Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego.

Dzienniki resortowe

Dz.Urz.GITD.2023.17

Akt obowiązujący

Wersja od: 31 sierpnia 2023 r.

ZARZĄDZENIE Nr 17/2023

GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO

z dnia 30 sierpnia 2023 r.

w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego

Na podstawie art. 13 ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57, 1123 i 1234) w związku z § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), art. 24 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), art. 32 ust. 3 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206), art. 21-25 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913) oraz art. 52 ust. 1 ustawy z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2022 r. poz. 2201 z późn. zm.) zarządza się, co następuje:

§ 1.

ZAŁĄCZNIK

Polityka Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego

CZĘŚĆ I:

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Rozdział 1

[Wprowadzenie]

§ 1.

Polityka Bezpieczeństwa Informacji określa:

§ 2.

§ 3.

Użyte w niniejszym dokumencie pojęcia, skróty i definicje oznaczają:

48)

system informacyjny - system, o którym mowa w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne wraz z przetwarzanymi w nim danymi w postaci elektronicznej; system, który wykonuje jasno określone funkcje, dla którego istnieją łatwe do zidentyfikowania względy bezpieczeństwa i potrzeby (np. elektroniczny system transferu środków, system kadrowo - finansowy - system w którym prowadzona jest ewidencja lub rejestr określone w ustawie); system może obejmować wiele pojedynczych programów i sprzętu, oprogramowania i komponentów telekomunikacyjnych, komponenty te mogą być pojedynczą aplikacją lub kombinacją sprzętu - oprogramowania ukierunkowaną na wspieranie określonej funkcji związanej z działalnością Inspektoratu. System informacyjny może również składać się z wielu pojedynczych aplikacji, jeśli wszystkie dotyczą jednej funkcji z zakresu działalności Inspektoratu (np. listy płac pracowników). Właścicielami systemów informacyjnych są kierujący komórkami organizacyjnymi, o których mowa w § 15, 18-21 oraz 23-25 zarządzenia nr 26/2020 Głównego Inspektora Transportu Drogowego z dnia 2 lipca 2020 r. w sprawie nadania regulaminu organizacyjnego Głównemu Inspektoratowi Transportu Drogowego (Dz. Urz. GITD z 2022 r. poz. 5 i 22 oraz z 2023 r. poz. 2);

49)

system wspierający - połączony zestaw zasobów informacyjnych pod tym samym bezpośrednim zarządzaniem, który ma wspólną funkcjonalność; zwykle obejmuje sprzęt, oprogramowanie, informacje, dane, aplikacje, komunikację, udogodnienia i ludzi oraz zapewnia wsparcie dla różnych użytkowników lub systemów albo aplikacji; właścicielami systemów wspierających są kierujący komórkami organizacyjnymi, o których mowa w § 15 oraz § 24 zarządzenia Głównego Inspektora Transportu Drogowego z dnia 2 lipca 2020 r. w sprawie nadania regulaminu organizacyjnego Głównemu Inspektoratowi Transportu Drogowego;

51)

SZBI - System Zarządzania Bezpieczeństwem Informacji odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji, obejmujący strukturę organizacyjną, polityki, planowane działania, odpowiedzialności, zasady, procedury, procesy i aktywa. W szczególności SZBI obejmuje PBI oraz polityki stanowiące załączniki do niej, dokumentacje systemów, inne polityki, procedury, instrukcje, wytyczne, zalecenia, obowiązujące wewnętrzne akty normatywne i inne odnoszące się bezpośrednio i pośrednio do bezpieczeństwa informacji i cyberbezpieczeństwa. SZBI nie ma formy zamkniętego katalogu i podlega ciągłym zmianom, doskonaleniu i adaptowaniu do potrzeb, celów, strategii, zadań i zmieniającego się otoczenia;

55)

właściciel informacji - Główny Inspektor posiadający uprawnienia ustawowe, zarządcze i operacyjne w zakresie informacji przetwarzanych w Inspektoracie; rolę właściciela informacji na poziomie zarządczym i operacyjnym realizują kierujący komórkami organizacyjnymi, odpowiedzialnymi za przetwarzanie informacji, w tym danych osobowych, w zakresie wynikającym z zadań określonych w regulaminie organizacyjnym Inspektoratu oraz regulaminach organizacyjnych komórek. Właściciel informacji odpowiada za czynności przetwarzania dla informacji stanowiących dane osobowe;

§ 4.

Cele ustanowienia zasad dotyczących zapewnienia bezpieczeństwa informacji:

Podstawowe zadania służące realizacji celów określonych w ust. 2:

Niniejsza PBI musi być znana wszystkim osobom uzyskującym dostęp do informacji podlegających ochronie na jej podstawie, w szczególności:

§ 5.

Inspektorat jako podmiot publiczny jest zobowiązany do realizacji obowiązków określonych w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913), w związku z tym wymagana jest identyfikacja i utrzymywanie wykazu systemów informacyjnych wspierających realizację zadań publicznych, w przypadku których wystąpienie incydentu:

Systemy informacyjne Inspektoratu obejmują systemy wspierające realizację zadań publicznych określonych w przepisach prawa oraz innych zadań Inspektoratu, m.in.:

§ 6.

Systemy wspierające obejmują:

- administrowane przez BT oraz

- administrowane i zarządzane przez BDG.

Właściciele systemów wspierających zapewniających wsparcie i usługi dla systemów informacyjnych Inspektoratu, o których mowa w § 5 mają obowiązek przekazać Pełnomocnikowi do spraw bezpieczeństwa cyberprzestrzeni, informacje niezbędne do realizacji przez Inspektorat obowiązków wynikających z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz zapewnić aktualność tych informacji w przypadku jakiejkolwiek ich zmiany, w tym wycofania systemu wspierającego z eksploatacji oraz uruchamiania nowego systemu wspierającego.

Rozdział 2

[Struktura i obszary PBI]

§ 7.

PBI składa się z części:

§ 8.

Celem obszaru bezpieczeństwa osobowego jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 9.

Celem obszaru bezpieczeństwa fizycznego i środowiskowego jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 10.

Celem obszaru bezpieczeństwa teleinformatycznego jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 11.

Celem obszaru utrzymania ciągłości działania jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 12.

Celem obszaru zarządzania zdarzeniami jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 13.

Celem obszaru ochrony danych osobowych jest zapewnienie bezpieczeństwa informacji poprzez m.in.:

§ 14.

Rozdział 3

[Zgodność z przepisami, normami i standardami]

§ 15.

PBI została opracowana na podstawie przepisów prawa krajowego i międzynarodowego, w oparciu o normy i standardy w obszarze bezpieczeństwa informacji i cyberbezpieczeństwa oraz wewnętrzne regulacje, w szczególności:

Rozdział 4

[Odstępstwa i wyjątki]

§ 17.

§ 18.

Rozdział 5

[Dokumentacja SZBI]

§ 19.

Na dokumentację SZBI w Inspektoracie składają się również dokumenty niższego poziomu, m.in.:

Dokumentacja systemów, o której mowa w ust. 2 pkt 1-4 powinna obejmować m.in.:

Dokumentacja, o której mowa w ust. 3 oraz dobór zabezpieczeń powinny być wykonane z uwzględnieniem wytycznych i zaleceń określonych w PBI oraz przede wszystkim w:

§ 20.

Udostępnianie dokumentacji, o której mowa w § 19 ust. 2, w szczególności wskazanej w § 19 ust. 2 pkt 1-4 oraz 6 zawierającej opisy stosowanych zabezpieczeń oraz konfiguracje, podlega ograniczeniu dostępu do niej. Dokumentacja taka powinna podlegać ochronie przed nieuprawnionym dostępem do niej, nieuprawnioną i niekontrolowana zmianą lub zniszczeniem lub utratą i nie powinna być udostępniana publicznie. W przypadku konieczności jej udostępnienia szerszemu gronu odbiorców zapisy kluczowe z punktu widzenia zapewnienia bezpieczeństwa informacji należy skutecznie usunąć przed takim udostępnieniem.

§ 21.

Właściciele, o których mowa w ust. 2 odpowiadają za:

§ 22.

CZĘŚĆ II:

ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Rozdział 6

[Role i odpowiedzialność]

§ 24.

Zarządzanie bezpieczeństwem informacji jest realizowane m.in. poprzez:

§ 25.

Główny Inspektor, Zastępcy Głównego Inspektora oraz Dyrektor Generalny oświadczają, że dbają o zapewnienie adekwatnego do zidentyfikowanych zagrożeń, prawdopodobieństwa ich wystąpienia oraz skutków jakie mogą wywołać, poziomu bezpieczeństwa informacji przetwarzanych w Inspektoracie w oparciu o obowiązujące przepisy prawa, normy i standardy z zakresu bezpieczeństwa informacji, ochrony danych osobowych, jak również cyberbezpieczeństwa. Świadomi negatywnego wpływu zagrożeń na bezpieczeństwo informacji przetwarzanych w Inspektoracie, kompleksowo wspierają procesy dotyczące bezpieczeństwa informacji poprzez:

§ 26.

Pełnomocnik do spraw bezpieczeństwa informacji jest uprawniony do:

§ 27.

Pełnomocnik do spraw bezpieczeństwa cyberprzestrzeni odpowiada za koordynację zarządzania bezpieczeństwem cyberprzestrzeni w Inspektoracie, w szczególności:

§ 30.

Kierujący komórką organizacyjną będący właścicielem informacji odpowiada za zapewnienie realizacji zadań określonych w PBI, w tym włączanie IOD we wszelkie sprawy związane z ochroną danych osobowych. Do obowiązków właściciela informacji należy:

Kierujący komórką organizacyjną będący właścicielem biznesowym systemu informacyjnego odpowiada za zapewnienie bezpieczeństwa informacji w systemie informacyjnym, w szczególności:

Kierujący komórką organizacyjną będący właścicielem systemu wspierającego odpowiada za zapewnienie bezpieczeństwa informacji w systemie informacyjnym, w szczególności:

§ 31.

Pracownicy mają obowiązek w szczególności:

§ 32.

Istotne dla bezpieczeństwa informacji zadania realizują również:

§ 33.

§ 34.

AMS sprawuje nadzór merytoryczny nad systemem informacyjnym, w szczególności do jego obowiązków należy:

Wyznaczenie AMS powinno nastąpić już na etapie planowania systemu informacyjnego/wspierającego, aby zapewnić realizację zadań w całym cyklu życia danego systemu informacyjnego/wspierającego poczynając od jego planowania, przez budowę, eksploatację, rozwój po wycofanie z użycia. W szczególności AMS powinien uczestniczyć w definiowaniu wymagań funkcjonalnych i niefunkcjonalnych dotyczących zarządzania uprawnieniami w systemie informacyjnym/wspierającym oraz w doborze zabezpieczeń.

§ 35.

ASI sprawuje nadzór techniczny nad systemem informacyjnym lub systemem wspierającym, w szczególności do jego obowiązków należy:

Wyznaczenie ASI powinno nastąpić już na etapie planowania systemu informacyjnego/wspierającego, aby zapewnić realizację zadań w całym cyklu życia danego systemu informacyjnego/wspierającego poczynając od jego planowania, przez budowę, eksploatację, rozwój po wycofanie z użycia. W szczególności ASI powinien uczestniczyć w definiowaniu wymagań funkcjonalnych i niefunkcjonalnych dotyczących technicznego administrowania systemem informacyjnym/wspierającym oraz w doborze zabezpieczeń.

Rozdział 7

[Zarządzanie ryzykiem]

§ 37.

§ 38.

§ 39.

§ 40.

Szacowanie ryzyka przeprowadza się w oparciu o NSC 800-30 "Przewodnik dotyczący postępowania w zakresie szacowania ryzyka w podmiotach realizujących zadania publiczne" z uwzględnieniem wytycznych opisanych w NSC 800-39 "Zarządzanie ryzykiem bezpieczeństwa informacji" oraz:

Rozdział 8

[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

§ 41.

W Inspektoracie zarządza się urządzeniami teleinformatycznymi i oprogramowaniem w celu zapewnienia im bezpieczeństwa, w zakresie obejmującym:

Urządzenia teleinformatyczne i oprogramowanie, o których mowa w ust. 1 podlegają ochronie ze względu na:

Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem jest realizowane zgodnie z następującymi zasadami:

dla wszystkich urządzeń teleinformatycznych i oprogramowania należy określić ich właścicieli oraz określić i przydzielić tym właścicielom odpowiedzialność w zakresie zarządzania tymi zasobami, w tym:

Rozdział 9

[Zarządzanie zasobami, wiedzą i kompetencjami]

§ 42.

Kierownictwo zapewnia odpowiednie dla swojego zakresu oddziaływania, odpowiedzialności i uprawnień, kompetencje w zakresie bezpieczeństwa informacji, ochrony danych osobowych i cyberbezpieczeństwa oraz ról reprezentujących i zaangażowanych w realizację funkcji związanych z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem zasad bezpieczeństwa informacji ustanowionych niniejszą PBI, w celu zapewnienia odpowiedniego i adekwatnego do zidentyfikowanych zagrożeń poziomu bezpieczeństwa informacji w Inspektoracie.

§ 43.

Podmioty zewnętrzne zobowiązane do stosowania postanowień dokumentacji SZBI w Inspektoracie mają obowiązek zapewnić odpowiednie dla swojego zakresu oddziaływania, odpowiedzialności i uprawnień, kompetencje w zakresie bezpieczeństwa informacji, ochrony danych osobowych i cyberbezpieczeństwa oraz ról reprezentujących i zaangażowanych w realizację funkcji związanych bezpieczeństwem informacji oraz cyberbezpieczeństwem, zgodnie z wymogami określonymi w przepisach prawa, normach i standardach z zakresu bezpieczeństwa informacji oraz cyberbezpieczeństwa oraz niniejszej PBI, w celu zapewnienia odpowiedniego i adekwatnego do zidentyfikowanych zagrożeń poziomu bezpieczeństwa informacji w Inspektoracie.

Podmioty zewnętrzne zobowiązane do stosowania postanowień dokumentacji SZBI w Inspektoracie mają obowiązek zapewnić zarządzanie wiedzą z zakresu bezpieczeństwa informacji odpowiednie dla swojego zakresu oddziaływania, odpowiedzialności i uprawnień, kompetencje w zakresie bezpieczeństwa informacji, ochrony danych osobowych i cyberbezpieczeństwa oraz ról reprezentujących i zaangażowanych w realizację funkcji związanych bezpieczeństwem informacji oraz cyberbezpieczeństwem, zgodnie z wymogami określonymi w przepisach prawa, normach i standardach z zakresu bezpieczeństwa informacji oraz cyberbezpieczeństwa oraz niniejszej PBI, w celu zapewnienia odpowiedniego i adekwatnego do zidentyfikowanych zagrożeń poziomu bezpieczeństwa informacji w Inspektoracie.

Rozdział 10

[Zarządzanie komunikacją w ramach SZBI]

§ 44.

Rozdział 11

[Monitorowanie, pomiary, analiza i ocena]

§ 45.

Ocena skuteczności wdrożonej PBI jest kluczowym elementem SZBI. Ocena na poziomie zarządczym dokonywana jest cyklicznie w ramach przeglądów zarządzania, gdzie analizowane są takie elementy jak:

§ 46.

Rozdział 12

[Audyt wewnętrzny]

§ 47.

Rozdział 13

[Przeglądy zarządzania]

§ 48.

Przegląd zarządzania bezpieczeństwem informacji powinien uwzględniać oraz poddać analizie i ocenie, co najmniej następujące informacje:

§ 49.

Rozdział 14

[Niezgodności i działania korygujące]

§ 50.

Nadzorowanie niezgodności zapewnia bezpieczeństwo informacji poprzez:

Rozdział 15

[Zarządzanie incydentami bezpieczeństwa informacji]

§ 51.

Rozdział 16

[Ciągłe doskonalenie]

§ 52.

CZĘŚĆ III:

ZAPEWNIENIE BEZPIECZEŃSTWA INFORMACJI

Rozdział 17

[Polityki bezpieczeństwa informacji]

§ 53.

Rozdział 18

[Organizacja bezpieczeństwa informacji]

§ 55.

Bezpieczeństwo informacji jest uwzględniane w ramach zarządzania wszystkimi projektami w Inspektoracie obejmującymi swoim zakresem systemy informacyjne oraz systemy wspierające, w szczególności:

Rozdział 19

[Urządzenia mobilne i praca na odległość]

§ 56.

Rozdział 20

[Bezpieczeństwo osobowe]

§ 57.

Rozdział 21

[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

§ 59.

§ 61.

Rozdział 22

[Kontrola dostępu]

§ 64.

§ 66.

Rozdział 23

[Kryptografia]

Rozdział 24

[Bezpieczeństwo fizyczne i środowiskowe]

§ 71.

§ 72.

Rozdział 25

[Bezpieczna eksploatacja]

§ 74.

§ 76.

§ 77.

§ 78.

§ 79.

§ 80.

Rozdział 26

[Bezpieczeństwo komunikacji]

§ 82.

§ 83.

Rozdział 27

[Pozyskiwanie, rozwój i utrzymanie systemów]

§ 85.

§ 86.

§ 87.

Rozdział 28

[Relacje z podmiotami zewnętrznymi]

§ 89.

Rozdział 29

[Zarządzanie incydentami]

§ 91.

Rozdział 30

[Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania]

§ 93.

Wymagania dotyczące bezpieczeństwa informacji i ciągłości zarządzania bezpieczeństwem w sytuacjach kryzysowych lub podczas katastrof i wrogich ataków opracowywane są dla każdego systemu informacyjnego/wspierającego. Wymagania te określają:

Rozdział 31

[Zgodność]

§ 96.

§ 97.

Załącznik Nr 2

Polityka Bezpieczeństwa Osobowego

§ 1.

Przed zatrudnieniem

W procesie rekrutacji pracowników powinno się weryfikować:

§ 2.

W trakcie zatrudnienia

Pracownik zobowiązany jest do przestrzegania postanowień m.in.:

Bezpośredni przełożony pracownika ma obowiązek:

Właściciel biznesowy systemu informacyjnego / systemu wspierającego ma obowiązek:

IOD ma obowiązek zapewnić pracownikowi:

§ 3.

Zmiana zatrudnienia

W przypadku zmiany stanowiska w obrębie tej samej lub przeniesieniem do innej komórki organizacyjnej, dotychczasowy bezpośredni przełożony pracownika ma obowiązek:

W przypadku zmiany komórki organizacyjnej (w tym wydziału, zespołu itp.) prawa dostępu w systemach powinny zostać odebrane na podstawie wniosku dotychczasowego przełożonego pracownika, a następnie na nowo przydzielone na podstawie wniosku nowego przełożonego pracownika. Dopuszcza się zmianę praw dostępu z wyprzedzeniem, o ile systemy, których to dotyczy, umożliwiają konfigurację początku i końca obowiązywania poszczególnych praw dostępu dla wskazanej daty; w przeciwnym razie prawa dostępu powinny być konfigurowane na podstawie złożonych wniosków lub informacji z BDG - WKR w przypadkach, w których taka informacja jest przekazywana.

§ 4.

Nieobecność pracownika

§ 5.

Zakończenie zatrudnienia

W przypadku zakończenia zatrudnienia przez pracownika, bezpośredni przełożony ma obowiązek zapewnić:

W przypadku zwolnienia pracownika z obowiązku świadczenia pracy (wypowiedzenie umowy o pracę z jednoczesnym zwolnieniem pracownika z obowiązku świadczenia pracy lub porozumienie pomiędzy pracodawcą i pracownikiem zwalniające czasowo tego drugiego z obowiązku świadczenia pracy), takiemu pracownikowi należy odebrać prawa dostępu do systemów (wypowiedzenie umowy o pracę) lub czasowo zawiesić (odebrać na określony czas, jeżeli system nie umożliwia ich czasowego zawieszenia) (porozumienie w sprawie czasowego zwolnienia z obowiązku świadczenia pracy) na okres określony pomiędzy pracodawcą i pracownikiem. Odebranie lub zawieszenie praw dostępu jest realizowane na podstawie wniosku kierowanego przez kierującego komórką organizacyjną zgodnie z procedurami właściwymi dla danego systemu.

§ 6.

Naruszenie zasad bezpieczeństwa i odpowiedzialność pracownika

§ 7.

Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji

Dopuszcza się zastępowanie szkoleń okresowych organizowanych na wewnętrznej platformie szkoleniowej innymi szkoleniami, o ile obejmują one swoim zakresem co najmniej zagadnienia wskazane w ust. 6, mają udokumentowany zakres oraz udział w nich jest udokumentowany np. certyfikatem uczestnictwa. W szczególności dotyczy to szkoleń organizowanych przez inne organy administracji publicznej dla pracowników podmiotów krajowego systemu cyberbezpieczeństwa. Pełnomocnik do spraw bezpieczeństwa informacji we współpracy z BDG - WDZ określa szkolenia, które mogą być dopuszczone jako zaliczające szkolenia okresowe.

§ 8.

Uświadamianie, kształcenie i szkolenia z zakresu ochrony danych osobowych

Załącznik Nr 3

Polityka Bezpieczeństwa Fizycznego i Środowiskowego

§ 1.

Organizacja bezpieczeństwa fizycznego i środowiskowego

W działaniach w zakresie bezpieczeństwa fizycznego i środowiskowego uczestniczą:

§ 2.

Podstawowe środki i zasady bezpieczeństwa fizycznego i środowiskowego

Środki bezpieczeństwa fizycznego dotyczą:

Szacowanie ryzyka i określanie wymagań bezpieczeństwa fizycznego i środowiskowego należy prowadzić z uwzględnieniem:

§ 3.

Zapewnianie bezpieczeństwa fizycznego i środowiskowego

Kierownictwo oraz kierujący komórkami organizacyjnymi powinni określić podział powierzchni zajmowanych przez komórki organizacyjne na:

Strefa szczególnie chroniona powinna być ustalona w miarę istniejących możliwości na obszarze wydzielonym solidnymi konstrukcjami budowlanymi. Za solidne konstrukcje budowlane uznaje się takie, których ściany zewnętrzne i stropy budynków, w których zlokalizowane są strefy szczególnie chronione, posiadają klasę odporności włamaniowej równoważnej murowi o grubości 25 cm wykonanemu z pełnej cegły. Natomiast pomieszczenia w strefie szczególnie chronionej w miarę istniejących możliwości powinny mieć ściany o odporności włamaniowej równoważnej murowi o grubości 12,5 cm. Zasady organizacji bezpieczeństwa fizycznego Kancelarii Tajnej oraz innych stref i pomieszczeń objętych ochroną informacji niejawnych określają odrębne regulacje wewnętrzne i właściwe przepisy prawa.

Wszystkie osoby przebywające w strefie ogólnej powinny posiadać identyfikatory, które powinny być noszone w widocznym miejscu. Pracownicy posiadają identyfikatory zgodne z obowiązującymi w regulacjami wewnętrznymi dotyczącymi identyfikatorów pracowniczych. Wszystkim gościom powinny być wydawane identyfikatory z napisem "GOŚĆ". Innym osobom, np. personelowi podmiotów zewnętrznych realizujących zadania w siedzibie Inspektoratu przez dłuższy okres mogą być wydane identyfikatory, które powinny zapewnić ich identyfikację co najmniej w zakresie nazwy podmiotu i imienia oraz nazwiska (ewentualne umieszczenie zdjęcia wymaga udzielenia dobrowolnej zgody).

Goście powinni móc poruszać się w obrębie strefy ogólnej wyłącznie w asyście pracownika odpowiedzialnego za ich przyjęcie. Pracownik ten przed wprowadzeniem gości do strefy ogólnej winien dopilnować pobrania przez nich w strefie ogólnodostępnej lub na stanowisku recepcyjnym identyfikatorów "GOŚĆ". Odstępstwa w tym zakresie dotyczą wyłącznie gości Kierownictwa i są szczegółowo opisane w POIN. Inne odstępstwa mogą być stosowane (np. w przypadku wydarzeń z dużą liczbą gości), o ile zapewni się kontrolę ruchu osobowego (np. na podstawie list gości).

W przypadku stosowania systemu kontroli dostępu dla obiektów i pomieszczeń, w których przetwarzane są informacje o średniej lub wysokiej wartości (wartość powinna być określona np. w analizie wpływu na biznes), powinien być to system zapewniający adekwatny do zidentyfikowanych zagrożeń poziom ochrony, np. 3 stopień wg PN-EN 60839-11-1 z zastrzeżeniem, że:

§ 4.

Zarządzanie kluczami

§ 5.

Zarządzanie uprawnieniami w systemach kontroli dostępu

§ 6.

Pomieszczenia i zasoby chronione

§ 7.

Bezpieczeństwo środowiskowe

Przy planowaniu zabezpieczeń technicznych i organizacyjnych, ich rodzaju i siły, należy brać pod uwagę ryzyka związane z występującymi lokalnie zagrożeniami, takimi jak pożar, zalanie, trzęsienie ziemi, wybuch, wyładowania atmosferyczne, niepokoje społeczne i inne formy naturalnych lub spowodowanych przez działania umyślne bądź błędy człowieka katastrof. Ponadto analizie należy poddawać wpływ otoczenia, m.in. innych obiektów lub lokalnych instalacji i dróg (np. pożar w sąsiednim budynku, woda przeciekająca przez dach, powódź, bliska katastrofa komunikacyjna, eksplozja, zamieszki uliczne).

Pomieszczenia, w których zlokalizowane są systemy informacyjne/wspierające dla ciągłości realizacji zadań publicznych oraz innych zadań Inspektoratu należy wyposażać w:

§ 8.

Wymagania dla systemów wspomagających

W przypadku prowadzenia instalacji wodno-kanalizacyjnych i grzewczych w sąsiedztwie (również bezpośrednio nad lub pod pomieszczeniem) serwerowni i pomieszczeń, w których usytuowano infrastrukturę teleinformatyczną, lub usytuowania obiektów na obszarach narażonych na zalanie lub podtopienia, należy wdrożyć systemy zapewniające wykrycie i alarmowanie w przypadku zalania pomieszczenia lub wystąpienia nadmiernego poziomu wilgoci oraz zainstalować rozwiązania umożliwiające szybkie usunięcie wody.

§ 9.

Systemy zabezpieczeń technicznych oraz systemy wspomagające

Rozważając wdrożenie systemów zabezpieczeń technicznych należy rozważyć m.in. następujące funkcje tych systemów:

Wszystkie systemy zabezpieczeń należy poddawać okresowym przeglądom przez osoby posiadające odpowiednie uprawnienia.

Przeglądy systemów zabezpieczeń poza ustalonym harmonogramem powinny być przeprowadzane każdorazowo w przypadku wystąpienia incydentów zagrażających lub mogących powodować zagrożenie dla bezpieczeństwa osób i mienia (np. katastrofa budowlana w sąsiedztwie obiektu, tąpnięcie, kolizja drogowa powodująca szczególne zagrożenie w pobliżu budynku, pożar, roboty budowlane w sąsiednich budynkach, ewakuacja osób i mienia z budynku, interwencja służb ratunkowych mająca wpływ na stan techniczny obiektu, wystąpienie anomalii pogodowych, itp.).

§ 10.

Zabezpieczenia mechaniczne

Ustalając zakres przeglądów należy rozważyć wykonanie czynności:

w przypadku krat, żaluzji, okiennic i innych zabezpieczeń otworów okiennych, włazów, kanałów wentylacyjnych:

§ 11.

Zabezpieczenia techniczno-budowlane

Ustalając zakres przeglądów należy rozważyć wykonanie czynności:

§ 12.

Okablowanie zasilające i teleinformatyczne w zakresie konstrukcyjno-

mechanicznym

Ustalając zakres przeglądów należy rozważyć wykonanie sprawdzenia:

§ 13.

Elektroniczne systemy zabezpieczeń

Ustalając zakres przeglądów systemów sygnalizacji włamania i napadu należy rozważyć sprawdzenie:

Ustalając zakres przeglądów systemów kontroli dostępu należy rozważyć sprawdzenie:

Czynności konserwacyjne powinny obejmować te wskazane w dokumentacji producenta systemu, przy czym zaleca się rozważenie sprawdzenia:

Ustalając zakres przeglądów systemów monitoringu wizyjnego należy rozważyć sprawdzenie:

§ 14.

Systemy wspomagające oświetlenie

§ 15.

Systemy transmisji sygnałów alarmowych do centrów monitoringu

§ 16.

Rejestrowanie i przechowywanie informacji w elektronicznych systemach zabezpieczeń

§ 17.

Prowadzenie dokumentacji związanej z systemami zabezpieczeń

§ 18.

Zarządzanie zapisami pochodzącymi z elektronicznych systemów zabezpieczeń

W przypadku powierzenia utrzymania systemów zabezpieczeń podmiotowi zewnętrznemu, umowa z tym podmiotem powinna zapewniać skuteczną kontrolę nad tymi systemami poprzez określenie m.in.:

Załącznik Nr 4

Polityka Bezpieczeństwa Teleinformatycznego

Wymagania i zasady dotyczące prowadzenia CMDB

§ 1.

