Polityka Bezpieczeństwa Informacji

  • 1. Wstęp
    • Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów zapewniających realizacje działalności Centrum Sztuki Współczesnej Zamek Ujazdowski.
    • W celu zapewnienia bezpieczeństwa informacji Centrum Sztuki Współczesnej Zamek Ujazdowski wprowadza spójny system zarządzania bezpieczeństwem informacji.
    • Polityka Bezpieczeństwa Informacji jest zestawem powiązanych ze sobą dokumentów (polityk, regulaminów, instrukcji, standardów, szablonów umów) określających zasady i sposób zarządzania bezpieczeństwem aktywów informacyjnych i zasobów materialnych Centrum Sztuki Współczesnej Zamek Ujazdowski. Zarządzanie to służy ochronie oraz udostępnianiu aktywów w taki sposób, aby utrzymać poufność, dostępność oraz integralność przetwarzanych informacji na odpowiednim poziomie.
  •  
  • 2. Cel polityki bezpieczeństwainformacji
    • Celem Polityki Bezpieczeństwa Informacji Centrum Sztuki Współczesnej Zamek Ujazdowski jest:
      • 1. Zapewnienie właściwej ochrony zasobówinformacyjnych.
      • 2. Stworzenie podstaw do wdrożenia Systemu Zarządzania BezpieczeństwemInformacji.
      • 3. Zakres obowiązywania polityki bezpieczeństwainformacji
      •  
    • Polityka Bezpieczeństwa Informacji jest zbiorem zasad, które obowiązane są stosować osoby posiadające dostęp do zasobów informacyjnych. Określa również zasady ochrony infrastruktury, zasobów informatycznych i ludzkich.
    • Niniejszy dokument dotyczy wszystkich pracowników w rozumieniu w szczególności przepisów Kodeksu Pracy, a także innych osób mających dostęp do informacji chronionych (np. pracowników firm zewnętrznych realizujących prace) dla Centrum Sztuki Współczesnej Zamek Ujazdowski Dokument ma zastosowanie do wszystkich informacji chronionych niezależnie od formy, w jakiej są przechowywane (papierowej, elektronicznej i innej).
  •  
  • 4. Wprowadzenie systemu zarządzania bezpieczeństwem w Centrum Sztuki Współczesnej Zamek Ujazdowski powinny ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i doskonalić System Zarządzania Bezpieczeństwem Informacji (SZBI).
    • Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji powinno być decyzją strategiczną kierownictwa umocowaną w akcie prawa wewnętrznego. Na projektowanie i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji powinny mieć wpływ potrzeby i cele działania jednostki organizacyjnej, wymagania bezpieczeństwa, realizowane procesy oraz wielkość i struktura jednostki organizacyjnej.
    • W firmie / organizacji (instytucji) za ustanowienie wdrożenie, eksploatowanie, monitorowanie, przeglądanie, utrzymywanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji odpowiada Zarząd, Dyrekcja, Dział IT.
    • Zadaniem Zarządu, Dyrekcji, Działu IT jest zapewnienie warunków niezbędnych do ustanowienia wdrożenia, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.
    • Polityka Bezpieczeństwa Informacji jest jednym z elementów Systemu Zarządzania Bezpieczeństwem Informacji.
  •  
  • 5. Organizacja Systemu Zarządzania Bezpieczeństwem Informacji
    • Przy wprowadzeniu  Systemu  Zarządzania  Bezpieczeństwem  Informacji  powinno  uwzględniać  się  postanowienia  Polskich  Norm z zakresu bezpieczeństwa informacji takich jak  PN-ISO/IEC 27005:2010.
    •  
  • 6. Utrzymanie odpowiedniego poziomu bezpieczeństwa informacji
    • Wprowadzony System Zarządzania Bezpieczeństwem Informacji powinien uwzględniać procesy utrzymania odpowiedniego poziomu bezpieczeństwa w tym:
      • 1. Zarządzanieryzykiem.
      • 2. Zarządzania dostępem dozasobów.
      • 3. Monitorowania poziomubezpieczeństwa.
      • 4. Zarządzaniaincydentem.
      • 5. Nadzoru nad dokumentacją Systemu Zarządzania BezpieczeństwemInformacji.
