Polityka bezpieczeństwa informacji w Banku Spółdzielczym w Nowej Soli
ZATWIERDZONA PRZEZ RADĘ NADZORCZĄ dnia 29.12.2021 r.
Rozdział 1. Podstawy prawne
§ 1.
Polityka Bezpieczeństwa Informacji oraz wynikające z niej dokumenty szczegółowe są wyrazem obowiązujących przepisów prawa i znormalizowanych dobrych praktyk, a w szczególności:
1) ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe;
2) Ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE);
3) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych;
4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
5) Norm PN-ISO IEC-27000, PN-ISO IEC-27001, PN-ISO/IEC 27002, PN-ISO/IEC 27005;
6) standardów branżowych dotyczących sektora bankowego, a w szczególności:
a) Uchwały Nr 7/2013 r. Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach,
b) Uchwały Nr 8/2013 r. Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach.
§ 2.
1. Zasady ochrony informacji prawnie chronionych w Banku określa „Instrukcja postępowania z informacjami stanowiącymi tajemnicę w Banku Spółdzielczym w Nowej Soli”.
2. Zasady zarządzania systemami informatycznymi w Banku określa „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli”.
3. Zasady przetwarzania danych osobowych w Banku określa „Polityka Bezpieczeństwa Danych Osobowych Banku Spółdzielczego w Nowej Soli” oraz „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli”.
4. Zasady użytkowania systemów informatycznych określa „Regulamin użytkownika systemów informatycznych w Banku Spółdzielczym w Nowej Soli”
§ 3.
Przez użyte w Polityce terminy należy rozumieć definicje, które zawarte są w „INSTRUKCJA – SŁOWNIK w zakresie stosowania pojęć wykorzystywanych w regulacjach wewnętrznych związanych z SYSTEMEM ZARZĄDZANIA BEZPIECZEŃSTWA INFORMACJI, RYZYKIEM OPERACYJNYM i IT”.
Rozdział 2. Cel i zakres
§ 4.
1. Celem Polityki jest tworzenie i utrzymywanie podstaw organizacyjnych dla funkcjonującego w Banku systemu zarządzania bezpieczeństwem informacji oraz określenie podstawowych zasad i wymagań organizacyjno-technicznych oraz prawnych dla zapewnienia właściwej ochrony informacji stanowiących tajemnicę bankową, informacji prawnie chronionych i innych zasobów informacyjnych przetwarzanych w Banku, a w szczególności informacji wytwarzanych, przetwarzanych, przekazywanych i przechowywanych w systemach informatycznych Banku.
2. Polityka odnosi się do wszelkich zasobów informacyjnych związanych z realizacją procesów biznesowych Banku, a w szczególności do systemów informatycznych, systemów telekomunikacyjnych, systemów łączności przewodowej i bezprzewodowej oraz wszelkich zastosowań informatyki rozpatrywanych w kontekście struktury organizacyjnej, infrastruktury technicznej Banku oraz jego pracowników.
3. Polityka dotyczy wszystkich osób zatrudnionych w Banku, a także osób, przy pomocy których Bank wykonuje swoje czynności, które przyjęły na siebie zobowiązanie dotyczące jej przestrzegania. Przedstawione w niniejszym dokumencie środki i metody ochrony informacji dotyczą wszelkich jej form zapisu, w tym informacji zapisanych na nośnikach elektronicznych, optycznych, magnetycznych i papierowych.
Rozdział 3. Priorytety bezpieczeństwa
§ 5.
1. Usługi bankowe świadczone przez Bank wymagają zapewnienia właściwego poziomu bezpieczeństwa informacji zgodnie z najlepszymi praktykami wynikającymi z przepisów prawa, polskich norm i standardów branżowych dotyczących sektora bankowego.
2. Zarząd Banku realizując cele strategiczne w obszarze działalności zrzeszeniowej i komercyjnej, wyznacza następujące cele bezpieczeństwa:
1) zapewnienie zgodności przetwarzania informacji z obowiązującymi przepisami prawa;
2) zapewnienie ciągłości realizacji procesów biznesowych;
3) zapewnienie ochrony pozytywnego wizerunku i reputacji Banku.
3. Zarząd Banku wspiera osiągnięcie tych celów i utrzymanie właściwego poziomu bezpieczeństwa informacji. Dobór środków i metod zabezpieczeń organizacyjno-technicznych i prawnych powinien uwzględniać wyniki analizy ryzyka oraz aspekt ekonomiczny ochrony informacji.
