Polityka Bezpieczeństwa Informacji

  • Wprowadzenie
  • Cele i strategie bezpieczeństwa informacji
  • Podstawy prawne
  • Terminologia
  • Definicje

  • Zakres systemu bezpieczeństwa informacji
  • Organizacja bezpieczeństwa informacji
  • Klasyfikacja przetwarzanych informacji
  • Odpowiedzialność za bezpieczeństwo informacji
  • Polityka kontroli dostępu do informacji
  • Infrastruktura systemu informacyjnego
  • Zarządzanie systemami i sieciami
  • Bezpieczeństwo fizyczne i środowiskowe infrastruktury technicznej
  • Bezpieczeństwo teleinformatyczne
  • Zarządzanie aktywami i ryzykiem (rejestr ryzyk)
  • Bezpieczeństwo zasobów ludzkich
  • Zarządzanie ciągłością działania
  • Zgodność z wymogami prawnymi
  • Utrzymywanie, monitorowanie i doskonalenie SZBI

Wprowadzenie

Każda organizacja przetwarza informacje stanowiące częstokroć najważniejsze, z punktu widzenia biznesowego, aktywa firmy. Niezależnie od formy informacji oraz sposobów, za pomocą których jest ona przetwarzana, przesyłana lub przechowywana, powinna być zawsze odpowiednio zabezpieczona. Skuteczność i adekwatność zabezpieczeń zapewniana jest przez podejście systemowe, opierające się na zasadzie ciągłego doskonalenia jakości.

Zastosowanie niniejszej Polityki Bezpieczeństwa Informacji powinno zapewnić zabezpieczenia adekwatne i proporcjonalne do kategorii danych, jednocześnie dopasowane do poziomu zagrożeń występujących dla przetwarzanych i przechowywanych informacji objętych ochroną.

Dokument ma charakter deklaratywny, zawiera ogólne ramy, wymagania, zasady, procedury i instrukcje w zakresie ochrony informacji przetwarzanych w SuperFirma sp. z o.o. oraz jest on nadrzędny w stosunku do pozostałych wewnętrznych aktów prawnych dotyczących bezpieczeństwa informacji obowiązujących w Spółce.

Cele i strategie bezpieczeństwa informacji

Celem niniejszej Polityki Bezpieczeństwa jest zapewnienie właściwej ochrony zasobów oraz ustanowienie Systemu Zarządzania Bezpieczeństwem Informacji w SuperFirma sp. z o.o.

Polityka Bezpieczeństwa Informacji została wdrożona i jest stale doskonalona w celu:

  • zapewnienia poufności, integralności i dostępności danych,
  • umożliwienia identyfikacji czynności i zasobów podczas przetwarzania danych,
  • zapewnienia niezawodności działań,
  • ochrony wizerunku Spółki,
  • zapewnienia zgodności z prawem podejmowanych działań,
  • podejmowania wysiłków prowadzących do poprawy poziomu bezpieczeństwa zasobów informacyjnych w SuperFirma sp. z o.o.

Podstawy prawne

Polityka Bezpieczeństwa Informacji oraz pozostałe dokumenty dotyczące zarządzania bezpieczeństwem informacji w Spółce spełniają wymagania prawne i regulacyjne, zawarte w:

  1. ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019, poz. 1781);
  2. ustawie z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2019, poz. 162 ze zmianami);
  3. ustawie z dnia 19 lipca 2019 r. o zapewnianiu dostępności osobom ze szczególnymi potrzebami (Dz.U. 2019, poz. 1696 ze zmianami);
  4. rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2017, poz. 2247);
  5. rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28 sierpnia 2014, str.73);
  6. rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2018.119.1);
  7. normie PN-ISO/IEC 27001:2017-06
Terminologia

Ilekroć w Polityce Bezpieczeństwa Informacji jest mowa o:

  • „Polityce” – należy przez to rozumieć Politykę Bezpieczeństwa Informacji w SuperFirma sp. z o.o.,
  • „Spółce” – należy przez to rozumieć spółkę SuperFirma sp. z o.o.,
  • „Organizacji” – należy przez to rozumieć spółkę SuperFirma sp. z o.o.,
  • „Zarządzie” – należy przez to rozumieć organ wykonawczy reprezentujący spółkę SuperFirma sp. z o.o.,
  • „Systemie informatycznym” – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur, narzędzi programowych zastosowanych do przetwarzania informacji i danych,
  • „SZBI” – należy przez to rozumieć system zarządzania bezpieczeństwem informacji,
  • „Użytkowniku” – należy przez to rozumieć osobę korzystającą z zasobów teleinformatycznych Spółki.
Definicje

Informacja – wszelkie zapisy w formie papierowej, w systemach komputerowych oraz na innych nośnikach przetwarzane w systemach tradycyjnych, elektronicznych i komunikacyjnych będących własnością Spółki, funkcjonujących w obrębie Spółki lub administrowanych przez Spółkę.

Informacja wrażliwa – informacja prawnie chroniona oraz każda informacja, której utrata, ujawnienie lub udostępnienie osobie lub podmiotowi nieuprawnionemu mogłoby spowodować szkodę materialną lub niematerialną dla Spółki lub naruszyć prawnie chroniony interes innych osób lub podmiotów.

Środki przetwarzania informacji – system informacyjny, infrastruktura stała oraz mobilna służąca przetwarzaniu informacji, w tym usługi świadczone w ramach umów zawartych przez Agencję z podmiotami zewnętrznymi w celu przetwarzania informacji.

Zasób – wszystko to, co ma wartość dla Spółki w szczególności informacje przetwarzane w Spółce oraz mienie wykorzystywane przez Spółkę.

Zasób kluczowy – zasób niezbędny do realizowania zadań ustawowych Spółki.

Bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji w wyniku stosowania procesu zarządzania ryzykiem.

Poufność – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom.

Integralność danych – własność danych wykluczająca wprowadzenie do nich zmian w nieautoryzowany sposób.

Dostępność – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu.

Autentyczność – właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana; autentyczność dotyczy takich podmiotów, jak użytkownicy, procesy, systemy i informacja.

Niezawodność – właściwość oznaczająca spójne, zamierzone zachowanie i skutki.

Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.

Zagrożenie – potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub Spółki.

Analiza zagrożeń – badanie działań i zdarzeń, które mogą szkodliwie wpływać na system przetwarzania danych.

Podatność – słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie.

Zdarzenie związane z bezpieczeństwem informacji – jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe przełamanie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem.

Incydent związany z bezpieczeństwem informacji – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Następstwa – rezultat niepożądanego incydentu.

Ryzyko – prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów.

Zabezpieczenie – praktyka, procedura lub mechanizm redukujący ryzyko.

Analiza ryzyka – systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka.

Szacowanie ryzyka – szacowanie zagrożeń, ich wpływu, podatności informacji i urządzeń do przetwarzania informacji oraz prawdopodobieństwa ich wystąpienia.

Ocena ryzyka – proces porównywania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka.

Zarządzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dla bezpieczeństwa, które może dotyczyć systemów informacyjnych, przy zachowaniu akceptowalnego poziomu kosztów lub zarządzanie ryzykiem – skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka.

Ryzyko szczątkowe – ryzyko pozostające po procesie postępowania z ryzykiem.

Akceptowanie ryzyka – decyzja, aby zaakceptować ryzyko.

Postępowanie z ryzykiem – proces wyboru i wdrażania środków modyfikujących ryzyko.

Audyt bezpieczeństwa – niezależny przegląd i sprawdzenie zapisów oraz funkcji systemu przetwarzania danych w celu sprawdzenia prawidłowości kontroli systemowej, zapewnienia zgodności z przyjętą polityką bezpieczeństwa i procedurami działania w celu wykrycia przełamania bezpieczeństwa oraz zalecenia określonych zmian w kontroli, polityce bezpieczeństwa i procedurach.

Badanie zgodności – przeprowadzenie testów i dokonanie ocen bezpieczeństwa w celu ustalenia zgodności ze specyfikacją i z wymaganiami systemu bezpieczeństwa.

Dokumentacja – pisemna lub zarejestrowana w innej formie informacja o przedmiocie oceny, wymagana do jego oceny.

Ciągłość działania – utrzymanie niezbędnych usług systemu informatycznego po poważnej awarii w centrum informatycznym, która może być spowodowana przyczynami naturalnymi, takimi jak pożar lub trzęsienie ziemi, lub zdarzeniami wywołanymi umyślnie, np. sabotażem

System Zarządzania Bezpieczeństwem Informacji (SZBI) – część całościowego systemu zarządzania oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.

System teleinformatyczny – system informacyjny, w którym którykolwiek z jego procesów odbywa się w formie elektronicznej.

Wymienny nośnik komputerowy – nośnik danych nie zainstalowany w sposób trwały (np. płyta CD/DVD, pamięć typu flash-USB, przenośny twardy dysk, karta pamięci) lub nośnik wymontowany z urządzenia służącego do przetwarzania danych.

Podmiot zewnętrzny – współpracującą ze Spółką bądź świadczącą na jej rzecz usługi osobę fizyczną, prawną lub jednostkę organizacyjną nie posiadającą osobowości prawnej.

Administrator – osoba fizyczna lub prawna, zajmująca się zarządzaniem systemem informatycznym i odpowiadający za jego sprawne działanie oraz samodzielnie lub wspólnie z innymi ustalająca cele i sposoby przetwarzania danych osobowych.

Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie danych osobowych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Profilowanie – dowolna formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Dane biometryczne – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę w systemie teleinformatycznym.

Inspektor Ochrony Danych (IOD) – wyznaczona przez Zarząd osoba fizyczna, do zadań której należy zapewnienie przestrzegania przepisów o ochronie danych osobowych.

Zakres systemu bezpieczeństwa informacji

Niniejszy dokument dotyczy wszystkich komórek organizacyjnych Spółki oraz wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, a także innych osób uzyskujących dostęp do informacji przetwarzanych w ramach Organizacji (np. współpracowników, konsultantów, pracowników firm zewnętrznych realizujących prace na rzecz Spółki oraz organizacji związanych).

Zakres ustanowionego SZBI obejmuje:

  1. procesy oraz realizowane w Spółce działania i zadania,
  2. wszelkie informacje przetwarzane w ramach ww. procesów i zadań, w tym:
    • przetwarzane w formie tradycyjnej (m.in. informacje wydrukowane lub zapisane na papierze),
    • przetwarzane w formie elektronicznej (np. przesyłane za pośrednictwem poczty elektronicznej lub urządzeń elektronicznych, elektronicznych nośników informacji),
    • wypowiadane słownie, o ile zostały przekazane na podstawie obowiązujących przepisów prawnych lub umów.
  3. aktywa wspierające przetwarzanie informacji w ramach ww. procesów oraz realizowanych w Spółce działań i zadań, w tym:
    • personel (wszystkich pracowników Spółki bez względu na podstawę zatrudnienia oraz inne osoby i podmioty zewnętrzne wykonujące czynności w imieniu i na rzecz Spółki i/lub mające dostęp do aktywów informacyjnych Organizacji),
    • pomieszczenia Spółki, w których są lub będą przetwarzane informacje,
    • sprzęt, w tym sprzęt komputerowy, urządzenia mobilne oraz inne nośniki danych, na których znajdują się informacje podlegające ochronie, oprogramowanie, infrastruktura sieciowa,
    • technologie służące pozyskiwaniu, selekcjonowaniu, analizowaniu, przetwarzaniu, zarządzaniu i udostępnianiu informacji, do których zalicza się zarówno systemy papierowe jak i elektroniczne wspomagające realizację zadań publicznych.
Z dokumentem polityki zapoznają się wszystkie osoby mające dostęp do informacji. Zasady zawarte w niniejszym dokumencie muszą być przestrzegane przez wszystkie osoby mające dostęp do informacji.