Instrukcja określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych Uniwersytecie Warmińsko-Mazurskim



Pobieranie 29.91 Kb.
Data08.05.2016
Rozmiar29.91 Kb.

Załącznik nr5 do ZARZĄDZENIA Nr3

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie

z dnia 2 stycznia 2006 r.

w sprawie: ochrony danych osobowych i baz danych w systemach informatycznych Uniwersytetu Warmińsko-Mazurskiego w Olsztynie




Instrukcja

określająca sposób zarządzania i formy zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych Uniwersytecie Warmińsko-Mazurskim
§ 1
1.Niniejsza instrukcja określa ogólne zasady zarządzania każdym systemem informatycznym służącym do przetwarzania danych osobowych na Uniwersytecie Warmińsko-Mazurskim oraz stanowi podstawę do opracowania instrukcji szczegółowych uwzględniających specyfikę poszczególnych systemów informatycznych funkcjonujących na Uczelni.
§ 2
Administrator bezpieczeństwa informacji UWM realizuje następujące zadania:

  1. Sprawuje nadzór nad wdrażaniem niniejszej instrukcji w systemach informatycznych Uniwersytetu Warmińsko-Mazurskiego, w których przetwarzane są dane osobowe oraz dba o bieżące jej uaktualnianie stosownie do zmieniających się technologii informatycznych oraz zagrożeń bezpieczeństwa systemów informatycznych uczelni

  2. określa strategię zabezpieczania systemów informatycznych uczelni

  3. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych uczelni

  4. określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe

  5. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz ich przetwarzania

§ 3

Lokalni administratorzy danych stwarzają właściwe warunki organizacyjno-techniczne gwarantujące bezpieczeństwo systemów informatycznych w podległych im jednostkach, a w szczególności:



  1. wyznaczają administratorów poszczególnych systemów informatycznych funkcjonujących w podległych im jednostkach

  2. stosują się do zaleceń administratora bezpieczeństwa informacji (lub - uwzględniają w miarę możliwości finansowo-lokalowych zalecenia administratora bezpieczeństwa informacji) w zakresie

  1. lokalizacji pomieszczeń, w których przetwarzane są dane osobowe

  2. lokalizacji pomieszczeń, w których przechowywane są kopie awaryjne zbiorów danych osobowych

  3. instalowania krat i systemów alarmowych adekwatnych do zagrożenia systemów informatycznych

  4. zakupu systemów operacyjnych, baz danych, oprogramowania antywirusowego oraz systemów kryptograficznych podnoszących bezpieczeństwo danych osobowych oraz gwarantujących spełnienie wymogów określonych ustawą

  5. zakupu pamięci masowych, streamerów oraz innych urządzeń i nośników umożliwiających wykonywanie kopii zapasowych danych osobowych w systemach informatycznych

  6. właściwego prowadzenia i zabezpieczenia okablowania sieci komputerowej służącej do przetwarzania danych osobowych w systemach informatycznych w celu wyeliminowania niebezpieczeństwa podsłuchu lub zniszczenia infrastruktury sieciowej

  7. zakupu niszczarek do dokumentów do pomieszczeń, w których generowane są wydruki zawierające dane osobowe

  8. zakupu szaf pancernych do przechowywania kopii zapasowych danych osobowych z systemów informatycznych

  1. w przypadku systemów informatycznych działających w środowisku sieciowym

  1. dokonują wyboru lub migracji do technologii minimalizującej zagrożenie uzyskania dostępu do sieci osobom nieupoważnionym

  2. zakupują oprogramowanie umożliwiające rejestrowanie identyfikatorów i czas logowania użytkowników sieci

  3. nadzorują proces monitorowania sieci pod kątem zabezpieczenia przed dostępem osób nieupoważnionych

  1. zabezpieczają budynki oraz pomieszczenia, w których przetwarzane są dane osobowe w systemach informatycznych przed dostępem osób niepowołanych, a w szczególności

