Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Zarząd Banku ma świadomość, że aktualna oraz przyszła pozycja na rynku usług bankowych, w warunkach konkurencji, zależy od bezpieczeństwa jej systemów teleinformatycznych.  Aby zapewnić i utrzymać odpowiedni poziom bezpieczeństwa swoich systemów oraz przetwarzanej informacji, Zarząd Banku ustanawia Politykę Bezpieczeństwa Informacji, której cele i zasady zamieszczono w niniejszym dokumencie ramowym.

Zarząd Banku zapewnia bezpieczeństwo informacji w następujących sferach działalności Banku:

  • strategia i rozwój Banku,
  • działalność organizacyjno - prawna i kadrowa,
  • działalność handlowa, w szczególności w zakresie bankowości elektronicznej,
  • eksploatacja systemów teleinformatycznych i baz danych,
  • ochrona osób i mienia,
  • ochrona informacji, w tym informacji prawnie chronionych.

Zarząd Banku uwzględnia aspekty bezpieczeństwa informacji na poziomie celów, strategii oraz działań, w oparciu o systematyczne podejście do zarządzania ryzykiem, obejmującym sprawdzoną metodykę, zasady określania kryteriów ryzyka oraz zasoby potrzebne do wykonywania procesów zarządzania ryzykiem.
 
Zarząd Banku ustanawia  Politykę Bezpieczeństwa Informacji i zobowiązuje się do wypełniania zadań związanych z nadzorem nad bezpieczeństwem i koordynacją działań związanych z bezpieczeństwem, przeglądami i audytami bezpieczeństwa.

Niniejszy dokument określa cel Polityki, zawiera podstawowe definicje i podstawę prawną, postanowienia ogólne, podstawowe zasady bezpieczeństwa informacji i systemów teleinformatycznych służących do przetwarzania informacji w Banku oraz odpowiedzialność za realizację Polityki oraz utrzymanie jej aktualności w zmieniających się warunkach działalności biznesowej.

Celem Polityki Bezpieczeństwa jest określenie zasad, zgodnie z którymi powinny być zarządzane, zabezpieczane i udostępniane aktywa w postaci informacji i systemów teleinformatycznych w Banku.
 
Systemy teleinformatyczne zapewniają sprawną i niezawodną realizację podstawowych celów biznesowych Banku. W szczególności, systemy te zapewniają  poufność i ochronę dostępu do danych istotnych z punktu widzenia działalności Banku, w szczególności wynikającą z przepisów prawa bankowego oraz ustawy o ochronie danych osobowych;  Integralność, autentyczność, niezawodność i dostępność danych, na podstawie których jest prowadzona działalność biznesowa Banku.
 
Polityka Bezpieczeństwa i dokumenty związane są tworzone i rozwijane w oparciu o proces zarządzania bezpieczeństwem informacji w Banku. Znaczy to, że fakty wystąpienia poważnych incydentów w dziedzinie bezpieczeństwa będą mogły skutkować zmianami w dokumencie niniejszej Polityki Bezpieczeństwa i/lub dokumentach związanych. Ponadto, w procesie monitorowania będzie prowadzony nadzór nad działaniem systemu zabezpieczeń i w razie stwierdzenia takiej konieczności, podejmowane działania wyprzedzające potencjalne zdarzenia.

Podstawowe zasady bezpieczeństwa informacji w Banku

Systemy teleinformatyczne Banku są zabezpieczone przed nieupoważnionym dostępem, modyfikacją lub zniszczeniem. Sieć wewnętrzna Banku jest zabezpieczona przed nieupoważnionym dostępem z zewnątrz.
Informacje w systemach Banku są chronione w sposób proporcjonalny do ich wrażliwości, zagrożeń lub wymagań stawianych przez odpowiednie przepisy prawne.
Każdy użytkownik systemu teleinformatycznego dysponuje indywidualnym kontem, za pośrednictwem którego może korzystać z udostępnianych zasobów i usług. System gwarantuje rozliczalność użytkowników zarejestrowanych w systemie.

Kadra kierownicza oraz wytypowani pracownicy mają dodatkowe obowiązki związane z organizacją ochrony informacji wrażliwych oraz kontrolą przestrzegania polityki w tym zakresie, w szczególności audytów i przeglądów bezpieczeństwa. Od takich pracowników wymagana jest szczególna lojalność, staranność oraz wysoka etyka zawodowa.

W odniesieniu do przetwarzania informacji wrażliwych oraz kontroli dostępu do tych informacji obowiązują zasady:

  • „minimalnych przywilejów”, tzn. przydzielania praw dostępu tylko w zakresie niezbędnym do wykonania określonego zadania,
  • „domniemanej odmowy”, tzn. przyjęcia jako standardowych najbardziej restrykcyjnych ustawień, które można zwolnić jedynie w określonych sytuacjach („to, co nie jest dozwolone, jest zabronione”),
  • „separacji obowiązków”, polegającej na tym, że zadania krytyczne z punktu widzenia bezpieczeństwa systemu nie mogą być realizowane przez jedną osobę, rozliczalności działań. 

W Banku jest zachowana niezależność nadzoru nad bezpieczeństwem oraz audytu bezpieczeństwa.
 
Wszyscy pracownicy są uświadomieni w zakresie przyjętej Polityki Bezpieczeństwa Informacji. Okresowo są przeprowadzane szkolenia, dotyczące ochrony aktywów systemu teleinformatycznego. Pracownicy odpowiedzialni za bezpieczeństwo tych aktywów w sposób ciągły podnoszą swoje kwalifikacje.

W przypadku wystąpienia poważnego naruszenia bezpieczeństwa aktywów, Zarząd Banku spowoduje podjęcie szybkich działań zaradczych w celu zmniejszenia strat. Na wypadek katastrofy lub rozległej awarii technicznej są opracowane plany ciągłości działania dla systemów i aplikacji istotnych z punktu widzenia działalności Banku.

Odpowiedzialność za Politykę Bezpieczeństwa

Za realizację niniejszej Polityki Bezpieczeństwa, procedur, instrukcji i regulaminów zawartych w dokumentach związanych oraz za dokonywanie zmian w tych dokumentach odpowiedzialny jest Zarząd Banku.
Wszyscy pracownicy Banku pełnią w systemie zarządzania bezpieczeństwem informacji określone role i zobowiązani są do zapewnienia właściwej ochrony zasobów informacyjnych, do których mają dostęp, a zwłaszcza za przestrzeganie postanowień niniejszej Polityki i wynikających z niej przepisów wewnętrznych Banku.

Zasady rozpowszechniania

  • Z treścią niniejszego dokumentu są zapoznani wszyscy pracownicy Banku. 
  • Niniejszy dokument może być przedstawiany wszystkim innym podmiotom, w tym organom władzy i administracji publicznej, w celu prezentacji zasad ochrony informacji i systemów teleinformatycznych służących do ich przetwarzania obowiązujących w Banku.
  • Za zapoznanie z treścią Polityki pracowników Banku oraz osób, przy pomocy których Bank wykonuje swoje czynności, odpowiedzialny jest Prezes Zarządu Banku Spółdzielczego w Nowej Soli.