Zarządzenie Nr B.0152-2/05

Burmistrza Miasta Kuźnia Raciborska

z dnia 25.01.2005 r.

w sprawie podstawowych warunków technicznych i organizacyjnych stosowanych

w celu ochrony danych osobowych przetwarzanych w systemie informatycznym

Urzędu Miejskiego w Kuźni Raciborskiej

Na podstawie:

-        art. 33 ust 3 ustawy z dnia 8 marca 1990 roku o samorządzie gminnym (tj. Dz. U. z 2001 r. nr 142, poz. 1591 z późn. zm.)

-        art. 36 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tj. Dz. U. z 2002 r. nr 101, poz. 926),

-        § 3 ust 1, § 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (tj. Dz. U. z 2004 roku, nr 100, poz. 1024)

zarządzam, co następuje:

§ 1

Zatwierdzam Instrukcję zarządzania systemem informatycznym Urzędu Miejskiego w Kuźni Raciborskiej, wykorzystywanym do przetwarzania danych osobowych oraz zabezpieczenia zbiorów danych osobowych gromadzonych w innej postaci - stanowiącą załącznik nr 1 do niniejszego zarządzenia.

§ 2

Zatwierdzam Instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miejskim w Kuźni Raciborskiej, stanowiącą załącznik nr 2 do niniejszego zarządzenia.

§ 3

Przeprowadzenie szkoleń dla pracowników Urzędu Miejskiego w Kuźni Raciborskiej w zakresie określonym w załączniku nr 3 do niniejszego zarządzenia.

§ 4

Przeprowadzanie kontroli w zakresie przestrzegania instrukcji wymienionych w § 1 i § 2 zarządzenia, wg programu zawartego w załączniku nr 4 do niniejszego zarządzenia.

§ 5

Wykonanie zarządzenia powierzam Administratorowi Bezpieczeństwa Informacji.

§ 6

Traci moc Zarządzenie Burmistrza nr B.0152-10/04 z dnia 05.07.2004 r.

§ 7

Zarządzenie wchodzi w życie z dniem podjęcia.

 

BURMISTRZ

(-) Ernest Emrich

 

 

 

Załącznik nr 1 do Zarządzenia

   Burmistrza Nr B.0152-2/05

z dnia 25.01.2005 r. 

Instrukcja zarządzania systemem informatycznym

Urzędu Miejskiego w Kuźni Raciborskiej, wykorzystywanym

do przetwarzania danych osobowych oraz zabezpieczenia zbiorów

danych osobowych gromadzonych w innej postaci.

I. Przepisy ogólne

§ 1

1.      Celem instrukcji jest realizacja obowiązków art. 36 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku oraz § 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

2.      Instrukcja określa:

a.       ogólne zasady zarządzania sy­stemem informatycznym w Urzędzie Miejskim w Kuźni Raciborskiej, ze szczególnym uwzględnieniem przepisów o ochronie danych osobo­wych

b.       sposób postępowania pracowników Urzędu Miejskiego w celu prawidłowego zabezpieczenia danych osobowych przed osobami nieuprawnionymi.

3.      Ilekroć w instrukcji jest mowa o:

a.       Urzędzie, rozumie się przez to Urząd Miejski w Kuźni Raciborskiej,

b.       ABI, rozumie się przez to Administratora Bezpieczeństwa Informacji,

c.       ASI, rozumie się przez to Administratora Systemu Informatycznego.

II. Opis systemu

§ 2

1.       System informatyczny Urzędu to konfiguracja sprzętowo-programowa umożliwiająca wykonywanie niezbędnych czynności związanych z zadaniami statutowymi gminy.

2.       System informatyczny Urzędu składa się z 7 podsystemów.

3.       Pierwszym z nich jest podsystem URZĄD, na który składa się serwer baz danych oraz specjalnie do tego wydzielone komputery osobiste. Podsystem ten działa w architekturze klient-serwer co oznacza, że serwer baz danych pełni rolę magazynu danych a wydzielone komputery osobiste korzystają z danych zdalnie. Awaria komputera osobistego w żaden sposób nie wpływa na bezpieczeństwo danych składowanych na serwerze podsystemu nawet wtedy, gdy awaria nastąpi w momencie pracy z danymi.

4.       Drugi podsystem Urzędu to serwer plików wraz z siecią komputerów osobistych korzystających z plików udostępnionych na serwerze oraz dyskach lokalnych folderów i plików. Każdy pracownik Urzędu korzystający z komputera osobistego otrzymuje dostęp do serwera plików. ASI tworzy na serwerze plików konto osobiste pracownika i wyznacza dla niego Login – nazwę użytkownika oraz tworzy hasło dostępu.

5.       Trzeci podsystem to sieć komputerowa łącząca Urząd oraz jednostki organizacyjne położone poza budynkiem Urzędu.

6.       Czwartym podsystemem to szerokopasmowy dostęp do Internetu. Podsystem składa się z modemu szerokopasmowego oraz komputera osobistego, stanowiącego bramę internetową dla podsystemów Urzędu. Z łącza internetowego korzystać mogą wszyscy pracownicy Urzędu oraz jednostki organizacyjne korzystające z sieci komputerowej. Dostęp do Internetu jest nielimitowany i trwa 24 godziny na dobę.

7.       Na piąty podsystem Urzędu składa się serwer baz danych oraz wydzielone do tego celu komputery osobiste. Podsystem ten realizuje zadania Ewidencji Ludności, Ewidencji Działalności Gospodarczej oraz Koncesji. Dostęp do podsystemu realizowany jest podobnie jak poprzednie podsystemy na zasadzie autoryzacji.

8.       Szóstym podsystemem Urzędu jest podsystem wydawania dowodów osobistych. Jest elementem ogólnopolskiego projektu łączącego wszystkie komórki wydawania dowodów osobistych w kraju. Komputer osobisty, na którym działa podsystem jest fizycznie wyłączony z sieci komputerowej Urzędu, co oznacza, że nie ma dostępu do pozostałych podsystemów.

9.       Siódmy podsystem Urzędu stanowi system informacji prawnej „Lex Polonica”. Dostęp do podsystemu mają wszyscy pracownicy Urzędu.

III. Rozpoczęcie, organizacja i zakończenie pracy

§ 3

1.       W przypadku komputerów wolnostojących, o rozpoczęciu i zakończeniu pracy decydują użytkownicy sprzętu komputerowego.

2.       Przed rozpoczęciem pracy przy komputerze należy zalogować się do systemu poprzez wprowadzenie ustalonego identyfikatora i hasła użytkownika.

3.       Przed odejściem od komputera, w którym przechowywane są dane osobowe, należy się wylogować.

4.       Dostęp do serwera plików Urzędu jest możliwy wyłącznie w dni robocze w godzinach od 6⁰⁰ – 18⁰⁰. W razie potrzeby korzystania z dostępu do serwera w godzinach lub dniach innych niż wymienionych powyżej, należy poinformować ASI.

5.       Podczas korzystania z systemu informacji prawnej „Lex Polonica” należy pamiętać, że dostęp do programu jest ograniczony i po skorzystaniu należy z niego wyjść bez zbędnej zwłoki.

6.       Zabrania się importowania wszelkich plików spowalniających pracę w sieci nie związanych z zakresem czynności.

7.       Po zakończeniu pracy użytkownik wyłącza komputer osobisty oraz wszystkie urządzenia peryferyjne do niego podłączone.

IV. Zabezpieczenia

§ 4

Zabezpieczenia programowe i sprzętowe

1.       Celem zabezpieczenia danych w systemie informatycznym jest ochrona danych osób fizycznych, których dane osobowych są przetwarzane w systemie informatycznym w Urzędzie.

2.       Strategia i polityka zabezpieczenia danych osobowych w Urzędzie polega głównie na:

-        zastosowaniu dostępnych urządzeń i oprogramowania służących ochronie danych oraz bieżącym ich uaktualnianiu,

-        systematycznym monitorowaniu systemu,

-        stosowaniu haseł oraz utrzymywaniu ich w tajemnicy.

       Zagadnienie szczegółowo opisano w § 5 i § 14 niniejszej instrukcji.

3.       Dane osobowe przetwarzane w Urzędzie mogą być narażone na następujące zagrożenia i ryzyko:

-        włamania do systemu informatycznego i pozyskiwania danych osobowych przez osoby nieuprawnione z zewnątrz poprzez sieć Internet,

-        pozyskanie danych osobowych przez nieuprawnionych pracowników Urzędu,

-        pozyskanie danych osobowych przez osoby nieuprawnione z zewnątrz poprzez bezpośredni dostęp do komputera,

-        dostęp osób nieuprawnionych z zewnątrz poprzez złe zabezpieczenie danych osobowych w postaci papierowej,

-        dostęp osób nieuprawnionych przy przesyłaniu danych osobowych. 

4.       Komputery osobiste Urzędu, serwery plików oraz zbiory danych osobowych zabezpieczone są programowo przed niepowołanym dostępem. Zabezpieczenie to polega na autoryzacji osoby rozpoczynającej pracę w systemie, poprzez wpisanie swojego identyfikatora i hasła.

5.       Stanowisko komputerowe do rejestracji dowodów osobistych zabezpieczone jest programowo i sprzętowo. Do pracy w podsystemie niezbędna jest autoryzacja pracownika oraz karta chipowa.

6.       Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 

7.       Zabrania się pracownikom Urzędu ingerowania w konfigurację komputerów bez zgody ASI.

8.       W przypadku stwierdzenia używania w sieci komputerowej Urzędu oprogramowania nie zainstalowanego przez ASI, przekazuje on stosowną notatkę Sekretarzowi Miasta.

§ 5

Przydział identyfikatora i haseł

1.       Dla każdego użytkownika systemu ASI ustala odrębny identyfikator i hasło.

2.       ASI winien być poinformowany przez Inspektora ds. Kadrowych o przyjęciu lub zwolnieniu pracownika. W zależności od potrzeby rejestruje nowego użytkownika systemu, przydzielając mu odpowiedni identyfikator i hasło. W przypadku zwolnienia pracownika wyrejestrowuje jego identyfikator i hasło.

3.       ABI udziela dostępu do podsystemu na pisemny wniosek kierownika referatu, w którym zatrudniony jest pracownik, przy czym wniosek powinien parafować Sekretarz Miasta oraz ABI. Wniosek powinien zawierać dane pracownika oraz wykaz modułów, do których pracownik ma uzyskać dostęp.

4.       Identyfikatory wpisywane są do ewidencji osób pracujących przy przetwarzaniu danych osobowych wraz z imieniem i nazwiskiem użytkownika oraz rejestrowane w systemie informatycznym. Ewidencję użytkowników prowadzi ABI.

5.       Użytkownik jest zobowiązany do zmiany hasła logowania do systemu, co najmniej raz w miesiącu, o czym będzie informować stosowny komunikat.

6.       Hasło użytkownika powinno się składać z minimum 8 znaków w postaci zaszyfrowanej.

7.       Użytkownik jest również zobowiązany do utrzymania w tajemnicy hasła umożliwiającego dostęp do systemu, również po upływie jego ważności.

8.       Identyfikator użytkownika nie będzie zmieniany bez jego wiedzy, a po wyrejestrowaniu użytkownika z systemu nie będzie przydzielany innej osobie.

9.       Identyfikator oraz hasło osoby, która utraciła uprawnienia do dostępu do danych osobowych, będą  kasowane z systemu informatycznego.

10.   Dostęp do konta ma tylko pracownik, jeśli zaistnieje taka potrzeba, także grupa pracowników w dowolnej konfiguracji zapisu lub/i odczytu. ASI może utworzyć na serwerze plików folder, do którego będzie miała dostęp grupa pracowników np. tworząca oddzielną komórkę organizacyjną Urzędu. Dostęp do takiego folderu może być realizowany dla grupy na zasadach zapisu i/lub odczytu danych.

10.   Dostęp do podsystemu wydawania dowodów osobistych jest realizowany na podstawie Loginu – nazwy użytkownika, hasła dostępu oraz karty chipowej. Zezwolenie na korzystanie z w/w stanowiska komputerowego mają tylko osoby wyznaczone przez Burmistrza Miasta. Łączność z ogólnopolskim systemem wydawania dowodów osobistych realizowana jest w technologii bezprzewodowej.

11.   Każda jednostka organizacyjna podłączona do Urzędu posiada własną grupę roboczą, co nie powoduje kolizji w pracy Urzędu. Jednostki, które są podłączone do sieci Urzędu nie mają dostępu do serwera baz danych ani do serwera plików. Istnieje jednak możliwość włączenia jednostek organizacyjnych do podsystemu serwera baz danych oraz serwera plików. Jako medium łączności używa się kabla UTP kat. 5 oraz technologii bezprzewodowej.

§ 6

Kontrola antywirusowa

1.       Kontroli antywirusowej serwerów dokonuje ASI.

2.       Kontroli antywirusowej stanowiska komputerowego dokonuje użytkownik za pomocą programu antywirusowego.

3.       Kontrola serwerów powinna być przeprowadzana co najmniej raz w tygodniu.

4.       Kontrola stanowisk komputerowych powinna być przeprowadzana na bieżąco.

5.       Program antywirusowy winien być aktualizowany, tak by rozpoznawał nowe powstające zagrożenia.

6.       W przypadku powstania infekcji wirusowej niemożliwej do usunięcia przy pomocy narzędzi dostępnych w Urzędzie, ASI kasuje zainfekowane pliki oraz archiwizuje dane nie zainfekowane, a następnie formatuje twardy dysk komputera osobistego przywracając stan przed infekcją.

7.       W przypadku używania nośników informacji spoza Urzędu, należy je przed wykorzystaniem udostępnić ASI, celem ich kontroli antywirusowej.

§ 7

Pobieranie plików z Internetu

1.       Pobieranie plików z Internetu może odbywać się poprzez:

·       odbieranie poczty,

·       importowanie plików.

2.       Podczas odbierania poczty elektronicznej należy zwrócić szczególną uwagę na:

·       adres nadawcy,

·       temat wiadomości,

·       treść wiadomości,

·       załączniki.

3.       W przypadku wątpliwości co do autentyczności nadawcy, zrozumienia tematu i treści wiadomości oraz czytelnej formy załączników, należy usunąć wiadomość lub zgłosić zdarzenie do ASI.

4.       Spełnienie wszystkich kryteriów wymienionych w ust. 2 kwalifikuje wiadomość jako bezpieczną.

V. Komunikacja w sieci

§ 8

1.       Komunikacja w sieci Urzędu odbywa się za pomocą:

a)    poczty elektronicznej,

b)    udostępnianie katalogów i plików w sieci,

c)    nośników przenośnych (dyskietki, płyty CD).

2.       Wszystkie pliki zapisane na serwerze są udostępnione pozostałym użytkownikom sieci, za wyjątkiem objętych ochroną danych osobowych a zapisanych w folderze dokumenty nie udostępnione.

VI. Archiwizacja

§ 9

1.       Dane wytwarzane i przechowywane na dyskach twardych komputerów Urzędu należą do Urzędu i są własnością publiczną.

2.       Burmistrz Miasta, ma prawo żądać od pracowników natychmiastowego udostępnienia danych; zarówno od pracownika tworzącego i archiwizującego materiały, jak również osoby zastępującej pracownika w czasie jego nieobecności.

3.       W celu sprawnej archiwizacji dokumentów Urzędu funkcjonują dwa serwery przeznaczone do archiwizacji danych.

-           Serwer systemowy, na którym zainstalowany jest „System Urząd”, na nim zapisywane są dane wytworzone przy pomocy programów będących częścią systemu.

-           Serwer plików (Z), na którym pracownicy zapisują wszystkie dokumenty wytworzone przez siebie w innych programach, oprócz plików objętych ochroną danych osobowych.

4.       Dysk lokalny należy traktować jako notatnik osobisty, na którym przechowywane są pliki, które nie mają rangi treści dokumentu, projektu, zarządzenia czy uchwały, lub nie były użyte w załatwieniu spraw służbowych.

5.       Pracownik buduje w swoim komputerze bibliotekę, za pomocą folderów i podfolderów.

6.       Wszystkie pliki udostępnione są z klauzulą - tylko do odczytu.

7.       Własna biblioteka, zawierać musi m.in. takie foldery jak:

-              BIP

o        Projekty Uchwał Rady Miejskiej,

o        Projekty Zarządzeń Burmistrza Miasta,

o        Uchwały Rady Miejskiej,

o        Zarządzenia Burmistrza Miasta,

o        Inne dokumenty.

W powyższych folderach umieszczone są projekty i dokumenty utworzone na danym stanowisku pracy. Folder jest ułatwieniem dostępu głównie dla redakcji BIP

-              Przepisy dotyczące stanowiska pracy,

-              Dokumenty udostępnione, (w nim biblioteka zgodna z zakresem czynności),

-              Dokumenty nie udostępnione, (w niej pliki, chronione ze względu na ochronę danych osobowych).

8.       Bibliotekę pracownik wprowadza w życie po akceptacji bezpośredniego przełożonego.

9.       O sposobie poruszania się w bibliotece pracownik informuje osobę, która go zastępuje w czasie jego nieobecności.

10.   Sposób archiwizacji danych w komputerze, stosowany przez pracownika, powinien:

-         być jasny i czytelny, pozwalający na szybkie wyszukanie informacji niezbędnych do prawidłowego funkcjonowania Urzędu, nie tylko przez wprowadzającego dane, ale również osoby ją zastępujące i jej przełożonego,

-         odzwierciedlać sposób przechowywania akt, w teczkach i segregatorach prowadzonych na podstawie instrukcji kancelaryjnej,

-         obejmować tematycznie zakres czynności pracownika.

11.   Dla zachowania porządku w komputerze, bezpośrednio w folderze dokumenty udostępnione przechowuje się nie więcej niż 10 plików.

12.   Dokumenty, które nie sposób zakwalifikować do żadnego z posiadanych folderów, umieszczane są w folderze „pozostałe dokumenty”. Z chwilą powstania grupy plików tego samego rodzaju tworzy się dla nich osobny folder.

13.   Za bieżącą archiwizację danych w Urzędzie odpowiedzialny jest ABI i pracownicy w wyznaczonym zakresie.

14.   Archiwizacja Sesji Rady Miejskiej.

14.1 Po zatwierdzeniu protokołu każdej kolejnej sesji Rady Miejskiej, pracownik BRM archiwizuje materiały z sesji na CD-roomie, tworząc następującą bibliotekę:

Sesja RM nr z dnia ……………

1.      Zawiadomienie o sesji

1.1.    porządek obrad,

1.2.    projekty uchwał,

1.3.    inne materiały,

2.      Protokół

2.1.    lista obecności,

2.2.    treść protokołu,

2.3.    podjęte uchwały,

2.4.    interpelacje i zapytania,

2.5.    wnioski,

2.6.    załączniki,

3.      Informacja o przekazaniu uchwał do:

-        Regionalnej Izby Obrachunkowej,

-        Nadzoru Prawnego Wojewody,

-        Redakcji Dziennika Urzędowego,

-        Innych instytucji.

14.2 CD-room z danymi przechowywany jest w Biurze Rady Miejskiej i jest udostępniany na żądanie zgodnie z ustawą o dostępie do informacji publicznej.

§ 10

Kopie awaryjne

1.       Kopie awaryjne wykonywane są przez ASI, trzy razy w tygodniu i przechowywane w sejfie Urzędu.

2.       Przy zastosowaniu dodatkowych zabezpieczeń, kopie awaryjne mogą przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych.

3.       Kopie awaryjne należy:

§         okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu,

§         bezzwłocznie usuwać po ustaniu ich użyteczności.

4.       Kopie awaryjne wykonane na CD lub DVD, po ustaniu ich użyteczności są skutecznie niszczone.

VII. Nośniki informacji

§ 11

1.       Nośniki informacji, które nie są przeznaczone do udostępnienia, należy przechowywać w warunkach uniemożliwiających dostęp do nich osobom niepowołanym.

2.       ASI raz w roku powinien skontrolować stan nośników archiwizacyjnych.

3.       W przypadku stwierdzenia ich uszkodzenia winny one być zastąpione nośnikami w pełni sprawnymi.

4.       Urządzenia, dyski, lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do likwidacji, ASI pozbawia wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe, uszkadza w sposób uniemożliwiający ich odczytanie.

5.       Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, ASI pozbawia wcześniej zapisu tych danych.

VIII. Ewidencja sprzętu komputerowego

§ 12

1.       ASI prowadzi ewidencję sprzętu komputerowego i oprogramowania używanego na terenie Urzędu. Każdy zakupiony zestaw komputerowy jest szczegółowo opisany pod względem sprzętowym i programowym. Zestaw taki otrzymuje stosowny numer porządkowy.

2.       Pracownik, który otrzymuje zestaw komputerowy do użytkowania kwituje jego odbiór.

3.       W przypadku zauważenia jakichkolwiek usterek technicznych lub wad programowych użytkownik zestawu komputerowego niezwłocznie informuje o tym fakcie ASI.

4.       Użytkownik komputera osobistego nie instaluje oprogramowania bez zgody ASI.

5.       ASI zobowiązany jest instalować na komputerach osobistych oraz serwerach sieciowych wyłącznie oprogramowanie posiadające legalne licencje.

6.       Po przekazaniu użytkownikowi zestawu komputerowego ASI przeprowadza krótkie szkolenie na temat obsługi i czynności opisanych w niniejszym zarządzeniu.

7.       ASI prowadzi i uaktualnia ewidencję użytkowników systemu komputerowego.

IX. Przeglądy i konserwacje

§ 13

1.       Do przeglądu oraz konserwacji sprzętu komputerowego zobowiązany jest ASI.

2.       Przegląd oraz konserwacja sprzętu komputerowego odbywa się na bieżąco.

3.       Pracownik używający komputera osobistego zobowiązany jest raz w miesiącu wykonywać skanowanie dysku w poszukiwaniu błędów, a następnie przeprowadzać defragmentację.

4.       W przypadku trudności w wykonywaniu powyższych czynności ASI udzieli stosowny instruktaż.

5.       Urządzenia, dyski lub inne informatyczne nośniki danych, przeznaczone do naprawy, ASI pozbawia przed naprawą zapisu tych danych albo są one naprawiane pod jego nadzorem.

X. Ochrona danych osobowych

§ 14

1.       ABI i ASI są pracownicy referatu organizacyjnego Urzędu, którym przypisano te obowiązki w zakresie czynności.

2.       Obowiązki wynikające z instrukcji administratorzy wykonują osobiście lub mogą je wykonywać osoby przez nich wskazane i zatwierdzone przez Sekretarza Miasta.

3.       Każdy nowo przyjęty pracownik, który w zakresie czynności ma zadania związane z dostępem lub przetwarzaniem danych osobowych przystępuje do pracy po otrzymaniu uprawnień w tym zakresie nadanych przez ABI. Procedura nadania uprawnień jest następująca:

-        Inspektor ds. kadrowych przekazuje informację ABI o zatrudnieniu pracownika, który będzie przetwarzał dane osobowe.

-        ABI szkoli pracownika w zakresie przetwarzania danych osobowych, zapoznając go z przepisami w tym zakresie tj. uprawnieniami, odpowiedzialnością oraz z konsekwencjami w sytuacji naruszenia przepisów ustawy o ochronie danych osobowych.

-        Pracownik podpisuje dokument potwierdzający jego przeszkolenie.

-        ASI na wniosek ABI rejestruje nowego użytkownika w sieci nadając mu identyfikator i hasło oraz zapoznaje z podstawowymi czynnościami użytkowania systemu informatycznego.

-        Procedura jest rejestrowana na karcie obiegowej pracownika, którą dołącza się do akt.

4.       Na terenie Urzędu dane mogą przepływać swobodnie przy spełnieniu warunku, że przepływ ten jest maksymalnie ograniczony do danych niezbędnych odbiorcy, potrzebnych do realizacji przez niego zadań wynikających z zakresu czynności.

5.       Rada Miejska może podjąć uchwałę o opłacie administracyjnej od udzielanych informacji. Opłata taka może być pobierana od wszystkich podmiotów, które nie są ustawowo zwolnione od tej opłaty (§ 13 ust. 1 pkt 8 Statutu Gminy Kuźnia Raciborska ).

6.       Dane w postaci wydruków, skorowidzów, zestawień oraz w postaci cyfrowej na nośnikach magnetycznych mogą być udostępnienia osobie nieupoważnionej jeżeli:

-        zostanie złożony wniosek o udostępnienie danych osobowych zgodny ze wzorem zawartym w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. (opublikowane w Dzienniku Ustaw z 30 czerwca, pozycja 522) lub inny dokument zawierający niezbędny zakres informacji (wnioskodawca, podstawa prawna wniosku, zakres udostępnianych danych, cel udostępnienia danych),

-        wniosek zostanie przyjęty i zaparafowany przez ABI,

-        zostanie uiszczona stosowna opłata administracyjna zgodna z uchwałą Rady Miejskiej (§ 13 ust. 1 pkt 8 Statutu Gminy ).

7.       ABI lub osoba upoważniona po zapoznaniu się z wnioskiem wyraża zgodę na udostępnienie danych osobowych. Przypadki budzące wątpliwości rozstrzyga Sekretarz Miasta lub Radca Prawny.

8.       Osoby, które udostępniają dane osobowe są zobowiązane do prowadzenia ewidencji udostępnionych danych osobowych.

9.       Dopuszczalne jest zawarcie porozumienia pomiędzy Urzędem a drugą stroną (np. Urzędem Statystycznym, Urzędem Skarbowym, etc.) celem dwustronnej nieodpłatnej wymiany informacji w celu aktualizacji danych.

10.   Porozumienie, o którym mowa w punkcie 10 można zawrzeć tylko wtedy, gdy druga strona świadomie realizuje przepisy dotyczące ochrony danych osobowych.

11.   Zabrania się pozostawiania petentów w biurach, bez obecności pracowników Urzędu.

12.   W pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, żeby uniemożliwić tym osobom wgląd w dane.

13.   Każdy pracownik przed dostępem do danych osobowych musi być przeszkolony przez ABI.

14.   ABI prowadzi ewidencję pracowników mających dostęp do danych osobowych z uwzględnieniem tych, którzy przetwarzają dane w systemie komputerowym.

XI.  Zabezpieczenia danych osobowych

§ 15

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia, wprowadza się w Urzędzie wysoki poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym.

§ 16

1.       Oprócz zabezpieczeń opisanych w pierwszej części instrukcji, dotyczących systemu informatycznego w Urzędzie, w przypadku ochrony danych osobowych gromadzonych w formie papierowej stosuje się dodatkowe zabezpieczenia. Dane te powinny być przechowywane:

-          w szafie z zamkiem patentowym,

-          w pomieszczeniu z drzwiami zamykanymi na klucz.

2.       W godzinach pracy Urzędu nadzór nad dokumentami sprawują pracownicy na swoich stanowiskach pracy. Mają obowiązek zamykać szafy i drzwi biura na klucz w przypadku opuszczenia biura. Po zakończeniu pracy każdy pracownik ma obowiązek pochować dokumenty i szafy zamknąć na klucz.

3.       Sprzątaczki po zakończeniu sprzątania biura mają obowiązek zamknąć biuro na klucz oraz uzbroić alarm budynku Urzędu.

4.       Po godzinach pracy zabezpieczenie dodatkowe stanowi system alarmowy Urzędu – podłączony linią telefoniczną z Policją.

XII.  Przepisy końcowe

§ 17

1.       Instrukcja jest przeznaczona dla użytkowników systemu informatycznego Urzędu oraz osób mających dostęp do danych osobowych.

 

 

 

 

Załącznik nr 2 do Zarządzenia

Burmistrza Nr B.0152-2/05

z dnia 25.01.2005 r. 

Instrukcja postępowania w sytuacji naruszenia ochrony

danych osobowych w Urzędzie Miejskim w Kuźni Raciborskiej

§ 1

1. Instrukcja jest przeznaczona dla osób mających dostęp lub przetwa­rzających dane osobowe znajdujące się w Urzędzie.

2. Ilekroć w instrukcji jest mowa o:

a.       Urzędzie, rozumie się przez to Urząd Miejski w Kuźni Raciborskiej,

b.       ABI, rozumie się przez to Administratora Bezpieczeństwa Informacji,

c.       Asi, rozumie się przez to Administratora Systemu Informatycznego.

§ 2

Instrukcja określa tryb postępowania ABI i ASI w przypadku, gdy:

-        stwierdzono naruszenie ochrony danych osobowych,

-        stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komuni­kacji w sieci telekomunikacyjnej mogą wskazywać na narusze­nie tych danych.

§ 3

Każda osoba zatrudniona w Urzędzie, która podej­rzewa naruszenie ochrony danych osobowych w syste­mie informatycznym, powinna niezwłocznie poinformować o tym ABI lub ASI.

§ 4

W przypadku stwierdzenia naruszenia ochrony danych osobowych należy:

-        fizycznie odłączyć urządzenia i segmenty sieci, które mogły umożliwić dostęp do bazy danych osobie nieupoważnionej,

-        zapisać wszelkie informacje związane z danym zdarzeniem, a szczególnie: dokładny czas uzyskania informacji o naruszeniu zabezpieczenia danych osobowych lub czas samodzielnego wykrycia tego faktu,

-        na bieżąco wygenerować i wydrukować (jeżeli zasoby systemu na to pozwalają) wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia, opatrzyć je datą i podpisem,

-        przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do określenia skali szkód i sposobu dostępu do  danych osoby niepowołanej.

§ 5

Następnie należy prowadzić do zminimalizowania szkód i zabezpieczyć ślady jej ingerencji. Przystąpić do zabezpieczenia systemu w szczególności przez:

-        wylogowanie użytkownika podejrzanego o naruszenie ochrony danych osobowych,

-        zmianę hasła na konto administratora i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania.

§ 6

Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowa­dzić wstępną analizę stanu systemu informatycznego w celu potwier­dzenia lub wykluczenia faktu naruszenia ochrony danych osobowych w systemie, która obejmuje sprawdzenie:

-        stanu urządzeń wykorzystywanych do przetwarzania danych oso­bowych,

-        zawartości zbioru danych osobowych,

-        sposobu działania programu,

-        jakości komunikacji w sieci telekomunikacyjnej,

-        możliwości obecności wirusów komputerowych.

§ 7

Po analizie wstępnej ASI powinien przeprowadzić szczegółową analizę stanu  systemu informatycznego obejmującego identyfikację:

-        rodzaju zaistniałego zdarzenia,

-        sposobu dostępu do danych osoby nie upoważnionej,

-        ewentualnych szkód lub zniszczeń.

§ 8

Po dokonaniu szczegółowej analizy należy przywrócić normalne działanie systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, niezbędne jest odtworzenie jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego umożliwienia dostępu tą samą drogą osobie niepowołanej.

§ 9

Po przywróceniu prawidłowego stanu bazy danych osobowych należy określić przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości, uwzględniając poniższe przypadki.

1.       Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych w systemie informatycznym należy przeprowadzić dodatkowe szkolenie wszystkich osób bio­rących udział przy przetwarzaniu danych.

2.       Jeżeli przyczyną zdarzenia było uaktywnienie wirusa, należy usta­lić źródło jego pochodzenia oraz wykonać zabezpieczenia anty­wirusowe.

3.       Jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby za­trudnionej przy przetwarzaniu danych osobowych, należy wyciągnąć konsekwencje regulowane ustawą.

4.       Jeżeli przyczyną zdarzenia było włamanie w celu pozyskania bazy danych osobowych, należy przeanalizować wdrożone środki zabezpieczające, w celu zapewnienia sku­teczniejszej ochrony bazy danych.

5.       Jeżeli przyczyną zdarzenia był zły stan urządzenia lub sposób działania programu, należy niezwłocznie przeprowa­dzić kontrolne czynności serwisowo-programowe.

§ 10

1.       ASI przygotowuje szczegółowy raport o przyczynach, przebiegu zdarzenia (dołączając ewentualne kopie dowodów dokumentujących to zdarzenie) oraz w określonym terminie od daty zaistnienia zdarzenia przekazuje go ABI.

2.       ABI przekazuje końcowy raport wraz z wnioskami Administratorowi Danych Osobowych.

 

 

Załącznik Nr 3 do Zarządzenia

Burmistrza Nr B.0152-2/05

z dnia 25.01.2005 r.

Program szkolenia w zakresie zabezpieczenia systemu informatycznego dla osób pracujących w systemie informatycznym

W zakresie zabezpieczenia danych systemu informatycznego przewiduje się wdrożenie 4 rodzajów szkoleń. Są to:

-        szkolenie wstępne,

-        szkolenie okresowe,

-       szkolenie w przypadku zmiany przepisów dotyczących użytkowania systemu informatycznego,

-        szkolenie dla osób mających dostęp lub przetwarzających dane osobowe.

 

Szkolenie wstępne obejmuje:

I.                    Omówienie systemu informatycznego w Urzędzie oraz wchodzących w jego skład podsystemów.

II.                  Rozpoczęcie, organizację i zakończenie pracy

1.       Rozpoczęcie pracy: logowanie (wprowadzenie ustalonego identyfikatora i hasła użytkownika).

2.       Organizacja pracy: dostęp do serwerów plików, do sieci Internet, systemu informacji prawnej Lex.

3.       Zakończenie pracy: wyłączanie komputera.

III.          Zabezpieczenia

1.       Zabezpieczenia programowe i sprzętowe:

-        autoryzacja użytkownika (karty chipowe),

-        zakaz ingerowania w konfigurację sprzętową i oprogramowanie

2.       Przydział identyfikatora i haseł.

-        ustalenie identyfikatora i hasła,

-        rejestracja nowego użytkownika systemu (informacja od Insp. ds. Kadrowych),

-        obowiązek zmiany haseł logowania do systemu,

-        dostęp do konta pracownika (możliwość tworzenia grup pracowników z dostępem do folderów i plików),

-        dostęp do podsystemów: współpraca z jednostkami organizacyjnymi.

3.       Kontrola antywirusowa:

-        obowiązek kontroli antywirusowej przez ABI i użytkowników systemu,

-        procedura usuwania wirusów komputerowych,

-        obowiązek sprawdzania nośników informacji spoza Urzędu przez ABI.

4.       Pobieranie plików z internetu

-   Odbieranie poczty: zwrócenie uwagi na adres nadawcy, temat, treść i załączniki wiadomości,

-   Importowanie plików.

IV.        Komunikację w sieci

1.       Przesyłanie poczty elektronicznej.

2.       Udostępnianie katalogów i plików (z wyjątkiem plików objętych ochroną danych osobowych).   

3.       Nośniki informacji (dyskietki, płyty CD).

V.         Archiwizację

1.       Tworzenie i przechowywanie danych.

2.       Udostępnianie danych na żądanie przełożonych.

3.       Serwer systemowy „System Urząd”, serwer plików „z”.

4.       Dysk lokalny jako notatnik.

5.       Własna biblioteka:

-        BIP – projekty uchwał i zarządzeń, uchwały i zarządzenia, inne dokumenty,

-        przepisy dotyczące stanowiska pracy,

-        dokumenty udostępnione z klauzulą „tylko do odczytu”,

-        dokumenty nie udostępnione ( chronione ze względu na ochronę danych osobowych).

6.       Sposób archiwizacji:

-        jasny i czytelny,

-        zgodny z zakresm czynności pracownika.

7.       Archiwizacja Sesji Rady Miejskiej na CD-roomie ( dla pracowników BRM).

8.       Obowiązek tworzenia kopii awaryjnych.

 

VI.   Ewidencję sprzętu komputerowego

1.       Postępowanie z zakupionym sprzętem komputerowym.

2.       Przekazanie sprzętu komputerowego użytkownikowi.

3.       Zgłaszania usterek sprzętu komputerowego.

 

VII.   Przeglądy i konserwacje

1. Zakres dokonywania przeglądu i konserwacji sprzętu komputerowego przez ASI i przez użytkownika.

Szkolenie okresowe

1.         Szkolenie okresowe dla osób pracujących w systemie informatycznym jest przeprowadzane w celu przypomnienia podstawowych czynności dotyczących pracy w systemie informatycznym oraz uzupełnienia wiadomości o zmianach w oprogramowaniu i technologii informatycznej.

2.         Szkolenie przeprowadzane jest przez ASI raz na rok.

Szkolenia w przypadku zmiany przepisów dotyczących użytkowania systemu informatycznego.

1.       Szkolenie dotyczące zmiany przepisów w systemie informatycznym przeprowadza się w związku ze zmianami przepisów dotyczących pracy w systemie informatycznym. 

2.       Szkolenie polegać będzie na zapoznaniu się i stosowaniu nowych obowiązujących przepisów.

Szkolenia dla osób mających dostęp lub przetwarzających dane osobowe

I.     Ochrona danych osobowych

1.       Przepływ danych osobowych na terenie Urzędu.

2.       Udostępnianie danych osobowych – procedura:

-        złożenie wniosku o udostępnienie danych osobowych u ADO,

-        akceptacja wniosku przez ABI,

-        uiszczenie opłaty jeżeli taka jest wymagana.

3.       Sposób ewidencjonowania udostępnianych danych osobowych.

4.       Możliwość zawarcia porozumienia w celu udostępniania danych osobowych między Urzędem a drugą stroną (np. Urząd Skarbowy itp.), gdy druga strona przestrzega przepisy dot. ochrony danych osobowych.

5.       Zakaz pozostawiania petentów w biurach, bez obecności pracownika.

6.       Obowiązek ustawienia monitorów w sposób uniemożliwiający wgląd osobom postronnym.

7.       Obowiązek zablokowania komputera przed opuszczeniem biura.

8.       Obowiązek zamykania szaf i drzwi biura na klucz w przypadku jego opuszczenia:

-        w czasie godzin pracy,

-        po zakończonej pracy.

 

II.    Przechowywanie danych osobowych

1.       zamykanie urządzeń,

2.       zamykanie pomieszczeń.

 

III.  Postanowienia końcowe

1. W przypadku naruszenia danych osobowych przeprowadza się dodatkowe szkolenie dla wszystkich osób przetwarzających dane osobowe

 

 

Załącznik Nr 4 do Zarządzenia

Burmistrza Nr B.0152-2/05

z dnia 25.01.2005 r.

Program kontroli i warunki kontroli

1.       Kontrolę zabezpieczeń systemu informatycznego, w którym przechowywane są dane osobowe przeprowadza się raz na pół roku.

2.       W przypadku naruszenia przepisów o ochronie danych osobowych, kontrolę wszystkich zabezpieczeń systemu informatycznego przeprowadza się bezpośrednio po zaistniałym zdarzeniu.

3.       Kontrola polega na sprawdzeniu:

-        używanej konfiguracji sprzętowo-programowej,

-        zabezpieczeń programowych i sprzętowych (aktualny identyfikator, hasło),

-        prawidłowego ustawienia monitora w biurze,

-        zabezpieczenia szaf, biura w którym przechowywane są dane osobowe,

-        prawidłowości przestrzeganie procedury udostępniania danych osobowych.

4.       Kontroli dokonuje ABI i ASI.

5.       Po dokonanej kontroli ABI i ASI sporządzają protokół z przeprowadzonej kontroli oraz przedstawiają go Administratorowi Danych Osobowych.

6.       Dokumentację z przeprowadzonej kontroli gromadzi się w osobnej teczce.

7.       Oprócz okresowej kontroli, na bieżąco zwraca się uwagę pracownikom w przypadku zaistnienia zachowań niezgodnych z instrukcją zarządzania systemem i informatycznym.