Dla urządzeń należy rozważać elementy informacyjne rejestru, takie jak:

Wymagania i zasady dotyczące zarządzania nośnikami elektronicznymi

§ 2.

Dopuszcza się odstępstwa od zakazu określonego w ust. 1 dla:

Nośniki danych, w szczególności wykorzystywane przez pracowników nośniki wymienne (m.in. pendrive, CD, DVD, dyski przenośne USB), gdy nie są wykorzystywane muszą być przechowywane w sposób zapewniający ochronę przed dostępem do nich osób nieuprawnionych, np. w zamykanych szufladach mebli biurowych, w zamykanych szafach lub sejfach. Dotyczy do w szczególności pomieszczeń, do których dostęp mają osoby obce, m.in. w strefach ogólnodostępnych gdzie odbywa się obsługa interesantów oraz miejsc wykonywania pracy zdalnej.

13.

Pracownik zdający urządzenie w związku z zakończeniem zatrudnienia ma obowiązek przekazać wszystkie informacje służbowe zapisane w pamięci urządzenia pracownikowi, który przejmuje jego zadania lub bezpośredniemu przełożonemu. Obowiązkiem bezpośredniego przełożonego jest dopilnowanie, że wszystkie informacje służbowe niezbędne do zachowania ciągłości realizacji zadań zapisane w pamięci takiego urządzenia zostaną przekazane jemu lub pracownikowi przejmującemu zadania.

Wymagania i zasady dotyczące użytkowania urządzeń mobilnych

§ 3.

Korzystanie z urządzenia mobilnego powinno być ekonomicznie uzasadnione, jak również nie powinno narażać Inspektoratu na niepotrzebne dodatkowe koszty. W związku z tym pracownik powinien powstrzymać się od korzystania z urządzenia mobilnego, jeżeli:

Rozmawiając w szczególności w miejscu publicznym lub miejscu wykonywania pracy zdalnej o sprawach służbowych należy zwracać uwagę na ryzyko podsłuchania rozmowy przez osoby przebywające w pobliżu. Pracownik powinien powstrzymać się od rozmowy w takim miejscu, jeżeli jej podsłuchanie może spowodować ujawnienie informacji, które powinny pozostać znane tylko określonym osobom, w konsekwencji powodować negatywne skutki dla Inspektoratu, w szczególności konsekwencje natury prawnej i karnej.

10.

Urządzenia mobilne należy tak konfigurować, aby oprócz obowiązkowego kodu PIN karty SIM do odblokowania urządzenia wymagane było użycie zabezpieczenia przed nieuprawnionym dostępem, np. kodu, hasła, symbolu, biometrii; dostępność zabezpieczeń jest uzależniona od funkcjonalności danego urządzenia mobilnego, którym dysponuje pracownik. Pracownik odpowiada za włączenie i wybór zabezpieczenia oraz jego ustawienie, które będzie znane tylko jemu (kod, hasło, symbol) lub które tylko on posiada (biometria).

13.

Pracownik użytkujący urządzenie mobilne ma obowiązek unikać podłączania tego urządzenia do nieznanych i obcych sieci przewodowych i bezprzewodowych, w szczególności do otwartych sieci bezprzewodowych dostępnych m. in. w miejscach publicznych, hotelach. Podłączenie urządzenia mobilnego do obcej sieci tj. innej niż udostępniana przez Inspektorat lub pracownika jest dopuszczalne jedynie w przypadku, gdy jest to absolutnie niezbędne do wykonania obowiązków służbowych oraz gdy nie istnieją wątpliwości co do tożsamości takiej sieci i możliwości jej użycia (np. sieć dla gości w podmiocie publicznym).

Wymagania i zasady dotyczące użytkowania urządzeń przenośnych

§ 4.

Zabronione jest wyłączanie oprogramowania pełniącego funkcję ochrony przed zagrożeniami, samodzielnej zmiany konfiguracji tych zabezpieczeń oraz innej konfiguracji urządzenia, jak również pozostawianie niezabezpieczonego systemu operacyjnego. Pracownik oddalając się od urządzenia na krótki czas ma obowiązek każdorazowego blokowania systemu operacyjnego, a w przypadku dłuższej nieobecności przy stanowisku pracy lub zakończenia pracy w danym dniu pracownik ma obowiązek wylogować się z systemu operacyjnego i wszystkich innych systemów, z których podczas pracy korzystał, jak również wyłączenia urządzenia. Ponadto pracownik wykonujący zadania na pracy zdalnej po zakończonej pracy ma obowiązek zabezpieczyć urządzenia służbowe przed dostępem do nich osób trzecich, w tym pozostałych osób przebywających w miejscu wykonywania pracy zdalnej (obejmuje to w szczególności pozostałe osoby zamieszkujące z pracownikiem w miejscu wykonywania przez niego pracy zdalnej).

Pracownik użytkujący urządzenie przenośne ma obowiązek unikać podłączania tego urządzenia do nieznanych i obcych sieci przewodowych i bezprzewodowych, w szczególności do otwartych sieci bezprzewodowych dostępnych w miejscach publicznych, hotelach, itp. Podłączenie urządzenia mobilnego do obcej sieci tj. innej niż udostępniana przez Inspektorat lub pracownika jest dopuszczalne jedynie w przypadku, gdy jest to absolutnie niezbędne do wykonania obowiązków służbowych oraz gdy nie istnieją wątpliwości co do tożsamości takiej sieci i możliwości jej użycia (np. sieć dla gości w podmiocie publicznym).

Wymagania i zasady dotyczące bezpieczeństwa informacji przy pracy na odległość, w tym pracy zdalnej

§ 5.

Przetwarzanie informacji wymagających ochrony, w szczególności danych osobowych oraz innych informacji prawnie chronionych w związku z wykonywaniem przez pracowników zadań służbowych w formie pracy zdalnej lub innej wykonywanej poza siedzibą Inspektoratu lub miejscem wykonywania pracy zdalnej, może następować wyłącznie na służbowych urządzeniach udostępnionych pracownikom przez Inspektorat, z zastosowaniem połączeń VPN, które umożliwiają dostęp zdalny do wewnętrznej sieci oraz oprogramowania zainstalowanego na tych urządzeniach służbowych. Powyższe dotyczy również kont poczty elektronicznej - zabronione jest korzystanie z jakichkolwiek innych, niż służbowe kont poczty elektronicznej, w tym przekierowywania służbowej poczty elektronicznej na zewnętrzne i nieudostępnione przez Inspektorat konta poczty elektronicznej.

Pracownicy, o których mowa w ust. 1 mają obowiązek wskazać numer telefonu, pod którym ASI, AMS, pracownicy BT, bezpośredni przełożony lub kierujący komórką organizacyjną będą mogli uzyskać bieżące informacje dotyczące zadań służbowych, w szczególności realizowanych z wykorzystaniem zdalnego dostępu do sieci wewnętrznej oraz systemów funkcjonujących w Inspektoracie. W miarę możliwości powinien to być numer służbowy przydzielony pracownikowi na zasadach określonych w odrębnych regulacjach wewnętrznych. Udostępnienie prywatnego numeru telefonu jest wyłączną decyzją pracownika (dobrowolną zgodą w rozumieniu RODO), którą należy udokumentować i którą pracownik może w dowolnym momencie zmienić. Jednakże w przypadku niepodania przez pracownika numeru telefonu umożlwiającego szybki kontakt z nim powinno się rozważyć odmową wyrażenia zgody na wykonywanie zadań służbowych z wykorzystaniem zdalnego dostępu.

12.

W sytuacji wystąpienia zdarzenia, o którym mowa w ust. 11, które zostanie zaklasyfikowane jako incydent bezpieczeństwa, dyrektor BT może wystąpić do bezpośredniego przełożonego pracownika lub kierującego komórką organizacyjną pracownika o zastosowanie wobec pracownika przewidzianej właściwymi przepisami kary porządkowej w związku z incydentem bezpieczeństwa i niestosowaniem zasad bezpieczeństwa, postanowień Regulaminu pracy w Inspektoracie, przepisów kodeksu pracy czy przepisów dotyczących służby cywilnej.

Polityka korzystania z urządzeń prywatnych (BYOD)

§ 6.

Dopuszcza się wykorzystanie przez pracownika następujących urządzeń prywatnych:

Wymagania i zasady dotyczące informacji uwierzytelniających

§ 7.

System:

Silne hasła 3 ^, 4 :

Inną wartą polecenia metodą jest budowanie hasła z opisu wyimaginowanej sceny, której obraz jest łatwy do zapamiętania i jednoznacznego opisania: zielonyParkingDla3malychSamolotow - jest przykładem takiego hasła. Przy czym należy zwrócić uwagę, że scena, którą opisuje nasze hasło, powinna zawierać jakiś element nierealistyczny albo abstrakcyjny. Wynika to z tego, że ludzie mają tendencję do używania obiektów, z którymi mieli ostatnio styczność, widzą je, albo są w ich pobliżu, jako składowe wymyślonego hasła. Pozwala to na użycie mniejszego słownika przy próbie łamania haseł, poprzez dostosowanie go pod konkretną osobę lub grupę osób.

W przypadku wykorzystywania do uwierzytelnienia kodów PIN m.in. w urządzeniach mobilnych lub korzystając z kart kryptograficznych z certyfikatami:

Wymagania i zasady dotyczące kontroli dostępu

§ 8.

Prawa dostępu, w tym uprzywilejowanego dostępu do systemu mogą posiadać pracownicy podmiotów zewnętrznych na podstawie zawartych umów, wyłącznie w zakresie i celu niezbędnym do realizacji powierzonych umowami zadań. Okres dostępu pracowników podmiotów zewnętrznych powinien być ograniczony i nie może wykraczać poza okres obowiązywania umowy. Za określenie okresu przyznania uprawnień odpowiada kierujący komórką organizacyjną (właściciel umowy) lub pracownik wskazany w umowie odpowiedzialny za jej realizację. Dostępy dla pracowników podmiotów zewnętrznych mogą być przyznane wyłącznie do określonych usług, portów, podsieci lub poszczególnych adresów IP, wyłącznie w zakresie i celu niezbędnym do wykonania zadań wynikających z zawartej umowy.

Wymagania i zasady dotyczące stosowania zabezpieczeń kryptograficznych

§ 9.

Przesyłanie lub przechowywanie informacji wymagających ochrony z uwagi na ich klasyfikację wymaga ich zaszyfrowania. W tym celu pracownicy mają obowiązek stosowania zabezpieczeń m.in.:

Wymagania i zasady dotyczące dokumentacji systemów

§ 10.

Zapewniając prowadzenie dokumentacji systemów właściciel systemu powinien zapewnić właściwy sposób zaadresowania zagadnień:

Właściciel danego systemu ma zapewnić, aby ASI oraz AMS dokumentowali działania wykonywane w systemie co najmniej obejmujących:

- w zakresie szczegółowym wynikającym z obowiązujących przepisów prawa, na podstawie polityki procedur ustanowionych i wdrożonych dla systemu.

Wymagania i zasady dotyczące kopii zapasowych

§ 11.

ASI mają obowiązek ustalić zakres i sposób wykonywania kopii zapasowych (polityka kopii zapasowych wraz z procedurami szczegółowymi) w systemie z uwzględnieniem wymogów prawnych, potrzeb biznesowych właściciela oraz możliwości technicznych, uwzględniając w dokumentacji:

Odtwarzanie kopii zapasowych co do zasady może nastąpić w wyniku:

Wymagania i zasady dotyczące rejestrowania zdarzeń oraz monitorowania

§ 12.

W odniesieniu do wykonywania procedur ASI oraz AMS są zobowiązani do prowadzenia ewidencji wykonywanych czynności np.: dzienników administratora, kart kontroli czynności codziennych lub okresowych itp. w celu zapewnienia pełnej rozliczalności i nadzoru nad realizacją swoich działań, jak również w celu kontroli wykonywania swoich obowiązków. Ewidencja wykonywanych czynności może być prowadzona elektronicznie, z wykorzystaniem rozwiązań teleinformatycznych w tym rejestrujących czynności automatycznie pod warunkiem, że zapewnia rozliczalność tych czynności oraz ochronę zawartych tam wpisów.

Wymagania i zasady dotyczące nadzoru nad sprzętem i oprogramowaniem

§ 13.

Incydent bezpieczeństwa, opisany w ust. 5 nie dotyczy sprzętu i oprogramowania wykorzystywanego przez personel podmiotów zewnętrznych, gdy ten sprzęt i oprogramowanie stanowią własność tych podmiotów, pod warunkiem, że zostały formalnie uzgodnione zasady korzystania przez personel podmiotu zewnętrznego z własnego sprzętu i oprogramowania oraz sposób jego wykorzystania uwzględniające wymogi ochrony informacji Inspektoratu. W przeciwnym razie zdarzenie stanowi incydent bezpieczeństwa.

Przeglądy, konserwacje i naprawy sprzętu

§ 14.

Użytkowanie oprogramowania

§ 15.

Do użytkowania może być dopuszczone m.in. oprogramowanie:

Co najmniej raz w roku należy przeprowadzić przegląd licencji oprogramowania mający na celu m.in.:

Dopuszczenie oprogramowania do eksploatacji powinno być poprzedzone jego dogłębną weryfikacją. Uwzględniając m. in. zakres, cel, kontekst, potrzeby, weryfikacja oprogramowania powinna obejmować:

Instalowanie oprogramowania

§ 17.

Repozytoria nośników instalacyjnych i pakietów instalacyjnych oprogramowania

§ 18.

Aktualizowanie oprogramowania

§ 19.

Dla każdej aktualizacji oprogramowania ASI powinien dokonać oceny zasadności jej implementacji. Aktualizacje usuwające błędy i podatności związane z bezpieczeństwem powinny być uznawane za wymagające dalszego procesowania w celu ich implementacji bez zbędnej zwłoki, jeżeli ich implementacja nie spowoduje negatywnych skutków. W przypadku identyfikacji negatywnych skutków powinny być zastosowane rozwiązania alternatywne do czasu, gdy możliwa będzie instalacja aktualizacji związanych z bezpieczeństwem nie powodująca negatywnych skutków.

Aktualizacje wykonywane w infrastrukturze serwerowej i sieciowej w środowiskach produkcyjnych powinny być instalowane przy zapewnieniu, że ASI posiada odpowiednią kopię zapasową umożliwiającą, w przypadku niepowodzenia implementacji, przywrócenie stanu danego systemu do stanu sprzed aktualizacji bez utraty danych. Z tego powodu aktualizacje w infrastrukturze serwerowej i sieciowej w środowiskach produkcyjnych powinny być wykonywane w miarę możliwości po godzinach pracy oraz przy minimalnym obciążeniu operacjami lub po odłączeniu komunikacji, ograniczając ryzyko utraty danych.

Bezpieczne użytkowanie sprzętu i oprogramowania

§ 20.

Ochrona przed szkodliwym oprogramowaniem

§ 21.

Za instalację i konfigurację oprogramowania służącego do ochrony przed szkodliwym oprogramowaniem odpowiada ASI. Konfiguracja powinna zapewniać:

Wymagania i zasady dotyczące zarządzania podatnościami technicznymi

§ 22.

Informacje na temat podatności w eksploatowanym oprogramowaniu ASI powinni pozyskiwać na podstawie:

Wymagania i zasady dotyczące bezpieczeństwa sieci teleinformatycznych

§ 23.

Dostęp do zasobów innych sieci, w tym sieci publicznej zaleca się ograniczyć wyłącznie do usług i protokołów, które są niezbędne do wykonywania przez pracowników ich zadań. Należy przyjmować, że użytkownicy mogą mieć dostęp wyłącznie do zasobów udostępnianych za pośrednictwem protokołów HTTP (zalecane jest w ogóle nie używać komunikacji niezabezpieczonej), HTTPS. Jako usługi udostępniane za pośrednictwem wymienionych protokołów należy rozumieć dostęp wyłącznie do serwerów WWW z wykluczeniem innych usług (np.: komunikatory, serwery proxy lub inne usługi mogące być wykorzystane do tworzenia ukrytych kanałów wymiany/przesyłu informacji).

Wymagania i zasady dotyczące projektowania bezpiecznych systemów

§ 24.

Realizując prace rozwojowe systemu należy m.in. zapewnić:

Testy mają na celu potwierdzenie, że system spełnia wszystkie zdefiniowane wymagania (lub wymagania dla zmiany). Testy należy prowadzić na podstawie zaakceptowanych planów testów i scenariuszy testowych. Zakres testów należy dostosować do specyfikacji wymagań, z zastrzeżeniem, że testy nie powinny ograniczać się wyłącznie do wymagań określonych w specyfikacji i powinny uwzględniać testy wynikające z dobrych praktyk, standardów, norm, zaleceń i wytycznych podmiotów uprawnionych do ich wydawania (np.: CSIRT, Pełnomocnik Rządu do spraw bezpieczeństwa cyberprzestrzeni).

10.

Wymagania bezpieczeństwa i zabezpieczenia systemów powinny być określone na podstawie wyników szacowania ryzyka; w tym zakresie zaleca się wykorzystanie zaleceń i wytycznych oraz zabezpieczeń określonych w normie PN-ISO/IEC 27002 lub dokumentach:

Dopuszczenie systemu do eksploatacji

§ 25.

Podstawą do wdrożenia systemu (lub danej zmiany) na środowiska produkcyjne powinien być pozytywny wynik testów. Odstępstwa w tym zakresie muszą być zatwierdzone przez właściciela danego systemu w sposób udokumentowany, ze wskazaniem powodów odstępstwa i działań naprawczych lub korygujących, które zostaną podjęte. Niedopuszczalne jest wdrożenie na środowiska produkcyjne systemu (lub jego zmian), w sytuacji negatywnego wyniku testów, braku udokumentowanej zgody na odstępstwo i bez określenia działań korygujących i naprawczych, które zostaną podjęte w odniesieniu do testów zakończonych wynikiem negatywnym.

System (lub jego zmiana) może zostać dopuszczony do użytkowania w środowisku produkcyjnym, jeżeli:

posiada dokumentację obejmującą m.in.:

Prace związane z budową lub rozwojem systemów zlecane podmiotom zewnętrznym

§ 26.

Umowy dotyczące powierzania prac związanych z budową lub rozwojem systemów podmiotom zewnętrznym powinny uwzględniać:

Wymagania i zasady dotyczące danych testowych i środowisk

§ 27.

Zabronione jest korzystanie z danych rzeczywistych (pochodzących ze środowisk produkcyjnych) zawierających dane osobowe lub inne informacje wrażliwe lub prawnie chronione, do celów testowych, bez poddania tych danych pseudonimizacji lub anonimizacji oraz zapewnieniu rozliczalności dostępu do tych danych. Jeżeli takie dane są niezbędne do wykonania testów np. migracji danych, środowisko na którym są wykonywane podlega wszystkim rygorom i zabezpieczeniom, jak środowisko produkcyjne.

Środowiska nieprodukcyjne można wykorzystywać do testowania kopii zapasowych, o ile środowisko nieprodukcyjne na czas takie operacji podlega wyłączeniu z eksploatacji, tj. żaden inny użytkownik niż ASI wykonujący test odtworzenia nie może mieć dostępu do środowiska i danych w nim odtwarzanych, a po całej operacji, przed udostępnieniem środowiska nieprodukcyjnego użytkownikom, odtworzone dane są ze środowiska usuwane i zastępowane danymi właściwymi dla danego środowiska.

Zarządzanie zmianami w systemach

§ 28.

Zmiany w systemach należy skutecznie nadzorować oraz zarządzać procesem wprowadzania tych zmian, m.in. poprzez:

Wymagania i zasady dotyczące zarządzania ciągłością działania

§ 29.

W celu zachowania możliwie optymalnej wydajności i pojemności systemów zalecane jest:

Wymagania i zasady dotyczące zarządzania ciągłością realizacji zadań

§ 30.

Kierujący komórkami organizacyjnymi, w szczególności właściciele systemów oraz bezpośredni przełożeni pracowników są odpowiedzialni za organizację pracy pracowników tych komórek w taki sposób, aby zminimalizować ryzyko niemożliwości zapewnienia ciągłości realizacji zadań. W tym celu są zobowiązani m.in. do:

Bezpieczeństwo okablowania

§ 32.

Bezpieczeństwo wideokonferencji

§ 33.

Przed rozpoczęciem wideokonferencji należy:

zweryfikować, do jakich celów wykorzystywane będą dane osobowe; należy pamiętać, że polityka prywatności dostawcy usługi wideokonferencji to nie wszystko i jeżeli do osiągnięcia danego celu musi być dokonany zapis przebiegu wideokonferencji lub nawet samego głosu, muszą być spełnione obowiązki informacyjne z art. 13 i 14 RODO, w tym zebrane stosowne zgody na nagrywanie, przechowywanie i dalsze przetwarzanie wizerunku i głosu oraz wykorzystanie wypowiedzi każdego z uczestników;

W trakcie korzystania z wideokonferencji należy:

Uruchamiając własną usługę wideokonferencji należy:

ustalić, czy rozmowy mają być nagrywane i przechowywane oraz w jakim celu, jak również określić jaki będzie zakres ich dalszego przetwarzania (przetwarzanie polegające na utrwalaniu, powielaniu, wprowadzaniu do pamięci komputera oraz do sieci komputerowej lub multimedialnej; zwielokrotnianiu jakąkolwiek techniką). Należy określić, do jakich celów będą wykorzystywane dane osobowe w postaci wizerunku lub głosu. Należy pamiętać, że polityka prywatności dostawcy usługi wideokonferencji to nie wszystko i jeżeli do osiągnięcia danego celu musi być dokonany zapis przebiegu wideokonferencji lub nawet samego głosu, muszą być spełnione obowiązki informacyjne z art. 13 i 14 RODO, w tym zebrane stosowne zgody na nagrywanie, przechowywanie i dalsze przetwarzanie wizerunku i głosu oraz wykorzystanie wypowiedzi;

jeżeli to możliwe, nie wymagać od uczestników instalowania narzędzia na swoich komputerach, ale stosować wersję przeglądarkową narzędzia. Jeżeli konieczne jest udostępnienie klienta narzędzia instalowanego lokalnie, należy odpowiednio wcześniej uprzedzić o tym uczestników (mogą być wymagane uprawnienia podwyższone, których użytkownik nie posiada), wskazać oficjalną stronę narzędzia; w przypadku urządzeń mobilnych należy wskazać narzędzie w oficjalnym sklepie - Google Play lub App Store;

Wykaz systemów informatycznych i wspierających

§ 34.

Załącznik Nr 1

Część A

WYKAZ SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 5 PBI
Lp.	Nazwa systemu informacyjnego	Właściciel biznesowy systemu informacyjnego
Lp.	1	2
1
2

WYKAZ SYSTEMÓW WSPIERAJĄCYCH WSKAZANYCH W § 6 PBI
Lp.	System	Właściciel systemu wspierającego
Lp.	1	2
1
2

Nazwa systemu informacyjnego / System - nazwa systemu zgodna z jego dokumentacją lub przyjętą nomenklaturą

Właściciel biznesowy systemu informacyjnego / właściciel systemu wspierającego - właściciele, o których mowa w § 3 pkt 56 i 57 PBI

Część B

INFORMACJE DOTYCZĄCE SYSTEMÓW ZAWARTYCH W WYKAZIE SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 5 PBI

Lp.

Nazwa systemu

Czy rejestr publiczny? (nie, tak - podstawa prawna)

Cel stosowania / zadania publiczne

Właściciel biznesowy

AMS

ISV

Kategorie informacji przetwarzane w systemie informacyjnym (kategoria informacji, kategoria bezpieczeństwa informacji)

Kategoria bezpieczeństwa systemu informacyjnego

Skala systemu

Powiązania z innymi systemami

Warstwa techniczna

Producent

Czy są umowy serwisowe / dotyczące administrowania

Inne

INFORMACJE DOTYCZĄCE SYSTEMÓW ZAWARTYCH W WYKAZIE SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 6 PBI

Lp.

System

Cel stosowania

Właściciel systemu wspierającego

AMS

ISV

Kategorie informacji przetwarzane w systemie wspierającym (kategoria informacji, kategoria bezpieczeństwa informacji)

Kategoria bezpieczeństwa systemu wspierającego

Skala systemu

Powiązania z innymi systemami

Warstwa techniczna

Producent

Czy są umowy serwisowe / dotyczące administrowania

Inne

Nazwa systemu informacyjnego / System - nazwa systemu zgodna z jego dokumentacją lub przyjętą nomenklaturą

Czy rejestr publiczny? - czy system jest rejestrem publicznym? Jeżeli tak, wskazanie podstawy prawnej prowadzenia rejestru publicznego. Cel stosowania / zadania publiczne - cel stosowania systemu / wskazanie zadań publicznych, które system wspiera (wraz z odniesieniem do podstawy prawnej wskazującej obowiązek ich realizacji).

Właściciel biznesowy systemu informacyjnego / właściciel systemu wspierającego - właściciele, o których mowa w § 3 pkt 56 i 57 PBI AMS - wskazanie danych kontaktowych AMS.

ASI - wskazanie danych kontaktowych ASI.

Kategoria bezpieczeństwa systemu informacyjnego - jak ważny jest system dla urzędu, jak ważne są dane i informacje w nim przetwarzane i gromadzone, jak istotne jest funkcjonowanie systemu dla użytkowników wewnętrznych, zewnętrznych, jakie skutki mogą wystąpić w przypadku naruszenia poufności, integralności lub dostępności systemu informacyjnego. Kategoryzacja systemu informacyjnego zgodnie z NSC 199 (NISKA, UMIARKOWANA, WYSOKA).

Kategorie informacji przetwarzane w systemie informacyjnym - klasyfikacja informacji przetwarzanych w systemie informacyjnym na podstawie załącznika nr 10 do PBI (najwyższa grupa informacji z zakresu: informacje jawne, informacje wrażliwe, informacje prawnie chronione) wraz ze wskazaniem kategorii bezpieczeństwa informacji zgodnie z NSC 199 (NISKA, UMIARKOWANA, WYSOKA).

Skala systemu - jaki jest zasięg terytorialny systemu (lokalny, krajowy, międzynarodowy).

Powiązania z innymi systemami - z którymi systemami dany system jest zintegrowany w celu wymiany informacji, wskazanie kierunku integracji.

Warstwa techniczna - rodzaj architektury, platforma sprzętowa, technologia bazodanowa, rodzaj zabezpieczeń informatycznych, wykorzystywane media telekomunikacyjne, itp.

Producent - kto jest producentem/dostawcą systemu.

Czy są umowy serwisowe / dotyczące administrowania - czy system jest objęty umową/umowami serwisowymi, z jaką firmą jest podpisana umowa serwisowa. Czy serwis dotyczy wyłącznie utrzymania czy także rozwoju systemu.

Inne - dodatkowe informacje podane przez właściciela systemu inne niż wskazane w pozostałych kolumnach.

Załącznik Nr 5

Polityka Utrzymania Ciągłości Działania

§ 1.

Mając na uwadze potrzebę zapewnienia ciągłości działania Inspektoratu, w sytuacji kryzysowej zwoływana jest narada Kierownictwa lub posiedzenie Zespołu Zarządzania Kryzysowego w sprawie określenia kierunków działania w sytuacji kryzysowej, w tym w szczególności:

Odprawa DG z kierującymi komórkami organizacyjnymi ma na celu przegląd i ocenę, aktualności planów zapewnienia ciągłości działania poszczególnych komórek organizacyjnych w odniesieniu do aktualnej sytuacji, pod kątem podjęcia niezbędnych działań dla zapewnienia bezpieczeństwa pracownikom oraz utrzymania ciągłości działania Inspektoratu, dokonanie ewentualnych korekt w szczegółowych planach ciągłości działania, w tym w szczególności:

określenie zasad organizacji pracy zapewniających:

§ 2.

Szczegółowe Plany Awaryjne lub PCD obejmują m.in.:

Załącznik Nr 6

Polityka Zarządzania Incydentami

Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji

§ 1.

Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji

§ 2.

ASI ma obowiązek zareagować na alarmy i alerty generowane przez moduły automatycznego powiadamiania w systemach zabezpieczeń.

Postępowanie z incydentami

§ 3.

Osoby, o których mowa w § 1 ust. 1 dokonują wstępnej identyfikacji zdarzenia i na podstawie dostępnych informacji oraz analizy okoliczności kwalifikują zdarzenie (lub serię zdarzeń) jako:

Analiza uwzględnia następujące kryteria:

W przypadku, gdy zasięg incydentu wykracza poza systemy Inspektoratu, ASI, w porozumieniu z dyrektorem BT i z zastrzeżeniem posiadania stosownej umowy o poufności z właściwymi podmiotami zewnętrznymi, może przekazać do podmiotu zewnętrznego informacje o incydencie zawierające m.in.:

W przypadku, gdy kategoria incydentu uzasadnia potrzebę powiadomienia właściwych organów:

§ 4.