4. Realizacja celów Polityki odbywa się w poszanowaniu zasad społecznej odpowiedzialności i etyki biznesu dzięki zaangażowaniu wszystkich pracowników Banku i aktywnemu uczestnictwu w systemie zarządzania bezpieczeństwem informacji.
Rozdział 4. Podstawowe zasady bezpieczeństwa informacji w Banku
§ 6.
1. Systemy informatyczne Banku są zabezpieczone przed nieupoważnionym dostępem, modyfikacją lub zniszczeniem. Sieć wewnętrzna Banku jest zabezpieczona przed nieupoważnionym dostępem z zewnątrz.
2. Informacje w systemach Banku są chronione w sposób proporcjonalny do ich wrażliwości, zagrożeń lub wymagań stawianych przez odpowiednie przepisy prawne.
3. Każdy Użytkownik systemu informatycznego dysponuje indywidualnym kontem, za pośrednictwem którego może korzystać z udostępnionych zasobów i usług. System gwarantuje rozliczalność użytkowników zarejestrowanych w systemie.
Rozdział 5. Klasyfikacja informacji
§ 7.
Informacje wytwarzane i przetwarzane w Banku dzieli się na informacje:
1) ogólnodostępne;
2) do użytku wewnętrznego;
3) poufne bankowe (chronione, w tym prawnie chronione).
§ 8.
Za szczegółowe zasady klasyfikacji oraz postępowania z informacjami i nośnikami, określają „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli” i „Instrukcja bezpieczeństwa środowiska teleinformatycznego i informacji w Banku Spółdzielczym w Nowej Soli” oraz „Instrukcja postępowania z informacjami stanowiącymi tajemnice w banku Spółdzielczym w Nowej Soli”.
Rozdział 6. Analiza i zarządzanie ryzykiem bezpieczeństwa informacji
§ 9.
1. Podstawowe zagrożenia dla poprawnego funkcjonowania systemów informatycznych mogą wynikać z awaryjności sprzętu komputerowego, oprogramowania, czynnika ludzkiego oraz zdarzeń losowych.
2. Skutkiem wystąpienia zagrożenia zasobów informacyjnych mogą być:
1) zniszczenie części lub całości systemu informatycznego wykorzystywanego do przetwarzania informacji;
2) utrata danych;
3) utrata poufności, integralności, dostępności, rozliczalności lub autentyczności danych;
4) straty finansowe;
5) utrata wiarygodności i dobrego wizerunku Banku.
3. Proces szacowania ryzyka bezpieczeństwa informacji obejmuje analizę zagrożeń, analizę podatności, analizę prawdopodobieństwa wystąpienia zagrożeń, analizę istniejących mechanizmów kontroli oraz monitorowanie i przegląd ryzyka.
4. Wyniki analizy ryzyka stanowią podstawę wyboru odpowiednich mechanizmów kontroli dla systemów informatycznych eksploatowanych w Banku.
5. Wdrażane mechanizmy kontroli powinny być adekwatne do poziomu zidentyfikowanych zagrożeń, oszacowanego ryzyka, wartości aktywów (w szczególności systemów informatycznych), zapewniać efektywność ekonomiczną oraz skutkować akceptowalnym poziomem ryzyka szczątkowego.
Rozdział 7. Organizacja ochrony informacji
§ 10.
1. Za organizację procesów związanych z przestrzeganiem bezpieczeństwa informacji i systemów informatycznych odpowiada ASI.
2. Za przestrzeganie przez podległych pracowników zasad ochrony informacji przetwarzanych w Banku odpowiedzialny jest Zarząd Banku.
3. Każdy pracownik Banku odpowiada za ochronę przetwarzanych informacji zgodnie z indywidualnym zakresem obowiązków, nadanymi uprawnieniami i zakresem odpowiedzialności wynikającym z zajmowanego stanowiska.
4. Obowiązkiem każdego pracownika Banku jest:
1) przestrzeganie przepisów prawa i przepisów wewnętrznych Banku;
2) dbałość o zachowanie bezpieczeństwa informacji, do których ma dostęp;
3) zgłaszanie do bezpośredniego przełożonego przypadków naruszenia bezpieczeństwa informacji.
5. Członkowie Zarządu odpowiedzialni są za nadzór nad wykonywaniem i egzekwowanie postanowień w zakresie bezpieczeństwa informacji zawartych w umowach podpisanych z Bankiem.
Rozdział 8. Zarządzanie dostępem
§ 11.
1. Dostęp do informacji i systemów informatycznych eksploatowanych w Banku jest przyznawany zgodnie z zasadą wiedzy koniecznej.
2. Dostęp do systemów informatycznych jest przyznawany jedynie na czas i w zakresie niezbędnym do wykonywania zadań na rzecz Banku.
§ 12.
1. Dostęp do systemów informatycznych musi być zabezpieczony z wykorzystaniem obowiązujących w Banku mechanizmów bezpieczeństwa w postaci rozwiązań organizacyjno-technicznych i prawnych uwzględniających kategorię systemu oraz wrażliwość informacji przetwarzanych w systemie.
2. Dostęp do zasobów bankowych dla pracowników Banku przydzielany w oparciu o zasadę najmniejszych przywilejów (ang. Principle of Least Privileges).
3. Mechanizmy bezpieczeństwa muszą zapewniać rozliczalność, w stopniu uwzględniającym kategorię systemu oraz wymagania wynikające z przepisów prawa i przepisów wewnętrznych Banku. W szczególności każdemu użytkownikowi systemu informatycznego musi być przydzielony niepowtarzalny identyfikator.
4. Każdy użytkownik systemu informatycznego zobowiązany jest posługiwać się wyłącznie przydzielonym identyfikatorem i kontem z nim związanym oraz zobowiązany jest do zachowania w poufności danych wykorzystywanych do uwierzytelniania w systemie.
§ 13.
Szczegółowe zasady dostępu do systemów informatycznych reguluje „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli” oraz „Regulamin użytkownika systemów informatycznych w Banku Spółdzielczym w Nowej Soli”.
Rozdział 9. Bezpieczeństwo sprzętu i oprogramowania
§ 14.
1. Sprzęt informatyczny i oprogramowanie eksploatowane w Banku podlega ochronie.
2. Sprzęt informatyczny oraz oprogramowanie wykorzystywane w systemach informatycznych muszą być zgodne z przepisami i standardami obowiązującymi w Banku.
§ 15.
1. Stacje robocze, komputery przenośne, urządzenia mobilne, serwery są chronione przed szkodliwym oprogramowaniem adekwatnie do ryzyka infekcji i podatności urządzeń.
2. Program antywirusowy i inne narzędzia chroniące przed szkodliwym oprogramowaniem są regularnie uaktualniane.
3. W przypadku pojawienia się zagrożenia związanego ze szkodliwym oprogramowaniem, odpowiednie jednostki Banku są informowane o typie zagrożenia i możliwych do podjęcia działaniach. W razie poważnego zagrożenia dla użytkowników systemów informatycznych, należy edukować ich w zakresie zapobiegania infekcjom.
4. Bank posiada sformalizowany sposób zarządzania incydentami związanymi ze zidentyfikowanym szkodliwym oprogramowaniem.
§ 16.
1. Za określanie oraz zmiany w obowiązujących standardach sprzętu i oprogramowania odpowiada Zarząd.
2. Standard sprzętu i oprogramowania powinien być zgodny z wymaganiami biznesowymi, uwzględniać opłacalność ekonomiczną oraz wymagania w zakresie bezpieczeństwa.
§ 17.
System informatyczny może składać się wyłącznie z przetestowanego oraz formalnie dopuszczonego do eksploatacji sprzętu i oprogramowania.
§ 18.
1. Sprzęt i oprogramowanie powinny być eksploatowane, serwisowane i wycofywane z eksploatacji z zachowaniem właściwych procedur bezpieczeństwa.
2. Wszelkie działania związane z utrzymaniem i eksploatacją systemu informatycznego mogą być podejmowane wyłącznie przez upoważniony, wykwalifikowany personel Banku lub upoważnione osoby, przy pomocy których Bank wykonuje swoje czynności.
3. Niedopuszczalne jest instalowanie oprogramowania pochodzącego z nielegalnych źródeł.
4. Wszelkie oprogramowanie wykorzystywane w Banku musi być użytkowane z poszanowaniem praw własności intelektualnej, a w szczególności zgodnie z ustawą o prawie autorskim i prawach pokrewnych.
5. Zarządzanie oprogramowaniem, określenie standardów i ich kontrola realizowane są przez ASI.
§ 19.
1. Komputery i inne urządzenia przenośne, muszą być zabezpieczone w sposób zapewniający ich właściwą ochronę.
2. Osoby korzystające z urządzeń przenośnych muszą być świadome zagrożeń i zobowiązane są do zachowania należytej staranności w celu zapewnienia ich bezpieczeństwa.
