- Procedura Alarmowa
- Administrator Danych Dyrektor Ewa Żbikowska
- Dnia 15.12.2014 r. w podmiocie o nazwie Miejska i Powiatowa Biblioteka Publiczna
- im. Marii Konopnickiej w Lubaniu
- w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym z ochroną danych osobowych
- na podstawie art. 36.1. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
- poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285)
- wdraża dokument o nazwie „Procedura Alarmowa”.
- Zapisy tego dokumentu wchodzą w życie
- z dniem 15.12.2014 r.
- Definicje:
- Uchybienie - świadome lub nieświadome działania zmierzające do zagrożenia, wskutek których może dojść
- do utraty danych osobowych, kradzieży danych osobowych lub uszkodzenia nośników danych.
- Zagrożenie - świadome lub nieświadome działania, wskutek których doszło do utraty danych osobowych,
- kradzieży danych osobowych lub uszkodzenia nośników danych.
- ABI - Administrator Bezpieczeństwa Informacji
- ADO - Administrator Danych Osobowych
- 1. Procedura alarmowa
- Procedura alarmowa wskazuje na możliwe zagrożenia oraz definiuje „Dziennik Uchybień i Zagrożeń”,
- związany z niewłaściwym przetwarzaniem danych osobowych lub ich wyciekiem. Celem Procedury
- Alarmowej jest skatalogowanie możliwych uchybień i zagrożeń oraz opisanie procedur działania w
- przypadku ich wystąpienia, jak i również ograniczenie ich powstania w przyszłości. Integralną częścią
- Procedury Alarmowej jest „Dziennik Uchybień i Zagrożeń” - (załącznik nr 1), „Protokół Zagrożenia” -
- (załącznik nr 2), „Protokół Uchybienia” - (załącznik nr 3), prowadzony przez ABI w przypadku stwierdzenia
- naruszenia ochrony danych osobowych w podmiocie.
- 2. Charakterystyka możliwych „Uchybień i Zagrożeń”
- I. Uchybienia i zagrożenia nieświadome wewnętrzne i zewnętrzne
- Do uchybień i zagrożeń nieświadomych wewnętrznych i zewnętrznych należą działania pracowników
- podmiotu lub osób nie będących pracownikami podmiotu, w następstwie których może dojść lub doszło do
- zniszczenia danych, wycieku danych lub naruszenia ich poufności. W szczególności są to działania takie jak:
- - niewłaściwe zabezpieczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe,
- - niewłaściwe zabezpieczenie sprzętu komputerowego,
- - dopuszczenie do przetwarzania danych przez osoby nieposiadające upoważnienia,
- - pomyłki informatyków,
- - kradzież danych,
- - kradzież sprzętu informatycznego,
- - działanie wirusów i innego szkodliwego oprogramowania oraz inne działania, wskutek których dojdzie
- do utraty danych osobowych lub uszkodzenia nośników danych.
- II. Uchybienia i zagrożenia umyślne wewnętrzne i zewnętrzne
- Do uchybień i zagrożeń umyślnych wewnętrznych i zewnętrznych należą celowe działania pracowników
- podmiotu, w następstwie których może dojść lub doszło do zniszczenia danych, wycieku danych lub
- naruszenia ich poufności. W szczególności są to działania takie jak:
- - celowe zniszczenie danych osobowych lub nośników danych,
- - kradzież danych osobowych,
- - dopuszczenie do przetwarzania danych przez osoby nieposiadające upoważnienia,
- - kradzież danych,
- - kradzież sprzętu informatycznego,
- - działanie wirusów i innego szkodliwego oprogramowania oraz inne działania, wskutek których dojdzie do
- utraty danych osobowych lub uszkodzenia nośników danych.
- III. Uchybienia i zagrożenia losowe
- Do uchybień i zagrożeń losowych należą sytuacje losowe, w następstwie których może dojść lub doszło do
- zniszczenia danych, wycieku danych lub naruszenia ich poufności. W szczególności są to sytuacje takie jak:
- - klęski żywiołowe,
- - przerwy w zasilaniu,
- - awarie serwera,
- - pożar,
- - zalanie wodą.
- 3. Procedura postępowania w przypadku stwierdzenia naruszenia ochrony
- danych osobowych.
- Każdy pracownik podmiotu posiadający upoważnienie do przetwarzania danych osobowych, w przypadku
- stwierdzenia uchybienia lub zagrożenia ma obowiązek niezwłocznie powiadomić o tym fakcie
- Administratora Bezpieczeństwa Informacji lub Administratora Danych.
- Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia uchybienia ma obowiązek:
- 1. odnotować każde uchybienie w „Dzienniku Uchybień i Zagrożeń”
- 2. sporządzić „Protokół Uchybienia”
- 3. wprowadzić procedury uniemożliwiające ponowne powstanie uchybienia
- Administrator Bezpieczeństwa Informacji w przypadku stwierdzenia zagrożenia ma obowiązek:
- 1. zabezpieczyć dowody, powiadomić policję (w przypadku włamania)
- 2. zabezpieczyć dane osobowe oraz nośniki danych
- 3. odnotować każde zagrożenie w „Dzienniku Uchybień i Zagrożeń”
- 4. sporządzić „Protokół Zagrożenia”
- 5. wprowadzić procedury uniemożliwiające ponowne powstanie zagrożenia
- 6. powiadomić o zaistniałej sytuacji Administratora Danych
- 7. podjąć próbę przywrócenia stanu sprzed zaistnienia zagrożenia
- 8. ADO wyciąga konsekwencje dyscyplinarne wobec osób odpowiedzialnych za zagrożenie
- 4. Rejestr Uchybień i Zagrożeń oraz szczegółowa instrukcja postępowania dla osób
- posiadających upoważnienie do przetwarzania danych osobowych w podmiocie
- Kod Uchybienia i zagrożenia Postępowanie w przypadku uchybienia lub zagrożenia
- uchybienia nieświadome wewnętrzne
- lub i zewnętrzne
- zagrożenia
- 1 Pomieszczenie, w którym Należy zabezpieczyć dane osobowe oraz powiadomić ABI.
- przechowywane są dane ABI sporządza protokół uchybienia.
- osobowe pozostaje bez nadzoru.
- 2 Komputer nie jest zabezpieczony Należy zabezpieczyć dane osobowe oraz powiadomić ABI.
- hasłem. ABI sporządza protokół uchybienia.
- 3 Dostęp do danych osobowych Należy uniemożliwić dostęp osób bez upoważnienia oraz
- mają osoby nieposiadające powiadomić ABI. ABI sporządza protokół uchybienia.
- upoważnienia.
- 4 Nieuprawniony dostęp do Należy powiadomić ABI, który powinien sprawdzić system
- otwartych aplikacji w systemie uwierzytelniania oraz sprawdzić czy nie doszło do
- informatycznym. kradzieży lub zniszczenia danych. ABI sporządza protokół
- uchybienia.
- 5 Próba kradzieży danych Należy nie dopuścić do kradzieży danych i powiadomić
- osobowych poprzez zewnętrzny ABI. ABI powinien zabezpieczyć nośnik danych
- nośnik danych. i powiadomić ADO. ABI sporządza protokół zagrożenia.
- 6 Próba kradzieży danych Należy nie dopuścić do kradzieży danych i powiadomić
- osobowych w formie ABI. ABI powinien zabezpieczyć dane i powiadomić ADO.
- papierowej. ABI sporządza protokół zagrożenia.
- 7 Nieuprawniony dostęp do Należy uniemożliwić dostęp osób bez upoważnienia oraz
- danych osobowych w formie powiadomić ABI. ABI sporządza protokół uchybienia.
- papierowej.
- 8 Dane osobowe przechowywane Należy powiadomić ABI. ABI powinien zabezpieczyć
- są w niezabezpieczonym pomieszczenie. ABI sporządza protokół uchybienia.
- pomieszczeniu.
- 9 Próba włamania do Należy zabezpieczyć dowody i powiadomić ABI. ABI
- pomieszczenia/budynku. sprawdza stan uszkodzeń, zabezpiecza dowody i wzywa
- policję. ABI sporządza protokół zagrożenia.
- 10 Działanie zewnętrznych aplikacji, Należy zrobić audyt systemów zabezpieczeń,
- wirusów, złośliwego a w szczególności systemów antywirusowych, firewall.
- oprogramowania. ABI powinien ocenić, czy nie doszło do utraty danych
- osobowych i w zależności od tego sporządzić protokół
- uchybienia lub zagrożenia.
- 11 Brak aktywnego Należy powiadomić ABI. ABI powinien zaktualizować lub
- oprogramowania nabyć oprogramowanie antywirusowe. ABI sporządza
- antywirusowego. protokół uchybienia.
- 12 Zniszczenie lub modyfikacja Należy zabezpieczyć dowody i powiadomić ABI. ABI
- danych osobowych w formie sprawdza stan uszkodzeń, zabezpiecza dowody
- papierowej. i powiadamia ADO. ABI sporządza protokół zagrożenia.
- 13 Zniszczenie lub modyfikacja Należy zabezpieczyć dowody i powiadomić ABI. ABI
- danych osobowych w systemie sprawdza stan uszkodzeń, zabezpiecza dowody
- informatycznym. i powiadamia ADO. ABI sporządza protokół zagrożenia.
- 14 Uszkodzenie komputerów, Należy powiadomić ABI. ABI powinien ocenić w wyniku
- nośników danych. czego doszło do zniszczenia i przywrócić dane z kopii
- zapasowej. ABI powiadamia ADO i sporządza protokół
- zagrożenia.
- 15 Próba nieuprawnionej Należy uniemożliwić dostęp osób do sprzętu
- interwencji przy sprzęcie komputerowego oraz powiadomić ABI. ABI sporządza
- komputerowym. protokół uchybienia.
- 16 Zdarzenia losowe. Należy oszacować powstałe starty i sporządzić protokół
- zagrożenia lub uchybienia.
- „Dziennik Uchybień i Zagrożeń”
- (załącznik nr 1 do Procedury Alarmowej)
- Kod Data i Rodzaj Opis zdarzenia Skutki Działania Podpis ABI
- godzina zdarzenia zdarzenia naprawcze
- zdarzenia (uchybienie/
- zagrożenie)
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Zagrożenia”
- (załącznik nr 2 do Procedury Alarmowej)
- Data i godzina wystąpienia zagrożenia .......................................................................................................
- Kod zagrożenia ............................................................................................................................................
- Opis zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... …...................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Zagrożenia”
- (załącznik nr 2 do Procedury Alarmowej)
- Data i godzina wystąpienia zagrożenia .......................................................................................................
- Kod zagrożenia ............................................................................................................................................
- Opis zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... …...................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Zagrożenia”
- (załącznik nr 2 do Procedury Alarmowej)
- Data i godzina wystąpienia zagrożenia .......................................................................................................
- Kod zagrożenia ............................................................................................................................................
- Opis zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki zagrożenia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... …...................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Uchybienia”
- (załącznik nr 3 do Procedury Alarmowej)
- Data i godzina wystąpienia uchybienia.......................................................................................................
- Kod uchybienia ............................................................................................................................................
- Opis uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... ..................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Uchybienia”
- (załącznik nr 3 do Procedury Alarmowej)
- Data i godzina wystąpienia uchybienia.......................................................................................................
- Kod uchybienia ............................................................................................................................................
- Opis uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... ..................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Uchybienia”
- (załącznik nr 3 do Procedury Alarmowej)
- Data i godzina wystąpienia uchybienia.......................................................................................................
- Kod uchybienia ............................................................................................................................................
- Opis uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... ..................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Uchybienia”
- (załącznik nr 3 do Procedury Alarmowej)
- Data i godzina wystąpienia uchybienia.......................................................................................................
- Kod uchybienia ............................................................................................................................................
- Opis uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... ..................................................
- Podpis Podpis
- Nazwa i adres podmiotu Miejscowość i data
- ................................................…........................ ...........................................
- „Protokół Uchybienia”
- (załącznik nr 3 do Procedury Alarmowej)
- Data i godzina wystąpienia uchybienia.......................................................................................................
- Kod uchybienia ............................................................................................................................................
- Opis uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Przyczyny powstania uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Zaistniałe skutki uchybienia
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Podjęte działania naprawczo-zapobiegawcze
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- ......................................................................................................................................................................
- Administrator Bezpieczeństwa Informacji Administrator Danych Osobowych
- ….......................................................... ..................................................
- Podpis Podpis
- „Sprawozdanie roczne stanu systemu
- ochrony danych osobowych”
- Administrator Danych Dyrektor Ewa Żbikowska
- Dnia 15.12.2014 r. w podmiocie o nazwie Miejska i Powiatowa Biblioteka Publiczna
- im. Marii Konopnickiej w Lubaniu
- w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym z ochroną danych osobowych
- na podstawie art. 36.1. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
- poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285)
- wdraża dokument o nazwie
- „Sprawozdanie roczne stanu systemu ochrony danych osobowych”.
- Zapisy tego dokumentu wchodzą w życie
- z dniem 15.12.2014 r.
- 1. „Sprawozdanie roczne stanu systemu ochrony danych osobowych” przeprowadza się raz w roku, z
- datą rok od chwili wejścia w życie tego dokumentu. Osobą odpowiedzialną za przygotowanie
- sprawozdania rocznego w podmiocie jest ABI. Sprawozdanie roczne przygotowuje się na podstawie
- dokumentu o nazwie „Raport roczny”, który stanowi załącznik nr 1 do „Sprawozdania rocznego
- stanu systemu ochrony danych osobowych” w podmiocie. Po przeprowadzeniu analizy stanu
- ochrony danych osobowych w podmiocie oraz uzupełnieniu „Raportu rocznego” ABI zwołuje
- zebranie, w którym uczestniczą: ABI, ADO i kierownicy działów lub referatów, w których
- przetwarzane są dane osobowe. Podczas zebrania ABI przedstawia uczestnikom stan zabezpieczeń,
- stan infrastruktury informatycznej, „Dziennik uchybień i zagrożeń” oraz omawiane są procedury
- zabezpieczające podmiot przed sytuacjami, w których może dojść do zniszczenia danych, wycieku
- danych lub naruszenia ich poufności.
- „Raport roczny”
- (załącznik nr 1 do „Sprawozdania rocznego stanu systemu
- ochrony danych osobowych”)
- Nazwa i adres podmiotu Miejscowość i data
- …................................................... …...................................................
- Zagadnienia omawiane na zebraniu Uwagi/wnioski
- Podsumowanie realizacji wytycznych z
- poprzedniego „Sprawozdania rocznego stanu
- systemu ochrony danych osobowych”
- Omówienie zmian procedur w systemie oraz
- zmian w systemie informatycznym
- Omówienie Dziennika Uchybień i Zagrożeń
- Wnioski oraz zadania do realizacji
- Uczestnicy zebrania Podpis uczestnika
- Podpis ABI Podpis ADO