Politika informacione bezbednosti
I Uvod
1. Informacija postoji u različitim formama. Ona može biti odštampana ili napisana na papiru, sačuvana u elektronskom obliku, prenesena putem pošte ili korišćenjem elektronskih sredstava, prikazana na filmu i izgovorena. Bez obzira na formu u kojoj se pojavljuje ili na sredstvo pomoću kojeg je prenesena ili sačuvana, ona treba uvijek da je zaštićena na odgovarajući način.
2. Informaciona bezbjednost se ostvaruje primjenom odgovarajućeg skupa administrativnih, tehničkih i fizičkih kontrola, koje obuhvaćaju politike, procese, postupke, organizacione strukture, softverske i hardverske funkcije.
3. Glavni ciljevi informacione bezbjednosti su:
- Povjerljivost (eng. Confidentiality) – osobina informacije da je dostupna isključivo ovlašćenim korisnicima ili procesima.
- Integritet (eng. Integrity) – osobina informacije da mogu da je izmjene isključivo ovlašćeni korisnici ili procesi.
- Dostupnost (eng. Availability) – osobina informacije da je dostupna ovlašćenim korisnicima ili procesima onda kada za to postoji poslovna potreba.
4. Drugi ciljevi informacione bezbjednosti su:
- Identifikacija (eng. Identification) – jednoznačna identifikacija korisnika ili procesa sistema ili aplikacije.
- Provjera identiteta (eng. Authentication) – potvrda da je korisnik sistema ili aplikacije identifikovana osoba ili proces.
- Primjena ovlašćenja (eng. Authorization) – dodjela odgovarajućih ovlašćenja korisniku ili procesu u okviru sistema ili aplikacije nakon što se uspješno završi identifikacija i provjera identiteta.
- Odgovornost za urađeno (eng. Accountability) – izvršene aktivnosti u okviru sistema ili aplikacije koje su relevantne za sigurnost moraju da budu zabilježene i dokazive.
II Kontekst organizacije
5. Mozzart je kompanija za priređivanje igara na sreću koja posluje u regionu Istočne Evrope i na drugim tržištima. Za potrebe poslovanja kreiran je sveobuhvatan informacioni sistem za proizvodnju, održavanje i nadogradnju softvera za priređivanje igara na sreću na uplatnim mjestima i on-line.
6. U registru identifikovanih zainteresovanih strana definirani su zahtjevi zainteresovanih strana koji su relevatni za bezbjednost informacija.
7. Opsegom ISMS-a su obuhvaćene aktivnosti kompanije s ciljem priređivanja igara na sreću, a u skladu sa kreiranom Izjavom o primjenjivosti (eng. Statement Of Applicability – SoA).
8. ISMS sistem (eng. Information Security Management System – ISMS – Sistem upravljanja bezbjednošću informacija) je uspostavljen, implementiran, kontinuirano se održava i unapređuje u skladu sa zahtjevima ISO27001:2013 standarda.
III Politika informacione bezbjednosti
9. Rukovodstvo kompanije odobrava Politiku informacione bezbjednosti. Politika je objavljena i saopštena svim zaposlenima i po potrebi, trećim stranama.
10. Specifične uloge i odgovornosti informacione bezbjednosti utvrđuju se dokumentima nižeg nivoa, opisima rada i ugovorima zaposlenih.
11. Mozzart redovno preispituje Politiku informacione bezbjednosti i po potrebi je dopunjava kada se uoče nove prijetnje ili promjene u okruženju, prepoznaju nove najbolje prakse informacione bezbjednosti, dese velike promjene u infrastrukturi, uslugama, organizacionoj strukturi ili kao rezultat nezavisnih internih ili eksternih nalaza provjere ISMS-a.
IV Podrška rukovodstva
12. Rukovodstvo kompanije priznaje da program informacione bezbjednosti postoji da bi se podržali poslovni zahtjevi za uspješno i konkurentno poslovanje kompanije, kao i zbog usaglašavanja sa relevantnim standardima, zakonima i propisima tržišta na kojima kompanija posluje. Takođe, rukovodstvo kompanije potvrđuje činjenicu da je njegova podrška ključna za ostvarivanje kompanijskih ciljeva informacione bezbjednosti i efikasno planiranje, implementiranje i održavanje kontrola informacione bezbjednosti.
13. Rukovodstvo kompanije daje punu podršku u razvoju i sprovođenju aktivnosti informacione bezbjednosti.
IV.1 Organizacione uloge
14. Mozzart kontinuirano radi na prepoznavanju rizika informacione bezbjednosti na svim tržištima u koordinaciji sa ISMS timovima, na kreiranju mera za tretiranje rizika informacione bezbednosti, kao i na koordinaciji aktivnosti za njihovo uspostavljanje i implementaciju.
15. ISMS timovi su formirani na svim tržištima u ciljem efikasnog sprovođenja aktivnosti informacione bezbjednosti.
16. Svi zaposleni su odgovorni da se u svom radu pridržavaju pravila koja su propisana Politikom informacione bezbjednosti i drugim politikama informacione bezbjednosti.
V Upravljanje rizicima informacione bezbjednosti
17. Mozzart kontinuirano radi na identifikaciji i evaluaciji rizika informacione bezbjednosti, na definisanju mjera za tretiranje rizika i na koordinisanju aktivnosti za njihovu implementaciju u skladu sa Politikom upravljanja rizicima.
18. Aktivnosti informacione bezbjednosti, ciljevi, implementacija i unapređenje kontrola informacione bezbjednosti se bazira na utvrđenim rizicima informacione bezbjednosti i mjerama za njihovo tretiranje.
19. Ciljevi informacione bezbjednosti se postavljaju i evaluiraju na godišnjem nivou.
VI Svijest o informacionoj bezbednosti
20. Mozzart kontinuirano radi na podizanju svijesti o informacionoj bezbjednosti, organizuje i sprovodi različite oblike osvješćivanja zaposlenih o informacionoj bezbjednosti koji uključuju, no nisu ograničeni na, sprovođenje phishing simulacija, organizovanje i/ili sprovođenje on-line ili on-site obuka i obavještenja prema zaposlenima preko elektronske pošte i drugih kanala komunikacije.
21. Novi zaposleni prolaze inicijalnu obuku o informacionoj bezbednosti koja podrazumijeva formalno upoznavanje sa politikama informacione bezbjednosti i očekivanjima kompanije u periodu od mjesec dana nakon zaposlenja, a ta se obuka nastavlja i u toku radnog odnosa i to najmanje jednom u periodu od godinu dana.
VII Praćenje i merenje performansi ISMS sistema
22. Mozzart definiše kriterijume za praćenje i mjerenje performansi ISMS sistema koje se analiziraju i vrednuju najmanje jednom godišnje prije preispitivanja ISMS sistema od strane rukovodstva kompanije.