1.  Pojęcia

1.1.      Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

1.2.     Dane osobowe – za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

1.3.      Zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

1.4.     Integralność danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

1.5.     Poufność danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.

1.6.     Szkoła – Szkoła Podstawowa nr 2 im. Jana Wyplera w Rudzie Śląskiej

 1.7.     Przetwarzanie danych – rozumie się przez to czynności takie jak  zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie oraz usuwanie, a zwłaszcza te, które wykonują się w systemach informatycznych.

1.8.     Uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

1.9.     Identyfikator użytkownika – rozumie się przez to ciąg znaków  literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.

 1.10.   Hasło – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

 1.11.   System informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

 1.12.       Administrator Danych Osobowych – Dyrektor Jednostki.

 1.13.       Administrator Bezpieczeństwa Informacji –  Dyrektor Jednostki.

2. Instrukcja Zarządzania Systemem Informatycznym

2.1. Uprawnienia do przetwarzania danych – nadawanie oraz rejestracja w systemie.

1)     Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, wydane przez  Administratora Danych Osobowych,

2)     upoważnienia do przetwarzania danych osobowych, o których mowa w pkt. 1.2. przechowywane są w teczkach akt osobowych pracowników oraz prowadzona jest ich ewidencja,

3)     dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora użytkownika i właściwego hasła,

4)     dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, Administrator Bezpieczeństwa Informacji ustala niepowtarzalny identyfikator i hasło początkowe,

5)     identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie,

6)     identyfikator osoby, która utraciła uprawnienia dostępu do danych osobowych, należy niezwłocznie wyrejestrować z systemu informatycznego, unieważnić jej hasło, oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym odpowiedzialny jest Administrator Bezpieczeństwa Informacji,

7)     Administrator Bezpieczeństwa Informacji lub osoba przez niego upoważniona przekazując użytkownikowi identyfikator i hasło przeprowadza szkolenie z zakresu pracy w systemie informatycznym oraz bezpieczeństwa danych w systemie informatycznym.

2.2 Uwierzytelnianie – metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem.

1)     Dane osobowe przetwarzane są w szkole z użyciem komputerów,

2)     hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane nie rzadziej niż 30 dni,

3)     hasło powinno zawierać małe i duże litery oraz ciąg znaków alfanumerycznych i specjalnych,

4)     hasło nie może zawierać żadnych informacji, które można łatwo skojarzyć z użytkownikiem komputera np. osobiste dane użytkownika (tj. nazwisko, inicjały, imiona). Ponadto zakazuje się zapisywania hasła w miejscu dostępnym dla osób nieuprawnionych. Użytkownik nie może udostępniać nikomu swojego hasła bądź identyfikatora,

5)     hasło użytkownika stosowane do uwierzytelniania w systemie informatycznym należy utrzymywać w tajemnicy nawet po upływie jego ważności,

6)     na stanowiskach komputerowych należących do systemu informatycznego w których nie występuje automatyczne wymuszenie zmiany hasła, powinno być ono zmieniane przez użytkownika nie rzadziej niż co 30 dni,

7)     stanowiska komputerowe, na których nie można skonfigurować zabezpieczenia w postaci wymaganego podania identyfikatora i hasła, bądź też zabezpieczenia te mogą okazać się nieskuteczne stosuje się dodatkowe zabezpieczenie w postaci hasła BIOS-u,

8)     wprowadzanie hasła jest czynnością poufną, podczas wprowadzania hasło nie może pojawiać się na ekranie monitora w postaci jawnej,

9)     raz użyty identyfikator nie może być przydzielony innemu użytkownikowi,

10)  nowy użytkownik przy przystępowaniu do pracy w systemie otrzymuje identyfikator oraz hasło początkowe, które zobowiązany jest zmienić na tylko sobie znane. Administrator Bezpieczeństwa Informacji zobowiązany jest wymusić w systemie zmianę hasła bądź dopilnować aby użytkownik sam zainicjował zmianę hasła,

11)  w przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów powiadomić o tym fakcie Administratora Bezpieczeństwa Informacji,

2.3. Procedury rozpoczęcia, zawieszenia oraz zakończenia pracy.

1)     Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu),

2)     rozpoczęcie pracy w aplikacji musi być przeprowadzone zgodnie z instrukcją zawartą w dokumentacji aplikacji,

3)     zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu opcji jego zamknięcia zgodnie z instrukcją zawartą w dokumentacji,

4)     użytkownik ma obowiązek wylogowania się bądź zablokowania dostępu do systemu w przypadku zaplanowanej dłuższej nieobecności na stanowisku pracy. Niedopuszczalne jest pozostawienie stanowiska komputerowego z uruchomionym i dostępnym systemem bez nadzoru uprawnionego użytkownika pracującego na nim,

5)     w przypadku braku aktywności ze strony użytkownika przez czas ok. 5 minut system automatycznie blokuje dostęp. Przywrócenie dostępu wymaga ponownego podania hasła (hasło wygaszacza ekranu),

6)     monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upoważnień do przetwarzania danych osobowych,  a na których przetwarzane są dane osobowe należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w dane,

7)     przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym przetwarzane są dane osobowe jest dozwolone tylko w obecności osób uprawnionych do ich przetwarzania, bądź za wiedzą i zgodą Administratora Bezpieczeństwa Informacji,

8)     pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać na czas nieobecności osób uprawnionych, uniemożliwiając dostęp osobom trzecim,

9)     w przypadku braku możliwości zalogowania się do systemu należy niezwłocznie poinformować Administratora Bezpieczeństwa Informacji,

10)  w przypadku stwierdzenia lub podejrzenia fizycznej ingerencji w przetwarzane dane osobowe lub używane narzędzia programowe lub sprzętowe należy niezwłocznie zaprzestać używania sprzętu a następnie powiadomić Administratora Bezpieczeństwa Informacji.

2.4. Sposoby zabezpieczania urządzeń systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

1)     Zbiory danych osobowych przetwarzane w szkole narażone są na szkodliwe działanie wirusów komputerowych oraz złośliwego oprogramowanie typu malware, spyware, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. W związku z istniejącymi zagrożeniami konieczna jest ochrona sieci komputerowej oraz stanowisk komputerowych,

2)     wirusy komputerowe oraz złośliwe oprogramowanie mogą pojawić się w systemach gimnazjum poprzez: Internet, nośniki informacji takie jak: dyskietki, płyty CD/DVD, pamięci typu flash oraz dyski przenośne itp.,

3)     komputery pracujące w szkole muszą posiadać zainstalowany program antywirusowy oraz oprogramowanie i mechanizmy zabezpieczające, przed nieautoryzowanym dostępem z sieci publicznej takie jak zapora sieciowa,

4)     przeciwdziałanie zagrożeniom wymienionym w pkt. 1 realizowane jest następująco:

a)     komputer z dostępem do Internetu musi być zabezpieczony za pomocą aktywnej programu antywirusowego

b)     zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz w tygodniu dokonywał aktualizacji bazy wirusów oraz co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych,

c)      elektroniczne nośniki informacji takie jak dyskietki, dyski przenośne,  należy każdorazowo sprawdzać programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do  Administratora Bezpieczeństwa Informacji,

d)     komputery i systemy pracujące  muszą mieć zainstalowany program antywirusowy a w przypadku komputerów z dostępem do Internetu, również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci, za pomocą aktywnej zapory sieciowej,

e)    w przypadku, gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie skontaktować się z  Administratorem Bezpieczeństwa Informacji,

f)       przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od „nie zaufanych” i nieznanych nadawców,

5)    zabrania się użytkownikom komputerów blokowania, wyłączania oraz odinstalowywania programów zabezpieczających komputer przed złośliwym oprogramowaniem (program antywirusowy) oraz nieautoryzowanym dostępem z sieci, za pomocą aktywnej zapory sieciowej.

2.5. Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi służących do ich przetwarzania.

     1)  Zbiory danych w systemie informatycznym są zabezpieczone przed utratą lub uszkodzeniem za pomocą:

a)     urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej,

b)     sporządzania kopii zapasowych zbiorów danych (kopie pełne),

2)     za tworzenie kopii bezpieczeństwa Systemu Informatycznego odpowiedzialny jest Administrator Bezpieczeństwa Informacji lub osoba wyznaczona przez niego,

3)     pełne kopie zapasowe zbiorów danych są tworzone co najmniej raz na kwartał, kopie przyrostowe w razie potrzeby wykonywane są częściej,

4)     w szczególnych przypadkach – przed aktualizacją lub zmianą w systemie należy bezwarunkowo wykonać pełną kopię zapasową systemu,

5)     kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. Za przeprowadzanie tej procedury odpowiedzialny jest Administrator Bezpieczeństwa Informacji lub inna wyznaczona przez niego osoba,

6)     nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych,

7)     w przypadku komputerów stacjonarnych i przenośnych nie będących własnością gimnazjum, użytkownik systemu ma obowiązek sporządzania kopii zapasowych jak również ochrony nośników informacji. Wymaga się od użytkownika stosowania zasad dotyczących ochrony danych osobowych przed dostępem osób nieuprawnionych.

2.6. Przechowywanie kopii zapasowych oraz elektronicznych nośników informacji zawierających dane osobowe.

1)     Okresowe kopie zapasowe wykonywane są na dyskietkach, płytach CD, DVD, taśmach lub innych elektronicznych nośnikach informacji. Kopie powinny być przechowywane w innych pomieszczeniach niż te, w których przechowywane są zbiory danych osobowych wykorzystywane na bieżąco. Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie,

2)     dostęp do nośników z kopiami zapasowymi systemu oraz kopiami danych osobowych, ma wyłącznie Administrator Bezpieczeństwa Informacji oraz Administrator Danych Osobowych,

3)     kopie kwartalne przechowuje się przez okres co najmniej 3 miesięcy. W przypadku danych finansowo - księgowych okres przechowywania danych wynosi 5 lat. Wykonywane co pół roku pełne kopie systemu kadrowego przechowuje się przez 50 lat. Kopie zapasowe należy bezzwłocznie usuwać po ustaniu ich użyteczności,

4)     usunięcie danych z systemu powinno zostać zrealizowane przy pomocy oprogramowania przeznaczonego do bezpiecznego usuwania danych z nośnika informacji,

5)     w przypadku kopii zapasowych sporządzanych indywidualnie przez użytkownika odpowiedzialnością za ich zniszczenie obarczony jest użytkownik,

6)     w przypadku nośników informacji, przez ich zniszczenie rozumie się ich trwałe nieodwracalne zniszczenie fizyczne do stanu nie dającego możliwości ich rekonstrukcji i odzyskania danych,

7)     w przypadku braku możliwości zrealizowania procedury zniszczenia nośników informacji, fakt ten należy  zgłosić Administratorowi Bezpieczeństwa Informacji. Po przekazaniu nośników zostaną one zniszczone w ramach środków technicznych gimnazjum, bądź poddane procedurze utylizacji nośników informacji realizowanej przez firmę zewnętrzną.

2.7. Wykonywanie przeglądów oraz konserwacji urządzeń systemu oraz nośników informacji służących do przetwarzania danych osobowych.

1)     Przeglądy i konserwacje systemu oraz zbiorów danych wykonuje Administrator Bezpieczeństwa Informacji lub osoba wyznaczona przez niego, na bieżąco, lecz nie rzadziej niż raz w miesiącu. Sprawdzany jest stan dysków twardych oraz spójność danych,

2)     Administrator Bezpieczeństwa Informacji sprawdza stan nośników kopii zapasowych oraz możliwość odtworzenia danych z kopii zapasowych. Kontrola stanu nośników kopii zapasowych dokonywana jest na bieżąco, lecz nie rzadziej niż raz na dwa miesiące,

3)     umowy dotyczące instalacji i konserwacji sprzętu należy zawierać z podmiotami, których kompetencje nie budzą wątpliwości, co do wykonania usług oraz których wiarygodność finansowa zostały sprawdzone na rynku,

4)     naprawa sprzętu na którym znajdują się dane osobowe powinna odbywać się pod nadzorem Administratora Bezpieczeństwa Informacji lub osoby przez niego upoważnionej w miejscu użytkowania sprzętu,

5)     w przypadku konieczności naprawy sprzętu poza siedzibą szkoły sprzęt komputerowy, należy odpowiednio przygotować. Dane należy zarchiwizować na nośniki informacji, a dyski twarde, bezwzględnie wymontować na czas naprawy,

6)     zmiana konfiguracji sprzętu komputerowego będącego częścią systemu może być dokonana tylko za wiedzą i zgodą Administratora Bezpieczeństwa Informacji

2.8. Ustalenia końcowe.

2.8.1       Użytkownikom systemu informatycznego w którym są przetwarzane dane osobowe zabrania się:

1)     ujawniania hasła i identyfikatora (loginu) współpracownikom oraz osobom trzecim,

2)     przechowywania haseł w miejscu widocznym bądź łatwo dostępnym dla innych osób,

3)     udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,

4)     udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych  w systemie,

5)     używania programów w innym zakresie niż pozwala na to umowa licencyjna,

6)     przenoszenia oprogramowania z jednego stanowiska na inne bez wiedzy i zgody Administratora Bezpieczeństwa Informacji,

7)     wymontowywania bądź przenoszenia dysków twardych z jednego stanowiska na inne,

8)     tworzenia kopii danych na zewnętrznych nośnikach w celu wyniesienia ich poza obszar gimnazjum,

9)     instalowania i używania jakichkolwiek programów komputerowych (w tym również programów do użytku prywatnego) bez wiedzy i zgody Administratora Bezpieczeństwa Informacji,

10)  używania nośników danych niewiadomego pochodzenia bez wcześniejszego sprawdzenia programem antywirusowym.

2.8.2.     Ponadto zabrania się:

1)     pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora bez blokady dostępu,

2)     pozostawiania dokumentów bądź kopii dokumentów zawierających dane osobowe w drukarkach bądź kserokopiarkach,

3)     wyrzucania dokumentów zawierających dane osobowe bez uprzedniego trwałego zniszczenia,

4)     pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach szkoły, w których przetwarzane są dane osobowe,

5)     przekazywania danych osobowych osobom nieupoważnionym,

6)     ignorowania zapisów Polityki Bezpieczeństwa w gimnazjum.

2.8.3.  Konieczne jest:

1)     posługiwanie się własnym loginem i hasłem w celu uzyskania dostępu do systemów informatycznych,

2)     tworzenia haseł trudnych do odgadnięcia dla innych ,

3)     traktowanie konta pocztowego szkoły jako narzędzia pracy i wykorzystywanie go jedynie w celach służbowych,

4)     nie przerywanie procesu skanowania przez program antywirusowy na komputerze,

5)     wykonywanie kopii zapasowych danych przetwarzanych na stanowisku komputerowym,

6)     zaprowadzenie porządku w zakresie organizacji plików w systemie ułatwiającego przeprowadzenie procesu archiwizacji danych,

7)    zabezpieczenie sprzętu komputerowego w tym komputerów przenośnych przed kradzieżą lub nieuprawnionym dostępem do danych.

2.8.4.       Wszelkie przypadki naruszenia niniejszej Instrukcji należy zgłaszać Administratorowi Bezpieczeństwa Informacji lub bezpośredniemu przełożonemu

3. Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym.

1)     Miejscem tworzenia, uzupełniania, przechowywania  dokumentacji dotyczącej przetwarzania danych osobowych sposobem tradycyjnym są pomieszczenia w szkole: sekretariat, pokój głównej księgowej, pokój nauczycielski, gabinet psychologiczno – pedagogiczny, gabinet dyrektora, składnica akt,  gabinet higienistki.

2)     osoby prowadzące dokumentację zobowiązane są do zachowania tajemnicy służbowej,

3)     dokumentacji, o której mowa w pkt. 1 nie można wynosić poza teren szkoły,

4)     dokumentację, o której mowa w pkt. 1 archiwizuje się zgodnie z Instrukcją kancelaryjną,

5)      osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania Administratora Danych Osobowych (Dyrektora jednostki) o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione.