Wyznaczenie administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych.

Dzienniki resortowe

B.I.LP.2002.12.100

Akt obowiązujący
Wersja od: 18 listopada 2002 r.

DECYZJA Nr 174
DYREKTORA GENERALNEGO LASÓW PAŃSTWOWYCH
z dnia 18 listopada 2002 r.
w sprawie wyznaczenia administratorów bezpieczeństwa informacji, odpowiedzialnych za bezpieczeństwo danych osobowych.

GK-1241-4/02

Na podstawie art. 33 ust. 1 ustawy o lasach z dnia 28 września 1991 r. oraz § 6 Statutu Państwowego Gospodarstwa Leśnego Lasy Państwowe, stanowiącego załącznik do zarządzenia nr 50 Ministra Ochrony Środowiska, Zasobów Naturalnych i Leśnictwa z dnia 18 maja 1994 r. w związku z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. Nr 133 poz. 883) oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80 poz. 521), postanawiam co następuje:

§  1.
1.
Wyznaczam w Dyrekcji Generalnej Lasów Państwowych na administratorów bezpieczeństwa informacji, zwanych dalej "administratorami", następujących pracowników:

A - Panią Ewę Murawską zatrudnioną w Wydziale Informatyki Dyrekcji Generalnej Lasów Państwowych na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych w systemie informatycznym Lasów Państwowych,

B - Panią Agnieszkę Grzegorczyk zatrudnioną w Wydziale Kadr i Szkoleń Dyrekcji Generalnej Lasów Państwowych na administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych zawartych w teczkach osobowych, kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

2.
Za bezpieczeństwo danych osobowych, zawartych w zarejestrowanych zbiorach danych osobowych, zgłoszonych przez poszczególne wydziały w DGLP, odpowiedzialni są naczelnicy tych wydziałów.
§  2.
Do zadań administratorów należy między innymi:

- przeciwdziałanie dostępowi osób niepowołanych do systemu i zbiorów;

- podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w zakresie przechowywania i przetwarzania danych osobowych.

§  3.
1.
Sposób zabezpieczenia danych osobowych w systemie informatycznym zawiera "Instrukcja określająca sposób zarządzania systemem informatycznym w zakresie ochrony danych osobowych" stanowiąca załącznik nr 1 do decyzji.
2.
Tryb postępowania w przypadku wykrycia naruszeń w zakresie przetwarzania danych osobowych określa "Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych", stanowiąca załącznik nr 2 do decyzji.
§  4.
W sprawach nie uregulowanych w niniejszej decyzji wraz z załącznikami mają zastosowanie przepisy zawarte w ustawie i rozporządzeniu Ministra Spraw Wewnętrznych i Administracji cytowanych na wstępie.
§  5.
Decyzja wchodzi w życie z dniem podpisania.
ZAŁĄCZNIKI

ZAŁĄCZNIK  Nr 1

Instrukcja określająca sposób zarządzania systemem informatycznym w zakresie ochrony danych osobowych.

§  1.
Instrukcja określa ogólne zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w systemie informatycznym oraz przetwarzania danych osobowych zawartych w innych zbiorach w Dyrekcji Generalnej Lasów Państwowych
§  2.
Ilekroć w instrukcji jest mowa o:

- zbiorze danych - rozumie się, każdy posiadający strukturę zestaw danych o charakterze osobowym,

- przetwarzaniu danych - rozumie się przez to, jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie itp.

- danych osobowych - rozumie się przez to, każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby,

- użytkowniku - rozumie się przez to osobę upoważnioną do dostępu i przetwarzania danych osobowych,

- administratorze sieci - rozumie się przez to osobę upoważnioną do zarządzania siecią informatyczną,

- administratorze - rozumie się przez to wyznaczonego przez Dyrektora Generalnego Lasów Państwowych, administratora bezpieczeństwa informacji odpowiedzialnego za bezpieczeństwo danych osobowych,

- systemie informatycznym - należy przez to rozumieć, system przetwarzania danych w SILP wraz ze związanymi z nimi ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje,

- zabezpieczeniu systemu informatycznego - należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą,

- dyrektorze - należy przez to rozumieć Dyrektora Generalnego Lasów Państwowych.

§  3.
1.
Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych mogą być dopuszczone osoby posiadające w zakresie obowiązków dane czynności zatwierdzone przez dyrektora.
2.
Do pracy przy przetwarzaniu danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie dyrektora.
§  4.
Wyznaczeni przez Dyrektora Generalnego Lasów Państwowych administratorzy odpowiadają za bezpieczeństwo danych osobowych w systemie informatycznym i danych osobowych zawartych w innych zbiorach, a w szczególności za:

- nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe,

- zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo wprzetwarzania danych osobowych,

- dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem,

- nadzorowanie napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe,

- zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany,

- nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny,

- podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego,

- analiza sytuacji i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych.

§  5.
1.
Przebywanie osób nieuprawnionych do dostępu do danych osobowych w obszarze przetwarzania danych jest dopuszczalne tylko w obecności osoby zatrudnionej i upoważnionej do przetwarzania danych.
2.
Pomieszczenia, w których przetwarzane są dane osobowe powinny być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych, w sposób uniemożliwiający dostęp do nich.
§  6.
1.
Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, administrator sieci ustala odrębny identyfikator i hasło.
2.
Hasło użytkowników należy zmieniać nie rzadziej jak jeden raz na miesiąc.
3.
Dostęp do danych osobowych przetwarzanych w systemie może odbywać się wyłącznie po podaniu identyfikatora i właściwego hasła.
4.
Identyfikator, o którym mowa wyżej wpisuje się do ewidencji określonej w art. 39 ust. 1 ustawy o ochronie danych osobowych wraz z imieniem i nazwiskiem użytkownika oraz rejestruje w systemie informatycznym
5.
Identyfikatory, które utraciły ważność należy wyrejestrować, a ich hasła unieważnić.
§  7.
1.
W przypadku konieczności udostępnienia danych osobowych, administrator udostępnia posiadane w zbiorze dane osobowe, osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
2.
Dane osobowe mogą być udostępnione innym osobom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
3.
Dane osobowe udostępnia się na pisemny wniosek, chyba, że przepis innej ustawy stanowi inaczej.
4.
Udostępnione dane osobowe można wykorzystywać wyłącznie zgodnie z przeznaczeniem dla którego zostały udostępnione.
§  8.
Postanowienia instrukcji dotyczą w odpowiednim zakresie również postępowania przy przetwarzaniu danych osobowych zgromadzonych w formie katalogów, teczek itp.

ZAŁĄCZNIK  Nr 2

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Dyrekcji Generalnej Lasów Państwowych

§  1.
Instrukcja jest przeznaczona dla osób zatrudnionych przy przetwarzaniu danych osobowych.
§  2.
Instrukcja określa tryb postępowania w przypadku gdy:
1)
stwierdzono naruszenie zabezpieczenia systemu informatycznego lub naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie.
2)
stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.
§  3.
1.
Każda osoba zatrudniona w Dyrekcji Generalnej Lasów Państwowych, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób), powinna niezwłocznie poinformować o tym osobę zatrudnioną przy przetwarzaniu danych osobowych lub administratora bezpieczeństwa informacji, albo inna upoważnioną przez niego osobę.
2.
Osoba zatrudniona przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych, zobowiązana jest niezwłocznie powiadomić o tym administratora bezpieczeństwa informacji.
§  4.
1.
Dane osobowe zostają ujawnione, gdy stają się znane w całości lub części pozwalającej na określenie osobom nie uprawnionym tożsamości osoby, której dane dotyczą.
2.
W stosunku do danych, które zostały zagubione, pozostawione bez nadzoru poza obszarem bezpieczeństwa należy przeprowadzić postępowanie wyjaśniające, czy dane osobowe należy uznać za ujawnione.
§  5.
Administrator bezpieczeństwa informacji, po uzyskaniu sygnału o naruszeniu danych osobowych, powinien w pierwszej kolejności:
1)
zapisać wszelkie informacje związane z danym zdarzeniem,
2)
na bieżąco wygenerować i wydrukować wszystkie możliwe dokumenty i raporty, które mogą pomóc w ustaleniu okoliczności zdarzenia,
3)
przystąpić do zidentyfikowania rodzaju zaistniałego zdarzenia, zwłaszcza do określenia skali zniszczeń i metody dostępu do danych osoby niepowołanej,
4)
wyniki postępowania zabezpieczającego oraz okoliczności naruszenia bezpieczeństwa danych osobowych należy ująć w raporcie i niezwłocznie przekazać Dyrektorowi Generalnemu LP.
§  6.
Niezwłocznie po uzyskaniu informacji o naruszeniu danych osobowych należy podjąć działania w celu powstrzymania lub ograniczenia dostępu do danych przez osoby niepowołane, poprzez:

- fizyczne odłączenie urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie nie uprawnionej,

- wylogować użytkownika podejrzanego o naruszenie zabezpieczenia ochrony danych,

- zmianę hasła na konto administratora bezpieczeństwa informacji i użytkownika, poprzez które uzyskano nielegalny dostęp w celu uniknięcia ponownej próby włamania,

- zamknięcie i opieczętowanie urządzeń, w których przechowywane są dane osobowe w formie analogowej.

§  7.
Po wyeliminowaniu bezpośredniego zagrożenia należy przeprowadzić analizę stanu zabezpieczenia danych osobowych, w celu potwierdzenia lub wykluczenia faktu ponownego naruszenia ochrony danych.
§  8.
1.
Po dokonaniu czynności zabezpieczenia danych osobowych i ustaleniu przyczyn naruszenia ochrony danych osobowych należy niezwłocznie przywrócić normalny stan działania
2.
Po przywróceniu prawidłowego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę, w celu określenia przyczyna naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
3.
Jeżeli przyczyną zdarzenia był błąd osoby zatrudnionej przy przetwarzaniu danych osobowych, należy przeprowadzić dodatkowe szkolenie osób biorących udział przy przetwarzaniu danych osobowych.
§  9.
Administrator bezpieczeństwa informacji przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia oraz w terminie 7 dni przekazuje go Dyrektorowi Generalnemu Lasów Państwowych.
§  10.
W zakresie nieuregulowanym niniejszą instrukcją, stosuje się odpowiednie przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. NR 80, poz. 521).
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .