Page 1

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI BEZPIECZNE PRZETWARZANIE DANYCH OSOBOWYCH W SYSTEMACH TELEINFORMATYCZNYCH


PODSTAWA PRAWNA •

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024).

Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004r. Nr 25, poz. 219 i Nr 33, poz. 285).


Polityka bezpieczeństwa przetwarzania danych osobowych w Szkole Podstawowej nr 99 • Dyrektor Szkoły Podstawowej nr 99 we Wrocławiu realizując politykę bezpieczeństwa dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu niezgodnemu z tymi celami:


Polityka bezpieczeństwa cd. 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą.


Miejsca przetwarzania • Dane osobowe gromadzone i przetwarzane są w budynku szkolnym, mieszczącym się w Szkole Podstawowej nr 99 przy ulicy Głubczyckiej 3. • Obszarami do przetwarzania danych osobowych z użyciem sprzętu komputerowego oraz sposobem ręcznym są :


Miejsca przetwarzania cd. • pokój głównej księgowej; • sekretariat szkoły- obszar za biurkiem ze wszystkimi urządzeniami oraz szafa pancerna; • gabinet dyrektora; • gabinet wicedyrektora; • biblioteka szkolna – obszar za biurkiem i na zapleczu;


Miejsca przetwarzania • pracownia informatyczna nauczyciela informatyki (sprawującego nadzór nad siecią informatyczną) - tj. wydzielona jej część z biurkiem na komputer; • pokój nauczycielski; • składnica akt.


Miejsca przetwarzania cd. • gabinet pedagoga – obszar za biurkiem; • gabinet psychologa – obszar za biurkiem; • gabinet logopedy – obszar za biurkiem; • świetlica szkolna – obszar za biurkiem;


Opis zdarzeń naruszających ochronę danych osobowych Zagrożenia losowe: • zewnętrzne • wewnetrzne


Zagrożenia losowe: zewnętrzne • klęski żywiołowe, • przerwy w zasilaniu – ich wystąpienie może prowadzić do utraty integralności danych lub ich zniszczenia lub uszkodzenia infrastruktury technicznej systemu: ciągłość zostaje naruszona , jednak nie dochodzi do naruszenia danych osobowych


Zagrożenia losowe: wewnętrzne • niezamierzone pomyłki operatorów, • awarie sprzętowe, • błędy oprogramowania – w wyniku ich wystąpienia może dojść do zniszczenia danych, może nastąpić zakłócenie ciągłości pracy systemu i naruszenia poufności danych.


Naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe • sytuacje losowe lub nieprzewidywalne oddziaływanie czynników zewnętrznych na zasoby systemu np. wybuch gazu, pożar, zalanie pomieszczeń, uszkodzenia wskutek prowadzonych prac remontowych; • niewłaściwe parametry środowiska np. nadmierna wilgotność, temperatura, wstrząsy, oddziaływania pola elektromagnetycznego, przeciążenia napięcia;


Naruszenia cd. •

awarie sprzętu lub oprogramowania, które są celowym działaniem na potrzeby naruszenia ochrony danych osobowych; pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu ;


Naruszenia cd. •

pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub niepożądaną modyfikację w systemie; naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;


Naruszenia cd. • modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia; • ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony ich przetwarzania;


Naruszenia cd. •

podmienienie lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych;

rażące naruszenie obowiązków w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce lub kserokopiarce, niewykonanie kopii zapasowych, prace na danych osobowych w celach prywatnych itp.);


Naruszenia cd. •

nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskach, płytach CD, kartach pamięci oraz wydrukach komputerowych w formie niezabezpieczonej (otwarte szafy, biurka, regały, archiwum).


Naruszenia • Szczegółowe zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i tak:


Konsekwencje naruszeń • Naruszanie procedur w zakresie ochrony danych osobowych i ich zbiorów przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu i przetwarzania danych osobowych stosowanych w Szkole podstawowej nr 99, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami z rozwiązaniem stosunku pracy włącznie.


Nadawanie uprawnień do przetwarzania danych •

Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych, może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, wydana przez Administratora danych osobowych.


Nadawanie uprawnień cd •

Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po: podaniu identyfikatora użytkownika (LOGINU) i właściwego HASŁA w przypadku obsługi SIO, HERMES, LOTUS, LIBRUS, podaniu właściwego hasła dostępu do stanowiska komputerowego w przypadku obsługi OFFICE, VULCAN.


Nadawanie uprawnień • Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, Administrator Bezpieczeństwa Informacji, ustala niepowtarzalny identyfikator i hasło początkowe


Utrata uprawnień • W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych w systemie informatycznym. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych, należy niezwłocznie wyrejestrować z systemu informatycznego, unieważnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych.


Hasło stanowiska roboczego •

Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych. Użytkownik nie może udostępnić swojego identyfikatora oraz hasła jak również dostępu do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani żadnej osobie postronnej;


Hasło cd. • Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, należy utrzymywać w tajemnicy, również po upływie jego ważności; • Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi; • Hasła są zdeponowane w kasie pancernej w siedzibie dyrektora szkoły


HASŁO LIBRUS • W systemie dziennika elektronicznego każdy użytkownik posiada własne unikalne konto, za które osobiście odpowiada • System LIBRUS wymusza okresową zmianę hasła na koncie nauczyciela co 30 dni. • Dla zapewnienia bezpieczeństwa hasło musi się składać co najmniej z 8 znaków i być kombinacją liter i cyfr, oraz dużych i małych znaków.


Konto i hasło LIBRUS • Hasło automatycznie generowane dla nowego konta jest jednorazowe a przy pierwszym logowaniu użytkownik zostanie poproszony o jego zmianę. • Każdy użytkownik jest zobowiązany stosować się do zasad bezpieczeństwa w szczególności do zachowania w tajemnicy i nieudostępniania swojego loginu i hasła do systemu innym osobom także po czasie upływu ważności hasła


Konto i hasło cd. • W razie utraty hasła lub podejrzenia, że zostało odczytane/wykradzione przez osobę nieuprawnioną, użytkownik zobowiązany jest do niezwłocznego poinformowania o tym fakcie Szkolnego Administratora Dziennika Elektronicznego oraz w uzasadnionych sytuacjach natychmiastową zmianę.


Konto i hasło cd. • W przypadku korzystania z prywatnego komputera lub laptopa w dostępie do dziennika elektronicznego należy zachować wszystkie zasady ochrony danych osobowych stosowane w szkole. W szczególności nie logować się do nieznanych sieci oraz zadbać o należyte zabezpieczenie programowe prywatnego sprzętu


Konto i hasło cd. • Wpisanie 10-krotne błędnego hasła powoduje zablokowanie konta na czas nie dłuższy niż 24 godziny. • Konto zostaje odblokowane automatycznie. Możliwe jest również ręczne odblokowanie konta przez Administratora szkolnego lub SuperAdministratora. • Cała komunikacja realizowana jest za pomocą kanału szyfrowanego - poprzez protokół https


Rozpoczęcie pracy w systemie •

Dane osobowe, których administratorem jest Szkoła Podstawowa nr 99 we Wrocławiu mogą być przetwarzane sposobem tradycyjnym lub z użyciem systemu informatycznego tylko na potrzeby realizowania zadań statutowych i organizacyjnych szkoły; Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu);


Zabrania się •

Użytkownik ma obowiązek wylogowania się w przypadku zakończenia pracy. Stanowisko komputerowe nie może pozostać z uruchomionym i dostępnym systemem bez nadzoru pracującego na nim pracownika;


Zakończenie pracy •

Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu opcji jego zamknięcia zgodnie z instrukcją zawartą dokumentacji; Niedopuszczalne jest zakończenie pracy w systemie bez wykonania pełnej i poprawnej operacji wylogowania z aplikacji i poprawnego zamknięcia systemu;


MONITORY •

Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upoważnień do przetwarzania danych osobowych, a na których przetwarzane są dane osobowe należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w dane;


Dokumenty • •

Wydruki zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym ich odczytanie przez osoby postronne. dane osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (pamięć flash, płyty CD, DVD, dyskietki) po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe w szafach pancernych lub metalowych; Wydruki nieprzydatne należy zniszczyć w stopniu uniemożliwiającym ich odczytanie w niszczarce dokumentów;


Zabezpieczenie pomieszczeń •

Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać na klucz, na czas nieobecności osób zatrudnionych nawet w godzinach pracy, w sposób uniemożliwiający dostęp do nich osobom trzecim; udostępnianie kluczy do pomieszczeń, w których przetwarzane są dane osobowe możliwe jest tylko osobom upoważnionym;


Zagrożenia komputerowe •

Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest następująco: –

Elektroniczne nośniki informacji takie jak dyskietki, dyski przenośne, należy każdorazowo sprawdzać programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do Administratora Bezpieczeństwa Informacji.


Zabrania się na stanowiskach roboczych: Używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą; w przypadku konieczności użycia niesprawdzonych przenośnych nośników danych, należy zgłosić te nośniki, w celu sprawdzenia przeskanowania programem antywirusowym, Administratorowi Bezpieczeństwa Informacji,


Informacja o powierzonym sprzęcie komputerowym • Inf. ogólne  • Inf. Co w przypadku awarii.


Co grozi za… • Niezastosowanie się do prowadzonej przez administratora danych polityki bezpieczeństwa przetwarzania danych osobowych, oraz naruszenie procedur ochrony danych przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 Kodeksu pracy.


Co grozi za… • Niezależnie od rozwiązania stosunku pracy osoby, popełniające przestępstwo, będą pociągane do odpowiedzialności karnej zwłaszcza na podstawie art. 51 i 52. ustawy oraz art. 266. Kodeksu karnego. Przykładowo przestępstwo można popełnić wskutek: • stworzenia możliwości dostępu do danych osobowych osobom nieupoważnionym albo osobie nieupoważnionej, • niezabezpieczenia nośnika lub komputera stacjonarnego lub przenośnego


Co grozi za… • zapoznania się z hasłem innego pracownika wskutek wykonania nieuprawnionych operacji w systemie informatycznym administratora danych.

ADMINISTRATOR DANYCH OSOBOWYCH  

Przezentacja zawiera informacje oraz procedury postepowania z danymi osobowymi w SP99

Read more
Read more
Similar to
Popular now
Just for you