Skip to main content
  • Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji  

Polityka bezpieczeństwa informacji w Banku Spółdzielczym w Nowej Soli

ZATWIERDZONA  PRZEZ RADĘ NADZORCZĄ dnia 24.03.2025 r.

1     Postanowienia ogólne

1.1    Cel

1.1.1   Zarząd Banku ustanawia proces „Ramy zarządzania ryzykiem ICT”, który zapewnia skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka ICT, w celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej.

1.1.2   Celem strategicznym „Ram zarządzania ryzykiem ICT” jest zapewnienie wymaganego zaangażowania pracowników Banku w utrzymanie bezpieczeństwa informacji, spełnienie wymogów obowiązującego prawa, potrzeb biznesowych Banku oraz określenie kierunków rozwoju zarządzania bezpieczeństwem informacji.

1.1.3   Ustanowiony ww. proces jest równoważny procesowi „System Zarządzania Bezpieczeństwem Informacji” (SZBI) będącemu efektem jego wdrożenia, funkcjonowania i doskonalenia zgodnie z normą PN/IEC 27001.

1.1.4   Zarząd Banku określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT oraz ponosi odpowiedzialność za ich wdrażanie. W celu zapewnienia funkcjonowania ww. procesu Zarząd Banku:

a)             wprowadza niniejszą „Politykę bezpieczeństwa informacji” oraz inne dokumenty regulujące zarządzanie bezpieczeństwem informacji, które zapewniają utrzymanie wysokich standardów atrybutów poufności, dostępności, autentyczności, integralności oraz rozliczalności.

1.1.5   W celu właściwego i efektywnego funkcjonowania „Ram zarządzania ryzykiem ICT”, Zarząd Banku:

a)             ustanawia niniejszy dokument tj. „Politykę bezpieczeństwa informacji (zwaną dalej „Polityką”), która jest nadrzędnym dokumentem określającym przyjęte przez Bank założenia w zakresie zapewnienia bezpieczeństwa informacji.

b)             podnosi poziom wiedzy i umiejętności w ramach regularnego udziału w szkoleniach, gwarantujących zrozumienie i ocenę ryzyka związanego z ICT a także jego wpływu na operacje Banku.

c)             ustala, że wymagania i zasady wynikające z Polityki i przepisów wewnętrznych z niej wynikających obowiązują:

  • wszystkich pracowników Banku zatrudnionych na podstawie umowy o pracę, umowy zlecenie/dzieło lub innej formy zatrudnienia;

  • podmioty zewnętrzne współpracujące z Bankiem, które zawarły stosowne umowy;

  • podmioty posiadające dostęp lub korzystające w jakikolwiek sposób z aktywów informacyjnych Banku oraz metod ich przetwarzania.

d)             ustala ogólne założenia, cele, zadania i wyzwania dla obszaru bezpieczeństwa informacji w ramach „Strategii operacyjnej odporności cyfrowej”.

e)             stosuje najwyższe standardy bezpieczeństwa w celu zapewnienia bezpieczeństwa danych i środków klientów.

f)              na bieżąco buduje kulturę bezpieczeństwa wśród pracowników i klientów oraz prowadzi działania uświadamiające i edukujące w zakresie zagrożeń i cyberzagrożeń.

1.1.6   Zarząd Banku w celu zapewnienia funkcjonowania Banku zgodnie z powszechnie obowiązującymi przepisami prawa oraz międzynarodowymi standardami, zapewnia zgodność Polityki w szczególności z:

  • standardami bezpieczeństwa:
  1. Normami PN-ISO IEC 27000, 27001, 27002, 27005 w zakresie bezpieczeństwa informacji i szacowania ryzyka;
  2. Normą PN-ISO IEC ISO 22301 w zakresie ciągłości działania;
  • przepisami prawa europejskiego:
  1. dyrektywą Parlamentu Europejskiego i Rady (UE) w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2);
  2. rozporządzeniem Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA);
  3. rozporządzeniem Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych;
  4. wytyczną EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT;
  • przepisami prawa polskiego:
  1. ustawą Prawo bankowe;
  2. ustawą o ochronie danych osobowych;
  3. ustawą o zwalczaniu nieuczciwej konkurencji;
  4. rozporządzeniem w sprawie wymagań, jakim powinna odpowiadać ochrona wartości pieniężnych przechowywanych i transportowanych przez przedsiębiorców i inne jednostki organizacyjne;
  • standardów rynkowych sektora finansowego wydawanych przez Komisję Nadzoru Bankowego:
  1. Rekomendację D Komisji Nadzoru Finansowego;
  2. Rekomendację M Komisji Nadzoru Finansowego;
  3. Rekomendacja KNF dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w Internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo – kredytowe.

