektora lub Administratora bezpieczeństwa Informacji.
Bezpieczeństwo oprogramowania
Nie zezwala się na korzystanie z jakiegokolwiek nowego oprogramowania bez zgody Administratora Systemu. Dodatkowe oprogramowanie może być instalowane wyłącznie po uzyskaniu zezwolenia Administratora Systemu. Kopie oprogramowania operacyjnego, aplikacyjnego i użytkowego przechowuje się w Sekretariacie szkoły oprogramowania prywatnego w sieci jest kategorycznie zabronione. Na stacjach roboczych powinno być zainstalowane jedynie niezbędne oprogramowanie.VIII. KONSERWACJE I NAPRAWY
Konserwacja sprzętuKażde urządzenie użytkowane w systemie informatycznym, powinno podlegać rutynowym czynnościom konserwacyjnym oraz przeglądom wykonywanym przez uprawnione osoby.
Konserwacja oprogramowaniaZa konserwację oprogramowania systemowego oraz aplikacyjnego serwera systemu informatycznego odpowiedzialny jest Administrator Systemu. Konserwacja ww. oprogramowania obejmuje także jego aktualizację.
Naprawa sprzętuAdministrator Systemu przed rozpoczęciem naprawy urządzenia przez zewnętrzne firmy sprawdza, czy spełnione są następujące wymagania:a) w przypadku awarii serwera i konieczności oddania sprzętu do serwisu, nośniki magnetyczne zawierające dane osobowe powinny być wymontowane i do czasu naprawy serwera przechowywane w szafie metalowej znajdującej się w strefie o ograniczonym dostępie;
b) w przypadku uszkodzenia nośnika magnetycznego zawierającego dane osobowe należy komisyjnie dokonać jego zniszczenia.
IX. PLANY AWARYJNE I ZAPOBIEGAWCZE Zasilanie
Serwer systemu oraz poszczególne stacje robocze (opcjonalnie) powinny być zabezpieczone urządzeniami podtrzymującymi zasilanie (UPS), co umożliwi funkcjonowanie systemu w przypadku awarii zasilania.
Kopie zapasoweW celu zabezpieczenia ciągłości pracy, informacja przechowywana i przetwarzana w systemie podlega codziennej, przyrostowej archiwizacji (opcjonalnie) oraz pełnej archiwizacji przeprowadzanej nie rzadziej niż raz na dwa tygodnie. Kopie archiwalne danych są wykonywane na nośnikach magnetooptycznych, i przechowywane są przez AdministratoraSystemu. Użycie kopii zapasowych następuje na polecenie Administratora Systemu w przypadku odtwarzania systemu po awarii.
Polityka antywirusowaW zakresie ochrony antywirusowej wprowadza się następujące zalecenia:a) nie należy używać oprogramowania na stacji roboczej innego niż zaleca administrator systemu;b) nie wolno instalować oprogramowania typu freeware czy shareware;c) regularnie uaktualniać bazę wirusów zainstalowanego oprogramowania antywirusowego;d) przed użyciem nośnika danych sprawdzić czy nie jest zainfekowany wirusemkomputerowym.
X. LISTA ZAŁĄCZNIKÓW
a) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.b) Upoważnienia osób, którym administrator danych pozwolił przetwarzać dane osobowec) Oświadczenia pracowników związanych z przetwarzaniem danych osobowych
Instrukcjazarządzania systemem
informatycznym służącym
do przetwarzania danych osobowych
1. Dane podstawowe:Instrukcja zarządzania w systemie informatycznym, służącym do przetwarzania danych osobowych w SP Glinkach zwaną dalej instrukcją-określa sposób zarządzania oraz zasady administrowania systemem informatycznym służącym do przetwarzania danych osobowych.
2. Niniejsza Instrukcja zarządzania systemem informatycznym określa:1) Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym;2) Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;3) Stosowane metody i środki ochrony danych4) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne za te czynności;5) Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;6) Metoda i częstotliwość tworzenia kopii awaryjnych.7) Metoda i częstotliwość sprawdzania obecności wirusów komputerowych oraz metoda ich usuwania;8) Sposób, miejsce i okres przechowywania :a. elektronicznych nośników informacji zawierających dane osobowe;b. kopii zapasowych;9) Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych;10) Sposób postępowania w zakresie komunikacji w sieci komputerowej;11) Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych.3. Określenie poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym SP Glinkach.
