Załącznik nr 2
                                                                                                                              do Polityki bezpieczeństwa 
                                                                                                                              przetwarzania danych  osobowych
                                                                                                                              w Zespole Szkolno-Przedszkolnym
                                                                                                                              w Wieliczkach

 

INSTRUKCJA

ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

w Zespole Szkolno-Przedszkolnym
 w Wieliczkach

 

 

1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

 

1. 1. Dane osobowe w systemach informatycznych mogą być przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie do przetwarzania danych osobowych .
   2. Upoważnienia do przetwarzania danych osobowych nadawane są w związku z wykonywaniem przez upoważnioną osobę obowiązków lub zadań związanych z przetwarzaniem danych osobowych.
   3. Upoważnienie i jego odwołanie sporządzane są na piśmie, w dwóch jednobrzmiących egzemplarzach – jeden przeznaczony jest dla osoby, której nadano lub odebrano upoważnienie, drugi – dla administratora danych.
   4. Administrator  danych prowadzi ewidencję udzielonych upoważnień w formie oddzielnego wykazu.
   5. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i hasła.
   6. Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe Administrator Danych ustala identyfikator i hasło początkowe. Identyfikator nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie.

 

2. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem

 

1. 1. Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu. Każdy identyfikator użytkownika zabezpieczony jest hasłem. W Zespole Szkolno-Przedszkolnym w Wieliczkach obowiązują następujące zasady tworzenia hasła:

• • hasło musi składać się z co najmniej 6 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,
  • hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury,
  • hasło nie może być jednakowe z identyfikatorem użytkownika,
  • hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika.

1. 2. Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności.
   3. Na stanowiskach komputerowych należących do systemu informatycznego, w których nie występuje automatyczne wymuszanie zmiany hasła powinno ono być zmieniane nie rzadziej niż co 30 dni. Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie.
   4. W przypadku złamania poufności hasła, użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie Administratora Danych.
   5. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło.
   6. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik jest zobowiązany do natychmiastowej zmiany hasła lub w razie problemów powiadomić o tym fakcie Administratora Danych.

 

3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

 

1. 1. Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić administratora danych.
   2. Przystępując do pracy w systemie informatycznym służącym do przetwarzania danych osobowych, użytkownik jest zobowiązany wprowadzić swój identyfikator oraz hasło dostępu. Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika.
   3.            Niedozwolone jest przechowywanie danych służących do rozpoczęcia pracy w systemie informatycznym w sposób umożliwiający dostęp osobom postronnym.
   4. Monitory komputerowe powinny być usytuowane w sposób uniemożliwiający wgląd osób postronnych.
   5. Wprowadza się obowiązek zastosowania wygaszaczy ekranu zabezpieczonych hasłem. Czas po jakim wygaszacz się uaktywni wynosi maksymalnie 5 minut.
   6. W przypadku czasowego opuszczenia stanowiska pracy użytkownik zobowiązany jest do zapisania pracy i wylogowania się z systemu komputerowego.
   7. Zakończenie pracy w systemie służącym do przetwarzania danych osobowych powinno być poprzedzone sporządzeniem, w miarę potrzeb, kopii zapasowej danych oraz zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych płyty CD, pendrive i inne, zawierających dane osobowe. Zakończenie pracy w systemie informatycznym służącym do przetwarzania danych osobowych następują poprzez wylogowanie się z tego systemu.

 

 

4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów
   i narzędzi programowych służących do ich przetwarzania

 

4.1.   Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest użytkownik systemu informatycznego służącego do przetwarzania danych osobowych.

4.2.      Kopie zapasowe wykonuje się nie rzadziej niż raz na miesiąc, na nośnikach CD-R lub DVD-R, pendrive oraz ewentualnie nośnikach magnetycznych lub magneto-optycznych. Dopuszcza się wykonywanie kopii zapasowych z wykorzystaniem mechanizmu wielosesyjności płyt CD-R lub DVD-R jednak w takim wypadku dane powinny być nagrywane w oddzielnych katalogach opatrzonych datą wykonania kopii.

4.3.   Kopie zapasowe dziennika elektronicznego sporządza się w systemie rocznym. Odpowiedzialnym za wykonanie kopii danych jest szkolny administrator Librusa.

4.4.   W przypadku wykonania kopii zapasowych za pomocą zewnętrznych napędów magnetycznych (dyski twarde) osoba odpowiedzialna dodatkowo zabezpiecza nośnik przed uszkodzeniem.

4.5.   Kopie zapasowe powinny być kontrolowane przez Administratora Danych,
w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym.

4.6.  Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.

4.7.   W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych.

 

5. Sposób, miejsce i okres przechowywania elektronicznych nośników i kopii zapasowych zawierających dane osobowe

 

1. 1. Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.
   2. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych.
   3. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe, a także wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem.
   4. Po zakończeniu pracy przez użytkowników systemu, wymienne elektroniczne nośniki informacji są przechowywane w zamykanych szafach biurowych.
   5. W przypadku uszkodzenia lub zużycia nośnika informacji zwierających dane osobowe należy go fizycznie zniszczyć tak, aby nie było możliwe odczytanie danych osobowych.
   6. Kopie zapasowe, które utraciły przydatność i nie podlegają dalszemu wykorzystaniu w oparciu o odrębne przepisy prawa powinny być zniszczone w sposób całkowicie uniemożliwiający ich odczytanie. Z procedury zniszczenia sporządza się protokół, który podpisują osoba odpowiedzialna i Administrator Danych.
   7. Nośniki informatyczne zawierające dane osobowe przechowywane są w miejscach, do których dostęp mają wyłącznie osoby upoważnione do ich  przetwarzania.
   8. Zabrania się używania nośników niewiadomego pochodzenia bez wcześniejszego sprawdzenia ich programem antywirusowym. Sprawdzenia dokonuje użytkownik, który nośnik zamierza użyć.
   9. Wypisy ze zbiorów danych udostępniane podmiotom nie będącym odbiorcami danych można przesyłać pocztą elektroniczną tylko w postaci zaszyfrowanej. Obowiązuje zakaz wynoszenia na jakichkolwiek nośnikach całych zbiorów danych oraz obszernych z nich wypisów, nawet w postaci zaszyfrowanej.
   10. Zabrania się odczytywania plików poczty elektronicznej bez wcześniejszego sprawdzenia ich programem antywirusowym. Każdy e-mail oraz załączniki muszą być sprawdzone przez program antywirusowy pod kątem obecności wirusów. Sprawdzenia dokonuje pracownik, który pocztę otrzymał.
   11. Zabrania się pobierania z Internetu plików niewiadomego pochodzenia. Każdy plik pobrany z Internetu musi być sprawdzony programem antywirusowym. Sprawdzenia dokonuje użytkownik, który pobrał plik.
   12. W przypadku wykrycia wirusów komputerowych sprawdzane jest stanowisko komputerowe na którym wykryto wirusa oraz wszystkie posiadane przez użytkownika nośniki.
   13. Użytkownik jest obowiązany zawiadomić administratora systemu o pojawiających się komunikatach wskazujących na wystąpienie zagrożenia wywołanego szkodliwym oprogramowaniem..

 

 

6. Sposób zabezpieczenia systemu informatycznego przed nieuprawnionym dostępem do zbiorów zawierających dane osobowe
   1. System informatyczny służący do przetwarzania danych osobowych w ZSP Wieliczki zabezpiecza się, w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego a także przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
   2. Każde stanowisko komputerowe z dostępem do sieci Internet wyposażone zostaje w stosowne oprogramowanie typu firewall i aktualizowane oprogramowanie antywirusowe.  Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.
   3. ZSP Wieliczki w celu ochrony danych osobowych przetwarzanych w edytorach tekstu, arkuszach kalkulacyjnych i innych programach do tworzenia baz danych a także w używanych systemach informatycznych stosuje zapory systemu WIONDOWS oraz systemy antywirusowe:  ESET NOD32, KASPERSKI, COMODO.
   4. Każdy zbiór wczytywany do komputera, w tym także wiadomość e-mail, musi być przetestowany programem antywirusowym.
   5. Wszystkie stanowiska komputerowe wyposażone zostają w awaryjny system zasilania zabezpieczający przed utratą danych (zasilacz awaryjny UPS).
   6. Przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują procedury określone w niniejszej instrukcji dotyczące pracy na komputerach stacjonarnych.
   7. Użytkownicy, którym zostały powierzone komputery przenośne powinny chronić   je przed uszkodzeniem, kradzieżą i dostępem osób postronnych. Szczególną ostrożność należy zachować podczas ich transportu.
   8. Obowiązuje zakaz używania komputerów przenośnych przez osoby inne niż te, którym zostały one powierzone.
   9. Praca na komputerze przenośnym możliwa jest po wprowadzeniu identyfikatora i  hasła użytkownika. Użytkownicy są zobowiązani zmieniać hasła w komputerach przenośnych nie rzadziej niż co 30 dni.
   10. Obowiązuje zakaz samodzielnej modernizacji oprogramowania i sprzętu                         w powierzonych komputerach stacjonarnych oraz przenośnych. Wszelkie zmiany mogą być dokonywane tylko pod nadzorem Administratora Systemu. W razie wystąpienia usterek w pracy komputerów (stacjonarnych i przenośnych) lub w razie wystąpienia konieczności aktualizacji ich oprogramowania należy zgłosić to Administratorowi Systemu.
   11. Administrator danych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.
   12. Należy instalować zalecane przez producentów oprogramowania poprawki i uaktualnienia systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania.

 

 

7. Udostępnianie danych

 

1. 1. Dane osobowe z eksploatowanych systemów mogą być udostępniane wyłącznie osobom uprawnionym na mocy przepisów obowiązującego prawa.
   2. Udostępnienie danych osobowych nie może być realizowane drogą telefoniczną.
   3. Do podmiotów , dla których dopuszczalne jest udostępnianie danych osobowych należą:

a) organ nadzorujący,

b) organ prowadzący,

c) podmioty świadczące usługi w zakresie oświaty,

d) instytucje współpracujące ze szkołą w zakresie opieki nad dziećmi i uczniami,

e) zus, urząd skarbowy – w ramach obsługi zatrudnienia pracowników.

8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

 

1. 1. Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w „Polityce bezpieczeństwa danych osobowych”, przez firmy zewnętrzne, na podstawie zawartych umów. W umowie musi znajdować się zapis o powierzeniu danych osobowych.
   2. Zabronione jest wykonywanie przeglądów i konserwacji systemów informatycznych służących do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych samodzielnie przez pracownika Zespołu Szkolno-Przedszkolnego.
   3. W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych albo naprawa powinna zostać przeprowadzona w obecności Administratora Danych lub osoby przez niego upoważnionej.
   4. Przeglądu i konserwacji systemu dokonuje administrator systemu doraźnie, jednak nie rzadziej niż raz w roku.
   5. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dokumentację o charakterze osobowym przeznaczone do naprawy  pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora Danych.
   6. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego powinny być wykonywane w terminach określonych przez producenta sprzętu.
   7. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie usunięte, a ich przyczyny powinny być przeanalizowane.
   8. Jeśli nośnik danych (dysk, płyta lub inne) zostanie uszkodzony i nie można   go odczytać ani usunąć z niego danych, należy zniszczyć go mechanicznie.
   9. Przeglądu i sprawdzenia poprawności zbiorów danych zawierających dane osobowe dokonuje użytkownik przy współudziale Administratora Danych nie rzadziej niż raz na miesiąc.
   10.    Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni Administrator Danych.