Administrator hezpieczenstwa intormacji Katowic Documents...Administrator hezpieczenstwa intormacji...

Administrator hezpieczenstwa intormacji

Katowicę 30 stycznia 2015 r.

ABI.0643.1.2015.MS

Szanowny Pan

Marcin Krupa

Prezydent Miasta Katowice

Sprawozdanie z zabezpieczenia danych osobowych przetwarzanych

w Urzędzie Miasta Katowice za rok 2014

Niniejszym przedk ładam sprawozdanie z zabezpieczenia przetwarzania danych

osobowych w Urz ędzie Miasta Katowice. Sprawozdanie obejmuje okres od 1 stycznia

do 31 grudnia 2014 r. Wzorem ubieg łych lat za łączniki do łączam w formie elektronicznej.

W sprawozdawanym okresie, zgodnie z zakresem obowi ązków Administratora

Bezpiecze ń stwa Informacji w obszarze zabezpieczenia przetwarzania danych osobowych,

praca komórki ABI obejmowa ła poni ższe zagadnienia.

1. Szkolenia

Administrator Bezpiecze ństwa Informacji prowadzi szkolenia z zakresu ustawy

o ochronie danych osobowych oraz z zakresu obowi ązuj ącej w Urz ędzie Miasta Katowice

Polityki bezpiecze ństwa danych osobowych dla rozpoczynaj ących prac ę w Urz ędzie

pracowników, sta żystów i praktykantów, a tak że pracowników innych podmiotów,

w stosunku do których kierownicy komórek organizacyjnych Urz ędu Miasta Katowice

wyst ąpili o wydanie upowa żnienia do przetwarzania danych osobowych. Szkolenia

Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku

strona 1 z 13

realizowane s ą równie ż dla osób wykonuj ących prace na rzecz Urz ędu Miasta Katowice,

w ramach których mo że zaistnie ć kontakt z gromadzonymi danymi osobowymi

(np. pracownicy zewn ę trznych firm ochroniarskich czy sprz ątaj ących).

Szkolenia prowadzone s ą zarówno bezpo ś rednio w postaci wyk ładu prowadzonego przez

pracownika komórki ABI, jak i poprzez zapoznanie si ę osób z materia łami szkoleniowymi.

Standardowo szkolenie zako ń czone jest podpisaniem przez osob ę przeszkolon ą stosownego

o świadczenia o zachowaniu w tajemnicy danych i sposobów ich zabezpieczenia.

W omawianym okresie przeszkolono łącznie 216 osób, w tym 84 praktykantów, 2 sta żystów

oraz 25 osób spoza Urz ędu Miasta Katowice. List ę osób przeszkolonych zawiera za łą cznik

nr 1 do sprawozdania.

Ponadto w roku 2014 r. Administrator Bezpiecze ństwa Informacji wyg łosi ł dwa wyk łady

(w kwietniu i pa ź dzierniku) nt. ustawy o ochronie danych osobowych w ramach szkole ń

s łu żby przygotowawczej dla nowych pracowników samorz ądowych zatrudnionych

w Urz ędzie Miasta Katowice.

Dodatkowo z inicjatywy ABI w dniach 3-4 czerwca 2014 r. odby ły si ę szkolenia z zakresu

ochrony danych osobowych dla kadry kierowniczej urz ędu prowadzone przez zewn ę trznego

trenera.

2. Rejestracja zbiorów danych osobowych — korespondencja z GIODO

W opisywanym okresie:

1. wys łano zg łoszenia rejestracyjne następuj ących zbiorów danych osobowych:

• Mandaty karne,

• Kierowanie dzieci i m łodzie ży do placówek kszta łcenia specjalnego,

• Baza danych Miejskiego Centrum Ratownictwa w Katowicach;

2. wys łano zg łoszenia aktualizacyjne rejestracji nast ępuj ących zbiorów danych

osobowych:

• Ewidencja dowodów osobistych,

• Pojazd,

• Uczestnicy programów z zakresu polityki spo łecznej,


strona 2 z 13

• System powiadamiania ratunkowego niepe łnosprawnych,

• Zbiór aktów stanu cywilnego;

3. wys łano zg łoszenia wyrejestrowania z ewidencji GIODO nastę puj ących zbiorów

danych osobowych:

• Rejestr utrat dowodów osobistych — zbiór informatyczny,

• Rejestr pojazdów

• Rejestr decyzji administracyjnych o zmianie imion i nazwisk;

4. otrzymano za świadczenia GIODO dotycz ące zarejestrowania nast ę puj ących zbiorów:

• Miejski monitoring wizyjny;

5. otrzymano decyzje GIODO w sprawie wyrejestrowania nast ę puj ących zbiorów

danych osobowych:

• Rejestr wniosków do zak ładu piel ęgnacyjno-opieku ń czego;

6. udzielono wyja ś nie ń na nastę puj ące zapytania GIODO:

• dotycz ące połączenia zbiorów Ewidencja dowodów osobistych i Rejestr utrat

dowodów osobistych,

• zgłoszenia zbioru Miejski monitoring wizyjny.

3. Ewidencja osób upowa żnionych

Ewidencja osób upowa ż nionych do przetwarzania danych osobowych prowadzona

jest w systemie informatycznym — bazie danych o nazwie „Ewidencja upowa ż nionych" oraz

w systemie manualnym — w postaci kopii upowa ż nie ń i cofni ęć upowa żnie ń . Od tej regu ły

istnieje jeden wyj ą tek: ewidencja upowa ż nie ń osób przetwarzaj ących dane osobowe

podczas realizacji projektów unijnych (zarówno w postaci kopii upowa ż nie ń papierowych, jak

i elektronicznie) prowadzona jest w Wydziale Funduszy Europejskich i podlega corocznej

kontroli ABI.

Wszystkie upowa ż nienia przygotowywane i wycofywane s ą zgodnie z obowi ązuj ą c ą

procedur ą na wniosek kierowników komórek organizacyjnych lub podczas zako ń czenia pracy

w urz ędzie, a tak że jako element kontroli prowadzonych przez ABI.

Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Inform, ł cji w 2014 roku

strona 3 z 13

W opisywanym okresie na podstawie wniosków zg łoszeniowych oraz ustale ń poczynionych

w trakcie audytów bezpiecze ń stwa wydano łącznie 1121 upowa żnie ń (z czego 37 na skutek

obserwacji poczynionych podczas kontroli) i wycofano b ą d ź utraci ło wa ż no ść 1561

upowa ż nie ń (z czego 237 na skutek kontroli). Raporty zawieraj ące informacje

o upowa ż nieniach do przetwarzania danych osobowych wydanych i wycofanych w okresie

obj ętym sprawozdaniem, z podzia łem na zbiory danych osobowych, zawieraj ą : za łącznik 2 —

upowa żnienia wydane, za łącznik 3 — upowa ż nienia wycofane.

4. Ewidencja zbiorów danych osobowych

Ewidencja zbiorów danych osobowych prowadzona jest w systemie informatycznym

— bazie danych o nazwie „Metabaza". Lista zbiorów danych osobowych prowadzonych

w Urz ędzie Miasta Katowice wg stanu na dzie ń 31 grudnia 2014 r. znajduje si ę w za łą czniku

4. W ramach prowadzonej ewidencji prowadzona jest nadal ci ąg ła analiza rozpoznanych

zbiorów pod k ą tem mo ż liwo ści ich łączenia. Celem takiego post ępowania jest ograniczenie

liczby zidentyfikowanych zbiorów do rozdzielnych zada ń realizowanych w Urz ędzie Miasta

Katowice, wynikaj ących z zapisów prawnych. Wcze śniejsze podzia ły wynika ły cz ęsto

z historycznego rozproszenia informatycznego — w miar ę pojawiania si ę nowych systemów

informatycznych identyfikowano nowe zbiory. Obecnie ka ż da taka sytuacja analizowana jest

pod k ątem celu zbierania danych i je ś li jest on podobny lub to żsamy z innym zbiorem nie

tworzy si ę nowego.

5. Audyty bezpiecze ń stwa

Audyty bezpiecze ń stwa zbiorów, w których przetwarzane s ą dane osobowe maj ą na

celu weryfikacj ę oraz kontrol ę w ł a ściwego przetwarzania danych osobowych przez

poszczególne komórki organizacyjne Urz ędu i prowadzone s ą jako kontrole roczne (zgodnie

z harmonogramem zatwierdzonym przez Prezydenta Miasta Katowice), b ą d ź kontrole

dora źne (na stwierdzenia prawdopodobnego naruszenia bezpiecze ństwa danych


strona 4 z 13

osobowych). W roku 2014 przeprowadzono kontrole w 43 komórkach organizacyjnych

Urzędu Miasta Katowice:

• Wieloosobowe Samodzielne Stanowisko ds. BHP (wnioski w załączniku 5),

• Wydzia ł Funduszy Europejskich (wnioski w załączniku 8),

• Biuro Konserwatora Zabytków (wnioski w załączniku 7),

• Wydzia ł Planowania Przestrzennego (wnioski w za łączniku 6),

• Wydzia ł Budownictwa (wnioski w za łączniku 9),

• Biuro Prasowe (wnioski w za łączniku 10),

• Wydzia ł Promocji (wnioski w za łączniku 11),

• Wydzia ł Budynków i Dróg (wnioski w za łączniku 12),

• Wydzia ł Sportu i Turystyki (wnioski w za łączniku 13),

• Wydzia ł Edukacji (wnioski w za łączniku 15),

• Biuro Rady Miasta (wnioski w za łączniku 14),

• Koordynator Projektów EBI i CEB (wnioski w za łączniku 17),

• Wydzia ł Inwestycji (wnioski w za łączniku 16),

• Wydzia ł Rozwoju Miasta (wnioski w za łączniku 18),

• Biuro Geologii i Górnictwa (wnioski w za łączniku 19),

• Wydzia ł Geodezji (wnioski w za łączniku 20),

• Wydzia ł Obsługi Inwestorów Strategicznych (wnioski w za łączniku 21).

• Wydzia ł Gospodarki Mieniem (wnioski w za łączniku 22),

• Wydzia ł Organizacji i Zarz ądzania (wnioski w za łączniku 23),

• Wydzia ł Podatków i Op łat Lokalnych (wnioski w za łączniku 24),

• Wydzia ł Polityki Społecznej (wnioski w za łączniku 25),

• Miejski Rzecznik Konsumentów (wnioski w załączniku 26),

• Biuro Praw Jazdy i Rejestracji Pojazdów (wnioski w za łączniku 27),

• Biuro Zamówie ń Publicznych (wnioski w za łączniku 28),

• Wydzia ł Administracyjny (wnioski w za łączniku 29),

• Wydzia ł Kszta łtowania Ś rodowiska (wnioski w za łączniku 30),

• Wydzia ł Ksi ęgowo-Rachunkowy (wnioski w załączniku 31),

Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku

strona 5 z 13

• Pe łnomocnik Prezydenta ds. Projektu Przebudowy Strefy „Rondo-Rynek" — Biuro

Projektu Przebudowy Centrum Katowic (wnioski w za łączniku 32),

• Wydzia ł Bud żetu Miasta (wnioski w za łączniku 33),

• Pe łnomocnik Prezydenta ds. Organizacji Imprez Strategicznych (wnioski

w załączniku 34),

• Wydzia ł Prawny (wnioski w za łą czniku 35),

• Wydzia ł Zarz ądzania Kryzysowego (wnioski w za łączniku 36),

• Wydzia ł Audytu i Kontroli (wnioski w za łą czniku 37),

• Urz ąd Stanu Cywilnego (wnioski w za łą czniku 38),

• Wydzia ł Zdrowia, Nadzory W ł a ścicielskiego i Przekszta łce ń W łasno ściowych (wnioski

w za łączniku 39),

• Wydzia ł Kultury (wnioski w za łą czniku 40),

• Wydzia ł Spraw Obywatelskich (wnioski w za łączniku 41).

Podczas ubieg łorocznych kontroli zrezygnowano z indywidualnego sprawdzenia w Wydziale

Informatyki, ze wzgl ędu na planowany i obecnie ju ż zrealizowany ca ło ściowy audyt

bezpiecze ń stwa informacji wymagany rozporządzeniem Rady Ministrów z dnia 12 kwietnia

2012 r. w sprawie Krajowych Ram Interoperacyjno ści, minimalnych wymaga ń dla rejestrów

publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga ń dla

systemów teleinformatycznych (Dz.U. 2012 poz. 526), obejmuj ący swym zasi ęgiem w du ż ej

mierze bezpiecze ństwo teleinformatyczne. Po analizie zakresu zagadnienia wspólnie

z kierownictwem Wydzia łu Informatyki podj ę to decyzj ę o zleceniu audytu profesjonalnej

firmie zewn ę trznej. Raport z tego audytu stanowi osobne opracowanie i zostanie

przedstawiony Panu Prezydentowi w najbli ższym czasie.

W kontrolach przeprowadzonych w minionym roku przez pracowników komórki

Administratora Bezpiecze ń stwa Informacji — zgodnie z przyj ętymi za ło żeniami dotycz ą cymi

wszystkich okresowych kontroli w 2014 roku — szczególny nacisk zosta ł po ło żony na dwa

aspekty bezpiecze ń stwa:

• zabezpieczenie fizyczne pomieszcze ń urz ędowych, w których gromadzona

i przetwarzana jest dokumentacja zawieraj ąca dane osobowe. Poniewa ż by ło to

drugie z rz ędu (rok do roku) sprawdzenie w tym zakresie, da ło si ę zauwa żyć znacz ą c ą

poprawę bezpiecze ństwa — nie stwierdzono przypadków pozostawiania


strona 6 z 13

niezamkni ę tych pomieszcze ń pod nieobecno ść pracownika, czy kluczy w drzwiach od

strony korytarza. Z kolei pobieranie kluczy odbywa ło si ę za wpisem w ksi ążce pobra ń .

Sytuacj ę znacznie polepszy ło wyposa żenie nowo zasiedlonego budynku przy Rynku 1

w automatyczn ą szafę wydaj ą cą klucze uprawnionym osobom na podstawie karty

identyfikacyjnej;

• kontrol ę celowo ści posiadanych przez pracowników upowa ż nie ń do przetwarzania

danych osobowych. Tutaj celem bynajmniej nie by ł o podwa ż anie decyzji kierowników

komórek organizacyjnych, lecz spojrzenie na zakresy upowa ż nie ń pracowniczych

przez pryzmat nadmiarowo ści dostępu do danych, a co za tym idzie — bezpiecze ń stwa

przetwarzanych informacji. Na skutek obserwacji w łasnych i ustale ń z kierownikami

komórek organizacyjnych wycofano 237 nadmiarowych, niewykorzystywanych

upowa ż nie ń . Liczba ta jest niepokoj ąco du ża i szukaj ąc przyczyny takiego stanu nale ży

uzna ć , i ż w wi ę kszo ści komórek organizacyjnych nie jest prowadzona bie żą ca analiza

posiadanych przez pracowników uprawnie ń , a zadanie pozostawiane jest na czas

dorocznej kontroli ABI.

Dodatkowo podczas kontroli sprawdzany by ł rzeczywisty dost ęp do informatycznych

zasobów Urz ędu Miasta Katowice dla zalogowanych pracowników i porównywany

z posiadanymi upowa żnieniami. Takie podej ście do kontroli stacji roboczych jest

pracoch łonne, jednak pozwala skuteczniej zweryfikowa ć posiadany przez u żytkownika

dostęp do danych osobowych i wychwyci ć nieprawid łowo ści w posiadanych

upowa żnieniach. Pozwala tak że przejrze ć zasoby informatyczne pracownika pod k ą tem

mo ż liwo ści pojawienia si ę nowych zbiorów danych, b ą d ź nadmiarowych, cz ęsto

zapomnianych kopii danych. Przypadki takie by ły nieliczne i uda ło si ę je na bieżą co wyja śnia ć

kasuj ąc b ą d ź przenosz ąc dane we w ła ściwe lokalizacje. Jedynie w Wydziale Edukacji

zaobserwowano dane, które gromadzone s ą w zwi ązku z realizacj ą niezidentyfikowanego

dotychczas zadania. W tym przypadku podj ę to decyzj ę o zarejestrowaniu dwóch nowych

zbiorów.

Z kolei w Wydziale Zarz ądzania Kryzysowego uda ło si ę inaczej ni ż dotychczas sklasyfikowa ć

niezarejestrowany od wielu lat zbiór zawieraj ący dane zwi ązane z Miejskim Centrum

Ratownictwa (wcze śniejsza odmowa rejestracji przez Biuro GIODO z powodu braku podstaw


strona 7 z 13

prawnych do posiadania takiego zbioru przez Prezydenta Miasta Katowice). Zg łoszenie

rejestracyjne w tej sprawie zosta ło wys łane do GIODO 11 grudnia 2014 r.

Inne, wykryte podczas przegl ądu zasobów komputerowych, nieprawid łowo ści dotyczy ły

g łównie nieblokowania kont u żytkowników przez administratorów w przypadku posiadania

upowa ż nie ń terminowych, posiadaj ących z góry ustalon ą datę obowi ązywania — w chwili

utraty wa ż no ści takiego upowa ż nienia administrator nie jest dodatkowo informowany. Cz ęść

systemów informatycznych wykorzystywanych w sieci UMK nie posiada mo ż liwo ś ci

ustawienia takiego terminu z góry i wbudowanego mechanizmu blokuj ącego konto po tym

czasie. Wymagana jest wtedy r ęczna blokada przez w ł a ściwego administratora, a brak

narz ędzia wspomagaj ącego powoduje pojawiaj ące si ę przypadki nieblokowania kont.

Problem istnieje od wielu lat, wymiana oprogramowania na nowe pozwala zmniejsza ć jego

zakres, jednak nadal zapewnienie w ła ściwego zabezpieczenia le ży po stronie administratora

systemu. Rozwi ązaniem problemu powinno okaza ć si ę planowane w najbli ż szym czasie

uruchomienie Portalu korporacyjnego, którego jedn ą z funkcjonalno ści ma by ć w ł a ś nie

narz ędzie informuj ące administratora systemu o up ływie wa ż no ści upowa ż nienia.

Podczas kontroli komputerów zaobserwowano tak że kilkakrotnie brak w ła ściwego

zabezpieczenia antywirusowego, jednak stanowi ło to odosobnione przypadki i by ło na

bieżą co zg łaszane i naprawiane przez osoby odpowiedzialne.

Podczas przeprowadzonych w trakcie audytów analiz aktualno ści zgłosze ń zbiorów

zarejestrowanych u Generalnego Inspektora Ochrony Danych Osobowych ustalono

konieczno ść aktualizacji zaledwie trzech zbiorów danych osobowych. W stosunku do 134

zidentyfikowanych w Urz ędzie Miasta Katowicach zbiorów stanowi to dobry wynik i świadczy

o prawid łowym funkcjonowaniu procedur zg łoszeniowych.

Zakres rocznych kontroli obejmowa ł równie ż weryfikacj ę obszarów przetwarzania danych

osobowych. W wi ę kszo ści komórek organizacyjnych zaobserwowane ró ż nice by ły niewielkie.

Nale ży w tym miejscu jednak zauwa żyć, i ż ze wzgl ędu na wi ę ksz ą ni ż w latach ubieg łych

migracj ę wydzia łów Urz ędu, g łównie zwi ązan ą z uruchomieniem budynku przy Rynku 1,

Administrator Bezpiecze ń stwa Informacji przeprowadzi ł w zakresie obszarów przetwarzania

dodatkow ą kontrol ę dora ź n ą .

Podsumowuj ąc kontrole przeprowadzone w komórkach organizacyjnych Urz ędu nale ży

stwierdzi ć , i ż nadal jedn ą z głównych nieprawid łowo ści jest brak bie żących, niezw łocznie


strona 8 z 13

przekazywanych informacji z komórek organizacyjnych urz ędu dotycz ących zmian w procesie

przetwarzania danych osobowych. Prowadzone kontrole i rozmowy z kierownikami komórek

organizacyjnych cz ęsto nasuwaj ą myś l, i ż odbywaj ąca si ę raz w roku kontrola jest jedynym

czasem pe łniejszej i głę bszej analizy zagadnie ń z zakresu ochrony danych osobowych

w kontrolowanej komórce, cz ęsto wręcz przypomnieniem sobie o takich obowi ązkach.

Najprawdopodobniej jest to wynikiem nadmiaru bie żących zada ń i obowi ązków b ę d ących

g łównym zakresem dzia łania komórki. Dlatego coraz istotniejsze staje si ę ci ągłe

u świadamianie wszystkim osobom pracuj ącym w Urz ędzie Miasta Katowice zagro ż e ń

wynikaj ących z niewła ściwego zabezpieczania procesu przetwarzania danych osobowych.

Drugim rodzajem kontroli prowadzonych przez pracowników komórki Administratora

Bezpiecze ń stwa Informacji by ły kontrole dora źne. W minionym roku odby ły si ę dwie:

• kontrola posiadanych uprawnie ń w systemach informatycznych oraz celowo ści

i aktualno ści upowa żnie ń wydanych pracownikom podmiotów zewn ę trznych

(tj. miejskich jednostek organizacyjnych, firm wspó ł pracuj ących czy administruj ących

zasobami informatycznymi itp.) — raport z kontroli zawieraj ą za łączniki 42 i 43;

• kontrola aktualno ści obszarów przetwarzania w zwi ązku z intensywn ą migracj ą

wydzia łów Urz ędu. Kontrola mia ła na celu zaktualizowanie ewidencji prowadzonej

w tym zakresie.

6. Incydenty naruszenia ochrony danych osobowych

W sprawozdawanym okresie zg łoszono do Administratora Bezpiecze ń stwa Informacji

jeden incydent naruszenia bezpiecze ństwa danych osobowych. Zgłoszony zosta ł

21 pa ździernika 2014 r. przez Naczelnika Wydzia łu Spraw Obywatelskich i dotyczy ł

uszkodzenia alarmu chroni ącego budynek przy ul. Franciszka ń skiej 25 zajmowany przez

Referat Ewidencji Ludno ści. Problem bezzw łocznie zosta ł tak że zgłoszony do Wydzia ł u

Administracyjnego jednak firma serwisuj ąca alarmy naprawi ła go dopiero nast ępnego dnia.

Ze wzgl ędu na istniej ące zagro żenie zlecono dodatkow ą ochron ę obiektu katowickiej Stra ży

Miejskiej w nocy z 21 na 22 pa ździernika 2014 r. Szczegó ły zawiera za łącznik 44.

Z kolei ABI ze swej strony zauwa żył nast ę puj ące incydenty:


strona 9 z 13

• awaria aplikacji PABS i LBPP autorstwa firmy Krakfin — przez trzy dni (22-24 kwietnia)

niemo ż liwa lub utrudniona by ła praca w tych aplikacjach z powodu problemów z

wynajmowan ą przez firm ę Krakfin serwerowni ą . Ze wzgl ędu na zakres

wykorzystywania aplikacji m.in. przez wszystkie katowickie szko ły, brak dost ępu był

bardzo uci ąż liwy. Pe łna notatka znajduje si ę w za łączniku 45;

• wykorzystywanie przez pracowników firmy Rekord w celu zdalnego dost ępu do sieci

UMK narz ędzia niezatwierdzonego przez Naczelnika Wydzia łu Informatyki oraz ABI.

Uzyskane od firmy Rekord wyja śnienia zawiera za łącznik 46;

• brak w dokumentacji programu stypendialnego dla uczniów uzdolnionych „Prymus"

informacji o udost ępnianiu danych osobowych poza Urz ąd podczas jego realizacji.

Zwi ązane jest to z przekazaniem zadania wyp łat i rozlicze ń stypendiów do Zespo łu

Obs ługi Jednostek O światowych w Katowicach. Dokumentacja zosta ła niezw łocznie

uzupe łniona o wymagane tre ści;

• awaria strony internetowej Urz ędu Miasta Katowice (22 lipca) — strona „wysypa ła si ę "

ca łkowicie i niemo ż liwe było korzystanie z jej zasobów, zawieraj ących m.in. zbiory

danych osobowych. Tre ści zosta ły przywrócone przez firm ę Passus, autora portalu,

w ramach wsparcia autorskiego. Do dzisiaj jednak nie uda ło si ę uzyska ć raportu

o przyczynach awarii. Sprawa jest nadal monitorowana przez ABI;

• uszkodzenie (19 grudnia) niektórych zasobów plikowych w sieci UMK spowodowane

najprawdopodobniej infekcj ą wirusa niewykrywanego przez wykorzystywany w UMK

i na bieżąco aktualizowany system antywirusowy ESET Endpoint. Problem zosta ł

niezwłocznie zgłoszony do producenta, jednak do dzisiaj brak szczegó łowej informacji

poawaryjnej z jego strony. Uszkodzone zasoby plikowe w sieci UMK zosta ły

przywrócone z kopii zapasowej. Raport z incydentu nie zosta ł dotychczas przekazany

Administratorowi Bezpiecze ń stwa Informacji.

7. Inne dzia łania

W minionym roku Administrator Bezpiecze ń stwa Informacji bra ł udzia ł w opracowaniu

procedury w ła ściwego zabezpieczenia obiegu dokumentów w ramach przej ętego od Stra ży

Miejskiej zadania ewidencjonowania wp łat i tytu łów wykonawczych z tytu łu mandatów


strona 10 z 13

nak ładanych przez stra ż ników katowickiej Stra ży Miejskiej. Ostatecznie uda ło si ę zagadnienie

sfinalizowa ć do ko ń ca 2014 r.