    • Nakłady ponoszone na zabezpieczenia powinny być poprzedzone analizą ryzyka i kosztów, adekwatnie do potencjalnych strat spowodowanych naruszeniem bezpieczeństwa.
    • Dla utrzymania odpowiedniego poziomu bezpieczeństwa informacji istotne jest systematyczne szkolenie oraz podnoszenie kwalifikacji zawodowych pracowników.
  •  
  • 7. Struktura dokumentacji Polityki Bezpieczeństwa Informacji
    • Dokumentacja Polityk Bezpieczeństwa Informacji ma strukturę hierarchiczną. Poszczególne poziomy dokumentacji opisują system zarządzania bezpieczeństwem informacji na różnych poziomach szczegółowości.
    • Dokumentacja Polityk Bezpieczeństwa Informacji składa się z następujących poziomów:
      • 1. Poziom Zarządu firmy
      • 2. Poziom jednostki organizacyjnej.
      • 3. Poziom systemu teleinformatycznego.
      • 4. Poziom systemu informatycznego.
      • 5. Poziom procedur, instrukcji iregulaminów.
    • Niniejszy dokument główny Polityki Bezpieczeństwa Informacji Centrum Sztuki Współczesnej Zamek Ujazdowski, określa podstawowe założenia Polityki Bezpieczeństwa Informacji obowiązujące w Centrum Sztuki Współczesnej Zamek Ujazdowski.
    • Na poziomie jednostki organizacyjnej Zarząd, Dyrekcja, Dział IT opracowują i wdrażają następujące dokumenty Polityki Bezpieczeństwa Informacji:
      • 1. Politykę Bezpieczeństwa Informacji jednostki organizacyjnej, która określa zasady bezpieczeństwa informacji obowiązujące   w danej jednostce organizacyjnej wynikające z aktów prawnych oraz z realizowanych zadań statutowych jednostki.
      • 2. Politykę Bezpieczeństwa Systemów Teleinformatycznych jednostki organizacyjnej, która określa zasady bezpieczeństwa dla systemów teleinformatycznych obowiązujące w danej jednostce organizacyjnej wynikające z aktów prawnych oraz z realizowanych zadań statutowych jednostki.
      • 3. Polityki Bezpieczeństwa dla poszczególnych systemów teleinformatycznych, która opisuje w jaki sposób zasady bezpieczeństwa zawarte w Polityce Bezpieczeństwa Informacji jednostki organizacyjnej i Polityce Bezpieczeństwa Systemów Teleinformatycznych jednostki organizacyjnej są realizowane dla danych systemów teleinformatycznych.
      • 4. Procedury, standardy, instrukcje, regulaminy oraz inne dokumenty, które regulują szczegółowe zasady korzystania z zasobów informacyjnych jednostek organizacyjnych, a także użytkowania systemów informatycznych.
    • Opracowane w jednostkach organizacyjnych dokumenty muszą być zgodne z aktami prawnymi wymienionymi w rozdziale 14 niniejszego dokumentu oraz innymi przepisami szczegółowo definiującymi i wprowadzającymi ochronę informacji.
    •  
  • 8. Odpowiedzialność za ochronę informacji
    • W Centrum Sztuki Współczesnej Zamek Ujazdowski za bezpieczeństwo informacji odpowiada Dyrekcja i Dział IT.
    • Wszyscy pracownicy są obowiązani, odpowiednio do swoich obowiązków służbowych i zajmowanych stanowisk, do ochrony informacji i przestrzegania Polityki Bezpieczeństwa Informacji, a zwłaszcza zasad zawartych w procedurach, regulaminach oraz innych dokumentach Polityki Bezpieczeństwa Informacji. Pracownicy w szczególności obowiązani są do przestrzegania procedur opisujących zasady korzystania z haseł, procedur ochrony antywirusowej oraz procedur eksploatacji systemów informatycznych.
    • Wszyscy pracownicy są obowiązani do przestrzegania zasad ochrony informacji prawnie chronionej.
    • Kierownictwo każdej jednostki organizacyjnej powinno wyznaczyć role i odpowiedzialności w obszarze zarządzania bezpieczeństwem informacji, w tym role i odpowiedzialności dla reagowania w przypadkach naruszenia bezpieczeństwa informacji.
    •  
  • 9. Podstawowe zasady bezpieczeństwa informacji
    • Poniższe uniwersalne zasady są podstawą dla skutecznego zarządzania bezpieczeństwem informacji i powinny być brane pod uwagę przy wprowadzaniu Systemu Zarządzania Bezpieczeństwem Informacji w Centrum Sztuki Współczesnej Zamek Ujazdowski:
      • 1. Zasada uprawnionego dostępu.Każdy pracownik przeszedł szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne oświadczenie o zachowaniu poufności.
      • 2. Zasada przywilejów koniecznych. Każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań.
      • 3. Zasada wiedzy koniecznej. Każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań.
      • Udostępniane powinny być tylko takie usługi jakie są konieczne do realizacji zadań statutowych.
      • 5. Zasada asekuracji. Każdy mechanizm zabezpieczający musi być ubezpieczony drugim, innym (podobnym). W przypadkach szczególnych może być stosowane dodatkowe (trzecie) niezależne zabezpieczenie.
      • 6. Zasada świadomości zbiorowej. Wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych i aktywnie uczestniczą w tym procesie.
      • 7. Zasada indywidualnej odpowiedzialności. Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby.
      • 8. Zasada obecności koniecznej. Prawo przebywania w określonych miejscach mają tylko osoby upoważnione.
      • 9. Zasada stałej gotowości. System jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających.
      • 10. Zasada najsłabszego ogniwa. Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element.
      • 11. Zasada kompletności. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji.
      • 12. Zasada ewolucji. Każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych.
      • 13. Zasada odpowiedniości. Używane środki techniczne i organizacyjne muszą być adekwatne do sytuacji.
      • 14. Zasada świadomej konwersacji. Nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi.
      • 15. Zasada segregacji zadań. Zadania i uprawnienia powinny być tak podzielone, aby jedna osoba nie mogła zdobyć pełni władzy nad całym systemem.
  •  
  • 10. Dobór zabezpieczeń
    • Centrum Sztuki Współczesnej Zamek Ujazdowski powinnO dobierać cele stosowania zabezpieczeń i zabezpieczenia adekwatne do wymagań prawnych i wyników analizy ryzyka dla bezpieczeństwa
    • Zabezpieczenia fizyczne, techniczne i organizacyjne powinny uzupełniać się wzajemnie zapewniając wspólnie wymagany poziom bezpieczeństwa informacji. W doborze celów stosowania zabezpieczeń i zabezpieczeń należy kierować się zaleceniami Polskiej Normy PN-ISO/IEC 17799.
  •  
  • 11. Sankcje za naruszenie zasad bezpieczeństwa informacji
    • Nieprzestrzeganie zasad zawartych w dokumentach polityki bezpieczeństwa, jest naruszeniem obowiązków pracowniczych wynikających w szczególności z ustaw o służbie cywilnej, o pracownikach urzędów państwowych, oraz Kodeksu Pracy i może pociągnąć za sobą skutki dyscyplinarne oraz spowodować pociągnięcie sprawcy do odpowiedzialności wynikającej z przepisów prawa i Regulaminu Pracy.
  •  
  • 12. Zasady rozpowszechniania dokumentu oraz tryb wprowadzania zmian
    • Z Polityką Bezpieczeństwa Informacji Centrum Sztuki Współczesnej Zamek Ujazdowski i dokumentami związanymi powinna się zapoznać kadra kierownicza oraz wszyscy pracownicy.
    • Niniejszy dokument może być udostępniony uprawnionym podmiotom zewnętrznym w celu zapoznania się i postępowania w zgodzie   z postanowieniami niniejszego dokumentu.
  •  
  • 13. Słownik pojęć
    • Dokument dokumentem jest każdy przedmiot (np. pismo, plik tekstowy itp.), który ze względu na zawartą w nim treść, może stanowić wartość dla pracodawcy,
    • Dostępność właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu (na podstawie PN-ISO/IEC 27001), Incydent pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji (na podstawie PN-ISO/IEC 17799),
    • Informacja to taki czynnik, któremu można przypisać określone znaczenie, aby móc go wykorzystywać do różnych celów, Integralność właściwość polegająca na zapewnieniu dokładności i kompletności aktywów (na podstawie PN-ISO/IEC 27001), Jednostka organizacyjna firma / organizacja (instytucja)
    • Komórka organizacyjna Departament, Biuro, Wydział, Oddział, Wieloosobowe stanowisko, wydzielone stanowisko,
    • PBI Polityka Bezpieczeństwa Informacji,
    • PBST Polityka Bezpieczeństwa Systemów Teleinformatycznych,
    • Poufność właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom (na podstawie PN-ISO/IEC 27001),
    • Pracodawca jednostka organizacyjna dla której użytkownik świadczy pracę bez względu na jakiej podstawie (umowa o pracę, umowa zlecenia, staż, praktyki, itp.),
    • Pracownik osoba, która świadczy pracę na rzecz Pracodawcy bez względu na jakiej podstawie (umowa o pracę, umowa zlecenia,  staż, praktyki, itp.),
    • Ryzyko kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji (na podstawie PN-ISO/IEC,
    • SZBI System Zarządzania Bezpieczeństwem Informacji,
    • Użytkownik osoba która posiada konto w systemie Pracodawcy,
  •  
  • 14. Przepisy prawne i polskie normy
    • Informacje podlegają ochronie zgodnie z następującymi wymogami prawa:
      • 1. Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93, z późn.zm.).
      • 2. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553, z późn.zm.).
      • 3. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94, z późn.zm.).
      • 4. Ustawa z dnia 29 sierpnia 1997r.o ochronie danychosobowych(Dz.U.z2002r.Nr101,poz.926,zpóźn.zm.).
      • 5. Ustawa z dnia 5sierpnia 2010r.o ochronie informacji niejawnych (Dz.U.z2010r.Nr182,poz.1228,zpóźn.zm.,).
      • 6.Ustawa z dnia 16k wietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz.U.z2003r.Nr153,poz.1503,zpóźn.zm.).
      • 7. Ustawa z dnia22sierpnia1997r.o ochronie osób i mienia (Dz.U.z 2005r. Nr145, poz.1221,z późn.zm.).
      • 8. Ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2009 r. Nr 152, poz. 1223, z późn.zm.).
      • 9.Ustawa z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych (Dz.U.z2006r. Nr 90,poz.631, z późn.zm.).
      •  10. Ustawa z dnia 6 września 2001r. o dostępie do informacji publicznej (Dz.U.Nr112, poz.1198, z późn.zm.).
      • 11. Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn.zm.).
      • 12. Ustawa z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub podlegającychna dostępie warunkowym (Dz. U. Nr 126, poz. 1068, z późn.zm.).
      • 13. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64,poz. 565, z późn.zm.).
      • 14. Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665, z późn.zm.).
      • 15. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402, z późn.zm.).
      • 16. Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2008 r., nr 50 poz.292).
      • 17. Ustawa z dnia 6 lipca 1982 r. o Księgach Wieczystych i hipotece (Dz. U. z 2001, Nr 124, poz.1361).
      • 18. Rozporządzenie Ministra Finansów z dnia1 lutego 2010r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz.108).
      • 19. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024).
      • 20. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie określenia podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 159, poz.948).
      • 21. Rozporządzenie Rady Ministrów z dnia z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz.526).
      • 22. Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (Dz. U. Nr 148, poz. 973, z późn.zm.).
  •  
    • Podstawą normalizacyjną dokumentu Polityki Bezpieczeństwa Informacji są niżej wymienione polskie normy:
    • Dodatkowo zalecane są normy:
      • 1. PNISO/IEC 27005 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji.
      • 2. PN-ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji.
      • 3. PN-I-13335-1:1999 Technika Informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych Pojęcia i modele bezpieczeństwa systemów informatycznych.
      • 4. PN ISO/IEC 20000-1:2007 Technika Informatyczna Zarządzanie usługami część 1: Specyfikacja.
      • 5. PN ISO/IEC 20000-2:2007 Technika Informatyczna Zarządzanie usługami część 2: Reguły postępowania.
  •