Dziennik resortowy

Dz.Urz.CBA.2012.37

| Akt obowiązujący
Wersja od: 5 listopada 2016 r.

ZARZĄDZENIE Nr 28/12
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 18 września 2012 r.
w sprawie Systemu Skanowania, Indeksowania i Archiwizacji Dokumentów Centralnego Biura Antykorupcyjnego

Na podstawie art. 10 ust. 3 w zw. z art. 22a ust. 11 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2012 r. poz. 621, 627 i 664) zarządza się,co następuje:

Rozdział  1.

Postanowienia ogólne

§  1. Zarządzenie określa zasady działania systemu Skanowania, Indeksowania i Archiwizacji Dokumentów, zwanego dalej " systemem SIAD", a w szczególności:
1) cel i funkcje;
2) podmioty uprawnione do korzystania;
3) rodzaje uprawnień i tryb ich nadawania;
4) zasady korzystania;
5) zakres sprawowania nadzoru;
6) wzory dokumentów wykorzystywanych w procesie nadawania i odbierania uprawnień do systemu SIAD oraz usuwania z systemu SIAD rejestracji zgłoszenia.
§  2. Użyte w zarządzeniu pojęcia oznaczają:
1) administrator bezpieczeństwa informacji - pełnomocnika do spraw kontroli przetwarzania danych osobowych w Centralnym Biurze Antykorupcyjnym, zwanym dalej "CBA", o którym mowa w art. 22b ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym;
2) administrator danych osobowych - Szefa CBA;
3) administrator systemu - dyrektora Biura Teleinformatyki CBA;
4) 1 administrator bezpieczeństwa zbioru - funkcjonariusza wyznaczonego przez dyrektora Departamentu Postępowań Kontrolnych CBA;
5) jednostka organizacyjna - jednostkę organizacyjną, o której mowa w statucie CBA;
6) komórka organizacyjna - wyodrębnioną strukturalnie część jednostki organizacyjnej oraz samodzielne stanowisko podległe bezpośrednio kierownikowi tej jednostki organizacyjnej;
7) 2 lokalny administrator danych osobowych - dyrektora Departamentu Postępowań Kontrolnych CBA;
8) numer id - unikalny numer nadawany automatycznie przez system SIAD dla każdego zgłoszenia, osoby, podmiotu lub dokumentu;
9) użytkownik - funkcjonariusza i pracownika, któremu nadano uprawnienia do korzystania z systemu SIAD;
10) 3 zgłoszenie - informację uzyskaną przez CBA korespondencyjnie, telefonicznie, telefaksem, pocztą elektroniczną, przez stronę internetową lub bezpośrednio od osoby zgłaszającej;

Rozdział  2.

Cel i funkcje systemu SIAD

§  3.
1. System SIAD pełni funkcję elektronicznego zbioru zgłoszeń.
2. System SIAD prowadzi się w celu:
1) ewidencjonowania wpływających zgłoszeń;
2) przetwarzania informacji, w tym danych osobowych, pochodzących ze zgłoszeń;
3) przechowywania zarejestrowanych zgłoszeń.

Rozdział  3.

Podmioty uprawnione do korzystania

§  4.
1. Uprawnienie do korzystania nadaje się funkcjonariuszowi, dla których dostęp do systemu SIAD jest uzasadniony charakterem wykonywanych przez niego czynności.
2. Pracownikowi CBA, dla którego dostęp do systemu SIAD jest uzasadniony charakterem wykonywanych przez niego czynności, może być nadane wyłącznie uprawnienie do odczytu danych z systemu SIAD (konto w systemie SIAD).
3. Uprawnienia do korzystania z systemu SIAD, o których mowa w ust. 1 i 2, nadaje administrator danych osobowych.

Rozdział  4.

Rodzaje uprawnień do systemu SIAD i tryb ich przydzielania

§  5.
1. W systemie SIAD wyróżnia się uprawnienia podstawowe i specjalne.
2. Do uprawnień podstawowych należy:
1) odczyt danych (konto w systemie SIAD), obejmujące uprawnienie do odczytu danych zarejestrowanych w systemie SIAD;
2) rejestrowanie i modyfikacja (MOD), obejmujące wprowadzanie nowego zgłoszenia oraz dokonanie zmiany treści zarejestrowanej w systemie SIAD informacji na poziomie własnej jednostki organizacyjnej;
3) typowanie (TYP), obejmujące pełnotekstowe wyszukiwanie informacji;
4) skanowanie (SCAN), obejmujące dołączenie obrazu dokumentu do zgłoszenia zarejestrowanego we własnej jednostce organizacyjnej;
5) przekazywanie rejestracji (PRZR), obejmujące uprawnienie do przekazywania innej jednostce organizacyjnej zarejestrowanych w systemie SIAD informacji oraz odbierania informacji zarejestrowanych w systemie SIAD przez inną jednostkę organizacyjną, w celu dalszego dysponowania informacją oraz dalszej modyfikacji jej treści;
6) działanie w imieniu (DIM), obejmujące uprawnienie do odczytu danych, rejestrowaniai modyfikacji, typowania, skanowania i przekazywania informacji w imieniu i na rzecz innego funkcjonariusza na poziomie tej samej jednostki organizacyjnej.
3. Do uprawnień specjalnych należy:
1) rejestrowanie i modyfikacja na poziomie CBA (S-MOD), obejmujące dokonanie zmiany treści każdej zarejestrowanej w systemie SIAD informacji;
2) skanowanie na poziomie CBA (S-SCAN), obejmujące dołączenie obrazu dokumentu do każdego zgłoszenia zarejestrowanego w systemie SIAD;
3) przekazywanie rejestracji na poziomie CBA (S-PRZR), polegające na uprawnieniu do przekazywania oraz odbierania każdej zarejestrowanej w systemie SIAD informacji w celu dalszego dysponowania informacją oraz dalszej modyfikacji treści zgłoszenia;
4) tworzenie raportów statystycznych (RAP), obejmujące informacje statystyczne dotyczące wykorzystania systemie SIAD;
5) administrowanie systemem (ADM), obejmujące uprawnienie do wykonywania czynności, o których mowa w § 11.
4. 4 Uprawnienia specjalne, za wyjątkiem uprawnienia, o którym mowa w § 5 ust. 3 pkt 5, które może być przyznane wyłącznie funkcjonariuszowi Biura Teleinformatyki CBA, mogą być przyznane wyłącznie funkcjonariuszom Departamentu Postępowań Kontrolnych CBA.
§  6.
1. Nadanie lub odebranie uprawnień do systemu SIAD, o których mowa w § 5 ust. 1 zarządzenia następuje na podstawie wniosku kierownika jednostki organizacyjnej. Wniosek podlega zarekomendowaniu przez lokalnego administratora danych osobowychi zatwierdzeniu przez administratora danych osobowych.
2. Lokalny administrator danych osobowych zwraca wnioski zawierające braki formalne celem ich uzupełnienia.
3. Wnioski realizuje, ewidencjonuje i przechowuje administrator systemu.
4. W przypadku zmiany przez funkcjonariusza lub pracownika uprawnionego do korzystania z systemu SIAD jednostki organizacyjnej, właściwy kierownik jednostki organizacyjnej składa wniosek o odebranie mu uprawnień do systemu SIAD najpóźniej do dnia poprzedzającego dzień zmiany jednostki organizacyjnej.
5. Wniosek o nadanie uprawnień do korzystania z systemu SIAD nie są realizowane do czasu odebrania uprawnień, które funkcjonariusz lub pracownik posiadał w poprzedniej jednostce organizacyjnej.
6. Odebranie uprawnień do systemu SIAD nie jest konieczne w sytuacji zmiany przez funkcjonariusza lub pracownika komórki organizacyjnej w ramach tej samej jednostki organizacyjnej.
7. W przypadku zwolnienia ze służby lub pracy w CBA, przed podpisaniem karty obiegowej wymagane jest odebranie wszystkich uprawnień do systemu SIAD.
8. Wzór wniosku, o którym mowa w ust. 1, stanowią odpowiednio załącznik numer 1 i 2 do zarządzenia.
9. Administrator systemu prowadzi ewidencję osób upoważnionych do przetwarzania danych w systemie SIAD, zawierającą imię, nazwisko, numer identyfikacyjny funkcjonariusza lub pracownika, datę nadania lub odebrania uprawnień do systemu SIAD.

Rozdział  5.

