Polityka bezpieczeństwa

POLITYKA

BEZPIECZEŃSTWA DANYCH OSOBOWYCH PRZETWARZANYCH 

PRZEZ OKRĘGOWĄ KOMISJĘ EGZAMINACYJNĄ
W WARSZAWIE
 
 
Rozdział I
 
Postanowienia ogólne
 
 
§ 1
 
Dokument pn. „Polityka bezpieczeństwa danych osobowych przetwarzanych przez Okręgową Komisję Egzaminacyjną w Warszawie” opracowano na podstawie:
 
  1. § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
 
2.    art. 36. ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.).
 
 
Rozdział II
 
Definicje i skróty użyte w dokumencie
 
§ 2
 
1.    „Administrator danych osobowych” - Dyrektor  Okręgowej Komisji Egzaminacyjnej w Warszawie, zwany dalej „Administratorem”;
 
2.    „Polityka” – dokument pn. „Polityka Bezpieczeństwa danych osobowych przetwarzanych przez Okręgową Komisję Egzaminacyjną w Warszawie”;

 

 
3.    „Ustawa” – ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.);
 
4.    „Rozporządzenie” – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz.1024);
 
5.    „dane osobowe” – każda informacja dotycząca zidentyfikowaniu lub możliwości zidentyfikowania osoby fizycznej;
 
6.    „przetwarzanie danych osobowych” – jakakolwiek operacja wykonywana na danych osobowych, taka jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza wykonywana w systemach informatycznych;
 
7.    „zbiór danych osobowych” – każdy posiadający strukturę zestaw danych o charakterze osobowym, udostępniany wg określonych kryteriów, niezależnie od tego czy jest rozproszony lub podzielony funkcjonalnie;
 
8.    „system informatyczny” – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania danych osobowych (art.7 pkt. 2a Ustawy);
 
9.    „Użytkownik systemu” lub „osoba upoważniona – zwana użytkownikiem – osoba posiadająca upoważnienie wydane przez Administratora lub osobę przez niego wyznaczoną, która uprawniona jest do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu;
 
10.„rozliczalność” – właściwość zapewniająca, że działania podmiotu takie jak zmiany, dodania i udostępnienia, mogą być przypisane w sposób jednoznaczny temu podmiotowi;
 
11.„poufność danych” – właściwość zapewniająca, że dane osobowe nie są udostępniane podmiotom nieupoważnionym;
 
12.„integralność danych” – właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
 
13.„Administrator Bezpieczeństwa Informacji” zwany dalej ABI - osoba wyznaczona bezpośrednio przez Administratora, nadzorująca przestrzeganie w Okręgowej Komisji Egzaminacyjnej w Warszawie zasad ochrony danych osobowych (art. 36 ust. 3 Ustawy);
 
14.„administratorzy sieci” – informatycy wyznaczeni przez Administratora na wniosek ABI w Okręgowej Komisji Egzaminacyjnej w Warszawie, odpowiedzialni za organizowanie infrastruktury informatycznej oraz stosowanie technicznych zabezpieczeń tej infrastruktury w Komisji;
 
15.„zabezpieczenie danych w systemie” zwane dalej zabezpieczeniem – czynności wykonywane w rozumieniu art. 7 pkt. 2b Ustawy;
 
16.„właściciel aktywów” - dyrektor, kierownik wydziału lub kierownik innej komórki organizacyjnej, odpowiedzialny za zachodzące procesy w programach i aplikacjach użytkowanych w kierowanej komórce organizacyjne, w której przetwarzane są dane osobowe;
 
17.„Komisja” – Okręgowa Komisja Egzaminacyjna w Warszawie.
 
 
Rozdział III
 
Cele i zakres przedmiotowy polityki.
 
§ 3
 
1. Celem Polityki jest zapewnienie przez Administratora ochrony przetwarzanym danym osobowym, odpowiedniej do zagrożeń i kategorii przetwarzanych danych osobowych.
 
2. Za podmiot nieupoważniony uważa się podmiot, który nie otrzymał zgody Administratora na udostępnienie mu danych osobowych w trybie i na zasadach określonych w art. 29 Ustawy oraz osobę nieposiadającą upoważnienia do przetwarzania danych osobowych nadanego przez Administratora w trybie art. 37 Ustawy.
 
3. Polityka określa podstawowe zasady bezpieczeństwa, ma zastosowanie wobec wszystkich komórek organizacyjnych Komisji. Obowiązuje wszystkie osoby, które mają dostęp do danych osobowych bez względu na zajmowane stanowisko, miejsce i charakter pracy.
 
4. Polityka dotyczy wszystkich danych osobowych, niezależnie od formy ich przetwarzania, np. zbiory ewidencyjne, rejestry, systemy informatyczne.
 
5. Cele Polityki realizowane są poprzez zapewnienie danym osobowym cech:
 
a)           poufności,
 
b)           integralności,
 
c)            rozliczalności
oraz szkolenia z zakresu przetwarzania i ochrony danych osobowych.
 
