UNIWERSYTET JAGIELLOŃSKI DO-0130/29/2006
Zarządzenie nr 29
Rektora Uniwersytetu Jagiellońskiego z 24 marca 2006 roku
w sprawie: wprowadzenia Instrukcji zarządzania systemem inform atycznym służącym do przetwarzania danych osobowych w Uniwersytecie Jagiellońskim
Na podstawie § 8 ust. 1 zarządzenia nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku w sprawie ochrony danych osobowych przetwarzanych w UJ zarzadzam, co następuje:
§1
Wprowadza się Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Uniwersytecie Jagiellońskim, stanowiącą załącznik do niniejszego zarzą
dzenia.
§ 2
1. Instrukcja, o której mowa w § 1, stanowi podstawę do opracowania instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe przez lokalnych administratorów bezpieczeństwa informacji w konkretnej jednostce organizacyjnej.
2. Instrukcja, o której mowa w § 1, wraz z załącznikiem stanowić będzie zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Uniwersytecie Jagiellońskim.
§3 Zarządzenie wchodzi w życie z dniem podpisania.
Rektor
Prof, dr hab. Karol Musioł
Otrzymują:
- Prorektorzy
- Dziekani Wydziałów
- Dyrektorzy/Kierownicy jednostek poza-
i międzywydziałowych oraz międzyuczelnianych - Kanclerz UJ
- Z-ca Dyrektora Adm. UJ ds. Collegium Medicum - Z-ca Dyrektora Adm. UJ. ds. Teleinformatycznych
- Sekcja Ochrony Informacji Niejawnych i Spraw Obronnych - Dział Spraw Osobowych (+ Collegium Medicum)
- Dział Nauczania
- Zespół Radców Prawnych
Załącznik do zarządzenia nr 29 Rektor UJ
z 24 marca 2006 r.
Instrukcja zarządzania system em inform atycznym służącym do przetw arzania danych osobow ych w U n iw ersytecie Jagiellońskim
1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie teleinformatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
1. Rejestracja, wyrejestrowanie lub zmiana uprawnień użytkownika systemu informa
tycznego przetwarzającego dane osobowe następuje na wniosek przełożonego danego pracownika, po zatwierdzeniu przez lokalnego administratora danych osobowych.
2. Uprawnienia do realizacji powyższych czynności posiada lokalny administrator bezpieczeństwa informacji.
3. Lokalny administrator bezpieczeństwa informacji jest zobowiązany do prowadzenia ewidencji pracowników, w formie elektronicznej i tradycyjnej, dopuszczonych do pracy w systemie informatycznym przetwarzającym dane osobowe.
2 . Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
1. System informatyczny przetwarzający dane osobowe wykorzystuje mechanizm haseł jako narzędzie umożliwiające bezpieczne uwierzytelnienie. Za przydzielenie tymczasowego hasła użytkownikowi, który pierwszy raz będzie korzystał z systemu informatycznego, odpowiada lokalny administrator bezpieczeństwa informacji. Za wygenerowanie hasła odpowiada lokalny administrator bezpieczeństwa informacji.
2. System informatyczny przetwarzający dane osobowe je st skonfigurowany w sposób wymuszający bezpieczne zarządzanie hasłami użytkowników, z tego względu:
- hasło tymczasowe przydzielone użytkownikowi musi być zmienione po pier
wszym udanym zalogowaniu się do systemu informatycznego przetwarzającego dane osobowe;
- hasła są zmieniane przez użytkowników;
- system informatyczny "wyposażony je st w mechanizmy wymuszające zmianę hasła po upływie 30 dni od dnia ostatniej zmiany hasła;
- system informatyczny wyposażony jest w mechanizm pozwalający na wymuszenie jakości hasła, w szczególności hasło powinno składać się z co najmniej ośmiu przypadkowych znaków, zawierać co najmniej je d n ą litere wiel
ką, jedną cyfrę i jeden znak specjalny;
- wprowadzone hasło powinno różnić się od, co najmniej, trzech ostatnio stoso
wanych, przy czym system informatyczny jest wyposażony w mechanizmy pozwalające na wymuszenie wymaganych różnic;
- system informatyczny posiada mechanizmy automatycznego generowania przez
administratora systemu informatycznego haseł dla użytkownika, który może być
włączony w uzasadnionych przypadkach, na wniosek lokalnego administratora
bezpieczeństwa informacji.
3. Osoby uprawnione do wykonywania prac administracyjnych w systemie informa
tycznym posiadają własne konta administracyjne, do których m ają przydzielone hasła.
Zasady zarządzania hasłami są analogiczne, jak w przypadku zwykłych haseł użytkowników.
4. Za ochronę krytycznych elementów systemu, np. serwera bazy danych, miejsc przechowywania kopii itd. odpowiada lokalny administrator bezpieczeństwa informacji.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
1. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje wprowa
dzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu.
2. Użytkownik powinien powiadomić lokalnego administratora bezpieczeństwa infor
macji lub inne osoby przez niego upoważnione, zgodnie z instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych, jeżeli:
- wygląd aplikacji odbiega od stanu normalnego;
- pewne opcje, dostępne użytkownikowi w normalnej sytuacji, przestały być dostępne łub też pewne opcje, niedostępne użytkownikowi w normalnej sytuacji, stały się dostępne;
- sposób działania aplikacji znacząco odbiega od normalnego stanu;
- zakres danych lub sposób ich przedstawienia przez aplikacje odbiega od stanu normalnego.
3. Zakończenie pracy użytkownika w systemie informatycznym obejmuje w y logowanie się użytkownika z aplikacji.
4. Użytkownik może przetwarzać dane osobowe w systemie komputerowym w godzinach pracy. Przetwarzanie danych osobowych po godzinach pracy wymaga zgody przełożonego oraz powiadomienia lokalnego administratora bezpieczeństwa informacji.
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
1. Dane osobowe przetwarzane w systemie informatycznym podlegają zabezpieczeniu poprzez tworzenie kopii awaryjnych. Za określenie procedury tworzenia kopii awa
ryjnych odpowiada lokalny administrator bezpieczeństwa informacji. Do tworzenia kopii awaryjnych wykorzystywane są dedykowane do tego celu urządzenia wchodzące w skład systemu informatycznego.
2. Lokalny administrator bezpieczeństwa informacji, w porozumieniu z lokalnym admi
nistratorem danych osobowych, jest odpowiedzialny za tworzenie i przekazywanie użytkownikom grafiku określającego kto i kiedy - w jakie dni i w jakich godzinach tworzy kopie awaryjne.
3. Lokalny administrator danych osobowych przeprowadza raz na sześć miesięcy testy odtworzeniowe kopii awaryjnych, sporządzając protokół potwierdzający ich wykonanie.
4. Nośniki kopii awaryjnych, które zostały wycofane z użycia, podlegają niszczeniu
zgodnie z obowiązującymi wytycznymi.
5. Sposoby, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe
1. Nośniki danych osobowych, zarówno w postaci elektronicznej ja k i tradycyjnej, winny być zabezpieczone przed dostępem osób nieupoważnionych. Dane osobowe mogą być zapisywane na nośnikach przenośnych w przypadku tworzenia kopii awaryjnych lub gdy istnieje konieczność przeniesienia tych danych w postaci elektro
nicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione, niemożliwe łub zbyt niebezpieczne.
2. Lokalny administrator bezpieczeństwa informacji prowadzi ewidencję nośników przenośnych. Ewidencja sporządzana jest w celu zapewnienia rozliczalności proce
sów przetwarzania informacji w systemie informatycznym przetwarzającym dane osobowe.
3. Przekazywanie nośników danych osobowych i wydruków poza obręb jednostek organizacyjnych uczelni odbywa się za w iedzą i zgodą lokalnego administratora danych osobowych.
4. W przypadku, gdy nośnik danych osobowych nie jest dłużej potrzebny, należy przeprowadzić zniszczenie nośnika albo usunięcie danych z nośnika.
5. Kopie zapasowe oraz wydruki z danymi osobowymi są oznaczane, przechowywane, niszczone i archiwizowane zgodnie z wytycznymi zawartymi w Instrukcji Kance
laryjnej Uczelni.
6. Sposób zabezpieczenia systemu informatycznego przed działaniem oprogra
mowania, którego celem jest nieuprawniony dostęp do systemu informatycznego
1. Lokalny administrator bezpieczeństwa informacji jest odpowiedzialny za zarządzanie systemem wykrywającym i usuwającym wirusy i inne niebezpieczne kody.
2. System antywirusowy powinien być skonfigurowany w następujący sposób:
- skanowanie dysków zawierających potencjalnie niebezpieczne kody przy włączeniu komputera - raz dziennie;
- skanowanie informacji przesyłanych do systemu informatycznego pod kątem pojawienia się niebezpiecznych kodów - n a bieżąco.
3. Lokalny administrator bezpieczeństwa informacji jest odpowiedzialny za aktualizację wzorców wirusów. System antywirusowy powinien być aktualizowany na podstawie materiałów publikowanych przez producenta oprogramowania.
4. W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów przez system antywirusowy administrator bezpieczeństwa informacji winien podjąć działania zmierzające do usunięcia zagrożenia.
7. Procedura wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych osobowych
1. Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe m uszą uwzględniać zachowanie wymaganego pozio
mu zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych.
Prace serwisowe m ogą być wykonywane wyłącznie przez firmy, z którymi została
podpisana stosowna umowa normująca w szczególności zasady ochrony danych.
2. Użytkownicy systemu winni zgłaszać niesprawności systemu informatycznego lokalnemu administratorowi bezpieczeństwa informacji lub lokalnemu administra
torowi danych osobowych, którzy są uprawnieni do kontaktów z firmą, serwisową.
3. Lokalny administrator bezpieczeństwa informacji może wyznaczyć osoby upoważnio
ne do nadzorowania i odbioru wszystkich napraw systemu informatycznego lub do nadzorowania wszystkich napraw określonych komponentów systemu.
4. W przypadku konieczności przeprowadzenia prac serwisowych poza jednostką organizacyjną Uczelni dane z naprawianego urządzenia m uszą zostać usunięte zgodnie ze szczegółowymi wytycznymi. Od powyższego wymagania możliwe jest odstępstwo, jeżeli urządzenie, podczas przechowywania poza jednostką organizacyjną Uczelni, będzie pod stałym nadzorem osoby upoważnionej do dostępu do danych na nim przetwarzanych.
5. Lokalny administrator bezpieczeństwa informacji prowadzi rejestr prac serwisowych i konserwacyjnych, wykonanych w zakresie systemu informatycznego przetwa
rzającego dane osobowe.
6. Lokalny administrator bezpieczeństwa informacji w porozumieniu użytkownikiem systemu jest odpowiedzialny za okresowy przegląd zbioru danych osobowych oraz usunięcie danych, których przechowywanie jest dłużej nieuzasadnione.
8. Sposób realizacji wymogów w zakresie udostępniania danych osobowych odbiorcom
Lokalny administrator danych osobowych odnotowuje fakt udostępnienia informacji o danych osobowych (komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione).
Uwaga!
Z ałączn ik do niniejszej In stru k cji stanow i przy k ład , któ ry należy dostosować do specyfiki jed n o stk i organizacyjnej i posiadanego system u kom puterow ego.
S po rząd zając in stru k cję należy kierow ać się następującym i wskazówkam i:
a. punkty wytłuszczone pozostawić bez zmian;
b. w tytule instrukcji należy określić nazwę bazy oraz jednostkę w której dana baza się znajduje;
c. w punkcie 1.1. należy podać stanowisko osoby zgodnie z § 5 zarządzenia nr 14 Rektora UJ z 10 lutego 2006 roku;
d. w punkcie 1.3 należy podać stanowisko osoby która w danej jednostce pełni funkcję lokalnego administratora bezpieczeństwa informacji;
e. punkcie w 4.1 należy podać zakres czasowy w jakim maja zostać archiwizowane dane.
W razie wątpliwości informacji udziela Z-ca Dyrektora ds. teleinformatycznych:
dr Józef Oleszkiewicz, teł. w. 1498,1499, teł. 0-12-663-14-98, 0-12-663-14-99, kom. 0506 006-640, a w sprawach Collegiim Medicum: kierownik Ośrodka Komputerowego CM UJ mgr inż.
Lucjan Stalmach, 012-422-99-63, kom. 0607 628-889.
Załącznik do Instrukcji zarzadzania systemem informatycznym służącym do przetwarzania danych osobowych w UJ, wprowadzonej zarządzeniem n r 29 Rektora U J z 24 marca 2006 r.
In s tru k c ja zarządzania system em in fo rm a tyczn ym
w zakresie danych oso b o w ych ...P r o c e d u ry z w ią z a n e z n a d a w a n ie m u p ra w n ie ń d o p rz e tw a rz a n ia d a n y c h i re je s tro w a n ia ty c h u p r a w n ie n w s y s te m ie te le in fo r m a ty c z n y m o ra z w s k a z a n ie o s o b y o d p o w ie d z ia ln e j za te c z y n n o ś c i:
1.1. Pełne uprawnienia do systemu n a d a je ... Jest to Lo kalny A d m in is tra to r D a n ych O sob ow ych (LAD O ).
1.2. P ełno m ocnik Lo ka ln e g o A d m in istra to ra D anych O s o b o w y ch lu b Lo kalny A dm inistra to r D a nych O sob ow ych _ po w o łuje u ż ytk o w n ikó w system u in fo rm a tycz n e g o którzy m a ją up raw nienia do prz e tw a rz a n ia d a n ych o so bo w ych w system ie. R e je str u ż > ik o w n ik ó w je s t prow adzony na p o dstaw ie Z a rz ą d z e n ia n r 14 R ektora UJ z dn ia 10 lutego 20 06 i z a łą c z n ik a n r 4 do te g o z arządzenia
1.3. Lokalnym A d m in istra to re m B ezp ie czeństw a in fo rm acji jest:
1.4. J e s t pro w a d zo n y i u a k tu a ln ia n y re je str upraw nień przyz n a n yc h po szczeg óln ym osobom do’ e le m e n tó w syste m u o ra z prze tw arza nia i re je stro w a n ia da nych oso bo w ych.
S to s o w a n e m e to d y i ś r o d k i u w ie r z y te ln ia n ia o ra z p ro c e d u r y z w ia z a n e z ic h z a rz ą d z a n ie m i u ż y tk o w a n ie m :
2 .1 . W ce lu w e jścia na ob szar, w którym w p ro w a d za n e i p rz e tw a rza n e s ą dane osobow e w y d a p s ię
pra co w n iko m o d p o w ie d n ie u p o w a ż n ie n ia na piśm ie. ' *
2.2. U zyska n ie do stępu do s y ste m u prze tw arza nia i w p ro w a d z a n ia d a n ych osobow ych następuje p o p iz e z po d a n ie pra w id ło w e g o id e n tyfika to ra i hasła przyzn an ych p rze z ad m in istra to ra - lub id en tyfika to ra i H a sła a u to m a tyczn ie w yg e n e ro w a n e g o przez system . H a sło n a d a n e przez ad m in istra tora m usi s k ła d a ć się z c o na jm n iej 8 zn a kó w , za w ie ra ją c m ałe i du że litery o ra z cy fry a ta kże znaki in te rpu nkcyjn a Z m ia n a hasła n a stępu je nie rzad zie j niż co 30 dni.
2 .3 . U ży ty id e n ty fik a to r nie m o ż e b yć po w tórn ie przyzn an y in ne m u użytko w nikow i.
2.4. U żytko w n ik którem u przy p isa n o id e n ty fika to r i hasło z o b o w ią z a n y je s t do przestrzegania n a stępu ją cych zasa d;
- Powierzony identyfikator i hasło nie może znajdow ać się w miejscu widocznym dla osób nieupoważnionych (np. zawieszone na monitorze);
- N ie d o p u sz cza ln e je s t uw ierzyte lnianie się („lo g o w a n ie się”) na id en tyfika to r i hasło in n e g o użytko w nika lub praca w syste m ie in fo rm a ty czn ym na kon cie innego użytkow nika.
Z a b ra n ia się rów nie ż udostęp niania p rzyd zie lo n e g o o s o b iste g o Identyfikatora i H a sła innym u żytko w n iko m a ta k ż e oso bo m n ie u p o w a żn io n ym ;
■ W p rz y p a d k u w ystaw ienia niep raw idło w o ści w m e ch a n izm ie uw ierzyte lniania („lo gow an iu się w syste m ie ) lub działa nia system u, u ż y tk o w n ik niezw łoczn ie po w ia da m ia o nich Lorcalnego A d m in istra to ra B ezp ie czeństw a in fo rm a cji, któ ry m a ob ow iąze k za p o zn a ć się z prze k a za n ym i uw a g a m i o ra z p o djąć o d p o w ie d n ie d zia ła n ia o p isa n e w punkcie 6.2.;
■ U żytko w n icy syste m u zo b o w ia za n i s ą do o c h ro n y w p ro w a d za n ych da nych p rze z z a b e zp ie cze n ie e kra n u m onitora przez w z ro k ie m nieu pow ażn ion ych osób. N iedo - puszczali ia je s t sytuacja, g d y ekran m on itora o s o b y w p row a dza jące j da ne skie ro w a n y je s t w stro n ę o só b nieu pow ażn ion ych;
Po z a k o ń cze n iu o p era cji w system ie u żytko w n ik o b ow iąza ny je s t w ylo a o w a ć sie
z s yste m u ; v
W przypadku awarii, zagubienia hasła lub innych nieprzewidzianych sytuacji zagra
żających bezpieczeństwu danych każdy z użytkowników obowiązany je s t niezwłocznie powiadomić o tym Lokalnego Administratora Bezpieczeństwa.
2.5. P rze syła n ie id e n tyfik a to ró w o ra z h a s e ł do system u z d a ln e g o o d b y w a się przy z asto sow a niu a lg o ry tm ó w sz yfru ją cych z a im p le m e n to w a n yc h w kliencie prze syła nia d a n y ch . D o pu szczaln e je s t korzystan ie z e z w yk łe j p rze gląda rki in ternetow ej, pod w a run kiem ż e da ne z o s ta n ą zaszyfrow an e i prze sła ne do sys te m u z d a ln e g o za p o m o c ą np. pro to kołu SSL.
P ro c e d u ry ro zp o czę cia , zaw ie sze n ia i za ko ń cze n ia pracy p rze zn a czo n e d la u ż ytk o w n ik ó w syste m u - 3.1. U żytko w n ik rozp oczyn a pracę w sys te m ie od na stępu ją cych czynn ości:
■ w łą c ze n ia kom putera,
* uw ie rzy te ln ie n ia się („zalogo w a nia się”) w s y s te m ie poprzez podanie Identyfikatora i Hasła.
3.2. Z a k o ń c z e n ie pracy użytk o w n ika w syste m ie następu je po „w y lo g o w a n iu się” z system u. Po z a ko ń cze n iu p ra cy użytko w nik z a b e z p ie c z a sw o je sta n o w isko pracy, w s z c z e g ó ln o ś c i nośniki danych (dyskietki, płyty wu ’
dokumenty
' w y d ru k i zaw iera ją ce da ne oso bo w e, prze d do s tę p e m osób nieu pow ażnionych.3.3. W przyp ad ku d łu ższ e g o o p u s zcz e n ia stanow iska pracy, u ż y tk o w n ik zo b o w ią za n y je s t „w ylogo w a ć s ię ” lub z a ktyw izo w a ć w y g a s z a s z e kra n u z o p cją p o no w ne go „lo g o w a n ia ” się do system u.