  1. wprowadzają i nadzorują bieżącą aktualizację listy osób upoważnionych do pobierania kluczy do pomieszczeń, w których przetwarzane są dane osobowe

  2. wprowadzają ewidencję osób pobierających klucz do pomieszczeń, w których przetwarzane są dane osobowe zawierającą m.in. czas pobierania i zdawania kluczy

  3. określają tryb szkolenia portierów w budynkach, w których przetwarzane są dane osobowe w systemach informatycznych

  4. określają tryb szkolenia osób sprzątających pomieszczenia, w których przetwarzane są dane osobowe w systemach informatycznych uwzględniający specyfikę konserwacji systemów komputerowych

  1. określają zasady i ewidencję wykonywania czynności serwisowych w systemach informatycznych w podległych jednostkach w celu wyeliminowania

  1. możliwości wykonania kopii danych osobowych przez osoby nieupoważnione,

  1. przemieszczania urządzeń komputerowych i ich części służących do przetwarzania danych osobowych poza obszar objęty ochroną

  2. podmiany elementów sprzętu komputerowego lub oprogramowania na inny, który zawiera cechy ukryte

§ 4

1. Wydziałowi administratorzy sieci komputerowych opracowują i na bieżąco uaktualniają z pomocą administratorów poszczególnych systemów informatycznych szczegółowe instrukcje zarządzania systemami informatycznymi w podległych im systemach informatycznych, które powinny zawierać w szczególności:




  1. sposób przydziału haseł dla użytkowników poszczególnych systemów informatycznych i częstotliwość ich zmiany oraz wskazanie osoby odpowiedzialnej za te czynności

  2. określenie sposobu rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osoby odpowiedzialnej za te czynności

  3. procedury rozpoczęcia i zakończenia pracy

  4. metody i częstotliwość wykonywania kopii awaryjnych

  5. metody i częstotliwość sprawdzania systemów informatycznych na obecność wirusów komputerowych oraz metodę ich usuwania

  6. sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków

  7. sposób postępowania w zakresie komunikacji w sieci komputerowej

2.Wydziałowi administratorzy sieci komputerowej są zobowiązani do:


  1. wykonywania poleceń administratora bezpieczeństwa informacji UWM w zakresie zarządzania podległymi systemami informatycznymi

  2. czuwania nad właściwym eksploatowaniem podległych im systemów informatycznych

  3. prowadzenia, uaktualniania na bieżąco oraz przesyłania administratorowi bezpieczeństwa informacji UWM, danych w zakresie

i)listy osób biorących udział przy przetwarzaniu danych osobowych

  1. lokalizacji pomieszczeń, w których te dane są przetwarzane, w przypadku zaistnienia jakichkolwiek zmian tych danych

  2. rodzaju systemów informatycznych funkcjonujących w zakresie ich działania

  3. listy identyfikatorów osób biorących udział przy przetwarzaniu danych osobowych w podległych im systemach informatycznych

  4. czynności serwisowych wykonywanych w podległych systemach informatycznych

  5. zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in.

  • wykrytych wirusów, koni trojańskich itp.

  • oprogramowania nielegalnego lub zainstalowanego bez upoważnienia

  • awarii systemu informatycznego lub jego nieprawidłowego działania

  • stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną

  • awarii zasilania

  1. kontrolowania i zabezpieczenia prawidłowości przebiegu czynności serwisowych w podległych systemach informatycznych, przy czym urządzenia, dyski lub inne nośniki zawierające dane osobowe, pozbawiają przed naprawą zapisu tych danych lub nadzorują ich naprawę

  2. pozbawiania zapisu danych osobowych z tych nośników, które przeznaczone są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych

  3. pozbawiania zapisu danych osobowych lub uszkadzania w sposób uniemożliwiający odczytanie tych nośników, które przeznaczone są do likwidacji

  4. instalowania zabezpieczeń w podległych systemach informatycznych wynikających z zaleceń administratora bezpieczeństwa informacji UWM

  5. zgłaszania wydziałowym administratorom danych oraz administratorowi bezpieczeństwa informacji UWM potrzeb w zakresie zabezpieczenia podległych im systemów informatycznych

  6. postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych

  7. kontrolowania procesu okresowego sprawdzania przez administratorów poszczególnych systemów informatycznych kopii awaryjnych pod kątem prawidłowości ich wykonania oraz ich dalszej przydatności do odtworzenia w przypadku awarii

  8. znajomości oraz posiadania dokumentacji funkcji poszczególnych systemów informatycznych ze szczególnym uwzględnieniem procedur

i) dostępu i modyfikowania do danych osobowych

ii) zarządzania identyfikatorami i hasłami użytkowników



  1. wykonywania kopii awaryjnych oraz odtwarzania danych z tych kopii

  2. generowania wydruków danych osobowych

  3. dostępu do plików rejestrujących identyfikatory oraz czas logowania użytkowników

5. Administratorzy poszczególnych systemów informatycznych służących do przetwarzania danych osobowych odpowiadają za ich bieżącą eksploatację, a w szczególności za



  1. wszystkie czynności związane z ich funkcjonowaniem i modernizacją

  2. rejestrowanie i wyrejestrowywanie z systemu użytkowników oraz projektantów i programistów w czasie instalowania systemu oraz jego modyfikacji

  3. przydzielanie uprawnień do poszczególnych funkcji systemu oraz określenie trybu i częstotliwości zmiany haseł

  4. procedury wykonywania kopii awaryjnych, określenie ich częstotliwości, zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację

  5. lokalizację sprzętu komputerowego, ustawienie monitorów i drukarek uniemożliwiające wgląd w dane osobom nieupoważnionym lub kradzież wymiennych nośników danych

  1. postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych


§ 6

1.W czasie realizacji zasad bezpieczeństwa zbiorów danych osobowych przetwarzanych w

Uniwersytecie Warmińsko-Mazurskim wprowadza się obowiązek prowadzenia dokumentacji

odzwierciedlającej wykonywanie zadań z zakresu ochrony danych osobowych.


2. Dokumentacja, o której mowa w ust.1, obejmuje:

a)Wykaz informatycznych baz danych, w których przetwarzane są dane osobowe

w Uniwersytecie Warmińsko-Mazurskim,

b)Ewidencje osób zatrudnionych przy przetwarzaniu danych osobowych w systemach

informatycznych i ich identyfikatorów,

c)Wykaz miejsc przetwarzania danych osobowych w systemach informatycznych

w Uniwersytecie Warmińsko-Mazurskim,

3. Dokumentacje, o której mowa w ust. 2, prowadzą osoby uprawnione.



§ 7

1.Niniejsza Instrukcja przeznaczona jest dla użytkowników i ich przełożonych, którzy

nadzorują przetwarzanie danych osobowych i realizacje zasad bezpieczeństwa zbiorów baz

danych w Uniwersytecie Warmińsko-Mazurskim.

2. Wykonanie postanowień niniejszej Instrukcji ma na celu wprowadzenie jednolitego

systemu bezpieczeństwa przetwarzania danych osobowych w Uniwersytecie

Warmińsko-Mazurskim.

3. Określenie w niniejszej Instrukcji zakresu czynności administracyjnych osób uprawnionych

do realizacji przedsięwzięć z zakresu bezpieczeństwa zbiorów danych osobowych, umożliwi

administratorowi danych osobowych realizowanie przepisów o ochronie danych osobowych

w warunkach funkcjonowania Uniwersytetu Warmińsko-Mazurskiego.
§ 8
W sprawach nie uregulowanych niniejsza Instrukcja znajdują zastosowanie przepisy ustawy z

dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz.

926 z późniejszymi zmianami) i rozporządzenia Ministra Spraw Wewnętrznych i

Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych

osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr



100, poz. 1024).

§ 9
Wszelkie zmiany w Instrukcji mogą być wprowadzone na podstawie zarządzeń Rektora

Uniwersytetu Warmińsko-Mazurskiego.


©absta.pl 2016
wyślij wiadomość

    Strona główna