1.2         Terminologia

  • aktywa – wszystko, co ma wartość dla Banku np.: aktywa informacyjne; oprogramowanie (takie jak program komputerowy); fizyczne, (takie jak komputer); usługi; personel oraz jego kwalifikacje, umiejętności i doświadczenie; wartości niematerialne (takie jak reputacja i wizerunek);
  • aktywa podstawowe – (zgodnie z ISO 27005) typy informacji i procesy biznesowe zidentyfikowane w Banku;
  • aktywa wspierające – (zgodnie z PN-ISO/IEC 27005) aktywa umożliwiające realizację procesów oraz przetwarzanie, przechowywanie i/lub przesyłanie typów danych w ramach procesów biznesowych;
  • aktywa informacyjne – informacje, wiedza, dane, które posiadają wartość dla Banku;
  • analiza ryzyka – proces mający na celu oszacowanie wagi ryzyka rozumianej, jako funkcja prawdopodobieństwa wystąpienia skutku i krytyczności jego następstw dla Banku. Proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka (Analiza ryzyka stanowi podstawę do oceny ryzyka oraz podejmowania decyzji w zakresie postępowania z ryzykiem).
  • autentyczność – właściwość oznaczająca, że zawartość zasobu informatycznego oraz tożsamość osoby lub innego systemu informatycznego, mającego dostęp do tego zasobu, jest taka jak deklarowana;
  • Bank – Bank Spółdzielczy w Nowej Soli
  • bezpieczeństwo informacji – (BI) zachowanie poufności, integralności, dostępności autentyczność, rozliczalność informacji;
  • Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych
  • Funkcja odpowiedzialna za IT - Stanowisko obsługi informatycznej i bezpieczeństwa
  • BIA - analiza wpływu biznesowego - BIA (ang. business impact analysis) - proces analizy działalności biznesowej oraz skutków, jakie mogą wywierać zakłócenia (incydenty, awarie, zdarzenia o charakterze katastroficznym) na te działalności (na podstawie ISO 22300);
  • DORA – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011;
  • dostępność danych – właściwość danych polegająca na tym, że są one dostępne i mogą być wykorzystywane na żądanie uprawnionej jednostki/komórki organizacyjnej bądź podmiotu uprawnionego na podstawie przepisów prawa bądź zawartej umowy cywilno-prawnej;
  • dysponent zasobu – komórka organizacyjna Banku odpowiedzialny za merytoryczne wykorzystanie określonego zasobu informatycznego, tj. w zakresie funkcjonalności dostarczanej przez zasób;
  • Grupa Kapitałowa Banku BPS S.A. – Bank BPS i podmioty zależne;
  • ICT - cyfrowa technologia informacyjno-komunikacyjna;
  • identyfikowanie ryzyka – proces wyszukiwania, rozpoznawania i opisywania ryzyka (Identyfikowanie ryzyka obejmuje rozpoznanie źródeł ryzyka, zdarzeń, ich przyczyn
    i potencjalnych następstw.     Identyfikowanie ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy PN-ISO/IEC-27005);
  • incydent bezpieczeństwa – pojedyncze niepożądane lub niespodziewane zdarzenie bezpieczeństwa lub seria takich zdarzeń, które wpływają lub mogą wpłynąć na funkcjonowanie Banku oraz cyberbezpieczeństwo, zakłócając jego działalność biznesową, reputację, bezpieczeństwo pracowników oraz aktywów klientów Banku, a także naruszenie zasad wynikających z regulacji wewnętrznych lub przepisów prawa;
  • informacje stanowiące tajemnicę – informacje chronione na mocy prawa lub postanowień regulacji wewnętrznych Banku;
  • infrastruktura teleinformatyczna – zespół urządzeń i łączy transmisyjnych obejmujący
    w szczególności platformy sprzętowe (w tym: serwery, macierze, stacje robocze), sieć teleinformatyczną (w tym: routery, przełączniki, zapory sieciowe oraz inne urządzenia sieciowe), oprogramowanie systemowe (w tym systemy operacyjne i systemy zarządzania bazami danych) oraz inne elementy umożliwiające bezawaryjną i bezpieczną pracę ww. zasobów (w tym zasilacze UPS, generatory prądotwórcze, urządzenia klimatyzacyjne), także te wykorzystywane w ośrodkach zapasowych Banku;
  • integralność – właściwość informacji, danych polegająca na zapewnieniu dokładności i kompletności (na podstawie PN-ISO/IEC-27000);
  • interesariusz – osoba lub organizacja, która może wpływać, na którą można wpływać lub która postrzega siebie, jako zależną od podejmowanych decyzji lub działań
  • jednostka organizacyjna – element struktury organizacyjnej, określony w Regulaminie organizacyjnym Banku;
  • ZUCD – Zespół Utrzymania Ciągłości Działania - zespół odpowiedzialny za zwiększenie skuteczności nadzoru i kontroli nad obszarami bezpieczeństwa informacji i środowiska teleinformatycznego, bezpieczeństwa fizycznego i technicznego, przeciwdziałania przestępstwom na szkodę Banku oraz ciągłością działania;
  • komórka organizacyjna – wewnętrzny element struktury organizacyjnej Banku, określony w Regulaminie organizacyjnym Banku;
  • kontekst wewnętrzny – środowisko wewnętrzne, w którym Bank dąży do osiągnięcia swoich celów (PN-ISO/IEC-27005);
  • kontekst zewnętrzny – środowisko zewnętrzne, w którym Bank dąży do osiągnięcia swoich celów (PN-ISO/IEC-27005);
  • KOS - system dostarczony przez SSOZ mający na celu monitoring realizacji zaleceń zaewidencjonowanych w tym systemie oraz wykorzystywany do gromadzenia danych
    o wydanych zaleceniach i ich realizacji;
  • kryteria ryzyka – poziomy odniesienia, względem, których określa się ważność ryzyka (Kryteria ryzyka są oparte na celach organizacyjnych oraz na zewnętrznym i wewnętrznym kontekście. Kryteria ryzyka mogą pochodzić z norm, przepisów prawa, polityki i innych wymagań - PN-ISO/IEC-27005);
  • krytyczna lub istotna funkcja - oznacza funkcję, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych;
  • następstwo, konsekwencje - rezultat zdarzenia mający wpływ na cele (PN-ISO/IEC-27005);
  • nośnik informacji – wszelkiego rodzaju fizyczne środki służące do zapisu danych, używane w procesie przetwarzania, w szczególności dyski twarde, płyty CD/DVD, taśmy do streamerów, pamięci przenośne, dyski magnetooptyczne, dokumenty w formie papierowej, wirtualne nośniki informacji;
  • ocena ryzyka – proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane (Ocena ryzyka wspomaga podejmowanie decyzji w zakresie postępowania z ryzykiem – PN-ISO/IEC-27005);
  • podatność – słabość aktywu lub zabezpieczenia, które może być wykorzystane, przez co najmniej jedno zagrożenie; zgodnie z rozporządzeniem DORA – słabość, wrażliwość lub wad zasobu, systemu, procesu lub kontroli, które można wykorzystać.
  • postępowanie z ryzykiem - proces modyfikowania ryzyka (PN-ISO/IEC-27005);
  • poufność danych – właściwość danych polegająca na tym, że pozostają one niedostępne lub niejawne dla nieuprawnionych osób, procesów lub innych podmiotów (na podstawie PN-ISO IEC-27000);
  • proces krytyczny – procesy wyłonione (na podstawie analizy BIA) z procesów kluczowych Banku, których przerwa w działaniu powyżej ustalonego limitu czasu, może znacząco utrudnić lub uniemożliwić funkcjonowanie Banku na poziomie wynikającym
    z uregulowań prawnych i rynkowych. Pojawienie się takiej sytuacji kryzysowej może skutkować nieodwracalnymi skutkami finansowymi lub wizerunkowymi dla firmy,
    a w skrajnym przypadku może doprowadzić ją do upadku;
  • proces zarządzania bezpieczeństwem systemów informatycznych – całość działań organizacyjno-technicznych i prawnych podejmowanych przez Bank, a koordynowanych przez Funkcję odpowiedzialną za bezpieczeństwo, mających na celu właściwą ochronę informacji oraz minimalizację skutków w przypadku incydentów bezpieczeństwa;
  • poziom ryzyka – wielkość ryzyka, wyrażona w postaci kombinacji skutków oraz ich prawdopodobieństwa - możliwości, wystąpienia zdarzenia;
  • ramy zarządzania ryzykiem związanym z ICT – zgodnie z normą PN/IEC 27001 „system zarządzania bezpieczeństwem informacji” (SZBI)
  • rozliczalność – właściwość oznaczająca, że wykonane działania (czynności, zadania są udokumentowane) mogą być jednoznacznie przypisane wykonującej je osobie lub systemowi informatycznemu;
  • ryzyko – prawdopodobieństwo tego, że zagrożenie wykorzysta podatność powodując skutek dla Banku. R;
  • ryzyko technologiczne – ryzyko zakłóceń działalności Banku wskutek zaburzeń pracy systemów teleinformatycznych i informacyjnych np. na skutek wykorzystania występujących podatności. Stanowi jeden z elementów wykorzystywanych do oceny „ryzyka bezpieczeństwa informacji”;
  • ryzyko szczątkowe – ryzyko pozostające po wdrożeniu właściwej ochrony, ryzyko pozostające po zastosowaniu działań określonych w postępowaniu z ryzykiem (PN-ISO/IEC-27005); ryzyko rezydualne;
  • ryzyko ICTkażda dającą się racjonalnie określić okoliczność związaną z użytkowaniem sieci i systemów informatycznych, która – jeżeli dojdzie do jej urzeczywistnienia – może zagrozić bezpieczeństwu sieci i systemów informatycznych, dowolnego narzędzia lub procesu zależnego od technologii, bezpieczeństwu operacji i procesów lub świadczeniu usług poprzez wywoływanie negatywnych skutków w środowisku cyfrowym lub fizycznym;
  • skutek – negatywne dla Banku następstwo naruszenia bezpieczeństwa informacji;
  • system informatyczny (system) – zespół współpracujących ze sobą urządzeń, programów, procesów przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
  • system krytyczny – system wspierający działanie procesu krytycznego, niezbędny do jego działania. Systemy krytyczne wyłaniane są w procesie zarządzania ciągłością działania w trakcie mapowania zasobów niezbędnych do funkcjonowania procesów krytycznych na bazie analizy BIA;
  • system zarządzania bezpieczeństwem informacji (SZBI) – całościowy system zarządzania, oparty na podejściu wynikającym z ryzyka, odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa, zbudowany i zarządzany w oparciu o rozporządzenie DORA, normy PN-ISO IEC-27000, PN-ISO IEC-27001, PN-ISO/IEC 27002, PN-ISO/IEC-27005 oraz rekomendacje KNF, wymagania EBA;
  • szacowanie ryzyka - całościowy proces identyfikacji ryzyka, analizy ryzyka oraz oceny ryzyka;
  • informowanie i konsultowanie ryzyka - ciągłe i prowadzone w sposób iteracyjny procesy, które są przez Bank prowadzone w celu zapewnienia, przekazywania lub uzyskania informacji, jak również w celu porozumiewania się z interesariuszami, odnoszące się do zarządzaniem ryzykiem (PN-ISO/IEC-27005);
  • właściciel aktywu – odpowiedzialny za utrzymanie poufności, integralności, dostępności, rozliczalności, autentyczności danej informacji lub procesu posiadającego określoną wartość, którym jest jednostka/komórka organizacyjna Banku wskazana, jako zarządzająca danym aktywem. Właściciel aktywu jest też właścicielem ryzyka;
  • właściwa ochrona – zespół środków organizacyjno-technicznych i prawnych stosowanych w celu zapewnienia bezpieczeństwa informacji przy jednoczesnym uwzględnieniu opłacalności ekonomicznej, wrażliwości informacji i kategorii systemu informatycznego, akceptacji ryzyka szczątkowego oraz spełnieniu wymogów prawnych;
  • zabezpieczenie - wszystko to, co modyfikuje ryzyko (PN-ISO IEC-27005);
  • zagrożenie - potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę Banku (PN-ISO IEC-27000) tj. jego aktywa;
  • zarządzanie ryzykiem - skoordynowane działania dotyczące kierowania i nadzorowania Banku w odniesieniu do ryzyka (PN-ISO IEC-27005);
  • zasób ICT - oprogramowanie lub zasoby komputerowe w sieci i systemach informatycznych wykorzystywanych przez Bank; przetwarzający je system informatyczny wraz z procedurami zarządzania, rozwoju, utrzymania, bezpieczeństwa i eksploatacji;
  • zasoby informacyjne - zbiór informacji, w formie materialnej albo niematerialnej, który jest wart ochrony; informacje objęte ochroną;
  • zasób informatyczny – informacje oraz przetwarzający je system informatyczny wraz z procedurami zarządzania, rozwoju, utrzymania, bezpieczeństwa i eksploatacji;
  • zdarzenie - wystąpienie lub zmiana konkretnego zestawu okoliczności (PN-ISO IEC-27005) - Zdarzenie może wystąpić raz bądź wielokrotnie i może mieć wiele przyczyn. Zdarzenie może polegać na tym, że coś nie wystąpiło. Zdarzenie może czasem być określane, jako „incydent" lub „wypadek".

 

2     Zarządzanie i organizacja Bezpieczeństwa Informacji

2.1         Deklaracja Zarządu

2.1.1   Zarząd Banku przykłada najwyższą wagę do zapewnienia bezpieczeństwa osób i mienia oraz informacji, ponieważ mają one fundamentalne znaczenie dla realizacji misji i celów statutowych Banku.

2.1.2   Zarząd Banku jest w pełni zaangażowany i wspiera proces „Ramy zarządzania ryzykiem ICT”, który zapewnia bezpieczeństwo informacji poprzez jego rozwój, wdrożenie i doskonalenie.

2.1.3   Zarząd Banku deklaruje wdrożenie, utrzymanie i doskonalenia niniejszej Polityki, co oznacza przyjęcie szczegółowych wewnętrznych regulacji będących realizacją wytycznych sformułowanych w Polityce jak też powiązanych politykach, instrukcjach, procedurach, wytycznych i innych zdefiniowanych dokumentach.  Polityka obowiązuje wszystkie komórki, jednostki organizacyjne Banku, wszystkich pracowników, współpracowników i użytkowników informacji a wszystkie procedury, instrukcje oraz inne regulacje wewnętrzne Banku, które muszą być zgodne z zasadami zawartymi w niniejszym dokumencie.

2.1.4   Zarząd Banku deklaruje, że informacja stanowi kluczowy element aktywów Banku a jej wykorzystanie pozwala na budowę przewagi rynkowej w związku z tym wymaga odpowiedniej i należytej ochrony.

2.1.5   W związku z powyższym, Zarząd Banku wyznacza Członka Zarządu, jako osobę, która sprawuje strategiczny nadzór w Banku nad procesem „Ramy zarzadzania ryzykiem ICT” i tym samym „Systemem zarządzania bezpieczeństwem informacji”.

2.2        Regulacje i wytyczne tworzące ramy zarzadzania

2.2.1   W „Strategii operacyjnej odporności cyfrowej” określono sposób wdrażania „Ram zarządzania ryzykiem ICT” w związku, z tym zawiera ona metody przeciwdziałania ryzyku związanemu z ICT i osiągania szczególnych celów w dziedzinie ICT. Definiuje się, że ramy zarządzania obligatoryjnie obejmują:

a)             wyjaśnienie, w jaki sposób ramy zarządzania ryzykiem związanym z ICT wspierają strategię biznesową i cele biznesowe Banku;

b)            ustalenie limitu tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie z gotowością Banku do podejmowania ryzyka oraz analizą tolerancji wpływu zakłóceń w funkcjonowaniu ICT;

c)             określenie jasnych celów w zakresie bezpieczeństwa informacji, w tym najważniejszych wskaźników efektywności i kluczowych wskaźników ryzyka;

d)            objaśnienie referencyjnej architektury ICT oraz wszelkich zmian niezbędnych do osiągnięcia konkretnych celów biznesowych;

e)             przedstawienie poszczególnych mechanizmów wprowadzonych w celu wykrywania incydentów związanych z ICT, zapobiegania ich skutkom i ochrony przed nimi;

f)             dokumentowanie obecnej sytuacji w zakresie operacyjnej odporności cyfrowej na podstawie liczby zgłoszonych poważnych incydentów związanych z ICT oraz skuteczności środków zapobiegawczych;

g)            wdrożenie testowania operacyjnej odporności cyfrowej,

h)            przedstawienie strategii komunikacji w przypadku incydentów związanych z ICT.

Strategia wyraża wolę Zarządu Banku w zakresie ochrony informacji oraz metod ich przetwarzania i jest dokumentem jawnym, z którym powinni mieć możliwość zapoznania się wszystkie osoby realizujące czynności, zadania, usługi na rzecz Banku. Strategia ma na celu określenie zasad ochrony informacji Banku poprzez zapewnienie zachowania poufności, integralności, dostępności, autentyczności i rozliczalności informacji, danych.

2.2.2   Polityka zawiera wytyczne szczegółowe w zakresie zapewnienia bezpieczeństwa oraz określa sposób realizacji postanowień zawartych w Strategii a także wskazuje ogólne wytyczne niezbędne do zapewnienia bezpieczeństwa Banku i zatrudnionych pracowników. Polityka Bezpieczeństwa Informacji jest dokumentem wewnętrznym Banku. Warunkiem koniecznym do podjęcia pracy w Banku jest pisemne oświadczenie pracownika, o zapoznaniu z Polityką jak też zrozumieniem jej treści oraz zobowiązaniem do przestrzegania zapisów Polityki oraz dokumentów, które składają się na „Ramy zarządzania ryzykiem ICT”.

2.2.3   Bezpieczeństwo Banku to stan określony przez przyjęty zbiór norm, zasad, środków i metod ochrony informacji i metod jej przetwarzania, którego miarą jest poziom ryzyka naruszenia ich poufności, integralności, dostępności, autentyczności i rozliczalności. Bezpieczeństwo Banku jest zapewnione, jeżeli poziom ryzyka naruszenia poufności, integralności, dostępności rozliczalności chronionych aktywów Banku nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce. Polityka określa wytyczne do stworzenia systemu ochrony informacji Banku wykorzystywanych w procesie gromadzenia i przetwarzania informacji.

2.2.4   Polityka obowiązuje wszystkich pracowników, dostawców, podwykonawców, audytorów i konsultantów, którzy mają dostęp do informacji i metod jej przetwarzania. Każdy z pracowników Banku oraz podmiotów zewnętrznych uzyskujących dostęp do aktywów Banku zobowiązany jest przestrzegać zasad, reguł i postanowień Polityki w zakresie odpowiadającym jego funkcji, roli i przyjętej odpowiedzialności w Banku.

2.2.5   Polityka jest przedmiotem systematycznych przeglądów, mających na celu wprowadzenie ewentualnych usprawnień oraz uwzględnienie w nim zmian zachodzących zarówno w otoczeniu banku, jak i w jego środowisku wewnętrznym. Przeglądy są realizowane nie rzadziej niż raz w roku, tak by zapewnić jej efektywność i adekwatność w odniesieniu do zachodzących zmian. Niezależnie od rocznych przeglądów, Polityka podlega przeglądowi w przypadku poważnego naruszenia bezpieczeństwa informacji, systemów zabezpieczeń, pojawienia się nowych i istotnych rodzajów ryzyka, zmian regulacji prawnych, którym podlega Bank, lub znaczących zmian infrastruktury biznesowej i technicznej.

2.2.6   Zmiany Polityki zatwierdza Rada Nadzorcza a Zarząd Banku formalnie informuje o zmianach w jej treści wszystkie osoby zaangażowane w przetwarzanie informacji, funkcjonujące procesy, świadczące usługi dla Banku.

2.2.7   Przedmiotem ochrony realizowanej zgodnie z zapisami zawartymi w Polityce są:

·         pracownicy,

·         informacje, niezależnie od ich formy gromadzenia, przetwarzania i przechowywania,

·         zasoby nieinformacyjne, zapewniające odpowiednie metody przetwarzania informacji, w szczególności obejmujące:

­   sprzęt wykorzystywany do gromadzenia, przetwarzania, przesyłania i przechowywania informacji,

­   wykorzystywane oprogramowanie,

­   pomieszczenia zawierające sprzęt komputerowy,

­   pozostałe mienie wykorzystywane do przetwarzania informacji.

2.2.8   Właścicielem wszelkiego rodzaju informacji funkcjonujących w ramach aktywów Banku jak też przechowywanych bądź przesyłanych w ramach zleconych usług jest Bank, który jest uprawniony do aktywnej i nieograniczonej ochrony swoich zasobów informacyjnych.

2.3         Role i odpowiedzialność

2.3.1            Rada Nadzorcza (RN)
  1. zatwierdza i nadzoruje wdrażanie strategii oraz Polityki Bezpieczeństwa Informacji;
2.3.2            Zarząd Banku (ZB)

Zarząd Banku wspiera proces „Ramy zarządzania ryzykiem ICT” i implementację mechanizmów technicznych zapewniających funkcjonowanie procesu. W kwestiach zapewnienia bezpieczeństwa Banku tj. zapewnienia skutecznego i ostrożnościowego zarządzania wszystkimi rodzajami ryzyka związanego z bezpieczeństwem informacji w tym ryzykiem ICT, Zarząd Banku:

  1. określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z bezpieczeństwem informacji oraz ponosi odpowiedzialność za ich wdrażanie,
  2. ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z bezpieczeństwem informacji;
  3. wprowadza polityki mające zapewnić utrzymanie wysokich standardów dostępności, autentyczności, integralności, poufności danych oraz rozliczalności;
  4. ustala wyraźne role i obowiązki w odniesieniu do wszystkich funkcji związanych z bezpieczeństwem informacji i ustanawia odpowiednie rozwiązania w zakresie zarządzania, aby zapewnić skuteczną i terminową komunikację, współpracę i koordynację przy wykonywaniu tych funkcji;
  5. ponosi pełną odpowiedzialność za określenie i zatwierdzenie strategii operacyjnej odporności cyfrowej, w tym za określenie odpowiedniego poziomu tolerancji ryzyka związanego z bezpieczeństwem informacji;
  6. zatwierdza plany Banku dotyczące wewnętrznych audytów bezpieczeństwa informacji w tym audytów ICT i ich istotne zmiany oraz okresowo dokonuje ich przeglądu;
  7. przydziela odpowiedni budżet w celu zaspokojenia potrzeb w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, w tym odpowiednich programów zwiększania świadomości w zakresie bezpieczeństwa informacji oraz szkoleń w zakresie operacyjnej odporności cyfrowej i umiejętności dotyczących bezpieczeństwa informacji dla wszystkich pracowników i okresowo dokonuje jego przeglądu;
  8. wprowadza kanały dokonywania zgłoszeń umożliwiające uzyskiwanie odpowiednich informacji na temat:
  • ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT;
  • wszelkich planowanych istotnych zmian dotyczących zewnętrznych dostawców usług ICT;
  • potencjalnego wpływu takich zmian na krytyczne lub istotne funkcje objęte tymi ustaleniami, w tym streszczenia analizy ryzyka w celu oceny wpływu tych zmian, oraz co najmniej na temat poważnych incydentów związanych z bezpieczeństwem informacji w tym ICT i ich wpływu jak również na temat środków reagowania, środków przywracania sprawności i środków naprawczych.
  1. ustanawia zadania i odpowiedzialność w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT i ich udokumentowania.
  2. wyraża potrzebę ochrony informacji i doboru właściwych metod jej przetwarzania w Banku.
  3. akceptuje lub wyraża potrzebę obniżenia poziomu ryzyka związanego z przetwarzaniem informacji w systemie informatycznym.
  4. zapewnienia wsparcia organizacyjno-finansowego przy wdrażaniu mechanizmów zabezpieczenia aktywów Banku.
  5. ponosi prawną odpowiedzialność za funkcjonowanie Banku, w tym również za egzekwowanie przestrzeganie wymagań związanych z zabezpieczeniem aktywów Banku.
2.3.3            ZUCD – Zespół Utrzymania Ciągłości Działania

Odpowiedzialny jest za:

  1. zwiększenie skuteczności nadzoru i kontroli nad obszarami jakości danych, bezpieczeństwa informacji i środowiska teleinformatycznego, bezpieczeństwa fizycznego i technicznego, przeciwdziałania przestępstwom na szkodę Banku oraz ciągłością działania;
  2. zapewnienie efektywnej komunikacji w obszarach bezpieczeństwa i ciągłości działania, zgodnej z działaniami, celami i potrzebami Banku;
  3. nadzór nad zapewnieniem dostępności niezbędnych zasobów pozwalających na kontynuowanie lub odtworzenie działalności po wystąpieniu incydentów zagrażających ciągłości działania Banku;
  4. podejmowanie decyzji i wydawanie rekomendacji w zakresie działań prewencyjnych w obszarze jakości danych, bezpieczeństwa i ciągłości działania Banku zmierzających do likwidacji zidentyfikowanych zagrożeń i obniżenia poziomu ryzyka;
  5. podejmowanie decyzji i wydawanie rekomendacji zmierzających do minimalizacji skutków incydentów bezpieczeństwa.
2.3.4   Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych

W kwestii odpowiedzialności Zarządu Banku, Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych zapewnia koordynację obszarów składających się na ramy zarządzania ryzykiem ICT w szczególności poprzez realizację zadań:

  1. zarządzanie bezpieczeństwem informacji
  2. opracowywanie wymagań i standardów oraz nadzór nad ich implementacją
    w zakresie zapewnienia:
  • bezpieczeństwa bankowych systemów teleinformatycznych,
  • bezpieczeństwa kryptograficznego oraz bezpieczeństwa transakcji dokonywanych przy użyciu systemów kartowych oraz systemów elektronicznej obsługi klienta,
  • bezpieczeństwa obrotu informacjami prawnie chronionymi oraz nadzór nad realizacją zadań w zakresie ochrony informacji oraz danych osobowych,
  • ochrony fizycznej i technicznego zabezpieczenia mienia bankowego oraz ochrony transportów wartości pieniężnych,
  1. zarządzanie incydentami bezpieczeństwa oraz raportowanie do instytucji nadzorczych,
  2. wydawanie zaleceń i działań naprawczych wynikających ze zidentyfikowanych niezgodności i nieprawidłowości oraz incydentów bezpieczeństwa,
  3. ocena prawidłowości i skuteczności funkcjonujących rozwiązań dotyczących bezpieczeństwa w procesach funkcjonujących w Banku,
  4. przeprowadzanie cyklicznych, doraźnych, problemowych i incydentalnych czynności kontrolnych dotyczących bezpieczeństwa w jednostkach i komórkach organizacyjnych, podmiotach zależnych oraz podmiotach korzystających z infrastruktury Banku,
  5. monitorowanie i raportowanie działań podejmowanych w następstwie rekomendacji wydanych przez SOC,
  6. współprace z instytucjami zewnętrznymi w zakresie zapewnienia bezpieczeństwa Banku, w tym z organami ścigania,
  7. przygotowywanie planów odtwarzania działalności i reagowania na sytuacje kryzysowe w Banku oraz nadzór nad ich wdrażaniem i funkcjonowaniem,
  8. prowadzenie prac analitycznych w zakresie zgodności nowych inicjatyw projektowych z docelową architekturą bezpieczeństwa Banku,
  9. zarządzanie usługami bezpieczeństwa świadczonymi przez zewnętrznych dostawców technologicznych oraz monitorowanie jakości usług serwisowych dla systemów bezpieczeństwa dostarczanych przez podmioty zewnętrzne,
  10. obsługa Funkcja odpowiedzialna za ciągłość działania - ZUCD – Zespół Utrzymania Ciągłości Działania
2.3.5   Funkcja odpowiedzialna za IT - Stanowisko obsługi informatycznej i bezpieczeństwa

W kwestii odpowiedzialności Zarządu Banku, Funkcja odpowiedzialna za IT - Stanowisko obsługi informatycznej i bezpieczeństwa zapewnia zarządzanie aktywami ICT w szczególności poprzez:

  1. inwentaryzacje aktywów teleinformatycznych;
  2. zarządzanie (sporządzenie, aktualizację, itd.) dokumentacją techniczną aktywów ICT;
  3. zarządzanie zasobami ICT z uwzględnianiem wymagań wynikających z niniejszego dokumentu jak też innych formalnych wytycznych Funkcja odpowiedzialna za bezpieczeństwo - Członek Zarządu ds. finansowo-księgowych
  4. zapewnienie bezpieczeństwa informacjom, danym, przetwarzanym za pomocą aktywów ICT, w tym systemów informatycznych własnych bądź zewnętrznych wykorzystywanych przez Bank;
  5. opracowywanie regulacji szczegółowych w zakresie zarządzania aktywami ICT, w tym tworzenie polityk, procedur, instrukcji i zasad zarządzania, administrowania;
  6. zapewnienie bezpieczeństwa aktywom ICT;
  7. nadzorowanie firm świadczących usługi ICT dla Banku.

Funkcja odpowiedzialna za IT zapewnia również prawidłowe funkcjonowanie systemu informatycznego oraz wdraża mechanizmy zgodne ze zdefiniowanymi wymaganiami przez Funkcja odpowiedzialna za bezpieczeństwo – Członka Zarządu w zakresie zabezpieczenia systemów informatycznych.

Do obowiązków Funkcja odpowiedzialna za IT w zakresie bezpieczeństwa należy:

  • implementacja odpowiednich mechanizmów bezpieczeństwa w administrowanej infrastrukturze informatycznej,
  • nadawanie uprawnień użytkownikom systemu informatycznego zgodnie z wdrożoną w Banku ścieżką akceptacji,
  • tworzenie kopii zapasowych danych przechowywanych w systemie informatycznym,
  • instalacja i uaktualnianie oprogramowania, systemów oraz zarządzanie licencjami,
  • monitorowanie działania systemu informatycznego i podejmowanie działań niwelujących nieprawidłowości, zagrożenia w tym natychmiastowe przekazywanie informacji o nieprawidłowościach, zagrożeniach do Funkcja odpowiedzialna za bezpieczeństwo – Członka Zarządu,
  • aktywny udział w procesie reagowania na incydenty w zakresie bezpieczeństwa oraz w usuwaniu ich skutków.

2.3.6   Inspektor Ochrony Danych (IOD) odpowiedzialny jest za realizację zadań związanych z nadzorem nad ochroną danych osobowych, zgodnie z art. 39 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) zwanym „RODO” w regulacjach wewnętrznych Banku. Szczegółowy zakres zadań IOD został wskazany w ramach „Polityki bezpieczeństwa danych osobowych”.

2.3.7            Właściciele informacji

Właściciel jest wyznaczany przez Zarząd Banku i pełni nadzór (w imieniu Zarządu Banku) nad informacjami i metodami ich przetwarzania. Wszystkie informacje i zasoby nie informacyjne (w tym systemy informatyczne) powinny mieć Właściciela.

Właściciel w zakresie informacji i systemów informatycznych, jest odpowiedzialny za:

  1. inicjowanie i koordynowanie działań w zakresie bezpieczeństwa informacji, w tym opracowanie analizy ryzyka, klasyfikację informacji oraz wybór metod ich przetwarzania; stworzenie i aktualizację schematu i hierarchii praw dostępu do informacji w systemach informatycznych; ustalanie zasad dostępu do systemów informatycznych osób nie będących pracownikami Banku;
  2. zarządzanie zmianami w systemach informatycznych, w tym wyznaczanie kierunków i priorytetów zmian oraz inicjowanie i zatwierdzanie wprowadzonych zmian;
  3. opracowywanie regulacji szczegółowych w zakresie informacji i systemów informatycznych, których jest Właścicielem, w tym tworzenie procedur i zasad obsługi oraz zatwierdzanie praw dostępu;
  4. przeglądy zgodności rozwiązań funkcjonujących w Banku z Polityką,
  5. tworzenie założeń do planów awaryjnych i ciągłości działania w zakresie systemów informatycznych, których jest Właścicielem, w tym ustalanie zasad tworzenia i odtwarzania kopii bezpieczeństwa oraz zasad wprowadzania zaległych danych do systemu po okresie jego niedostępności spowodowanej awarią;
  6. w uzasadnionych przypadkach delegowanie swoich zadań do innych komórek organizacyjnych, pracowników (po uzyskaniu akceptacji osób nadzorujących pracę tych komórek, przełożonych tych osób, jeśli jest ona wymagana), sprawując nad nimi nadzór merytoryczny i zachowując pełną odpowiedzialność za pracę tych komórek organizacyjnych lub osób w zakresie powierzonych im zadań.
2.3.8            Kierownictwo

Przełożony pracownika odpowiada za nadzór nad przestrzeganiem obowiązków nałożonych przez Politykę na pracowników, współpracowników oraz realizację zasad w niej zawartych w podlegającej komórce, jednostce organizacyjnej Banku.

2.3.9            Pracownik, współpracownik

Pracownik, współpracownik bez względu na pełnioną funkcję lub posiadane stanowisko, ma obowiązek dołożyć wszelkich starań, aby chronić powierzone mu informacje, zasoby ICT. Każdy  pracownik, współpracownik ma obowiązek informowania służb odpowiedzialnych za bezpieczeństwo Banku o każdym zauważonym przypadku naruszenia bezpieczeństwa Banku. Obowiązek ochrony informacji nie zanika z chwilą ustania stosunku pracy między pracownikiem a Bankiem.

Wszyscy pracownicy Banku pełnią w systemie zarządzania bezpieczeństwem informacji, określone funkcje i zobowiązani są do zapewnienia bezpieczeństwa przetwarzanym informacjom oraz aktywom, które tą informację przetwarzają w Banku. Obowiązkiem każdego pracownika Banku jest:

  1. przestrzeganie przepisów prawa i regulacji wewnętrznych Banku;
  2. realizacja czynności, zadań w ramach procesów i usług z uwzględnieniem zapewnienia bezpieczeństwa informacji, danych Banku, Banków Spółdzielczych, podmiotów zależnych, podmiotów współpracujących,
  3. zapewnienie bezpieczeństwa wszystkich aktywów, które przetwarzają informację na rzecz ww. podmiotów,
  4. w przypadku naruszenia bezpieczeństwa informacji postępowania zgodnie z zapisami dokumentu Instrukcja - Zasady monitorowania bezpieczeństwa i zarządzania incydentami
2.3.10        Inni użytkownicy zasobów Banku

Z Bankiem mogą okresowo lub stale współpracować osoby realizujące swoje zadania na podstawie umowy cywilnoprawnej lub też będące pracownikami firm zewnętrznych, realizujących podpisane kontrakty. Osoby takie, o ile korzystają z zasobów Banku, winny przestrzegać obowiązujących zasad ochrony informacji. Warunek ten musi być unormowany odpowiednimi zapisami w umowie o współpracy.

Ponadto w przypadku konieczności dostępu współpracownika do informacji zaklasyfikowanej do innej kategorii niż „publiczna” konieczne jest podpisanie oddzielnej umowy o zachowaniu poufności.

Jeżeli współpraca taka nie jest jednorazowa, osoba nadzorująca jest zobowiązana  przeszkolić takiego współpracownika w zakresie funkcjonujących zasad bezpieczeństwa informacji jak też wykorzystywanych aktywów Banku.

2.3.11        Kontrola Wewnętrzna (KW)

Bank powierza obowiązek zarządzania ryzykiem związanym z ICT i nadzór nad nim, komórce organizacyjnej wskazanej w regulaminie organizacyjnym Banku
z uwzględnieniem zapewnienia niezależności takiej funkcji kontroli w celu uniknięcia konfliktów interesów. Bank zapewnia rozdzielenie i niezależność funkcji zarządzania ryzykiem związanym z ICT, funkcji kontroli oraz funkcji audytu wewnętrznego, zgodnie z modelem trzech linii obrony lub wewnętrznym modelem zarządzania ryzykiem i kontroli ryzyka.

2.3.12        Funkcja odpowiedzialna za sprawy kadrowe – Prezes Zarządu,

W obszarze zarządzania bezpieczeństwem Funkcja odpowiedzialna za sprawy kadrowe – Prezes Zarządu jest w odpowiedzialny za:

  1. odebranie od zatrudnionych pracowników oświadczeń związanych z bezpieczeństwem informacji,
  2. planowanie i organizowanie szkoleń na podstawie zgłoszonych potrzeb rozwojowych dotyczących bezpieczeństwa informacji otrzymanych z Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych,
  3. w ramach postępowania dyscyplinarnego przygotowanie stosownych dokumentów na podstawie podjętych decyzji.

3 Klasyfikacja informacji

3.1.1   Informacje wytwarzane i przetwarzane w Banku klasyfikuje się w ramach niżej wskazanych grup, określających poziom ich „poufności”:

  1. ogólnodostępne;
  2. do użytku wewnętrznego;
  3. poufne bankowe.

3.1.2   Szczegółowe zasady klasyfikacji oraz postępowania z informacjami i nośnikami, określają „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli” oraz „Instrukcja bezpieczeństwa środowiska teleinformatycznego i informacji w Banku Spółdzielczym w Nowej Soli” oraz „Instrukcja  postępowania z informacjami stanowiącymi tajemnice w banku Spółdzielczym w Nowej Soli”.

3.1.3   Każda informacja funkcjonująca w Banku oraz każdy system informatyczny eksploatowany w Banku podlega klasyfikacji ze względu na zapewnienie bezpieczeństwa informacji przy uwzględnieniu atrybutów bezpieczeństwa tj. poufności, rozliczalności, integralności, dostępności, autentyczności oraz rozliczalności.

3.1.4   Klasyfikacja systemów informatycznych odbywa się na podstawie wyników klasyfikacji informacji w zakresie poufności oraz w ramach analizy BIA w zakresie dostępności.

3.1.5   Za nadzór nad przebiegiem procesu klasyfikacji informacji i klasyfikacji systemów informatycznych oraz udzielenie odpowiedniego wsparcia merytorycznego, odpowiedzialna jest Osoba nadzorująca funkcję odpowiedzialną za bezpieczeństwo – Prezes Zarządu

3.1.6   Odpowiedzialność za właściwe sklasyfikowanie informacji, spoczywa na Właścicielu informacji.

3.1.7   Za opracowanie klasyfikacji systemów informatycznych, na podstawie wyników klasyfikacji informacji, odpowiada Osoba nadzorująca funkcję odpowiedzialną za bezpieczeństwo – Prezes Zarządu.  

3.1.8   Zasady klasyfikacji informacji i aktywów teleinformatycznych oraz przebieg procesu klasyfikacji został szczegółowo opisany w „Instrukcji Zasady klasyfikacji informacji i systemów informatycznych w Banku Spółdzielczym w Nowej Soli”.

4               Analiza i zarządzanie ryzykiem bezpieczeństwa informacji

4.1.1   Podstawowe zagrożenia dla poprawnego funkcjonowania systemów informatycznych mogą wynikać z awaryjności sprzętu komputerowego, oprogramowania, czynnika ludzkiego oraz zdarzeń losowych.

4.1.2   Skutkiem wystąpienia zagrożenia aktywów ICT mogą być:

  • zniszczenie części lub całości systemu informatycznego wykorzystywanego do przetwarzania informacji;

  • utrata danych;

  • utrata poufności, integralności, dostępności, autentyczności informacji, danych oraz rozliczalności;

  • straty finansowe;

  • utrata wiarygodności i dobrego wizerunku Banku.

4.1.3   Za proces szacowania ryzyka w zakresie bezpieczeństwa informacji odpowiedzialna jest Osoba nadzorująca funkcję odpowiedzialną za bezpieczeństwo – Prezes Zarządu  lub osoba przez niego wskazana działająca w porozumieniu z właścicielami aktywów oraz procesów biznesowych.

4.1.4   Proces szacowania ryzyka w zakresie bezpieczeństwa informacji (w tym ryzyka ICT) przeprowadzany jest uwzględnieniem wskazań zwartych w niżej wskazanych dokumentach wewnętrznych:

  1. Zasady zarządzania ryzykiem bezpieczeństwa;

  2. Wymagania w zakresie zarządzania wyjątkami i odstępstwami;

  3. Metodyka analizy ryzyka bezpieczeństwa;

  4. Wymagania w zakresie zarządzania ryzykiem bezpieczeństwa.

4.1.5   Proces szacowania ryzyka bezpieczeństwa informacji obejmuje analizę zagrożeń, analizę podatności, analizę prawdopodobieństwa wystąpienia zagrożeń, analizę istniejących mechanizmów kontroli oraz monitorowanie i przegląd ryzyka.

4.1.6   Wyniki analizy ryzyka stanowią podstawę wyboru odpowiednich zabezpieczeń i mechanizmów kontroli dla aktywów ICT (systemów informatycznych) eksploatowanych w Banku.

4.1.7   Wdrażane zabezpieczenia i mechanizmy kontroli powinny być adekwatne do poziomu zidentyfikowanych zagrożeń, oszacowanego ryzyka, wartości aktywów (w szczególności systemów informatycznych), zapewniać efektywność ekonomiczną oraz skutkować akceptowalnym poziomem ryzyka.

5               Organizacja ochrony informacji

5.1.1   Za organizację procesu „Ramy zarządzania ryzykiem ICT” będącego równoważnym procesowi „System Zarządzania Bezpieczeństwem Informacji” odpowiada Osoba nadzorująca funkcję odpowiedzialną za bezpieczeństwo – Prezes Zarządu.

5.1.2   Za organizację i zarządzanie zasobami ICT (systemami informatycznymi) funkcjonującymi w ramach systemu informacyjnego Banku odpowiada Osoba nadzorująca Funkcję odpowiedzialną za IT – Członek Zarządu ds. finansowo-księgowych.

5.1.3   Kierownicy jednostek i komórek organizacyjnych odpowiedzialni są za nadzór nad wykonywaniem i egzekwowaniem postanowień w zakresie bezpieczeństwa informacji zawartych w umowach podpisanych z Bankiem.

5.1.4   Przetwarzanie danych poza obszarami funkcjonowania Banku jest niedozwolone.
W przypadku formalnie zleconej pracy zdalnej, delegacji, audytu, kontroli bądź też umowy powierzenia przetwarzania danych, wskazane miejsce realizacji czynności traktuje się jak obszar funkcjonowania Banku.

5.1.5   Szczegółowe zasady ochrony informacji reguluje „Instrukcja Zasady postępowania z informacjami stanowiącymi tajemnicę w Banku Spółdzielczym w Nowej Soli”.

5.1.6   Niniejszy dokument jest przedmiotem systematycznych przeglądów, mających na celu wprowadzenie ewentualnych usprawnień oraz uwzględnienie w nim zmian zachodzących zarówno w otoczeniu banku, jak i w jego środowisku wewnętrznym.

6               Środki bezpieczeństwa służące ograniczeniu ryzyka

6.1         Wykaz środków bezpieczeństwa

6.1.1   Środki bezpieczeństwa służące ograniczeniu ryzyka związanego z technologiami i bezpieczeństwem ICT, obejmują:

  1. organizację i zarządzanie;

  2. bezpieczeństwo logiczne;

  3. bezpieczeństwo fizyczne;

  4. bezpieczeństwo operacji ICT;

  5. bezpieczeństwo monitorowania;

  6. przeglądy, ocenę i testowanie bezpieczeństwa informacji;

  7. szkolenie i świadomość w zakresie bezpieczeństwa informacji.

6.2         Bezpieczeństwo logiczne

6.2.1   Bank wdraża procedury logicznej kontroli dostępu tj. zarządzanie tożsamością i dostępem. Procedury te są egzekwowane, monitorowane, poddawane okresowym przeglądom i uwzględniają następujące elementy:

  1. Zasada wiedzy koniecznej, możliwie ograniczonych uprawnień oraz rozdziału obowiązków: Bank zarządza prawami dostępu do zasobów informacyjnych i systemów pomocniczych zgodnie z zasadą wiedzy koniecznej, również w odniesieniu do dostępu zdalnego. Użytkownikom nadaje się tylko minimalne prawa dostępu, jakie są konieczne do realizacji właściwych im obowiązków (zasada „możliwie ograniczonych uprawnień"), tj. w celu zapobieżenia nieuzasadnionemu dostępowi do dużych zbiorów danych oraz zapobieżenia przydziałowi takiej konfiguracji praw dostępu, która mogłaby zostać wykorzystana do ominięcia zabezpieczeń (zasada „rozdziału obowiązków"). Niezbędny zakres uprawnień ustala przełożony pracownika w porozumieniu z Właścicielem zasobu, do którego mają być nadane uprawnienia.
  2. Odpowiedzialność użytkownika: Bank na tyle, na ile to możliwe, ogranicza wykorzystanie kont wbudowanych i kont współdzielonych (grupowych) oraz zapewnia możliwość ustalenia tożsamości każdego z użytkowników w powiązaniu z czynnościami wykonanymi w systemach ICT. Bank dąży do określenia jednoznacznej odpowiedzialności pracowników za zasoby im powierzone; wszyscy pracownicy muszą być świadomi swej odpowiedzialności i konsekwencji, które są związane z zaniedbywaniem swoich obowiązków bądź przekazaniem swoich przywilejów innym osobom.
  3. Uprzywilejowany dostęp: Bank wdraża ścisłe środki kontroli uprzywilejowanego dostępu do systemu poprzez ścisłe ograniczenie i uważne monitorowanie kont o podwyższonych uprawnieniach dostępu do systemu (np. kont administratorów). W celu zapewnienia bezpiecznej komunikacji i zmniejszenia ryzyka, zdalny dostęp administracyjny do krytycznych systemów ICT przyznawany jest jedynie na zasadzie wiedzy koniecznej i przy zastosowaniu metod silnego uwierzytelniania.
  4. Rejestrowanie działalności użytkownika: rejestrowana i monitorowana jest działalność wszystkich użytkowników uprzywilejowanych. Dzienniki dostępu są zabezpieczone przed niedozwoloną modyfikacją lub usunięciem wpisów i przechowywane przez okres współmierny do krytycznego znaczenia określonych funkcji biznesowych, procesów pomocniczych i zasobów informacyjnych, bez uszczerbku dla wymogów dotyczących przechowywania danych określonych w prawie unijnym i krajowym. Bank wykorzystuje te informacje do ułatwienia stwierdzania i prowadzenia dochodzeń w sprawie nieprawidłowych działań wykrytych w ramach świadczenia usług.
  5. Zarządzanie dostępem: udzielanie, wycofywanie lub modyfikowanie praw dostępu odbywać się terminowo, zgodnie z wcześniej określonym schematem procesu zatwierdzania, w którym uczestniczy osoba odpowiedzialna za informacje, których dostęp dotyczy (osoba odpowiedzialna za zasób informacyjny). W przypadku rozwiązania stosunku pracy prawa dostępu zostają natychmiast odebrane.
  6. Potwierdzenie uprawnień: prawa dostępu są poddawane okresowemu przeglądowi w celu zapewnienia, aby użytkownicy nie posiadali nadmiernych uprawnień i aby prawa dostępu były odbierane, gdy nie są już konieczne.
  7. Metody uwierzytelniania: Bank egzekwuje metody uwierzytelniania, które są dostatecznie stabilne, aby odpowiednio i skutecznie zapewnić przestrzeganie polityki i procedur kontroli dostępu. Metody uwierzytelniania są współmierne względem krytycznego charakteru systemów ICT, informacji lub procesów, których dotyczy dostęp i obejmują złożone silne hasła (duże i małe litery, cyfry, znaki specjalne) lub silniejsze metody uwierzytelniania (takie jak uwierzytelnianie dwuelementowe), dobrane stosownie do występującego ryzyka.
  8. Zasada najmniejszych przywilejów (ang. Principle of Least Privileges) – oznacza, że każdy użytkownik korzystający z informacji lub systemu informatycznego ma dostęp wyłącznie do tych informacji i zasobów, które są niezbędne do wykonania określonego zadania.
6.2.2   Elektroniczny dostęp do danych i systemów ICT za pośrednictwem aplikacji jest
ograniczony do minimum niezbędnego do świadczenia danej usługi.

6.3         Bezpieczeństwo fizyczne

6.3.1   Bank w ramach „Polityki bezpieczeństwa fizycznego” oraz „Regulaminu bezpieczeństwa fizycznego i środowiskowego w Banku Spółdzielczym w Nowej Soli” określa, dokumentuje i wdraża środki bezpieczeństwa fizycznego w celu ochrony swojego terenu, centrów przetwarzania danych oraz obszarów wrażliwych przed nieupoważnionym dostępem i zagrożeniami środowiskowymi.

6.3.2   Zezwolenie na fizyczny dostęp do systemów ICT mogą mieć jedynie upoważnione osoby. Upoważnienie jest przydzielane zgodnie z zadaniami i obowiązkami danej osoby, jedynie osobom odpowiednio przeszkolonym i monitorowanym. Dostęp fizyczny poddawany jest regularnemu przeglądowi, aby zapewnić niezwłoczne odebranie praw dostępu, gdy nie są one konieczne.

6.3.3   Bank wdraża adekwatne środki służące ochronie przed zagrożeniami środowiskowymi współmierne względem znaczenia budynków np.; centrala, oddział, centrum przetwarzania danych (serwerownia podstawowa, serwerownia zapasowa) lub krytycznego charakteru operacji lub systemów ICT usytuowanych w tych budynkach.

6.4         Bezpieczeństwo operacji ICT

6.4.1   W ramach bezpieczeństwa operacji ICT Bank wdraża procedury służące zapobieganiu problemom z bezpieczeństwem systemów ICT i usług ICT ograniczając do minimum ich wpływ na dostarczanie usług. Użyte w tym celu środki obejmują:

  1. identyfikację potencjalnych podatności, które należy oceniać i usuwać poprzez zapewnienie aktualizacji oprogramowania i oprogramowania firmware, włączając w to oprogramowanie zapewniane przez Bank użytkownikom wewnętrznym i zewnętrznym, poprzez wprowadzanie krytycznych poprawek zabezpieczeń oraz poprzez wdrażanie kompensacyjnych środków kontroli;
  2. wdrażanie poziomów bazowych konfiguracji bezpieczeństwa dla wszystkich elementów sieciowych;
  3. wdrażanie segmentacji sieci, systemów zapobiegania utracie danych oraz szyfrowania ruchu w sieci (zgodnie z klasyfikacją danych);
  4. wdrażanie ochrony punktów końcowych, w tym serwerów, stanowisk pracy i urządzeń mobilnych; Bank prowadzi ocenę czy punkty końcowe spełniają zdefiniowane standardy bezpieczeństwa przez udzieleniem im dostępu do sieci korporacyjnej;
  5. zapewnienie mechanizmów służących weryfikowaniu integralności oprogramowania, oprogramowania firmware i danych;
  6. szyfrowanie danych przechowywanych i przesyłanych (stosownie do klasyfikacji danych).

6.4.2   Bank na bieżąco określa, czy zmiany w istniejącym środowisku operacyjnym mają wpływ na istniejące środki bezpieczeństwa lub czy wymagają wprowadzenia dodatkowych środków mających na celu stosowne ograniczenie danego ryzyka. Zmiany takie są wprowadzane w ramach realizowanego przez Bank formalnego procesu zarządzania zmianą, który musi zapewniać odpowiednie planowanie, testowanie, dokumentowanie, zatwierdzanie i wdrażanie zmian.

6.5         Monitorowanie bezpieczeństwa

6.5.1   W ramach monitorowania nieprawidłowości, zagrożeń i adekwatnego reagowania na zdarzenia, Bank ustanawia i wdraża procedury służące wykrywaniu nieprawidłowości, które mogą wpływać na bezpieczeństwo informacji. W ramach stałego monitorowania Bank wdraża skuteczne narzędzia wykrywania i zgłaszania fizycznych lub logicznych włamań, a także przypadki naruszenia poufności, integralności i dostępności zasobów informacyjnych. Proces stałego monitorowania i wykrywania powinny obejmować:

  1. odpowiednie czynniki wewnętrzne i zewnętrzne, w tym funkcje biznesowe i funkcje administracyjne ICT;

  2. transakcje służące wykrywaniu nieprawidłowości w korzystaniu z dostępu przez osoby trzecie lub inne podmioty oraz wewnętrznych nieprawidłowości w korzystaniu z dostępu;

  3. potencjalne zagrożenia wewnętrzne i zewnętrzne.

6.5.2   W celu identyfikowania i stałego monitorowania zagrożeń dla bezpieczeństwa, które mogłyby w znaczącym stopniu wpłynąć na ich zdolności do świadczenia usług Bank tj. Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych i Funkcja odpowiedzialna za IT - Stanowisko obsługi informatycznej i bezpieczeństwa określają i wdrażają procesy związane z zarządzaniem bezpieczeństwem informacji, zarządzania zasobami i usługami ICT. Jednocześnie Bank prowadzi aktywnie monitorowanie zmian związanych z rozwojem technologii, tak, aby mieć pewność i świadomość występujących zagrożeń dla bezpieczeństwa. Dodatkowo Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych i Funkcja odpowiedzialna za IT - Stanowisko obsługi informatycznej i bezpieczeństwa wdrażają środki pozwalające na wykrywanie i stwierdzenia ewentualnych wycieków informacji, wykrywanie kodu złośliwego i innych zagrożeń dla bezpieczeństwa jak też powszechnie znanych luk w zabezpieczeniach oprogramowania i sprzętu, a także mechanizmy pozwalające sprawdzać oprogramowania i sprzętu, pod kątem nowych aktualizacji zabezpieczeń.

6.5.3   Ustala się, że proces monitorowania bezpieczeństwa ma identyfikować charakter incydentów operacyjnych lub incydentów bezpieczeństwa w celu określenia trendów oraz wspierania postępowań wyjaśniających prowadzonych w Banku.

6.6         Przeglądy, ocena i testowanie bezpieczeństwa informacji

6.6.1   W ramach zarządzania bezpieczeństwem Bank prowadzi przeglądy, oceny i testy bezpieczeństwa informacji, celem skutecznego identyfikowania podatności systemów ICT i usług ICT. Prowadzone przeglądy, oceny i testy obejmują analizę luk względem standardów bezpieczeństwa informacji, przeglądy zgodności, audyty wewnętrzne i zewnętrzne systemów informacji, przeglądy bezpieczeństwa fizycznego jak też przeglądy kodu źródłowego, ocenę podatności na zagrożenia, testy penetracyjne oraz wykorzystanie wewnętrznego „zespołu atakującego".

6.6.2   W celu potwierdzenia stabilności i skuteczności środków bezpieczeństwa informacji Bank ustanawia i wdraża ramy testowania bezpieczeństwa informacji, które zapewniają uwzględnienie zagrożeń i podatności stwierdzonych podczas monitorowania oraz w procesie oceny ryzyka związanego z technologiami i bezpieczeństwem ICT.

