Profilerr

Politika informacione bezbednosti

Politika informacione bezbednosti određuje osnovu za zaštitu informacija, olakšava donošenje odluka u vezi sa upravljanjem bezbednošću i usmerava ciljeve koji uspostavljaju, promovišu i osiguravaju najbolje mere kontrole informacione bezbednosti. Ova politika obuhvata sve informacije i informacione sisteme, uključujući informacije i sisteme koje kompanija koristi, upravlja ili njima rukuje na ovoj veb stranici. Politika informacione bezbednosti štiti poverljivost, integritet i dostupnost podataka, definiše način klasifikacije i rukovanja informacijama, kao i postupanje u slučaju kršenja ove politike.

Ova politika pruža integrisan skup zaštitnih mera koje se moraju dosledno primenjivati na celoj veb stranici kako bi se obezbedilo sigurno operativno okruženje za njeno funkcionisanje.

SVRHA

Upravljanje informacionom bezbednošću podrazumeva razuman odabir i efikasnu primenu odgovarajućih kontrola radi zaštite kritičnih informacionih resursa organizacije. Kontrole i procesi upravljanja, zajedno sa naknadnim nadzorom njihove prikladnosti i efikasnosti, čine dva osnovna elementa programa informacione bezbednosti.

Tri glavna cilja informacione bezbednosti su:

  • Poverljivost: Zaštita osetljivih informacija od otkrivanja neovlašćenim pojedincima ili sistemima;
  • Integritet: Očuvanje tačnosti, potpunosti i pravovremenosti informacija;
  • Dostupnost: Obezbeđivanje pristupa informacijama i ključnim uslugama ovlašćenim korisnicima kada su im potrebne.

OPSEG

Ova politika se primenjuje na sve zaposlene, izvođače radova, partnere, pripravnike/stažiste koji rade u našoj kompaniji. Treća lica koja pružaju usluge hostinga ili upravljaju podacima izvan opsega kompanije takođe moraju poštovati ovu politiku.

Obuhvat ove politike informacione bezbednosti odnosi se na informacije koje se čuvaju, prenose i obrađuju unutar naše kompanije, kao i na podatke kompanije koji se nalaze na eksternim lokacijama kod eksternih pružalaca usluga.

CILJEVI

Cilj politike informacione bezbednosti je da našoj kompaniji obezbedi pristup upravljanju informacionim rizicima i smernice za zaštitu informacionih resursa za sve jedinice, kao i za one koji su angažovani za pružanje usluga.

KLASIFIKACIJA INFORMACIONE IMOVINE

Informacioni resursi kompanije klasifikuju se u četiri kategorije: Javni, Interni, Poverljivi i Ograničeni. Svi ključni informacioni resursi moraju imati imenovanog vlasnika koji je odgovoran za uspostavljanje procedura autentifikacije i autorizacije u skladu sa ovom klasifikacijom, uz sledeće napomene:

  1. Javne informacije mogu biti dostupne ili distribuirane široj javnosti. Ove informacije ne zahtevaju zaštitu i, kada se koriste na predviđeni način, ne bi imale nikakav ili bi imale minimalan negativan uticaj na poslovanje, resurse ili reputaciju kompanije, kao ni na njene obaveze u vezi sa privatnošću podataka.
  2. Poverljive informacije namenjene su isključivo internom korišćenju i dostupne su samo zaposlenima kojima su potrebne za obavljanje poslovnih obaveza(ova kategorija uključuje informacije koje su zaštićene državnim zakonima ili ugovornim obavezama kompanije) i zahtevaju primenu mera privatnosti i bezbednosti.
  3. Ograničene informacije moraju ostati strogo poverljive i dostupne su isključivo po principu „potrebno je znati“. Primeri uključuju informacije koje utiču na nacionalne interese i/ili nacionalnu bezbednost.

Svi zaposleni moraju biti svesni svojih pravnih i korporativnih odgovornosti u vezi sa neprimerenom upotrebom, deljenjem ili prosleđivanjem informacija trećim licima. Svaka treća strana koja prima poverljive ili ograničene informacije mora biti ovlašćena za to, a ta osoba ili organizacija mora primenjivati mere informacione bezbednosti koje garantuju poverljivost i integritet podataka.

Poverljive informacije moraju biti zaštićene od neovlašćenog pristupa ili otkrivanja.

Ograničene informacije imaju najviši nivo osetljivosti i predstavljaju najveći rizik za kompaniju, državu i pojedince ukoliko bi neovlašćene osobe imale pristup tim podacima. Zaposleni koji rukuju ograničenim informacijama ili koriste sisteme koji ih skladište, prenose ili obrađuju, dužni su da u svakom trenutku obezbede poverljivost, integritet i dostupnost tih podataka.

UPRAVLJANJE INFORMACIONOM BEZBEDNOŠĆU

Upravljanje informacionom bezbednošću obuhvata rukovodstvo, organizacione strukture i procese koji štite informacije i ublažavaju rastuće pretnje po informacionu bezbednost.

Ključni ishodi upravljanja informacionom bezbednošću uključuju:

  • Usklađivanje informacione bezbednosti sa poslovnom strategijom kako bi se podržali ciljevi organizacije.
  • Upravljanje i ublažavanje rizika, smanjenje potencijalnih uticaja na informacione resurse na prihvatljiv nivo.
  • Praćenje performansi informacione bezbednosti kroz merenje, nadzor i izveštavanje o pokazateljima upravljanja informacionom bezbednošću kako bi se osiguralo postizanje ciljeva organizacije.
  • Optimizacija investicija u informacionu bezbednost radi podrške organizacionim ciljevima. Važno je uzeti u obzir potrebu organizacije i koristi koje proizlaze iz upravljanja informacionom bezbednošću.

ODGOVORNOST

Marketing odeljenje odgovorno je za sadržaj veb stranice i obezbeđivanje da materijali ispunjavaju zakonske i interne politike.

IT odeljenje odgovorno je za bezbednost, funkcionalnost i infrastrukturu veb stranice. Sistemski administratori nadziru odziv veb stranice i rešavaju eventualne tehničke probleme.

PODIZANJE SVESTI I KOMUNIKACIJA

Neophodno je da svi aspekti informacione bezbednosti, uključujući poverljivost, privatnost i procedure pristupa sistemima, budu deo zvanične obuke novih zaposlenih i redovno komunicirani postojećem osoblju.

Prilikom zapošljavanja, zaposleni moraju biti obavešteni da ne smeju otkrivati bilo kakve informacije do kojih imaju pristup tokom obavljanja svojih radnih zadataka. Takođe, moraju biti upozoreni da ne smeju pristupati podacima koji nisu neophodni za izvršenje njihovih redovnih dužnosti.