P ro c e d u ry tw o rz e n ia k o p ii za p a so w y ch z b io ró w d a n ych o ra z p ro g ra m ó w i narzędzi p ro g ra m o w ych s łu ż ą c y c h d o ic h prze tw a rza nia :
4.1. P ełne kop ie z a p a s o w e danych oso bo w ych ...
w yk o n yw a n e s ą ra z na ... i po za s zyfro w a n iu przesyłane na zd a ln e system y. Raz na ... w y k o n y w a n y je s t zap is najnow szej w e rs ji kopii z a p a so w e j na ze w n ę trzn ym nośniku ... •... p 0
. . . . . ... kopie z a p a s o w e s ą n isz czo n e w spo sób un ie m ożliw ia jący ja k ik o lw ie k od czyt d a n yc h na nich zaw artych.
4.2. K lu czam i szyfrują cym i, um o żliw ia ją cym i dostęp do kopii z a p a s o w y c h d y s p o n u ją w yłącznie o so b v z listy
w p u n kcie 1.1. 3
4.3. K op ie zap aso w e p rze ch o w yw a n e s ą w ściśle o kre ślo nym , ch ro n io n ym m ie jscu do którego m a ją dostęp ty lk o upow ażnione o s o b y z listy w pu nkcie 1.1. M ie jsc e to po w in no być różne od m ie jsca prze ch o w yw a n ia z b io ró w da nych , z których spo rząd zono kop ie za p a so w e .
P ro c e d u ry niszczenia n o ś n ik ó w za w ie ra ją cych in fo rm a c je z b a zy d a n y c h o s o b o w y c h po z a k o ń c z -n iu o k re s u ic h u żytkow ania:
5.1. D yski Tw arde, któ rych w s k u te k uszkodzenia nie da sie u ru c h o m ić w s e iw e rz e lub stacii ro b o c z ^ i
n iszc zy się poprzez: 1
* U d erzenie - z m ia żd że n ie m ło tkie m układ ów s calon ych na p łytce ste ru ją ce j dyskiem ;
- D okon anie o tw o ró w z a p o m o c ą w iertarki w e w s z y s tk ic h ta rc z a c h dysku tw ard eg o w s p o só b
asym e tryczn y. a K
5.2. D ys ki T w a rd e które po z a ko ń cz e n iu eksp lo atacji da się u ru c h o m ić n isz czy się w sposób o p isa n y w pu nkcie 5.1 lub sto su je się program do nadp isyw a nia da nych na całym o b sza rze przestrzeni dyskow ej k io ry skutecznie u n ie m o ż liw i o d c z y t poprzednich danych z a w a rty c h na dysku.
5.3. N o śniki kopii za p a so w ych , po za p rze sta n iu ich użytko w an ia, n a le ż y po zba w ić danych i z n is z c z y ć w s p o s o b u n ie m o żliw ia ją c y ich użycie.
o.4. W yd ru k i za w ie ra ją ce d a n e oso bo w e na le ży p rze cho w yw a ć w m ie jscu un ie m o żliw ia ją cym ich o d czy ta n ie prze z oso by n ieu praw nio ne . W y d ru ki nieprzydatne n a le ży z n is z c z y ć w sto p n iu unie m ożliw ia jącym ich
S p o s ó b z a b e z p ie c z e n ia s y s te m u in fo rm a ty c z n e g o p rz e d d z ia ła n ie m o p ro g ra m o w a n ia , k tó re g o c e le m je s t n ie u p r a w n io n y d o s tę p d o s y s te m u in fo rm a ty c z n e g o :
6.1. S p ra w d za n ie o b e c n o ś c i w iru s ó w kom p utero w ych ora z p ro g ra m ó w , któ rych celem je s t nie u p ra w n io n y d o s tę p do system u, d o ko n yw a n e je s t poprzez za in sta lo w a n ie o p ro g ra m o w a n ie antyw irusow e, któ ry s ka n u je a u to m a tyczn ie b e z ud zia łu użytkow nika k o m p u te r/te rm in a l. Program je s t z a in sta lo w a n y na w s zys tkic h serw erach i sta cja ch roboczych.
6.2. P o d cza s uru cho m ien ia system u program pow inien s p ra w d z a ć w e rs ję po sia dan eg o program u a n tyw iru so w e g o i w ra zie ko n ie c zn o ści do kon ać a u to m a tyc zn e j a ktu a liza c ji do na jn ow sze j w ersji.
6.3. Po każdej na praw ie i ko n se rw a cji kom putera na le ży d o k o n a ć s p ra w d z e n ia pod kątem w ystę p o w a n ia w iru s ó w i po no w nie z a in s ta lo w a ć program antyw irusow y.
6.4. E le ktro n ic zn e no śniki in fo rm a cji po cho dze nia ze w n ę trzn e g o p o d le g a ją spra w d zeniu pro qra m em a n tyw iru sow ym prze d ro zp o czę c ie m korzystania z nich.
P o s tę p o w a n ie w p r z y p a d k u s tw ie rd z e n ia n a ru s z e n ia o c h r o n y d a n y c h o s o b o w y c h
7 .1 . K a żd a osoba z a tru d n io n a w je d n o s tk a c h organizacyjnych UJ w p ro w a d za ją cyc h da ne do system u, która s tw ie rd z a lub po de jrzew a n a ru sze n ie zab ezp iecze nia och ron y d a n y c h oso b o w yc h w system ie, po w in na n ie zw ło c zn ie p o in fo rm o w a ć o tym Lokalneg o A dm in istra to ra B e zp ie c ze ń stw a Inform acji.
7.2. P o stw ierdzeniu n a ru sz e n ia Lo kalny A d m in istra to r B e zp ie cze ń stw a In fo rm a cji pow inien:
■ z a p is a ć w s z e lk ie in fo rm acje zw ią za n e z da nym z d a rze n ie m , a s z cz e g ó ln ie do kła dny czas u zyska nia in fo rm a cji o na rusze niu za b e zp ie cze n ia d a n ych oso bo w ych,
■ na bieżąco w yg e n e ro w a ć i w yd ru ko w a ć w s zystkie m o ż liw e d o k u m e n ty i raporty, które m o g ą po m óc w usta le n iu okoliczn ości zdarzenia, o p a trzyć je d a tą i po dp isem ,
• przystąp ić do z id e n ty fiko w a n ia rodzaju z a is tn ia łe g o zda rze n ia , z w ła s zcz a do określenia skaii zniszczeń i m e to d y do stępu do danych,
niezw łoczn ie p o d ją ć o d p o w ie d n ie kroki w celu p o w strzym a n ia lub og ran iczen ia d o stępu do da nych , z m in im a lizo w a n ia szkód i z a b e z p ie cz e n ia przed usu nięcie m śladów ingerencji.
7 .3 . Po w ye lim ino w an iu b e zp o ś re d n ie g o za g ro że n ia Lo kalny A d m in is tra to r B ezp ie czeństw a Inform a cji pow inien prze p ro w a d zić w s tę p n ą analizę stanu system u w ce lu po tw ie rdzen ia lub w y k lu c z e n ia fa ktu naruszenia o ch ron y d a n y ch o so bo w ych w syste m ie oraz spraw dzić:
* stan urzą dze ń w yko rzys tyw a n y ch do p rze tw arza nia da nych osobow ych,
■ za w a rto ś ć zb io ru d a n ych osobow ych, po pra w no ść d zia ła n ia program u.