6.6.3   Bank w ramach testowania bezpieczeństwa informacji zapewnia przeprowadzanie testów:

  1. przez niezależnych testerów posiadających dostateczną wiedzę, umiejętności i wiedzę fachową w zakresie środków bezpieczeństwa informacji, niezaangażowanych w rozwój środków bezpieczeństwa informacji;

  2. obejmujących skanowanie podatności i testy penetracyjne (w tym, gdy jest to konieczne i stosowne, testy penetracyjne ukierunkowane na zagrożenie) współmierne względem poziomu ryzyka określonego w procesach i systemach biznesowych.

6.6.4   Bank prowadzi testy środków bezpieczeństwa na bieżąco i systematycznie je powtarza w odniesieniu do wszystkich krytycznych systemów ICT, co najmniej raz w roku a systemy inne niż krytyczne testuje regularnie zgodnie z podejściem opartym na ocenie ryzyka, nie rzadziej jednak, niż co 3 lata. W przypadku dostawców usług płatniczych testy stanowią część kompleksowej oceny ryzyka dla bezpieczeństwa związanego ze świadczonymi usługami płatniczymi.

6.6.5   Bank zapewnia, że testy środków bezpieczeństwa prowadzone są za każdym razem w przypadku zmiany infrastruktury, procesów lub procedur, w przypadku zmian spowodowanych ważnymi incydentami operacyjnymi lub incydentami bezpieczeństwa lub w razie zmian wynikających z udostępnienia nowych lub znacząco zmienionych krytycznych aplikacji z dostępem do Internetu.

6.6.6   Bank monitoruje i ocenia wyniki testów bezpieczeństwa i na tej podstawie aktualizuje stosowane środki bezpieczeństwa bez zbędnej zwłoki w przypadku systemów ICT o krytycznym znaczeniu.

6.6.7   Bank ustala, że w przypadku dostawców usług płatniczych ramy testowania obejmują również środki bezpieczeństwa istotne dla terminali płatniczych i urządzeń wykorzystywanych do świadczenia usług płatniczych, terminali płatniczych i urządzeń wykorzystywanych do uwierzytelniania użytkowników usług płatniczych oraz urządzeń i oprogramowania dostarczanych użytkownikom usług płatniczych przez dostawców usług płatniczych w celu wygenerowania lub otrzymania kodu uwierzytelniającego.

6.6.8   Na podstawie stwierdzonych zagrożeń dla bezpieczeństwa i wprowadzonych zmian Bank prowadzi testy w celu uwzględnienia scenariuszy dotyczących istotnych i znanych potencjalnych ataków.

6.7         Zarządzanie dostępem

6.7.1   Dostęp do aktywów ICT (informacji i systemów informatycznych) eksploatowanych w Banku jest przyznawany zgodnie z „zasadą wiedzy koniecznej”.

6.7.2   Dostęp do systemów ICT (informatycznych) jest przyznawany jedynie na czas i w zakresie niezbędnym do wykonywania zadań na rzecz Banku zgodnie z „zasadą najmniejszych przywilejów”.

6.7.3   Dostęp do systemów ICT (informatycznych) jest zabezpieczony z wykorzystaniem obowiązujących w Banku zabezpieczeń proceduralno-organizacyjnych, technologicznych, fizycznych, uwzględniających wrażliwość informacji przetwarzanych w Banku.

6.7.4   Dostęp do zasobów bankowych dla pracowników Banku jest przydzielany w oparciu o zasadę najmniejszych przywilejów.

6.7.5   Mechanizmy bezpieczeństwa muszą zapewniać rozliczalność, w stopniu uwzględniającym kategorię systemu oraz wymagania wynikające z przepisów prawa i przepisów wewnętrznych Banku. W szczególności, każdemu użytkownikowi systemu informatycznego musi mieć przydzielony niepowtarzalny identyfikator.

6.7.6   Każdy użytkownik systemu informatycznego zobowiązany jest posługiwać się wyłącznie przydzielonym identyfikatorem z nim związanym oraz zobowiązany jest do zachowania w poufności danych wykorzystywanych do uwierzytelniania w systemach ICT.

6.7.7   Szczegółowe zasady dostępu do systemów informatycznych reguluje „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli” oraz „Regulamin użytkownika systemów informatycznych w Banku Spółdzielczym w Nowej Soli”

6.7.8   Zasady fizycznego dostępu do pomieszczeń, w których zlokalizowane są zasoby informacyjne, reguluje „Regulamin bezpieczeństwa fizycznego i środowiskowego w Banku Spółdzielczym w Nowej Soli”

6.7.9   Zabrania się pokazywania Klientom oraz osobom, które nie współpracują z Bankiem na podstawie podpisanej umowy, informacji wyświetlanych na monitorach lub innych urządzeniach służbowych. Nie przestrzeganie tego wymagania traktuje się, jako ciężkie naruszenie obowiązków pracowniczych/współpracy. Natomiast dopuszcza się pokazanie Klientowi, kodu QR lub kodu cyfrowego niezbędnego do przeprowadzenia weryfikacji jego tożsamości pod warunkiem, że na monitorze lub urządzeniu nie są wyświetlanie inne informacje.

6.7.10    Zabrania się udostępniania Klientom i osobom trzecim urządzeń służbowych, m.in. komputerów, telefonów służbowych. Nie przestrzeganie tego wymagania traktuje się, jako ciężkie naruszenie obowiązków pracowniczych.

6.8         Bezpieczeństwo sprzętu i oprogramowania

6.8.1   Zarządzanie sprzętem ICT (informatycznym i oprogramowaniem) eksploatowanym w Banku realizowane jest przy uwzględnieniu zapisów „Instrukcji zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli”

6.8.2   Za określanie oraz zmiany w obowiązujących standardach sprzętu i oprogramowania odpowiada Osoba nadzorująca funkcje odpowiedzialna za IT - Członek Zarządu ds. finansowo-księgowych

6.8.3   Standard sprzętu i oprogramowania musi być zgodny z wymaganiami biznesowymi, uwzględniać opłacalność ekonomiczną oraz wymagania w zakresie bezpieczeństwa.

6.8.4   Odstępstwa od obowiązujących w Banku standardów wymagają postępowania zgodnie
z „Instrukcją Wymagania w zakresie zarządzania odstępstwami od regulacji i wymagań w obszarze bezpieczeństwa w Banku Spółdzielczym w Nowej Soli”.

6.8.5   Systemy ICT (informatyczne) za pomocą, których Bank przetwarza informacje tj. świadczy usługi, realizuje procesy, muszą składać się wyłącznie z przetestowanego oraz formalnie dopuszczonego do eksploatacji sprzętu i oprogramowania.

6.8.6   Sprzęt wchodzący w skład systemów ICT (informatycznych) objęty jest odpowiednią ochroną fizyczną.

6.8.7   Za określenie standardów i szczegółowych procedur bezpieczeństwa fizycznego odpowiada Osoba nadzorująca funkcję odpowiedzialną za bezpieczeństwo – Prezes Zarządu.

6.9         Bezpieczeństwo nośników informacji

6.9.1   Wszystkie nośniki informacji (w tym także dokumenty w formie papierowej) podlegają właściwej ochronie stosownie do klasyfikacji informacji, na wszystkich etapach ich używania, od momentu zapisu informacji, aż do momentu wycofywania z użycia lub fizycznego zniszczenia.

6.9.2   Za zapewnienie właściwej ochrony nośników informacji odpowiada ich użytkownik.

6.9.3   Osoby korzystające z nośników informacji powinny być świadome zagrożeń, i zobowiązane są do zachowania należytej staranności poprzez zastosowanie obowiązujących środków organizacyjno-technicznych i prawnych.

6.9.4   W przypadku wycofywania z użycia nośników informacji wykorzystywanych indywidualnie zawierających informacje stanowiące tajemnicę, obowiązek trwałego ich usunięcia (zgodnie ze standardami obowiązującymi w Banku) spoczywa na osobie, której nośnik przekazano do używania.

6.9.5   Standardy, o których mowa w ust. 7.9.4, określa „Instrukcja zarządzania systemami informatycznymi w Banku Spółdzielczym w Nowej Soli”, „Instrukcja Zasady postępowania z informacjami stanowiącymi tajemnicę w Banku Spółdzielczym w Nowej Soli” oraz Instrukcja dotycząca organizacji i zakresu działania Archiwum Zakładowego”.

6.10     Bezpieczeństwo osobowe

6.10.1    Każdy pracownik Banku jest obligatoryjnie zapoznawany z przepisami wewnętrznymi dotyczącymi bezpieczeństwa informacji i podpisuje zobowiązanie do przestrzegania regulacji wewnętrznych i przepisów prawa dotyczących tego obszaru, a w przypadku zawierania umowy cywilno-prawnej uwzględnia się kwestie związane z bezpieczeństwem informacji.

6.10.2    Zakres dostępów w banku określają role przypisane do stanowisk. Zapisy dotyczące ról zawartych są w „Regulaminie użytkownika systemów informatycznych w Banku Spółdzielczym w Nowej Soli”.

6.10.3    Każdy Użytkownik przed dopuszczeniem do pracy z systemem informatycznym, musi posiadać niezbędne kompetencje z zakresu jego obsługi.

6.10.4    Przełożony, przed dopuszczeniem do pracy, weryfikuje kompetencje pracownika
w zakresie obsługi systemu informatycznego i w przypadku ich braku informuje o tym fakcie Funkcje odpowiedzialna za sprawy kadrowe – Prezes Zarządu i dysponenta zasobu, celem ich uzupełnienia w ramach szkolenia.

6.11     Szkolenie i świadomość w zakresie bezpieczeństwa informacji

6.11.1         W celu podniesienia świadomości pracowników, Bank prowadzi program szkoleniowy, w tym okresowe programy zwiększania świadomości na temat bezpieczeństwa, przeznaczone dla wszystkich pracowników, współpracowników, aby mieć pewność, że są oni przeszkoleni do realizacji swoich zadań i obowiązków zgodnie z polityką i procedurami bezpieczeństwa. Prowadzony program szkoleniowy służy ograniczeniu błędów ludzkich, kradzieży, oszustw, nadużyć lub strat, a także, poszerzeniu wiedzy w zakresie zasad reagowania na ryzyko związane z bezpieczeństwem informacji.

