bezpieczeństwo.
§ 67 Zapis działań użytkowników uwzględnia:
1. Identyfikator użytkownika.
2. Datę i czas, w jakim zdarzenie miało miejsce.
3. Identyfikator stacji roboczej, z której korzysta użytkownik.
4. Rodzaj zdarzenia.
5. Określenie informacji, których zdarzenie dotyczy – w zależności od możliwości technicznych określenie to może obejmować zbiór danych, rekordy, które użytkownik przetwarzał lub poszczególne atrybuty w rekordach, które użytkownik przetwarzał.
2009-07-23 15:27:00 6. Określenie stopnia krytyczności zdarzenia.
§ 68 1. Zapis działań użytkowników powinien być prowadzony w taki sposób, aby możliwe było łatwe przeanalizowanie zapisanych operacji lub zdarzeń ze względu na ich stopień krytyczności
2. System informatyczny powinien posiadać mechanizmy automatyczne powiadomienia Administratora Bezpieczeństwa Informacji o zaistnieniu zdarzenia krytycznego.
3. Mechanizmy, o których mowa w ust.2, mogą obejmować wyświetlanie komunikatu na stacji roboczej Administratora Bezpieczeństwa Informacji, przesyłanie wiadomości pocztą elektroniczną itp.
§ 69 1. Zapis operacji uwzględnia również odnotowywanie wprowadzenia danych osobowych dla każdej osoby, której dane są przetwarzane w systemie informatycznym.
2. Zapis operacji, o którym mowa w ust.1 obejmuje:
1) określenie danych osobowych,
2) datę i czas wprowadzenia danych osobowych,
3) źródło pochodzenia danych osobowych, jeżeli mogą one pochodzić z różnych źródeł, 4) identyfikator użytkownika wprowadzającego dane osobowe,
5) identyfikator stacji roboczej, z której dane te zostały wprowadzone.
§ 70 Zapis operacji i zdarzeń powinien być prowadzony z uwzględnieniem:
1. Ochrony przed dostępem do niego osób nieupoważnionych.
2. Ochrony przed wprowadzaniem nieautoryzowanych zmian w zapisie zdarzeń.
3. Zabezpieczenia integralności przechowywanych w zapisie operacji i zdarzeń informacji oraz wprowadzenia mechanizmów pozwalających wykrycie zafałszowania we wprowadzonych danych.
4. Zabezpieczenia mechanizmów zapisu operacji i zdarzeń przed przypadkowym lub celowym zablokowaniem ich działania.
5. Ochrony zapisu operacji lub zdarzeń przed przypadkowym lub celowym usunięciem zapisu.
6. Okresowej archiwizacji zapisanych operacji i zdarzeń i przechowywania kopii zapasowych z uwzględnieniem zabezpieczenia ich poufności, integralności i dostępności.
7. Możliwości wydruku zapisu zdarzeń w formie czytelnej.
§ 71 1. Administrator Systemu jest odpowiedzialny za okresowe przeprowadzanie analizy zapisu operacji i zdarzeń w celu:
1) wykrycia potencjalnych naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym,
2009-07-23 15:27:00 2) weryfikacji zgodności sposobu wykorzystania przez użytkowników systemu informatycznego przetwarzającego dane osobowe z określonymi, w procesie nadawania uprawnień do korzystania z tego systemu, celami,
3) wykrycia potencjalnych niesprawności w funkcjonowaniu systemu informatycznego, 4) optymalizacji działania systemu informatycznego przetwarzającego dane osobowe,
5) wykrycia potencjalnych podatności na zagrożenia związane z przetwarzaniem danych osobowych oraz podjęcia działań w celu wzmocnienia mechanizmów zabezpieczających.
2. Mechanizm zapisu operacji i zdarzeń powinien być wyposażony w narzędzia umożliwiające efektywne przeprowadzanie analiz, o których mowa w ust.1, w tym również badań statystycznych.
Rozdział VIII
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
§ 72 1. Wszelkie prace związane z przeglądami, naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe muszą uwzględniać zachowanie wymaganego wysokiego poziomu bezpieczeństwa tych danych przed dostępem do nich osób nieupoważnionych.
2. Przeglądu i konserwacji systemu doraźnie dokonuje Administrator Systemu.
3. Przeglądu pliku zawierającego raport dotyczący działalności aplikacji bądź systemu (log systemowy) Administrator Systemu dokonuje nie rzadziej niż raz na tydzień.
4. Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale Administratora Systemu nie rzadziej niż raz na miesiąc.
5. Zapisy logów systemowych powinny być przeglądane przez Administratora Systemu codziennie oraz każdorazowo po wykryciu naruszenia zasad bezpieczeństwa.
6. Decyzje o przeprowadzeniu naprawy lub/i konserwacji systemu informatycznego przetwarzającego dane osobowe, na wniosek Administratora Systemu podejmuje Administrator Bezpieczeństwa Informacji .
7. Kontrole i testy przeprowadzane przez Administratora Bezpieczeństwa Informacji obejmują zarówno dostęp do zasobów systemu, jak i profile oraz uprawnienia poszczególnych użytkowników.
§ 73 1. Prace serwisowe mogą być wykonywane wyłącznie przez firmy, z którymi została podpisana stosowna umowa normująca w szczególności zasady ochrony danych osobowych.
2. Umowa, o której mowa w ust. 1 powinna określać:
1) zakres prac, które mogą być realizowane w ramach serwisu,
2) dni i godziny dostępności serwisu, gwarantowany czas reakcji (od chwili zgłoszenia do chwili pojawienia się serwisanta), gwarantowany czas naprawy (lub podstawienia
2009-07-23 15:27:00 pełnosprawnego zamiennika) liczony od chwili zgłoszenia do momentu przywrócenia pełnej funkcjonalności,
3) warunki wynagrodzenia firmy serwisowej,
4) sposób zgłaszania konieczności wykonania prac serwisowych (numer telefonu lub faksu, adres poczty elektronicznej, nazwiska osób upoważnionych do przyjmowania zgłoszeń) oraz sposób potwierdzenia przyjęcia zgłoszenia wraz z podaniem nazwisk serwisantów, którzy będą przeprowadzali prace,
5) sposób stwierdzenia tożsamości osób przeprowadzających prace serwisowe (w szczególności sprawdzania zgodności ich tożsamości z danymi podanymi przez osobę potwierdzającą przyjęcie zgłoszenia),
6) zasady nadzorowania przez upoważnionych pracowników Urzędu Gminy pracy serwisantów i sposobu wykonywania naprawy,
7) sporządzenie i podpisanie protokołu wykonania naprawy,
8) zasady przeprowadzania napraw sprzętu informatycznego przetwarzającego i/lub przechowującego dane osobowe,
9) częstotliwość wykonywania prac konserwacyjnych (np. odkurzanie sprzętu), zasady ustalania prac i osób biorących w nich udział.
§ 74 1. Osobą upoważnioną do zgłaszania firmie serwisowej usterki systemu i konieczności jego naprawy jest Administrator Systemu.
2. Pracownicy winni zgłaszać niesprawności systemu informatycznego zgodnie z przepisami „Polityki Bezpieczeństwa Urzędu Gminy Białowieża”.
3. Administrator Bezpieczeństwa Informacji wyznacza kwalifikowaną osobę, posiadającą uprawnienia do dostępu do danych osobowych przetwarzanych przez naprawiane komponenty, do nadzorowania prac serwisowych prowadzonych w systemach informatycznych lub samodzielnie dokonuje nadzoru.
4. Osoba nadzorująca dokonuje odbioru przeprowadzanych prac i podpisania protokołu wykonania naprawy.
5. Administrator Bezpieczeństwa Informacji może wyznaczyć osoby upoważnione do nadzorowania wszystkich napraw systemu informatycznego lub do nadzorowania wszystkich napraw określonych komponentów systemu.
§ 75 1. W sytuacji gdy naprawa dotyczy komponentu, na którym nie są przechowywane dane osobowe i który nie jest podłączony do systemu informatycznego, a serwisant nie jest w stanie podłączyć go do systemu, wówczas nie jest wymagany nadzór nad przebiegiem prac serwisowych.
2. W sytuacji, o której mowa w ust.1, odbioru prac dokonuje po sprawdzeniu poprawności ich wykonania, Administrator Bezpieczeństwa Informacji.
§ 76 Przed rozpoczęciem prac serwisowych konieczne jest potwierdzenie tożsamości serwisantów.
2009-07-23 15:27:00
§ 77 1. W przypadku konieczności przeprowadzania prac serwisowych poza siedzibą Urzędu dane z naprawianego urządzenia muszą zostać usunięte zgodnie z obowiązującymi w tym zakresie przepisami.
2. Od wymagania, o którym mowa w ust.1, możliwe jest odstępstwo, jeżeli urządzenie, podczas przechowywania poza siedzibą Urzędu Gminy, będzie pod stałym nadzorem osoby upoważnionej do dostępu danych na nim przetwarzanych, wskazanej przez Administratora Bezpieczeństwa Informacji.
§ 78 1. Administrator Systemu prowadzi rejestr prac serwisowych i konserwacyjnych wykonywanych w zakresie systemu informatycznego przetwarzającego dane osobowe.
2. Rejestr, o którym mowa w ust. 1, jest raz w roku analizowany w celu stwierdzenia punktów w systemie informatycznym, w którym wystąpiło najwięcej awarii.
3. Wyniki analizy wraz z ewentualnymi sugestiami działań zmierzających do zmniejszenia częstotliwości awarii w systemie informatycznym Administrator Systemu przekazuje Zastępcy Wójta/Sekretarzowi Urzędu.
§ 79 1. Administrator Systemu jest odpowiedzialny za okresowy przegląd zbioru danych osobowych oraz usunięcie danych, których przechowywanie jest dłużej nieuzasadnione.
2. Administrator Systemu sporządza protokół zniszczenia informacji zawierający:
1) nazwę zbioru danych osobowych, 2) zakres zniszczonych danych, 3) uzasadnienie wykonania operacji, 4) datę i czas wykonania operacji.
§ 80 1. Urządzenia, dyski lub inne nośniki zawierające dane osobowe przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych lub uszkadza w sposób uniemożliwiający ich odczytanie.
2. Wydruki z danymi osobowymi przeznaczone do likwidacji należy likwidować przy pomocy specjalnego urządzenia (niszczarki dokumentów) w sposób uniemożliwiający ich odczytanie.
3. Urządzenia, dyski, wydruki lub inne informatyczne nośniki, zawierające dane osobowe likwiduje się pod nadzorem osoby upoważnionej przez Administratora Bezpieczeństwa Informacji.
4. Trwałego zniszczenia zbędnych nośników i wydruków komputerowych dokonuje się na bieżąco w czasie pracy, nie później jednak niż przed opuszczeniem stanowiska pracy.
§ 81 1. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia się wcześniej zapisu tych danych.
2009-07-23 15:27:00 2. Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem Administratora Systemu.
3 Administrator Systemu wykonuje pozostałe czynności, o których mowa w ust. 1 i 2.
Rozdział IX
Postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego
§ 82 1. Użytkownik zobowiązany jest zawiadomić Administratora Bezpieczeństwa Informacji lub uprzednio wskazanego przez niego informatyka Urzędu Gminy o każdym naruszeniu lub podejrzeniu naruszenia bezpieczeństwa systemu, a w szczególności o:
1) naruszeniu hasła dostępu i identyfikatora (system nie reaguje na hasło lub je ignoruje bądź może przetwarzać dane bez wprowadzenia hasła),
2) częściowym lub całkowitym braku danych albo dostępie do danych w zakresie szerszym niż wynikający z przyznanych uprawnień,
3) braku dostępu do właściwej aplikacji lub zmianie zakresu wyznaczonego dostępu do zasobów serwera,
4) wykryciu wirusa komputerowego,
5) zauważeniu elektronicznych śladów próby włamania do systemu informatycznego, 6) znacznym spowolnieniu działania systemu informatycznego,
7) podejrzeniu kradzieży sprzętu komputerowego lub dokumentów zawierających dane osobowe,
8) zmianie położenia sprzętu komputerowego,
9) zauważeniu śladów usiłowania lub dokonania włamania do pomieszczeń lub zamykanych szaf.
2. Do czasu przybycia na miejsce Administratora Bezpieczeństwa Informacji lub wskazanego przez niego informatyka Urzędu Gminy należy:
1) o ile istnieje taka możliwość, niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego zdarzenia, a następnie uwzględnić w działaniu również ustalenie jego przyczyn lub sprawców,
2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,
3) zaniechać – o ile to możliwe – dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę,
4) zastosować się do instrukcji i regulaminów lub dokumentacji aplikacji, jeżeli odnoszą się one do zaistniałego przypadku,
5) przygotować opis incydentu,
2009-07-23 15:27:00 6) nie opuszczać bez uzasadnionej przyczyny miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji lub osoby przez niego wskazanej.
3. Informatyk Urzędu Gminy przyjmujący zawiadomienie jest obowiązany niezwłocznie poinformować Administratora Bezpieczeństwa Informacji o naruszeniu lub podejrzeniu naruszenia bezpieczeństwa systemu.
4. Administrator Bezpieczeństwa Informacji po otrzymaniu zawiadomienia, o którym mowa w ust. 3, powinien niezwłocznie:
1) przeprowadzić postępowanie wyjaśniające w celu ustalenia okoliczności naruszenia ochrony danych osobowych,
2) podjąć działania chroniące system przed ponownym naruszeniem,
3) w przypadku stwierdzenia faktycznego naruszenia bezpieczeństwa systemu sporządzić raport naruszenia bezpieczeństwa systemu informatycznego administratora danych, a następnie niezwłocznie przekazać jego kopię Administratorowi Danych.
5. Administrator Bezpieczeństwa Informacji w porozumieniu z Administratorem Systemu może zarządzić, w razie potrzeby, odłączenie części systemu informatycznego dotkniętej incydentem, od pozostałej jego części.
6. W razie odtwarzania danych z kopii zapasowych Administrator Systemu obowiązany jest upewnić się, że odtwarzane dane zapisane zostały przed wystąpieniem incydentu (dotyczy to zwłaszcza przypadków infekcji wirusowej).
7. Administrator Danych po zapoznaniu się z raportem, o którym mowa w ust. 4 pkt 3, podejmuje decyzję o dalszym trybie postępowania, powiadomieniu właściwych organów oraz podjęciu innych szczególnych czynności zapewniających bezpieczeństwo systemu informatycznego Administratora Danych bądź zastosowaniu środków ochrony fizycznej.
8. Administrator Bezpieczeństwa Informacji i Administrator Systemu zobowiązani są do informowania Administratora Danych o awariach systemu informatycznego, zauważonych przypadkach naruszenia niniejszej instrukcji przez użytkowników, a zwłaszcza o przypadkach posługiwania się przez użytkowników nieautoryzowanymi programami, nieprzestrzegania zasad używania oprogramowania antywirusowego, niewłaściwego wykorzystania sprzętu komputerowego lub przetwarzania danych w sposób niezgodny z procedurami ochrony danych osobowych.
9. Administrator Bezpieczeństwa Informacji składa raz w roku Administratorowi Danych kompleksową analizę zarządzania systemem informatycznym.
Rozdział X
Postanowienia przejściowe i końcowe
§ 83 1. Upoważnienia do przetwarzania danych osobowych udzielone odpowiednio pracownikom (stażystom, praktykantom lub wolontariuszom) na podstawie dotychczas obowiązującego zarządzenia Wójta Gminy, zachowują swoją ważność do dnia 31 maja 2009 roku.
2. Kierownicy komórek organizacyjnych i pozostali pracownicy Urzędu Gminy winni przedłożyć Inspektorowi Urzędu Gminy prowadzącemu sprawy kadrowe, do dnia 31 maja
2009-07-23 15:27:00 2009 roku, wnioski o nadanie odpowiednio pracownikom (stażystom, praktykantom lub wolontariuszom), o których mowa w ust., upoważnienia do przetwarzania danych osobowych w systemie informatycznym.
3. Wzór wniosku, o którym mowa w ust.2, określa załącznik Nr 9 do niniejszej