Zarządzenie Nr 16/1/2004 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Czeladzi z dnia 29 października 2004r.

Zarządzenie Nr 16/1/2004

Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Czeladzi z dnia 29 października 2004r.

w sprawie: wprowadzenia w życie Politykę Bezpieczeństwa oraz Instrukcję Zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Społecznej w Czeladzi

Na podstawie §5 ust.3 Regulaminu Organizacyjnego wprowadzonego w życie Zarządzeniem Dyrektora Miejskiego Ośrodka Pomocy Społecznej Nr 22/2001 z dnia 14 grudnia 2001 r oraz na podstawie §3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.04.100.1024)

zarządzam, co następuje:

§ 1

Wprowadzam w życie Politykę Bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Społecznej w Czeladzi, stanowiący załącznik nr 1 i załącznik nr 2 do niniejszego Zarządzenia.

§ 2

Wszystkich pracowników zatrudnionych w Miejskim Ośrodku Pomocy Społecznej w Czeladzi zobowiązuję do zapoznania się i przestrzegania.

§ 3

Nadzór nad przestrzeganiem Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powierzam poszczególnym kierownikom działów oraz Administratorowi Bezpieczeństwa Informacji w zakresie przetwarzania danych w systemie informatycznym

§ 4

Zarządzenie wchodzi w życie z dniem 01.11.2004r.

Dyrektor Miejskiego Ośrodka Pomocy Społecznej w Czeladzi

mgr Teresa Banaś

załącznik nr 1 do zarządzenia nr 16/1/2004 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Czeladzi

Czeladź, dn. 29.10.2004r.

Polityka bezpieczeństwa

Miejskiego Ośrodka Pomocy Społecznej w Czeladzi

I. Definicja bezpieczeństwa informacji.

Informacja jest zasobem, który, podobnie jak inne ważne zasoby biznesowe, ma określoną wartość dla przedsiębiorstwa. Wymaga odpowiedniej ochrony przed różnymi zagrożeniami.

Informacja może istnieć w wielu postaciach. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą środków elektronicznych, pokazywana na filmach lub wypowiadana w trakcie dyskusji. Bez względu na postać, którą przybiera informacja, oraz środki, za pomocą których jest udostępniana lub przechowywana, zawsze powinna być właściwie chroniona.

II. Cele bezpieczeństwa informacji.

Bezpieczeństwo informacji określa się najczęściej jako zachowanie:

1. poufności: zapewnienia, że informacja jest dostępna wyłącznie dla tych, którym zostało przyznane prawo dostępu;

2. integralności: zagwarantowania dokładności i kompletności informacji i metod jej przetwarzania;

3. dostępności: zapewnienia, że uprawnieni użytkownicy mają dostęp do informacji i związanych z nią zasobów, gdy jest to wymagane.

Bezpieczeństwo informacji osiągane jest przez implementację odpowiedniego zbioru środków kontrolnych, którymi mogą być polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania.

III. Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji.

Kierownictwo MOPS przyjęło następującą Politykę zabezpieczenia informacji

1. Jesteśmy świadomi wartości informacji i wiedzy naszej firmy. Jakość naszej pracy zależy od jakości informacji;

2. Spełnienie wymagań prawnych jest celem podstawowym;

3. Chroniąc informacje zachowujemy prywatność i godność każdego pracownika oraz klienta;

4. Uczymy się i wyciągamy wnioski z błędów;

5. Doskonalimy rozwiązania dostosowując działania do nowych celów;

6. Obowiązkiem pracowników jest przestrzeganie szczegółowych zasad postępowania udokumentowanych w „Instrukcji określającej sposób zarządzania systemem informatycznym” a w szczególności zasad: co nie jest wyraźnie dozwolone jest zabronione, czystego biurka i czystego ekranu.

IV. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

Dane osobowe przetwarzane są w budynku Miejskiego Ośrodka Pomocy Społecznej w Czeladzi zlokalizowanym przy ulicy 17 Lipca 27. W obszar przetwarzania danych zalicza się pomieszczenia biurowe zlokalizowane na parterze oraz na I piętrze budynku jak również pomieszczenie archiwum znajdujące się w piwnicy.

Pomieszczenie serwera zlokalizowane jest na I piętrze budynku Miejskiego Ośrodka Pomocy Społecznej w Czeladzi. Dostęp do tego pomieszczenia posiada wyłącznie administrator systemu oraz osoba przez niego upoważniona.

V. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych.

W Miejskim Ośrodku Pomocy Społecznej przetwarzane są następujące zbiory danych osobowych:

1. Baza osób korzystających ze świadczeń społecznych 2. Baza osób korzystających ze świadczeń rodzinnych 3. Baza osób korzystających z dodatków mieszkaniowych

4. Baza pracowników Miejskiego Ośrodka Pomocy Społecznej w Czeladzi.

Do obsługi ww. zbiorów wykorzystywane jest następujące oprogramowanie:

ad.1. Program „POMOST” - autor TopTeam Warszawa

ad.2. Program „ŚWIADCZENIA RODZINNE” - autor TopTeam Warszawa ad.3. Program „DODATKI MIESZKANIOWE” - autor Jarosław Supernak ad.4. Program „PŁATNIK” - autor ProCom

Dodatkowo do obsługi wszystkich zbiorów danych wykorzystywany jest pakiet oprogramowania „OpenOffice”

VI. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Świadczenia społeczne, świadczenia rodzinne, dodatki mieszkaniowe.

W zbiorach tych znajdują się dane osobowe klientów MOPS (nazwisko, imię, adres, płeć, data urodzenia, nr pesel, nr dowodu osobistego, nr konta bankowego), struktura ich rodzin (dane osobowe dzieci), wnioski złożone przez te osoby, decyzje wydane przez MOPS oraz listy wypłat świadczeń dla klientów.

Baza pracowników zawiera dane osobowe pracowników niezbędne do celów kadrowo – płacowych.

VII. Sposób przepływu danych pomiędzy systemami.

Bazy osób korzystających ze świadczeń społecznych, rodzinnych oraz dodatków mieszkaniowych przetwarzane są przez komórki organizacyjne wyznaczone do tych zadań.

Jednakże wszystkie pozostałe komórki organizacyjne mają dostęp od odczytu danych zawartych w tych zbiorach.

Pełny dostęp do bazy pracowników posiada dział księgowości oraz kadry.

VIII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych.

Bazy danych przechowywane są na serwerze plików zabezpieczonym przed utratą zasilania

za pomocą zasilacza awaryjnego. Serwer należy zabezpieczyć przed złośliwym oprogramowaniem za pomocą programu antywirusowego.

Serwer wpięty jest w ogólnoświatową sieć Internet. W celu odizolowania sieci wewnętrznej,

w której przetwarzane są dane osobowe od Internetu należy zastosować Firewall z filtrowaniem pakietów.

W sieci wewnętrznej nie wolno używać komputerów z oprogramowaniem serii Win9x, jako nie wystarczająco zabezpieczonych. Zaleca się stosowanie systemów opartych na jądrze NT (Windows 2000, Windows XP).

Praca w sieci wewnętrznej możliwa jest wyłącznie po uwierzytelnieniu (zalogowaniu).

Do uwierzytelnienia wymagany jest identyfikator użytkownika, oraz hasło.

Identyfikator użytkownika nadawany jest jednorazowo podczas zakładania konta w systemie informatycznym. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

Ze względu na istniejące połączenie z Internetem wprowadza się wysoki poziom bezpieczeństwa przetwarzania danych osobowych.

Na poziomie wysokim hasło dostępu do systemu składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

Zmiana hasła następuje nie rzadziej niż co 30 dni.

Dane osobowe zabezpiecza się przez regularne wykonywanie kopii bezpieczeństwa przechowywanej w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Po ustaniu użyteczności kopii dane usuwa się z niej bezzwłocznie.

Po zakończeniu pracy pokoje,w których przetwarzane są dane osobowe należy zabezpieczyć przed dostępem osób niepowołanych zamykając je na klucz. Klucz należy zdać na portierni.

załącznik nr 2 do zarządzenia nr 16/1/2004 Dyrektora Miejskiego Ośrodka Pomocy Społecznej w Czeladzi

Czeladź, dn. 29.10.2004r.

Instrukcja określająca sposób zarządzania systemem informatycznym.

I. Postanowienia ogólne

1. Instrukcja określa sposób zarządzania systemem informatycznym w zakresie przetwarzania danych osobowych ze szczególnym uwzględnieniem wymogów bezpieczeństwa i ochrony danych osobowych w systemie informatycznym.

2. Przez użyte w instrukcji określenia należy rozumieć:

dane osobowe - każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby,

system informatyczny - system przetwarzania informacji wraz z pracownikami upoważnionymi do obsługi systemu, zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje,

administrator danych – Dyrektor Miejskiego Ośrodka Pomocy Społecznej w Czeladzi,

administrator bezpieczeństwa informacji - osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym są przetwarzane dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,

administrator - administrator aplikacji lub administrator systemu - osoba odpowiedzialna za zapewnienie ciągłości i poprawności działania systemu lub aplikacji

użytkownik - osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony indywidualny identyfikator oraz hasło.

serwisant - upoważniony pracownik firmy świadczącej usługi w zakresie naprawy i konserwacji sprzętu i oprogramowania

naruszenie ochrony danych osobowych - naruszenie zabezpieczenia systemu informatycznego lub sytuację, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszanie zabezpieczeń tych danych.

naruszenie zabezpieczenia systemu informatycznego - jakiekolwiek naruszenie poufności, integralności, dostępności, autentyczności, niezawodności i bezpieczeństwa systemu informatycznego powstałe samoistnie w systemie, bądź dokonane przez osoby nieuprawnione lub uprawnione, działające w złej wierze albo omyłkowo,

szczegółowe instrukcje operacyjne - instrukcje i procedury określające pracę poszczególnych systemów

3. Dyrektor Miejskiego Ośrodka Pomocy Społecznej powołuje Administratora bezpieczeństwa informacji (ABI), który jest odpowiedzialny za:

• nadzór nad wdrożeniem stosownych środków administracyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych,

• nadzór nad funkcjonowaniem systemu zabezpieczeń,

• podejmowanie odpowiednich działań w przypadku wykrycia naruszenia ochrony danych osobowych.

4. System informatyczny, w którym przetwarzane są dane osobowe powinien

zapewniać odnotowanie:

• daty pierwszego wprowadzenia danych osobowych,

• źródła pochodzenia danych, jeśli dane mogą pochodzić z różnych źródeł,

• identyfikatora użytkownika wprowadzającego dane,

• informacji komu, kiedy i w jakim zakresie dane zostały udostępnione lub mogą być udostępnione, jeśli przewidziane jest udostępnianie danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne,

• sprzeciwu wobec dalszego przetwarzania określonego w art.32 ust.1 pkt.8 UODO.

• żądania zaprzestania przetwarzania danych przez osobę, o którym mowa w art.32 ust.1 pkt.7 UODO.

II. Procedury identyfikacji użytkowników Zarządzanie kontami użytkowników:

1. Utworzenie konta użytkownika dającego dostęp do aplikacji lub systemu przetwarzającego dane osobowe następuje na wniosek kierownika komórki organizacyjnej. Wniosek o przyznanie uprawnień do aplikacji może być w postaci papierowej lub elektronicznej.

2. Dyrektor MOPS lub osoba upoważniona akceptuje wniosek przez własnoręczny podpis i pieczęć lub podpis elektroniczny.

3. Wniosek po uzyskaniu wszystkich właściwych dla niego akceptacji kierowany jest do administratora systemu do realizacji.

4. Administrator zakłada konto użytkownika w systemie o odpowiednim identyfikatorze zabezpieczone hasłem tymczasowym, którego zmiana jest wymuszona przy pierwszym zalogowaniu użytkownika zgodnie z ogólnymi zasadami budowy hasła opisanymi w polityce bezpieczeństwa i szczegółowymi instrukcjami operacyjnymi specyficznymi dla danego systemu.

5. Nazwa konta i hasło tymczasowe do systemu jest przekazywana użytkownikowi.

6. Hasło uprawniające do korzystania z aplikacji użytkownik wpisuje osobiście.

7. Wniosek o przyznanie lub modyfikację praw dostępu jest przechowywany przez administratora. Kopia wniosku przekazywana jest do ABI.

8. Konto zostaje zablokowane lub usunięte przez administratora na wniosek dyrektora MOPS. O fakcie tym informowany jest ABI.

9. Hasła dostępu użytkownika do systemu stanowią tajemnicę służbową, znaną wyłącznie temu użytkownikowi.

10. Zmiana haseł użytkowników w systemie jest wymuszana co 30 dni.

11. Hasła w stosunku do których zaistniało podejrzenie o ich ujawnieniu podlegają bezzwłocznej zmianie.

12. W celu zabezpieczenia awaryjnego dostępu do systemu przetwarzającego dane osobowe, aktualne hasło administratora systemu i aplikacji jest deponowane w sejfie.

Rejestrowanie i usuwanie użytkowników z rejestru osób dopuszczonych do przetwarzania danych osobowych w systemie informatycznym:

1. ABI prowadzi w imieniu administratora danych ewidencję osób dopuszczonych do przetwarzania danych osobowych w oparciu o gromadzone wnioski o przyznanie lub modyfikację uprawnień.

2. W przypadku otrzymania przez ABI wniosku o zablokowanie lub usunięcie konta użytkownika, jest on zobowiązany w trybie natychmiastowym odznaczyć ten fakt w ewidencji.

3. Konto użytkownika usuwa administrator systemu zgodnie ze szczegółowymi instrukcjami operacyjnymi specyficznymi dla danej aplikacji lub systemu.

4. Usunięcie konta z systemu następuje na wniosek dyrektora MOPS lub innej upoważnionej osoby.

III. Procedury rozpoczęcia i zakończenia pracy

1. Rozpoczynając pracę na komputerze użytkownik podaje wszystkie wymagane

identyfikatory i hasła w sposób uniemożliwiający ich ujawnienie innym osobom.

2. Ustawienie monitora powinno uniemożliwiać podgląd osobom nieuprawnionym szczególnie w procesie obsługi klienta.

3. W przypadku opuszczeniem stanowiska pracy, użytkownik systemu obowiązany jest zaktywizować wygaszacz ekranu lub w inny sposób zablokować stację roboczą.

4. Po zakończeniu pracy przy przetwarzaniu danych osobowych użytkownik powinien prawidłowo wylogować się z systemu, wyłączyć komputer i zabezpieczyć stanowisko przed dostępem osób nieuprawnionych.

IV. Kopie bezpieczeństwa.

Zalecenia do tworzenia, przechowywania, kontroli i likwidacji kopii bezpieczeństwa 1. Tworzenie, przechowywanie i likwidację kopii bezpieczeństwa regulują szczegółowe

instrukcje operacyjne dla poszczególnych aplikacji i systemów przetwarzania.

2. Kopie bezpieczeństwa systemów wykonywane są codziennie oraz dodatkowo w każdy piątek i na koniec miesiąca. Czas przechowywania kopii (jeśli nie wynika ze specyficznych aktów prawnych):

dziennych - 1 tydzień,

tygodniowych - 1 miesiąc,

miesięcznych - 1 rok,

rocznych - 10 lat.

3. Kopie bezpieczeństwa powinny być tworzone na odpowiednich nośnikach informacji dokładnie opisanych.

4. Kopie bezpieczeństwa nie mogą być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco.

5. Kopie bezpieczeństwa przechowywane są w sejfie.

6. Kopie bezpieczeństwa są sprawdzane automatycznie pod względem poprawności zapisu danych.

7. Kopie bezpieczeństwa należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia danych w przypadku awarii systemu.

8. Kopie bezpieczeństwa, które uległy uszkodzeniu lub stały się niepotrzebne pozbawia się zapisu danych, a w przypadku gdy nie jest to możliwe, niszczy w stopniu uniemożliwiającym ich odczytanie zgodnie z przyjętymi procedurami.

V. Sposób i czas przechowywania oraz likwidacja nośników informacji

1. Wydruki komputerowe z systemu zawierające dane osobowe są sporządzane jedynie dla celów operacyjnych.

2. Wydruk komputerowy odpowiednio opisany i oznakowany staje się elementem archiwum papierowego i podlega zasadom dotyczącym przetwarzania danych osobowych w systemie archiwum papierowe.

3. Wydruki ze zbiorów danych osobowych tworzone i używane do celów operacyjnych przez określony czas wykorzystywania przechowywane są w odpowiednich szafach.

4. Nośniki magnetyczne i optyczne z danymi osobowymi są oznaczane i przechowywane w zamykanych odpowiednich szafach lub sejfach.

5. Likwidacji wydruków dokonuje się przy użyciu przeznaczonych do tego celu urządzeń (niszczarek).

6. Jeżeli dysk twardy jest uszkodzony i nie ma możliwości skasowania z niego danych osobowych należy wymontować go z komputera i fizycznie zniszczyć.

7. Likwidacji zniszczonych lub niepotrzebnych nośników magnetycznych lub optycznych dokonuje się zgodnie z przyjętymi procedurami.

