Załącznik do uchwały Nr 6/2019 r., z dnia 24.01.2019 r. Zarządu Banku Spółdzielczego w Księżpolu Załącznik do uchwały Nr 5/2019 r., z dnia 07.02.2019 r., Rady Nadzorczej Banku Spółdzielczego w Księżpolu POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU (Zawarta w planie ekonomiczno-finansowym Banku Spółdzielczego w Księżpolu na 2019 rok) Księżpol, 2019 r.
1 1. Polityka Bezpieczeństwa Informacji oraz wynikające z niej dokumenty szczegółowe są wyrazem obowiązujących przepisów prawa, a w szczególności: 1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (RODO), zwanego dalej Rozporządzeniem RODO; 2) Ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe (t.j. Dz. U. z 2018 r., poz. 2187 ze zm.);; 3) Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (t.j. Dz. U. z 2018 r., poz. 1000 ze zm.);; 2. Podstawą budowy systemu zarządzania bezpieczeństwem informacji w Banku są najlepsze praktyki w zakresie bezpieczeństwa informacji wynikające z Polskich Norm PN-ISO/IEC 17799:2007, ISO/IEC 13335-3, normy z serii ISO/IEC 27000 oraz standardów branżowych dotyczących sektora bankowego, w szczególności rekomendacji wydawanych przez Komisję Nadzoru Finansowego, Rekomendacja D i M. 2 1. Celem Polityki jest stworzenie podstaw organizacyjnych dla wdrożenia systemu zarządzania bezpieczeństwem informacji w Banku oraz określenie podstawowych zasad i wymagań organizacyjno-technicznych oraz prawnych dla zapewnienia właściwej ochrony informacji stanowiących tajemnicę bankową, informacji prawnie chronionych i innych zasobów informacyjnych przetwarzanych w Banku, a w szczególności informacji wytwarzanych, przetwarzanych, przekazywanych i przechowywanych w systemach informatycznych Banku, ze szczególnym uwzględnieniem ochrony danych osobowych. 2. Polityka odnosi się do wszelkich zasobów informacyjnych związanych z realizacją procesów biznesowych Banku, a w szczególności do systemów informatycznych, systemów telekomunikacyjnych, systemów łączności przewodowej i bezprzewodowej oraz wszelkich zastosowań informatyki rozpatrywanych w kontekście struktury organizacyjnej, infrastruktury technicznej Banku oraz jego pracowników, zwanych dalej komponentami środowiska teleinformatycznego. 3. Polityka dotyczy wszystkich osób zatrudnionych w Banku, a także osób, przy pomocy których Bank wykonuje swoje czynności, które przyjęły na siebie zobowiązanie dotyczące jej przestrzegania. Przedstawione w niniejszym dokumencie środki i metody ochrony informacji dotyczą wszelkich jej form zapisu, w tym informacji zapisanych na nośnikach elektronicznych, optycznych, magnetycznych i papierowych 3 1. W Banku występuje niski stopień złożoności systemów informatycznych i rozwiązań teleinformatycznych, dostosowany do skali, złożoności i profilu ryzyka. 2. Procedury Banku w zakresie bezpieczeństwa systemów informatycznych i informacji są wdrożone z uwzględnieniem w szczególności poziomu złożoności środowiska teleinformatycznego, stopnia narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skali i specyfiki prowadzonej działalności.
4 1. Poziom złożoności środowiska teleinformatycznego ocenia się jako niski: a) Bank w bieżącym przetwarzaniu danych posiada jeden zintegrowany system ewidencyjno-księgowy. b) Bank nie posiada rozległych, międzynarodowych sieci teleinformatycznych, c) Bank posiada tylko 6 placówek handlowych, z którymi utrzymuje łączność. d) Bank nie wymienia danych finansowych bezpośrednio z firmami zagranicznymi tylko za pośrednictwem Banku Zrzeszającego, e) Bank wymienia informacje tylko ze sprawdzonymi podmiotami zewnętrznymi, takim jak BIK, KNF, ARiMR, KIR, itp. f) Bank nie wymienia danych z pośrednikami. 2. Stopień narażenia na ryzyko ocenia się jako niski: a) Skala rozliczeń bezgotówkowych jest nie znaczącą nie przekracza 2% udziału w rynku. b) Bank posiada sprawdzoną, zaufaną kadrę, podlegająca niskiemu wskaźnikowi fluktuacji. c) Bank uzyskał pozytywną ocenę na podstawie audytu bezpieczeństwa informacji przeprowadzonego w 2018 roku. Wszystkie zalecenia ww. audytu zostały zrealizowane. d) Stała, dynamiczna współpraca z firmą informatyczną, która jest długoletnim uczestnikiem rynku, bardzo dobrze znającym specyfikę działania banków spółdzielczych. e) Nie podejmowanie współpracy z firmami informatycznymi o charakterze globalnym, międzynarodowym. f) W przypadku rozwoju oprogramowania realizowanego z udziałem podmiotów zewnętrznych Bank korzysta z usług wiarygodnych podmiotów (o odpowiednim doświadczeniu i reputacji). g) Bank dąży do wyeliminowania przypadków wykorzystywania oprogramowania, które nie posiada wsparcia producenta. 3. Skala prowadzonej działalności Bank posiada małą skalę działalności nie generuje ryzyka systemowego (udział w rynku poniżej 2%) 4. Specyfika działalności powoduje niskie ryzyko ze względu na: a) Działalność na rynku lokalnym, b) Niska fluktuacja kadr, c) Dobra znajomość klienta, d) Decyzyjność w zakresie wysokich wpłat i wypłat na najwyższym poziomie zarządzania bankiem. e) Rozbudowany system kontroli bieżącej (tzw. kontrola na drugą rękę ).
5 System zarządzania bezpieczeństwem środowiska teleinformatycznego w Banku wynika ze Strategii działania Banku w obszarze bezpieczeństwa środowiska teleinformatycznego i jest oparty o sformalizowane regulacje wewnętrzne. 6 Funkcjonujący w Banku System zarządzania bezpieczeństwem środowiska teleinformatycznego ma za zadanie zapewnienie bezpieczeństwa informacji, tj. zapewnienie stanu, w którym informacja jest chroniona przed wieloma różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty i maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym; niezależnie od tego, jaką formę informacja przybiera lub za pomocą, jakich środków jest udostępniana lub przechowywana zawsze powinna być w odpowiedni sposób chroniona; bezpieczeństwo informacji oznacza w szczególności zachowanie: 1. poufności: zapewnienie dostępu do informacji tylko osobom upoważnionym; 2. integralności: zapewnienia dokładności i kompletności informacji oraz metod jej przetwarzania; 3. dostępności: zapewnienie dostępu do informacji i związanych z nią aktywów uprawnionym użytkownikom wtedy, gdy są one im potrzebne; 4. zgodności przetwarzania danych z przepisami zewnętrznymi. 1. Informacje wytwarzane i przetwarzane w Banku dzieli się na informacje: 1) ogólnodostępne; 2) wewnętrzne; 3) chronione; 4) ściśle chronione. 7 2. Szczegółowe zasady klasyfikacji oraz postępowania z informacjami i nośnikami, określa Instrukcja bezpieczeństwa środowiska teleinformatycznego i informacji w Banku Spółdzielczego w Księżpolu. 8 1. Każdy system informatyczny eksploatowany w Banku wymaga zaklasyfikowania do określonej kategorii przy uwzględnieniu 1) klasyfikacji przetwarzanych informacji; 2) wymaganej dostępności systemu; 3) integralności; 4) ważności dla ciągłości świadczenia usług bankowych; 5) wymagań przepisów prawa; 6) powiązań z innymi systemami i wpływu systemu na inne systemy Banku.
1. Systemy informatyczne eksploatowane w Banku zalicza się do jednej z następujących kategorii: 1) krytyczne (kluczowe), 2) pozostałe. 2. Szczegółowe zasady klasyfikacji systemów określa Instrukcja bezpieczeństwa środowiska teleinformatycznego i informacji w Banku Spółdzielczym w Księżpolu. 10 Rozwój systemów informatycznych eksploatowanych w Banku powinien być spójny ze Strategią, niniejszą Polityką oraz pozostałymi politykami w zakresie zarządzania ryzykami i handlową (biznesową) a także z założeniami do planu ekonomiczno-finansowego. 11 Rozwój systemów informatycznych wymagający zaangażowania znacznych środków, osób oraz czasu wymaga opracowania harmonogramu. Zasady klasyfikacji jako projektów określa Instrukcja zarządzania zmianami. 12 W zakresie bezpieczeństwa systemów informatycznych i informacji Bank zapewnia: 1. ochronę informacji, w tym danych osobowych poprzez rozdzielenie funkcji administrowania systemami (ASI) od Inspektora Ochrony Danych (IOD), 2. wyznaczenie i zgłoszenie do Urzędu Ochrony Danych Osobowych (UODO) osoby wyznaczonej do pełnienia funkcji IOD. 3. kontrolę wykorzystywanego sprzętu i oprogramowania, 4. legalność wykorzystywanego oprogramowania, 5. odpowiednią gospodarkę dostępami do danych, do pomieszczeń, do sprzętu i oprogramowania, 6. oddzielenie sieci bankowej od sieci publicznej, 7. wykorzystywanie w bieżącej działalności komponentów posiadających wsparcie producenta, a w przypadku zarejestrowania takich komponentów opracowanie planu wymiany ww. komponentów, 8. nie przetwarzanie danych o wysokim poziomie poufności lub istotności poza infrastrukturą Banku, 9. ciągłość obsługi klientów poprzez opracowanie testów warunków skrajnych oraz planów awaryjnych, 10. nadzór nad podmiotami, którym Bank powierza realizację czynności bankowych, 11. opracowanie systemu zarządzania bezpieczeństwem środowiska teleinformatycznego wynikającego ze strategii działania Banku w obszarze bezpieczeństwa środowiska teleinformatycznego i opartego o sformalizowane regulacje wewnętrzne, 12. gromadzenie i analizę danych o naruszeniach bezpieczeństwa informacji, ze szczególnym uwzględnieniem danych osobowych poprzez system zgłoszeniowy, rejestr skarg i reklamacji, zbieranie informacji od klientów za pośrednictwem skrzynki mailowej oraz skrzynki należącej do IOD. 9
13 Bank planuje następujące działania w celu doskonalenia standardów bezpieczeństwa środowiska teleinformatycznego i informacji: 1. Okresową weryfikację procedur w zakresie bezpieczeństwa systemów informatycznych i informacji, 2. Utrzymanie obsługi serwisowej, w tym awaryjne wznowienie przetwarzania danych w centrum zapasowym, 3. Zapewnienie alternatywnej obsługi czynności zlecanych w ramach outsourcingu poprzez uzyskanie od autoryzowanych partnerów deklaracji przejęcia obsługi w przypadku sytuacji kryzysowej, 4. Okresowe przeprowadzanie testów warunków skrajnych. 5. Doskonalenie procedur w zakresie bezpieczeństwa systemów informatycznych i informacji, zgodnie ze zmianą Rekomendacji D. 6. Realizacja zaleceń wydanych po audycie bezpieczeństwa systemów informatycznych i informacji. 7. Przeprowadzenie szkoleń w celu podnoszenia kwalifikacji w zakresie bezpieczeństwa środowiska teleinformatycznego i informacji. 8. Prowadzenie różnorodnych akcji edukacyjnych podnoszących kulturę bezpieczeństwa informacji, w tym danych osobowych. 9. Dalsze dostosowanie procedur przetwarzania danych osobowych do zmieniających się przepisów zewnętrznych. 14 W roku 2019 Bank nie planuje realizacji projektu w zakresie bezpieczeństwa IT 15 Wymiana komponentów nie posiadających wsparcia producenta: L.p. Rodzaj komponentu Stan na Stan na Stan na 31.12.2019 31.12.2020 31.12.2021 1 Wymiana dysków twardych 3 6 0 2 Wymiana zestawu 12 18 18 komputerowego 16 W 2019r. planuje się następujące wydatki związane z informatyką: L.p. Rodzaj wydatku Kwota w 2019 Kwota w 2020 Kwota w 2021 1 Serwer do systemu FK 0 35 0 2 Oprogramowanie 10 10 10 komputerowe 3 Drukarka 15 5 10 4 Urządzenia sieciowe 10 10 15 5 Licencje 10 10 10 17 Na podstawie analizy wydajności komponentów środowiska teleinformatycznego, stwierdzono, że infrastruktura informatyczna charakteryzuje się nadmiarowością oraz skalowalnością, tj. ma możliwości zwiększenia wydajności i nie wymaga dodatkowych modyfikacji, poza wymienionymi w paragrafie powyżej.