6. Osoby mające dostęp do danych osobowych są zobowiązane do stosowania należytej staranności w celu zapobieżenia ujawnienia tych danych podmiotom nieupoważnionym. Powinny zapoznać się z Polityką oraz innymi dokumentami dotyczącymi przedmiotowej sprawy i stosować zawarte w nich regulacje.
 
7. Przypadki rażącego nieprzestrzegania obowiązków wynikających z Polityki i dokumentów z nią związanych mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, co nie wyklucza poniesienia odpowiedzialności karnej określonej w Ustawie.
 
8. Administrator zapewnia zgodność Polityki z obowiązującymi przepisami odnoszącymi się do zasad przetwarzania danych osobowych oraz normami ustanawiającymi wytyczne w dziedzinie zarządzania bezpieczeństwem systemów teleinformatycznych, tj. z :
 
a)    Ustawą,
 
b)    Rozporządzeniem,
 
c)    Normą PN-I-13335-1 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem informatycznym”,
 
d)    Normą PN-ISO/IEC-17799 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji”.
 
§ 4
 
9. Nadzór nad realizacją Polityki i spójnością regulacji odnoszących się do ochrony danych osobowych w Komisji sprawuje ABI.
 
 
Rozdział IV
 
Zasady współpracy w zakresie zarządzania bezpieczeństwem
i tryb utrzymania Polityki.
 
 
§ 5
 
1. Zarządzanie bezpieczeństwem jest procesem ciągłym, realizowanym przy współpracy, współdziałaniu osób upoważnionych do przetwarzania danych z ABI.
 
2. Za utrzymanie Polityki (tekstu głównego i załączników) odpowiada ABI. Załączniki do Polityki wypracowywane są przez ABIwe współpracy z innymi komórkami organizacyjnymi Komisji, właściwymi dla danego załącznika. Za właściwe prowadzenie Polityki Bezpieczeństwa odpowiedzialność ponosi ABI.
 
3. W celu zrealizowania zadania, o którym mowa w ust. 2, ABI otrzymuje od właścicieli aktywów inicjujących zmiany w zakresie przetwarzania danych osobowych informacje odnoszące się do:
 
a)    opisu sposobu przepływu danych osobowych pomiędzy poszczególnymi systemami,
 
b)    opis struktury zbiorów danych osobowych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi,
 
c)     wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
 
4. Administrator na wniosek ABI zatwierdza wdrożenie i aktualizację tekstu głównego Polityki i załączników.
 
5. ABI na początku każdego roku kalendarzowego dokonuje przeglądu Polityki w celu jej aktualizacji. Niezależnie od tej czynności właściciele aktywów są zobowiązani do niezwłocznego przekazywania wszelkich informacji powodujących konieczność wprowadzenia bieżących zmian w tekście głównym Polityki i załącznikach.
 
 
Rozdział V
 
Dokumenty wykonawcze do Polityki i zasady ich wprowadzenia.
 
 
§ 6
 
Do Polityki wydawane są wewnętrzne regulacje Komisji, wprowadzane jako załączniki do zarządzeń.
 
 
Rozdział VI
 
Obszar przetwarzania danych w Komisji.
 
 
§ 7
 
1.    Za obszar przetwarzania danych osobowych należy rozumieć obszar, w którym wykonywana jest choćby jedna czynność z wymienionych w art., 7 pkt.2 Ustawy.
 
2.    Na obszar, o którym mowa w ust.1, gdzie są przetwarzane dane osobowe składają się pomieszczenia zajmowane przez Komisję z wyłączeniem traktów komunikacyjnych, garaży, pomieszczeń sanitarno-higienicznych i socjalnych.
 
3.    Właściciele aktywów są zobowiązani do szczegółowego prowadzenia i aktualizowania wykazu obszarów, w tym pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe. Jeden egzemplarz wykazu właściciele aktywów przekazują do Wydziału Organizacyjno-Administracyjnego.Wykazjest udostępniany na każde żądanie ABI.
 
4.    Za szczególnie istotne obszary przetwarzania danych należy uznać:
 
a)     obszar serwerowni,
 
b)     obszar przechowywania i składowania kopii zapasowych i archiwalnych,
 
c)     obszar archiwum i archiwów podręcznych,
 
d)     obszar przetwarzania danych finansowo-księgowych,
 
e)     obszar przetwarzania danych kadrowych.
 
5. Wzórszczegółowego wykazu obszarów przetwarzania danych osobowych przedstawia załącznik Nr 1.
 
 
Rozdział VII
 
Struktura i wykaz zbiorów danych osobowych ze wskazaniem głównych programów zastosowanych do przetwarzania tych danych.
 
 
§ 8
 
1. Wzór wykazu zbiorówdanych osobowych oraz głównych programów zastosowanych do ich przetwarzania zawierazałącznik Nr 2.
 
2. W Komisji dane osobowe mogą być przetwarzane w zbiorach danych przy zastosowaniu systemów oraz zbiorów ewidencyjnych w postaci kartotek, skorowidzów, ksiąg i wykazów.
 
 
Rozdział VIII
 
Podział odpowiedzialności za bezpieczeństwo w systemie informatycznym, oraz przetwarzanych metodą tradycyjną (poza systemem informatycznym).
 
§ 9
 
1. Odpowiedzialność za bezpieczeństwo danych osobowych w systemie informatycznym Komisji ponoszą jego użytkownicy, każdy we właściwym sobie zakresie. W szczególności:
 
a)    za integralność danych osobowych odpowiada:
 
- w fazie ich wprowadzania do systemu lub programu pracownik upoważniony do przetwarzania danych osobowych,
 
- za ich utrzymanie w systemie informatycznym – właściciele aktywów,
          
b)    za poufność:
 
- za jej realizację w systemie informatycznym poprzez udostępnianie informacji wyłącznie użytkownikom upoważnionym w przyznanym im zakresie – właściciele aktywów
 
 - za czyniony z niej użytek po otrzymaniu dostępu do systemu informatycznego – każdy z jego użytkowników,
 
 
c)    rozliczalność:
 
- za jej realizację w systemie informatycznym poprzez zapewnienie przypisania działań wyłącznie jednemu użytkownikowi – właściciele aktywów,
 
za czyniony z niej użytek po uzyskaniu upoważnienia dostępu do systemu informatycznego – każdy użytkownik.
 
2. Odpowiedzialność za bezpieczeństwo danych osobowych przetwarzanych metodą tradycyjną ponoszą:
 
a)    wszystkie osoby mające dostęp do danych osobowych, każdy we właściwym sobie zakresie,
 
b)    za zapewnienie odpowiedniego stopnia zabezpieczenia fizycznego obiektów, w których przetwarzane są dane osobowe, komórka organizacyjna Komisji, której przydzielone są te zadania po zgłoszeniu na piśmie właściciela aktywów.
 
Rozdział IX
 
Środki ochrony.
 
§ 10
 
 
1. Administrator na podstawie przeprowadzonej analizy podatności na zagrożenia zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
 
2. Środki organizacyjne obejmują:
 
a)    wdrożenie szczegółowych instrukcji jako narzędzi wykonawczych do Polityki,
 
b)    do przetwarzania danych osobowych dopuszczane są wyłącznie osoby posiadające stosowne upoważnienia. Ich ewidencję prowadzi w Komisji ABI.
 
c)    każdy użytkownik systemu uwiarygodnia się w systemie informatycznym poprzez stosowanie identyfikatora i hasła dostępu. Identyfikator dostępu do przetwarzania danych osobowych nie może być przyznawany innej osobie.
 
d)    każdy użytkownik może działać tylko w ramach nadanych mu praw dostępu,
 
e)    zapisane w systemie informacje są objęte tajemnicą służbową i podlegają ochronie,
 
f)     pracownicy zatrudnieni przy przetwarzaniu danych osobowych składają oświadczenie, w którym zobowiązują się do zachowania tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu zatrudnienia w Komisji,
 
g)    obszar przetwarzania danych osobowych chroniony jest przed dostępem osób nieupoważnionych w szczególności na czas nieobecności w nim osób upoważnionych do przetwarzania danych,
 
h)   ustalenie zasad pobierania kluczy do pomieszczeń lub szaf, o ile jest to zasadne.
 
3. Środki techniczne obejmują:
 
a)    stosowanie haseł o właściwej konstrukcji w zależności od stopnia poziomu bezpieczeństwa,
 
b)    zmianę (wymuszoną przez system informatyczny) haseł dostępu w cyklu 30 dni,
 
c)     składowanie zbiorów danych (w tym nośników wymiennych i nośników kopii zapasowych) zabezpieczonych w odpowiednisposób,
 
d)    zastosowanie odpowiednich i regularnie aktualizowanych narzędzi ochronnych, np. programów antywirusowych,
 
e)    tworzenie w miarę potrzeb kopii zapasowych zbiorów danych przetwarzanych w systemie informatycznym,
 
f)      stosowanie ochrony zasilania (UPS),
 
g)    w przypadku likwidacji lub przekazania – dyski i inne elektroniczne nośniki informacji pozbawia się wcześniej zapisu tych danych lub uszkadza się je w sposób uniemożliwiający odczytanie danych,
h)    w przypadku naprawy – pozbawia się wcześniej zapisu tych danych albo naprawa odbywa się pod nadzorem osoby upoważnionej z Komisji.
 
4. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wynikające z przeprowadzonej analizy ryzyka dla poszczególnych systemów ustala się następujące poziomy bezpieczeństwa:
 
a)    podstawowy,
b)    podwyższony,
c)    wysoki.
 
5. Określenia właściwego poziomu bezpieczeństwa informatycznego dokonuje w Komisji ABI.

 

Okręgowa Komisja Egzaminacyjna w Warszawie
Plac Europejski 3, 00-844 Warszawa, tel. 22 457 03 35, e-mail: info@oke.waw.pl