3. Zabrania się używania komputerów i urządzeń przenośnych zawierających informacje stanowiące tajemnicę bez zapewnienia ich właściwej ochrony poprzez zastosowanie obowiązujących środków organizacyjno-technicznych i prawnych.
Rozdział 10. Bezpieczeństwo nośników informacji
§ 20.
1. Wszystkie nośniki informacji (w tym także dokumenty w formie papierowej) podlegają właściwej ochronie stosownie do klasyfikacji informacji, na wszystkich etapach ich używania, od momentu zapisu informacji, aż do momentu wycofywania z użycia lub fizycznego zniszczenia.
2. Za zapewnienie właściwej ochrony nośników informacji odpowiada ich użytkownik.
3. Osoby korzystające z nośników informacji powinny być świadome zagrożeń, i zobowiązane są do zachowania należytej staranności poprzez zastosowanie obowiązujących środków organizacyjno-technicznych i prawnych.
4. W przypadku wycofywania z użycia nośników informacji zawierających informacje stanowiące tajemnicę, na osobie, której nośnik przekazano do używania spoczywa obowiązek trwałego usunięcia zapisanych informacji, zgodnie ze standardami obowiązującymi w Banku.
5. Standardy, o których mowa w ust. 4, określa „Regulamin zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli”, „Instrukcja Zasady postępowania z informacjami stanowiącymi tajemnicę w Banku Spółdzielczym w Nowej Soli” oraz „Instrukcja organizacja i zakres działania archiwum zakładowego w banku spółdzielczym w Nowej Soli”.
Rozdział 11. Bezpieczeństwo osobowe
§ 21.
1. Każdy pracownik Banku jest obligatoryjnie zapoznawany z przepisami wewnętrznymi dotyczącymi bezpieczeństwa informacji i podpisuje zobowiązanie do przestrzegania regulacji wewnętrznych i przepisów prawa dotyczących tego obszaru, a w przypadku zawierania umowy cywilno-prawnej uwzględnia się kwestie związane z bezpieczeństwem informacji.
2. Warunki zatrudnienia pracownika na danym stanowisku powinny określać jego zakres dostępu i uprawnień oraz wynikającą z tego odpowiedzialność za bezpieczeństwo informacji.
3. Każdy użytkownik systemu informatycznego przed dopuszczeniem do systemu musi posiadać niezbędne kompetencje z zakresu jego obsługi.
Rozdział 12. Szkolenia z zakresu bezpieczeństwa informacji
§ 22.
Celem szkoleń z zakresu bezpieczeństwa informacji jest:
1) zapoznanie pracowników z obowiązującymi przepisami z zakresu bezpieczeństwa informacji;
2) podnoszenie umiejętności użytkowników systemów informatycznych w zakresie stosowania procedur wewnętrznych bezpieczeństwa informacji oraz właściwego używania zasobów informatycznych;
3) utrzymywanie kwalifikacji pracowników na poziomie odpowiednim dla zapewnienia bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym i umożliwienia właściwego korzystania ze sprzętu i systemów informatycznych;
4) zaznajamianie pracowników z tematyką ochrony przed stosowanymi przez przestępców technikami ataków (socjotechniki) oraz ochroną przed szkodliwym oprogramowaniem;
5) kształtowanie świadomości pracowników w zakresie dbałości o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym;
6) zapewnienie pracownikom podstawowej wiedzy na temat mechanizmów kontrolnych dotyczących aktywów, za które są odpowiedzialni;
7) zapoznanie pracowników z metodami minimalizacji ryzyka związanego z zagrożeniami bezpieczeństwa informacji, a także sposobami ograniczania liczby incydentów;
8) dostarczenie pracownikom informacji na temat zagrożeń, sposobów ich unikania i przeciwdziałania.
§ 23.
1. Uczestnictwo pracowników w szkoleniach z zakresu bezpieczeństwa informacji jest obowiązkowe.
2. Za organizację szkoleń odpowiada Prezes we współpracy z ASI.
§ 24.
Szkolenia z zakresu bezpieczeństwa informacji obejmują:
1) Politykę bezpieczeństwa informacji w Banku Spółdzielczym oraz wynikające z niej zasady zapewnienia bezpieczeństwa informacji określone szczegółowo w wymienionych w niej regulacjach powiązanych;
2) zasady bezpiecznego korzystania z urządzeń i systemów Banku;
3) regulacje wewnętrzne w zakresie korzystania z urządzeń bankowych w celach służbowych i prywatnych;
4) informacje o zagrożeniach związanych z urządzeniami mobilnymi;
5) zasady publikowania informacji dotyczących Banku w Internecie, w tym na portalach społecznościowych;
6) podstawowe informacje o atakach socjotechnicznych;
7) zasady rozpoznawania i zgłaszania incydentów bezpieczeństwa;
8) zasady ochrony przed szkodliwym oprogramowaniem, reguły rozpoznawania i zgłaszania infekcji;
9) konsekwencje prawne wobec osób nieprzestrzegających procedur bezpieczeństwa, w tym postępowania dyscyplinarne.
§ 25.
W celu zwrócenia uwagi na problematykę bezpieczeństwa informacji i ochrony danych oraz wzmacniania wzorców poprawnych zachowań, Zarząd Banku podejmuje działania mające na celu tworzenie kultury bezpieczeństwa i podnoszenia świadomości bezpieczeństwa informacji.
Rozdział 13. Audyt i kontrola
§ 26.
1. Przez audyt lub kontrolę bezpieczeństwa informacji należy rozumieć czynności mające na celu przegląd i weryfikację:
1) systemu zarządzania bezpieczeństwem informacji;
2) zasad eksploatacji systemów informatycznych, w tym spełnienie wymagań bezpieczeństwa w zakresie zgodności z obowiązującymi przepisami prawa i z przepisami wewnętrznymi Banku.
2. Audyt wewnętrzny w Banku jest wykonywany przez Spółdzielnię Systemu Ochrony Zrzeszenia BPS.
3. Kontrola wewnętrzna w Banku jest realizowana w ramach systemu kontroli wewnętrznej, opisanego w „Regulaminie systemu kontroli wewnętrznej”.
4. Zasady realizacji audytów i kontroli zostały zdefiniowane w Banku w „Regulaminie kontroli wewnętrznej”.
Rozdział 14. Zarządzanie incydentami i wyjątkami
§ 27.
1. Celem zarządzania incydentami bezpieczeństwa w Banku jest minimalizacja ryzyka wystąpienia podobnych incydentów w przyszłości.
2. Wszyscy pracownicy Banku zobowiązani są do niezwłocznego zgłaszania wszelkich incydentów bezpieczeństwa zgodnie z „Instrukcją postępowania w przypadku wystąpienia incydentu naruszenia bezpieczeństwa informacji”.
Rozdział 15. Zarządzanie ciągłością działania
§ 28.
1. W celu zapewnienia ciągłości działania usług bankowych oraz niezakłóconej pracy systemów informatycznych wykorzystywanych do ich świadczenia, Bank ustanowił i utrzymuje system zarządzania ciągłością działania jako integralny element normalnej działalności, którego głównymi zadaniami jest podejmowanie proaktywnych działań zapobiegających wystąpieniu sytuacji kryzysowej oraz przygotowanie zorganizowanej reakcji Banku na sytuacje kryzysowe poprzez opracowanie planów zarządzania ciągłością działania dla procesów krytycznych i wspierających je systemów krytycznych.
2. Przy opracowywaniu planów ciągłości działania uwzględniane są wyniki analizy ryzyka realizowanej w oparciu o metodykę BIA (Business Impact Analisys).
3. Plany, o których mowa w ust. 1, akceptuje Zarząd Banku.
4. Szczegółowe zasady funkcjonowania systemu zarządzania ciągłością działania opisuje „Plan utrzymania ciągłości działania Banku Spółdzielczego w Nowej Soli”.
Rozdział 16. Role i odpowiedzialność
§ 29.
1. Wszyscy pracownicy Banku pełnią w systemie zarządzania bezpieczeństwem informacji określone funkcje i zobowiązani są do zapewnienia bezpieczeństwa informacji zasobów informacyjnych Banku.
2. Użytkownicy systemu informatycznego odpowiedzialni są w szczególności za bezpieczeństwo informacji, do których mają dostęp, a zwłaszcza za przestrzeganie postanowień Polityki i wynikających z niej przepisów wewnętrznych Banku.
3. Członkowie Zarządu Banku odpowiedzialni są za zapewnienie bieżącego nadzoru nad przestrzeganiem obowiązujących w Banku zasad bezpieczeństwa informacji.
Rozdział 17. Postanowienia końcowe
§ 30.
1. Wszyscy pracownicy są uświadomieni w zakresie przyjętej Polityki Bezpieczeństwa Informacji, co zatwierdzają podpisem.
2. Niniejsza Polityka wchodzi w życie z dniem zatwierdzenia przez Radę Nadzorczą Banku.