VI. Ochrona antywirusowa

1. Ochrona antywirusowa jest realizowana przez oprogramowanie antywirusowe instalowane na serwerze i stacjach roboczych użytkowników.

2. Oprogramowanie antywirusowe jest systematycznie uaktualniane.

3. W przypadku wykrycia wirusa należy natychmiast powiadomić administratora oraz

administratora bezpieczeństwa informacji.

VII. Konserwacja i naprawa systemu przetwarzającego dane osobowe

1. Prace dotyczące przeglądów, konserwacji i napraw wymagające zaangażowania autoryzowanych firm zewnętrznych, są wykonywane przez uprawnionych przedstawicieli tych firm (serwisantów) pod nadzorem administratora systemu, bez możliwości dostępu do danych osobowych.

2. W wypadku konieczności dostępu do danych osobowych przez serwisantów, podpisują oni specjalny dokument o zachowaniu poufności (zgodnie z Art. 39 Ustawy o ochronie danych osobowych).

3. Urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu danych osobowych lub naprawia się je pod nadzorem administratora lub osoby przez niego upoważnionej.

VIII. Sposób postępowania w sytuacji awarii systemu komputerowego

W przypadku awarii systemu komputerowego należy natychmiast powiadomić administratora systemu i administratora bezpieczeństwa informacji oraz bezwzględnie zastosować się do ich poleceń.

Jeżeli awaria dotyczy serwera administrator przed przystąpieniem do naprawy sporządza kopię bezpieczeństwa systemu (jeżeli awaria to umożliwia).

Po usunięciu awarii, jeśli zbiory danych uległy uszkodzeniu lub modyfikacji administrator przywraca je z aktualnej kopii bezpieczeństwa.

IX. Sposób postępowania w zakresie komunikacji w sieci komputerowej.

1. Pliki zawierające dane osobowe mogą się znajdować jedynie na serwerze gdzie podlegają ochronie zapewnianej przez mechanizmy bezpieczeństwa systemu operacyjnego (np. uwierzytelnianie).

2. Na stacjach roboczych użytkowników dane osobowe nie są przechowywane.

3. Nieuzasadnione kopiowanie przez użytkowników, plików z serwera na stacje robocze użytkowników, dyskietki i inne nośniki jest zabronione.

4. Wszelkie pliki z danymi osobowymi przesyłane na zewnątrz firmy przez łącza publiczne muszą być zaszyfrowane bądź chronione hasłem.

5. Komunikacja między klientami (użytkownikami) łączącymi się z systemem przez Internet odbywa się przy pomocy tunelu VPN uwierzytelnionego za pomocą certyfikatów wydanych przez MOPS.

X. Zasady korzystania z komputerów przenośnych.

1. Komputery przenośne, używane do przetwarzania danych osobowych, powinny być zabezpieczone podczas transportu oraz przechowywania przed dostępem do tych danych osób nieuprawnionych.

2. W szczególności należy:

• zabezpieczyć dostęp do komputera hasłem (gdy jest zainstalowany system Windows95 lub 98 hasłem na poziomie BIOS),

• nie zezwalać na używanie komputera osobom nieupoważnionym do dostępu do danych osobowych,

• pliki z danymi osobowymi należy zaszyfrować bądź chronić hasłem.

XI. Postanowienia końcowe

1. Każda osoba upoważniona do przetwarzania danych osobowych obowiązana jest zapoznać się przed dopuszczeniem do pracy z niniejszą Instrukcją oraz złożyć stosowne oświadczenie dotyczące znajomości jej treści.

2. Osoba upoważniona do przetwarzania danych osobowych za naruszenie obowiązków, wynikających z niniejszej Instrukcji i przepisów o ochronie danych osobowych ponosi odpowiedzialność przewidzianą w Regulaminie Pracy oraz Kodeksie Pracy (Dz.U. z 1974r. Nr24, poz.141) za ciężkie naruszenie podstawowych obowiązków pracowniczych, gdy naruszenia dopuścił się pracownik;

3. Użytkownik nie przestrzegający zasad określonych w niniejszej Instrukcji ponosi

odpowiedzialność karną z art. 51-52 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133, poz.883) oraz na podstawie art. 267 - 269, 287 Kodeksu Karnego (Dz. U. z 1997 r. Nr 88, poz.553).

4. W sprawach nieuregulowanych w Instrukcji mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (Dz. U. Nr 133, poz. 883) oraz przepisy aktów wykonawczych wydanych na jej podstawie.