1) Z analizy zagrożeń wynika, że w SP Glinki - miejscami najbardziej zagrożonymi są pomieszczenia budynku, w których znajdują się zbiory danych osobowych gromadzone w dokumentacji tradycyjnej oraz urządzeniach służących do przetwarzania tych danych w formie elektronicznej, do których mogą mieć nieuprawniony dostęp osoby nieupoważnione spoza SP Glinki.2) Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych należy zaliczyć: Przesyłanie danych w systemie SIOPrzesyłanie danych w systemie HERMES Okręgowej Komisji egzaminacyjnej4. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym.
1) Administratorem Danych Osobowych w SP Glinki jest dyrektor szkoły2) Dyrektor szkoły nadaje upoważnienia pracownikom do przetwarzania danych w SP Glinki (załącznik nr 2)3) Administratorem Bezpieczeństwa Informacji jest sekretarz szkoły 4) Administrator bezpieczeństwa informacji prowadzi ewidencję wszystkich pracowników SP Glinki upoważnionych do przetwarzaniu danych osobowych.5) Powyższa ewidencja uwzględnia:
a) Dane personalne pracownika ( imię i nazwisko ) oznaczenie komórki ,b) Nazwę użytkownika programu (aplikacji)c) Data wprowadzenia do rejestru,d) Datę usunięcia z rejestru,e) Ważność upoważnienia
J zmiana informacji wyszczególnionej ewidencji podleganatychmiastowemu odnotowaniu.6) Każdy pracownik, który korzysta ze sprzętu informatycznego podpisuje odpowiednie oświadczenie ( załącznik nr 3)
5. Stosowane metody i środki ochrony danychAdministrator Bezpieczeństwa Informacji zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.1) Środki ochrony, zastosowane przez Administratora Bezpieczeństwa
Informacji dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, obejmują:a) środki fizyczne;b) środki osobowe;c) środki techniczne.2) Środki ochrony fizycznej obejmują:a) Zastosowanie elektronicznego systemu monitoringu w celu kontroli ruchu osób na terenie szkoły;b) nadzorowanie pobytu osób nie będących pracownikami Szkoły w obszarach bezpiecznych, chyba że ich dostęp został wcześniej zaakceptowany;c) lokalizację miejsc przetwarzania danych osobowych w pomieszczeniach o ograniczonym i kontrolowanym dostępie;d) ustalenie zasad pobierania kluczy do pomieszczeń i szaf;e) składowanie zbiorów danych osobowych (w tym nośników wymiennych i nośników kopii zapasowych) w odpowiednio zabezpieczonych pomieszczeniach i szafach.3) Środki ochrony osobowej obejmują:a) dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez Administratora Bezpieczeństwa Informacji;b) zapoznanie tych osób z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do przetwarzania danych;c) odebranie stosownych zobowiązań i oświadczeń; tj.: zobowiązania do zachowania w tajemnicy danych i sposobów ich zabezpieczenia oraz oświadczenia o zapoznaniu z treścią przepisów określających zasady postępowania przy przetwarzaniu danych osobowych, a także z dokumentacją opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę.4) Środki ochrony technicznej obejmują:a) mechanizmy kontroli dostępu do systemów i zasobów;b) zastosowanie odpowiednich i regularnie aktualizowanych informatycznych narzędzi ochronnych;c) regularne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych;5) Zbiory nieinformatyczne powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem i zniszczeniem.a) Dokumenty i wydruki, zawierające dane osobowe, należy przechowywać w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione osoby.b) Na czas nieużytkowania, dokumenty i wydruki zawierające dane
osobowe powinny być zamykane w szafach biurowych lub zamykanych szufladach.c) Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie.
1) Sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne za te czynności;1) Każdy użytkownik upoważniony do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe, winien posiadać własny odrębny identyfikator i hasło dostępu.2) Hasła nadaje dyrektor szkoły lub Administrator Bezpieczeństwa Informacji3) Nadane hasła nie mogą być zapisywane przez użytkowników systemu informatycznego4) Zbiór nadanych haseł użytkownikom posiada w jednym egzemplarzu odpowiednio zabezpieczonym dyrektor szkoły. W przypadku zapomnienia pracownik otrzymuje od dyrektora dane hasło. Może być także nadane nowe hasło dostępu.5) Użytkownicy nie mogą korzystać z innych loginów (nazw użytkownika) niż te, do których są upoważnieni.6) Szczególnej ochronie podlegają hasła administratorów systemu.
6. Zasady rejestrowania i wyrejestrowania użytkowników systemu informatycznego, zakres odpowiedzialności administratora systemuDo obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do zbierania lub przetwarzania danych osobowych, mogą być dopuszczeni wyłącznie pracownicy posiadający aktualne, ważne upoważnienia. Administrator zapoznaje pracowników z przepisami o ochronie danych osobowych oraz wykazem akt i wiadomości stanowiącychtajemnicę służbową (w zakresie ochrony danych osobowych).
a) Rejestracji i wyrejestrowania użytkownika systemu informatycznego dokonuje Administrator Bezpieczeństwa Informacjib) Za zarejestrowanie i wyrejestrowanie użytkownika odpowiedzialny jest dyrektor szkołyc) Rozwiązanie stosunku pracy, bądź zmiana zakresu obowiązków powoduje utratę dostępu do przetwarzania danych i natychmiastowe wyrejestrowanie użytkownika z systemu oraz wykreślenie z ewidencji.7. Procedury rozpoczęcia, kontynuowania i zakończenia pracy z
systemem Informatycznym.1) Użytkownik rozpoczynający pracę zobowiązany jest przestrzegać procedur, które mają na celu sprawdzenie zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego, a w szczególności:a. Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają zamykania aplikacji.b. Przed opuszczeniem stanowiska pracy, użytkownik obowiązany jest zamknąć aplikację i wylogować się z pracy w sieci.c. Pomieszczenia, w których przetwarzane są dane osobowe po zakończeniu pracy zamyka się.
8. Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i urządzeń programowych służących do ich przetwarzania
1) Zasady tworzenia kopii awaryjnych
a) Kopie awaryjne z każdej aplikacji powinny być sporządzane na dyskach magnetycznych, w cyklu miesięcznego przetwarzania.b) Dodatkowo należy sporządzać kopie roczne, bilansowe.Zasady przechowywania nośników informacji ze zbiorami danych (w tym danych osobowych) oraz kopii bezpieczeństwa9. Sposób, miejsce i okres przechowywania :
1) Nośniki elektroniczne przeznaczone do przechowywania danych osobowych powinny się charakteryzować odpowiednią trwałością zapisu, zależną od planowanego okresu przechowywania na nich danych.2) Czas przechowywania kopii zapasowych zbiorów lokalnych ustala się na:a) kopia codzienna (jeżeli wymagana) - 1 tydzień b) kopia tygodniowa (piątkowa – jeżeli wymagana)) - 1 miesiąc c) kopia miesięczna - 1 rokd) kopia roczna (ostatni dzień okresu bilansowego) - 5 late) kopia protokołów Rady Pedagogiczne -bezterminowo3) Kopie roczne lub dłuższe tworzy się także na przenośnym dysku twardym Administratora Bezpieczeństwa Informacji jako dodatkowe zabezpieczenie Miejsca przechowywania kopii bezpieczeństwa muszą podlegać szczególnej ochronie.4) Zasady niszczenia i sposoby dokumentowania procesu niszczenia
nośników informacji zawierających dane osobowea) Jeżeli usunięcie danych osobowych z nośników magnetycznych nie jest możliwe wówczas nośniki zostają uszkodzone w sposób uniemożliwiający ich odczytanie.b) Nośniki papierowe (wydruki) nie przeznaczone do ponownego użytku oraz niearchiwizowane powinny być natychmiast niszczone.
