Przetwarzania danych osobowych w publicznym przedszkolu w wieprzu I. Wprowadzenie


ŚRODKI TECHNICZNE OCHRONY DANYCH OSOBOWYCH



Pobieranie 134.8 Kb.
Strona3/3
Data29.04.2016
Rozmiar134.8 Kb.
1   2   3

ŚRODKI TECHNICZNE OCHRONY DANYCH OSOBOWYCH

Zbiory danych przetwarzane w Publicznym Przedszkolu w Wieprzu zabezpiecza się poprzez:



  1. Środki ochrony fizycznej.

  • Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej metalowej oraz niemetalowej szafie.

  • Pomieszczenia, w którym przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wiszącej gaśnicy.

  • Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.

  1. Środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej.

  • Zbiory danych osobowych przetwarzane są przy użyciu komputera stacjonarnego i przenośnego.

  • Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową.

  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem hasła.

  • Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

  • Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.

  • Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie.



  1. Środki ochrony w ramach systemowych narzędzi programowych i baz danych.

  • Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbiorów danych osobowych.

  • Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanych zbiorów danych osobowych.

  • Dostęp do zbiorów danych osobowych wymaga uwierzytelnienia z wykorzystaniem hasła.

  • Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.

  • Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.

  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

Dodatkowe środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego pracy oraz zasad użytkowania, określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DO PRZETWARZANIA DANYCH OSOBOWYCH W PUBLICZNYM PRZEDSZKOLU W WIEPRZU



  1. Charakterystyka systemu




  1. Sieć informatyczna ma strukturę gwiazdy z routerem „Air Live” , do którego podłączony jest komputer stacjonarny oraz przenośny.

  2. Sygnał internetowy dostarczany jest przez usługodawcę internetowego i odpowiednio zabezpieczony.

  3. System zabezpieczony jest oprogramowaniem antywirusowym zainstalowanym na każdym stanowisku oraz zasilaczami awaryjnymi utrzymującymi stałe zasilanie.




  1. Ogólne zasady pracy w systemie informatycznym




  1. ABI odpowiada za korygowanie niniejszej instrukcji w przypadku uzasadnionych zmian w przepisach prawnych dotyczących przetwarzania danych osobowych w systemach informatycznych, jak również zmian organizacyjno-funkcjonalnych.

  2. Przetwarzanie danych w systemie informatycznym może być realizowane wyłącznie poprzez dopuszczone przez ABI do eksploatacji licencjonowane oprogramowanie.

  3. ABI prowadzi ewidencję oprogramowania.

  4. Do eksploatacji dopuszcza się systemy informatyczne wyposażone w:

  • mechanizmy kontroli dostępu umożliwiające autoryzację użytkownika, z pominięciem narzędzi do edycji tekstu,

  • mechanizmy umożliwiające wykonanie kopii bezpieczeństwa oraz archiwizację danych, niezbędne do przywrócenia prawidłowego działania systemu po awarii,

  • urządzenia niwelujące zakłócenia i podtrzymujące zasilanie,

  • mechanizmy zarządzania zmianami.

  1. Użytkownikom zabrania się:

  1. korzystania ze stanowisk komputerowych podłączonych do sieci informatycznej poza godzinami i dniami pracy przedszkola bez pisemnej zgody ADO,

  2. udostępniania stanowisk roboczych osobom nieuprawnionym,

  3. wykorzystywania sieci komputerowej przedszkola w celach innych niż wyznaczone przez ADO,

  4. samowolnego instalowania i używania programów komputerowych,

  5. korzystania z nielicencjonowanego oprogramowania oraz wykonywania jakichkolwiek działań niezgodnych z ustawą o ochronie praw autorskich,

  6. umożliwiania dostępu do zasobów wewnętrznej sieci informatycznej przedszkola oraz sieci Internetowej osobom nieuprawnionym,

  7. używania komputera bez zainstalowanego oprogramowania antywirusowego.


  1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.




  1. Użytkowników systemu informatycznego tworzy oraz usuwa ABI na podstawie zgody ADO.

  2. Do przetwarzania danych osobowych zgromadzonych w systemie informatycznym jak również w rejestrach tradycyjnych wymagane jest upoważnienie.

  3. Wprowadza się rejestr osób upoważnionych do przetwarzania danych osobowych, który stanowi załącznik nr 3 do niniejszej dokumentacji.

  4. Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez zablokowanie konta w przypadku:

    1. nieobecności pracownika w pracy trwającej dłużej niż 21 dni kalendarzowych,

    2. zawieszenia w pełnieniu obowiązków służbowych.

  5. Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania stosunku pracy.

  6. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia nawet w przypadku ustania stosunku pracy.


IV. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.




  • System informatyczny przetwarzający dane osobowe wykorzystuje mecha­nizm hasła jako narzędzia umożliwiającego bezpieczne uwierzytelnienie.

  • W identyfikatorze pomija się polskie znaki diakrytyczne.

  • Hasło składa się z co najmniej ośmiu znaków, zawiera co najmniej jedną cyfrę.

  • Hasła użytkowników generuje ABI i przekazuję wraz z loginem w formie papierowej w zamkniętej kopercie.

  • Po zapoznaniu się z loginem i hasłem użytkownik zobowiązany jest do ich zniszczenia w odpowiednim urządzeniu niszczącym.

  • Hasło nie może być zapisywane i przechowywane.

  • Użytkownik nie może udostępniać identyfikatora oraz haseł osobom nieupoważnionym.




    1. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY




  1. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje wpro­wadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrze­nia przez osoby nieupoważnione.

  2. Użytkownik systemu jest odpowiedzialny za zabezpieczenie danych wyświetlanych przez system przed osobami nie mającymi uprawnień.

  3. Zawieszenie pracy polega na opuszczeniu stanowiska pracy bez wylogowania się i jest dopuszczalne tylko w przypadku pozostania w pomieszczeniu. Użytkownik jest zobowiązany w takiej sytuacji do włączenia wygaszacza ekranu odblokowywanego hasłem.

  4. Zabrania się opuszczania stanowiska pracy bez wcześniejszego wylogowania z systemu z zastrzeżeniem pkt 3.

  5. Zakończenie pracy polega na wylogowaniu się z systemu i wyłączeniu komputera.

  6. ABI monitoruje logowanie oraz wylogowanie się użytkowników oraz nadzoruje zakres przetwarzanych przez nich zbiorów danych.




  1. Procedury tworzenia kopii awaryjnych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.




  1. Dane osobowe zabezpiecza się poprzez wykonywanie kopii awaryjnych.

  2. Ochronie poprzez wykonanie kopii podlegają także programy i narzędzia programowe służące przetwarzaniu danych. Kopie programów i narzędzi wykonywane są zaraz po instalacji oraz po każdej aktualizacji na zewnętrznych, elektronicznych nośnikach informacji.

  3. Zabezpieczeniu poprzez wykonywanie kopii awaryjnych podlegają także dane konfiguracyjne systemu informatycznego prze­twarzającego dane osobowe, w tym uprawnienia użytkowników systemu.

  4. Za proces tworzenia kopii awaryjnych na serwerze odpowiada ABI.

  5. W przypadku lokalnego przetwarzania danych osobowych na stacjach robo­czych, użytkownicy systemu informatycznego zobowiązani są do wykonywania samodzielnie kopii bezpieczeństwa tych zbiorów.

  6. Kopie awaryjne mogą być wykonywane tylko na nośnikach informatycznych dostarczonych przez ABI.

  7. Kopie awaryjne mogą być sporządzane automatycznie lub manualnie z wykorzystaniem specjalistycznych urządzeń do wykonywania kopii lub standardowych narzędzi oferowanych przez stacje robocze.

  8. Kopie awaryjne wykonuje się po znaczących zmianach w wprowadzonych danych w programie.

  9. Kopie awaryjne przechowuje ABI, a w przypadku przetwarzania danych na stacjach roboczych poszczególni użytkownicy. Kopie usuwa się niezwłocznie po ustaniu ich użyteczności.

  10. Wszelkie wydruki zawierające dane osobowe powinny być przechowywane w miejscu uniemożliwiającym ich odczyt przez osoby nieupoważnione, zaś po upływie czasu ich przydatności – niszczone w niszczarkach dokumentów.

  11. ABI zobowiązany jest do okresowego wykonywania testów odtworzeniowych kopii awaryjnych.


VII. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji.


  • Nośniki danych oraz programów służących do przetwarzania danych osobowych, a także danych konfiguracyjnych systemu informatycznego, przechowuje ABI w odpowiednio zabezpieczonym pomieszczeniu.

  • Dane osobowe gromadzone są na stacjach roboczych oraz na nośnikach zewnętrznych.

  • Przenośne nośniki danych zabezpieczone są hasłem.

  • Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

  • likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,

  • przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,

  • naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem ABI.

  • Nośniki kopii awaryjnych, które zostały wycofane z użycia, podlegają znisz­czeniu po usunięciu danych osobowych, w odpowiednim urządzeniu niszczącym przez ABI.



  1. Sposób zabezpieczenia systemu przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

ABI zapewnia ochronę antywirusową oraz zarządza systemem wykrywającym i usuwającym wirusy i inne niebezpieczne kody. System antywirusowy jest skonfigurowany w następujący sposób:

1. skanowanie dysków zawierających potencjalnie niebezpieczne dane następuje automatycznie po włączeniu komputera,

2. skanowanie wszystkich informacji przetwarzanych w systemie, jest realizowane na bieżąco.

3. Automatycznej aktualizacji wzorców wirusów.

4. W przypadkach wystąpienia infekcji użytkownik powinien niezwłocznie powiadomić o tym fakcie ABI.

5. W przypadku wystąpienia infekcji i braku możliwości automatycznego usu­nięcia wirusów przez system antywirusowy, ABI podejmuje działania zmierzające do usunięcia zagrożenia. W szczególności działania te mogą obejmować:

- usunięcie zainfekowanych plików, o ile jest to akceptowalne ze względu na prawidłowe funkcjonowanie systemu informatycznego,

- odtworzenie plików z kopii awaryjnych po uprzednim sprawdzeniu, czy dane zapisane na kopiach nie są zainfekowane,

- samodzielną ingerencję w zawartość pliku - w zależności od posiada­nych narzędzi i oprogramowania.



- Użytkownicy systemu mają również obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji, który chcą wykorzystać.


  1. Informacje o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.




  1. Informacje o udostępnieniu danych osobowych przetwarza się i przechowuje w oparciu o Rzeczowy Wykaz Akt i Instrukcję kancelaryjną.

  2. Za udostępnianie danych zgodnie z przepisami prawa odpowiedzialny jest ADO.

  3. Nadzór nad właściwym udostępnianiem danych prowadzi ABI.




  1. Przesyłanie danych poza obszar przetwarzania




  1. W Publicznym Przedszkolu w Wieprzu nie dozwolone jest przesyłanie danych osobowych poza obszar ich przetwarzania drogą elektroniczną, lub na nośnikach danych. Przesyłanie danych osobowych dozwolone jest tylko w formie papierowej.

  2. Punkt 1 nie ma zastosowania do SIO, w którym wszystkie dane osobowe przesyłane są drogą elektroniczną.



  1. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.




  1. Przeglądy i konserwacje systemu oraz nośników informacji służących do przetwarzania danych mogą być wykonywane jedynie przez osoby posiadające upoważnienie wydane przez ADO.

  2. Wszelkie prace związane z naprawami i konserwacją systemu informatycz­nego przetwarzającego dane osobowe muszą uwzględniać zachowanie wy­maganego poziomu zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych, w szczególności poprzez bezpośredni nadzór prowadzony przez ABI.

  3. W przypadku uszkodzenia zestawu komputerowego, nośniki danych, na których są przechowywane dane osobowe powinny zostać zabezpieczone przez ABI.

  4. W przypadku konieczności przeprowadzenia prac serwisowych poza przedszkolem, dane osobowe znajdujące się w naprawianym urządzeniu muszą zostać w sposób trwały usunięte.

  5. Jeżeli nie ma możliwości usunięcia danych z nośnika na czas naprawy komputera, należy zapewnić stały nadzór nad tym nośnikiem przez osobę upoważnioną do przetwarzania danych osobowych na nim zgromadzonych.

  6. ABI wykonuje okresowy przegląd nośników danych osobowych eliminując te, które nie zapewniają odpowiedniego poziomu bezpieczeństwa oraz niezawodności.




  1. USTALENIA KOŃCOWE



1. Procedura obowiązuje wszystkich pracowników przedszkola, w szczególności tych, którzy tworzą, gromadzą lub w jakikolwiek sposób wykorzystują dane osobowe.


  1. Procedura wchodzi w życie od dnia 26.04.2013r.

………………………………

(podpis i pieczątka dyrektora)



ZAŁĄCZNIKI
Załącznik nr 1. Wykaz zbiorów osobowych przetwarzanych w Przedszkolu

Załącznik nr 2. Wykaz miejsc przetwarzania zbiorów osobowych w Przedszkolu.

Załącznik nr 3. Wykaz osób upoważnionych do przetwarzania danych osobowych w Przedszkolu.

Załącznik nr 4. Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 5. Wzór upoważnienia do przetwarzania danych osobowych.

Załącznik nr 6. Wzór unieważnienia upoważnienia do przetwarzania danych osobowych.

Załącznik nr 7. Wzór potwierdzenia znajomości zasad ochrony danych osobowych.

Załącznik nr 8. Wzór zgody na przebywanie w obszarze przetwarzania danych osobowych.

Załącznik nr 9. Wzór odwołania zgody na przebywanie w obszarze przetwarzania danych osobowych.

Załącznik nr 10. Wzór zgody na przetwarzanie danych.



Załącznik nr 11. Wzór raportu z naruszenia bezpieczeństwa zasad ochrony danych osobowych.
: bip
bip -> Instytut Fizjologii i Patologii Słuchu
bip -> Instrukcja do kwestionariusza opisu projektu zgłaszanego w ramach celu szczegółowego 2 Podniesienie dostępności i jakości e-usług publicznych Programu Operacyjnego Polska Cyfrowa 2014-2020
bip -> Formularz a karta informacyjna dla
bip -> Bip usdk pl Kraków: Dostawa odczynników immunochemicznych 18 grup Numer ogłoszenia: 175836 2013; data zamieszczenia: 06. 05. 2013
bip -> Ud-iii-wod-o-0053-678/2011
bip -> Opis założeń do sporządzenia projektu zmiany planu zadań ochronnych dla obszaru Natura 2000 Doliny Przysowy I Słudwi plb100003
bip -> Uchwała Nr 354/xxii/2004 r. Rady Miasta w Rybniku z dnia 30 czerwca 2004 r w sprawie uchwalenia miejscowego planu zagospodarowania przestrzennego terenów przy ulicach: Żorska, Prosta, Brzezińska, Stawowa, Przemysłowa, Za Totem
bip -> Publicznie dostępny wykaz danych o dokumentach zawierających informacje o środowisku I jego ochronie
bip -> Załącznik nr 2 do uchwały nr lviii/1749/2009 Rady m st. Warszawy z dnia 9 lipca 2009 r. Raport dot opracowania projektu „Strategii Zrównoważonego Rozwoju Systemu Transportowego Warszawy do 2015 roku I na lata kolejne
bip -> 2015 r w sprawie przystąpienia do sporządzenia zmian w miejscowym planie zagospodarowania przestrzennego

Pobieranie 134.8 Kb.

1   2   3




©absta.pl 2020
wyślij wiadomość

    Strona główna