Rozdział 1
Postanowienia ogólne

 

§ 1.

Instrukcja Zarządzania Systemem Informatycznym, zwana dalej ,,Instrukcją”, określa zasady i tryb postępowania przy przetwarzaniu danych osobowych w systemie informatycznym w BART Zdunek Bartosz z siedzibą w Olsztynie, 10-014, przy ul. Waleriana Łukasińskiego 1/1, , NIP 9561641994, REGON: 280082498, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej

 

§ 2.

 

  1. Użyte w Instrukcji określenia oznaczają:                                                                                  
    • Administrator Danych - BART Zdunek Bartosz
    • Użytkownik - osobę upoważnioną do przetwarzania danych osobowych
    • Administrator Bezpieczeństwa Informacji - osobę odpowiedzialną za nadzór nad zapewnieniem bezpieczeństwa danych osobowych
    • Administrator Systemu u Beneficjenta - osobę odpowiedzialną za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego, o ile zadanie te zostały wyłączone z zakresu kompetencji Administratora Bezpieczeństwa Informacji i powierzone przez osobę upoważnioną do podejmowania decyzji u Beneficjenta innemu pracownikowi;

 

Rozdział 2
Przydział haseł i identyfikatorów

 

§ 3.

Dla każdego użytkownika jest ustalany odrębny identyfikator i hasło dostępu do SYSTEMU INFORMATYCZNEGO.

 

§ 4.

Identyfikator użytkownika:

  1. jest niepowtarzalny, a po wyrejestrowaniu użytkownika z SYSTEMU INFORMATYCZNEGO nie jest przydzielany innej osobie;
  2. jest wpisywany do rejestru osób upoważnionych do przetwarzania danych osobowych, zgodnie z § 9, wraz z imieniem i nazwiskiem użytkownika.

 

§ 5.

Hasło użytkownika:

  1. jest przydzielane indywidualnie dla każdego z użytkowników;
  2. nie jest zapisane w systemie komputerowym w postaci jawnej.

 

§ 6.

  1. Osobą odpowiedzialną za przydział identyfikatorów i pierwszych haseł dla użytkowników jest Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu u Beneficjenta, o ile został powołany.

 

§ 7.

Przydziału i zmiany haseł dokonuje się w następujący sposób:

  1. hasła powinny mieć co najmniej osiem znaków i muszą zawierać małe i wielkie litery oraz cyfry lub znaki specjalne;
  2. hasła nie powinny składać się z kombinacji znaków mogących ułatwić ich odgadnięcie lub odszyfrowanie przez osoby nieuprawnione (np.: imię, nazwisko użytkownika);
  3. hasło powinno zostać zmienione niezwłocznie w przypadku powzięcia podejrzenia lub stwierdzenia, że mogły się z nim zapoznać osoby trzecie.

 

§ 8.

  1. Użytkownik jest odpowiedzialny za wszystkie czynności wykonane przy użyciu identyfikatora, który został mu przyznany.
  2. Użytkownik jest zobowiązany utrzymywać hasło, którym się posługuje lub posługiwał, w ścisłej tajemnicy, w szczególności dołożyć wszelkich starań w celu uniemożliwienia zapoznania się przez osoby trzecie z hasłem, nawet po ustaniu jego ważności.

 

Rozdział 3
Rejestrowanie i wyrejestrowywanie użytkowników

 

§ 9.

  1. Rejestracji i wyrejestrowywania użytkowników dokonuje Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.
  3. Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO prowadzi rejestr użytkowników, który stanowi załącznik nr 1 do Polityki Bezpieczeństwa
  4. Jakakolwiek zmiana informacji ujawnionych w rejestrze podlega natychmiastowemu odnotowaniu i uaktualnieniu.

 

§ 10.

W SYSTEMIE INFORMATYCZNYM może zostać zarejestrowany jedynie użytkownik, któremu osoba upoważniona do tego osoba wydała upoważnienie do przetwarzania danych osobowych w SYSTEMIE INFORMATYCZNYM

 

§ 11.

  1. Po zarejestrowaniu w SYSTEMIE INFORMATYCZNYM użytkownik jest informowany przez Administratora Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO o ustalonym dla niego identyfikatorze i konieczności posługiwania się hasłami.
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.
  3. Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO jest odpowiedzialny za zapoznanie każdego nowego użytkownika z Instrukcją oraz Polityką Bezpieczeństwa, a także z przepisami dotyczącymi ochrony danych osobowych, co użytkownik potwierdza swoim podpisem na liście, stanowiącej załącznik nr 3 do Polityki Bezpieczeństwa.

 

§ 12.

Użytkownik jest wyrejestrowywany z SYSTEMU INFORMATYCZNEGO w każdym przypadku utraty przez niego uprawnień do przetwarzania danych osobowych w SYSTEMIE INFORMATYCZNYM, co ma miejsce szczególnie w przypadku:

  1.    ustania zatrudnienia tego użytkownika u Beneficjenta lub zakończeniu przez tego użytkownika współpracy z Beneficjentem na podstawie umowy cywilno-prawnej;
  2.    zmiany zakresu obowiązków użytkownika powodujących utratę uprawnień do przetwarzania danych osobowych w SYSTEMIE INFORMATYCZNYM

 

Rozdział 4
Rozpoczęcie, zawieszenie i zakończenie pracy w SYSTEMIE INFORMATYCZNYM

 

§ 13.

Użytkownik rozpoczynając pracę jest zobowiązany zalogować się do SYSTEMU INFORMATYCZNEGO posługując się swoim identyfikatorem i hasłem.

 

§ 14.

  1.  W przypadku, gdy użytkownik planuje przerwać pracę, jest zobowiązany do zabezpieczenia dostępu do komputera za pomocą wygaszacza ekranu z aktywnym hasłem.
  2.      W przypadku, gdy użytkownik planuje przerwać pracę na dłuższy okres, a także kończąc pracę, jest zobowiązany wylogować się z SYSTEMU INFORMATYCZNEGO oraz sprawdzić, czy nie zostały pozostawione bez zamknięcia nośniki zawierające dane osobowe.

§ 15.

  1. W przypadku stwierdzenia przez użytkownika naruszenia zabezpieczenia SYSTEMU INFORMATYCZNEGO lub zauważenia, że stan sprzętu komputerowego, zawartość zbioru danych osobowych w SYSTEMIE INFORMATYCZNYM, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą  wskazywać na naruszenie bezpieczeństwa danych osobowych w SYSTEMIE INFORMATYCZNYM użytkownik jest zobowiązany niezwłocznie poinformować o tym Administratora Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO oraz Administratora Systemu, o ile został powołany.
  2. O każdym przypadku naruszenia zabezpieczenia SYSTEMU INFORMATYCZNEGO
  3. Rozpoczynając pracę użytkownik powinien zwrócić szczególną uwagę na oko1iczności, o których mowa w ust. 1.

 

Rozdział 5
Tworzenie oraz przechowywanie kopii awaryjnych

 

§ 16.

  1. Za tworzenie i przechowywanie kopii awaryjnych danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM w sposób zgodny z przepisami prawa oraz poniższymi procedurami jest odpowiedzialny Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.

§ 17.

  1. Kopie awaryjne danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM są tworzone nie rzadziej niż raz na kwartał i zawierają pełny obraz danych osobowych w SYSTEMIE INFORMATYCZNYM
  2. Kopie o których mowa w ust. 1 przechowuje się odpowiednio zabezpieczone przed dostępem osób nieuprawnionych w różnych miejscach, w tym w lokalizacjach innych niż zbiór danych osobowych eksploatowany na bieżąco.

 

§ 18.

  1. Kopie awaryjne danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM po ustaniu ich użyteczności są bezzwłocznie usuwane.
  2. Kopie awaryjne danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM, które uległy uszkodzeniu, podlegają natychmiastowemu zniszczeniu.

 

Rozdział 6
Ochrona SYSTEMU INFORMATYCZNEGO przed wrogim oprogramowaniem

 

§19.

Bieżące i bezpośrednie sprawdzanie obecności wirusów komputerowych, koni trojańskich, robaków komputerowych, oprogramowania szpiegującego i kradnącego hasła odbywa się przy zastosowaniu zainstalowanego na każdej stacji roboczej aktualizowanego na bieżąco programu antywirusowego automatycznie monitorującego występowanie wirusów, koni trojańskich, robaków komputerowych, oprogramowania szpiegującego, oprogramowania kradnącego hasła podczas operacji na plikach;

 

§ 20.

  1. Nadzór nad instalowaniem oprogramowania antywirusowego oraz nad bieżącą jego aktualizacją sprawuje Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.

 

§ 21.

  1. O każdorazowym wykryciu wirusa lub konia trojańskiego przez oprogramowanie monitorujące użytkownik jest zobowiązany niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO. Po usunięciu wirusa lub innego niebezpiecznego oprogramowania Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO, sprawdza SYSTEM INFORMATYCZNY oraz przywraca go do pełnej funkcjonalności i sprawności.
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.

 

 

§ 22.

  1. W ramach ochrony przed wrogim oprogramowaniem Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO stosuje logiczne lub fizyczne urządzenia firewall.
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.

 

 

§ 23.

Dyski lub inne informatyczne nośniki zawierające dane osobowe przetwarzane w SYSTEMIE INFORMATYCZNYM są przechowywane w sposób uniemożliwiający dostęp do nich osobom innym niż użytkownicy.

 

§ 24.

  1. Żadne nośniki informacji zawierające dane osobowe nie są udostępniane poza obszar, w którym są przetwarzane dane osobowe.

 

Rozdział 7
Przeglądy i konserwacja SYSTEMU INFORMATYCZNEGO, sprzętu komputerowego oraz zbioru danych osobowych

 

§ 25.

  1. .Przeglądy i konserwacje sprzętu komputerowego wynikające ze zużycia sprzętu oraz warunków zewnętrznych i eksploatacji, z uwzględnieniem ważności sprzętu dla funkcjonowania SYSTEMU INFORMATYCZNEGO, są dokonywane przez Administratora Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO u Beneficjenta.
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu u Beneficjenta, o ile został powołany.

 

§ 26.

  1. Dyski lub inne informatyczne nośniki informacji umieszczone w urządzeniach przeznaczonych do napraw, gdzie jest wymagane zaangażowanie zewnętrznych firm serwisowych, usuwa się z tych urządzeń lub pozbawia się przed naprawą zapisu danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM.
  2. W przypadku niemożliwości usunięcia nośnika lub pozbawienia go zapisu tych danych osobowych naprawy dokonuje się pod nadzorem Administratora Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO.
  3. Nadzór opisany w ust. 2 sprawuje Administrator Systemu, o ile został powołany.

 

§ 27.

  1. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przetwarzane w SYSTEMIE INFORMATYCZNYM, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
  2. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe przetwarzane w SYSTEMIE INFORMATYCZNYM, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych osobowych, pozbawia się wcześniej ich zapisu.

 

Rozdział 8
Postępowanie w zakresie komunikacji w sieci komputerowej

 

§ 28.

Dostęp do danych osobowych przetwarzanych w SYSTEMIE INFORMATYCZNYM jest dozwolony jedynie po właściwym zalogowaniu się i podaniu własnego hasła użytkownika.

 

Rozdział 9
Wymagania sprzętowo-organizacyjne

 

§ 29.

  1. Użytkownicy są zobowiązani do ustawienia ekranów monitorów w taki sposób, aby uniemożliwić osobom postronnym wgląd lub spisanie zawartości aktualnie wyświetlanej na ekranie monitora.

 

 

§ 30.

Osoby nieuprawnione do dostępu do danych osobowych w SYSTEMIE INFORMATYCZNYM mogą przebywać w pomieszczeniach, w których są przetwarzane dane osobowe w SYSTEMIE INFORMATYCZNYM wyłącznie w obecności co najmniej jednego użytkownika odpowiedzialnego za te osoby.

§ 31.

  1. Decyzję o instalacji na stacji roboczej obsługującej przetwarzanie danych osobowych w SYSTEMIE INFORMATYCZNYM jakiegokolwiek oprogramowania systemowego lub użytkowego podejmuje Administrator Bezpieczeństwa Informacji SYSTEMU INFORMATYCZNEGO
  2. Czynności opisane w ust. 1 wykonuje Administrator Systemu, o ile został powołany.

 

Rozdział 10
Postanowienia końcowe

 

§ 32.

Do spraw nieuregulowanych w Instrukcji stosuje się przepisy o ochronie danych osobowych.

 

 

§ 33.

Instrukcja nie wyłącza stosowania innych instrukcji dotyczących zabezpieczenia SYSTEMU INFORMATYCZNEGO.

Pliki do pobrania: