1

Polityka Bezpiecze

ń

stwa Firmy

Polityka Bezpiecze

ń

stwa Firmy

• Polityka Bezpiecze

ń

stwa Firmy (PBF) jest

zintegrowanym zbiorem ogólnych zasad i
dyrektyw wewn

ę

trznych w zakresie

bezpiecze

ń

stwa. Odzwierciedla uregulowania

obejmuj

ą

ce Central

ę

i oddziały Firmy.

• PBF ma charakter przymusowy, czyli

ż

aden

pracownik nie mo

ż

e działa

ć

inaczej bez

specjalnej zgody kierownika jednostki
organizacyjnej Firmy

Dyrektywy Generalne

Realizuj

ą

c PBF, we współpracy ze

słu

ż

bami bezpiecze

ń

stwa pa

ń

stwa,

Pełnomocnik Ochrony – Dyrektor Biura

Ochrony Firmy - dba o interes Firmy w
zakresie bezpiecze

ń

stwa.

Pełnomocnik Ochrony

• Pełnomocnik Ochrony –Dyrektor Biura

Ochrony - koordynuje działania Firmy w
zakresie bezpiecze

ń

stwa.

• Dyrektor Biura Ochrony Firmy kieruj

ą

c

pionem ochrony - wyodr

ę

bnion

ą

wyspecjalizowan

ą

komórk

ą

organizacyjn

ą

Firmy

Pełnomocnik Ochrony zapewnia

• ochron

ę

informacji niejawnych,

• ochron

ę

systemów i sieci teleinformatycznych,

• ochron

ę

fizyczn

ą

Firmy,- koordynacj

ę

ochrony

fizycznej jednostek organizacyjnych,

• kontrol

ę

ochrony informacji niejawnych,

• przestrzeganie przepisów o ochronie informacji

niejawnych,

• okresow

ą

kontrol

ę

ewidencji materiałów i

obiegu dokumentów,

• opracowanie planów ochrony i nadzorowanie

ich realizacji,

• szkolenie pracowników banku w zakresie

ochrony informacji niejawnych.

Uzgodnienia przedsi

ę

wzi

ęć

Firmy

Wszyscy kierownicy jednostek organizacyjnych Firmy maj

ą

obowi

ą

zek uzgodnienia z Dyrektorem Biura Ochrony, na

etapie planowania realizacji oraz kontroli, wszystkich
przedsi

ę

wzi

ęć

organizacyjnych i działa

ń

dotycz

ą

cych

bezpiecze

ń

stwa. W szczególno

ś

ci uzgodnieniu

podlegaj

ą

:

• Infrastruktura Firmy: lokalizacja budynków, warunki

najmu, architektura i budowa, infrastruktura techniczna.

• Systemy teleinformatyczne: lokalizacja, sprz

ę

t i

oprogramowanie, systemy zabezpiecze

ń

.

• Współpraca z podmiotami zewn

ę

trznymi

ś

wiadcz

ą

cymi

usługi na rzecz firmy.

• Inne sprawy bie

żą

ce wymagaj

ą

ce uzgodnie

ń

w zakresie

bezpiecze

ń

stwa.

2

Bezpiecze

ń

stwo informacji

• Reguły zwi

ą

zane z tworzeniem

informacji

• Ogólne zasady obiegu i

przechowywania informacji

• Proces niszczenia informacji

Dane osobowe

• Informacje zawieraj

ą

ce dane osobowe powinny

podlega

ć

ochronie jako informacje niejawne

stanowi

ą

ce tajemnic

ę

słu

ż

bow

ą

oznaczone

klauzul

ą

„zastrze

ż

one”.

• Zbiory danych osobowych powinny by

ć

tworzone i przetwarzane (w rozumieniu ustawy o
ochronie danych osobowych), w sposób
zapewniaj

ą

cy zachowanie ich to

ż

samo

ś

ci i

odr

ę

bno

ś

ci.

• W trakcie przetwarzania danych nale

ż

y w

szczególno

ś

ci zapewni

ć

uzyskanie dokładnych

informacji na temat ich udost

ę

pnienia (komu,

kiedy, w jakim zakresie, w jakim celu, w jaki
sposób, przez kogo) oraz niezwłoczne i zupełne
zniszczenie danych nieaktualnych lub, gdy cel,
w którym były przetwarzane, został osi

ą

gni

ę

ty.

Odpowiedzialno

ść

za ochron

ę

tajemnicy

pa

ń

stwowej

• Zgodnie z ustaw

ą

z 22 stycznia 1999

roku o ochronie informacji niejawnych
osob

ą

odpowiedzialn

ą

za ochron

ę

tajemnicy pa

ń

stwowej i słu

ż

bowej jest

kierownik jednostki organizacyjnej, w
której informacje niejawne s

ą

wytwarzane, przetwarzane,
przekazywane lub przechowywane.

Ochrona informacji niejawnych w Firmie

• Bezpiecze

ń

stwo systemów i sieci

teleinformatycznych Firmy powinno by

ć

zapewnione przed przyst

ą

pieniem do

przetwarzania informacji w danym systemie lub
sieci.

• Obowi

ą

zuj

ą

ce zasady w tym zakresie zawarte s

ą

w Szczególnych Wymagania Bezpiecze

ń

stwa

Systemów i Sieci Teleinformatycznych (SWB).

• Integraln

ą

cz

ęś

ci

ą

ka

ż

dego eksploatowanego

lub wdra

ż

anego systemu teleinformatycznego

powinien by

ć

podsystem ochrony, a jego

formalnym uzupełnieniem s

ą

Procedury

Bezpiecznej Eksploatacji (PBE)

Czego dotycz

ą

?

SWB zawieraj

ą

administracyjno-

organizacyjne ustalenia dotycz

ą

ce ochrony

informacji niejawnej przetwarzanej,
przechowywanej i przesyłanej w systemach
teleinformatycznych Firmy oraz okre

ś

laj

ą

podział obowi

ą

zków i odpowiedzialno

ś

ci

pracowników realizuj

ą

cych funkcje z

zakresu bezpiecze

ń

stwa i ochrony

informacji

Indywidualizacja SWB

Zró

ż

nicowanie systemów

teleinformatycznych wykorzystywanych w
Firmie, zarówno w aspekcie techniczno-
technologicznym jak te

ż

aplikacyjnym

(zakresu i rodzaju realizowanych w nich
aplikacji u

ż

ytkowych) powoduje,

ż

e zapisy

poszczególnych punktów SWB s

ą

ogólne i

powinny by

ć

uszczegółowione w

instrukcjach (Instrukcje szczegółowe)
opracowanych dla konkretnych systemów
teleinformatycznych.

3

Co zawiera SWB

• Zasady post

ę

powania z zewn

ę

trznymi

maszynowymi no

ś

nikami informacji;

• zasady wyboru i trybu zmiany haseł dost

ę

pu;

• zasady ochrony przed wirusami

komputerowymi;

• zasady wyprowadzania informacji z systemu

na papierowe, magnetyczne, optyczne
no

ś

niki informacji oraz zasad post

ę

powania

z tymi no

ś

nikami i wydrukami;

Co zawiera SWB

• zasady składowania informacji i

przechowywania kopii;

• zasady utrzymywania kopii archiwalnych

systemu (programy, pliki);

• plany post

ę

powania awaryjnego i

odtwarzania stanu systemu po zaistniałej
awarii z punktu widzenia ochrony,

• plany post

ę

powania awaryjnego i

odtwarzania stanu systemu po zaistniałej
katastrofie wykluczaj

ą

cej poprawne

funkcjonowanie oddziału lub całej Firmy w jej
siedzibie.

Kontrola SWB

• Nadzór i kontrol

ę

nad przestrzeganiem

postanowie

ń

SWB sprawuje BO, a w

nim inspektor BTI (Inspektor
bezpiecze

ń

stwa teleinformatycznego)

• SWB przeznaczone s

ą

do u

ż

ytku

słu

ż

bowego i nie mog

ą

by

ć

, bez zgody

Dyrektora BO, udost

ę

pniane osobom

nie b

ę

d

ą

cym pracownikami Firmy

Instrukcja szczegółowa

• Integraln

ą

cz

ęś

ci

ą

ka

ż

dego

eksploatowanego lub wdra

ż

anego

systemu teleinformatycznego powinien
by

ć

podsystem ochrony, a jego

formalnym uzupełnieniem jest
Instrukcja szczegółowa.

Instrukcja szczegółowa dla starych

systemów

„W stosunku do ju

ż

eksploatowanych

systemów, nie zawieraj

ą

cych

mechanizmów ochrony,
zleceniodawca/u

ż

ytkownik systemu

jest zobowi

ą

zany zapewni

ć

budow

ę

takiego podsystemu i opracowanie
Instrukcji szczegółowej w terminie
uzgodnionym z Dyrektorem BO”

Brak zabezpiecze

ń

kryptograficznych

„Do czasu wdro

ż

enia kryptograficznych

mechanizmów ochrony przesyłanych
danych zakazuje si

ę

wymiany informacji

niejawnych w sieciach transmisji danych;
informacje te nale

ż

y przekazywa

ć

zgodnie

z obowi

ą

zuj

ą

cymi w Firmie zasadami

wymiany korespondencji niejawnej”

4

Internet w Firmie?

„Systemy teleinformatyczne Firmy

wykorzystywane s

ą

do realizacji zada

ń

słu

ż

bowych i nie mog

ą

by

ć

fizycznie poł

ą

czone z

systemami teleinformatycznymi
(teletransmisyjnymi) publicznego u

ż

ytku ani te

ż

z systemami teleinformatycznymi innych
u

ż

ytkowników ni

ż

Firma dopóki nie zostan

ą

zastosowane odpowiednie mechanizmy ochrony
zapewniaj

ą

ce systemom teleinformatycznym

Firmy bezpieczn

ą

współprac

ę

z systemami

zewn

ę

trznymi”

Internet z wydzielonych stanowisk

„Pracownicy Firmy mog

ą

korzysta

ć

z

dost

ę

pu do usług

ś

wiadczonych przez sieci

publiczne (np. Internet) lub prywatne sieci
innych (ni

ż

Firma) operatorów wył

ą

cznie z

wydzielonych stanowisk komputerowych,
które nie mog

ą

by

ć

u

ż

ywane do realizacji

zada

ń

słu

ż

bowych (nie mog

ą

w nich by

ć

utrzymywane programy u

ż

ytkowe Firmy, jak

równie

ż

przechowywane dokumenty

zawieraj

ą

ce informacje niejawne).”

Strona trzecia

„Przygotowanie współpracy ze stron

ą

trzeci

ą

odno

ś

nie dost

ę

pu tej strony do

systemów teleinformatycznych Firmy
musi opiera

ć

si

ę

na formalnej Umowie o

Współpracy zawieraj

ą

cej odniesienie do

obowi

ą

zuj

ą

cych w Firmie uregulowa

ń

prawnych w zakresie ochrony i
bezpiecze

ń

stwa informacji przetwarzanej,

przechowywanej i przesyłanej w
systemach teleinformatycznych Firmy
oraz do postanowie

ń

niniejszych SWB.”

Ochrona przed niepo

żą

danym dost

ę

pem

do informacji (fragment)

• Monitory powinny by

ć

ustawione tak,

aby ograniczy

ć

mo

ż

liwo

ść

odczytu

zawarto

ś

ci ekranu przez osoby

postronne.

• U

ż

ytkownik ma obowi

ą

zek zachowania

poufno

ś

ci haseł i identyfikatorów

osobistych. Zabrania si

ę

udost

ę

pniania

hasła i identyfikatora innym osobom

Ustalenia odno

ś

nie u

ż

ytkowania

zewn

ę

trznych no

ś

ników informacji

• Do przechowywania informacji o

ró

ż

nych klauzulach tajno

ś

ci nale

ż

y

stosowa

ć

odr

ę

bne no

ś

niki

magnetyczne (np. ró

ż

ne dyskietki)

• Wszystkie no

ś

niki u

ż

ywane w

systemach teleinformatycznych
powinny by

ć

etykietowane

Ustalenia odno

ś

nie u

ż

ytkowania

zewn

ę

trznych no

ś

ników informacji

Dz.U. Nr 205. poz. 1696

• W systemach teleinformatycznych

nale

ż

y stosowa

ć

znakowanie no

ś

ników

magnetycznych. Znacznik musi
wskazywa

ć

klauzul

ę

tajno

ś

ci informacji

utrzymywanej na tym no

ś

niku:

Czerwony (lub czarny) stosuje si

ę

do

rejestrowania informacji tajnych (0),

zielony - informacji poufnych (Pf),

niebieski – zastrze

ż

onych (Z),

5

Zasady składowania i archiwizacji

Administrator systemu teleinformatycznego

powinien utrzymywa

ć

aktualne i

archiwalne kopie oprogramowania
systemowego i u

ż

ytkowego, a tak

ż

e

aktualne kopie baz danych.

No

ś

niki z kopiami archiwalnymi powinny by

ć

zabezpieczone

przed nieupowa

ż

nionym dost

ę

pem, zniszczeniem lub

kradzie

żą

, a sposób ich przechowywania powinien by

ć

zgodny z obowi

ą

zuj

ą

cymi przepisami o ochronie informacji

niejawnych

Cz

ę

stotliwo

ść

tworzenia kopii

• w odniesieniu do oprogramowania

okre

ś

la Dyrektor DI,

• w odniesieniu do baz danych

okre

ś

la Dyrektor Oddziału,

• w Centrali nadzoruj

ą

cy DI członek

Zarz

ą

du lub Dyrektor Firmy

Wersje zapasowe

• Za utrzymywanie zapasowej wersji

własnych plików danych, które
przechowywane s

ą

na indywidualnych

komputerach, odpowiadaj

ą

ich

u

ż

ytkownicy

• Je

ś

li pliki zawieraj

ą

informacje niejawne,

to do przechowywania zapasowych wersji
plików nale

ż

y równie

ż

u

ż

ywa

ć

no

ś

ników

zaewidencjonowanych.

Komputery tylko do pracy

Systemy teleinformatyczne Firmy

powinny by

ć

wykorzystywane

wył

ą

cznie do realizacji zada

ń

słu

ż

bowych. Za wykorzystywanie

systemów teleinformatycznych zgodnie
z ich przeznaczeniem odpowiedzialni
s

ą

u

ż

ytkownicy tych systemów

Odpowiedzialni

• Za bezpiecze

ń

stwo sieci i systemów

teleinformatycznych Firmy
odpowiada Administrator ABI oraz
pracownik BO odpowiedzialny za
sprawy bezpiecze

ń

stwa systemów

teleinformatycznych w Firmie –
inspektor BTI

Wybrane zadania administratora systemu

teleinformatycznego (ochrona informacji niejawnych

• Ustalenie zasad tworzenia i zmiany haseł
• Przydzielanie u

ż

ytkownikom uprawnie

ń

dost

ę

pu

• Uruchamianie zainstalowanych

systemowych mechanizmów ochrony,

• Zapewnienie wszystkim u

ż

ytkownikom

dost

ę

pu do aktualnych wersji programów

antywirusowych

• Wyznaczenie drukarek systemowych, które

mog

ą

by

ć

u

ż

ywane do wydruku danych

niejawnych

6

Wybrane zadania administratora systemu

teleinformatycznego (ochrona informacji niejawnych)

• Ustalanie wykazu programów, które mog

ą

by

ć

u

ż

ytkowane w systemie

• Ustalenie zasad archiwizacji zbiorów danych,

• Udost

ę

pnianie (na

żą

danie) wyznaczonym

osobom odpowiedzialnym za
bezpiecze

ń

stwo i ochron

ę

informacji

niejawnych systemowych plików audytu
(logów systemowych).

Obowi

ą

zek stosowania si

ę

do zakazów:

• pozostawianie bez nadzoru pomieszcze

ń

,

w których zainstalowany jest sprz

ę

t

komputerowy,

• pozostawiania bez nadzoru komputera

(terminala) bez wcze

ś

niejszego

zako

ń

czenia pracy w systemie,

• udost

ę

pniania komputera osobistego

osobom nieuprawnionym

• udost

ę

pniania innym u

ż

ytkownikom

swoich haseł i identyfikatorów,

Obowi

ą

zek stosowania si

ę

do zakazów:

• dokonywania prób uzyskania nielegalnego

dost

ę

pu do plików innych u

ż

ytkowników,

• propagowania przypadkowo uzyskanej

informacji o istniej

ą

cych w systemie

mo

ż

liwo

ś

ciach nielegalnego dost

ę

pu do

informacji lub nieuprawnionego korzystania z
zasobów teleinformatycznych;

• wykorzystywania komputera do celów innych ni

ż

realizacja zada

ń

słu

ż

bowych

(np. uruchamianie gier komputerowych )

U

ż

ytkownik systemu teleinformatycznego jest

odpowiedzialny za:

• nadanie (zgodnie z kompetencjami) generowanej

informacji, wła

ś

ciwej klauzuli tajno

ś

ci;

• przestrzeganie przyj

ę

tych procedur post

ę

powania z

no

ś

nikami informacji (np. dyskietki, wydruki papierowe);

• respektowanie zasad tworzenia haseł i trybu ich zmiany,

utrzymywanie poufno

ś

ci haseł dost

ę

pu do systemu;

• przestrzeganie przyj

ę

tych procedur post

ę

powania

(okre

ś

lonych w instrukcjach) odno

ś

nie składowania

przetwarzanych danych;

• bezzwłoczne powiadamianie wyznaczonej osoby

odpowiedzialnej za bezpiecze

ń

stwo i ochron

ę

informacji w

systemach teleinformatycznych Firmy o wszelkich
zauwa

ż

onych próbach nieuprawnionego korzystania z

zasobów systemu lub naruszenia mechanizmów i zasad
jego bezpiecze

ń

stwa;

Dzi

ę

kuj

ę

za uwag

ę