7.4. Lokalny A d m in is tra to r B ezp ie czeństw a Inform acji p rz e ka z u je A dm inistra to row i B e zp ie cz e ń s tw a Inform acji o ra z Lo kalnem u A d m in istra to ro w i D anych O so b o w ych szczeg ółow y raport o przyczynach, przebiegu i w n ioska ch w yn ika ją cyc h z e zdarzenia. D a lsze d o d a tk o w e czynności p o d e jm u je po otrzym aniu e w e n tu a ln y ch d o d a tko w ych po le ceń od A d m in is tra to ra B ezpieczeństw a Inform a cji i Lokalnego A d m in is tra to ra D a nych O sobow ych.
S p o s ó b re a liz a c ji w y m o g u re je s tr a c ji in fo r m a c ji o o d b io rc a c h , k tó ry m d a n e o s o b o w e z o s ta ły u d o s tę p n io n e , d a c ie i z a k re s ie te g o u d o s tę p n ie n ia :
8.1. U żytkow nik za p isu je w re je s trz e pro w a dzon ym w fo rm ie p a p ie ro w e j in fo rm acje o o d b io rca ch da nych osobow ych w ro zu m ie n iu art. 7 p k t 6 ustaw y o och ro n ie da n ych oso bo w ych, którym d a n e oso bo w e zosta ły ud ostępnione, d a cie i z a k re sie te g o ud ostępnienia.
P ro c e d u ra w y k o n a n ia p r z e g ią d ó w i k o n s e r w a c ji s y s te m ó w o ra z n o ś n ik ó w in fo r m a c ji s łu ż ą c y c h d o p rz e tw a rz a n ia d a n y c h :
9.1. Przeglądy i kon se rw a cje s y ste m u i z b io ró w w y ko n y w a n e s ą na bieżąco, lecz nie rza d z ie j niż ra z w m iesiącu. S pra w d zo n a z o s ta je s p ó jn o ść danych, in d e ksó w o ra z stan n o śn ikó w np. d y s k ó w tw a rd ych . 9.2. O kresow o (nie rzad zie j n iż ra z na m ie siąc) spra w d zona z o s ta je m o ż liw o ś ć odtw orzenia d a n y ch z kopii
zapasow ej.
9.3. U m ow y d o tyczące in sta la cji i ko n se rw a cji sprzę tu na le ży z a w ie ra ć z podm iotam i, których w ia ry g o d n o ś ć fach ow e go w yko n a n ia usłu g i o ra z w ia ryg o d n o ść fina nso w a z o s ta ły spra w d zo n e na rynku.
9.4. N apraw y serw isow e sp rzę tu o b ję te g o um o w a m i se rw iso w ym i o d b y w a ć się be dą z g o d n ie z za sa d a m i usta lon ym i w um o w ie se rw iso w e j.
9.5 . N apraw a sprzętu, która o d b y w a się w m ie jscu je g o u żytko w an ia, w ym a g a nadzoru o só b u ż ytk u ją cy ch sprzęt.
9.6. S przę t k o m p u te ro w y prze d od da nie m do serw isu poza m ie jsce je g o użytkow ania, p o w in ie n b yć odpo w ie dn io przyg otow any. D a n e na le ży z a rch iw izo w a ć na nośniki, a z d yskó w tw a rd y c h sku te czn ie usunąć zb io ry d a n ych i p ro g ra m y sp e cja listyczn e . N ie d o p u szc za ln e je s t przekazanie do n a p ra w y poza siedzibę U n iw e rsyte tu J a g ie llo ń s k ie g o uszko dzo ne go ele m e n tu , na którym są p rze ch o w y w a n e da ne chronione.
9 .7 . Z m ia n a konuguracji s p rzę tu ko m p u te ro w e g o lub zm ia n a je g o lo ka liza cji m oże być d o k o n a n a ty lk o za zgo da lokalnego a d m in is tra to ra bezpieczeń stw a inform acji.
P o d p is Lokalnego A d m in istra to ra D a nych O sob ow ych (lub J eg o pe łn o m o cn ika )