Administrator Bezpiecze ństwa Informacji w ostatnim czasie kontynuowa ł dzia łania maj ące

na celu wypracowanie nowego, zgodnego z obowi ą zuj ącym prawem uregulowania

obowi ązku pobierania zgody osoby na przetwarzanie danych osobowych podczas

prowadzenia niektórych post ę powa ń administracyjnych w urz ędzie. Od d ł u ższego czasu

problem występowa ł w Wydziale Gospodarki Mieniem, gdzie pobierane by ły zgody

w zasadzie przy okazji ka żdego sk ładanego wniosku. Ponadto dotyczy ły one równie ż

sk ładania jakoby obligatoryjnego o świadczenia o zgodzie na upublicznienie danych, cho ć —

zdaniem ABI popartym orzecznictwem s ądowym — podawanie w omawianych przypadkach

do publicznej wiadomo ści danych osób — stron post ępowania jest nadmiarowe i pozbawione

podstaw prawnych. W ramach prac nad zmian ą stosowanych w Urz ędzie procedur odby ły si ę

spotkania zainteresowanych stron (reprezentantów Wydzia łu Gospodarki Mieniem,

Wydzia łu Organizacji i Zarz ądzania, Biura Rady Miasta oraz Administratora Bezpiecze ń stwa

Informacji), maj ące na celu wypracowanie nowych zasad dzia łania, a tak że wystąpiono

do Wydzia łu Prawnego o opini ę prawn ą w przedmiotowej sprawie. Po szerokim rozeznaniu

tematu ustalono, i ż do publicznej wiadomo ści podawane b ęd ą dokumenty, wykazy, listy itp.

jedynie w uzasadnionych prawnie przypadkach, a dane osobowe w nich zawarte b ęd ą

ka żdorazowo anonimizowane. Ponadto stwierdzono konieczno ść zmiany zarzqdzenia

wewnę trznego Prezydenta Miasta Nr 198/2008 z dnia 6 czerwca 2008 r. w sprawie zasad

przygotowania i trybu przedk ładania spraw do rozstrzygnięcia przez Prezydenta Miasta

Katowice, Wiceprezydentów Miasta Katowice, a tak że Sekretarza Miasta i Skarbnika Miasta,

przynajmniej w cz ęści załącznika nr 7 — tj. o świadczenia w sprawie wyra żenia zgody na

przetwarzanie danych osobowych, który obecnie jest obligatoryjnym dokumentem przy

przedk ładaniu spraw na posiedzenie Prezydenta i stanowi w zwi ązku z tym zasz łość prawn ą .

Za zmian ę zarz ądzenia odpowiedzialny jest Wydzia ł Organizacji i Zarz ądzania.

Z kolei na zlecenie Wydzia ł u Geodezji przez ca ły miniony rok trwa ły prace nad wdro żeniem

Miejskiego Systemu Zarz ądzania — Katowickiej Infrastruktury Informacji Przestrzennej, czyli

systemu integruj ącego wiele informacji przetwarzanych w zasobach Urz ędu Miasta

Katowice, a równie ż w zasobach niektórych jednostek organizacyjnych miasta w oparciu

o system informacji przestrzennej. Ze wzgl ędu na rozleg ł o ść i skomplikowanie zadania, jak


strona 11 z 13

równie ż wielo ść danych, w tym cz ęsto zawieraj ących informacje o charakterze osobowym,

w ca łym cyklu prac bra ł i nadal bierze udzia ł wytypowany pracownik komórki Administratora

Bezpiecze ń stwa Informacji — inspektor Maja Nawratel-Fik.

Ponadto Administrator Bezpiecze ń stwa Informacji po ustaleniach z Naczelnikiem Wydzia ł u

Spraw Obywatelskich i Kierownikiem Urz ędu Stanu Cywilnego przyj ął na siebie zadanie

przygotowywania i ewidencjonowania, a tak że przekazywania do Ministra Spraw

Wewn ę trznych, upowa żnie ń do przetwarzania danych osobowych w Centralnych Rejestrach

Pa ń stwowych realizowanego za pomoc ą aplikacji ŹRÓDŁO.

8. Podsumowanie sprawozdania

W sprawozdawanym okresie zadania wynikaj ące z zakresu obowi ązków

Administratora Bezpiecze ń stwa Informacji realizowane by ły na bieżąco i bez wi ę kszych

przeszkód. Podj ęte dzia łania przyczyni ły si ę do wykrycia pewnych nieprawid łowo ści

i w zwi ązku z tym udoskonalony zosta ł w tych obszarach proces przetwarzania danych

osobowych. Przeprowadzone kontrole ukaza ły przede wszystkim post ę p świadomo ściowy

pracowników — wida ć wyra ź nie poprawę w przyzwyczajeniach i stosowanie dobrych praktyk

w codziennej pracy. Daje si ę jednak w tym obszarze zauwa żyć brak podstawowych

wiadomo ści, szczególnie w ś ród d ługoletnich pracowników, którzy ju ż nie pami ę taj ą szkole ń

odbytych podczas zatrudniania. Administrator Bezpiecze ństwa Informacji zauwa ż a

konieczno ść wprowadzenia cyklicznych szkole ń dla pracowników, np. co 2-3 lata. Ze wzgl ę du

jednak na liczb ę pracowników planowane jest w 2015 roku wykorzystanie w tym zakresie

elektronicznej platformy szkoleniowej w ramach powstaj ącego Portalu korporacyjnego

Urz ędu Miasta Katowice.

Dobrym rozwi ązaniem uruchomionym w Urz ędzie jest zastosowanie automatycznego

urz ądzenia do wydawania kluczy w budynku przy Rynku 1. Mo ż na z powodzeniem uzna ć , i ż

rozwi ązanie sprawdzi ło si ę i zabezpieczy ło nieuprawniony dost ęp do kluczy, przy

równoczesnym przyspieszeniu obs ługi. Dobrym rozwi ązaniem by łoby stopniowe wdro żenie

tego rozwi ązania we wszystkich budynkach zajmowanych przez komórki organizacyjne

Urz ędu Miasta Katowice.


strona 12 z 13

TA KATOWICE

in Krupa

ADMI ISTRATOR BEZPI iN1ST FORMACJI

C ł . ny Specjaillsta mgr Michał Siedl - czek

Z kolei szybki rozwój technologiczny wymusza na osobach odpowiedzialnych za

bezpiecze ństwo informacji w jednostce wzmo żone dzia łania. Temu celowi s ł u żył m.in.

przeprowadzony przez firm ę zewn ętrzn ą audyt bezpiecze ństwa informacji pod k ątem

dostosowania do Krajowych Ram Interoperacyjno ści oraz normy PN-ISO/IEC 27001. Mimo ż e

wst ępny raport poaudytowy nie wykaza ł powa żnych zagro ż e ń , wida ć sporo spraw

wymagaj ących unormowania, sformalizowania, czy doprecyzowania, np. w sferze coraz

powszechniej wykorzystywanych przez urz ędników elektronicznych urz ądze ń mobilnych.

Będzie to elementem dzia łania komórki ABI w najbli ższych miesi ącach.

Od 1 stycznia 2015 roku uleg ła zmianie pozycja Administratora Bezpiecze ń stwa Informacji

w jednostce zgodnie z nowelizacj ą ustawy o ochronie danych osobowych (Dz.U.2014 poz.

1182 ze zm.). Administratorowi, po oficjalnym jego zg łoszeniu do ewidencji prowadzonej

przez Generalnego Inspektora Ochrony Danych Osobowych, co w naszym przypadku

powinno nastą pi ć do 30 czerwca br., przyb ędzie nieco dodatkowych obowi ązków, m.in.

stworzenie i prowadzenie publicznie dost ępnego rejestru zbiorów prowadzonych w Urz ędzie

Miasta Katowice czy wykonywanie kontroli w jednostce na polecenie GIODO. Dostosowane

do wymaga ń noweli musz ą równie ż zosta ć : proces szkoleniowy oraz prowadzone kontrole

i sprawdzenia. Poniewa ż jednak nadal brak rozporz ądze ń wykonawczych do znowelizowanej

ustawy, nale ży spodziewa ć si ę , i ż najbli ższy rok b ędzie okresem wyt ężonej pracy wszystkich

pracowników zatrudnionych w komórce Administratora Bezpiecze ń stwa Informacji.


strona 13 z 13

Administrator hezpieczenstwa intormacji Katowic Documents...Administrator hezpieczenstwa intormacji...

Documents

Transcript of Administrator hezpieczenstwa intormacji Katowic Documents...Administrator hezpieczenstwa intormacji...