free web templates

ODOedu

Szkolenia i poradniki

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych określa zestaw praw, zasad i zaleceń regulujących proces zarządzania informacją w kontekście bezpieczeństwa informacji i ochrony danych osobowych.

Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń techniczno - organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.

Niniejszy dokument jest zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawą z dnia 18 maja 2018 r. o ochronie danych osobowych.

W Polityce Bezpieczeństwa Danych Osobowych stosuje się również przepisy ustaw i aktów wykonawczych, które odnoszą się do bezpieczeństwa informacji i ochrony danych osobowych.

Ilekroć w niniejszej Polityce Bezpieczeństwa Danych Osobowych mowa o:
Administratorze Danych Osobowych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
Administratorze Systemu Informatycznego – rozumie się przez to pracownika Administratora Danych Osobowych lub inne osoby odpowiedzialne za funkcjonowanie oraz za przestrzeganie zasad i wymogów bezpieczeństwa systemów informatycznych;
Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
Inspektorze Ochrony Danych – rozumie się przez to osobę odpowiedzialną za bieżący nadzór stosowania przepisów dot. ochrony danych osobowych;
Osobie upoważnionej – rozumie się przez to osobę upoważnioną przez Administratora Danych Osobowych do przetwarzania danych osobowych.
Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Przetwarzaniu danych osobowych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Zbiorze danych osobowych – rozumie się przez każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 
Podmiocie przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora Danych Osobowych;
Odbiorcy danych - rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postepowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
Bezpieczeństwie danych osobowych – rozumie się przez to zespół zasad, jakimi należy się kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania danych osobowych, by w każdych okolicznościach dostęp do nich był zgodny z założeniami i zapewniał ich poufność, integralność oraz dostępność;
Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom lub podmiotom;
Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
Dostępności danych – rozumie się przez to właściwość zapewniającą, że dane są osiągalne i możliwe do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę lub podmiot;
Zgodzie osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalające na przetwarzanie dotyczących jej danych osobowych;
Państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;
Naruszeniu ochrony danych osobowych - rozumie się przez to naruszenie bezpieczeństwa danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Celem Polityki Bezpieczeństwa Danych Osobowych jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych sposobu zarządzania informacją w kontekście bezpieczeństwa informacji i ochrony danych osobowych.

 Wszystkie dane osobowe należy przetwarzać zgodnie z obowiązującymi przepisami prawa.

 W stosunku do osób, których dane osobowe są przetwarzane należy spełnić obowiązek informacyjny.

Realizacja obowiązku informacyjnego może być w formie pisemnej, dźwiękowej, poprzez warstwowe przekazywanie informacji lub łączenie różnych form informowania.

Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.

Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w jakich zostały zebrane.

Dane osobowe można przetwarzać nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.

Należy zapewnić poufność, integralność oraz rozliczalność przetwarzanych danych osobowych.

Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób, których dane dotyczą, chyba że udostępnia się te dane osobom, których dane dotyczą, osobom upoważnionym do przetwarzania danych osobowych, podmiotom którym przekazano dane na podstawie umowy powierzenia oraz organom państwowym lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.

Przetwarzanie danych osobowych może odbywać się zarówno w systemach informatycznych, jak i w formie tradycyjnej (papierowej): kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

Wszystkim osobom, których dane są przetwarzane przysługuje prawo do ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz do ich uaktualniania, usunięcia, jak również do uzyskiwania wszystkich informacji o przysługujących im prawach. 

Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:
a. zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych;
b. stosowanie się do zaleceń Inspektora Ochrony Danych;
c. przetwarzania danych osobowych wyłącznie w zakresie ustalonym przez Administratora Danych Osobowych w pisemnym upoważnieniu;
d. przetwarzanie danych osobowych tylko w celu wykonywania nałożonych obowiązków służbowych;
e. niezwłoczne informowanie Inspektora Ochrony Danych o wszelkich nieprawidłowościach dotyczących bezpieczeństwa danych osobowych;
f. ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem, usunięciem;
g. korzystanie z systemów informatycznych w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemów informatycznych;
h. bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
i. zachowanie szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których dane dotyczą. 

