Политика за контрол на достъпа
Политиката за контрол на достъпа включва прилагането на механизми за контрол както на физическия, така и на логическия достъп.
- Физическа защита на информационните активи;
- Прилагане механизми за контрол на физическото влизане;
- Определяне на нивата на достъп в съответствие с ролята, която трябва да изпълняват служителите и нивата на класификация на информацията и активите;
- Отнемане на права на достъп при напускане;
- Периодичен преглед на достъпа и правата на достъп;
- Ъпгрейд на контрола на достъп в отговор на нови заплахи, възможности, изисквания на дейността или изводи от инциденти.
Политика за класифициране и обработка на информацията
Политиката за класифициране, обработване и съхранение на информацията и на физическите активи се основава на заинтересованите страни. Класификацията включва три нива:
- A- Конфиденциална / критична
- B- За служебно ползване / с нормална важност
- C- Публична / не критична
Ниво A обхваща:
• Контакти на контрагенти, служители
• База данни
• Информация за заплати, финансова информация от договори.
• Лични данни на служители (ЕГН/ЛНЧ, гражданство, семейно положение, постоянен адрес и копия на документи, удостоверяващи образование и квалификация, трудова дейност, банкова сметка и др.), на котрагенти (ЕГН/ЛНЧ, гражданство, семейно положение, постоянен адрес, тел., имена, документ за самоличност, степен на образование) Софтуер:
• Електронни подписи и спеиализиран софтуер. Хардуер: • Основен сървър, комуникационно оборудване (офиси)
Ниво B обхваща:
• Уеб сайт, възлагателни писма, договори с контрагенти и документи, необходими за сключването им, • Фактури, платежни, счетоводни документи, договори за външни услуги, договори доставка и др. • Досиета на служители, архиви, документи на всички софтуери и приложения в организацията. • Административни документи
Ниво С обхваща:
• Операционна система (WINDOWS) работни станции, антивирусни на работните станции, офис приложения (програми)
Политика по физическа сигурност и сигурност на заобикалящата среда
“Налбантов и син” ООД провежда политика на защита на средствата за обработка и съхранение на информацията чрез определяне на граници на физическа сигурност и организация на зони за сигурност. Политиката на фирмата по отношение на защита на устройствата цели намаляване на риска от неразрешен достъп до информационни активи, с всички възможни последствия, загуба, повреда, кражба, прекъсване на дейността. Прилагат се технически мерки за защита от пожар и прекъсване в електрозахранването, защита на окабеляването и комуникационните връзки. В офиса са определени местата за достъп на клиенти и куриери. Физическата сигурност и защитата на заобикалящата среда в офис пространствата се осигурява чрез механизми за контрол на физическия достъп (ключ). В зоните с достъп на външни лица не се разполагат критични информационни активи.
Политика по управление на активите
Политиката се отнася до служители, външни експерти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от “Налбантов и син” ООД или нейни клиенти, както и до наличната информация. Политиката на фирмата за използване на активите е свързана с налагане на стриктен контрол по отношение на всички физически и логически действия. Системите свързани с Интернет, Локална мрежа, включително компютърното оборудване, приложния софтуер, операционните системи, средствата за съхранение на информация, електронната поща и други са собственост на „Налбантов и син“ ООД. Тези системи са предназначени да се използват за целите на дейността в интерес на фирмата и нейните контрагенти. Поради необходимостта да се защитава информационната система, Ръководството по отношение на конфиденциалност на личната информация, съхранявана на което и да е устройство, задължава служителите да правят добра преценка относно разумността на личната употреба. За целите на сигурността и поддръжката на мрежата, системният администратор може да наблюдава оборудването и системите по всяко време.
Политика за „чисто бюро и чист екран“
Политиката за „чисто бюро и чист екран“ цели да намали рисковете свързани с неоторизиран достъп, загуба или повреда на информация по време или извън обичайното работно време. Изискванията на тази политика са свързани с ограничаване на физическия и логическия достъп до конфиденциална информация чрез:
– изключване или заключване на компютрите, когато са ненадзиравани
– недопускане на съхранение на конфиденциална информация в зони с достъп на външни лица.
Политиката се прилага задължително в зоните с достъп на външни лица.
