1

Polityka Bezpiecze

ń

stwa Firmy

Polityka Bezpiecze

ń

stwa Firmy

• Polityka Bezpiecze

ń

stwa Firmy (PBF) jest 

zintegrowanym zbiorem ogólnych zasad i 
dyrektyw wewn

ę

trznych w zakresie 

bezpiecze

ń

stwa. Odzwierciedla uregulowania 

obejmuj

ą

ce Central

ę

i oddziały Firmy.

• PBF ma charakter przymusowy, czyli 

Ŝ

aden 

pracownik nie mo

Ŝ

e działa

ć

inaczej bez 

specjalnej zgody kierownika jednostki 
organizacyjnej Firmy

Dyrektywy Generalne

Realizuj

ą

c PBF, we współpracy ze 

słu

Ŝ

bami bezpiecze

ń

stwa pa

ń

stwa, 

Pełnomocnik Ochrony – Dyrektor Biura 

Ochrony Firmy - dba o interes Firmy w 
zakresie bezpiecze

ń

stwa.

Pełnomocnik Ochrony

• Pełnomocnik Ochrony –Dyrektor Biura 

Ochrony - koordynuje działania Firmy w 
zakresie bezpiecze

ń

stwa.

• Dyrektor Biura Ochrony Firmy kieruj

ą

c 

pionem ochrony - wyodr

ę

bnion

ą

wyspecjalizowan

ą

komórk

ą

organizacyjn

ą

Firmy

Pełnomocnik Ochrony zapewnia

• ochron

ę

informacji niejawnych,

• ochron

ę

systemów i sieci teleinformatycznych,

• ochron

ę

fizyczn

ą

Firmy,- koordynacj

ę

ochrony 

fizycznej jednostek organizacyjnych,

• kontrol

ę

ochrony informacji niejawnych,

• przestrzeganie przepisów o ochronie informacji 

niejawnych,

• okresow

ą

kontrol

ę

ewidencji materiałów i 

obiegu dokumentów,

• opracowanie planów ochrony i nadzorowanie 

ich realizacji,

• szkolenie pracowników banku w zakresie 

ochrony informacji niejawnych.

Uzgodnienia przedsi

ę

wzi

ęć

Firmy

Wszyscy kierownicy jednostek organizacyjnych Firmy maj

ą

obowi

ą

zek uzgodnienia z Dyrektorem Biura Ochrony, na 

etapie planowania realizacji oraz kontroli, wszystkich 
przedsi

ę

wzi

ęć

organizacyjnych i działa

ń

dotycz

ą

cych 

bezpiecze

ń

stwa. W szczególno

ś

ci uzgodnieniu 

podlegaj

ą

:

• Infrastruktura Firmy: lokalizacja budynków, warunki 

najmu, architektura i budowa, infrastruktura techniczna.

• Systemy teleinformatyczne: lokalizacja, sprz

ę

t i 

oprogramowanie, systemy zabezpiecze

ń

.

• Współpraca z podmiotami zewn

ę

trznymi

ś

wiadcz

ą

cymi 

usługi na rzecz firmy.

• Inne sprawy bie

Ŝą

ce wymagaj

ą

ce uzgodnie

ń

w zakresie 

bezpiecze

ń

stwa.

2

Bezpiecze

ń

stwo informacji

• Reguły zwi

ą

zane z tworzeniem 

informacji

• Ogólne zasady obiegu i 

przechowywania informacji

• Proces niszczenia informacji 

Dane osobowe

• Informacje zawieraj

ą

ce dane osobowe powinny 

podlega

ć

ochronie jako informacje niejawne 

stanowi

ą

ce tajemnic

ę

słu

Ŝ

bow

ą

oznaczone 

klauzul

ą

„zastrze

Ŝ

one”.

• Zbiory danych osobowych powinny by

ć

tworzone i przetwarzane (w rozumieniu ustawy o 
ochronie danych osobowych), w sposób 
zapewniaj

ą

cy zachowanie ich to

Ŝ

samo

ś

ci i 

odr

ę

bno

ś

ci.

• W trakcie przetwarzania danych nale

Ŝ

y w 

szczególno

ś

ci zapewni

ć

uzyskanie dokładnych 

informacji na temat ich udost

ę

pnienia (komu, 

kiedy, w jakim zakresie, w jakim celu, w jaki 
sposób, przez kogo) oraz niezwłoczne i zupełne 
zniszczenie danych nieaktualnych lub, gdy cel, 
w którym były przetwarzane, został osi

ą

gni

ę

ty.

Odpowiedzialno

ść

za ochron

ę

tajemnicy 

pa

ń

stwowej

• Zgodnie z ustaw

ą

z 22 stycznia 1999 

roku o ochronie informacji niejawnych 
osob

ą

odpowiedzialn

ą

za ochron

ę

tajemnicy pa

ń

stwowej i słu

Ŝ

bowej jest 

kierownik jednostki organizacyjnej, w 
której informacje niejawne s

ą

wytwarzane, przetwarzane, 
przekazywane lub przechowywane.

Ochrona informacji niejawnych w Firmie

• Bezpiecze

ń

stwo systemów i sieci 

teleinformatycznych Firmy powinno by

ć

zapewnione przed przyst

ą

pieniem do 

przetwarzania informacji w danym systemie lub 
sieci.

• Obowi

ą

zuj

ą

ce zasady w tym zakresie zawarte s

ą

w Szczególnych Wymagania Bezpiecze

ń

stwa

Systemów i Sieci Teleinformatycznych (SWB). 

• Integraln

ą

cz

ęś

ci

ą

ka

Ŝ

dego eksploatowanego 

lub wdra

Ŝ

anego systemu teleinformatycznego 

powinien by

ć

podsystem ochrony, a jego 

formalnym uzupełnieniem s

ą

Procedury 

Bezpiecznej Eksploatacji (PBE)

Czego dotycz

ą

?

SWB zawieraj

ą

administracyjno-

organizacyjne ustalenia dotycz

ą

ce ochrony 

informacji niejawnej przetwarzanej, 
przechowywanej i przesyłanej w systemach 
teleinformatycznych Firmy oraz okre

ś

laj

ą

podział obowi

ą

zków i odpowiedzialno

ś

ci 

pracowników realizuj

ą

cych funkcje z 

zakresu bezpiecze

ń

stwa i ochrony 

informacji

Indywidualizacja SWB

Zró

Ŝ

nicowanie systemów 

teleinformatycznych wykorzystywanych w 
Firmie, zarówno w aspekcie techniczno-
technologicznym jak te

Ŝ

aplikacyjnym 

(zakresu i rodzaju realizowanych w nich 
aplikacji u

Ŝ

ytkowych) powoduje, 

Ŝ

e zapisy 

poszczególnych punktów SWB s

ą

ogólne i 

powinny by

ć

uszczegółowione w 

instrukcjach (Instrukcje szczegółowe) 
opracowanych dla konkretnych systemów 
teleinformatycznych.

3

Co zawiera SWB

• Zasady post

ę

powania z zewn

ę

trznymi 

maszynowymi no

ś

nikami informacji; 

• zasady wyboru i trybu zmiany haseł dost

ę

pu;

• zasady ochrony przed wirusami 

komputerowymi;

• zasady wyprowadzania informacji z systemu 

na papierowe, magnetyczne, optyczne 
no

ś

niki informacji oraz zasad post

ę

powania 

z tymi no

ś

nikami i wydrukami;

Co zawiera SWB

• zasady składowania informacji i 

przechowywania kopii;

• zasady utrzymywania kopii archiwalnych 

systemu (programy, pliki);

• plany post

ę

powania awaryjnego i 

odtwarzania stanu systemu po zaistniałej 
awarii z punktu widzenia ochrony,

• plany post

ę

powania awaryjnego i 

odtwarzania stanu systemu po zaistniałej 
katastrofie wykluczaj

ą

cej poprawne 

funkcjonowanie oddziału lub całej Firmy w jej 
siedzibie.

Kontrola SWB

• Nadzór i kontrol

ę

nad przestrzeganiem 

postanowie

ń

SWB sprawuje BO, a w 

nim inspektor BTI (Inspektor 
bezpiecze

ń

stwa teleinformatycznego)

• SWB przeznaczone s

ą

do u

Ŝ

ytku 

słu

Ŝ

bowego i nie mog

ą

by

ć

, bez zgody 

Dyrektora BO, udost

ę

pniane osobom 

nie b

ę

d

ą

cym pracownikami Firmy

Instrukcja szczegółowa

• Integraln

ą

cz

ęś

ci

ą

ka

Ŝ

dego 

eksploatowanego lub wdra

Ŝ

anego 

systemu teleinformatycznego powinien 
by

ć

podsystem ochrony, a jego 

formalnym uzupełnieniem jest 
Instrukcja szczegółowa.

Instrukcja szczegółowa dla starych 

systemów

„W stosunku do ju

Ŝ

eksploatowanych 

systemów, nie zawieraj

ą

cych 

mechanizmów ochrony, 
zleceniodawca/u

Ŝ

ytkownik systemu 

jest zobowi

ą

zany zapewni

ć

budow

ę

takiego podsystemu i opracowanie 
Instrukcji szczegółowej w terminie 
uzgodnionym z Dyrektorem BO”

Brak zabezpiecze

ń

kryptograficznych 

„Do czasu wdro

Ŝ

enia kryptograficznych 

mechanizmów ochrony przesyłanych 
danych zakazuje si

ę

wymiany informacji 

niejawnych w sieciach transmisji danych; 
informacje te nale

Ŝ

y przekazywa

ć

zgodnie 

z obowi

ą

zuj

ą

cymi w Firmie zasadami 

wymiany korespondencji niejawnej”

4

Internet w Firmie?

„Systemy teleinformatyczne Firmy 

wykorzystywane s

ą

do realizacji zada

ń

słu

Ŝ

bowych i nie mog

ą

by

ć

fizycznie poł

ą

czone z 

systemami teleinformatycznymi 
(teletransmisyjnymi) publicznego u

Ŝ

ytku ani te

Ŝ

z systemami teleinformatycznymi innych 
u

Ŝ

ytkowników ni

Ŝ

Firma dopóki nie zostan

ą

zastosowane odpowiednie mechanizmy ochrony 
zapewniaj

ą

ce systemom teleinformatycznym 

Firmy bezpieczn

ą

współprac

ę

z systemami 

zewn

ę

trznymi”

Internet z wydzielonych stanowisk

„Pracownicy Firmy mog

ą

korzysta

ć

z 

dost

ę

pu do usług 

ś

wiadczonych przez sieci 

publiczne (np. Internet) lub prywatne sieci 
innych (ni

Ŝ

Firma) operatorów wył

ą

cznie z 

wydzielonych stanowisk komputerowych, 
które nie mog

ą

by

ć

u

Ŝ

ywane do realizacji 

zada

ń

słu

Ŝ

bowych (nie mog

ą

w nich by

ć

utrzymywane programy u

Ŝ

ytkowe Firmy, jak 

równie

Ŝ

przechowywane dokumenty 

zawieraj

ą

ce informacje niejawne).”

Strona trzecia

„Przygotowanie współpracy ze stron

ą

trzeci

ą

odno

ś

nie dost

ę

pu tej strony do 

systemów teleinformatycznych Firmy 
musi opiera

ć

si

ę

na formalnej Umowie o 

Współpracy zawieraj

ą

cej odniesienie do 

obowi

ą

zuj

ą

cych w Firmie uregulowa

ń

prawnych w zakresie ochrony i 
bezpiecze

ń

stwa informacji przetwarzanej, 

przechowywanej i przesyłanej w 
systemach teleinformatycznych Firmy 
oraz do postanowie

ń

niniejszych SWB.”

Ochrona przed niepo

Ŝą

danym dost

ę

pem 

do informacji (fragment)

• Monitory powinny by

ć

ustawione tak, 

aby ograniczy

ć

mo

Ŝ

liwo

ść

odczytu 

zawarto

ś

ci ekranu przez osoby 

postronne.

• U

Ŝ

ytkownik ma obowi

ą

zek zachowania 

poufno

ś

ci haseł i identyfikatorów 

osobistych. Zabrania si

ę

udost

ę

pniania 

hasła i identyfikatora innym osobom

Ustalenia odno

ś

nie u

Ŝ

ytkowania 

zewn

ę

trznych no

ś

ników informacji

• Do przechowywania informacji o 

ró

Ŝ

nych klauzulach tajno

ś

ci nale

Ŝ

y 

stosowa

ć

odr

ę

bne no

ś

niki 

magnetyczne (np. ró

Ŝ

ne dyskietki)

• Wszystkie no

ś

niki u

Ŝ

ywane w 

systemach teleinformatycznych 
powinny by

ć

etykietowane 

Ustalenia odno

ś

nie u

Ŝ

ytkowania 

zewn

ę

trznych no

ś

ników informacji

Dz.U. Nr 205. poz. 1696

• W systemach teleinformatycznych 

nale

Ŝ

y stosowa

ć

znakowanie no

ś

ników 

magnetycznych. Znacznik musi 
wskazywa

ć

klauzul

ę

tajno

ś

ci informacji 

utrzymywanej na tym no

ś

niku:

Czerwony (lub czarny) stosuje si

ę

do 

rejestrowania informacji tajnych (0),

zielony - informacji poufnych (Pf),

niebieski – zastrze

Ŝ

onych (Z),  

5

Zasady składowania i archiwizacji

Administrator systemu teleinformatycznego 

powinien utrzymywa

ć

aktualne i 

archiwalne kopie oprogramowania 
systemowego i u

Ŝ

ytkowego, a tak

Ŝ

e 

aktualne kopie baz danych.

No

ś

niki z kopiami archiwalnymi powinny by

ć

zabezpieczone 

przed nieupowa

Ŝ

nionym dost

ę

pem, zniszczeniem lub 

kradzie

Ŝą

, a sposób ich przechowywania powinien by

ć

zgodny z obowi

ą

zuj

ą

cymi przepisami o ochronie informacji 

niejawnych

Cz

ę

stotliwo

ść

tworzenia kopii

• w odniesieniu do oprogramowania 

okre

ś

la Dyrektor DI, 

• w odniesieniu do baz danych 

okre

ś

la Dyrektor Oddziału, 

• w Centrali nadzoruj

ą

cy DI członek 

Zarz

ą

du lub Dyrektor Firmy 

Wersje zapasowe

• Za utrzymywanie zapasowej wersji 

własnych plików danych, które 
przechowywane s

ą

na indywidualnych 

komputerach, odpowiadaj

ą

ich 

u

Ŝ

ytkownicy

• Je

ś

li pliki zawieraj

ą

informacje niejawne, 

to do przechowywania zapasowych wersji 
plików nale

Ŝ

y równie

Ŝ

u

Ŝ

ywa

ć

no

ś

ników 

zaewidencjonowanych.

