Instrukcja zarządzania systemami informatycznymi

Instrukcja zarządzania systemami informatycznymi
służącymi do przetwarzania danych osobowych

Niniejszy dokument opisuje zasady zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w związku z prowadzeniem newslettera przez Tomasz Musialik Myszkowska 166l 42-350 Mysłów
Rozdział 1
Postanowienia ogólne
§ 1
Stosownie do postanowień § 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r., nr 100, poz. 1024), ustala się treść Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, zwaną dalej Instrukcją. Instrukcja zachowuje również aktualność po rozpoczęciu stosowania unijnego rozporządzenia o ochronie danych osobowych, tj. od dnia 25 maja 2018 roku.
§ 2
Administrator danych osobowych sprawuje ogólną kontrolę i nadzór nad przestrzeganiem postanowień instrukcji, a w szczególności:
1) pozbawia urządzenia i inne nośniki informacji przeznaczone do likwidacji zapisu danych lub – gdy nie jest to możliwe – uszkadza je trwale w sposób uniemożliwiający odczytanie danych,
2) nadzoruje usuwanie awarii sprzętu komputerowego w sposób zapewniający bezpieczeństwo przetwarzanych danych osobowych,
3) sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,
4) sprawuje nadzór nad czynnościami związanymi z ochroną przeciwwirusową, czynnościami serwisowymi dotyczącymi komputera oraz systemu operacyjnego, przy wykorzystaniu którego przetwarza dane osobowe,
5) podejmuje i nadzoruje wszelkie inne działania zmierzające do zapewnienia bezpieczeństwa przetwarzanych w systemie informatycznym danych osobowych.
§ 3
Ilekroć w Instrukcji jest mowa o:
1) systemie informatycznym – należy przez to rozumieć system informatyczny, w ramach którego przetwarzane są dane osobowe,
2) zabezpieczeniu systemu informatycznego – należy przez to rozumieć zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, mające na celu w szczególności zabezpieczenie danych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą uszkodzeniem lub zniszczeniem; Instrukcja dotyczy wyłącznie zabezpieczeń stosowanych przez administratora danych osobowych; w zakresie, w jakim podmioty trzecie przetwarzają dane na podstawie zawartych umów powierzenia przetwarzania danych, podmioty te stosują własne zabezpieczenia, deklarując, że wdrożyły odpowiednie środki ochrony danych osobowych,
3) zbiorze danych osobowych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,
4) komputerze – rozumie się przez to komputer, przy użyciu którego przetwarzane są dane osobowe, tj. przy użyciu którego następuje logowanie do systemu informatycznego,
5) systemie operacyjnym – rozumie się przez to system operacyjny zainstalowany na komputerze,
6) przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
8) administratorze danych osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydującą o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest Tomasz Musialik Myszkowska 166l 42-350 Mysłów
9) administratorze systemu informatycznego – rozumie się przez to osobę lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
10) użytkowniku – rozumie się przez to upoważnionego przez administratora danych, wyznaczonego do przetwarzania danych osobowych pracownika, zleceniobiorcę, wykonawcę umowy o dzieło, wykonawcę umowy o świadczenie usług, praktykanta lub stażystę wyznaczonego do przetwarzania danych osobowych; jeżeli administratorem danych osobowych jest osoba fizyczna, użytkownikiem jest również administrator danych osobowych,
11) identyfikator użytkownika (login) – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
12) hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
13) uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
14) nośniki danych osobowych – dyskietki, płyty CD lub DVD, pamięć flash, dyski twarde, taśmy magnetyczne lub inne urządzenia/materiały służące do przechowywania plików z danymi.
Rozdział 2
Zakres przedmiotowy Instrukcji
§ 4
Niniejsza Instrukcja zawiera w szczególności:
1) sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz wskazanie osób odpowiedzialnych za te czynności,
2) sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osób odpowiedzialnych za te czynności,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie operacyjnym oraz systemach informatycznych,
4) metody i częstotliwość tworzenia kopii bezpieczeństwa,
5) metodę i częstotliwość sprawdzania obecności wirusów komputerowych oraz metodę ich usuwania,
6) sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków,
7) sposób dokonywania przeglądów i konserwacji komputera oraz systemu operacyjnego,
8) sposób postępowania w zakresie komunikacji w sieci komputerowej.
§ 5
1. Działaniem Instrukcji objęci są:
1) administrator danych osobowych,
2) administrator systemu informatycznego,
3) osoby zatrudnione przez administratora przy przetwarzaniu danych osobowych.
2. Instrukcja nie dotyczy podmiotów, które przetwarzają dane osobowe powierzone im przez administratora danych osobowych do przetwarzania na podstawie stosownej umowy powierzenia. Podmioty te stosują własne procedury postępowania z danymi osobowymi i systemami informatycznymi dostosowane do wymogów stawianych przez przepisy o ochronie danych osobowych, do czego zobowiązały się w ramach zawartych umów powierzenia przetwarzania danych osobowych.

