Uvod
Dokument predstavlja povzetek krovne varnostne politike in je namenjen poslovnim partnerjem družbe. Dokument predstavlja povzetek varnostnih kontrol ter postopkov, ki se v družbi uporabljajo z namenom zagotavljanja informacijske varnosti. Seznanitev z vsebino dokumenta predstavlja seznanitev z delovanjem sistema za upravljanje z informacijsko varnostjo in s tem seznanitev s pričakovanji, ki jih imamo v družbi za doseganje in spoštovanje ravni upravljanja varnosti podatkov.
Ta povzetek je dostopen preko spletne strani družbe. Družba si pridržuje pravico izvajanja sprememb vsebine tega dokumenta in ga s tem prilagaja lastnim poslovnim potrebam, tehničnim in organizacijskim standardom ter razpoložljivim rešitvam in aktualnem stanju na področju informacijske varnosti.
Ker je dokument javno dostopen na spletni strani družbe, se ob spremembah ne izvede obveščanje vseh poslovnih partnerjev – sprotno pregledovanje in spremljanje dokumenta je dolžnost poslovnega partnerja.
Namen in obseg
Z namenom zagotavljanja ustrezne ravni informacijske varnosti smo v družbi vzpostavili sistem upravljanja z informacijsko varnostjo, ki se v določenih točkah dotika tudi odnosov s poslovnimi partnerji (Vami).
Sistem upravljanja informacijske varnosti se nanaša in obvladuje varovanje informacij iz štirih sklopov informacijske varnosti:
- organizacijska varnost,
- varnost osebja,
- fizična varnost,
- tehnološka varnost
Odločanje na podlagi ocene tveganja
Za določanje varnostnih mehanizmov in kontrol, imamo v družbi vzpostavljen proces upravljanja tveganj, ki je namenjen prepoznavi, analizi ter oceni tveganja, na podlagi katerih izvajamo upravljanje varnostnih pomanjkljivosti. Na osnovi izvedene ocene tveganja določimo ukrepe, ki so lahko:
- organizacijski (ukrepi, ki naslavljajo obnašanje, kot na primer določanje pravilnikov, izobraževanje in usposabljanje,…)
- tehnični, ki se delijo na
- fizični (ukrepi, ki zagotavljajo varnost na fizični ravni, kot na primer zaščitna ograja, vrata, sef,…)
- logični (ukrepi, ki zagotavljajo varnost na logični ravni (kot na primer gesla, večfaktorska avtentikacija)
Redno ponavljanje in izvajanje ocene tveganja je tudi zagotovilo, da se sistem upravljanja z informacijsko varnostjo nenehno izboljšuje in razvija.
Klasifikacija informacij
Vse informacije, ki se uporabljajo v družbi so klasificirani glede na stopnjo pomembnosti. Ta določa osnovne pogoje za rokovanje in upravljanje informacij, uporabo in vpeljavo varnostnih kontrol.
Pogoji poslovnega sodelovanja
Z namenom zagotavljanja ustreznega varovanja informacij, ima družba s partnerji, kjer sodelovanje ni omejeno zgolj na kupo – prodajni odnos, sklenjen ustrezen sporazum o nerazkrivanju informacij.
Fizična varnost
Namen zagotavljanja varovanja na področju fizične varnosti je zagotavljanje zaščite fizičnih sredstev, vključno z dostopom do prostorov, uporabo nadzornih sistemov, varnostnih naprav in sorodnih vsebin ter varnostnih kontrol.
Poslovni partnerji, ki se želijo udeležiti poslovnega sestanka ali želijo izvajati aktivnosti na lokaciji družbe, se morajo pred tem najaviti svoji kontaktni osebi.
Parkirišče za poslovne partnerje, ki izvedejo obisk na sedežu družbe vozilo parkirajo na zato namenjenem parkirišču pred sedežem družbe. Vstop v prostore se izvede s prehodom varnostno zaščitne ograje, kjer so namenska vrata opremljena z zvoncem in sistemom za komunikacijo in oddaljeno odpiranje vrat. Ob vstopu v varovano območje je izobešeno tudi opozorilo, da je varovano območje pod videonadzorom.
Po vstopu v območje, se lahko obiskovalci gibljejo samo ob spremstvu kontaktne ali imenovane osebe. Za potrebe splošnega zagotavljanja varnosti vse obiskovalce vpišemo v knjigo gostov. Zapisi obiskovalcev so shranjeni v knjigi gostov za časovno obdobje 1 leta.
Samostojni vstop in gibanje po prostorih družbe je omogočen za zunanje izvajalce, ki izvajajo vzdrževanje kritične podporne in informacijske infrastrukture. Njihovo gibanje po objektu in znotraj varovanega območja, mora biti predhodno usklajeno s pogodbeno kontaktno osebo.
Informacijska in kibernetska varnost
Skupna varnost informacij je sestavljena iz ukrepov za zaščito informacijskih virov in podatkov, ter ukrepov za obrambo pred varnostnimi grožnjami.
Poslovna komunikacija
Poslovni partnerji in predstavniki družbe izvajajo v času sodelovanja tudi poslovno komunikacijo in korespondenco. Ta se izvaja preko uporabniških računov, ki jih poslovni partnerji prepoznajo preko uporabe domene podjetja (kopur.si). Uporabniški računi drugih domen ne predstavljajo uradnega stališča družbe in jih zaposleni ne uporabljajo za poslovno komunikacijo.
Izmenjava podatkov
Glede na tip poslovnega sodelovanja partnerja lahko izvajata tudi elektronsko izmenjavo podatkov (EDI). V primeru tovrstne izmenjave, sodeluje tehnično osebje obeh partnerjev, da določi koncepte ter zahteve tehnične izvedbe ter ostale pogoje tovrstne komunikacije.
V primeru, da si partnerja podatke izmenjujeta na način, da omogočata dostope do namenskih aplikacij (spletne aplikacije ali oddaljen dostop do aplikacije), se zagotovi uporabnikom aplikacije ustrezne dostopne podatke, ki se obravnavajo kot poslovna skrivnost. V kolikor je tehnično izvedljivo, se uporablja za vsakega zaposlenega ločen uporabniški račun.
Uporaba poslovnih informacijskih sistemov in logična varnost
Poslovna partnerja lahko, v sklopu medsebojnega sodelovanja, omogočita tudi dostope do sredstev informacijskega sistema oziroma uporabo storitev informacijskega sistema. Za dostope se uporablja unikatna uporabniška imena ter gesla, ki ustrezajo pravilom kompleksnosti dolžine vsaj 8 znakov, vsebujejo vsaj 1 veliko, 1 malo črko in vsaj 1 številko. Za geslo se ne uporablja imen družb, uporabniškega imena in ostalih enostavno povezljivih označb (npr. registrska označba avta).
V kolikor je možno, se za preverjanje dostopa uporablja več faktorska avtentikacija.
Povezave, ki se uporabljajo za neposredne dostope do okolij partnerjev so varnostno opremljeni z mehanizmi šifriranja podatkov (https ali VPN ali drugačen mehanizem, ki je usklajen s tehničnim osebjem).
Nadzor dostopa
Oba partnerja se v primeru sprememb v naboru uporabnikov, ki izvajajo dostope do partnerskih sistemov, te spremembe sporočita drug drugemu.
Da je zagotovljena dejanska ažurnost stanja uporabnikov, se redno izvaja še pregled ter potrjevanje ažurnosti. Periodo dogovorita poslovna partnerja.
Zagotavljanje varnega delovanja informacijskega sistema
Za zagotavljanje poslovanja in delovanja družbe skrbi ustrezno varovan in vzdrževan informacijski sistem z ustrezno podporno infrastrukturo (klimatske naprave, zagotavljanje neprekinjenega napajanja – UPS in agregati, zagotavljanje delovanja dostopa do spleta preko primarnega in sekundarnih ponudnikov,…).
Informacijski sistem je predmet rednega vzdrževanja (sistemsko skrbništvo, upravljanje kapacitet) in ustreznega posodabljanja (posodobitve in nadgradnje), ki jih izvaja kompetentno osebje. Spremljanje in upravljanje kapacitet zagotavlja preprečevanje pojavitve preobremenitve sistemov in s tem ustrezno delovanje in odzivnost. Med aktivnosti rednega vzdrževanja sodi tudi spremljanje varnostnih pomanjkljivosti za posamezne sistema, ki sestavljajo celoten informacijski sistem družbe.
Tako podporna infrastruktura, kot tudi infrastruktura informacijskega sistema sta predmet rednega preverjanja zmožnosti delovanja v izrednih razmerah (test neprekinjenega poslovanja in delovanja).
Upravljanje varnostnih dogodkov
Ne glede na pripravljene in določene postopke delovanja in rokovanja z dobrinami informacijskega sistema ter vpeljanimi in vzpostavljenimi kontrolami, ki zagotavljajo predvideno delovanje, se lahko pripetijo varnostni dogodki. Za namen, ko bi varnostni dogodek predstavljal varnostni incident, imamo v podjetju vzpostavljen postopek za ukrepanje v primeru varnostnega incidenta, saj ti zahtevajo jasno in učinkovito reagiranj, da se zmanjša škodo delovanja in poslovanja.
V primeru, da gre za večji varnostni incident zagotavljamo tudi neposredno obveščanje poslovnih partnerjev glede dogajanja (tip in narava incidenta, status incidenta, vpliv na delovanje in poslovanje). Reševanje varnostnih incidentov, ki vsebujejo osebne podatke, se izvajajo skladno s področno zakonodajo, ki določa postopke in ukrepe s področja obdelav osebnih podatkov.
Odgovornosti in pristojnosti
V družbi imamo jasno določene vloge oziroma funkcije, ki določajo katere naloge posameznik lahko opravlja in katere naloge mora izvajati. Uporabniške vloge v sistemu upravljanja informacijske varnosti so predmet rednega pregleda, da je s tem zagotovi ustreznost in poravnanost s poslovnimi potrebami. Uporabniške vloge jasno določajo kdo je odgovoren za delovanje katere varnostne kontrole.
Usposabljanje
Uporabniki informacijskega sistema so udeležujejo rednih usposabljanj glede uporabe informacijskega sistema in glede rokovanja s podatki in informacijami. V sklopu rednih izobraževanj in ozaveščanj se uporabnike seznani s spremembami v postopkih, standardih, zakonodaji in ostalih vidikih (na primer zahteve poslovnih partnerjev), ki vplivajo na sistem upravljanja z varovanjem informacij.
Poslovni partnerji so zavezani k spremljanju tega povzetka krovne varnostne politike. Dokument je na voljo tudi na spletni strani družbe.
Preverjanje in zagotavljanje skladnosti
Delovanje informacijskega sistema se redno preverja glede skladnosti. Preverjanje skladnost se izvaja na ravni preverjanja skladnosti krovne varnostne politike ter upravljanja informacijskega sistema ter sistema za upravljanje z informacijsko varnostjo.
Drugi sklop preverjanja se nanaša na preverjanje skladnosti z zakonodajo in standardi s področja upravljanja informacijskih sistemov. Ta del preverjanja skladnost se izvaja preko rednih pregledov (presoj, revizij) sistema. Sem sodijo tudi pregledi, ki jih izvajajo poslovni partnerji.
Ugotovitve pregleda se evidentirajo, na njihovi podlagi se določijo ukrepi in odgovorne osebe za njihovo izvedbo ter rok do katerega je potrebno izvesti implementacijo ukrepov.
V primeru, da ukrepi predvidevajo spremembo konfiguracije informacijskega sistema oziroma dobrine, ki sestavlja informacijski sistem, mora to spremembo odobriti vodstvo družbe – vodstvo družbe odobri vse spremembe na informacijskem sistemu.
Zahteve poslovnih partnerjev
Pri določanju varnostnih kontrol in mehanizmov, upoštevani in spoštujemo tudi zahteve poslovnih partnerjev, ki si nanašajo na rokovanje in upravljanje s podatki in informacijami. V primeru morebitnih nejasnosti, te skupaj s poslovnim partnerjem raziščemo in določimo na način, da ni dvomov glede uporabe varnostnih mehanizmov in kontrol.
Zakonodaja in regulativa
Področna zakonodaja in regulativa, ki se nanaša na upravljanje in rokovanje s podatki se redno spremlja. Na podlagi sprememb se izvaja tudi dopolnjevanje krovne varnostne politike in posledično tudi povzetka krovne informacijske varnostne politike.
OBJAVA IN VELJAVNOST DOKUMENTA
Ta dokument je objavljen na spletni strani družbe in velja od dne objave.
Datum objave: 15.04.2024
direktorica družbe