10. Określenie zasad zabezpieczania oraz wykonywania przeglądów i konserwacji systemów służących do przetwarzania danycha) We wszystkich komputerach zainstalowanych w Jednostce mogą być instalowane wyłącznie legalne oprogramowanie posiadające licencję, certyfikat legalności itp.b) Za legalność użytkowanego oprogramowania specjalistycznego odpowiada użytkownik systemu.c) Do usuwania wirusów należy używać programów antywirusowych, pozostających w dyspozycji Jednostki.
11.Metoda i częstotliwość sprawdzania obecności wirusów komputerowych oraz metoda ich usuwania;
Dla potrzeb systemu informatycznego w SP Glinki stosowane jest zabezpieczenie antywirusowe: W zakresie ochrony antywirusoweja) Ochrona pocztyb) Skanowanie ruchu internetowego. c) Ochrona systemów plików.d) Kontrola zmian w systemie plików.e) Monitorowanie procesów w pamięci.f) Monitorowanie zmian w rejestrze systemowym. g) Przywracanie systemu.
12. Sposób postępowania w zakresie komunikacji w sieci komputerowej;
a) Przeglądarka Internet Explorer powinna mieć ustawione opcje tak, by nie zapamiętywała nazwy użytkownika oraz hasła.b) Komunikacja w sieci komputerowej dozwolona jest tylko po odpowiednimzalogowaniu się i podaniu indywidualnego hasła użytkownikac) Przekazywanie danych osobowych za pomocą komunikacji internetowejjest możliwe każdorazowo po uzyskaniu zgody Administratora danychOsobowych.
d) Dotyczy to także danych zamieszczanych na stronie szkoły, którą administrują Administratorzy Systemu Informatycznego
13. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych1) Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy:a) stwierdzono naruszenie zabezpieczenia systemu informatycznego, lubb) stan urządzenia, zawartość zbioru danych osobowych, ujawnione metodypracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.2) Każdy pracownik SP Glinki, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym z obowiązany jest do niezwłocznego poinformowania o tym administratora bezpieczeństwa informacji.3) Administrator lub użytkownik bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego:
a. fizycznego odłączenia urządzeń i segmentów sieci które mogły umożliwić dostęp do bazy danych osobie niepowołanej,b. wylogowania użytkownika podejrzanego o naruszenie ochrony danych,c. zmianę hasła na konto administratora i użytkownika poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu.d. szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych,e. przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.4) Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.5) Jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych.
6) Jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjnewykluczające powtórzenie się podobnego zdarzenia w przyszłości.7) Jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemunależy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych.8) Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych, w porozumieniu administratorem bezpieczeństwa danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia w terminie 14 dni od daty jego zaistnienia.
14. Postanowienia końcowe
1) Każda osoba wpisana do ewidencji zobowiązana jest do odbycia stosownego przeszkolenia w zakresie ochrony danych osobowych oraz zapoznania się z :- treścią ustawy oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;- polityką bezpieczeństwa - regulaminem ochrony danych osobowych;-instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;- uregulowaniami wewnętrznymi obowiązującymi w tym zakresie.2) Wykonanie powyższych zobowiązań pracownik potwierdza własnoręcznym podpisem.3) Wszelkie zagadnienia dotyczące ochrony danych osobowych nie ujęte w niniejszej „Instrukcji" należy rozpatrywać zgodnie z treścią aktów prawnych wymienionych w regulaminie ochrony danych osobowych", z uwzględnieniem późniejszych zmian i uzupełnień.
Niniejszym oświadczam, iż w dniu 24 października 2013r zapoznałam się z Zarządzeniem Dyrektora Szkoły podstawowej w Glinkach nr 05/46/2013-2014 z dnia 21 października 2013r wraz z „Procedurą w zakresie ochrony danych osobowych i systemu informatycznego służącego do przetwarzania danych osobowych obowiązującego w Szkole Podstawowej w Glinkach.Zobowiązuję się do przestrzegania zasad zapisanych w ww. Procedurze.
Nauczyciele Szkoły Podstawowej w Glinkach 1…………………………………..2…………………………………..3…………………………………...4……………………………………5……………………………………6……………………………………7……………………………………8……………………………………9……………………………………10………………………………….11………………………………….12………………………………….13………………………………….
Pracownicy administracji Szkoły podstawowej w Glinkach 1…………………………………..2…………………………………..