Rozdział 3
Nadawanie uprawnień do przetwarzania danych
oraz ich rejestrowanie w systemie informatycznym
§ 6
1. Użytkownikiem systemu informatycznego jest administrator danych osobowych. Ponadto, Użytkownikiem może być osoba posiadająca odpowiednie upoważnienie i wykazana w ewidencji osób upoważnionych.
2. Ewidencję osób upoważnionych prowadzi administrator danych osobowych.
3. Każdy zarejestrowany użytkownik korzysta z przydzielonego mu konta użytkownika, opatrzonego identyfikatorem i hasłem dostępu.
4. Nadawanie identyfikatorów i przydzielanie haseł:
1) hasło składa się z co najmniej 8 znaków; zalecane jest, aby zawierało małe i wielkie litery oraz cyfry i znaki specjalne,
2) zmiana hasła powinna być wykonywana nie rzadziej niż co 30 dni, przy czym obowiązek ten przestaje obowiązywać począwszy od dnia 25 maja 2018 r.,
3) identyfikator użytkownika powinien być inny dla każdego użytkownika, a po jego wyrejestrowaniu z systemu informatycznego, nie powinien być przydzielany innej osobie,
4) identyfikatory użytkowników ujawnione są w wykazie osób upoważnionych do przetwarzania danych osobowych,
5) hasła pozostają tajne, każdy użytkownik jest zobowiązany do zachowania w tajemnicy swego hasła, także po jego zmianie; obowiązek ten rozciąga się także na okres po upływie ważności hasła,
6) hasło, co do którego zaistniało choćby podejrzenie ujawnienia powinno być niezwłocznie zmienione przez użytkownika,
7) utrata upoważnienia do przetwarzania danych osobowych powoduje natychmiastowe usunięcie z grona użytkowników systemu informatycznego.
§ 7
1. Indywidualny zakres czynności osoby upoważnionej przy przetwarzaniu danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę tych danych przed:
1) niepowołanym dostępem,
2) nieuzasadnioną modyfikacją lub zniszczeniem,
3) nielegalnym ujawnieniem,
4) pozyskaniem – w stopniu odpowiednim do zadań tej osoby przy przetwarzaniu danych osobowych.
2. Jeżeli istnieje taka możliwość, ekrany monitorów, na których możliwy jest dostęp do danych osobowych, powinny być automatycznie wyłączane po upływie ustalonego czasu nieaktywności użytkownika.
3. Monitory komputerów powinny być tak ustawione, aby uniemożliwić osobom postronnym wgląd do danych osobowych.
Rozdział 4
Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym
§ 8
1. Przed rozpoczęciem pracy w systemie operacyjnym oraz w systemach informatycznych użytkownik zobowiązany jest do:
1) zalogowania się do systemu operacyjnego z wykorzystaniem zastrzeżonych tylko dla siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom postronnym,
2) sprawdzenia prawidłowości funkcjonowania komputera i systemu operacyjnego,
3) w razie stwierdzenia nieprawidłowości, do powiadomienia o tym administratora systemu informatycznego,
4) zalogowania się do systemu informatycznego z wykorzystaniem zastrzeżonych tylko dla siebie identyfikatora i hasła w sposób uniemożliwiający ich ujawnienie osobom postronnym,
5) w razie stwierdzenia naruszenia zabezpieczenia systemu operacyjnego lub informatycznego, lub stanu wskazującego na istnienie takiej możliwości, do podjęcia odpowiednich kroków stosownie do zasad postępowania w sytuacji naruszenia zabezpieczenia danych osobowych.
2. Przerywając przetwarzanie danych użytkownik powinien co najmniej aktywować wygaszasz ekranu lub w inny sposób zablokować możliwość korzystania ze swego konta użytkownika przez inne osoby. Zalecane jest w takich przypadkach:
1) skorzystanie z mechanizmu czasowej blokady dostępu do komputera poprzez uruchomienie wygaszacza ekranu z hasłem (hasło powinno być zbieżne z hasłem logowania do systemu),
2) zakończenie pracy w systemie informatycznym – wylogowanie się z systemu,
3. Po zakończeniu przetwarzania danych osobowych, osoba upoważniona zobowiązana jest do:
1) zakończenia pracy w systemie informatycznym,
2) wylogowania się z systemu informatycznego.
Rozdział 5
Kopie bezpieczeństwa
§ 9
Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych wskutek awarii zasilania lub zakłóceń w sieci zasilającej. Zabezpieczenie to powinno być tak skonstruowane, by umożliwiało zapisanie danych we wszystkich uruchomionych aplikacjach i wykonanie kopii bezpieczeństwa.

§ 10
1. Kopie bezpieczeństwa wykonują podmioty świadczące na rzecz administratora usługi drogą elektroniczną w zakresie, w jakim usługi te związane są z przetwarzaniem danych osobowych. Administrator nie ma szczegółowej wiedzy na temat wykonywania kopii zapasowych przez podmioty trzecie, ale te zobowiązały się do przestrzegania w tym zakresie wymogów związanych z ochroną danych osobowych.
2. Ponadto, kopie bezpieczeństwa wykonywane są przez administratora danych osobowych w następujący sposób: ręczna kopia zapasowa
Rozdział 6
Sposób i czas przechowywania oraz zasady likwidacji nośników informacji

§ 11
1. Z systemów służących do przetwarzania danych osobowych mogą być wykonywane wydruki w celach operacyjnych. Cele operacyjne zakładają, że wydruki te nie są przechowywane, ale wykorzystywane w ściśle określonym celu i niszczone po zrealizowaniu tego celu.
2. Jeżeli dane są przechowywane są na zewnętrznym dysku twardym, to w przypadku konieczności likwidacji dysku twardego, powinien on zostać w miarę możliwości poddany pełnemu formatowaniu.

Rozdział 7
Ochrona antywirusowa
§ 12
1. Ochrona antywirusowa jest realizowana poprzez zainstalowanie odpowiedniego oprogramowania antywirusowego.
2. W przypadku wykrycia wirusa komputerowego, użytkownik systemu zobowiązany jest do natychmiastowego poinformowania o tym fakcie administratora systemu informatycznego.
3. System operacyjny podlega regularnej (co najmniej raz w tygodniu) kontroli pod kątem obecności wirusów komputerowych.
4. Wykryte zagrożenia usuwa się niezwłocznie z systemu operacyjnego.
5. Przed przystąpieniem do unieszkodliwienia wirusa, należy zabezpieczyć dane zawarte w systemie przed ich utratą.
6. Osobą odpowiedzialną za powyższe działania jest administrator systemu informatycznego, a jeżeli takowy nie został powołany – administrator danych osobowych.
Rozdział 8
Konserwacja i naprawa systemu operacyjnego i systemów informatycznych
§ 13
1. Prace bieżące w dziedzinie konserwacji i naprawy systemu operacyjnego prowadzi osoba odpowiedzialna za te czynności lub w wypadku konieczności zaangażowania do w/w czynności przedsiębiorcy zajmującego się zawodowo ich wykonywaniem, są one wykonywane pod bezpośrednim nadzorem administratora systemu informatycznego.
2. Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych przeznaczone do naprawy, pozbawia się przed tymi czynnościami zapisu zgromadzonych na nich danych osobowych.

Rozdział 9
Sposoby postępowania w zakresie komunikacji w sieci komputerowej

§ 14
1. Wszelkie pliki zawierające kopie danych osobowych zawartych w systemie, wysyłanych poza system, muszą być zabezpieczone hasłem.
2. Nieuzasadnione kopiowanie danych z serwera lub dysku komputera na zewnętrzne nośniki informatyczne jest zabronione.
Rozdział 10
Zasady korzystania z komputerów i innych urządzeń przenośnych

§ 15
1. Osoba użytkująca przenośny komputer lub inne urządzenie, służące do przetwarzania danych osobowych, obowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania tego komputera lub urządzenia.
2. W celu zapobieżenia dostępowi do tych danych osobie niepowołanej, należy:
1) zabezpieczyć dostęp do komputera lub urządzenia hasłem,
2) nie zezwalać na używanie komputera lub urządzenia osobom nieupoważnionym do dostępu do danych osobowych,
3) zabezpieczyć aplikacje przetwarzające dane osobowe hasłem.
Rozdział 11
Postępowanie w sytuacji stwierdzenia naruszenia ochrony danych osobowych