6.11.2         W ramach programu szkoleniowego Bank zapewnia, że wszyscy pracownicy, współpracownicy odbywają takie szkolenie, co najmniej raz w roku.

6.11.3         Celem szkoleń z zakresu bezpieczeństwa informacji jest:

  1. zapoznanie z obowiązującymi przepisami z zakresu bezpieczeństwa informacji;

  2. podnoszenie umiejętności użytkowników w zakresie stosowania procedur wewnętrznych bezpieczeństwa informacji oraz właściwego używania zasobów informatycznych;

  3. utrzymywanie kwalifikacji pracowników na poziomie odpowiednim dla zapewnienia bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym

    i umożliwienia właściwego korzystania ze sprzętu i systemów informatycznych;

  4. zaznajamianie pracowników z tematyką ochrony przed stosowanymi przez przestępców technikami ataków (socjotechniki) oraz ochroną przed szkodliwym oprogramowaniem;

  5. kształtowanie świadomości pracowników w zakresie dbałości o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym;

  6. zapewnienie pracownikom podstawowej wiedzy na temat mechanizmów kontrolnych dotyczących aktywów, za które są odpowiedzialni;

  7. zapoznanie pracowników z metodami minimalizacji ryzyka związanego z zagrożeniami bezpieczeństwa informacji, a także sposobami ograniczania liczby incydentów;

  8. dostarczenie pracownikom informacji na temat zagrożeń, sposobów ich unikania

    i przeciwdziałania.

6.11.4         Uczestnictwo pracowników w szkoleniach z zakresu bezpieczeństwa informacji jest obowiązkowe.

6.11.5         Materiały i treści przekazywane na szkoleniach podlegają cyklicznej ocenie i aktualizacji przez Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych.

6.11.6         Każdy nowy pracownik Banku zobowiązany jest do odbycia e-learningowego szkolenia z zakresu bezpieczeństwa informacji i systemów informatycznych.

6.11.7         Pracownicy Banku zobowiązani są do uczestniczenia w szkoleniach z zakresu bezpieczeństwa informacji zakończonych testem wiedzy nie rzadziej, niż co 2 lata.

6.11.8         Za organizację szkoleń odpowiada Funkcja odpowiedzialna za sprawy kadrowe – Prezes Zarządu, a za wsad merytoryczny w zakresie bezpieczeństwa informacji odpowiada Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych.

6.11.9         Szkolenia z zakresu bezpieczeństwa informacji obejmują:

  1. Politykę oraz wynikające z niej zasady zapewnienia bezpieczeństwa informacji określone szczegółowo w wymienionych w niej regulacjach powiązanych;

  2. zasady bezpiecznego korzystania z urządzeń i systemów wykorzystywanymi przez Bank;

  3. regulacje wewnętrzne w zakresie korzystania z urządzeń bankowych w celach służbowych i prywatnych;

  4. informacje o zagrożeniach związanych z urządzeniami mobilnymi;

  5. zasady publikowania informacji dotyczących Banku w Internecie, w tym na portalach społecznościowych;

  6. podstawowe informacje o atakach socjotechnicznych;

  7. zasady rozpoznawania i zgłaszania incydentów bezpieczeństwa;

  8. zasady ochrony przed szkodliwym oprogramowaniem, reguły rozpoznawania i zgłaszania infekcji;

  9. konsekwencje prawne wobec osób nieprzestrzegających procedur bezpieczeństwa, w tym postępowania dyscyplinarne;

  10. informacje dotyczące ochrony danych osobowych.

6.11.10     W celu zwrócenia uwagi na problematykę bezpieczeństwa informacji i ochrony danych oraz wzmacniania wzorców poprawnych zachowań, Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych we współpracy z innymi jednostkami/komórkami organizacyjnymi, podejmuje działania mające na celu tworzenie kultury bezpieczeństwa i podnoszenia świadomości bezpieczeństwa informacji w Banku.

7               Audyt i kontrola

7.1.1   W Banku powinno być planowanie i systematycznie wykonywane audyty w zakresie bezpieczeństwa informacji w tym ICT.

7.1.2   Przez audyt lub kontrolę bezpieczeństwa informacji należy rozumieć czynności mające na celu przegląd i weryfikację:

  • funkcjonowania i doskonalenia procesu „System zarządzania bezpieczeństwem informacji”, „Ram zarządzania ryzykiem ICT”;

  • funkcjonowania poszczególnych obszarów SZBI, „Ram zarządzania ryzykiem ICT”

  • funkcjonowania i skuteczności zapewnienia bezpieczeństwem informacji;

  • przestrzegania postanowień, zasad, wytycznych zdefiniowanych w procesie zarządzania ryzykiem w zakresie bezpieczeństwa informacji w tym ryzykiem ICT”;

  • zasad eksploatacji systemów informatycznych, w tym spełnienie wymagań bezpieczeństwa w zakresie zgodności z obowiązującymi przepisami prawa

    i z przepisami wewnętrznymi Banku.

7.1.3   Audyt wewnętrzny w Banku jest wykonywany przez Spółdzielnię Systemu Ochrony Zrzeszenia BPS.

7.1.4   Audyt ICT (bezpieczeństwa systemu informatycznego) jest realizowany, co najmniej raz na 2 lata przez:

  • jednostkę oceniającą zgodność,  akredytowaną  zgodnie  z przepisami  ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie  właściwym  do podejmowanych ocen bezpieczeństwa systemów informacyjnych; lub

  • co najmniej dwóch audytorów posiadających:

    1. certyfikaty określone w przepisach wydanych na podstawie art. 15 ust. 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa lub

    2. co najmniej trzyletnią  praktykę w zakresie  audytu  bezpieczeństwa systemów informacyjnych, lub

    3. co najmniej dwuletnią  praktykę  w zakresie  audytu  bezpieczeństwa systemów  informacyjnych  legitymujących  się  dyplomem  ukończenia studiów  podyplomowych w zakresie  audytu  bezpieczeństwa  systemów informacyjnych,  wydanym  przez  jednostkę  organizacyjną,  która  w dniu wydania dyplomu była uprawniona, zgodnie  z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych; lub

    4. Sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

7.1.5   Kontrola wewnętrzna w Banku jest realizowana w ramach systemu kontroli wewnętrznej, opisana w „Regulaminie systemu kontroli wewnętrznej w Banku Spółdzielczym w Nowej Soli”.

7.1.6   Kontrole wewnętrzne w ramach weryfikacji prawidłowości funkcjonowania poszczególnych obszarów procesu „Ramy zarządzania ryzykiem ICT” realizuje Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych.

7.1.7   Kontrole wewnętrzne w zakresie zarządzania realizowanego przez Funkcja odpowiedzialna za bezpieczeństwo – Członek Zarządu ds. finansowo-księgowych, w odniesieniu do procesu „Ram zarządzania ryzykiem ICT” realizuje Funkcja odpowiedzialna za zgodność - Stanowisko ds. zgodności.

8               Zarządzanie incydentami

8.1.1   Celem zarządzania incydentami bezpieczeństwa w Banku jest minimalizacja ryzyka wystąpienia podobnych incydentów w przyszłości.

8.1.2   Wszyscy pracownicy Banku zobowiązani są do niezwłocznego zgłaszania wszelkich incydentów bezpieczeństwa zgodnie z „Instrukcją Wymagania w zakresie zarządzania zdarzeniami i incydentami bezpieczeństwa”.

9               Zarządzanie ciągłością działania

9.1.1   W celu zapewnienia ciągłości wykonywania usług bankowych oraz niezakłóconej pracy systemów informatycznych wykorzystywanych do ich świadczenia, Bank ustanowił
i utrzymuje system zarządzania ciągłością działania. System jest integralnym elementem normalnej działalności, którego głównymi zadaniami jest podejmowanie proaktywnych działań zapobiegających wystąpieniu sytuacji kryzysowej oraz przygotowanie zorganizowanej reakcji Banku na sytuacje kryzysowe poprzez opracowanie planów reagowania utrzymania lub przywrócenia działania Banku, w szczególności funkcji/procesów krytycznych oraz wspierających je systemów krytycznych.

9.1.2   Zasady funkcjonowania systemu zarządzania ciągłością działania opisuje „Polityka zarządzania ciągłością działania Banku Spółdzielczego w Nowej Soli.” oraz dokumenty podrzędne opisujące działanie poszczególnych procesów wchodzących w skład tego systemu.

Załączniki

Załącznik nr 1 - Wykaz obszarów przetwarzania danych i informacji

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są informacje chronione:

  1. Centrala Banku Spółdzielczego w Nowej Soli, 67-100 Nowa Sól, Bankowa 1;
  2. Data Center Skawina, 32-050 Skawina, Krakowska 43;
  3. Data Center Alwernia, 32-566 Grojec, Zamkowa 21;

Placówki:

 

  1. Bank Spółdzielczy w Nowej Soli - Oddział w Bytomiu Odrzańskim, 67-115 Bytom Odrzański, Ul. Szkolna 1;
  2. Bank Spółdzielczy w Nowej Soli - Filia w Bojadłach, 66-130 Bojadła, ul. Sulechowska 11;
  3. Bank Spółdzielczy w Nowej Soli - Filia w Sławie, 67-410 Sława, ul. Odrodzonego Wojska Polskiego 7;
  4. Bank Spółdzielczy w Nowej Soli - Punkt Kasowy w Kolsku, 67-415 Kolsko, ul. Piastowska 10/2;
  5. Bank Spółdzielczy w Nowej Soli - Punkt Kasowy w Siedlisku, 67-112 Siedlisko, Pl. Zamkowy 6;
  6. Bank Spółdzielczy w Nowej Soli - Punkt Kasowy w Otyniu, 67-106 Otyń, ul. Rynek 1;
Znajdziesz nas też tutaj