Komputery tylko do pracy

Systemy teleinformatyczne Firmy 

powinny by

ć

wykorzystywane 

wył

ą

cznie do realizacji zada

ń

słu

Ŝ

bowych. Za wykorzystywanie 

systemów teleinformatycznych zgodnie 
z ich przeznaczeniem odpowiedzialni 
s

ą

u

Ŝ

ytkownicy tych systemów

Odpowiedzialni

• Za bezpiecze

ń

stwo sieci i systemów 

teleinformatycznych Firmy 
odpowiada Administrator ABI oraz 
pracownik BO odpowiedzialny za 
sprawy bezpiecze

ń

stwa systemów 

teleinformatycznych w Firmie –
inspektor BTI

Wybrane zadania administratora systemu 

teleinformatycznego (ochrona informacji niejawnych

• Ustalenie zasad tworzenia i zmiany haseł
• Przydzielanie u

Ŝ

ytkownikom uprawnie

ń

dost

ę

pu 

• Uruchamianie zainstalowanych 

systemowych mechanizmów ochrony, 

• Zapewnienie wszystkim u

Ŝ

ytkownikom 

dost

ę

pu do aktualnych wersji programów 

antywirusowych 

• Wyznaczenie drukarek systemowych, które 

mog

ą

by

ć

u

Ŝ

ywane do wydruku danych 

niejawnych 

6

Wybrane zadania administratora systemu 

teleinformatycznego (ochrona informacji niejawnych)

• Ustalanie wykazu programów, które mog

ą

by

ć

u

Ŝ

ytkowane w systemie 

• Ustalenie zasad archiwizacji zbiorów danych, 

• Udost

ę

pnianie (na 

Ŝą

danie) wyznaczonym 

osobom odpowiedzialnym za 
bezpiecze

ń

stwo i ochron

ę

informacji 

niejawnych systemowych plików audytu 
(logów systemowych).

Obowi

ą

zek stosowania si

ę

do zakazów:

• pozostawianie bez nadzoru pomieszcze

ń

, 

w których zainstalowany jest sprz

ę

t 

komputerowy,

• pozostawiania bez nadzoru komputera 

(terminala) bez wcze

ś

niejszego 

zako

ń

czenia pracy w systemie, 

• udost

ę

pniania komputera osobistego 

osobom nieuprawnionym 

• udost

ę

pniania innym u

Ŝ

ytkownikom 

swoich haseł i identyfikatorów, 

Obowi

ą

zek stosowania si

ę

do zakazów:

• dokonywania prób uzyskania nielegalnego 

dost

ę

pu do plików innych u

Ŝ

ytkowników, 

• propagowania przypadkowo uzyskanej 

informacji o istniej

ą

cych w systemie 

mo

Ŝ

liwo

ś

ciach nielegalnego dost

ę

pu do 

informacji lub nieuprawnionego korzystania z 
zasobów teleinformatycznych; 

• wykorzystywania komputera do celów innych ni

Ŝ

realizacja zada

ń

słu

Ŝ

bowych 

(np. uruchamianie gier komputerowych )

U

Ŝ

ytkownik systemu teleinformatycznego jest 

odpowiedzialny za:

• nadanie (zgodnie z kompetencjami) generowanej 

informacji, wła

ś

ciwej klauzuli tajno

ś

ci; 

• przestrzeganie przyj

ę

tych procedur post

ę

powania z 

no

ś

nikami informacji (np. dyskietki, wydruki papierowe);

• respektowanie zasad tworzenia haseł i trybu ich zmiany, 

utrzymywanie poufno

ś

ci haseł dost

ę

pu do systemu;

• przestrzeganie przyj

ę

tych procedur post

ę

powania 

(okre

ś

lonych w instrukcjach) odno

ś

nie składowania 

przetwarzanych danych; 

• bezzwłoczne powiadamianie wyznaczonej osoby 

odpowiedzialnej za bezpiecze

ń

stwo i ochron

ę

informacji w 

systemach teleinformatycznych Firmy o wszelkich 
zauwa

Ŝ

onych próbach nieuprawnionego korzystania z 

zasobów systemu lub naruszenia mechanizmów i zasad 
jego bezpiecze

ń

stwa;

Dzi

ę

kuj

ę

za uwag

ę