Dane osobowe udostępnia się:
a) na pisemny wniosek;
b) drogą elektroniczną, uwierzytelnioną podpisem kwalifikowanym lub ePUAP organu.

Wnioskodawca wskazuje na jakiej podstawie żąda udostępnienia danych, zaś administrator powinien zweryfikować tę podstawę – co do jej aktualności i trafności.

Wniosek o udostepnienie danych rozpatruje Właściciel zbioru.

Wniosek o udostepnienie danych osobowych, którego sposób rozpatrzenia budzi uzasadnione wątpliwości, może zostać przesłany, wraz z informacjami niezbędnymi dla jego rozpatrzenia, do Inspektora Ochrony Danych w celu zajęcia stanowiska w sprawie.
Do wniosku dołącza się projekt odpowiedzi wraz z uzasadnieniem.

Informacje, zawierające dane osobowe są udostępniane uprawnionym podmiotom:
a) w formie wydruku listem poleconym lub za potwierdzeniem osobistego odbioru;
b) w drodze teletransmisji danych, w sposób gwarantujący poufność przesyłanych danych;
c) na elektronicznych nośnikach informacji, za potwierdzeniem odbioru.

Administrator Danych Osobowych może przekazywać dane osobowe do:
- państw Europejskiego Obszaru Gospodarczego (EOG);
- pozostałych państw (państwa trzecie);
- organizacji międzynarodowych.

Przekazywanie danych osobowych w ramach EOG traktuje się tak, jakby były przetwarzane na terenie Polski.

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje zgodnie z art. 44 – 49 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 

Mobirise

PROCEDURY

1. Cel
Określenie zasad dotyczących postępowania zapewniającego bezpieczeństwo urządzeń lub/i nośników informacji zawierających dane osobowe.
2. Zakres obowiązywania
Procedura obowiązuje wszystkich użytkowników upoważnionych do przetwarzania danych osobowych w systemie informatycznym.
3. Opis postępowania
3.1. Przekazywanie, niszczenie nośników zawierających dane osobowe:
3.1.1. Urządzenia lub/i nośniki danych przeznaczone do likwidacji należy wcześniej pozbawiać zapisanych danych w sposób uniemożliwiający ich odzyskanie lub uszkodzone, w taki sposób aby odczyt danych stał się niemożliwy.
3.1.2. Z urządzeń i/lub nośników danych zawierających dane osobowe przed przekazaniem podmiotowi nieuprawnionemu do przetwarzania danych osobowych należy te dane usunąć w sposób trwały uniemożliwiający późniejsze ich odczytanie/odtworzenie.
3.1.3. Z urządzeń i/lub nośników danych zawierających dane osobowe przed przekazaniem do naprawy należy usunąć te dane w sposób trwały uniemożliwiający późniejsze odczytanie/odtworzenie lub naprawiać w obecności osoby upoważnionej.
3.1.4. Dopuszcza się przekazanie urządzeń i/lub nośników danych bez usunięcia danych osobowych jedynie w przypadku przekazywania ich specjalistycznej firmie w celu odzyskania danych i po uzyskaniu zgody Administratora Danych Osobowych.
W takiej sytuacji wymagane jest zobowiązanie firmy zewnętrznej do podpisania umowy powierzenia danych osobowych.
3.1.5. Transport urządzeń i/lub nośników zawierających dane osobowe poza granice obszarów przetwarzania firmy powinien być:
- dokonywany w sposób uniemożliwiający uzyskanie dostępu do nich przez osoby nieuprawnione,
- dokonywany z zachowaniem szczególnej uwagi, tak aby nośnik informacji nie został zgubiony, skradziony lub uszkodzony.
3.1.6. W przypadku zlecania transportu urządzeń i/lub nośników danych należy korzystać z godnego zaufania transportu i kurierów.
3.2. Wymagania dotyczące szyfrowania urządzeń i/lub nośników:
- szyfrowanie musi być wykonywane algorytmem 256 bitowym lub mocniejszym,
- klucz musi mieć minimum 12 znaków (w tym litery, cyfry i znaki specjalne),
- klucz znakowy musi być zabezpieczony przed dostępem osób nieuprawnionych poprzez zdeponowanie w miejscu, do którego dostęp jest monitorowany i ściśle ewidencjonowany,
- raz użyty klucz znakowy nie może być wykorzystany ponownie.
3.3. Przechowywanie nośników danych:
3.3.1. W przypadku przechowywania danych osobowych (nośników) poza obszarem wyznaczonym jako obszar przetwarzania danych osobowych, dane te powinny być zabezpieczone środkami dodatkowymi w celu zachowania poufności i integralności.
3.3.2. Urządzenia lub/i nośniki danych, w tym również kopie zapasowe i archiwalne należy przechowywać w wydzielonym pomieszczeniu i/lub szafie/sejfie w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
3.3.3. Warunki środowiskowe przechowywania nośników są zgodne z wytycznymi producentów nośników i urządzeń.
3.3.4. Kopie zapasowe usuwa się (niszczy) niezwłocznie po ustaniu ich użyteczności.
3.3.5. W przypadku jeśli dostęp do nośników ma więcej niż jedna osoba zaleca się, aby wprowadzony system kontroli dostępu zapewniał identyfikacje, autoryzację oraz rozliczalność osoby.
3.4. Zabrania się wynoszenia urządzeń i/lub nośników danych poza obszar zidentyfikowany jako obszar przetwarzania danych bez zgody Administratora Danych Osobowych. 

1. Cel
Określenie zasad związanych z używaniem urządzeń przenośnych.
2. Zakres obowiązywania
Procedura obowiązuje wszystkich użytkowników upoważnionych do przetwarzania danych osobowych, korzystających z urządzeń przenośnych.
3. Opis postępowania
3.1. Z urządzeń przenośnych może korzystać osoba reprezentująca Administratora Danych osobowych lub osoba upoważniona przez Administratora Danych Osobowych do przetwarzania danych na urządzeniach przenośnych.
3.2. Użytkownik, używający urządzenie przenośne zawierające dane osobowe, zobowiązany jest zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych.
3.3. Użytkownik używający urządzenie przenośne zawierające dane osobowe w szczególności powinien:
3.3.1. stosować ochronę kryptograficzną;
3.3.2. zabezpieczyć dostęp do urządzenia przenośnego przynajmniej przy pomocy identyfikatora i hasła lub innego równoważnego zabezpieczenia;
3.3.3. nie zezwalać na używanie urządzenia przenośnego przez osoby nieupoważnione;
3.3.4. nie podłączać urządzenia przenośnego do sieci publicznych.
3.4. Za wszelkie działania wykonywane na urządzeniu przenośnym odpowiada użytkownik.

1. Cel
Określenie zasad dotyczących środowiska i warunków pracy urządzeń sieciowych, serwerów i stacji roboczych wykorzystywanych w szkole/placówce oświatowej/ jednostce.
2. Zakres obowiązywania
Procedura obowiązuje Administratora Systemów Informatycznych, pracowników, współpracowników z uprawnieniami administratora.
3. Opis postępowania
3.1. Urządzenia sieciowe i serwerowe:
3.2.1. Urządzenia są zainstalowane w szafie teleinformatycznej.
3.2.2. Szafa teleinformatyczna chroniona jest przed dostępem osób nieuprawnionych.
3.2.3. Urządzenia należy tak instalować, aby był możliwy swobodny obieg powietrza zgodnie ze ścieżką chłodzenia przewidzianą przez producenta w każdym z urządzeń.
3.2.4. W pomieszczeniu zapewniona jest odpowiednia temperatura powietrza zgodnie z wytycznymi producenta urządzenia.
3.2.5. W pomieszczeniu zapewniona jest odpowiednia wilgotność powietrza zgodnie z wytycznymi producenta urządzenia.
3.2.6. Urządzenia powinny być tak zainstalowane, aby był do nich możliwy swobodny dostęp fizyczny dla osób uprawnionych na potrzeby wykonywania czynności przeglądowych i naprawczych.
3.2.7. Okablowanie powinno być uporządkowane w sposób maksymalnie ograniczający możliwość przypadkowego rozłączenia oraz opisane umożliwiając łatwą identyfikację.
3.2.8. Urządzenia powinny być podłączone pod system zasilania awaryjnego umożliwiający podtrzymanie zasilania na czas niezbędny do bezpiecznego wyłączenia urządzeń
3.2.9. Infrastruktura sieciowa (okablowanie) powinna być poprowadzona torami bezpiecznymi tzn. podtynkowo, torem ziemnym lub na ścianie w odpowiednich korytach/rurach montażowych zapewniających ochronę przed uszkodzeniem oraz podsłuchem.
3.2.10. W przypadku gdy gniazdko sieciowe jest niewykorzystywane wówczas zakończenie połączenia po stronie dostępowej powinno być fizycznie odłączone od urządzeń aktywnych.
3.2. Stacje robocze:
3.2.1. Stacje robocze muszą być tak zainstalowane aby był możliwy swobodny obieg powietrza zgodnie z ścieżką chłodzenia przewidzianą przez producenta w każdym z urządzeń.
3.2.2. Musi zostać zapewniona odpowiednia temperatura i wilgotność powietrza zgodnie z wytycznymi producenta urządzenia przy zachowaniu norm przewidzianych dla warunków świadczenia pracy (odpowiednie przepisy BHP).
3.2.3. Stacje robocze powinny być tak zainstalowane, aby uniemożliwić dostęp osobom nieuprawnionym.
3.2.4. Stacje robocze powinny być tak zainstalowane, aby uniemożliwić osobom nieuprawnionym podgląd ekranu.
3.2.5. Stacje robocze powinny być tak zainstalowane, aby zabezpieczyć je przed zalaniem lub działaniem kurzu.
3.2.6. Urządzenia (monitor, klawiatura, mysz, czytnik kart) powinny być tak zainstalowane, aby był do nich możliwy swobodny dostęp fizyczny zapewniający wygodę oraz ergonomię pracy.
3.2.7. Okablowanie powinno być uporządkowane w sposób maksymalnie ograniczający możliwość przypadkowego lub umyślnego – przez osoby nieuprawnione, rozłączenia. 

1. Cel
Określenie zasad dotyczących konfiguracji stacji roboczych.
2. Zakres obowiązywania
Procedura obowiązuje osobę reprezentująca Administratora Danych Osobowych, Administratora Systemów Informatycznych, użytkowników posiadających uprawnienia typu administrator.
3. Opis postępowania
3.1. Użytkownik nie posiada uprawnień administratora systemu operacyjnego.
3.2. Dostęp do podstawowego oprogramowania jest chroniony hasłem (dot. m.in. BIOS, UEFI).
3.3. Stacje robocze używane do przetwarzania danych osobowych są wyposażone w system operacyjny i oprogramowanie dla którego wymaga się:
3.3.1. wykonywania aktualizacji systemu operacyjnego i oprogramowania zgodnie z zaleceniami producenta,
3.3.2. wyłączenia możliwości korzystania z pulpitu zdalnego,
3.3.3. zawężenia do uprawnionych użytkowników oraz uprawnionych źródeł – w przypadku potrzeby korzystania z pulpitu zdalnego,
3.3.4. włączenia wygaszacza ekranu z hasłem uruchamianego automatycznie po zdefiniowanym okresie czasu bezczynności stacji roboczej,
3.3.5. ustawienia konta użytkownika z ograniczeniem uprawnień dostępu do elementów i obiektów systemu operacyjnego do minimum,
3.3.6. stosowania systemu identyfikatorów dla każdego użytkownika zapewniających rozliczalność.
3.4. Każdy użytkownik ustala hasło zgodne z procedurą – Polityka haseł.
3.5. Użytkownik ma zablokowaną możliwość korzystania z przenośnych nośników danych.
3.6. Systemy operacyjne muszą być chronione za pomocą oprogramowania systemowego i zewnętrznego zapewniającego skuteczne bezpieczeństwo danych. 

1. Cel
Określenie zasad związanych z zarządzaniem identyfikatorami oraz hasłami użytkowników systemu informatycznego.
2. Zakres obowiązywania
Procedura obowiązuje wszystkie osoby mające uprawnienia do przetwarzania danych osobowych w systemie informatycznym.
3. Opis postępowania
3.1. Hasło musi zawierać nie mniej niż 12 znaków.
3.2. Hasło musi składać się z liter (małych i dużych) oraz cyfr i znaków specjalnych.
3.3. Hasło musi być zmieniane nie rzadziej niż raz na 30 dni.
3.4. Hasła nie mogą być ujawniane innym osobom.
3.5. Hasła do różnych systemów powinny być różne, za wyjątkiem sytuacji, gdy jest możliwe zastosowanie mechanizmu jednokrotnego logowania.
3.6. Hasła nie mogą być przechowywane w czytelnej postaci, zarówno jako tekst zapisany w pliku jak i na papierze.
3.7. Wyjątkiem jest zdeponowanie haseł użytkowników, jak i administratorów w bezpiecznym miejscu (sejfie, szafie pancernej lub w równoważnym miejscu), w zamkniętej kopercie, opisanej imieniem i nazwiskiem osoby upoważnionej do jej otwarcia.
3.8. Hasło powinno zostać niezwłocznie zmienione w przypadku ujawnienia lub podejrzenia ujawnienia osobie nieuprawnionej.
3.9. Hasła tymczasowe lub startowe powinny być zmienione po pierwszym logowaniu.
3.10. Hasła domyślne tzw. defaultowe powinny być niezwłocznie zmienione.
3.11. W przypadku zakończenia świadczenia pracy lub odbiorze upoważnienia do przetwarzania danych, konto użytkownika powinno zostać niezwłocznie zablokowane.
3.12. Identyfikator raz użyty nie może być wykorzystywany ponownie.
3.13. Hasła wykorzystywane w systemach informatycznych organizacji nie mogą być używane w innych miejscach np. do zabezpieczania zasobów prywatnych użytkownika.
3.14. Hasła powinny być trudne do odgadnięcia (zaleca się nie stosować nazw potocznych, imion, nazwisk, dat urodzenia, numerów dokumentów, innych danych osobistych oraz standardowych kombinacji znaków, np. 12345678).
3.15. Trzykrotna błędna próba wprowadzenia hasła powinna skutkować zablokowaniem konta użytkownika oraz odpowiednią adnotacją w systemie monitoringu zawierająca co najmniej: identyfikator komputera/urządzenia na którym próbowano dokonać logowania oraz czas wykrycia zdarzenia.
3.16. Hasła nie powinny być tworzone według stałego schematu, np.: ALA_01, ALA_02 itp.
3.17. Hasła powinny być wprowadzane w sposób maskowany.
3.18. Powinna zostać tworzona historia haseł w celu zablokowania ich powtarzania. 

1. Cel
Określenie zasad związanych z zarządzaniem identyfikatorami oraz hasłami użytkowników systemu informatycznego.
2. Zakres obowiązywania
Procedura obowiązuje wszystkie osoby mające uprawnienia do przetwarzania danych osobowych w systemie informatycznym.
3. Opis postępowania
3.1. W celu zapewnienia wyłącznie prawidłowego i uzasadnionego dostępu do systemu informatycznego oraz dla zapobiegania nieuprawnionemu dostępowi do systemu informatycznego, nadawanie uprawnień do systemów teleinformatycznych odbywa się z uwzględnieniem poniższych zasad:
3.1.1. Pracownikowi mogą być nadane wyłącznie uprawnienia, które są konieczne do realizacji zleconych mu zadań (stosuje się zasadę minimalnych uprawnień, tzn. domyślnie stosuje się brak jakichkolwiek uprawnień).
3.1.2. Uprawnienia do systemu nadawane są przez Administratora Systemów Informatycznych.
3.1.3. Pracownikom nadawane są unikalne identyfikatory.
3.1.4. Nazwy kont pracowników muszą zapewniać jednoznaczną identyfikację.
3.1.5. Konta umożliwiające działania administracyjne (np. root, Administrator) muszą zapewniać pełną rozliczalność i identyfikalność działań. W tym celu konta z uprawnieniami administracyjnymi winny być przypisane do konkretnych osób.
3.1.6. Hasła administracyjne ustala Administrator Systemów Informatycznych.
3.1.7. Administratora Systemów Informatycznych jest zobowiązany do prowadzenia metryk haseł administratora i przechowywania ich w zamkniętych kopertach, odrębnych dla każdego systemu/aplikacji, w sejfie lub w szafie pancernej, do których dostęp ma także Administrator Danych.
3.1.8. Wszyscy użytkownicy systemu zobowiązani są do stosowania polityki haseł zgodnie z wytycznymi zawartymi w procedurze Polityka haseł.
3.1.9. Wszelkie zmiany dotyczące użytkownika, takie jak rozwiązanie umowy o pracę lub cofnięcie upoważnienia do przetwarzania danych osobowych są przesłanką do niezwłocznego zablokowania konta użytkownika systemu informatycznego.
3.1.10. Administrator Systemów Informatycznych ma obowiązek okresowej kontroli i weryfikacji zasadności posiadanych przez użytkowników uprawnień (przynajmniej raz na 3 miesiące). W przypadku braku zasadności, dostęp do systemu powinien zostać niezwłocznie cofnięty.
3.1.11. Nie dopuszcza się tworzenia kont grupowych.

Mobirise

1. Cel
Określenie zasad związanych z rozpoczęciem, zawieszeniem i zakończeniem pracy w systemie informatycznym
2. Zakres obowiązywania
Procedura obowiązuje wszystkie osoby mające uprawnienia do przetwarzania danych osobowych w systemie informatycznym.
3. Opis postępowania
3.1. Stosowane są następujące zasady rozpoczęcia pracy w systemie informatycznym:
3.1.1. Przed przystąpieniem do pracy, użytkownik zobowiązany jest do sprawdzenia czy stacja robocza wykorzystywana do przetwarzania danych osobowych w systemie informatycznym nie wskazuje na ingerencję osób trzecich, a także czy stanowisko pracy zastano w takim stanie jak pozostawiono po zakończeniu pracy.
3.1.2. Przed uruchomieniem stacji roboczej, użytkownik zobowiązany jest do upewnienia się, czy ekran monitora jest ustawiony w sposób uniemożliwiający osobom nieupoważnionym podglądnięcie jego zawartości.
3.1.3. Każde rozpoczęcie pracy w danym systemie wymaga logowania.
3.1.4. W trakcie pracy, użytkownik powinien mieć otwarte tylko te aplikacje, które są niezbędne do wykonywania obowiązków służbowych.
3.1.5. W trakcie pracy, użytkownik powinien mieć na biurku tylko te materiały, które są niezbędne do wykonywania obowiązków służbowych.
3.2. Stosowane są następujące zasady zawieszenia pracy w systemie informatycznym:
3.2.1. W przypadku chwilowego opuszczenia stanowiska pracy użytkownik zobowiązany jest do wylogowania się z systemu bądź zablokowania dostępu do pulpitu stacji roboczej w celu uniemożliwienia dostępu do systemu operacyjnego lub aplikacji przez osoby niepowołane.
3.2.2. W przypadku opuszczenia stanowiska pracy materiały zawierające dane wymagające ochrony powinny być zabezpieczane przed dostępem osób nieuprawnionych.
3.2.3. W przypadku bezczynności użytkownika na stacji roboczej trwającej więcej niż 10 min, uruchamiany jest automatycznie wygaszacz ekranu. Wznowienie pracy możliwe jest po ponownym uwierzytelnieniu się poprzez podanie własnego hasła.
3.3. Stosowane są następujące zasady zakończenia pracy w systemie informatycznym:
3.3.1. Po zakończeniu pracy należy wylogować się z systemu.
3.3.2. Po zakończeniu dnia pracy użytkownik zobowiązany jest do zabezpieczenia wszelkich dokumentów i nośników zawierających dane osobowe, w celu uniemożliwienia dostępu do nich osób nieupoważnionych. Należy uprzątnąć z miejsca pracy wszelkie dokumenty, nośniki, notatki i umieścić je w miejscu niedostępnym dla osób nieupoważnionych. 

1. Cel
Określenie zasad dotyczących zabezpieczenia systemu informatycznego przed działalnością nieuprawnionego oprogramowania.
2. Zakres obowiązywania
Procedura obowiązuje wszystkich użytkowników upoważnionych do przetwarzania danych w systemie informatycznym oraz Administratora Systemów Informatycznych.
3. Opis postępowania
3.1. Administrator Systemów Informatycznych jest zobowiązany do wprowadzenia obligatoryjnej ochrony antywirusowej, a także zabezpieczenia zaporą sieciową, która obejmuje wszystkie stacje robocze oraz serwery.
3.2. Oprogramowanie antywirusowe powinno być skonfigurowane w sposób wymuszający automatyczne usuwanie oprogramowania złośliwego, zaś w przypadku gdy ich usunięcie jest niemożliwe, obejmowanie ich kwarantanną, okresowe skanowanie wszystkich dysków lokalnych, a także sporządzanie raportów oraz powiadamianie osoby odpowiedzialnej o wykrytym złośliwym oprogramowaniu.
3.3. Dokonywanie zmian w konfiguracji oprogramowania antywirusowego oraz zapory sieciowej jest możliwa tylko przez Administratora Systemów Informatycznych.
3.4. Przeprowadzane są okresowe szkolenia z zakresu bezpiecznej pracy z aplikacjami wykorzystywanymi na stacjach roboczych ze szczególnym uwzględnieniem aplikacji wykorzystywanych do łączności z systemami zewnętrznymi. Szkolenia powinny uświadamiać użytkownikom skalę i typy zagrożeń oraz metody jak ich uniknąć lub obniżyć prawdopodobieństwo cyberzagrożenia.
3.5. Użytkownicy mający uprawnienia do korzystania z nośników zewnętrznych obowiązani są do sprawdzania programem antywirusowym wszelkich elektronicznych zewnętrznych nośników informacji. 

1. Cel
Określenie zasad związanych z uporządkowaniem biurka i urządzeń.
2. Zakres obowiązywania
Procedura obowiązuje wszystkie osoby mające uprawnienia do przetwarzania danych osobowych
3. Opis postępowania
3.1. Po zakończeniu pracy z dokumentami zawierającymi dane osobowe należy odłożyć je do szuflady lub szafy zamykanej na klucz.
3.2. Dokumenty niepotrzebne w dalszej pracy i niepodlegające archiwizacji należy zniszczyć.
3.3. Dokumenty papierowe z wyjątkiem materiałów informacyjnych powinny być niszczone w sposób uniemożliwiający ich odczytanie (najlepiej w niszczarce), a następnie umieszczane w specjalnie przeznaczonych do tego pojemnikach.
3.4. Na biurku nie powinny znajdować się napoje w pojemnikach grożących rozlaniem.
3.5. Po zakończeniu pracy na biurku nie powinna znajdować się żadna dokumentacja oraz inne nośniki informacji.
3.6. Ekrany monitorów komputerów powinny być ustawione tak, aby uniemożliwiały widok osobom postronnym.
3.7. Każdy komputer musi mieć ustawiony wygaszasz ekranu po podaniu hasła, który włączająca się automatycznie po określonym czasie bezczynności użytkownika. Dodatkowo przed pozostawieniem włączonego komputera bez opieki użytkownicy powinni zablokować go (włączając wygaszasz ekranu) lub w przypadku dłuższej nieobecności wylogować się z systemu. 
3.8. Na pulpicie komputera mogą znajdować się jedynie ikony standardowego oprogramowania i aplikacji służbowych oraz skróty folderów pod warunkiem, że w nazwie nie zawierają informacji o realizowanych projektach lub osobach.
3.9. Informacje drukowane powinny być zabierane z drukarek niezwłocznie po wydrukowaniu. W przypadku nieudanej próby drukowania, użytkownik powinien usunąć informację z bufora drukarki. 

Mobirise

Aleksandra Czarnobaj
e-mail: iod@e-atc.pl
© Copyright 2019 e-ATC.pl