Załącznik nr 1 do Polityki Bezpieczeństwa Informacji Centralnego Biura Antykorupcyjnego
Rozdział I
BEZPIECZEŃSTWO OSOBOWE
§ 1.
Bezpieczeństwo osobowe ma na celu ograniczenie ryzyka błędu ludzkiego, kradzieŜy, oszustwa lub niewłaściwego wykorzystywania informacji. Funkcjonariusz CBA powinien przestrzegać zasady „wiedzy koniecznej”. Do realizacji zadań słuŜbowych funkcjonariusz CBA powinien posiadać jedynie niezbędne prawa dostępu do zasobów, które są weryfikowane przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
§ 2.
Ilekroć w niniejszym dokumencie jest mowa o funkcjonariuszu CBA, naleŜy przez to odpowiednio rozumieć równieŜ pracownika CBA.
§ 3.
Funkcjonariusz CBA:
1) w czasie pełnienia słuŜby zachowuje zasadę drogi słuŜbowej;
2) podejmuje tylko te działania, do których został upowaŜniony;
3) nie moŜe domniemywać swoich kompetencji w jakiejkolwiek sferze działalności CBA;
4) nie moŜe, bez upowaŜnienia (pełnomocnictwa) ustnego bądź pisemnego, wydanego przez Szefa CBA lub osobę przez niego upowaŜnioną, udzielać informacji na temat działalności CBA, reprezentacji CBA i zaciągania zobowiązań w imieniu CBA.
§ 4.
Funkcjonariusz CBA jest obowiązany do uczestnictwa w szkoleniach z zakresu bezpieczeństwa informacji.
§ 5.
Najpóźniej z dniem zakończenia stosunku słuŜby:
1) funkcjonariusz CBA jest obowiązany do zwrotu zasobów materialnych CBA;
2) odbiera się od funkcjonariusza CBA oświadczenie o zobowiązaniu się do zachowania w tajemnicy informacji powziętych w związku z wykonywaniem czynności słuŜbowych.
Rozdział II
BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
§ 6.
Przedstawienie podstawowych zasad bezpieczeństwa fizycznego i środowiskowego ma na celu zwrócenie szczególnej uwagi przez funkcjonariuszy CBA na zabezpieczanie miejsca słuŜby przed fizycznym dostępem osób nieuprawnionych.
§ 7.
1. Funkcjonariusz CBA jest obowiązany do ochrony i nieudostępniania posiadanych słuŜbowych kart dostępowych i identyfikacyjnych, kluczy do szaf, haseł i kodów oraz informacji o zabezpieczeniach.
2. Szczegółowe zasady ruchu osób i pojazdów na obszarach i w obiektach CBA regulują decyzje Szefa CBA.
§ 8.
1. Funkcjonariusz CBA jest obowiązany do dbania o powierzone zasoby.
2. Sieć zasilania komputerowego jest wydzielona i dysponuje własnymi zabezpieczeniami.
Do sieci tej nie wolno podłączać urządzeń innych niŜ teleinformatyczne.
3. Urządzenia powinny być oznaczone i zaewidencjonowane.
4. W przypadku stwierdzenia utraty lub kradzieŜy zasobu naleŜy natychmiast poinformować bezpośredniego przełoŜonego oraz Departament Ochrony CBA.
5. Zasoby będące własnością CBA moŜe wynieść poza teren siedziby CBA wyłącznie funkcjonariusz CBA do tego upowaŜniony w związku z wykonywaniem czynności słuŜbowych.
§ 9.
1. Funkcjonariusz CBA jest obowiązany do stosowania zasady „czystego biurka”; wszystkie zasoby naleŜy zabezpieczyć przed nieuprawnionym dostępem.
2. Po zakończeniu słuŜby dokumenty, wymienne i zewnętrzne nośniki danych są przechowywane w zamykanych i odpowiednio zabezpieczonych szafach.
3. Po zakończeniu słuŜby urządzenia wykorzystywane do pracy biurowej naleŜy wyłączyć.
Nie dotyczy to urządzeń, które ze względu na wykonywaną funkcję z załoŜenia są przeznaczone do pracy ciągłej, np. faksów.
4. Zasada wyłączania sprzętu oraz „czystego biurka” nie dotyczy pomieszczeń i sprzętu, na którym prowadzone są analizy materiału o charakterze długotrwałym i ciągłym, przy których nie jest wymagana stała obecność funkcjonariusza. W takim przypadku niezbędne jest odpowiednie zabezpieczenie pomieszczenia, w którym ten sprzęt i materiały się znajdują.
Rozdział III
BEZPIECZEŃSTWO SYSTEMÓW I SIECI TELEINFORMATYCZNYCH
§ 10.
Zasady bezpieczeństwa systemów i sieci teleinformatycznych wprowadzają regulacje, których przestrzeganie umoŜliwia ochronę informacji wytwarzanych, przetwarzanych, przechowywanych i przesyłanych w tych systemach i sieciach w przedmiocie ich poufności, integralności i dostępności, oraz zapewnią odpowiedni poziom bezpieczeństwa dla sprzętu teleinformatycznego CBA.
§ 11.
1. Wytwarzanie, przetwarzanie, przechowywanie i przesyłanie informacji jest dozwolone wyłącznie w systemach i zbiorach informacyjnych dopuszczonych do eksploatacji.
2. UŜytkownicy są obowiązani do przestrzegania zasad bezpieczeństwa systemów i sieci teleinformatycznych, w szczególności:
1) niezwłocznego informowania administratora systemu o wszelkich nieprawidłowościach w pracy systemu;
2) zakazu samodzielnego instalowania oprogramowania na urządzeniach słuŜbowych;
3) zakazu gromadzenia i przechowywania w urządzeniach słuŜbowych danych niezwiązanych z realizacją zadań słuŜbowych, w szczególności plików multimedialnych;
4) zakazu celowego opracowywania, generowania, kompilowania, kopiowania, rozpowszechniania, uruchamiania lub próby wprowadzania szkodliwych kodów komputerowych, określanych powszechnie jako „kody złośliwe”, np. wirusy, trojany itp.;
5) zasad ochrony antywirusowej:
a) sprawdzania nośników zewnętrznych przed ich uŜyciem programem antywirusowym,
b) przestrzegania zasad uŜytkowania programu antywirusowego,
c) natychmiastowego powiadamiania administratora o nieprawidłowościach w pracy systemu;
6) zakazu przetwarzania informacji słuŜbowych na komputerach podłączonych do sieci Internet. W uzasadnionych przypadkach zgodę na przetwarzanie informacji wydaje kierownik jednostki organizacyjnej CBA w uzgodnieniu z dyrektorem Departamentu Ochrony CBA.
3. Zasady określone w ust. 2 pkt 2, 5, 6 nie dotyczą stanowisk specjalistycznych, na których funkcjonariusz CBA musi mieć moŜliwość pełnej kontroli urządzeń i oprogramowania wykorzystywanego do działań słuŜbowych za zgodą kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
4. Szczegółowe zasady wnoszenia i wynoszenia sprzętu, urządzeń oraz nośników słuŜących do rejestracji, powielania, przetwarzania i wymiany informacji, niestanowiących mienia CBA na obszarach i w obiektach CBA regulują odrębne decyzje Szefa CBA.
§ 12.
1. Funkcjonariusz CBA nie moŜe samodzielnie zbywać lub utylizować sprzętu komputerowego lub nośników danych CBA.
2. W przypadku tymczasowego, np. w celach serwisowych, lub trwałego, np. na podstawie umowy sprzedaŜy, darowizny, przekazywania osobom trzecim sprzętu komputerowego wszelkie nośniki pamięci nieulotnej pozostają w CBA, w szczególności dyski twarde, pamięci typu flash lub dyskietki.
3. Nośniki wycofywane z uŜycia są przekazywane w celu ich zniszczenia. Nośnik niszczy się komisyjnie w sposób trwały, uniemoŜliwiający odczytanie zawartych na nich informacji. Z przebiegu zniszczenia nośnika sporządza się protokół.
§ 13.
1. Sieć CBA złoŜona jest z systemów teleinformatycznych w poszczególnych lokalizacjach i rozwiązań telekomunikacyjnych zapewniających skuteczne połączenia.
