Zarządzenia Burmistrza 2015: Zarządzenie Nr 35/2015 Burmistrza Rogoźna z dnia 24 lutego 2015 r. w sprawie wyznaczenia Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego

ZARZĄDZENIE Nr OR.0050.1.35.2015

Burmistrza Rogoźna

z dnia 24 lutego 2015 r.

w sprawie wyznaczenia Administratora Bezpieczeństwa Informacji i Administratora Systemu Informatycznego.

Na podstawie art. 36a ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z późn. zm.) i rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., nr 100, poz. 1024) zarządzam, co następuje:

§ 1

1.                     W Urzędzie Miejskim powierza się obowiązki Administratora Bezpieczeństwa Informacji Panu Maciejowi Disterheft, do którego należy nadzór nad przestrzeganiem ustawy o ochronie danych osobowych.

2.                     Do zadań Administratora Bezpieczeństwa Informacji należy w szczególności:

1)      zapewnianie przestrzegania przepisów o ochronie danych osobowych,
w szczególności przez:

a)       sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b)       nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych, oraz przestrzegania zasad w niej określonych,

c)                zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2)      prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy o ochronie danych osobowych.

§ 2

1.   Dla  zapewnienie prawidłowego  działania  systemów informatycznych  powołuje  się Administratora Systemu Informatycznego.

2.          Funkcję Administratora Systemu Informatycznego powierzam Panu Mariuszowi Łanucha pełniącemu obowiązki informatyka w jednostce.

3.          Do zadań Administratora Systemu Informatycznego należy:

1)                   zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z poziomu administratora,

2)         przeciwdziałanie dostępowi osób niepowołanych do systemu informatycznego,

3)                   zakładanie kont oraz przydzielanie uprawnień upoważnionym użytkownikom,

4)         wyrejestrowywanie użytkowników z systemu informatycznego,

5)                   nadzorowanie działań mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych, szczegółowe obowiązki ASI stanowią załącznik do niniejszego zarządzenia.

§ 3

Stosowanie przepisów ustawy o ochronie danych osobowych jest obowiązkiem każdego pracownika Urzędu Miejskiego w Rogoźnie.

Każdy pracownik podejmujący prace w Urzędzie Miejskim w jest zobowiązany do zapoznania się z przepisami dotyczącymi ochrony danych osobowych.

Podpisanie oświadczenia o znajomości tych przepisów jest warunkiem dopuszczenia do pracy w jednostce.

Obsługa systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, dozwolona jest wyłącznie w związku z wykonywanymi czynnościami służbowymi na podstawie imiennego upoważnienia wydanego przez Administratora Danych.

§ 4

1.         Administratorem Danych w Urzędzie Miejskim w Rogoźnie jest Burmistrz.

2.         Nadzór nad stosowaniem przepisów ustawy o ochronie danych osobowych należy do kompetencji Administratora Danych.

§ 5

Zobowiązuje się Administratora Bezpieczeństwa Informacji do zapoznania pracowników z ustawą o ochronie danych osobowych oraz do przeprowadzania okresowych kontroli stanu bezpieczeństwa i opracowywania informacji w tym zakresie.

§ 6

Zarządzenie wchodzi w życie z dniem podpisania.

Obowiązki Administratora Systemu Informatycznego

Administrator Systemu Informatycznego realizuje zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym administratora danych, w tym w szczególności:

1.                    ściśle współpracuje z Administratorem Danych Osobowych, Administratorem Bezpieczeństwa Informacji;

2.         zarządza systemem informatycznym, w którym są przetwarzane dane osobowe, posługując się hasłem dostępu do wszystkich stacji roboczych z pozycji administratora;

3.         przeciwdziała dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są dane osobowe;

4.         wnioskuje do ABI o przydział każdemu użytkownikowi identyfikatora oraz dokonuje ewentualnych modyfikacji uprawnień, a także usuwa konta użytkowników zgodnie z zasadami określonymi w instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych;

5.                    opracowuje działanie mechanizmów uwierzytelniania użytkowników oraz kontroli dostępu do danych osobowych;

6.         podejmuje działania w zakresie ustalania i kontroli identyfikatorów dostępu do systemu inforrn atycznego;

7.                    wyrejestrowuje użytkowników w uzgodnieniu lub na polecenie administratora danych;

8.                    zmienia w poszczególnych stacjach roboczych hasła dostępu, ujawniając je wyłącznie danemu użytkownikowi oraz, w razie potrzeby, Administratorowi Bezpieczeństwa Informacji lub Administratorowi Danych;

9.                    w sytuacji stwierdzenia naruszenia zabezpieczeń systemu informatycznego informuje Administratora Bezpieczeństwa Informacji o naruszeniu i współdziała z nim przy usuwaniu skutków naruszenia;

10.              pro wadzi szczegółową dokumentację naruszeń bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;

11.              jest odpowiedzialny i sprawuje nadzór nad wykonywaniem napraw, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, nad wykonywaniem kopii zapasowych, ich przechowywaniem oraz okresowym sprawdzaniem pod katem ich dalszej przydatności do odtwarzania danych w przypadki awarii systemu informatycznego;

12.      podejmuje działania, służące zapewnieniu niezawodności zasilania komputerów, innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych oraz zapewnieniu bezpiecznej wymiany danych w sieci wewnętrznej i bezpiecznej teletransmisji.

13.      czuwa nad właściwą archiwizacją dokonywanych zapisów w systemie, sporządza kopie danych zapisanych w systemie w taki sposób, aby utracone dane w przypadkach losowych i innych zdarzeń można było odtworzyć;

14.      zapewnia awaryjne zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania. Komputery oraz urządzenia, o których mowa wyżej, powinny być zasilane poprzez zastosowanie specjalnych urządzeń podtrzymujących zasilanie. Urządzenia te powinny być wyposażone w oprogramowanie umożliwiające bezpieczne wyłączenie systemu komputerowego. Oznacza to takie wyłączenie, w którym przed zanikiem zasilania zostaną prawidłowo zakończone rozpoczęte transakcje na bazie danych oraz wszelkie inne działania w ramach pracujących aplikacji i oprogramowania systemowego;

15.      dopilnowuje, aby komputery przenośne, w których przetwarzane są dane osobowe, były zabezpieczone hasłem dostępu przed nieautoryzowanym uruchomieniem oraz aby mikrokomputery te nie były udostępniane osobom nieupoważnionym do przetwarzania danych osobowych. Osoby posiadające mikrokomputery przenośne z zapisanymi w nich danymi osobowymi należy przeszkolić w kierunku zachowania szczególnej uwagi podczas ich transportu oraz uczulić na to, aby mikrokomputery te przechowywane były we właściwie zabezpieczonym pomieszczeniu.

16.      ponosi odpowiedzialność w zakresie :

a)                napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. Dyski i inne informatyczne nośniki danych, zawierające dane osobowe przeznaczone do likwidacji, należy pozbawić zapisu tych danych, a jeśli nie jest to możliwe, należy uszkodzić w sposób uniemożliwiający ich odczyt. Urządzenia przekazywane do naprawy należy pozbawić zapisu danych osobowych lub naprawiać w obecności osoby upoważnionej przez administratora danych.

b)               przestrzegania procedur określających częstotliwość zmiany haseł zgodnie z wytycznymi Instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

c)                sprawdzania systemu pod kątem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywirusowych i ich konfiguracji.

d)               wykonywania kopii awaryjnych, ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu,

e)                dokonywania wymaganych okresowych przeglądów, konserwacji oraz uaktualniania systemów służących do przetwarzania danych osobowych oraz dokonywanie wszystkich innymi czynności wykonywanych na bazach danych osobowych.

f)                  komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji

g)               właściwego funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzających dane osobowe oraz kontroli dostępu do danych osobowych a w szczególności poprzez:

•         ustalenie identyfikatorów użytkowników i ich haseł (identyfikatory użytkowników należy wpisać do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych),

•         dopilnowanie, aby hasła użytkowników były zmieniane co najmniej raz na miesiąc,

•         dopilnowanie, aby dostęp do danych osobowych przetwarzanych w systemie był możliwy wyłącznie po podaniu identyfikatora i właściwego hasła,

•         dopilnowanie, aby hasła użytkowników były trzymane w tajemnicy (również po upływie terminu ich ważności),

•         dopilnowanie, aby identyfikatory osób, które utraciły uprawnienia do przetwarzania danych osobowych, zostały natychmiast wyrejestrowane, a ich hasła unieważnione.

17.  Zapewnienie osobom przetwarzającym dane osobowe, aby :

a)                ekrany monitorów stanowisk komputerowych, na których przetwarzane są dane osobowe, automatycznie wyłączały się po upływie ustalonego czasu nieaktywności użytkownika. Zalecanym rozwiązaniem powyższego problemu jest zastosowanie takich wygaszaczy ekranowych, które po upływie określonego czasu bezczynności użytkownika wygaszają monitor i jednocześnie uruchamiają blokadę, która uniemożliwia kontynuowanie pracy na komputerze bez podania właściwego hasła. Wygaszacz taki, oprócz ochrony danych, które przez dłuższy czas byłyby wyświetlane na ekranie monitora, chroniłby system przed przechwyceniem sesji dostępu do danych przez nieuprawnioną osobę.

b)       w pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych były ustawione w taki sposób, aby uniemożliwić tym osobom wgląd w dane.

18.         Podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych. Działania, o których mowa wyżej, powinny mieć na celu wykrycie przyczyny lub sprawcy zaistniałej sytuacji i jej usunięcie. W przypadku gdy, na przykład, istnieje podejrzenie, że naruszenie bezpieczeństwa danych osobowych zostało spowodowane zaniedbaniem lub naruszeniem dyscypliny pracy, zadaniem administratora bezpieczeństwa informacji powinno być przedstawienie wniosku administratorowi danych o wszczęcie postępowania wyjaśniającego i ukaranie odpowiedzialnych za to osób.

19.         ASI zobowiązuje się do stosowania przepisów ustawy o ochronie danych osobowych i aktów wykonawczych wydanych na jej podstawie oraz przyjętych standardów i procedur wewnętrznych Urzędu dotyczących polityki bezpieczeństwa i Instrukcji zarządzania systemem przetwarzania danych osobowych przy użyciu systemu informatycznego i w sposób ręczny w Urzędzie.

20.         Administrator Systemu Informatycznego przestrzega niżej wymienionej procedury dotyczącej częstotliwości tworzenia kopii zapasowych.

1)                       Zbiory danych osobowych oraz programy i narzędzia programowe służące do ich przetwarzania, zapisywanie na nośnikach zewnętrznych (np. dyski: wymienne, magnetyczne, optyczne) tworzące kopie zapasowe kolejnych okresów, powinny być odpowiednio oznakowane i przechowywane w wyznaczonych, odpowiednio zabezpieczonych pomieszczeniach.

2)            Kopie zapasowe określone w pkt.l powinny być sporządzane regularnie w okresach wyznaczonych niżej wpkt. 3.

3)         Ustala się następującą częstotliwość tworzenia kopii awaryjnych na nośnikach zewnętrznych - magnetycznych i optycznych: