administrator hezpieczenstwa intormacji katowic documents...administrator hezpieczenstwa intormacji...
TRANSCRIPT
Administrator hezpieczenstwa intormacji
Katowicę 30 stycznia 2015 r.
ABI.0643.1.2015.MS
Szanowny Pan
Marcin Krupa
Prezydent Miasta Katowice
Sprawozdanie z zabezpieczenia danych osobowych przetwarzanych
w Urzędzie Miasta Katowice za rok 2014
Niniejszym przedk ładam sprawozdanie z zabezpieczenia przetwarzania danych
osobowych w Urz ędzie Miasta Katowice. Sprawozdanie obejmuje okres od 1 stycznia
do 31 grudnia 2014 r. Wzorem ubieg łych lat za łączniki do łączam w formie elektronicznej.
W sprawozdawanym okresie, zgodnie z zakresem obowi ązków Administratora
Bezpiecze ń stwa Informacji w obszarze zabezpieczenia przetwarzania danych osobowych,
praca komórki ABI obejmowa ła poni ższe zagadnienia.
1. Szkolenia
Administrator Bezpiecze ństwa Informacji prowadzi szkolenia z zakresu ustawy
o ochronie danych osobowych oraz z zakresu obowi ązuj ącej w Urz ędzie Miasta Katowice
Polityki bezpiecze ństwa danych osobowych dla rozpoczynaj ących prac ę w Urz ędzie
pracowników, sta żystów i praktykantów, a tak że pracowników innych podmiotów,
w stosunku do których kierownicy komórek organizacyjnych Urz ędu Miasta Katowice
wyst ąpili o wydanie upowa żnienia do przetwarzania danych osobowych. Szkolenia
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 1 z 13
realizowane s ą równie ż dla osób wykonuj ących prace na rzecz Urz ędu Miasta Katowice,
w ramach których mo że zaistnie ć kontakt z gromadzonymi danymi osobowymi
(np. pracownicy zewn ę trznych firm ochroniarskich czy sprz ątaj ących).
Szkolenia prowadzone s ą zarówno bezpo ś rednio w postaci wyk ładu prowadzonego przez
pracownika komórki ABI, jak i poprzez zapoznanie si ę osób z materia łami szkoleniowymi.
Standardowo szkolenie zako ń czone jest podpisaniem przez osob ę przeszkolon ą stosownego
o świadczenia o zachowaniu w tajemnicy danych i sposobów ich zabezpieczenia.
W omawianym okresie przeszkolono łącznie 216 osób, w tym 84 praktykantów, 2 sta żystów
oraz 25 osób spoza Urz ędu Miasta Katowice. List ę osób przeszkolonych zawiera za łą cznik
nr 1 do sprawozdania.
Ponadto w roku 2014 r. Administrator Bezpiecze ństwa Informacji wyg łosi ł dwa wyk łady
(w kwietniu i pa ź dzierniku) nt. ustawy o ochronie danych osobowych w ramach szkole ń
s łu żby przygotowawczej dla nowych pracowników samorz ądowych zatrudnionych
w Urz ędzie Miasta Katowice.
Dodatkowo z inicjatywy ABI w dniach 3-4 czerwca 2014 r. odby ły si ę szkolenia z zakresu
ochrony danych osobowych dla kadry kierowniczej urz ędu prowadzone przez zewn ę trznego
trenera.
2. Rejestracja zbiorów danych osobowych — korespondencja z GIODO
W opisywanym okresie:
1. wys łano zg łoszenia rejestracyjne następuj ących zbiorów danych osobowych:
• Mandaty karne,
• Kierowanie dzieci i m łodzie ży do placówek kszta łcenia specjalnego,
• Baza danych Miejskiego Centrum Ratownictwa w Katowicach;
2. wys łano zg łoszenia aktualizacyjne rejestracji nast ępuj ących zbiorów danych
osobowych:
• Ewidencja dowodów osobistych,
• Pojazd,
• Uczestnicy programów z zakresu polityki spo łecznej,
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 2 z 13
• System powiadamiania ratunkowego niepe łnosprawnych,
• Zbiór aktów stanu cywilnego;
3. wys łano zg łoszenia wyrejestrowania z ewidencji GIODO nastę puj ących zbiorów
danych osobowych:
• Rejestr utrat dowodów osobistych — zbiór informatyczny,
• Rejestr pojazdów
• Rejestr decyzji administracyjnych o zmianie imion i nazwisk;
4. otrzymano za świadczenia GIODO dotycz ące zarejestrowania nast ę puj ących zbiorów:
• Miejski monitoring wizyjny;
5. otrzymano decyzje GIODO w sprawie wyrejestrowania nast ę puj ących zbiorów
danych osobowych:
• Rejestr wniosków do zak ładu piel ęgnacyjno-opieku ń czego;
6. udzielono wyja ś nie ń na nastę puj ące zapytania GIODO:
• dotycz ące połączenia zbiorów Ewidencja dowodów osobistych i Rejestr utrat
dowodów osobistych,
• zgłoszenia zbioru Miejski monitoring wizyjny.
3. Ewidencja osób upowa żnionych
Ewidencja osób upowa ż nionych do przetwarzania danych osobowych prowadzona
jest w systemie informatycznym — bazie danych o nazwie „Ewidencja upowa ż nionych" oraz
w systemie manualnym — w postaci kopii upowa ż nie ń i cofni ęć upowa żnie ń . Od tej regu ły
istnieje jeden wyj ą tek: ewidencja upowa ż nie ń osób przetwarzaj ących dane osobowe
podczas realizacji projektów unijnych (zarówno w postaci kopii upowa ż nie ń papierowych, jak
i elektronicznie) prowadzona jest w Wydziale Funduszy Europejskich i podlega corocznej
kontroli ABI.
Wszystkie upowa ż nienia przygotowywane i wycofywane s ą zgodnie z obowi ązuj ą c ą
procedur ą na wniosek kierowników komórek organizacyjnych lub podczas zako ń czenia pracy
w urz ędzie, a tak że jako element kontroli prowadzonych przez ABI.
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Inform, ł cji w 2014 roku
strona 3 z 13
W opisywanym okresie na podstawie wniosków zg łoszeniowych oraz ustale ń poczynionych
w trakcie audytów bezpiecze ń stwa wydano łącznie 1121 upowa żnie ń (z czego 37 na skutek
obserwacji poczynionych podczas kontroli) i wycofano b ą d ź utraci ło wa ż no ść 1561
upowa ż nie ń (z czego 237 na skutek kontroli). Raporty zawieraj ące informacje
o upowa ż nieniach do przetwarzania danych osobowych wydanych i wycofanych w okresie
obj ętym sprawozdaniem, z podzia łem na zbiory danych osobowych, zawieraj ą : za łącznik 2 —
upowa żnienia wydane, za łącznik 3 — upowa ż nienia wycofane.
4. Ewidencja zbiorów danych osobowych
Ewidencja zbiorów danych osobowych prowadzona jest w systemie informatycznym
— bazie danych o nazwie „Metabaza". Lista zbiorów danych osobowych prowadzonych
w Urz ędzie Miasta Katowice wg stanu na dzie ń 31 grudnia 2014 r. znajduje si ę w za łą czniku
4. W ramach prowadzonej ewidencji prowadzona jest nadal ci ąg ła analiza rozpoznanych
zbiorów pod k ą tem mo ż liwo ści ich łączenia. Celem takiego post ępowania jest ograniczenie
liczby zidentyfikowanych zbiorów do rozdzielnych zada ń realizowanych w Urz ędzie Miasta
Katowice, wynikaj ących z zapisów prawnych. Wcze śniejsze podzia ły wynika ły cz ęsto
z historycznego rozproszenia informatycznego — w miar ę pojawiania si ę nowych systemów
informatycznych identyfikowano nowe zbiory. Obecnie ka ż da taka sytuacja analizowana jest
pod k ątem celu zbierania danych i je ś li jest on podobny lub to żsamy z innym zbiorem nie
tworzy si ę nowego.
5. Audyty bezpiecze ń stwa
Audyty bezpiecze ń stwa zbiorów, w których przetwarzane s ą dane osobowe maj ą na
celu weryfikacj ę oraz kontrol ę w ł a ściwego przetwarzania danych osobowych przez
poszczególne komórki organizacyjne Urz ędu i prowadzone s ą jako kontrole roczne (zgodnie
z harmonogramem zatwierdzonym przez Prezydenta Miasta Katowice), b ą d ź kontrole
dora źne (na stwierdzenia prawdopodobnego naruszenia bezpiecze ństwa danych
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 4 z 13
osobowych). W roku 2014 przeprowadzono kontrole w 43 komórkach organizacyjnych
Urzędu Miasta Katowice:
• Wieloosobowe Samodzielne Stanowisko ds. BHP (wnioski w załączniku 5),
• Wydzia ł Funduszy Europejskich (wnioski w załączniku 8),
• Biuro Konserwatora Zabytków (wnioski w załączniku 7),
• Wydzia ł Planowania Przestrzennego (wnioski w za łączniku 6),
• Wydzia ł Budownictwa (wnioski w za łączniku 9),
• Biuro Prasowe (wnioski w za łączniku 10),
• Wydzia ł Promocji (wnioski w za łączniku 11),
• Wydzia ł Budynków i Dróg (wnioski w za łączniku 12),
• Wydzia ł Sportu i Turystyki (wnioski w za łączniku 13),
• Wydzia ł Edukacji (wnioski w za łączniku 15),
• Biuro Rady Miasta (wnioski w za łączniku 14),
• Koordynator Projektów EBI i CEB (wnioski w za łączniku 17),
• Wydzia ł Inwestycji (wnioski w za łączniku 16),
• Wydzia ł Rozwoju Miasta (wnioski w za łączniku 18),
• Biuro Geologii i Górnictwa (wnioski w za łączniku 19),
• Wydzia ł Geodezji (wnioski w za łączniku 20),
• Wydzia ł Obsługi Inwestorów Strategicznych (wnioski w za łączniku 21).
• Wydzia ł Gospodarki Mieniem (wnioski w za łączniku 22),
• Wydzia ł Organizacji i Zarz ądzania (wnioski w za łączniku 23),
• Wydzia ł Podatków i Op łat Lokalnych (wnioski w za łączniku 24),
• Wydzia ł Polityki Społecznej (wnioski w za łączniku 25),
• Miejski Rzecznik Konsumentów (wnioski w załączniku 26),
• Biuro Praw Jazdy i Rejestracji Pojazdów (wnioski w za łączniku 27),
• Biuro Zamówie ń Publicznych (wnioski w za łączniku 28),
• Wydzia ł Administracyjny (wnioski w za łączniku 29),
• Wydzia ł Kszta łtowania Ś rodowiska (wnioski w za łączniku 30),
• Wydzia ł Ksi ęgowo-Rachunkowy (wnioski w załączniku 31),
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 5 z 13
• Pe łnomocnik Prezydenta ds. Projektu Przebudowy Strefy „Rondo-Rynek" — Biuro
Projektu Przebudowy Centrum Katowic (wnioski w za łączniku 32),
• Wydzia ł Bud żetu Miasta (wnioski w za łączniku 33),
• Pe łnomocnik Prezydenta ds. Organizacji Imprez Strategicznych (wnioski
w załączniku 34),
• Wydzia ł Prawny (wnioski w za łą czniku 35),
• Wydzia ł Zarz ądzania Kryzysowego (wnioski w za łączniku 36),
• Wydzia ł Audytu i Kontroli (wnioski w za łą czniku 37),
• Urz ąd Stanu Cywilnego (wnioski w za łą czniku 38),
• Wydzia ł Zdrowia, Nadzory W ł a ścicielskiego i Przekszta łce ń W łasno ściowych (wnioski
w za łączniku 39),
• Wydzia ł Kultury (wnioski w za łą czniku 40),
• Wydzia ł Spraw Obywatelskich (wnioski w za łączniku 41).
Podczas ubieg łorocznych kontroli zrezygnowano z indywidualnego sprawdzenia w Wydziale
Informatyki, ze wzgl ędu na planowany i obecnie ju ż zrealizowany ca ło ściowy audyt
bezpiecze ń stwa informacji wymagany rozporządzeniem Rady Ministrów z dnia 12 kwietnia
2012 r. w sprawie Krajowych Ram Interoperacyjno ści, minimalnych wymaga ń dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga ń dla
systemów teleinformatycznych (Dz.U. 2012 poz. 526), obejmuj ący swym zasi ęgiem w du ż ej
mierze bezpiecze ństwo teleinformatyczne. Po analizie zakresu zagadnienia wspólnie
z kierownictwem Wydzia łu Informatyki podj ę to decyzj ę o zleceniu audytu profesjonalnej
firmie zewn ę trznej. Raport z tego audytu stanowi osobne opracowanie i zostanie
przedstawiony Panu Prezydentowi w najbli ższym czasie.
W kontrolach przeprowadzonych w minionym roku przez pracowników komórki
Administratora Bezpiecze ń stwa Informacji — zgodnie z przyj ętymi za ło żeniami dotycz ą cymi
wszystkich okresowych kontroli w 2014 roku — szczególny nacisk zosta ł po ło żony na dwa
aspekty bezpiecze ń stwa:
• zabezpieczenie fizyczne pomieszcze ń urz ędowych, w których gromadzona
i przetwarzana jest dokumentacja zawieraj ąca dane osobowe. Poniewa ż by ło to
drugie z rz ędu (rok do roku) sprawdzenie w tym zakresie, da ło si ę zauwa żyć znacz ą c ą
poprawę bezpiecze ństwa — nie stwierdzono przypadków pozostawiania
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 6 z 13
niezamkni ę tych pomieszcze ń pod nieobecno ść pracownika, czy kluczy w drzwiach od
strony korytarza. Z kolei pobieranie kluczy odbywa ło si ę za wpisem w ksi ążce pobra ń .
Sytuacj ę znacznie polepszy ło wyposa żenie nowo zasiedlonego budynku przy Rynku 1
w automatyczn ą szafę wydaj ą cą klucze uprawnionym osobom na podstawie karty
identyfikacyjnej;
• kontrol ę celowo ści posiadanych przez pracowników upowa ż nie ń do przetwarzania
danych osobowych. Tutaj celem bynajmniej nie by ł o podwa ż anie decyzji kierowników
komórek organizacyjnych, lecz spojrzenie na zakresy upowa ż nie ń pracowniczych
przez pryzmat nadmiarowo ści dostępu do danych, a co za tym idzie — bezpiecze ń stwa
przetwarzanych informacji. Na skutek obserwacji w łasnych i ustale ń z kierownikami
komórek organizacyjnych wycofano 237 nadmiarowych, niewykorzystywanych
upowa ż nie ń . Liczba ta jest niepokoj ąco du ża i szukaj ąc przyczyny takiego stanu nale ży
uzna ć , i ż w wi ę kszo ści komórek organizacyjnych nie jest prowadzona bie żą ca analiza
posiadanych przez pracowników uprawnie ń , a zadanie pozostawiane jest na czas
dorocznej kontroli ABI.
Dodatkowo podczas kontroli sprawdzany by ł rzeczywisty dost ęp do informatycznych
zasobów Urz ędu Miasta Katowice dla zalogowanych pracowników i porównywany
z posiadanymi upowa żnieniami. Takie podej ście do kontroli stacji roboczych jest
pracoch łonne, jednak pozwala skuteczniej zweryfikowa ć posiadany przez u żytkownika
dostęp do danych osobowych i wychwyci ć nieprawid łowo ści w posiadanych
upowa żnieniach. Pozwala tak że przejrze ć zasoby informatyczne pracownika pod k ą tem
mo ż liwo ści pojawienia si ę nowych zbiorów danych, b ą d ź nadmiarowych, cz ęsto
zapomnianych kopii danych. Przypadki takie by ły nieliczne i uda ło si ę je na bieżą co wyja śnia ć
kasuj ąc b ą d ź przenosz ąc dane we w ła ściwe lokalizacje. Jedynie w Wydziale Edukacji
zaobserwowano dane, które gromadzone s ą w zwi ązku z realizacj ą niezidentyfikowanego
dotychczas zadania. W tym przypadku podj ę to decyzj ę o zarejestrowaniu dwóch nowych
zbiorów.
Z kolei w Wydziale Zarz ądzania Kryzysowego uda ło si ę inaczej ni ż dotychczas sklasyfikowa ć
niezarejestrowany od wielu lat zbiór zawieraj ący dane zwi ązane z Miejskim Centrum
Ratownictwa (wcze śniejsza odmowa rejestracji przez Biuro GIODO z powodu braku podstaw
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 7 z 13
prawnych do posiadania takiego zbioru przez Prezydenta Miasta Katowice). Zg łoszenie
rejestracyjne w tej sprawie zosta ło wys łane do GIODO 11 grudnia 2014 r.
Inne, wykryte podczas przegl ądu zasobów komputerowych, nieprawid łowo ści dotyczy ły
g łównie nieblokowania kont u żytkowników przez administratorów w przypadku posiadania
upowa ż nie ń terminowych, posiadaj ących z góry ustalon ą datę obowi ązywania — w chwili
utraty wa ż no ści takiego upowa ż nienia administrator nie jest dodatkowo informowany. Cz ęść
systemów informatycznych wykorzystywanych w sieci UMK nie posiada mo ż liwo ś ci
ustawienia takiego terminu z góry i wbudowanego mechanizmu blokuj ącego konto po tym
czasie. Wymagana jest wtedy r ęczna blokada przez w ł a ściwego administratora, a brak
narz ędzia wspomagaj ącego powoduje pojawiaj ące si ę przypadki nieblokowania kont.
Problem istnieje od wielu lat, wymiana oprogramowania na nowe pozwala zmniejsza ć jego
zakres, jednak nadal zapewnienie w ła ściwego zabezpieczenia le ży po stronie administratora
systemu. Rozwi ązaniem problemu powinno okaza ć si ę planowane w najbli ż szym czasie
uruchomienie Portalu korporacyjnego, którego jedn ą z funkcjonalno ści ma by ć w ł a ś nie
narz ędzie informuj ące administratora systemu o up ływie wa ż no ści upowa ż nienia.
Podczas kontroli komputerów zaobserwowano tak że kilkakrotnie brak w ła ściwego
zabezpieczenia antywirusowego, jednak stanowi ło to odosobnione przypadki i by ło na
bieżą co zg łaszane i naprawiane przez osoby odpowiedzialne.
Podczas przeprowadzonych w trakcie audytów analiz aktualno ści zgłosze ń zbiorów
zarejestrowanych u Generalnego Inspektora Ochrony Danych Osobowych ustalono
konieczno ść aktualizacji zaledwie trzech zbiorów danych osobowych. W stosunku do 134
zidentyfikowanych w Urz ędzie Miasta Katowicach zbiorów stanowi to dobry wynik i świadczy
o prawid łowym funkcjonowaniu procedur zg łoszeniowych.
Zakres rocznych kontroli obejmowa ł równie ż weryfikacj ę obszarów przetwarzania danych
osobowych. W wi ę kszo ści komórek organizacyjnych zaobserwowane ró ż nice by ły niewielkie.
Nale ży w tym miejscu jednak zauwa żyć, i ż ze wzgl ędu na wi ę ksz ą ni ż w latach ubieg łych
migracj ę wydzia łów Urz ędu, g łównie zwi ązan ą z uruchomieniem budynku przy Rynku 1,
Administrator Bezpiecze ń stwa Informacji przeprowadzi ł w zakresie obszarów przetwarzania
dodatkow ą kontrol ę dora ź n ą .
Podsumowuj ąc kontrole przeprowadzone w komórkach organizacyjnych Urz ędu nale ży
stwierdzi ć , i ż nadal jedn ą z głównych nieprawid łowo ści jest brak bie żących, niezw łocznie
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 8 z 13
przekazywanych informacji z komórek organizacyjnych urz ędu dotycz ących zmian w procesie
przetwarzania danych osobowych. Prowadzone kontrole i rozmowy z kierownikami komórek
organizacyjnych cz ęsto nasuwaj ą myś l, i ż odbywaj ąca si ę raz w roku kontrola jest jedynym
czasem pe łniejszej i głę bszej analizy zagadnie ń z zakresu ochrony danych osobowych
w kontrolowanej komórce, cz ęsto wręcz przypomnieniem sobie o takich obowi ązkach.
Najprawdopodobniej jest to wynikiem nadmiaru bie żących zada ń i obowi ązków b ę d ących
g łównym zakresem dzia łania komórki. Dlatego coraz istotniejsze staje si ę ci ągłe
u świadamianie wszystkim osobom pracuj ącym w Urz ędzie Miasta Katowice zagro ż e ń
wynikaj ących z niewła ściwego zabezpieczania procesu przetwarzania danych osobowych.
Drugim rodzajem kontroli prowadzonych przez pracowników komórki Administratora
Bezpiecze ń stwa Informacji by ły kontrole dora źne. W minionym roku odby ły si ę dwie:
• kontrola posiadanych uprawnie ń w systemach informatycznych oraz celowo ści
i aktualno ści upowa żnie ń wydanych pracownikom podmiotów zewn ę trznych
(tj. miejskich jednostek organizacyjnych, firm wspó ł pracuj ących czy administruj ących
zasobami informatycznymi itp.) — raport z kontroli zawieraj ą za łączniki 42 i 43;
• kontrola aktualno ści obszarów przetwarzania w zwi ązku z intensywn ą migracj ą
wydzia łów Urz ędu. Kontrola mia ła na celu zaktualizowanie ewidencji prowadzonej
w tym zakresie.
6. Incydenty naruszenia ochrony danych osobowych
W sprawozdawanym okresie zg łoszono do Administratora Bezpiecze ń stwa Informacji
jeden incydent naruszenia bezpiecze ństwa danych osobowych. Zgłoszony zosta ł
21 pa ździernika 2014 r. przez Naczelnika Wydzia łu Spraw Obywatelskich i dotyczy ł
uszkodzenia alarmu chroni ącego budynek przy ul. Franciszka ń skiej 25 zajmowany przez
Referat Ewidencji Ludno ści. Problem bezzw łocznie zosta ł tak że zgłoszony do Wydzia ł u
Administracyjnego jednak firma serwisuj ąca alarmy naprawi ła go dopiero nast ępnego dnia.
Ze wzgl ędu na istniej ące zagro żenie zlecono dodatkow ą ochron ę obiektu katowickiej Stra ży
Miejskiej w nocy z 21 na 22 pa ździernika 2014 r. Szczegó ły zawiera za łącznik 44.
Z kolei ABI ze swej strony zauwa żył nast ę puj ące incydenty:
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 9 z 13
• awaria aplikacji PABS i LBPP autorstwa firmy Krakfin — przez trzy dni (22-24 kwietnia)
niemo ż liwa lub utrudniona by ła praca w tych aplikacjach z powodu problemów z
wynajmowan ą przez firm ę Krakfin serwerowni ą . Ze wzgl ędu na zakres
wykorzystywania aplikacji m.in. przez wszystkie katowickie szko ły, brak dost ępu był
bardzo uci ąż liwy. Pe łna notatka znajduje si ę w za łączniku 45;
• wykorzystywanie przez pracowników firmy Rekord w celu zdalnego dost ępu do sieci
UMK narz ędzia niezatwierdzonego przez Naczelnika Wydzia łu Informatyki oraz ABI.
Uzyskane od firmy Rekord wyja śnienia zawiera za łącznik 46;
• brak w dokumentacji programu stypendialnego dla uczniów uzdolnionych „Prymus"
informacji o udost ępnianiu danych osobowych poza Urz ąd podczas jego realizacji.
Zwi ązane jest to z przekazaniem zadania wyp łat i rozlicze ń stypendiów do Zespo łu
Obs ługi Jednostek O światowych w Katowicach. Dokumentacja zosta ła niezw łocznie
uzupe łniona o wymagane tre ści;
• awaria strony internetowej Urz ędu Miasta Katowice (22 lipca) — strona „wysypa ła si ę "
ca łkowicie i niemo ż liwe było korzystanie z jej zasobów, zawieraj ących m.in. zbiory
danych osobowych. Tre ści zosta ły przywrócone przez firm ę Passus, autora portalu,
w ramach wsparcia autorskiego. Do dzisiaj jednak nie uda ło si ę uzyska ć raportu
o przyczynach awarii. Sprawa jest nadal monitorowana przez ABI;
• uszkodzenie (19 grudnia) niektórych zasobów plikowych w sieci UMK spowodowane
najprawdopodobniej infekcj ą wirusa niewykrywanego przez wykorzystywany w UMK
i na bieżąco aktualizowany system antywirusowy ESET Endpoint. Problem zosta ł
niezwłocznie zgłoszony do producenta, jednak do dzisiaj brak szczegó łowej informacji
poawaryjnej z jego strony. Uszkodzone zasoby plikowe w sieci UMK zosta ły
przywrócone z kopii zapasowej. Raport z incydentu nie zosta ł dotychczas przekazany
Administratorowi Bezpiecze ń stwa Informacji.
7. Inne dzia łania
W minionym roku Administrator Bezpiecze ń stwa Informacji bra ł udzia ł w opracowaniu
procedury w ła ściwego zabezpieczenia obiegu dokumentów w ramach przej ętego od Stra ży
Miejskiej zadania ewidencjonowania wp łat i tytu łów wykonawczych z tytu łu mandatów
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 10 z 13
nak ładanych przez stra ż ników katowickiej Stra ży Miejskiej. Ostatecznie uda ło si ę zagadnienie
sfinalizowa ć do ko ń ca 2014 r.
Administrator Bezpiecze ństwa Informacji w ostatnim czasie kontynuowa ł dzia łania maj ące
na celu wypracowanie nowego, zgodnego z obowi ą zuj ącym prawem uregulowania
obowi ązku pobierania zgody osoby na przetwarzanie danych osobowych podczas
prowadzenia niektórych post ę powa ń administracyjnych w urz ędzie. Od d ł u ższego czasu
problem występowa ł w Wydziale Gospodarki Mieniem, gdzie pobierane by ły zgody
w zasadzie przy okazji ka żdego sk ładanego wniosku. Ponadto dotyczy ły one równie ż
sk ładania jakoby obligatoryjnego o świadczenia o zgodzie na upublicznienie danych, cho ć —
zdaniem ABI popartym orzecznictwem s ądowym — podawanie w omawianych przypadkach
do publicznej wiadomo ści danych osób — stron post ępowania jest nadmiarowe i pozbawione
podstaw prawnych. W ramach prac nad zmian ą stosowanych w Urz ędzie procedur odby ły si ę
spotkania zainteresowanych stron (reprezentantów Wydzia łu Gospodarki Mieniem,
Wydzia łu Organizacji i Zarz ądzania, Biura Rady Miasta oraz Administratora Bezpiecze ń stwa
Informacji), maj ące na celu wypracowanie nowych zasad dzia łania, a tak że wystąpiono
do Wydzia łu Prawnego o opini ę prawn ą w przedmiotowej sprawie. Po szerokim rozeznaniu
tematu ustalono, i ż do publicznej wiadomo ści podawane b ęd ą dokumenty, wykazy, listy itp.
jedynie w uzasadnionych prawnie przypadkach, a dane osobowe w nich zawarte b ęd ą
ka żdorazowo anonimizowane. Ponadto stwierdzono konieczno ść zmiany zarzqdzenia
wewnę trznego Prezydenta Miasta Nr 198/2008 z dnia 6 czerwca 2008 r. w sprawie zasad
przygotowania i trybu przedk ładania spraw do rozstrzygnięcia przez Prezydenta Miasta
Katowice, Wiceprezydentów Miasta Katowice, a tak że Sekretarza Miasta i Skarbnika Miasta,
przynajmniej w cz ęści załącznika nr 7 — tj. o świadczenia w sprawie wyra żenia zgody na
przetwarzanie danych osobowych, który obecnie jest obligatoryjnym dokumentem przy
przedk ładaniu spraw na posiedzenie Prezydenta i stanowi w zwi ązku z tym zasz łość prawn ą .
Za zmian ę zarz ądzenia odpowiedzialny jest Wydzia ł Organizacji i Zarz ądzania.
Z kolei na zlecenie Wydzia ł u Geodezji przez ca ły miniony rok trwa ły prace nad wdro żeniem
Miejskiego Systemu Zarz ądzania — Katowickiej Infrastruktury Informacji Przestrzennej, czyli
systemu integruj ącego wiele informacji przetwarzanych w zasobach Urz ędu Miasta
Katowice, a równie ż w zasobach niektórych jednostek organizacyjnych miasta w oparciu
o system informacji przestrzennej. Ze wzgl ędu na rozleg ł o ść i skomplikowanie zadania, jak
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 11 z 13
równie ż wielo ść danych, w tym cz ęsto zawieraj ących informacje o charakterze osobowym,
w ca łym cyklu prac bra ł i nadal bierze udzia ł wytypowany pracownik komórki Administratora
Bezpiecze ń stwa Informacji — inspektor Maja Nawratel-Fik.
Ponadto Administrator Bezpiecze ń stwa Informacji po ustaleniach z Naczelnikiem Wydzia ł u
Spraw Obywatelskich i Kierownikiem Urz ędu Stanu Cywilnego przyj ął na siebie zadanie
przygotowywania i ewidencjonowania, a tak że przekazywania do Ministra Spraw
Wewn ę trznych, upowa żnie ń do przetwarzania danych osobowych w Centralnych Rejestrach
Pa ń stwowych realizowanego za pomoc ą aplikacji ŹRÓDŁO.
8. Podsumowanie sprawozdania
W sprawozdawanym okresie zadania wynikaj ące z zakresu obowi ązków
Administratora Bezpiecze ń stwa Informacji realizowane by ły na bieżąco i bez wi ę kszych
przeszkód. Podj ęte dzia łania przyczyni ły si ę do wykrycia pewnych nieprawid łowo ści
i w zwi ązku z tym udoskonalony zosta ł w tych obszarach proces przetwarzania danych
osobowych. Przeprowadzone kontrole ukaza ły przede wszystkim post ę p świadomo ściowy
pracowników — wida ć wyra ź nie poprawę w przyzwyczajeniach i stosowanie dobrych praktyk
w codziennej pracy. Daje si ę jednak w tym obszarze zauwa żyć brak podstawowych
wiadomo ści, szczególnie w ś ród d ługoletnich pracowników, którzy ju ż nie pami ę taj ą szkole ń
odbytych podczas zatrudniania. Administrator Bezpiecze ństwa Informacji zauwa ż a
konieczno ść wprowadzenia cyklicznych szkole ń dla pracowników, np. co 2-3 lata. Ze wzgl ę du
jednak na liczb ę pracowników planowane jest w 2015 roku wykorzystanie w tym zakresie
elektronicznej platformy szkoleniowej w ramach powstaj ącego Portalu korporacyjnego
Urz ędu Miasta Katowice.
Dobrym rozwi ązaniem uruchomionym w Urz ędzie jest zastosowanie automatycznego
urz ądzenia do wydawania kluczy w budynku przy Rynku 1. Mo ż na z powodzeniem uzna ć , i ż
rozwi ązanie sprawdzi ło si ę i zabezpieczy ło nieuprawniony dost ęp do kluczy, przy
równoczesnym przyspieszeniu obs ługi. Dobrym rozwi ązaniem by łoby stopniowe wdro żenie
tego rozwi ązania we wszystkich budynkach zajmowanych przez komórki organizacyjne
Urz ędu Miasta Katowice.
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ństwa Informacji w 2014 roku
strona 12 z 13
TA KATOWICE
in Krupa
ADMI ISTRATOR BEZPI iN1ST FORMACJI
C ł . ny Specjaillsta mgr Michał Siedl - czek
Z kolei szybki rozwój technologiczny wymusza na osobach odpowiedzialnych za
bezpiecze ństwo informacji w jednostce wzmo żone dzia łania. Temu celowi s ł u żył m.in.
przeprowadzony przez firm ę zewn ętrzn ą audyt bezpiecze ństwa informacji pod k ątem
dostosowania do Krajowych Ram Interoperacyjno ści oraz normy PN-ISO/IEC 27001. Mimo ż e
wst ępny raport poaudytowy nie wykaza ł powa żnych zagro ż e ń , wida ć sporo spraw
wymagaj ących unormowania, sformalizowania, czy doprecyzowania, np. w sferze coraz
powszechniej wykorzystywanych przez urz ędników elektronicznych urz ądze ń mobilnych.
Będzie to elementem dzia łania komórki ABI w najbli ższych miesi ącach.
Od 1 stycznia 2015 roku uleg ła zmianie pozycja Administratora Bezpiecze ń stwa Informacji
w jednostce zgodnie z nowelizacj ą ustawy o ochronie danych osobowych (Dz.U.2014 poz.
1182 ze zm.). Administratorowi, po oficjalnym jego zg łoszeniu do ewidencji prowadzonej
przez Generalnego Inspektora Ochrony Danych Osobowych, co w naszym przypadku
powinno nastą pi ć do 30 czerwca br., przyb ędzie nieco dodatkowych obowi ązków, m.in.
stworzenie i prowadzenie publicznie dost ępnego rejestru zbiorów prowadzonych w Urz ędzie
Miasta Katowice czy wykonywanie kontroli w jednostce na polecenie GIODO. Dostosowane
do wymaga ń noweli musz ą równie ż zosta ć : proces szkoleniowy oraz prowadzone kontrole
i sprawdzenia. Poniewa ż jednak nadal brak rozporz ądze ń wykonawczych do znowelizowanej
ustawy, nale ży spodziewa ć si ę , i ż najbli ższy rok b ędzie okresem wyt ężonej pracy wszystkich
pracowników zatrudnionych w komórce Administratora Bezpiecze ń stwa Informacji.
Sprawozdanie z dzia łalno ści Administratora Bezpiecze ń stwa Informacji w 2014 roku
strona 13 z 13