2. Sieć z dostępem do Internetu jest fizycznie oddzielona od pozostałych systemów sieci teleinformatycznych CBA.
3. Zakazane jest samowolne uzyskiwanie dostępu do Internetu lub innych zewnętrznych systemów sieci teleinformatycznych.
4. Zakazane jest podłączanie do sieci komputerowej CBA własnych urządzeń.
5. Urządzenia komputerowe i sieciowe są skonfigurowane w sposób umoŜliwiający rejestrację aktywności urządzenia oraz działania uŜytkowników. MoŜe to nie dotyczyć specjalistycznych stanowisk przeznaczonych do realizacji czynności procesowych prowadzonych na materiale dowodowym. Decyzję w tej sprawie wydaje kierownik jednostki organizacyjnej CBA lub dyrektor delegatury ZOR.
§ 14.
1. Dostęp do systemów i sieci teleinformatycznych CBA posiadają wyłącznie upowaŜnieni uŜytkownicy–funkcjonariusze CBA uprawnieni do korzystania z zasobów teleinformatycznych.
2. UŜytkownicy są obowiązani do logowania się do systemów i sieci teleinformatycznych CBA tylko na własne konto załoŜone przez administratora systemu.
3. Dostęp jest indywidualnie zdefiniowany dla kaŜdego uŜytkownika. UŜytkownik ma dostęp jedynie do zasobów, które są mu niezbędne do wykonywania obowiązków słuŜbowych.
4. ToŜsamość kaŜdego uŜytkownika systemów i sieci teleinformatycznych CBA jest jednoznacznie określona i sprawdzana przed rozpoczęciem pracy w systemie (uwierzytelnienie).
5. Autoryzacja w systemach i sieciach teleinformatycznych CBA odbywa się z wykorzystaniem indywidualnych haseł i kodów dostępu.
6. UŜytkownicy są obowiązani w szczególności do:
1) nieujawniania haseł i kodów dostępu do kont w systemach i sieciach teleinformatycznych CBA;
2) natychmiastowej zmiany hasła lub kodu dostępu w przypadku podejrzenia jego ujawnienia;
7. UŜytkownik ponosi odpowiedzialność za uŜycie zasobów teleinformatycznych CBA przy wykorzystaniu jego loginu i hasła.
8. Kierownicy jednostek organizacyjnych CBA i dyrektorzy delegatur ZOR są obowiązani informować administratorów systemu odpowiedzialnych za poszczególne konta o zmianach w zakresie obowiązków podległych funkcjonariuszy CBA skutkujących koniecznością zmiany ich uprawnień jako uŜytkowników.
9. Nadanie lub zmiana uprawnień uŜytkownika następuje wyłącznie na pisemny wniosek kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
10. Spis osób upowaŜnionych do korzystania z systemów i sieci teleinformatycznych CBA, zawierający co najmniej imię, nazwisko oraz identyfikator uŜytkownika, przechowywany jest we właściwej jednostce organizacyjnej CBA lub delegaturze ZOR.
§ 15.
1. W przypadku drukowania lub oczekiwania na wydrukowanie informacji w CBA, uŜytkownik nie powinien oddalać się od drukarki, na której dokonywany jest wydruk.
Zasada ta nie obowiązuje, jeśli drukarka znajduje się w zabezpieczonym miejscu, chronionym przed dostępem osób nieupowaŜnionych.
2. Przeglądanie wydrukowanych informacji jest moŜliwe wyłącznie przez uprawnionych do tego funckjonariuszy do tego uprawnione. Osoba oczekująca na wydrukowanie informacji musi być upowaŜniona do jej przeglądania.
3. Funkcjonariuszy CBA obowiązuje zasada regularnego sprawdzania po zakończeniu czasu słuŜby, czy na drukarkach, faksach lub kserokopiarkach nie pozostawiono nieodebranych wydruków. Wydruki takie zabezpieczane są do czasu odebrania ich przez osoby, które je wykonały.
4. Zbędne kopie dokumentów są niszczone w niszczarkach gwarantujących poziom zabezpieczenie na poziomie 5 wg normy DIN 32 757.
§ 16.
1. Funkcjonariusze CBA wykorzystują Internet w celach słuŜbowych. CBA ma prawo blokować strony internetowe zawierające treści obraźliwe lub propagujące ideologie sprzeczne z obowiązującym prawem.