Политика за обмен на информацията и сигурност на комуникациите
Политиката на организацията не налага органичения за използване на средства за обмен на информация, но въвежда следните механизми за контрол:
• При използване на електронна поща, конфиденциална информация и информация за служебно ползване да се изпраща в прикачен файл
• Забрана за използване на незащитени мрежи при предаване конфиденциална информация и информация за служебно ползване
• Забрана за оставяне на съобщения съдържащи конфиденциална информация и информация за служебно ползване на телефонни секретари.
• Ограничаване на въвеждането на е-мейл адреси по подразбиране и автоматично препращане на съобщения
• Забрана за водене на служебни разговори на обществени места, отворени офис пространства или по несигурни информационни канали. Организацията, работи само с одобрени куриерски служби и доставчици на комуникационни услуги.
Политика за работа с мобилни устройства и работа от разстояние
Фирмата разрешава работата с мобилни устройства и работа от разстояние при спазване на следните мерки за сигурност:
• Достъпът до сървър на организацията единствено от системния администратор;
• Техника не следва да се оставя без наблюдениe или на видно място в автомобили;
• Забранено е използване на опции „запомни паролата“ за достъп до служебна поща и сървър;
• Забранено е използването на свободни Wi Fi зони за трансфер на информация;
• Забранена е работата по служебни документи от публични зони (заведения, бензиностанции, летища);
• В случай на загуба / кражба на компютър незабавно следва да се уведоми Ръководството;
За подобряване сигурността при работа с мобилни телефони и предаваната информация са въведени следните правила:
o Съхранението на конфиденциални данни и лична данни в мобилния си телефон са забранени;
o Телефоните, на които е конфигурирана служебна поща следва да са с активирани пароли за отключване или друг начин на заключване.
Политика за инсталиране и използване на софтуер
Политиката на “Налбантов и син” ООД по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система. Всички изменения в хардуера и в софтуера на системата се извършват само с предварително разрешение. Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна.. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензионния договор, включително предоставяне или получаване на софтуер или шрифтове от контрагенти, изпълнители по договори, потребители и други. Целият софтуер, придобит от организацията, трябва да бъде закупен след съгласуване с Ръководството. Каналите за придобиване на софтуер са ограничени, за да гарантират, че организацията поддържа пълна документация за закупения софтуер и може да регистрира, поддържа и актуализира съответния софтуер. Това включва софтуер, който може да бъде свален и/или закупен от интернет. Компютрите на фирмата са активи собственост на организацията и трябва да бъдат защитени от вируси. Забранява се на потребителите да внасят софтуер отвън и да го инсталират на своите компютри в организацията. Притежаваният от организацията софтуер не може да бъде изнасян от потребителите и качван на други компютри. Забранява се инсталирането на софтуер, различен от разрешения без съгласуване със системния администратор.
Политика по резервиране
Политиката на резервиране е базирана на оценка на риска от загуба на информация, като се цели двукратна резервираност, както следва:
– Резервиране на информация на сървъра
– Резервиране на виртуално копие извън организацията.
Политика по защита от злонамерен софтуер
Политиката е насочена към навременно откриване на злонамерен софтуер и възстановяване на работоспособността, както и осъзнаване на механизмите за контрол от злонамерен софтуер от страна на служителите. За целта се налагат следните правила за работа:
• използване на антивирусни програми за защита на сървър и работни станции o сканирани на прикачени файлове o ежедневна актуализация на антивирусни дефиниции
• използване на защитни стени (Firewall )
• контрол на входящия трафик
• провеждане на редовни прегледи в рамките на профилактика на системите
• Използване само на лицезиран софтуер и/или freeware, забрана за използване на неоторизиран софтуер
• Редовна инсталация на updates на операционни системи
• Незабавно докладване според утвърдена процедура за управление на инциденти
Политика за управление на паролите
Политиката за управление на паролите е базирана на оценката на риска в “Налбантов и син” ООД, която взима под внимание достъпа на служители до класифицирана клиентска и вътрешна информация. Всеки служител, който има достъп до тези информационни активи е длъжен да използва силни пароли според политиката на организацията. Политиката важи за всички достъпи, които един служител използва. Служителите нямат право да споделят паролите си на никого, както и да ги съхраняват на хартиен или електронен носител. Паролите трябва да се променят периодично.
Приета от Управителите на „Налбантов и син“ ООД на 10.05.2019г.