Wyznaczenie administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych.
B.I.LP.2002.12.100
Akt obowiązującyDECYZJA Nr 174
DYREKTORA GENERALNEGO LASÓW PAŃSTWOWYCH
z dnia 18 listopada 2002 r.
w sprawie wyznaczenia administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych.
Na podstawie art. 33 ust. 1 ustawy o lasach z dnia 28 września 1991 r. oraz § 6 Statutu Państwowego Gospodarstwa Leśnego Lasy Państwowe, stanowiącego załącznik do zarządzenia nr 50 Ministra Ochrony Środowiska, Zasobów Naturalnych i Leśnictwa z dnia 18 maja 1994 r. w związku z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133 poz. 883) oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80 poz. 521), postanawiam co następuje:
A - Panią Ewę Murawską zatrudnioną w Wydziale Informatyki Dyrekcji Generalnej Lasów Państwowych na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych w systemie informatycznym Lasów Państwowych,
B - Panią Agnieszkę Grzegorczyk zatrudnioną w Wydziale Kadr i Szkoleń Dyrekcji Generalnej Lasów Państwowych na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych zawartych w teczkach osobowych, kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
- przeciwdziałanie dostępowi osób niepowołanych do systemu i zbiorów;
- podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w zakresie przechowywania i przetwarzania danych osobowych.
ZAŁĄCZNIK Nr 1
Instrukcja określająca sposób zarządzania systemem informatycznym w zakresie ochrony danych osobowych.
Instrukcja określająca sposób zarządzania systemem informatycznym w zakresie ochrony danych osobowych.
- zbiorze danych - rozumie się, każdy posiadający strukturę zestaw danych o charakterze osobowym,
- przetwarzaniu danych - rozumie się przez to, jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie itp.
- danych osobowych - rozumie się przez to, każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby,
- użytkowniku - rozumie się przez to osobę upoważnioną do dostępu i przetwarzania danych osobowych,
- administratorze sieci - rozumie się przez to osobę upoważnioną do zarządzania siecią informatyczną,
- administratorze - rozumie się przez to wyznaczonego przez Dyrektora Generalnego Lasów Państwowych, administratora bezpieczeństwa informacji odpowiedzialnego za bezpieczeństwo danych osobowych,
- systemie informatycznym - należy przez to rozumieć, system przetwarzania danych w SILP wraz ze związanymi z nimi ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje,
- zabezpieczeniu systemu informatycznego - należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą,
- dyrektorze - należy przez to rozumieć Dyrektora Generalnego Lasów Państwowych.
- nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,
- zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo wprzetwarzania danych osobowych,
- dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem,
- nadzorowanie napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe,
- zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany,
- nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny,
- podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego,
- analiza sytuacji i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych.
ZAŁĄCZNIK Nr 2
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Dyrekcji Generalnej Lasów Państwowych
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Dyrekcji Generalnej Lasów Państwowych
- fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nie uprawnionej,
- wylogować użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych,
- zmianę hasła na konto administratora bezpieczeństwa informacji i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania,
- zamknięcie i opieczętowanie urządzeń, w których przechowywane są dane osobowe w formie analogowej.