Политика по информационна сигурност
Политика по информационна сигурност
Ръководството на БУЛГЕД, в лицето на Управителя, официално декларира Политиката по ИНФОРМАЦИОННА СИГУРНОСТ на информационната система на Булгед със следния обхват:
„Полиграфически услуги: предпечатна подготовка, сканиране, експонация на филм, широкоформатен печат, цветни дигитални проби, CtP експонация на печатни офсетови плаки, CtP експонация на фотополимерни форми за флексопечат, дигитален печат – листов и ролен, и разнообразни довършителни процеси”.
Политиката е документирана, огласена и разбрана от всички служители, които имат достъп до информацията и информационните системи на Булгед. Политиката е одобрена от Управителя и се прилага в рамките на цялата организация. Политиката по информационната сигурност се поддържа от ФИСУ (Форум по Интегрирана система за управление).
Настоящата политика по информационна сигурност задава рамката на система от мерки, насочени към:
- Гарантиране на конфиденциалност на информацията,
- Осигуряване на цялостност на информацията,
- Осигуряване на достъпност на информацията,
- Постигане на отчетност на информацията
Обхват на системата за управление на информационната сигурност
- Системата за управление на информационната сигурност обхваща всички документи и активи на Булгед ООД
- Системата за управление на информационната сигурност обхваща офисите на Булгед ООД.
- Системата за управление на информационната сигурност обхваща процесите на предпечатна подготовка, сканиране, експонация на филм, широкоформатен печат, цветни дигитални проби, CtP експонация на печатни офсетови плаки, CtP експонация на фотополимерни форми за флексопечат, дигитален печат – листов и ролен, и разнообразни довършителни процеси.
Целите на настоящата политика са:
- осигуряване на непрекъснатост на бизнес процесите;
- минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на Булгед, нейните клиенти, партньори и други заинтересовани страни;
- минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;
- осигуряване на необходимите ресурси за поддържане на ефективна СУИС;
- информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;
- осигуряване на съответствие с нормативни и договорни изисквания.
Ръководството на фирмата прилага основни принципи при разработване, внедряване и поддържане на СУИС.
Усилията на Ръководството са насочени към:
- критичната (чувствителната) информация и системи да бъдат подлагани на редовен анализ на риска;
- за критичните (чувствителни) информационни ресурси и системи да бъдат определени „собственици” – служители отговорни за конкретните бизнес приложения, компютри и мрежи;
- информацията да бъде класифицирана по начин, който показва нейната критичност и чувствителност по отношение на организацията;
- персоналът да осъзнава проблемите на информационната сигурност;
- организацията да се съобразява с лицензите за софтуер, авторските и други свързани права, както и с други правни, регулаторни и договорни задължения;
- нарушаването на политиката по сигурността и евентуалните недостатъци в системата за информационна сигурност да бъдат докладвани;
- информационните ресурси да бъдат защитавани от гледна точка на изискванията за конфиденциалност, цялостност и достъпност.
Въвеждането и спазването на политиката по информационна сигурност цели да се забранят:
- използването на информацията и системите на организацията без оторизация или за цели, които нe са свързани с дейността й;
- изнасяне на оборудване или информация от офисите и производствените помещения на организацията без оторизация;
- неоторизирано копиране на информация и софтуер;
- компрометиране на пароли (например със записване или разпространяване);
- използване на персонална информация за бизнес цели, освен ако няма изрична оторизация;
- фалшифициране на доказателства в случай на инцидент.
- правене на порнографски/неприлични, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);
- разпространение на незаконни материали (например с неприлично или дискриминационно съдържание).
Отговорности:
За осъществяване на настоящата политика и за осигуряване функционирането на СУИС, Ръководството натоварва с отговорности следните длъжностни лица:
- Форум по ИСУ (определен със Заповед)
- Системни администратори
- Отговорник по сигурността (определен със Заповед)
- Собственици на информационния ресурс
- Потребители
Потребителите на информационната система, се задължават да следват процедурите и инструкциите по информационна сигурност, да докладват за проблеми и инциденти в информационната система.
Разработването, внедряването и поддържането на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2013 е основополагаща цел за реализация на бизнес стратегията на Организацията.
Разработването и внедряването на СУИС е в пълно съответствие с политиката, процедурите и практиките на Системата на управление на качеството, внедрена в Булгед ООД в съответствие с международния стандарт ISO 9001:2008.
Политика по оценка на риска
Оценката на риска се прилага за всеки актив на организацията или извън нея, обхванат от споразумение с трета страна. Оценката на риска се прилага към цялата информационна система и включва приложоения, сървъри, мрежата, и всеки процес или процедура чрез които системата се администрира и/или поддържа.
Политика по вътрешна организация на информационната сигурност
Ръководството провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.
Политика по управление на активите
Политиката се отнася до служители, договарящи страни, консултанти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от Булгед.
Политиката на фирмата за използване на активите цели не да налага ограничения, противоречащи на установената фирмена култура на откритост и доверие, а да защитава служителите на Булгед, нейните партньори и самата фирма от незаконни и увреждащи действия, извършени предумишлено или несъзнателно.
Политика по сигурност, свързана с човешките ресурси
Човешките ресурси са основен елемент от СУИС. Политиката по сигурността на човешките ресурси на Булгед е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност чрез адекватно дефиниране на отговорности и обучение.
Политика по физическа сигурност и сигурност на заобикалящата среда
Булгед провежда политика на защита на средствата за обработка и съхранение на информацията чрез определяне на граници на физическа сигурност и организация на зони за сигурност.
Политика по контрол на достъпа
Политиката на Булгед за контрол на достъпа е базирана на принципите „необходимо да знае” или „необходимо да се ограничи”, „всеки достъп, който не е изрично разрешен е забранен” и минимализиране на привилегиите.
Политика по разработване, внедряване и поддържане на информационните системи
Политиката на Булгед по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система.
Политика по Управление на инциденти и подобряване на сигурността на информацията
С цел намаляване на риска и произтичащите от появата на инциденти разходи Булгед е разработила и внедрила политика за управление на инциденти, която е насочена към разработване и внедряване на процедури и средства за ефективно третиране на слабостите и пробивите, свързани със сигурността на информацията. Мерките обхващат непрекъснато наблюдение, реагиране, оценяване, подобряване и цялостно управление на слабостите и инцидентите.
Политика за осигуряване на непрекъснатостта на бизнеса
Ръководството на Организацията разбира необходимостта от планиране непрекъснатостта на бизнеса. То осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси базирани на технологии и силната зависимост от информационните технологии е основание за създаване на план за непрекъснатост на работа.
Лицензионна политика
Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна. Организацията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в офисите на организацията или на друго място, освен ако не съществува изрично разрешение за това съгласно договора с лицензодателя. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензионния договор, включително предоставяне или получаване на софтуер или шрифтове от клиенти, изпълнители по договори, потребители и други.
Политика за защита на авторските права
Политиката на Булгед за защита на авторските права е изцяло съобразена със Закона за авторското право и сродните му права.
Клиентът запазва всички авторски права върху информационните ресурси и материали, включително файлове, каталози и други готови изображения, върху техния дизайн, върху запазени знаци и марки, които предоставя на Булгед с цел използване на предлаганите му услуги.
Политика за защита на личните данни
Политиката на Булгед за защита на личните данни е изцяло съобразена със Закона за защита на личните данни.
Булгед събира лични данни единствено за уреждане на трудово-правните взаимоотношения със служителите. Информацията не се използва повторно за цели, несъвместими с първоначалните.
Информацията, която Булгед може да събира, включва данни от лични карти, здравни досиета, телефонни и факс номера, адрес за електронна поща, и др. Изрично се забранява събирането на информация, която:
- разкрива расов или етнически произход;
- разкрива политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
- се отнася до здравето, сексуалния живот или до човешкия геном.
Булгед няма да продава, отдава, търгува с всякаква лична информация, получена от служителите си или от подизпълнителите.
Определените отговорни служители, обработващи лични данни, са задължени да третират информацията като конфиденциална.
Предприети са мерки за физическа и логическа защита на личните данни и са ограничени правата за достъп до тях.
Всеки служител, за когото се отнасят данните („субект на данни“) има право на достъп до своите данни, както и да изиска тяхното коригиране.
Заключение
Политиката по информационна сигурност е разпространена до трети страни, които имат достъп до информацията и системите на организацията.
Политиката по информационна сигурност се преглежда редовно на базата на установен процес.
Политиката по информационна сигурност се ревизира, за да се вземат под внимание променящите се обстоятелства.
Всеки служител, който прецени, че има злоупотреба с настоящата политика в организацията, трябва да уведоми Отговорника по сигурността.
Всеки служител, за когото е установено, че е нарушил тази политика, подлежи на дисциплинарна отговорност.
Персоналът на Булгед се задължава да спазва всички правила, свързани с информационната сигурност, описани в процедури, инструкции и други документи от СУИС.
Ръководството на БУЛГЕД декларира своята пълна ангажираност в процесите на развитие, поддържане и усъвършенстване на СУИС.
София, 2022
Управител: Николай Рачев