§ 5.

Pełnomocnik do spraw bezpieczeństwa cyberprzestrzeni dokonuje analizy informacji dotyczących zdarzenia związanego z naruszeniem bezpieczeństwa systemu. W toku tego procesu Pełnomocnik do spraw bezpieczeństwa cyberprzestrzeni może występować o wszelkie informacje, wyjaśnienia i opinie do komórek organizacyjnych, pracowników w tym kierujących komórkami organizacyjnymi, którzy są zobowiązani do przekazania informacji, wyjaśnień lub opinii bez zbędnej zwłoki, w możliwie najkrótszym terminie.

§ 6.

Pełnomocnik do spraw bezpieczeństwa informacji dokonuje analizy informacji dotyczących zdarzenia związanego z naruszeniem bezpieczeństwa informacji. W toku tego procesu Pełnomocnik do spraw bezpieczeństwa informacji może występować o wszelkie informacje, wyjaśnienia i opinie do komórek organizacyjnych, pracowników w tym kierujących komórkami organizacyjnymi, którzy są zobowiązani do przekazania informacji, wyjaśnień lub opinii bez zbędnej zwłoki, w możliwie najkrótszym terminie.

Ograniczanie skutków

§ 7.

Odtwarzanie systemu

§ 8.

§ 9.

ASI sporządza raport techniczny, zawierający co najmniej:

Gromadzenie materiału dowodowego

§ 10.

Każdy element materiału dowodowego jest utrwalany z zachowaniem integralności całego procesu przetwarzania, od utworzenia do ewentualnego przedstawienia jako dowodu w postępowaniu sądowym:

Załącznik Nr 1

Instrukcja zabezpieczania materiału dowodowego z komputerów

1. Odsuń w sposób zdecydowany, ale taktowny inne osoby od komputerów (mogą później być przydatne). Na czas zabezpieczenia zabroń im korzystania z urządzeń komputerowych i łączności.

2. Jeśli urządzenie jest wyłączone, nie wyłączaj go.

3. Jeśli urządzenie jest włączone, nie próbuj zamykać programów ani wyłączać komputera. Nie przerywaj drukowania, zabezpiecz, jeśli to możliwe, wykonane wydruki. Zanotuj dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie.

4. Zanotuj wszystkie parametry połączeń komputera:

1) w przypadku połączenia modemowego, zanotuj numer telefoniczny, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS;

2) w przypadku połączenia po sieci kablowej, zanotuj typ połączenia, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS;

3) w przypadku połączenia po sieci bezprzewodowej, zanotuj ustawienia zabezpieczenia sieci adres IP komputera, adresy bramki wychodzącej oraz serwera DNS.

5. Przed zabezpieczeniem zanotuj, w jaki sposób poszczególne części stanowiska są ze sobą połączone. Zrób zdjęcia, wykonaj szkic (plan połączeń z opisem wyposażenia). Oznacz odpowiednio wszystkie przewody i połączenia.

6. Następnie odłącz wszystkie kable zewnętrzne od komputera. Zanotuj czas odłączenia kabli.

7. Zabezpiecz jednostkę centralną (komputer) oraz inne urządzenia z zainstalowaną na stałe pamięcią masową w wytrzymałych mechanicznie workach foliowych.

8. Zaplombuj worek i wypełnij metryczkę. Metryczka powinna zawierać typ, numer seryjny urządzenia i numer inwentarzowy nadany przez Agencję albo opis jego indywidualnych cech. Wpisz do protokołu wykonane czynności.

9. Pakuj ostrożnie okablowanie i sprzęt (m. in. klawiatury, monitory, drukarki, plotery, skanery, czytniki kart i pamięci, napędy zewnętrzne).

10. Zabezpiecz wszystkie wymienne nośniki komputerowe: pamięci flash, dyskietki, dyskietki ZIP, JAZZ, taśmy streamera, płyty CD, DVD, MO oraz niezamontowane dyski twarde (także uszkodzone). Grupy nośników pakuj zbiorczo (dyskietki, płyty CD itp.). Pakuj, numeruj poszczególne paczki, plombuj i opisz w protokole. Wpisz do protokołu wykonane czynności.

11. Zażądaj od administratora spisu oprogramowania zainstalowanego na komputerze, a następnie zgodnie ze spisem - okazania licencji i oryginalnych nośników oprogramowania lub wskazania miejsca przechowywania lub osoby upoważnionej, która zarządza licencjami i oryginalnymi nośnikami oprogramowania. Jeśli administrator nie ma spisu oprogramowania, to zażądaj okazania wszystkich posiadanych przez niego licencji i oryginalnych nośników oprogramowania. Oznaczenia licencji i nośników wpisz do protokołu, a następnie zabezpiecz jako materiał porównawczy. Wpisz do protokołu wykonane czynności.

12. Zażądaj od administratora przekazania instrukcji programów pisanych na zamówienie lub programów nietypowych. Zabezpiecz jako materiał porównawczy i wpisz do protokołu wykonane czynności.

13. Zażądaj od użytkowników i administratora podania parametrów dostępu do BIOS-u, systemu operacyjnego i oprogramowania (nazw kont, identyfikatorów, haseł do BIOS), a następnie zabezpiecz je przed osobami postronnymi za pomocą bezpiecznej koperty. Wpisz czynność przejęcia parametrów dostępu do protokołu.

14. Przechowuj zabezpieczone materiały (nośniki i sprzęt) w miejscach suchych i chłodnych z daleka od urządzeń emitujących pole elektromagnetyczne, a bezpieczne koperty w sejfie.

NIE PRÓBUJ SAMODZIELNIE BADAĆ KOMPUTERA, ANI ZAWARTOŚCI NOŚNIKÓW DANYCH. KAŻDE TWOJE WŁĄCZENIE KOMPUTERA WYKONANE PO ZAKOŃCZENIU ZABEZPIECZANIA WYWOŁUJE POWSTANIE ŚLADÓW WSKAZUJĄCYCH NA NARUSZENIE INTEGRALNOŚCI MATERIAŁU DOWODOWEGO.

Załącznik Nr 7

Polityka Ochrony Danych Osobowych

Cel i zakres przetwarzania danych osobowych

§ 1.

W Inspektoracie dane osobowe są przetwarzane:

Obszary działalności Inspektoratu, w których dochodzi do przetwarzania danych osobowych (cel przetwarzania):

Administratorem danych osobowych jest Główny Inspektor.

Środki podejmowane w celu wykonania obowiązków informacyjnych

§ 2.

Na stronie internetowej (https://www.gov.pl/web/gitd) oraz na stronie podmiotowej Biuletynu Informacji Publicznej zostały umieszczone:

Wyznaczenie Inspektora Ochrony Danych

§ 3.

Realizacja praw osób, których dane dotyczą

§ 4.

Podstawowym terminem udzielenia odpowiedzi na wniosek lub żądanie jest termin "bez zbędnej zwłoki", przy czym przyjmuje się:

IOD koordynuje udzielenie odpowiedzi na wnioski i żądania osób, których dane dotyczą, w szczególności:

jeżeli termin określony przez IOD nie będzie możliwy do dotrzymania, właściciel informacji wskazuje IOD termin udzielenia odpowiedzi wskazując przyczyny tego przedłużenia, przy czym termin ten nie może być dłuższy niż 2,5 miesiąca (1,5 miesiąca dla spraw dotyczących przetwarzania danych na podstawie Ustawy) od terminu wpływu wniosku lub żądania i termin ten powinien być jak najkrótszy. W takiej sytuacji IOD informuje wnioskodawcę o konieczności przedłużenia terminu na udzielenie odpowiedzi ze wskazaniem przyczyny;

Składając wniosek lub żądanie na podstawie RODO lub Ustawy, wnioskodawca powinien podać informacje, które pozwolą go w sposób jednoznaczny zidentyfikować, jak również zidentyfikować dane i informacje, których wniosek lub żądanie dotyczą oraz wskazać podstawę prawną swojego wniosku lub żądania, co będzie stanowiło jednoznaczne potwierdzenie oczekiwanych działań, które administrator danych powinien w danej sytuacji podjąć, w tym:

jeżeli wniosek nie zawiera wymaganych informacji, lub istnieją wyraźnie uzasadnione wątpliwości co do tożsamości osoby, która złożyła wniosek lub oczekiwanych od administratora danych działań, IOD wzywa wnioskodawcę do podania dodatkowych informacji niezbędnych do potwierdzenia tożsamości tej osoby lub jednoznacznego wskazania, jakich działań wnioskodawca oczekuje od administratora danych. W zależności od kontekstu wniosku lub żądania mogą to być dane takie, jak np. numer PESEL, data urodzenia, numer sprawy lub inny jej szczegół, który może znać tylko osoba, której dane dotyczą, a w odniesieniu do oczekiwanych od administratora działań - wskazanie konkretnej podstawy prawnej wniosku lub żądania;

jeżeli w dalszym ciągu istnieją uzasadnione wątpliwości co do tożsamości wnioskodawcy, IOD:

jeżeli pomimo wezwania do podania dodatkowych informacji niezbędnych do jednoznacznego potwierdzenia tożsamości wnioskodawca takich informacji nie udzieli, a informacje ogólne dotyczące przetwarzania danych osobowych przez administratora danych nie realizują celu złożonego wniosku lub żądania, IOD informuje wnioskodawcę o odmowie realizacji wniosku lub żądania ze wskazaniem na brak możliwości jednoznacznego i niebudzącego wątpliwości potwierdzenia tożsamości oraz o prawie do wniesienia skargi do PUODO.

Działania podejmowane w celu przejrzystego informowania i komunikacji oraz wykonywania praw osób

§ 5.

Jeżeli przedmiot wniosku lub żądania jest ewidentnie nieuzasadniony lub nadmierny, w szczególności ze względu na swój ustawiczny charakter, IOD przekazuje wnioskodawcy informację o odmowie podjęcia działań, przy czym obowiązek wykazania, że wniosek lub żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na Inspektoracie - obowiązek ten jest realizowany przez właściciela informacji, który miałby podjąć czynności oczekiwane przez wnioskującego i wskazane we wniosku lub żądaniu.

W przypadku podjęcia przez Inspektorat decyzji o realizacji wniosku lub żądania, które ma nadmierny charakter i zostało to jednoznacznie wykazane, Inspektorat może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań. W takiej sytuacji właściciel informacji konsultuje się z BF celem ustalenia wysokości i szczegółów dotyczących wniesienia przez wnioskodawcę opłaty za realizację wniosku lub żądania i przekazuje informację IOD celem jej przekazania do wnioskodawcy. Realizacja wniosku lub żądania następuje po wniesieniu przez wnioskodawcę opłaty, a w przypadku odmowy jej zapłaty wniosek lub żądanie, dla którego wykazano jednoznacznie jego nieuzasadniony lub nadmierny charakter, pozostaje bez rozpatrzenia - IOD przekazuje wnioskodawcy stosowną informację wraz z pouczeniem o możliwości wniesienia skargi do PUODO lub możliwości skorzystania ze środków ochrony prawnej.

Działania podejmowane w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą

§ 6.

W przypadku zbierania danych bezpośrednio od osób, których dane dotyczą, właściciel informacji ma obowiązek zapewnić, że tej osobie zostaną podane wszystkie niezbędne informacje:

gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony na podstawie art. 45 RODO lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Poza informacjami, o których mowa w ust. 1 powyżej, podczas pozyskiwania danych osobowych, właściciel informacji ma obowiązek zapewnić, że tej osobie zostaną podane następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

Do udzielania informacji, o których mowa w ust. 1-3 powyżej, właściciel informacji stosuje klauzule informacyjne. Przykładowe wzory i szablony klauzul informacyjnych zawiera załącznik nr 1 do PODO. Klauzule te należy każdorazowo dostosować do danej sytuacji wymagającej ich zastosowania. Za dostosowanie i zastosowanie klauzul informacyjnych odpowiada pracownik zbierający dane osobowe.

Działania podejmowane w przypadku zbierania danych w sposób inny, niż bezpośrednio od osoby, której dane dotyczą

§ 7.

W przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, właściciel informacji ma obowiązek zapewnić, że osobie, której dane dotyczą zostaną podane wszystkie następujące informacje:

gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony na podstawie art. 45 RODO lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Poza informacjami, o których mowa w ust. 1, właściciel informacji ma obowiązek zapewnić, że osobie której dane dotyczą zostaną podane następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec tej osoby:

Informacje, o których mowa w ust. 1 i 2 powyżej, właściciel informacji ma obowiązek podać:

Ust. 1-4 nie mają zastosowania, gdy - i w zakresie, w jakim:

udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek informacyjny, o którym mowa w ust. 1 powyżej, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach właściciel informacji podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

Środki ochrony danych osobowych w systemach

§ 8.

Każdy system, w których dochodzi do przetwarzania danych osobowych, musi posiadać ustanowioną i wdrożoną dokumentację dotyczącą przetwarzania danych osobowych, szczegółowo opisującą i adresującą wszystkie zasady i wymagania odnoszące się do przetwarzania danych osobowych z wykorzystaniem nowoczesnych technologii, w szczególności opis środków i zabezpieczeń podjętych w celu ochrony poufności, integralności i dostępności danych osobowych oraz sposób zapewnienia realizacji praw osób, których dane dotyczą i które to dane osobowe są w takim systemie przetwarzane.

Polityki Ochrony Danych Osobowych

§ 9.

PODO nie wyklucza możliwości ustanowienia odrębnej polityki dotyczącej ochrony danych osobowych dla danej czynności przetwarzania, w szczególności z zastosowaniem nowoczesnych technologii. Ustanawiając odrębną politykę ochrony danych osobowych dla czynności przetwarzania należy uwzględnić, ponad przepisy o ochronie danych osobowych oraz rozwiązania przyjęte w PODO, również obowiązujące wymagania prawne dotyczące ochrony informacji oraz cyberbezpieczeństwa, w tym ustanowione na ich podstawie inne polityki, tj. PBI oraz załączniki do niej.

Nadzór nad przetwarzaniem danych osobowych

§ 10.

IOD monitoruje zgodność przetwarzania danych osobowych z przepisami prawa oraz wymaganiami określonymi w PODO, jak również wspiera Głównego Inspektora w realizacji obowiązków administratora danych. W tym celu IOD realizuje kontrole, jak również uczestniczy oraz udziela wsparcia w zakresie swojej właściwości w kontrolach i audytach prowadzonych przez komórkę organizacyjną właściwą do spraw kontroli i audytu wewnętrznego, w szczególności gdy te obejmują swoim zakresem zadania przypisane IOD.

IOD w związku z pełnionym nadzorem i monitorowaniem zgodności przetwarzania danych osobowych z przepisami prawa i PODO nie realizuje jakichkolwiek zadań, które mogą powodować wystąpienie konfliktu interesów (tj. gdy nadzorowi i kontroli IOD podlega czynność wykonywana lub wykonana przez IOD). W szczególności IOD nie realizuje czynności przypisanych jednoznacznie do administratora danych, m.in.:

nie opracowuje i nie akceptuje zapisów umów lub porozumień w zakresie powierzenia przetwarzania danych osobowych, a wyłącznie weryfikuje, czy te zapisy zawierają wszystkie wymagane przez przepisy prawa elementy dotyczące powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu; za opracowanie zapisów umów lub porozumień w zakresie powierzenia przetwarzania danych osobowych odpowiadają członkowie komisji przetargowych lub inni pracownicy, którym powierzono do realizacji zadania związane z zawarciem takiej umowy lub porozumienia;

nie udziela w imieniu administratora danych odpowiedzi na pytania kierowane w postępowaniach o udzielenie zamówień publicznych; reprezentantem administratora danych - Głównego Inspektora w postępowaniu o udzielenie zamówienia publicznego jest komisja powołana do jego przeprowadzenia lub inne osoby wykonujące czynności zmierzające do udzielenia zamówienia podmiotom zewnętrznym w sytuacjach, gdy komisja powoływana nie jest; rolą IOD jest nadzór, aby w sytuacji powierzenia przetwarzania danych osobowych było ono dokonane w sposób udokumentowany zawierający wszystkie wymagane przepisami o ochronie danych osobowych elementy; IOD może doradzać tym osobom w zakresie spoczywających na nich obowiązków związanych z powierzaniem przetwarzania danych osobowych na mocy przepisów prawa;

Obowiązek konsultacji wszelkich spraw związanych z przetwarzaniem danych osobowych

§ 11.

IOD musi być obowiązkowo włączany w każdą sprawę dotyczącą ochrony danych osobowych w związku z koniecznością zapewnienia, że m.in. czynność przetwarzania jest zgłoszona i opisana w rejestrze czynności przetwarzania lub rejestrze kategorii czynności przetwarzania, jeżeli jest to wymagane została przeprowadzona ocena skutków dla ochrony danych, ustanowiono wymaganą przepisami prawa dokumentację ochrony danych, jeżeli jest to wymagane przeprowadzono konsultacje z PUODO, czy też prawidłowo realizowane są prawa i obowiązki osób, których dane dotyczą lub obowiązki informacyjne.

Za włączanie IOD we wszelkie sprawy związane z ochroną danych osobowych odpowiada każdy pracownik. Obowiązkiem kierujących komórkami organizacyjnymi jest zapewnienie, że IOD jest włączany we wszelkie sprawy związane z ochroną danych osobowych realizowane w tej komórce organizacyjnej, m.in. wnioski i żądania osób, których dane dotyczą, ustanawianie nowych czynności przetwarzania w tym z wykorzystaniem systemów, skargi na przetwarzanie danych osobowych, powierzanie danych osobowych do przetwarzania podmiotom zewnętrznym lub przyjmowanie do przetwarzania danych osobowych od innego administratora danych.

Przetwarzanie danych osobowych na podstawie upoważnienia

§ 12.

Pracownicy BDG - WKR upoważniają pracowników Inspektoratu do przetwarzania danych osobowych w zakresie niezbędnym do wykonania przez te osoby zadań na zajmowanym stanowisku pracy, w tym upoważniają pracowników do przetwarzania danych w związku z Zakładowym Funduszem Świadczeń Socjalnych i realizacją zadań Komisji Socjalnej w Inspektoracie. Zakres upoważnienia do przetwarzania danych osobowych pracowników mają obowiązek określić bezpośredni przełożeni pracowników upoważnianych.

Opcjonalnie - zaleca się rozważenie przez BDG - WKR prowadzenia wykazu pracowników upoważnionych do przetwarzania danych osobowych obejmującego dane identyfikacyjne pracownika, numer upoważnienia jeżeli nadawany np. może być to numer umowy o pracę, datę nadania upoważnienia, datę ustania ważności upoważnienia, zakres upoważnienia określony przez bezpośredniego przełożonego pracownika. W przypadku prowadzenia takiego wykazu przez BDG - WKR, AMS / ASI mają obowiązek umieszczać w nim informacje o zakresie uprawnień w systemach, do których pracownik ma dostęp. Prowadzenie wykazu jest najprostszą metodą wykazywania rozliczalności stosowania RODO.

12.

Główny Inspektor oraz upoważnieni przez niego pracownicy BDG - WKR mogą cofnąć lub zawiesić upoważnienie do przetwarzania danych osobowych, w tym także na wniosek bezpośredniego przełożonego, kierującego komórką organizacyjną w której pracownik jest zatrudniony, IOD, pełnomocnika do spraw bezpieczeństwa informacji, pełnomocnika do spraw bezpieczeństwa cyberprzestrzeni, w szczególności w związku z naruszeniem przez taką osobę zasad ochrony danych osobowych, zmianą stanowiska pracy i związaną z tym zmianą zakresu upoważnienia, odwołaniem z funkcji lub z zespołu, długą nieobecnością takiej osoby, lub zakończeniem zatrudnienia.

Obowiązek zapoznania z przepisami oraz zasadami ochrony danych osobowych przed uzyskaniem upoważnienia do przetwarzania danych osobowych

§ 13.

Informowanie o rozpoczęciu i zakończeniu zatrudnienia

§ 14.

Informacje określone w ust. 1-2 komórki organizacyjne, o których mowa w ust. 1-2 przekazują również do BT oraz - w przypadku ust. 2 - w miarę możliwości i po uzgodnieniu do AMS, w celu zapewnienia, że uprawnienia w systemach zostaną odebrane najpóźniej z chwilą ustania zatrudnienia. Powyższe nie zdejmuje z bezpośrednich przełożonych pracowników kończących zatrudnienie obowiązków określonych w Regulaminie pracy w Inspektoracie związanych z koniecznością wnioskowania o odebranie uprawnień w systemach, do których pracownik miał dostęp.

Obowiązek zgłaszania naruszeń ochrony danych osobowych

§ 16.

Powierzenie przetwarzania danych osobowych innemu podmiotowi

§ 17.

Członkowie komisji przetargowych, kierujący komórkami organizacyjnymi i wszyscy pozostali pracownicy, którzy realizują zadania, których celem jest powierzenie przetwarzania danych osobowych innemu podmiotowi zewnętrznemu, mają obowiązek opracować treść umowy powierzenia przetwarzania danych osobowych, jak również poinformować IOD o zamiarze zawarcia takiej umowy ze wskazaniem czynności przetwarzania z rejestru tych czynności, której powierzenie przetwarzania danych osobowych będzie dotyczyć.

Główny Inspektor jako podmiot przetwarzający

§ 18.

Właściciel informacji, której dotyczy powierzenie Głównemu Inspektorowi przetwarzania danych osobowych, zapewnia realizację obowiązków określonych w umowie powierzenia przetwarzania danych osobowych (m.in. określanie i wdrażanie zabezpieczeń, udzielanie upoważnień do przetwarzania danych osobowych, realizowanie obowiązków informacyjnych, przeprowadzanie ocen skutków dla ochrony danych, prowadzenie innej wymaganej dokumentacji dotyczącej przetwarzania powierzonych danych osobowych, obowiązki związane z dalszym powierzaniem przetwarzania danych osobowych), z zastrzeżeniem czynności, za których realizację odpowiada IOD na podstawie przepisów prawa i regulacji wewnętrznych (prowadzenie rejestru kategorii czynności przetwarzania, koordynacja zadań związanych z realizacją praw osób, których dane dotyczą, zarządzanie naruszeniami ochrony danych osobowych, monitorowanie i kontrola zgodności przetwarzania i stosowania ustalonych środków ochrony danych osobowych z przepisami prawa).

Przetwarzanie danych osobowych na podstawie zgody

§ 19.

Ochrona danych w fazie projektowania i domyślna ochrona danych

§ 20.

Praktyczne stosowanie zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych podlega obowiązkowemu dokumentowaniu, którego celem jest wypełnienie obowiązkowej zasady rozliczalności określonej w RODO. Dokumentowanie, o którym mowa powyżej polega m.in. na szczegółowym dokumentowaniu czynności przetwarzania, ocen skutków dla ochrony danych, wymagań i założeń dla rozwiązań teleinformatycznych w ich dokumentacji definiujących planowane lub stosowane środki ochrony i zabezpieczenia w celu zapewnienia stosowania zasad określonych w RODO oraz praw i wolności osób fizycznych, dokumentowaniu zadań wykonywanych przez m. in. AMS i ASI.

Rejestrowanie czynności przetwarzania

§ 21.

IOD ma obowiązek:

Właściciele informacji mają obowiązek:

Współpraca z UODO

§ 22.

Niedopuszczalne wysokie ryzyko szczątkowe obejmuje przypadki, w których osoby fizyczne mogą ponieść znaczne lub nawet nieodwracalne konsekwencje, z którymi nie będą mogły sobie poradzić (np. bezprawne uzyskanie dostępu do danych prowadzące do zagrożenia życia lub zdrowia osób, zwolnienia z pracy, zagrożenia o charakterze finansowym, kradzież tożsamości) lub w których wydaje się oczywiste, że wystąpi ryzyko (np. ograniczenie liczby osób mających dostęp do danych nie jest możliwe ze względu na sposób ich udostępniania, wykorzystywania lub rozprowadzania lub gdy luka w zabezpieczeniach, o której istnieniu wiadomo, nie zostanie usunięta).

Zarządzanie naruszeniami ochrony danych osobowych

§ 23.

IOD, pełnomocnik do spraw bezpieczeństwa cyberprzestrzeni oraz pełnomocnik do spraw bezpieczeństwa informacji mają obowiązek współpracować ze sobą i wymieniać się informacjami na temat zgłaszanych naruszeń ochrony danych osobowych, incydentów cyberbezpieczeństwa oraz incydentów bezpieczeństwa informacji, celem ustalenia, czy:

Obsługę i wyjaśnianie naruszeń ochrony danych osobowych koordynuje IOD. W ramach tych czynności IOD jest uprawniony do żądania od wszystkich pracowników udzielenia wyjaśnień w związku z obsługiwanym naruszeniem, w tym do uzyskiwania materiałów mogących stanowić dowód w postępowaniu. Do przekazywania informacji wrażliwych lub informacji prawnie chronionych należy stosować wymagania i wytyczne dotyczące zapewnienia poufności informacji, m.in. dostępne mechanizmy szyfrowania.

Rejestr naruszeń ochrony danych osobowych prowadzony przez IOD obejmuje następujące informacje:

11.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Główny Inspektor bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Czynności tej w imieniu Głównego Inspektora dokonuje właściciel informacji, której dotyczy naruszenie, po uprzedniej konsultacji powiadomienia z IOD.

Do przypadków, w których poinformowanie jest obowiązkowe należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych osobowych szczególnej kategorii, należy założyć, że jest wysoce prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej.

Gdy jest to uzasadnione oraz zgodnie z zaleceniami organów ścigania wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ może być opóźnione do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom, zgodnie z art. 45 ust. 6 Ustawy. Jeżeli zawiadomienie o naruszeniu danych osobowych zostało wysłane z opóźnieniem, właściciel informacji ma obowiązek poinformować IOD o powodach tego opóźnienia celem udokumentowania w rejestrze naruszeń.

12.

Zawiadomienie musi zawierać wymagane prawem elementy wskazane poniżej:

15.

Jeżeli właściciel informacji nie jest w stanie zawiadomić danej osoby fizycznej o naruszeniu, ponieważ posiadane dane są niewystarczające do skontaktowania się z tą osobą, w takim szczególnym przypadku właściciel informacji informuje taką osobę tak szybko, jak jest to rozsądnie wykonalne (np. gdy osoba fizyczna skorzysta z przewidzianego w art. 15 RODO prawa do uzyskania dostępu do swoich danych osobowych i dostarczy dodatkowe informacje wymagane do skontaktowania się z nią).

16.

Zawiadomienia właściciel informacji nie wysyła, jeżeli:

Ocena skutków dla ochrony danych

§ 24.

Ocenę skutków dla ochrony danych przeprowadza się m.in. w następujących przypadkach:

Ponad powyższe, ocena skutków dla ochrony danych powinna być przeprowadzona w każdym przypadku, gdy dotyczy planowanej (nowej) czynności przetwarzania, w tym w szczególności w systemie, jak również:

Ocenę skutków dla ochrony danych przeprowadza się w oparciu o metodykę francuskiego organu nadzorczego pn. "Ocena wpływu na prywatność" (ang. Privacy Impact Assessment) 7 , z uwzględnieniem dokumentu "WP 248 rev.01 - Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie "może powodować wysokie ryzyko" do celów rozporządzenia 2016/679. 8 ⁾". Do wykonania oceny skutków dla ochrony danych można wykorzystać oprogramowanie PIA lub opracowany na jego podstawie arkusz oceny skutków dla ochrony danych udostępniany zainteresowanym przez IOD lub Pełnomocnika do spraw bezpieczeństwa informacji.

Szczegółowe zabezpieczenia danych osobowych

§ 25.

Załącznik Nr 5

Szablon rejestru zgód na przetwarzanie danych osobowych

L.p.	Dane identyfikacyjne osoby, której danych zgoda dotyczy	Dane kontaktowe osoby (jeśli podano)	Dane adresowe osoby (jeśli podano)	Kanał (forma) pozyskania zgody	Czego dotyczy zgoda (zakres danych, proces)	Data udzielenia zgody	Data obowiązywania zgody	Data wycofania zgody	Kanał (forma) wycofania zgody	Powód wycofania zgody (jeśli podano)
1	Jan Osobowy	jan. osobowy@jakas.domena tel. 123-456-789	ul. Osobowa 1 00-000 Osobowo	Pisemnie	Przetwarzanie wizerunku pracownika w systemie kadrowo - płacowym. Przetwarzanie wizerunku pracownika na legitymacji pracowniczeej.	01.01.2010	Okres związania umową o pracę
2	Jan Telefoniczny	tel. 987-654-321	-	Formularz na stronie abc.pl	Przetwarzanie prywatnego numeru telefonu w celach związanych ze stosunkiem pracy.	01.01.2010	Okres związania umową o pracę	31.12.2020	E-mail	-

Załącznik Nr 8

Polityka Bezpieczeństwa Relacji z Podmiotami Zewnętrznymi

§ 1.

Umowa z podmiotem zewnętrznym powinna w szczególności adresować następujące zagadnienia:

Wymiana informacji poprzez łącza informatyczne niebędące pod kontrolą Inspektoratu wymaga w szczególności:

11.

W przypadku stwierdzenia, iż jakość usługi nie spełnia wymagań określonych w umowie, kierujący komórką organizacyjną powinien podjąć działania w celu wyegzekwowania warunków umowy zawartej z podmiotem zewnętrznym. W przypadku, gdy egzekwowanie warunków świadczenia usługi nie przynosi oczekiwanych rezultatów powinny zostać podjęte, w ramach możliwych do podjęcia działań prawnych oraz zgodnie z postanowieniami zawartej umowy, działania w celu zakończenia współpracy z podmiotem zewnętrznym.

Załącznik Nr 10

Polityka Klasyfikacji i Postępowania z Informacjami

Zasady klasyfikacji i postępowania z informacjami

§ 1.

Przyjmuje się następującą klasyfikację informacji oraz ich oznaczenie:

informacje prawnie chronione - informacje stanowiące dane osobowe podlegające ochronie na mocy przepisów o ochronie danych osobowych oraz informacje przekazane przez przedsiębiorcę, co do których podjął on działania w celu zachowania ich w poufności, w szczególności niepodane do publicznej wiadomości informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą (tajemnica przedsiębiorstwa) oraz informacje chronione na mocy ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (uregulowane odrębnymi przepisami) oraz inne informacje chronione z mocy prawa (np. tajemnica skarbowa). Dokumenty przychodzące do Inspektoratu zawierające informacje sklasyfikowane w szczególności jako "tajemnica przedsiębiorstwa" oraz "tajemnica skarbowa" powinny być oznaczone, np. na pierwszej stronie w przypadku dokumentów papierowych lub w nazwie pliku w przypadku dokumentów elektronicznych odpowiednio klauzulą: "TAJEMNICA PRZEDSIĘBIORSTWA". Dokumenty oznaczone klauzulą "TAJEMNICA SKARBOWA" nie powinny być przesyłane do Inspektoratu faksem oraz poprzez pocztę elektroniczną, w tym poprzez Elektroniczną Platformę Usług Administracji Publicznej - ePUAP. Sposób postępowania z informacjami klasyfikowanymi jako informacje niejawne określają właściwe przepisy oraz regulacje wewnętrzne, m.in. POIN. W tej kategorii informacji uwzględnia się dokumenty publiczne w rozumieniu ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, przy czym zasady postępowania i ochrony dokumentów publicznych określono szczegółowo we wskazanej ustawie oraz aktach wykonawczych wydanych na jej podstawie oraz innych wewnętrznych aktach normatywnych, zasady określone w PBI należy stosować uzupełniająco;

informacje wrażliwe (tajemnica GITD) - informacje wewnętrzne, wytworzone w Inspektoracie lub na jego rzecz, niewchodzące w zakres informacji zaklasyfikowanych do pozostałych grup. Są to informacje dostępne wewnątrz i przeznaczone do użytku wewnętrznego. Informacje te mogą być udostępniane stronom trzecim (osobom lub podmiotom) na zasadzie "wiedzy uzasadnionej", w szczególności w związku z realizacją usług na podstawie zawartych umów, porozumień. Dokumenty zawierające informacje sklasyfikowane jako "tajemnica GITD", w szczególności te udostępniane stronom trzecim, powinno się oznaczać co najmniej na pierwszej stronie (np.: w nagłówku lub stopce dokumentu) w przypadku dokumentów papierowych, lub w nazwie pliku w przypadku dokumentów elektronicznych, informacją np.: "tajemnica GITD", "do użytku wewnętrznego";

§ 2.

Przyjmuje się następujące zasady postępowania z informacjami:

informacja prawnie chroniona:

informacja wrażliwa:

informacja wymagająca klasyfikacji:

Postępowanie z dokumentami papierowymi

§ 3.

27.

Pracownicy powinni unikać wynoszenia i przechowywania w miejscach wykonywania pracy w formie zdalnej jakiejkolwiek dokumentacji papierowej zawierającej informacje podlegające ochronie prawnej lub wewnętrznej. Pracownik takie dokumenty ma obowiązek zabezpieczyć w sposób nie gorszy, niż ma to miejsce w siedzibie Inspektoratu i przy zastosowaniu co najmniej tożsamych zabezpieczeń fizycznych i organizacyjnych (m.in. zamykane na klucz meble bez dostępu do ich wnętrza (oraz do kluczy) innych osób, nieujawnianie ich treści innym osobom przebywającym w miejscu wykonywania pracy zdalnej. Zidentyfikowany brak stosowania przez pracownika wymaganych i określonych w PBI zabezpieczeń dla dokumentów papierowych zawierających informacje podlegające ochronie prawnej lub wewnętrznej powinien skutkować natychmiastowym odwołaniem pracownika z pracy zdalnej z obowiązkiem bezpiecznego przetransportowania dokumentów do siedziby Inspektoratu.

Podstawowe zasady ochrony informacji

§ 4.

Podstawowe zasady dotyczące ochrony informacji, które należy stosować:

zasada czystego biurka i czystego ekranu:

zasada obecności koniecznej - prawo przebywania w określonych miejscach (istotnych dla bezpieczeństwa informacji) mogą mieć tylko osoby upoważnione. Przebywanie osób nieupoważnionych w tych miejscach jest możliwe wyłącznie w obecności osób upoważnionych. Szczegółowe zasady ochrony fizycznej obiektów i pomieszczeń użytkowanych określają wewnętrzne dokumenty i instrukcje oraz dokumenty, instrukcje i regulaminy udostępniane przez administratora -właściciela budynku, natomiast w odniesieniu do ochrony informacji niejawnych - POIN. Zasady bezpieczeństwa fizycznego określa załącznik nr 3 do PBI;

zasada zamykania pomieszczeń - niedopuszczalne jest pozostawienie pod nieobecność pracownika niezabezpieczonego pomieszczenia służbowego, zarówno w godzinach pracy, jak i po jej zakończeniu. Na zakończenie dnia pracy ostatnia wychodząca z pomieszczenia osoba jest zobowiązana zamknąć wszystkie okna i drzwi oraz zabezpieczyć klucze do pomieszczenia. Szczegółowe zasady ochrony fizycznej obiektów i pomieszczeń użytkowanych przez Inspektorat określają wewnętrzne dokumenty i instrukcje oraz dokumenty, instrukcje i regulaminy udostępniane przez administratora - właściciela budynku, natomiast odniesieniu do ochrony informacji niejawnych - POIN. Zasady bezpieczeństwa fizycznego określa załącznik nr 3 do PBI;

24)

zasada czystego kosza - dokumenty papierowe, z wyjątkiem materiałów zawierających informacje jawne, muszą być niszczone w sposób uniemożliwiający ich odczytanie. Niedopuszczalne jest wyrzucanie dokumentów zawierających informacje wrażliwe i prawnie chronione, do zwykłego kosza. W celu zniszczenia takich dokumentów należy korzystać z udostępnionych przez Inspektorat niszczarek. Niszczenie nośników elektronicznych należy przeprowadzić zgodnie z zasadami określonymi w PBT lub odrębnej dokumentacji systemu.

Polityka "czystego biurka" oraz "czystego ekranu"

1) Pracownicy zobowiązani są do przechowywania na biurku tylko tych dokumentów i nośników, które są im niezbędne w danym momencie do wykonania bieżących zadań.

2) Po zakończonej pracy pracownik zobowiązany jest odłożyć dokumenty i nośniki zawierające informacje chronione do zamykanej na klucz szafy.

3) W sytuacjach nagłych, związanych m.in. ze stanem zdrowia pracownika lub przedłużającą się nieobecnością, za realizację polityki czystego biurka w jego imieniu odpowiadają solidarnie pracownicy, których stanowiska pracy znajdują się najbliżej oraz bezpośredni przełożony pracownika.

4) Po zakończonej pracy pracownik powinien pozostawić na biurku jedynie powierzony mu sprzęt komputerowy, telefon oraz materiały biurowe. Na biurku mogą być przechowywane dokumenty jedynie w przypadku, gdy nie zawierają one informacji chronionych.

5) Pracowników obowiązuje zakaz trzymania na biurku wszelkich produktów spożywczych, których posiadanie grozi rozlaniem płynu i uszkodzeniem urządzeń elektronicznych. Należy stosować postanowienia Regulaminu pracy w Inspektoracie.

6) Pracownik zobowiązany jest na bieżąco niszczyć te dokumenty, które przestały mu być potrzebne, jeżeli obowiązek ich przechowywania i archiwizacji nie wynika z odrębnych przepisów. Dokumenty powinny być niszczone w sposób uniemożliwiający odtworzenie zawartych w nich informacji.

7) Konfiguracja komputerów wymusza włączenie wygaszacza ekranu na użytkowanym komputerze po 5 minutach bezczynności użytkownika. W przypadku wznowienia aktywności, powrót do pracy z komputerem jest możliwy jedynie po podaniu hasła (włączenie wygaszacza ekranu powoduje zablokowanie komputera).

8) W przypadku czasowego opuszczenia stanowiska pracy, pracownik jest zobowiązany do każdorazowego blokowania komputera lub wylogowania się z systemu (przyciski Ctrl + Alt + Del -> Zablokuj ten komputer lub przyciski lewy logo Windows + L).

Zasada wiedzy koniecznej

1) Każdy pracownik może posiadać dostęp tylko do tych informacji, które są konieczne do realizacji obowiązków służbowych.

2) Każdy pracownik - użytkownik powinien posiadać wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do funkcjonalności, które są konieczne do realizacji obowiązków służbowych.

3) Zapoznanie pracownika - użytkownika z zasadami użytkowania systemu powinno następować przed rozpoczęciem pracy z tym systemem.

4) Zapoznanie pracownika - użytkownika z zasadami użytkowania systemu może następować w dowolnej formie, m.in.: przez szkolenia stacjonarne lub online, e-learning, zapoznanie użytkownika z dokumentacją, samodzielną naukę na środowisku szkoleniowym.

5) AMS lub ASI odpowiadają za udostępnienie pracownikowi - użytkownikowi dokumentacji użytkownika systemu lub przeszkolenie użytkownika z zasad bezpiecznego użytkowania systemu.

Zasada indywidualnej odpowiedzialności

1) Każdy pracownik lub użytkownik odpowiada za bezpieczeństwo powierzonych lub udostępnionych do użytkowania urządzeń, oprogramowania, nośników oraz informacji, które przetwarza.

2) Pracownik lub użytkownik ponosi indywidualną odpowiedzialność za niedopełnienie obowiązków dotyczących ochrony powierzonych lub udostępnionych do użytkowania urządzeń, oprogramowania, nośników oraz informacji, w szczególności, gdy naruszenie bezpieczeństwa wystąpiło w czasie, gdy pracownik/użytkownik był zalogowany do systemu, w którym wystąpiło naruszenie.

3) Pracownik lub użytkownik ponosi również odpowiedzialność za ujawnienie swoich informacji uwierzytelniających, których poufności ma obowiązek zapewnić.

Zasada niewygody uzasadnionej

1) Zabezpieczenia mają na celu ochronę informacji i mogą powodować w odczuciu użytkownika dyskomfort użytkowania. Konieczność ochrony informacji ma w tym przypadku priorytet, przy czym nie może powodować znaczących utrudnień i opóźnień w realizacji procesów biznesowych, przy zachowaniu spełnienia wymogów prawnych ochrony tej informacji.

2) Zabronione jest obchodzenie zabezpieczeń, ich wyłączanie lub stosowanie wyłącznie niektórych zabezpieczeń w celu podniesienia komfortu pracy. Jakiekolwiek odstępstwa od stosowanych zabezpieczeń muszą być udokumentowane, musi zostać przeprowadzona analiza ryzyka dla tych odstępstw oraz muszą podlegać zatwierdzeniu.

Zasada obecności koniecznej

1) Przebywanie osób nieuprawnionych w pomieszczeniach serwerowni, węzłów sieci teleinformatycznych, innych wydzielonych ze względu na charakter wykonywanych zadań lub charakter przetwarzanych informacji pomieszczeniach może odbywać się wyłącznie pod nadzorem i w obecności osób do tego uprawnionych.

2) Osoby nieuprawnione przebywając w takich pomieszczeniach nie powinny mieć dostępu do urządzeń oraz możliwości podglądu ekranów, jeżeli nie ma to związku z celem ich przebywania w tych pomieszczeniach (np. prace serwisowe).

3) Za nadzór nad osobami nieuprawnionymi odpowiadają osoby uprawnione.

4) Zalecane jest zapewnienie rozliczalności dostępu osób nieuprawnionych do pomieszczeń poprzez stosowanie elektronicznych systemów kontroli dostępu lub procedur manualnych (np. książka wejść do serwerowni).

Zasada zamykania pomieszczeń

1) Pomieszczenia serwerowni, węzłów sieci teleinformatycznych, inne pomieszczenia wydzielone ze względu na charakter wykonywanych zadań lub charakter przetwarzanych informacji muszą być bezwzględnie zamykane przy ich opuszczaniu. Zabronione jest pozostawianie takich pomieszczeń otwartych i bez nadzoru, gdy w tych pomieszczeniach przebywają osoby nieuprawnione.

2) Powyższa zasada dotyczy również pomieszczeń, w których zlokalizowane są urządzenia wspierające pracę serwerowni, np. elementy systemu klimatyzacji czy UPS.

Zasady nadzorowania dokumentów i ochrony nośników

1) Niniejszą zasadę należy łączyć z zasadą "czystego biurka".

2) Zabronione jest pozostawianie, bez zabezpieczenia i nadzoru nad nośnikiem informacji, dokumentów i nośników elektronicznych zawierających informacje wrażliwe lub informacje prawnie chronione.

3) Dokumenty i nośniki należy zabezpieczać przed ich utratą lub ujawnieniem zapisanych na nich informacji poprzez chowanie do zamykanych na klucz mebli biurowych lub przeznaczonych do tego celu szaf, sejfów, itp.

4) Dokumenty i nośniki zawierające informacje wrażliwe lub prawnie chronione należy zabezpieczać na czas transportu lub przekazywania poza pomieszczenia Inspektoratu np.: wysyłając pocztą, poprzez stosowanie szyfrowania całych nośników lub zawartych na nich informacji, stosowanie bezpiecznych kopert lub innych środków ochrony.

Zasady zachowania prywatności kont oraz poufności informacji uwierzytelniających

1) Wszelkie informacje uwierzytelniające pracownika/użytkownika (m.in.: karty dostępu, loginy, hasła, kody PIN, wzory zabezpieczające itp.) w systemach kontroli dostępu lub systemach stanowią informację wrażliwą i każdy pracownik/użytkownik jest zobowiązanych je chronić przed ich ujawnieniem innym osobom.

2) Pracownik lub użytkownik odpowiada za ujawnienie informacji uwierzytelniających jego dotyczących.

3) Zabronione są wszelkie formy udostępniania komukolwiek swoich informacji uwierzytelniających.

4) Zabronione jest wykorzystywanie cudzych informacji uwierzytelniających. W sytuacji uzyskania przez pracownika lub użytkownika dostępu do cudzych informacji uwierzytelniających, ma on obowiązek zgłosić incydent bezpieczeństwa.

5) Pracownik/użytkownik, który podejrzewa, że jego informacje uwierzytelniające mogły zostać ujawnione, zostały ujawnione lub wykorzystane przez kogoś innego, ma obowiązek zgłosić incydent bezpieczeństwa.

Zasada czystego kosza

1) Zabronione jest wyrzucanie do kosza wszelkich nośników elektronicznych. Nośniki takie muszą być zniszczone z wykorzystaniem przeznaczonych do tego urządzeń lub przekazane do BT w celu ich zniszczenia.

2) Nośniki optyczne należy niszczyć w przeznaczonych do tego celu niszczarkach dostępnych w przestrzeni ogólnej Inspektoratu - przed umieszczeniem nośnika optycznego w niszczarce należy upewnić się, że jest ona przeznaczona do niszczenia nośników optycznych, aby nie spowodować awarii urządzenia.

3) Inne nośniki danych, jak nośniki przenośne (m. in. dyski przenośne, pamięci USB, karty pamięci), dyski twarde - lub stałe (m. in. HDD, SSD,) należy przekazać do BT w celu ich zniszczenia lub przygotowania do ponownego wykorzystania, jeżeli nośnik się do tego nadaje technicznie.

4) Należy opróżniać zawartość kosza w systemie operacyjnym komputera. Rekomendowanym rozwiązaniem jest stosowanie ustawień automatycznego opróżniania kosza systemowego (np. zgodnie z ustawionym harmonogramem) lub ustawień uniemożliwiających przechowywanie plików w koszu systemowym.

Formalny obowiązek zachowania poufności informacji

1) Obowiązek zachowania poufności informacji przez pracowników należy zapewnić z uwzględnieniem zasad opisanych w PBI.

2) Powyższe dotyczy również praktykantów, stażystów, wolontariuszy oraz każdej innej osoby, która wykonuje w Inspektoracie jakiekolwiek prace i uzyskuje dostęp do systemów i/lub informacji przetwarzanych w jakiejkolwiek postaci.

3) Obowiązek zachowania poufności informacji przez podmioty zewnętrzne należy zapewnić w umowach, porozumieniach lub innych dokumentach regulujących współpracę, z uwzględnieniem zasad opisanych w PBI.

Obowiązek zgłaszania incydentów i naruszeń ochrony danych

1) Wszelkie zdarzenia wpływające na bezpieczeństwo systemów, bezpieczeństwo informacji lub ochronę danych osobowych należy zgłaszać zgodnie z procedurą określoną w PBI.

2) Powyższe dotyczy również sytuacji, w których zdarzenie jeszcze nie wystąpiło, ale jego wystąpienie (uwzględniając prawdopodobieństwo oraz łatwość wykorzystania podatności) może wpłynąć na bezpieczeństwo systemów, bezpieczeństwo informacji lub ochronę danych osobowych.

3) Powyższe obowiązki zgłaszania zdarzeń wpływających lub mogących wpłynąć na bezpieczeństwo systemów, bezpieczeństwo informacji lub ochronę danych osobowych należy obowiązkowo uwzględniać w umowach, porozumieniach lub innych dokumentach regulujących współpracę podmiotami zewnętrznymi, gdzie dochodzi do przetwarzania informacji, w tym w systemach.

1 https://www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyber

2 https://www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyber

3 Źródło: https://cert.pl/posts/2022/01/kompleksowo-o-haslach/

4 Haseł podanych w przykładach nie należy stosować z uwagi na ich ujawnienie do publicznej wiadomości.

5 Solenie hasła jest używane w połączeniu z mieszaniem. Kiedy solisz hasło, dodajesz losowe liczby całkowite i łańcuchy do każdego hasła, zanim je zaszyfrujesz. Sól to losowa, dość duża wartość generowana podczas korzystania z bezpiecznego generatora liczb losowych lub generatora losowych bitów. Sole są przechowywane z każdą wartością skrótu hasła na serwerze, tworząc w ten sposób unikalne wartości skrótu dla haseł. Pieprzenie hasła to technika ochrony haseł polegająca na dodaniu tajnego i losowego ciągu znaków do hasła, zanim zostanie ono zasolone i zaszyfrowane, aby uczynić je bezpieczniejszym. Ciąg znaków dodawany do hasła nazywa się pieprzem. Pieprz całkowicie zmienia hash hasła i czyni je odpornym na ataki siłowe i łamanie haseł przy użyciu tabel słowników i tęczowych tabel.

6 W przypadku chęci skorzystania z PGP należy zawnioskować o instalację oprogramowania do obsługi PGP w systemie zgłoszeń informatycznych.

7 https://www.cnil.fr/en/privacy-impact-assessment-pia

8 https://ec.europa.eu/newsroom/article29/items/611236

Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego.

Dz.Urz.GITD.2023.17

ZARZĄDZENIE Nr 17/2023 GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO z dnia 30 sierpnia 2023 r. w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego

ZAŁĄCZNIK Polityka Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego

CZĘŚĆ I: SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Rozdział 1 [Wprowadzenie]

Rozdział 2 [Struktura i obszary PBI]

Rozdział 3 [Zgodność z przepisami, normami i standardami]

Rozdział 4 [Odstępstwa i wyjątki]

Rozdział 5 [Dokumentacja SZBI]

CZĘŚĆ II: ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Rozdział 6 [Role i odpowiedzialność]

Rozdział 7 [Zarządzanie ryzykiem]

Rozdział 8 [Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

Rozdział 9 [Zarządzanie zasobami, wiedzą i kompetencjami]

Rozdział 10 [Zarządzanie komunikacją w ramach SZBI]

Rozdział 11 [Monitorowanie, pomiary, analiza i ocena]

Rozdział 12 [Audyt wewnętrzny]

Rozdział 13 [Przeglądy zarządzania]

Rozdział 14 [Niezgodności i działania korygujące]

Rozdział 15 [Zarządzanie incydentami bezpieczeństwa informacji]

Rozdział 16 [Ciągłe doskonalenie]

CZĘŚĆ III: ZAPEWNIENIE BEZPIECZEŃSTWA INFORMACJI

Rozdział 17 [Polityki bezpieczeństwa informacji]

Rozdział 18 [Organizacja bezpieczeństwa informacji]

Rozdział 19 [Urządzenia mobilne i praca na odległość]

Rozdział 20 [Bezpieczeństwo osobowe]

Rozdział 21 [Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

Rozdział 22 [Kontrola dostępu]

Rozdział 23 [Kryptografia]

Rozdział 24 [Bezpieczeństwo fizyczne i środowiskowe]

Rozdział 25 [Bezpieczna eksploatacja]

Rozdział 26 [Bezpieczeństwo komunikacji]

Rozdział 27 [Pozyskiwanie, rozwój i utrzymanie systemów]

Rozdział 28 [Relacje z podmiotami zewnętrznymi]

Rozdział 29 [Zarządzanie incydentami]

Rozdział 30 [Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania]

Rozdział 31 [Zgodność]

Rozdział 32 [Załączniki do PBI]

Załącznik Nr 1 Oświadczenie o zapoznaniu i zobowiązanie do przestrzegania zasad ochrony informacji określonych Polityką Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego

Załącznik Nr 2 Polityka Bezpieczeństwa Osobowego

Załącznik Nr 3 Polityka Bezpieczeństwa Fizycznego i Środowiskowego

Załącznik Nr 4 Polityka Bezpieczeństwa Teleinformatycznego

Wymagania i zasady dotyczące prowadzenia CMDB

Wymagania i zasady dotyczące zarządzania nośnikami elektronicznymi

Wymagania i zasady dotyczące użytkowania urządzeń mobilnych

Wymagania i zasady dotyczące użytkowania urządzeń przenośnych

Wymagania i zasady dotyczące bezpieczeństwa informacji przy pracy na odległość, w tym pracy zdalnej

Polityka korzystania z urządzeń prywatnych (BYOD)

Wymagania i zasady dotyczące informacji uwierzytelniających

Wymagania i zasady dotyczące kontroli dostępu

Wymagania i zasady dotyczące stosowania zabezpieczeń kryptograficznych

Wymagania i zasady dotyczące dokumentacji systemów

Wymagania i zasady dotyczące kopii zapasowych

Wymagania i zasady dotyczące rejestrowania zdarzeń oraz monitorowania

Wymagania i zasady dotyczące nadzoru nad sprzętem i oprogramowaniem

Przeglądy, konserwacje i naprawy sprzętu

Użytkowanie oprogramowania

Wycofywanie oprogramowania z eksploatacji

Instalowanie oprogramowania

Repozytoria nośników instalacyjnych i pakietów instalacyjnych oprogramowania

Aktualizowanie oprogramowania

Bezpieczne użytkowanie sprzętu i oprogramowania

Ochrona przed szkodliwym oprogramowaniem

Wymagania i zasady dotyczące zarządzania podatnościami technicznymi

Wymagania i zasady dotyczące bezpieczeństwa sieci teleinformatycznych

Wymagania i zasady dotyczące projektowania bezpiecznych systemów

Dopuszczenie systemu do eksploatacji

Prace związane z budową lub rozwojem systemów zlecane podmiotom zewnętrznym

Wymagania i zasady dotyczące danych testowych i środowisk

Zarządzanie zmianami w systemach

Wymagania i zasady dotyczące zarządzania ciągłością działania

Wymagania i zasady dotyczące zarządzania ciągłością realizacji zadań

Synchronizacja zegarów z wzorcowym źródłem czasu

Bezpieczeństwo okablowania

Bezpieczeństwo wideokonferencji

Wykaz systemów informatycznych i wspierających

Załącznik Nr 1 Część A

Załącznik Nr 5 Polityka Utrzymania Ciągłości Działania

Załącznik Nr 6 Polityka Zarządzania Incydentami

ZARZĄDZENIE Nr 17/2023

GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO

z dnia 30 sierpnia 2023 r.

w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego

ZAŁĄCZNIK

Polityka Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego

CZĘŚĆ I:

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Rozdział 1

[Wprowadzenie]

Rozdział 2

[Struktura i obszary PBI]

Rozdział 3

[Zgodność z przepisami, normami i standardami]

Rozdział 4

[Odstępstwa i wyjątki]

Rozdział 5

[Dokumentacja SZBI]

CZĘŚĆ II:

ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Rozdział 6

[Role i odpowiedzialność]

Rozdział 7

[Zarządzanie ryzykiem]

Rozdział 8

[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

Rozdział 9

[Zarządzanie zasobami, wiedzą i kompetencjami]

Rozdział 10

[Zarządzanie komunikacją w ramach SZBI]

Rozdział 11

[Monitorowanie, pomiary, analiza i ocena]

Rozdział 12

[Audyt wewnętrzny]

Rozdział 13

[Przeglądy zarządzania]

Rozdział 14

[Niezgodności i działania korygujące]

Rozdział 15

[Zarządzanie incydentami bezpieczeństwa informacji]

Rozdział 16

[Ciągłe doskonalenie]

CZĘŚĆ III:

ZAPEWNIENIE BEZPIECZEŃSTWA INFORMACJI

Rozdział 17

[Polityki bezpieczeństwa informacji]

Rozdział 18

[Organizacja bezpieczeństwa informacji]

Rozdział 19

[Urządzenia mobilne i praca na odległość]

Rozdział 20

[Bezpieczeństwo osobowe]

Rozdział 21

[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]

Rozdział 22

[Kontrola dostępu]

Rozdział 23

[Kryptografia]

Rozdział 24

[Bezpieczeństwo fizyczne i środowiskowe]

Rozdział 25

[Bezpieczna eksploatacja]

Rozdział 26

[Bezpieczeństwo komunikacji]

Rozdział 27

[Pozyskiwanie, rozwój i utrzymanie systemów]

Rozdział 28

[Relacje z podmiotami zewnętrznymi]

Rozdział 29

[Zarządzanie incydentami]

Rozdział 30

[Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania]

Rozdział 31

[Zgodność]

Rozdział 32

[Załączniki do PBI]

Załącznik Nr 1

Oświadczenie o zapoznaniu i zobowiązanie do przestrzegania zasad ochrony informacji określonych Polityką Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego

Załącznik Nr 2

Polityka Bezpieczeństwa Osobowego

Załącznik Nr 3

Polityka Bezpieczeństwa Fizycznego i Środowiskowego

Załącznik Nr 4

Polityka Bezpieczeństwa Teleinformatycznego

Załącznik Nr 1

Część A

Załącznik Nr 5

Polityka Utrzymania Ciągłości Działania

Załącznik Nr 6

Polityka Zarządzania Incydentami

Załącznik Nr 1

Instrukcja zabezpieczania materiału dowodowego z komputerów

Załącznik Nr 2

PROTOKÓŁ ZABEZPIECZENIA MATERIAŁU DOWODOWEGO

Załącznik Nr 7

Polityka Ochrony Danych Osobowych

Załącznik Nr 1

KLAUZULA INFORMACYJNA - ZATRUDNIENIE

Załącznik Nr 2

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik Nr 3

OŚWIADCZENIE O ZAPOZNANIU Z ZASADAMI MONITORINGU SŁUŻBOWEJ POCZTY ELEKTRONICZNEJ ORAZ KOMPUTERÓW SŁUŻBOWYCH I SIECI

Załącznik Nr 4

Umowa powierzenia przetwarzania danych osobowych (RODO)

Załącznik Nr 5

Szablon rejestru zgód na przetwarzanie danych osobowych

Załącznik Nr 6

Wzór rejestru czynności przetwarzania - administrator

Załącznik Nr 8

Polityka Bezpieczeństwa Relacji z Podmiotami Zewnętrznymi

Załącznik Nr 9

Przykładowy wzór udokumentowanego wyznaczenia osoby do pełnienia roli ASI / AMS

Załącznik Nr 10

Polityka Klasyfikacji i Postępowania z Informacjami