Политика за безбедност

ПОЛИТИКА ЗА БЕЗБЕДНОСТ

 

1.    Цел и обем на политиката на безбедност

 

Политиката за безбедност детално ги опишува принципите за висока безбедност на компанијата ДЕЛТА БЕТ ДООЕЛ Скопје (понатаму во документот „Компанијата“) и ја воспоставува рамката според која секој од останатите делови од Политиките и процедурите на Компанијата ќе се толкуваат, управуваат и применуваат. Документот е создаден во согласност со барањата и правилата наведени во ISO27001.

 

Севкупната цел на овој документ е да обезбеди преглед на барањата и стандардите за безбедност на информации на Компанијата и детален документ за референца која може да се користи за решавање на специфични прашања зa безбедноста на информациите.

 

Оваа безбедносна политика се однесува и ќе биде достапна за сиот персонал на Компанијата без разлика на позицијата. Исто така, ова е документ што е релевантен  како доказ на добри и признати практики на безбедност на информации при интерните или екстерните ревизиски процеси. Релевантните делови од политиката, исто така, може да се користат како референтна точка во преговорањeто или договарањето на договорите со екстерни добавувачи.

 

Стандардите и контролите детално опишани во овој документ ги поставуваат безбедносните цели на КОМПАНИЈАТА согласно безбедносната стратегија за постигнување усогласеност со ISO27001. За оваа цел документот детално ја опишува аспирацијата на КОМПАНИЈАТА да биде во согласност со стандардот, но сепак, не обезбедува резиме на моменталната состојба на безбедносните контроли применети во секое време.

 

Целта на деталниот опис на контролите за усогласување со ISO27001 во овој документ е да се постават стандардите кои КОМПАНИЈАТА има за цел да ги постигне и да обезбеди детали кои се потребни за деловните единиците и каде е можно и за добавувачите за да се потврди дека и постоечките и планираните системи се во согласност или се повеќе се работи кон усогласување со ISO27001.

 

2.  Изјава за политиката

 

Оваа политика е создадена за употреба низ целата Компанија и е во согласност со барањата на широко признатата добра пракса за безбедност на информациите.  Истата ќе:

 

Политиката ќе биде достапна, како коректна ажурирана верзија, на интранетот на сиот персонал.

 

Секој оддел или персонал кој има барање за чување или за користење тврда копија од оваа политика ќе обезбедат чести проверки за тоа дали ја имаат најновата верзија на политиката и ќе ги препратат сите прашања до тимот за безбедност на информации. Тие, исто така, ќе се осигурат дека секоја стара, неажурирана верзија на овој документт ќе биде уништена и заменета согласно потребите.

 

3.  Одговорности

 

Страна

Клучни одговорности

Група за управување со информации

Делегирана одговорност од Главниот извршен директор и Високиот извршен тим за преглед и одобрување на безбедност и политиките за управување со информации. Надзор, раководство и одобрување на ризикот по информациите и процесите за управување со инциденти.

Сениор сопственик на ризик по безбедноста на информациите

За обезбедување дека оваа политика и политиката за ризик на информации се имплементирани, прегледани и нивниот ефект се мониторира.

Чувар на доверливоста

Чуварот на доверливоста е високо лице одговорно за заштита на доверливоста на личните и чувствителните податоци и обезбедување на соодветно споделување на информации.

Менаџер за безбедност на информации

Менаџерот за безбедност на информации е одговорен за дефинирањето, имплементирањето, мониторингот и управувањето со Системот за управување со безбедноста на информациите (ISMS) и документите од политиката за безбедност на информации.

Менаџерот за безбедност го организира и управува со учеството на сите заеднички комитети за безбедност на информации, во склоп на Компанијата и/или со надворешни трети страни.

Персонал

Сиот персонал ќе ја почитува оваа политика и поврзаните процедури. Тие ќе ги ставаат на знаење сите проблеми со непочитувањето, ризикот по информациите или инцидентите или со нивниот менаџер или директно со тимот за безбедност.

 

4.  Политика за безбедност на информации

 

4.1  Вовед

4.1.1  Преглед на овој документ

 

Овој дел од извајата на Политиката за безбедност воведува сет документи кои колективно ја сочинуваат новата Политика за безбедност која управува со операциите на Компанијата.

 

Овој дел ги дефинира општите принципи на Политиката за безбедност и ја утврдува рамката според која секој од останатите документи за правила/политики/процедури мора да се толкуваат, одобруваат, пренесуваат и менаџираат. Исто така, има опис на најважните улоги и одговорности за управување со информации во склоп на Компанијата.

 

Додаток А содржи речник со термини на безбедност на информации кои се користат во документите на Политиката за безбедност.

 

4.1.2  Други закони и политики кои се споменати

 

 

Иако оваа Политика за безбедност се однесува на одредбите за безбедност, како и на почитувањето на останатите законски, регулаторни и договорни обврски, тие не се во директниот домен на оваа политика.

 

4.2    Општи принципи

4.2.1    Значењето на безбедноста на информациите

Информациите се дефинираат како корисни податоци за одредена анализа, одлука или задача. Информациите мора да се секогаш соодветно заштитени без разлика на тоа како се чуваат, презентираат или пренесуваат.

 

Главните цели на безбедноста на информациите е да се заштити:

 

 

Исто така, има за цел да ги поддржи барањата за:

 

 

Компанијата има одговорност безбедно да управува со своите информации, информациите што ѝ се дадени на располагање од провајдерите и луѓето кои користат провајдерски услуги, како и оние информации кои ги добила од вработените, изведувачите и бизнис партнерите и да ги заштити тие информации од неовластено објавување или загуба на интегритетот или достапноста.

 

Сите делови од Компанијата се одговорни за обезбедување дека информациите се соодветно заштитени. Членовите на менџментот се одговорни за издавање и одобрување на оваа Политика за безбедност. Тие ја препознаваат чувствивтелната природа на информациите кои организацијата ги чува и процесира и сериозната потенцијална штета која може да биде предизвикана од безбедносните инциденти кои би влијаеле на информациите. Согласно ова, тие ќе дадат најголем приоритет на безбедноста на информациите. Ова значи дека безбедносните прашања ќе се сметаат од најголем приоритет при донесувањето на деловни одлуки. Ова ќе ѝ помогне на КОМПАНИЈАТА да алоцира доволно човечки, технички и финансиски ресурси на управуање со безбедноста на информациите и да преземе соодветни мерки како одговор на сите прекршоци на Политика за безбедност.

 

КОМПАНИЈАТА ќе ја употреби оваа Политика за безбедност како основа на стратегијата на организацијата за поставување на коректното ниво на безбедност на информации.

 

Овие безбедносни напори ќе бидат:

 

 

Овие безбедносни напори ќе бидат структурирани и управувани со Политика за безбедност, која ги покрива сите аспекти на безбедноста на информациите во склоп на деловните операции на КОМПАНИЈАТА.

 

4.2.2    Цел на Политиката за безбедност

 

Оваа Политика за безбедност се состои од сет одлуки донесени од менаџментот за тоа како КОМПАНИЈАТА ќе постапи околу своите обврски во врска со безбедноста на информациите и заштитата на податоците. Политиката, исто така, ќе ги опфати и тековните или потенцијалните безбедносни проблеми во врска со информациите кои КОМПАНИЈАТА или ги поседува или ракува со нив во име на други страни. Овие одлуки се документирани и пренесени од страна на тимот за управување со информации. Тие детално ги опишуваат намерите и посветеноста на менаџментот и обврските за сите поединци во поглед на усогласеноста со Политиката за безбедност.

 

Политиката за безбедност има неколку цели и истата:

 

 

4.2.3    Домен на Политиката за безбедност

За целта на Политиката за безбедност, „Услугите на КОМПАНИЈАТА“ се оние услуги обезбедени во однос на основниот бизнис на Компанијата.

 

Доменот на Политиката за безбедност се дефинира низ три димензии:

 

 

4.3    Луѓе

 

Политиката за безбедност важи за целиот персонал на КОМПАНИЈАТА, директно или индиректо, кои се инволвирани во поддржувањето на испораката на регулаторните и другите поврзани активности, кои вклучуваат:

 

 

4.3.1 Корисници на КОМПАНИЈАТА

Терсминот „Корисници на КОМПАНИЈАТА“ ги вклучува сите вработени во организацијата на Компанијата, вклучително и оние кои не се директно вработени од страна на КОМПАНИЈАТА, но имаат пристап до системите и информациите на организацијата на Компанијата. Барањата за безбедност на информациите ќе се пренесат на оној персонал и ќе бидат вклучени во сите договори со трети страни.

 

4.4 Информации

 

Политиката за безбедност се однесува на сите капацитети, физичка опрема, софтвер и податоци во сопственост или под раководство на КОМПАНИЈАТА, директно или индиректно преку подизведувачи, за испорака на услуги. Овој домен особено ги вклучува податоците кои се однесуваат на овластените корисници и провајдери на КОМПАНИЈАТА, кои се чуваат или процесираат. Зависно од изворот на податоците, КОМПАНИЈАТА е и „процесот на податоци“ и „контролор“.

 

Некои компјутерки капацитети, како работните површини на крајните корисници- клиенти со трети изведувачи, се надвор од директната контрола на КОМПАНИЈАТА. Сепак, кога и да се користат за процесирање на податоците на КОМПАНИЈАТА, тие сѐ уште спаѓаат во доменот на оваа Политика. Безбедносните барања ќе бидат вклучени во релевантниот договор со изведувачот.

 

4.5    Видови на безбедносни документи

 

Постојат голем број други документи за поддршка на Политиката за безбедност, што обезбедуваат подетален опис на аспектите на Политиката за специфичната публика и комуникациските цели, како останатите Политики и процедури на Компанијата.

Компанијата користи две категории на безбедносни документи од посебна важност: Политики и процедури.

 

4.5.1    Политики

Политика се состои од задолжителни изјави на високо ниво кои обезбедуваат насока за тоа што мора да се направи. Политката не ги обработува деталите околу тоа како нештото треба да се направи. Политиките се зависни од технологијата во голем мера и се доволно генерични така што не мора често да се ажурираат. Обично, една политика има неколку придружни Процедури кои обезбедуваат детали околу тоа што би било несоодветно за една политика.

 

4.5.2    Процедури

Процедурите се задолжителни изјави, во согласност со Политиките на компанијата кои обезбедуваат како насоки, така и детални барања за тоа што и како нештото ќе се направи.

Процедурите се автоматски, го намалуваат времето и ресурсите потребни за изведување на задолжителна задача, како и обезбедуваат поголема прецизност за задачата. Процедурите се, исто така, изготвени за нетехнички барања, како пријавување на инциденти.

 

4.6    Средини

 

Со цел применување на безбедносна политика, сите средини за процесирање информации во КОМПАНИЈАТА ќе се сметаат за една единствена средина која е предмет на апликација на сите безбедносни барања содржани во документи за политика. Каде што ќе се препознаат некакви потенцијални очекувања, истите ќе се евидентираат и за нив ќе се извести менаџерот за Безбедност на информации преку методот за Прифаќање на ризик на безбедносен исклучок. Тогаш ќе се размисли за соодветни безбедносни отстапки и истите ќе се одобрат преку Тимот за управување со информации.

 

4.7    Преглед и оценка

 

4.7.1    Одобрување

 

Документот Политика за безбедност мора да помине низ процес од два чекора пред да биде одобрен и објавен. Ова вклучува:

 

 

4.7.2    Преглед

 

Политиката за безбедност редовно ќе се прегледува и ќе се ажурира согласно потребите секогаш кога ќе се појават нови закани, амандмани на безбедносната добра пракса или поголеми промени на инфраструктурата, услугите и организационата стурктура на КОМПАНИЈАТА. Овој континуиран процес на ревизија ќе биде поттикнат од ризик и ќе се спроведува согласно ISO27001:2005. Политиката за безбедност, исто така, формално ќе се ревидира од страна на Тимот за управување со информации, во име на КОМПАНИЈАТА, на секои три години.

 

4.9    Комуникација и обука

 

Политиката за безбедност соодветно ќе се пренесе на сите луѓе во нејзин домен со цел да се обезбеди дека тие се свесни за истата. Ова вклучува комбинација од различни комуникациски канали, како:

 

 

Покрај вработените, тука ќе бидат вклучени и добавувачите и КОМПАНИЈАТА ќе обезбеди сите релевантни договори да ги вклучуваат барањата за усогласување од оваа полиика за безбедност на информациите.

Ќе има специфични стандарди и инструкции за поспецифични барања за безбедност на информациите. Овие ќе се дистрибуираат директно до поединците за да се прифатат со потпис, на пример, преку договори за доверливост и неоткривање на информации.

 

4.10    Исклучоци во управувањето

 

Со цел прилагодување на новите барања или справување со привремените оперативни проблеми, КОМПАНИЈАТА може да додели oтстапки за варијанти од или за неусогласувања со Политиката за безбедност. Ова ќе се одвива со методот за Прифаќање на ризик на безбедносен исклучок како што е опишано погоре. Доделувањето на отстапка од барањата на политика може единствено да биде овластено од страна на Менаџерот за безбедност на информации, кој ќе бара одобрување од Тимот за управување со информации и Извршниот тим, каде е тоа потребно.

 

Овие отстапки обично се привремени и редовно ќе се ревидираат. Отстапките ќе се прават само кога ќе се препознае целосно оправдана деловна потреба. Отстапка може да се додели ретроспективно кога настанала вонредна состојба, која вклучува реална и потенцијална загуба на услуга.

 

Категории на отстапки:

 

 

За секое барање за отстапка, Менаџерот за безбедност на информации ќе одлучи која категорија ќе се примени.

 

Секое барање мора да специфицира најмалку:

 

 

На крајот од периодот колку што ќе трае исклучокот, Менаџерот за безбедност на информации ќе обезбеди почитувањето повторно да се воведе и ќе го пријави ова до Тимот за управување со информации.

 

4.10.1 Последици од непочитување на политика

 

Ќе се спроведе интерна истрага согласно политиката за Човечки реурси за да се испитаат деталите околу секој сериозен безбедносен инцидент и ќе се преземат сите потребни мерки вклучувајќи и дисциплински процедури, доколку е потребно.

 

Доколку персоналот на подизведувачите направи безбедносен престап или ја прекрши политиката, може да се побара од подизведувачот да му забрани на одговорниот поединец да работи за КОМПАНИЈАТА. Во одредени услови, договорот може да биде раскинат.

Секое лице во доменот на Политиката за безбедност може да е одговорно за прекршок, каде прекршокот може да биде злонамерен или како резултат на небрежност.

 

Незнаењето на барањата на политиката нема да се прифати како олеснување за безбедносен престап.

 

5.    Инфраструктура на безбедност на информации

 

5.1    Форум за управување со безбедност на информации

 

Безбедноста на информациите бара структура на управување со цел да се обезбеди кохерентна насока за спроведување на имплементацијата на Политиката за безбедност во склоп на Компанијата и обезбедување на константен мониторинг и подобрувања на целокупниот безбедносен систем.

 

КОМПАНИЈАТА оперира со Систем за управување со безбедност на информации (ISMS) кој е во согласност со ISO27001:2005.

 

ISMS ќе биде поддржан од Тимот за управување со информации (Форум за управување со безбедност на информации (ФУБИ)), каде се вклучени Сениор сопственик на ризик на информации (ССРИ), одбрани членови на високата управа и менаџерот за безбедност на информации. Примарната задача на тимот е редовно да ги оценува и решава проблемите поврзани со безбедноста, да обезбеди стратешки насоки, да ги прегледа и надгледува значајните ризици по безбедноста на информациите и да носи раководни одлуки во однос на безбедноста. Тимот за управување со информации одржува средби редовно.

 

5.2    Координација на безбедноста на информациите

 

Средбите ќе се одржат согласно потребите, со персоналот кој има оперативни одговорности или е одговорен за безбедноста на проектот во најразлични оддели од Компанијата. Овие средби се одржуваат со цел да се решат проблемите, да се ревидира статусот и да се мониторира прогресот на планираните бебедносни подобрувања во проектите. Покренатите проблеми и преземените мерки се евидентират и следат со одговорност на менаџерот за безбедност на информации.

 

5.3    Распределба на одговорностите за безбедност на информации

 

Главниот извршен директор има целокупна одговорност за безбедноста на инфромациите. Ова ќе се делегира преку ССРИ до менаџерот за безбедност на инфорамции за сите секојдневни оперативни аспекти на безбедноста на информациите. Дополнително делегирање на одговорностите за специфичните безбедносни проблеми ќе биде спроведена во тим за управување со информации, согласно потребите. Информациската и физичката безбедност се, исто така, клучна одговорност на сите вработени и се редовно пренесувани и поттикнувани преку тековните програми за образование и обука за безбедност.

 

5.3.1    Сениор сопственик на ризик по безбедноста на информациите

 

Сениор сопственикот на ризик по безбедноста на информациите (ССРИ) е назначен член од Извршниот тим со одговорност за обезбедување на развој, имплементација, ревизија и мониторинг на ефектите од политиката за ризик на информации.

 

ССРИ ќе виде запознаен со информациските ризици и нивното намалување, вклучувајќи и методологија за проценка на ризик на информации. Тие ќе обезбедат фокус за проценката и управувањето со информацискиот ризик на ниво на одбор, при тоа обезбедувајќи брифинзи и извештаи за работите поврзани со перформансот, обезбедувањето и културното влијание.

Во областа на управување со ризик ССРИ ќе биде поддржана од избрани Сопственици на инфорамции (СИ) и Администратори на информации (АИ) чии одговорности вклучуваат:

 

 

5.3.2    Чувар на доверливоста

 

Именуваниот Чувар на доверливоста ќе биде:

 

Чувар на доверливоста ќе биде поддржан од Тим за управување со информации и тимовите за безбедност со цел да се обебеди дека организацијата ги задоволува потребните стандарди за ракување со лични и чувствителни информации. Чуварот на доверливоста активно ќе ја поддржува работата за споделување на информации и ќе дава совети околу опциите за правно и етничко процесирање на личните информации.

 

5.3.3    Менаџер за безбедност на информации

 

Менаџерот за безбедност на информации е назначен од страна на Тимот за управување со информации има одговорност да го дефинира, имплементира, мониторира и управува со ISMS и документите на политиката за безбедност на информации.

Менаџерот за безбедност на информации организира и управува со учеството на КОМПАНИЈАТА  во сите заеднички одбори за безбедност на информации со трети провајдери и/или други надворешни организации.

 

Примарните одговорности на Менаџерот за безбедност на информации  се:

 

 

Менаџерот за безбедност на информации ќе добива помош и ќе делегира дел од овие задачи на други членови на персоналот, согласно потребите.

 

5.3.4    Одговорно лице за безбедност на информациската технологија

 

Одговорното лице за безбедност на информациската технологија е одговорно да обезбеди имплементација на техничките безбедносни мерки достапни и развиени со  услугите на ТИК (Технологија на информации и комуникации), согласно оваа политика и да го обезбеди најдоброто достапно ниво на безбедносна поддршка за КОМПАНИЈАТА. Тие, исто така, ќе соработуваат со менаџерот за безбедност на информации и Тимот за управување со информации со цел обезбедување технички совет и помош на групата.

 

Примарните одговорности на Одговорното лице за безбедност на информациската технологија се:

 

 

5.4    Процес на овластување за капацитетите за процесирање на информации

 

Сите барања за дополнување или суштински промени на капацитетите за процесирање на информации на КОМПАНИЈАТА, ќе бидат подлежни на ревизија од страна на менаџерот на безбедноста на информациите. Овие ревизии ќе обезбедат предложените системи или системските промени да се во согласност со барањата на документите на политиката за безбедност.

 

При овој процес на ревизија менаџерот на безбедност на информации ќе обезбеди експертски совет од трети страни (интерно или екстерно), доколку има потреба од тоа, со цел да обезбеди дека сите предлози се валидни и во согласност со барањата на политката за безбедност.

 

5.5Независна ревизија на безбедноста на инфорамциите

 

Ќе се спроведе имплементација на безбедноста на информациите и континуиран мониторинг на усогласеноста од страна на тимот за безбедност на информации и системските менаџери. Независни ревизии ќе се спроведат согласно потребите, со одлука на менаџерот за безбедност на информации или високите раководители  одговорни за безбедноста на информациите.

 

 

ДЕЛТА БЕТ ДООЕЛ Скопје