BIP - Starostwa Powiatowego w Łomży

Biuletyn Informacji Publicznej

ZARZĄDZENIE Nr 45/07 Starosty Łomżyńskiego

z dnia: 3 grudnia 2007 roku
w sprawie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w systemach Pojazd i Kierowca

Na podstawie art. 34 ust. 1 i art. 35 ust.2 ustawy z dnia 5 czerwca 1998r. o samorządzie powiatowym (Dz.U. z 2001 r. Nr 142, poz. 1592 z późn.zm.) w związku ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn.zm.) oraz § 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) zarządzam co następuje:


§ 1

Wprowadzam instrukcję określającą sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych „Pojazd” i „Kierowca” w Starostwie Powiatowym w Łomży stanowiącą załącznik do niniejszego zarządzenia.

§ 2

Wykonanie zarządzenia powierzam Naczelnikowi Wydziału Komunikacji.

§ 3

Zarządzenie wchodzi w życie z dniem podpisania.


Starosta
Krzysztof Kozicki

Załącznik do Zarządzenia Nr 45/07
Starosty Łomżyńskiego
z dnia 3 grudnia 2007 r.


INSTRUKCJA
określająca sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w systemach Pojazd i Kierowca w Starostwie Powiatowym w Łomży

§ 1

1. Instrukcja określa sposób zarządzania lokalnym systemem informatycznym systemów Pojazd i Kierowca w zakresie przetwarzania danych osobowych i realizuje wymaganie, w którym mowa w par. 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
2. W sprawach nie określonych niniejszą instrukcją należy stosować postanowienia Instrukcji Bezpieczeństwa Systemu Pojazd i Kierowca w Urzędzie, Polityki Bezpieczeństwa Systemów Pojazd i Kierowca oraz Zarządzenia Nr 39/07 Starosty Łomżyńskiego z dnia 9 listopada 2007r. w sprawie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz instrukcji dotyczącej ochrony danych osobowych i sposobu postępowania w przypadkach jej naruszenia.
3. Przez użyte w instrukcji określenia należy rozumieć:
1) UODO – ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych;
2) ADO – Administrator Danych Osobowych – Starosta
3) ABI – Administrator Bezpieczeństwa Informacji
4) RMSWiA – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., o którym mowa w ust. 1;
5) PBSPiK – Polityka Bezpieczeństwa Systemów Pojazd i Kierowca;
6) IBSPiK – Instrukcja Bezpieczeństwa Systemu Pojazd w Urzędzie i Instrukcja Bezpieczeństwa Systemu kierowca w Urzędzie.

§ 2

1.System informatyczny (system), w którym są przetwarzane dane osobowe musi spełniać wymagania określone w RMSWiA, PBSPiK i Zarządzeniu Nr 39/07 Starosty Łomżyńskiego z dnia 9 listopada 2007 roku w sprawie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz instrukcji dotyczącej ochrony danych osobowych i sposobu postępowania w przypadkach jej naruszenia.
2.W szczególności system zapewnia dla każdej osoby, której dane osobowe są w nim przetwarzane automatyczne odnotowanie:
1)daty pierwszego wprowadzenia danych; identyfikatora użytkownika, który wprowadził dane; źródła danych jeżeli może ich być więcej niż jedno; możliwość sporządzenia i wydrukowania raportu o danych osobowych;
2)informacji o tym komu, kiedy i w jakim zakresie zostały udostępnione dane, w rozumieniu art. 7 punkt 6 UODO;
3.System pracuje w produkcyjnej, dedykowanej sieci teleinformatycznej.
4.Przez sieć produkcyjną, o której mowa w ust. 3 rozumie się sieć odseparowaną, tj. bez bezpośredniego lub pośredniego (tj. za pośrednictwem innych sieci) połączenia
z Internetem i z ograniczonym, zarządzalnym połączeniem z innymi sieciami produkcyjnymi.
5.Pomieszczenia, w których eksploatowany jest system są chronione przed dostępem osób nieuprawnionych z użyciem elektronicznego systemu wykrywania włamań oraz elektronicznego systemu wykrywania pożaru w pomieszczeniu serwerowi.

§ 3

1.Dostęp do pomieszczeń i systemu, w którym przetwarzane są dane osobowe jest przyznawany osobom pisemnie upoważnionym do przetwarzania danych osobowych, które formalnie zobowiązały się do:
1)zachowania w tajemnicy przetwarzanych danych osobowych oraz informacji dotyczących środków ich przetwarzania;
2)niewykraczania poza uprawnienia przyznane w systemie.
2.Tworzenie konta, zmiana lub zawieszenie praw dostępu w systemie dla użytkowników są realizowane przez Polską Wytwórnię Papierów Wartościowych S.A. zgodnie z procedurami określonymi w IBSPiK na formalny wniosek osoby upoważnionej przez Urząd.

§ 4

1.W systemie stosuje się uwierzytelnianie z użyciem imiennego certyfikatu x509v3 przechowywanego na karcie kryptograficznej.
2.Certyfikaty użytkowników są wystawiane w Punkcie Rejestracji CCiGK w PWPW S.A.
3.Uwierzytelnianie z użyciem identyfikatora i hasła jest stosowane wyłącznie w sytuacjach awaryjnych uwzględnionych w IBSPiK.
4.Hasła są przechowywane w postaci zaszyfrowanej.
5.W systemie stosuje się hasła o poziomie złożoności określonym w zabezpieczeniu nr VIII załącznika do RMSWiA.
6.Systemy nie zezwalają na ustanowienie:
1)hasła krótszego ni ż 8 znaków;
2)kodu PIN do karty o długości krótszej niż 4 znaki;
7.Systemy uniemożliwiają uwierzytelnianie użytkownika przez 30 minut jeśli trzy kolejne próby uwierzytelniania zakończyły się niepowodzeniem.
8.Hasło i kod PIN są informacjami przeznaczonymi wyłącznie do wiadomości użytkownika systemu i nie powinny być ujawnione osobom trzecim.
9. Dopuszcza się poniższe wyjątki od zasady przytoczonej w ust. 8:
1)awaryjne hasło użytkownika systemów Kierowca i Pojazd jest czasowo przechowywane w PWPW S.A., gdzie generowane są listy haseł logowania awaryjnego;
2)tymczasowy kod PIN karty użytkownika może być znany administratorowi systemu w PWPW S.A. bezpośrednio po odblokowaniu karty na wniosek użytkownika;
10.W celu złagodzenia ryzyk wynikających z wyjątków wymienionych w ust. 9:
1)użytkownik systemu powinien zmienić kod PIN niezwłocznie po jego ustanowieniu przez administratora;
2)kopia listy haseł logowania awaryjnego przechowywana w PWPW S.A. jest niszczona niezwłocznie po uzyskaniu potwierdzenia dostarczenia jej oryginału do Urzędu.
11.Hasła i kody PIN w stosunku do których zaistniało podejrzenie ich ujawnienia podlegają niezwłocznej zmianie zgodnie z zasadami określonymi w IBSPiK.

§ 5

1.Rozpoczynając pracę w systemie użytkownik uwierzytelnia się w systemie operacyjnym. Wprowadzenie hasła lub kodu PIN musi odbywać się w sposób uniemożliwiający ich ujawnienie innym osobom.
2.W przypadku braku możliwości rozpoczęcia pracy lub powzięcia podejrzeń, że z konta użytkownika mogła korzystać inna osoba bądź jakiegokolwiek naruszenia bezpieczeństwa systemu należy niezwłocznie powiadomić operatora Infolinii (tel. 0801-300-403) lub bezpośrednio zespół bezpieczeństwa w PWPW S.A. (tel. 022 53 02 334).
3.Ustawienie monitora lub zastosowanie filtra ograniczającego kąt widzenia powinno uniemożliwiać podgląd ekranu osobom nieupoważnionym do przetwarzania danych osobowych.
4.W przypadku konieczności czasowego opuszczenia stanowiska pracy, użytkownik systemu obowiązany jest uniemożliwić dostęp do stacji roboczej aktywując wygaszasz ekranowy zabezpieczony hasłem.
5.Zabezpieczenie, o których mowa w ust. 4 powinno być aktywowane automatycznie jeśli stacja robocza nie byłą wykorzystywana przez 20 minut.
6.Po zakończeniu pracy przy przetwarzaniu danych osobowych użytkownik powinien wylogować się z systemu i wyłączyć komputer.

§ 6

1.Wykonywanie, przechowywanie i likwidacja kopii bezpieczeństwa powinny być realizowane zgodnie z zasadami określonymi w IBSPiK.
2.PWPW S.A. odpowiada za inicjowanie, wykonanie i weryfikację poprawności zapisu na nośnikach.
3.Wydział Komunikacji odpowiada za jednoznaczne oznaczenie nośników; ich wymianę w napędzie zgodnie z ustalonym harmonogramem oraz za przechowywanie nośników w miejscu oddalonym od miejsca, w którym jest zlokalizowany serwer i w sposób uniemożliwiający nieuprawnione przejęcie, odczyt, modyfikację, uszkodzenie lub zniszczenie.
4.Ponadto Wydział Komunikacji odpowiada za niszczenie nośników po ich wycofaniu z użycia.

§ 7

1.Elektroniczne nośniki informacji powinny być przechowywane w pomieszczeniach uniemożliwiających dostęp osób nieupoważnionych poprzez zastosowanie elektronicznego wykrywania włamań.
2.Nośniki, o których mowa w ust. 1 powinny być przechowywane w sposób uniemożliwiający nieuprawnione przejęcie, odczyt, modyfikację, uszkodzenie lub zniszczenie;
3.Wprowadzenie i wycofanie z użycia i niszczenie elektronicznych nośników informacji powinno odbywać się zgodnie z:
1)PBSPiK w przypadku dysków twardych zainstalowanych w serwerach i stacjach roboczych;
2)W oparciu o Zarządzenie Nr 39/07 Starosty Łomżyńskiego z dnia 9 listopada 2007 roku w sprawie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz instrukcji dotyczącej ochrony danych osobowych i sposobu postępowania w przypadkach jej naruszenia w przypadku nośników wymiennych.
4.Nośniki elektroniczne powinny być pozbawione zapisanych na nich danych lub fizycznie niszczone niezwłocznie po ustaniu celu w jakim dane zostały na nich zapisane.
5.Nieuzasadnione kopiowanie danych osobowych na nośniki jest zabronione.

§ 8

1.Ochrona przed szkodliwym oprogramowaniem jest realizowana przez oprogramowanie antywirusowe instalowane na serwerach i stacjach roboczych.
2.Oprogramowanie antywirusowe i bazy sygnatur szkodliwego oprogramowania są aktualizowane przez PWPW S.A. zgodnie ze szczególnymi wymaganiami określonymi w PBSPiK.

§ 9

1.Przeglądy, konserwacja i naprawy elementów infrastruktury technicznej systemu i oprogramowania są wykonywane przez PWPW S.A. zgodnie z zasadami określonymi w IBSPiK.
2.Praca osób wykonujących czynności serwisowe jest wykonywana pod nadzorem pracownika Wydziału Komunikacji.
3.Jeżeli wykonanie czynności serwisowych wymaga dostępu do danych osobowych to pracownik firmy zewnętrznej jest zobowiązany do podpisania zobowiązania o zachowaniu poufności.
4.Urządzenia komputerowe, dyski twarde lub inne elektroniczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu danych osobowych lub naprawia się je pod nadzorem pracownika Wydziału Komunikacji.

Starosta
Krzysztof Kozicki








Data dodania:
Data upublicznienia: wtorek, 18 gru 2007 08:23
Opublikował(a): Beata Korwek
Zaakceptował(a): Beata Korwek
Artykuł był czytany: 1843 razy