2. Dostęp do Internetu jest moŜliwy po nadaniu odpowiednich uprawnień.
3. Dostęp do Internetu jest dozwolony wyłącznie za pośrednictwem środków i rozwiązań dostarczonych przez CBA.
4. Dostęp dla celów słuŜbowych do płatnych usług internetowych, takich jak subskrypcje fachowych czasopism w formie elektronicznej, jest moŜliwy dopiero po wykupieniu subskrypcji przez CBA.
5. Dostęp do grup dyskusyjnych (USENET), list dyskusyjnych i dystrybucyjnych oraz prowadzenia rozmów przez Internet i innych form automatycznego otrzymywania informacji musi być ograniczony tylko do zagadnień wchodzących w zakres obowiązków funkcjonariusza.
6. W przypadku korzystania z Internetu w miejscu pracy lub słuŜby zabrania się prowadzenia gier sieciowych, uprawiania hazardu i uczestniczenia w grach losowych.
§ 17.
1. UŜytkownik stosuje indywidualne hasło do słuŜbowej skrzynki poczty elektronicznej.
2. Wiadomości elektroniczne opracowane na polecenie przełoŜonego, w trakcie wykonywania obowiązków słuŜbowych lub w związku z ich wykonywaniem, przechowywane przy pomocy systemu informatycznego CBA stanowią własność CBA.
3. Dostęp funkcjonariuszy do treści wiadomości, których nie są wytwórcami lub adresatami moŜe mieć miejsce tylko na zasadach zawartych w odrębnych przepisach.
4. Poczta elektroniczna jest udostępniana funkcjonariuszom wyłącznie do wypełniania obowiązków słuŜbowych, z pouczeniem, iŜ poczta elektroniczna nie gwarantuje ochrony danych przesyłanych za jej pomocą.
5. Zakazane jest wysyłanie pocztą elektroniczną wiadomości zawierających treści obraźliwe lub propagujące ideologie sprzeczne z obowiązującym prawem.
6. Funkcjonariusze posiadający dostęp do poczty elektronicznej w CBA ponoszą odpowiedzialność za dobry wizerunek CBA.
7. CBA zastrzega sobie prawo do odfiltrowywania wybranych załączników niezwiązanych z działalnością CBA.
8. Zabrania się przesyłania pocztą elektroniczną informacji niejawnych.
§ 18.
1. Funkcjonariusze CBA korzystający z informacji naleŜących do CBA poza siedzibą Biura są obowiązani zachować szczególne środki bezpieczeństwa.
2. Zakazane jest korzystanie z oprogramowania pozwalającego na zdalny dostęp i zarządzanie komputerem bez odpowiednich upowaŜnień.
3. Funkcjonariusze CBA podróŜujący z komputerami przenośnymi są obowiązani stosować odpowiednie zasady bezpieczeństwa. Komputery przenośne moŜna transportować wyłącznie jako bagaŜ podręczny. Zakazane jest pozostawianie ich bez dozoru w miejscach, takich jak przechowalnie bagaŜu, wnętrze samochodu osobowego lub innych miejscach zwiększających ryzyko ich utraty.
4. Informacje wykorzystywane w celach słuŜbowych znajdujące się w komputerach przenośnych są przechowywane na partycjach lub plikach zaszyfrowanych.
5. Funkcjonariusze CBA posiadający słuŜbowe telefony komórkowe są odpowiedzialni za uŜywanie ich w sposób adekwatny do poziomu poufności informacji przekazywanych przy ich uŜyciu. Dane kontaktów zapisanych w ksiąŜkach telefonicznych nie mogą jednoznacznie identyfikować ich z CBA.
§ 19.
1. Istotne informacje wykorzystywane w celach słuŜbowych, posiadają kopie zapasowe umoŜliwiające ich odtworzenie i kontynuowanie działalności przez CBA w przypadku awarii systemu informatycznego lub stanowiska komputerowego.
2. Do obowiązków funkcjonariuszy CBA naleŜy przechowywanie istotnych informacji w sposób umoŜliwiający ich odzyskanie.
3. Zapisanie pliku na stacji roboczej nie gwarantuje dostępności informacji. Funkcjonariusz CBA jest odpowiedzialny za bezpieczeństwo informacji.
4. Za wykonywanie kopii bezpieczeństwa centralnych systemów CBA odpowiedzialni są ich administratorzy. Kopie bezpieczeństwa przechowywane są poza lokalizacją serwerowni.