§ 16
Naruszeniem zabezpieczeń systemu informatycznego są w szczególności:
1) naruszenie lub próby naruszenia integralności systemów informatycznych przeznaczonych do przetwarzania danych osobowych – przez osoby nieuprawnione do dostępu do sieci lub aplikacji ze zbiorem danych osobowych,
2) naruszenie lub próba naruszenia integralności danych osobowych w systemie przetwarzania (wszelkie dokonane lub usiłowane modyfikacje, zniszczenia, usunięcia danych osobowych przez nieuprawnioną do tego osobę),
3) celowe lub nieświadome przekazanie zbioru danych osobowych osobie nieuprawnionej do ich otrzymania,
4) nieautoryzowane logowanie do systemu,
5) nieuprawnione prace na koncie użytkownika dopuszczonego do przetwarzania danych osobowych przez osobę do tego nieuprawnioną,
6) istnienie nieautoryzowanych kont dostępu do danych osobowych,
7) włamanie lub jego usiłowanie z zewnątrz sieci,
8) nieautoryzowane zmiany danych w systemach informatycznych,
9) niezablokowanie dostępu do systemu informatycznego przez osobę uprawnioną do przetwarzania danych osobowych w czasie jej nieobecności,
10) ujawnienie indywidualnych haseł dostępu użytkowników do systemów informatycznych,
11) brak nadzoru nad serwisantami lub innymi pracownikami przebywającymi w pomieszczeniach, w których odbywa się przetwarzanie danych osobowych,
12) nieuprawniony dostęp lub próba dostępu do pomieszczeń, w których odbywa się przetwarzanie danych osobowych.
§ 17
W przypadkach, o których mowa w § 16, należy podjąć czynności zmierzające do zabezpieczenia miejsca zdarzenia, zabezpieczenia ewentualnych dowodów przestępstwa i minimalizacji zaistniałych szkód, w tym w szczególności:
1) zapisać wszelkie informacje związane z danym zdarzeniem, a w szczególności:
a) dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych i czas samodzielnego wykrycia tego faktu,
b) dane osoby zgłaszającej,
c) opis miejsca zdarzenia,
d) opis przedstawiający stan techniczny sprzętu służącego do przetwarzania lub przechowywania danych osobowych,
e) wszelkie ustalone okoliczności zdarzenia.
2) na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem,
3) dokonać identyfikacji zaistniałego zdarzenia, poprzez ustalenie w szczególności:
a) rozmiaru zniszczeń,
b) sposobu, w jaki osoba niepowołana uzyskała dostęp do danych osobowych,
c) rodzaju danych, których dotyczyło naruszenie,
d) wyeliminować czynniki bezpośredniego zagrożenia utraty danych osobowych,
e) sporządzić protokół z wyżej wymienionych czynności,
f) poinformować właściwe organy ścigania w przypadku podejrzenia popełnienia przestępstwa.
§ 18
Administrator danych osobowych obowiązany jest do niezwłocznego podjęcia działań mających na celu powstrzymanie lub ograniczenie osobom niepowołanym dostępu do danych osobowych w szczególności przez:
1) zmianę hasła dla administratora i użytkowników,
2) fizyczne odłączenie urządzeń i tych segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej;
3) wylogowanie użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych.
§ 19
Po przeanalizowaniu przyczyn i skutków zdarzenia powodującego naruszenie bezpieczeństwa przetwarzanych danych osobowych, osoby odpowiedzialne za bezpieczeństwo danych osobowych obowiązane są podjąć wszelkie inne działania mające na celu wyeliminowanie podobnych naruszeń w przyszłości oraz zmniejszenie ryzyka występowania ich negatywnych skutków. W szczególności, jeżeli przyczyną naruszenia są:
1) błąd osoby upoważnionej do przetwarzania danych osobowych związany z przetwarzaniem danych osobowych – należy przeprowadzić dodatkowe szkolenie, indywidualne lub grupowe,
2) uaktywnienie wirusa komputerowego – należy ustalić źródło jego pochodzenia oraz wykonać test zabezpieczenia antywirusowego,
3) zaniedbanie ze strony osoby upoważnionej do przetwarzania danych osobowych – należy wyciągnąć konsekwencje zgodnie z przepisami z zakresu prawa pracy o odpowiedzialności pracowników,
4) włamanie – należy dokonać szczegółowej analizy wdrożonych środków zabezpieczających,
5) zły stan urządzenia lub sposób działania programu lub inne niedoskonałości informatycznego systemu przetwarzania danych osobowych – należy niezwłocznie przeprowadzić kontrolne czynności serwisowo – programowe.
§ 20
1. Administrator danych osobowych obowiązany jest sporządzić raport ze zdarzenia naruszającego zabezpieczenia systemu informatycznego, obejmujący wnioski dotyczące całokształtu procesu teleinformatycznego przetwarzania danych osobowych, a w szczególności:
1) stanu urządzeń wykorzystywanych do przetwarzania danych osobowych,
2) zawartości zbioru danych osobowych,
3) prawidłowości działania systemu informatycznego i teleinformatycznego, w którym przetwarzane są dane osobowe z uwzględnieniem skuteczności stosowanych do chwili wystąpienia naruszenia, środków zabezpieczających przed dostępem osób niepowołanych,
4) jakości działania sieci informatycznej,
5) wykluczenia obecności wirusów komputerowych,
6) ustalenia przyczyny i przebiegu zdarzenia,
7) wyciągnięcia wniosków co do uniknięcia podobnych naruszeń w przyszłości.