Политика за информациона безбедност

Вовед

1. Информацијата постои во различни форми. Може да биде отпечатена или напишана на хартија, сочувана во електронска форма, испратена по пошта или со помош на електронски средства, прикажана  на филм и во говорна форма. Без оглед на формата во која се појавува или средствата со кои се пренесува или складира, секогаш треба да биде соодветно заштитена.

2. Безбедноста на информациите се постигнува со примена на соодветен сет на административни, технички и физички контроли, кои вклучуваат политики, процеси, процедури, организациски структури, софтверски и хардверски функции.

3. Главните цели на информационата безбедност се:

• Доверливост (Eng. Confidentiality) – Карактеристика на информацијата да е достапна само за овластени корисници или процеси.

• Интегритет (анг. Интегритет) – Карактеристика на информацијата дека може да ја менуваат само овластени корисници или процеси.

• Достапност (Eng. Availability) – Карактеристика на информацијата да им е достапна на овластените корисници или процеси кога има деловна потреба за тоа.

4. Други цели на информационата безбедност се:

• Идентификација (Eng. Identification) – Недвосмислена идентификација на корисникот или процесот на системот или апликацијата.

• Проверка на идентитетот (Eng. Authentication) – Потврда дека корисникот на системот или апликацијата е идентификувано лице или процес.

• Примена на овластувањa (Eng. Authоrization) – Давање соодветни овластувања на корисник или процес во рамки на системот или апликацијата по успешно завршување на идентификацијата и верификацијата на идентитетот.

• Одговорност за сработеното (Eng. Аccountability) – Активностите извршени во системот или апликацијата кои се релевантни за безбедноста мора да бидат евидентирани и докажани.

II Контекст на организацијата

5. Mozzart е компанија за приредување на игри на среќа која работи во регионот на Источна Европа и на други пазари. За потребите на работата создаден е сеопфатен информациски систем за производство, одржување и надградба на софтвер за приредување на игри на среќа на уплатни места и онлајн.

6. Во регистарот на идентификувани заинтересирани страни дефинирани се барањата на заинтересираните страни од значење за безбедноста на информациите.

7. Опсегот на ISMS ги опфаќа активностите на Компанијата со цел приредување на игри на среќа, во согласност со изготвена Изјава за применливост (eng. Statement Of Applicability – SoA).

8. Системот ISMS e воспоставен, имплементиран, континуирано одржуван и унапреден во согласност со барањата на стандардот ISO27001:2013.

III Политика за инфромациона безбедност

9. Раководството на Компанијата ја одобрува Политиката за информациона безбедност. Политиката е објавена и доставена до сите вработени и трети лица.

10. Специфичните улоги и одговорности на информационата безбедност се одредуваат со документи од пониско ниво, опис на работни места и договори за вработени.

11. Mozzart редовно ја прегледува Политиката за информациoна безбедност и, доколку е потребно, истата ја дополнува кога ќе се забележат нови закани или промени во околината, кога ќе се препознаат нови најдобри практики за безбедност на информациите, кога се случуваат големи промени во инфраструктурата, услугите, организациската структура или како резултат на независни наоди од внатрешна или надворешна ревизија на ISMS-a.

IV Поддршка на раководството

12. Раководството на Компанијата признава дека програмата за информациона безбедност постои за да ги поддржи деловните барања за успешно и конкурентно работење на Компанијата, како и поради усогласување со релевантните стандарди, закони и прописи на пазарот на кој работи Компанијата. Исто така, раководството на Компанијата го потврдува фактот дека неговата поддршка е клучна за постигнување на целите за информациона безбедност на Компанијата и ефективно планирање, спроведување и одржување на контролите на информационата безбедност.

13. Раководството на компанијата обезбедува целосна поддршка во развојот и спроведувањето на активностите на информационата безбедност.

IV.1 Организациски улоги

14. Mozzart континуирано работи на идентификување на ризиците за безбедноста на информациите на сите пазари во координација со тимовите на ISMS, креирајќи мерки за третирање на ризиците на информационата безбедност, како и координирање на активностите за нивно воспоставување и спроведување.

15. Формирани се тимови на ISMS на сите пазари со цел ефикасно спроведување на активностите на информационата безбедност.

16. Сите вработени се одговорни да ги следат правилата пропишани со Политиката за инфромациона безбедност и другите политики за безбедност на информациите во нивната работа.

V Управување со ризикот од безбедноста на информациите

17. Mozzart  континуирано работи на идентификација и евалуација на ризиците на информационата безбедност, на дефинирање мерки за третман на ризиците и на координирање на активностите за нивно спроведување во согласност со Политиката за управување со ризик.

18. Активностите, целите, спроведувањето и подобрувањето на контролите на информационата безбедност се засноваат на утврдени ризици за безбедноста на информациите и мерки за нивно третирање.

19. Целите на информационата безбедност се поставуваат и се оценуваат на годишно ниво.

VI Свесност за безбедноста на информациите

20. Mozzart континуирано работи на подигање на свеста за информационата безбедност, организира и имплементира различни форми на подигање на свеста за информациона безбедност  на вработените кои вклучуваат, но не се ограничени на, спроведување на симулации за фишинг, организирање и/или спроведување онлајн или на обуки на терен и известувања за вработените преку е-пошта и други канали за комуникација.

21. Нововработените во рок од еден месец по вработувањето минуваат низ почетна обука од областа на информационата безбедност, која опфаќа формално запознавање со политиките и очекувањата за информациона безбедност на Компанијата, а оваа обука продолжува и во текот на работниот однос, најмалку еднаш годишно.

VII Следење и мерење на перформансите на системот ISMS

22. Mozzart ги дефинира критериумите за следење и мерење на перформансите на ISMS системот, кои се анализираат и оценуваат најмалку еднаш годишно пред анализата на ISMS системот од страна на раководството на компанијата.