Zasady korzystania z systemu SIAD

§  7.
1. 5 Funkcjonariusz jednostki organizacyjnej, do której wpłynęło zgłoszenie, niezwłocznie rejestruje je w systemie SIAD. Obowiązek rejestracji nie dotyczy funkcjonariusza Gabinetu Szefa CBA.
1a. 6 Rejestracji w sysemie SIAD podlegają zgłoszenia:
1) dotyczące potencjalnych nieprawidłowości mieszczących się we właściwości rzeczowej CBA;
2) niedotyczące potencjalnych nieprawidłowości, o których mowa w pkt 1, jeżeli ich rejestracja jest celowa ze względu na realizację ustawowych zadań CBA.
1b. 7 W przypadkach, o których mowa w ust. 1a pkt 2, decyzję w sprawie rejestracji zgłoszenia podejmuje kierownik jednostki organizacyjnej lub komórki organizacyjnej.
2. W systemie SIAD nie przetwarza się informacji niejawnych w rozumieniu przepisów o ochronie informacji niejawnych.
3. Zgłoszenie rejestrowane jest w systemie SIAD tylko raz, po uprzednim sprawdzeniu czy informacja o tożsamej treści już się tam nie znajduje.
§  8.
1. Funkcjonariusze są obowiązani dołożyć należytej staranności, aby informacje przetwarzane w systemie SIAD były aktualne, kompletne i prawdziwe.
2. Funkcjonariusz podejmujący czynności służbowe w związku ze zgłoszeniem dokonuje aktualizacji treści informacji zarejestrowanej w SIAD, w szczególności wskazując sposób załatwienia sprawy.
§  9.
1. Usunięcia rejestracji zgłoszenia z systemu SIAD dokonuje administrator systemu lub upoważniony przez niego funkcjonariusz na pisemny, uzasadniony wniosek kierownika komórki lub jednostki organizacyjnej, po uzyskaniu akceptacji lokalnego administratora danych osobowych.
2. Wzór wniosku, o którym mowa w ust. 1, stanowi załącznik numer 3 do zarządzenia.

Rozdział  6.

Zakres sprawowania nadzoru

§  10.
1. Szef CBA jest gestorem danych zgromadzonych w systemie SIAD.
2. W imieniu Szefa CBA nadzór nad kompletnością, aktualnością i prawdziwością informacji przetwarzanych w systemie SIAD oraz rozwojem bazy i zapewnieniem szkoleńw zakresie jej obsługi wykonuje lokalny administrator danych osobowych.
3. Lokalny administrator danych osobowych wnioskuje na podstawie zebranych propozycji i uwag o wprowadzanie zmian w systemie SIAD w celu poprawy jej funkcjonalności.
4. Lokalny administrator danych osobowych jest odpowiedzialny za weryfikowanie informacji wprowadzonych do systemie SIAD pod względem ich przydatności do realizacji przez CBA ustawowych zadań, w tym za weryfikację danych osobowych zgodniez decyzją nr 88/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 21 lutego 2011 r.w sprawie określenia trybu weryfikacji i usuwania danych osobowych przetwarzanych w Centralnym Biurze Antykorupcyjnym (Dz. Urz. CBA z 2011 r. Nr 1, poz. 32).
§  11.
1. Administrator systemu lub upoważniony przez niego funkcjonariusz jest odpowiedzialny za realizację czynności dotyczących:
1) sporządzania kopii zapasowych;
2) usuwania awarii;
3) eksploatacji technicznej i realizacji zgłoszeń serwisowych;
4) nadawania, modyfikacji lub odebrania uprawnień;
5) usuwania zgłoszenia;
6) zapewnienia rozliczalności systemu;
7) realizacji zmian w systemie SIAD przedstawionych przez lokalnego administratora danych osobowych.
2. Zadania administratora bezpieczeństwa zbioru w zakresie sporządzania kopii zapasowych zbiorów danych z systemu SIAD i ich przechowywania wykonuje administrator systemu.
3. Administrator systemu informuje uprawnionych do korzystania z systemu SIAD o planowanym terminie wyłączenia i ponownego uruchomienia bazy, co najmniej na dwa dni przed rozpoczęciem przerwy w jego funkcjonowaniu.

Rozdział  7.

Przepisy końcowe

§  12.
1. Instrukcja zarządzania systemem Skanowania, Indeksowania i Archiwizacji Dokumentów Centralnego Biura Antykorupcyjnego stanowi załącznik numer 4 do zarządzenia.
2. Przepisy "Polityki bezpieczeństwa ochrony danych osobowych w CBA", stanowiącej załącznik nr 3 do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. w sprawie systemu ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym (Dz. Urz. CBA z 2011 r. Nr 1, poz. 23) stosuje się odpowiednio do danych osobowych przetwarzanych w systemie SIAD.
3. Wydane na podstawie "Instrukcji zarządzania systemem teleinformatycznym służącym do przetwarzania danych osobowych w Centralnym Biurze Antykorupcyjnym" stanowiącej załącznik nr 1 do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. w sprawie systemu ochrony danych osobowych w Centralnym Biurze Antykorupcyjnym (Dz. Urz. CBA z 2011 r. Nr 1, poz. 23):
1) procedura tworzenia i przechowywania kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych do ich przetwarzania,
2) sposób zabezpieczenia systemów teleinformatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu,
3) procedura wykonywania przeglądów i konserwacji systemów oraz nośników służących do przetwarzania danych osobowych,
4) rodzaj, zakres i czas przechowywania informacji o zdarzeniach w systemie teleinformatycznym, gromadzonych dla potrzeb kontroli przetwarzania danych osobowych w tych systemach,
- stosuje się odpowiednio do danych przetwarzanych w systemie SIAD, o ile przepisy zarządzenia nie stanowią inaczej.
§  13. Traci moc zarządzenie nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. w sprawie zasad i trybu korzystania z Systemu Skanowania, Indeksowaniai Archiwizacji Dokumentów Centralnego Biura Antykorupcyjnego (Dz. Urz. CBA z 2011 r. Nr 1, poz. 2).
§  14. Zarządzenie wchodzi w życie z dniem podpisania.

ZAŁĄCZNIKI

ZAŁĄCZNIK Nr  1 8

WZÓR

WNIOSEK O NADANIE/ODEBRANIE* UPRAWNIEŃ PODSTAWOWYCH DO SYSTEMU SIAD

................................, dnia ............ 20........... r.

(miejscowość)

Egz. pojedynczy

ZATWIERDZAM

.........................................................

(data, pieczątka i podpis Szefa CBA)

Imię, nazwisko, numer identyfikacyjny, stanowisko służbowe, nr telefonu pracownika/funkcjonariusza*
Jednostka/komórka organizacyjna*
WYKAZ UPRAWNIEŃ DO SYSTEMU SIADZAKRES UPRAWNIEŃ
Lp.Nazwa obszaruNadać**Odebrać**
1.Odczyt danych (konto w SIAD)
2.MOD - Rejestrowanie i modyfikacja
3.TYP - Typowanie
4.SCAN - Skanowanie
5.PRZR - Przekazywanie rejestracji
6.DIM - Działanie w imieniu

......................................................

(Data, pieczątka i podpis kierownika

jednostki organizacyjnej)

Rekomendacje dyrektora Departamentu Postępowań Kontrolnych CBA

REKOMENDUJĘ/ODMAWIAM REKOMENDACJI*

.......................................................................................

(Data i podpis dyrektora Departamentu Postępowań Kontrolnych CBA)

Wypełnia Biuro Teleinformatyki CBA

...............................................

(Data, godzina, czytelny podpis)

* niepotrzebne skreślić

** należy wpisać "x"

ZAŁĄCZNIK Nr  2 9

WZÓR

WNIOSEK O NADANIE/ODEBRANIE* UPRAWNIEŃ SPECJALNYCH DO SYSTEMU SIAD

................................, dnia ............ 20........... r.

(miejscowość)

Egz. pojedynczy

ZATWIERDZAM

.........................................................

(data, pieczątka i podpis Szefa CBA)

Imię, nazwisko, numer identyfikacyjny, stanowisko służbowe, nr telefonu pracownika/funkcjonariusza*
Jednostka / komórka organizacyjna CBA*
WYKAZ UPRAWNIEŃ SPECJALNYCH DO SYSTEMU SIADZAKRES UPRAWNIEŃ
Lp.Nazwa obszaruNadać**Odebrać**
1.S-MOD - Rejestrowanie i modyfikacja na poziomie CBA
2.S-SCAN - Skanowanie na poziomie CBA
3.S-PRZR - Przekazywanie rejestracji na poziomie CBA
4.RAP - Raporty statystyczne
5.ADM - Administrowanie systemem

......................................................

(Data, pieczątka i podpis kierownika

jednostki organizacyjnej)

Rekomendacje dyrektora Departamentu Postępowań Kontrolnych CBA

REKOMENDUJĘ/ODMAWIAM REKOMENDACJI*

.......................................................................................

(Data i podpis dyrektora Departamentu Postępowań Kontrolnych CBA)

Wypełnia Biuro Teleinformatyki CBA

...............................................

(Data, godzina, czytelny podpis)

* niepotrzebne skreślić

** należy wpisać "x"

ZAŁĄCZNIK Nr  3 10

WZÓR

WNIOSEK O USUNIĘCIE REJESTRACJI ZGŁOSZENIA

................................, dnia ............ 20........... r.

(miejscowość)

AKCEPTUJĘ

...................................................................

Podpis dyrektora Departamentu Postępowań Kontrolnych CBA

Proszę o usunięcie z Systemu Skanowania, Indeksowania i Archiwizacji Dokumentów rejestracji na wniosek funkcjonariusza:

IMIĘNAZWISKONUMER IDENTYFIKACYJNY FUNKCJONARIUSZA
NAZWA

OBSZARU

ID REKORDUZAKRES*
WRAZ Z REKORDAMI PODRZĘDNYMIWRAZ Z WYSZUKIWANIEM PEŁNOTEKSTOWYMWRAZ Z DANYMI HISTORYCZNYMIWRAZ Z DZIENNIKAMI ODCZYTÓW I WYDRUKÓW
InformacjaTAKNIETAKNIE□ TAKNIETAK□ NIE
OsobaTAKNIETAKNIETAK□ NIE
PodmiotTAKNIE□ TAKNIETAK□ NIE
DokumentTAKNIE□ TAKNIETAK□ NIE

Zaznaczyć TAK lub NIE

Uzasadnienie

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

............................................................

Podpis kierownika

jednostki/komórki organizacyjnej

Wypełnia Biuro Teleinformatyki CBA

....................................................

Data, godzina, czytelny podpis

ZAŁĄCZNIK Nr  4

Instrukcja zarządzania Systemem Skanowania, Indeksowania i Archiwizacji Dokumentów Centralnego Biura Antykorupcyjnego

Rozdział  I

Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

§  1.
1. Użytkownik jest obowiązany logować się do systemu tylko na własne konto założone przez administratora systemu.
2. Tożsamość każdego użytkownika jest jednoznacznie określona i sprawdzana przed rozpoczęciem pracy w systemie (uwierzytelnienie).
3. Uwierzytelnienie w systemie SIAD odbywa się z wykorzystaniem indywidualnych identyfikatorów (loginów) i haseł.
§  2.
1. Użytkownik jest odpowiedzialny za użycie zasobów systemu SIAD przy wykorzystaniu jego identyfikatora i hasła.
2. Użytkowników jest obowiązany:
1) nieujawniać hasła do konta w systemie SIAD,
2) natychmiast zmienić to hasło w przypadku podejrzenia jego ujawnienia.
3. Hasło powinno składać się z unikalnego zestawu, co najmniej ośmiu znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło nie może być identyczne z identyfikatorem danego użytkownika ani jego imieniem lub nazwiskiem.
4. Pierwsze hasło wymagane do uwierzytelnienia się w systemie SIAD przydzielane jest przez administratora systemu.
5. Co 30 dni następuje wymuszona przez system SIAD zmiana hasła.
6. Administrator systemu jest uprawniony do dokonania zmiany hasła dostępu do konta użytkownika.
7. Zablokowanie konta użytkownika w systemie następuje po trzech nieudanych próbach wprowadzenia hasła.
8. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych w systemie SIAD, nie jest usuwany z systemie SIAD i nie jest przydzielany innemu użytkownikowi.

Rozdział  II

Procedury rozpoczęcia, zawieszenia i zakończenia pracy w SIAD

§  3.
1. Przetwarzanie i dostęp do systemu SIAD odbywa się ze stanowisk podłączonych do Wewnętrznej Sieci Transmisji Danych (WSTD).
2. Rozpoczęcie pracy na stacji roboczej w systemie SIAD następuje po wprowadzeniu indywidualnego hasła i identyfikatora.
3. W pomieszczeniu, w którym przetwarzane są dane w systemie SIAD mogą znajdować się osoby postronne tylko za zgodą i w towarzystwie użytkownika lub innej osoby, upoważnionej do przebywania w tym pomieszczeniu.
4. Użytkownik jest obowiązany dołożyć wszelkich starań, aby uniemożliwić osobom nieuprawnionym odczytywanie informacji z monitora.
5. Zbędne wydruki zawierające dane z systemu SIAD, podlegają zniszczeniu przez użytkownika w niszczarce dokumentów natychmiast po ich wykorzystaniu.
§  4.
1. W przypadku czasowego opuszczenia stanowiska pracy użytkownik jest obowiązany zablokować stację roboczą.
2. Zakończenie pracy na stacji roboczej następuje po prawidłowym wylogowaniu się użytkownika z systemu.
§  5.
1. W przypadku braku możliwości zalogowania się na konto przez użytkownika lub stwierdzenia innych nieprawidłowości w pracy systemu, użytkownik jest zobowiązany powiadomić niezwłocznie administratora systemu.
2. W przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane lub użytkowane w tym celu narzędzia programowe lub sprzętowe, użytkownik jest obowiązany powiadomić administratora systemu oraz lokalnego administratora danych osobowych.

Rozdział  III

Procedury tworzenia kopii zapasowych zbiorów danych z systemu SIAD oraz programów i narzędzi programowych służących do ich przetwarzania

§  6.
1. Zabronione jest kopiowanie przez użytkownika całych zbiorów danych przetwarzanych w systemie SIAD.
2. Całe zbiory danych przetwarzane w systemie SIAD mogą być kopiowane tylko przez administratora systemu, administratora bezpieczeństwa zbioru lub automatycznie przez system SIAD.
3. Jednostkowe dane z systemu SIAD mogą być kopiowane na nośniki magnetyczne, optyczne i inne, z zastrzeżeniem, że po ustaniu przydatności tych kopii dane należy trwale skasować lub fizycznie zniszczyć nośniki, na których są przechowywane.
§  7.
1. Tworzenie kopii zapasowych danych przetwarzanych w systemie SIAD jest obligatoryjne.
2. Kopie zapasowe danych z systemu SIAD wykonywane są przynajmniej dwa razy w tygodniu wykorzystując specjalny mechanizm bazy danych, umożliwiający odtworzenie dwóch ostatnio utworzonych kopii. Raz na tydzień kopia zapasowa wykonywana jest na zewnętrzne nośniki danych. Obowiązkowe jest przechowywanie dwóch ostatnio wykonanych na odrębnych nośnikach zewnętrznych kopii zapasowych danych z systemu SIAD.
3. Kopie zapasowe mogą być udostępniane:
1) lokalnemu administratorowi danych osobowych;
2) administratorowi bezpieczeństwa zbioru;
3) administratorowi systemu;
4) administratorowi bezpieczeństwa informacji.

Rozdział  IV

Sposób i miejsce przechowywania elektronicznych nośników informacji zawierających dane z sytemu SIAD

§  8.
1. Elektroniczne nośniki informacji zawierające dane z systemu SIAD przechowuje się w sposób zapewniający ochronę przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem.
2. Dopuszcza się przechowywanie nośników, o których mowa w ust. 1, w zamykanych na klucz meblach biurowych, z wyłączeniem przypadków, gdy odrębne przepisy nakładają wyższe rygory bezpieczeństwa ich przechowywania.
3. Nośniki, o których mowa w ust. 1, podlegają obligatoryjnemu ewidencjonowaniu.
§  9. Nośniki, o których mowa w § 8 ust. 1, nie mogą być pozostawiane bez nadzoru poza obszarem przetwarzania danych osobowych.

Rozdział  V

Zabezpieczenie w systemie SIAD przed oprogramowaniem, którego celem jest uzyskanie nieuprawnionego dostępu do tego systemu oraz przeglądy i konserwacja systemów i nośników służących do przetwarzania danych w systemie SIAD

§  10.
1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane z systemu SIAD, uszkodzone lub nienadające się do dalszej eksploatacji niszczy się w sposób uniemożliwiający ich odczytanie.
2. Naprawa urządzeń, dysków lub innych elektronicznych nośników informacji, zawierających dane z systemu SIAD, jest przeprowadzana wyłącznie na obszarze przetwarzania danych osobowych w CBA w obecności administratora systemu lub osoby przez niego upoważnionej.
3. Naprawa urządzeń przetwarzających dane z systemu SIAD może zostać przeprowadzona poza siedzibą CBA po wymontowaniu z nich i pozostawieniu w siedzibie CBA dysków lub innych elektronicznych nośników informacji.
4. Zabrania się samodzielnego dokonywania przez użytkownika napraw sprzętu informatycznego, wymiany jego podzespołów oraz wykonywania innych czynności nie związanych bezpośrednio z jego eksploatacją lub niedopuszczonych do wykonywania przez producenta sprzętu w instrukcji obsługi.
§  11.
1. Zabrania się:
1) korzystania z prywatnych lub niepochodzących z CBA nośników informacji oraz urządzeń podłączanych do stacji roboczych. Korzystanie z takich nośników może mieć miejsce wyłącznie po uzyskaniu zgody administratora systemu, po uprzednim sprawdzeniu nośnika informacji pod względem bezpieczeństwa dla systemu SIAD;
2) instalowania na stacjach roboczych jakiegokolwiek oprogramowania z jakiegokolwiek źródła, z wyjątkiem oprogramowania instalowanego przez administratora systemu;
3) łamania lub obchodzenia zabezpieczeń systemu SIAD. O każdym przypadku znalezienia luki w zabezpieczeniach użytkownik jest obowiązany powiadomić administratora systemu.
2. Administrator systemu ma prawo do monitorowania pracy urządzeń przyłączonych do systemu SIAD pod kątem przesyłania i przetwarzania danych oraz prawidłowości wykorzystania powierzonego użytkownikowi sprzętu i oprogramowania. Informacje pozyskane w wyniku monitorowania działań użytkowników oraz pracy urządzeń są dostępne wyłącznie administratorowi systemu i mogą zostać wykorzystane wyłącznie do celów służbowych, związanych z bezpieczeństwem przetwarzania danych w systemie SIAD.
§  12. Administrator systemu jest obowiązany:
1) zainstalować i aktualizować oprogramowanie antywirusowe oraz określić częstotliwość automatycznych aktualizacji definicji wirusów, dokonywanych przez to oprogramowanie;
2) usuwać wszelkie nieprawidłowości w pracy systemu;
3) zapewnić ciągłość pracy systemu i nadzoru nad jego prawidłowym funkcjonowaniem;
4) dokonywać przeglądów i konserwacji systemu.

Rozdział  VI

Warunki eksploatacji systemu SIAD oraz realizacji wymagań rozliczalności przetwarzania danych osobowych w systemach

§  13. System SIAD umożliwia automatycznie:
1) przypisanie przetwarzanych danych użytkownikowi, który w systemie jest identyfikowalny na podstawie unikalnego, przyznanego mu identyfikatora, który te dane przetwarza,
2) sygnalizację wygaśnięcia czasu obowiązywania hasła dostępu do konta użytkownika.
§  14. Do podstawowych zasad bezpiecznej eksploatacji systemu SIAD należy:
1) zakaz podłączania do gniazd dedykowanej sieci elektrycznej przeznaczonych dla sprzętu komputerowego innych urządzeń,
2) obowiązek dbania o prawidłową eksploatację sprzętu i oprogramowania zgodnie z instrukcjami, wytycznymi administratora systemu i administratora bezpieczeństwa informacji oraz zaleceniami producenta.
1 § 2 pkt 4 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.
2 § 2 pkt 7 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.
3 § 2 pkt 10 zmieniony przez § 1 pkt 1 zarządzenia nr 20/15 z dnia 20 sierpnia 2015 r. (Dz.Urz.CBA.2015.22) zmieniającego nin. zarządzenie z dniem 21 sierpnia 2015 r.
4 § 5 ust. 4 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.
5 § 7 ust. 1 zmieniony przez § 1 zarządzenia nr 17/15 z dnia 1 lipca 2015 r. (Dz.Urz.CBA.2015.19) zmieniającego nin. zarządzenie z dniem 2 lipca 2015 r.
6 § 7 ust. 1a dodany przez § 1 pkt 2 zarządzenia nr 20/15 z dnia 20 sierpnia 2015 r. (Dz.Urz.CBA.2015.22) zmieniającego nin. zarządzenie z dniem 21 sierpnia 2015 r.
7 § 7 ust. 1b dodany przez § 1 pkt 2 zarządzenia nr 20/15 z dnia 20 sierpnia 2015 r. (Dz.Urz.CBA.2015.22) zmieniającego nin. zarządzenie z dniem 21 sierpnia 2015 r.
8 Załącznik nr 1 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.
9 Załącznik nr 2 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.
10 Załącznik nr 3 zmieniony przez § 1 zarządzenia nr 30/16 z dnia 4 listopada 2016 r. (Dz.Urz.CBA.2016.33) zmieniającego nin. zarządzenie z dniem 5 listopada 2016 r.