Butikowe Biuro podróży w stronę słońca

Polityka bezpieczeństwa systemu informatycznego

Niniejsza „Polityka Bezpieczeństwa” normuje zagadnienia związane z bezpieczeństwem informacji, gromadzonych, przetwarzanych, transmitowanych lub przechowywanych w systemach informatycznych jednostek organizacyjnych w firmie W STRONĘ SŁOŃCA EWELINA PODLECKA z siedzibą w Olsztynie (dalej „Firma”). 

  1. Bezpieczeństwo informacji 

Przez bezpieczeństwo informacji w systemach informatycznych rozumie się zapewnienie: 

  • poufności informacji (uniemożliwienie dostępu do danych osobom trzecim); 
  • integralności informacji (uniknięcie nieautoryzowanych zmian w danych); 
  • dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika); 
  • rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał); 

Właściciel Firmy stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie. 

  1. Oznaczanie danych 

Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się: 

  • informacje o klientach 
  • informacje  o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne), 
  • informacje finansowe Firmy, 
  • informacje organizacyjne, 
  • dane dostępowe do systemów IT, 
  • dane osobowe, 
  • inne informacje oznaczone jako „informacji poufne” lub „dane poufne”. 
  1. Zasada minimalnych uprawnień 

W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku. 

  1. Zasada wielowarstwowych zabezpieczeń 

System IT Firmy powinien być chroniony równolegle na wielu poziomach.  Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych. W celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. 

  1. Zasada ograniczania dostępu 

Domyślnymi uprawnieniami w systemach IT powinno być zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia. 

  1. Zabezpieczenie stacji roboczych 
    • Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. 
    • Minimalne środki ochrony to: 
      • zainstalowane na stacjach systemy typu: firewall oraz antywirus,
      • wdrożony system aktualizacji systemu operacyjnego oraz jego składników, 
      • wymaganie podania hasła przed uzyskaniem dostępu do stacji, 
      • niepozostawianie niezablokowanych stacji PC bez nadzoru, 
      • bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych. 
  1. Wykorzystanie haseł 
    • Hasła powinny być okresowo zmieniane. 
    • Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej). 
    • Hasła nie powinny być łatwe do odgadnięcia, to znaczy: 
      • powinny składać się z minimum 9 znaków, w tym jeden znak specjalny 
      • nie mogą przybierać prostych form, np. 123456789. 
  1. Postępowanie z nośnikami 

8.1 Zarządzanie nośnikami wymiennymi 

W celu zapobiegania nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zapisanych na nośnikach wymiennych, należy przestrzegać następujących wytycznych: 

  1. jeśli zawartość usuwanych nośników, które mogą być ponownie użyte, nie jest już potrzebna, to musi być usunięta w sposób uniemożliwiający jej odtworzenie; 
  1. tam gdzie jest to niezbędne, należy stosować autoryzację usunięcia nośników z organizacji oraz odnotowywać ten fakt w odpowiednim rejestrze; 
  1. nośniki powinny być przechowywane w bezpiecznym środowisku, zgodnie z zaleceniami producenta; 
  1. jeżeli poufność lub integralność przechowywanych danych jest istotna, należy stosować techniki kryptograficzne do ich ochrony na nośnikach wymiennych; 
  1. w celu zmniejszenia ryzyka związanego z pogorszeniem się stanu nośnika, podczas gdy przechowywane dane są nadal potrzebne, należy przenieść dane na nowy nośnik, zanim aktualny stanie się nieczytelny; 
  1. cenne dane należy przechowywać na oddzielnych nośnikach, w postaci wielokrotnych kopii, w celu zmniejszenia ryzyka przypadkowego zniszczenia danych lub ich utraty; 
  1. w celu ograniczenia możliwości utraty informacji nośniki wymienne muszą być inwentaryzowane; 

8.2 Wycofywanie nośników 

W zakresie nośników, które nie będą już dłużej wykorzystywane, stosuje się następujące wytyczne: 

  1. nośniki zawierające informacje poufne (w tym dane osobowe), muszą być przechowywane i niszczone w sposób bezpieczny, np. poprzez spopielenie, pocięcie lub skasowanie danych w taki sposób, aby niemożliwe było ich odzyskanie z nośnika; 
  2. nośniki zawierające informacje wrażliwe należy przekazać do zniszczenia wyspecjalizowanej firmie, zajmującej się trwałym i bezpiecznym niszczeniem nośników; 
  3. tam gdzie jest to niezbędne, stosuje się autoryzację usunięcia nośników z organizacji oraz odnotowuje się ten fakt w odpowiednim rejestrze; 

8. 3 Przekazywanie nośników 

Przed przekazaniem nośnika informacji podmiotom trzecim, np. w celu jego diagnozy czy naprawy, należy z nośnika usunąć wszystkie poufne dane w sposób uniemożliwiający ich odczytanie. Jeżeli danych nie można usunąć, należy rozważyć czy nośnik w ogóle może być przekazany, czy ma zostać wycofany z użycia. W przypadku przekazania nośnika zawierającego dane poufne podmiotom trzecim, należy sporządzić stosowną umowę przekazania, zawierającą klauzulę o zachowaniu poufności przez ten podmiot. Podmioty, którym przekazywane są nośniki muszą być sprawdzone i godne zaufania. 

  1. Kopie zapasowe 

W celu ochrony przed utratą danych, należy regularnie wykonywać i testować zapasowe kopie informacji, oprogramowania i systemów. 

  1. Bezpieczeństwo fizyczne 

10.1 Zabezpieczenie biur i pomieszczeń 

W celu zabezpieczenia biur i pomieszczeń, gdzie dochodzi do przetwarzania informacji, należy stosować następujące rozwiązania (chyba, że ze względów technicznych jest to niemożliwe; w takich przypadkach należy wdrożyć rozwiązania jak najbardziej zbliżone do poniższych): 

  1. zabezpieczanie wejść zapewniające dostęp wyłącznie osobom uprawnionym; Osoby nieuprawnione mogą przebywać w pomieszczeniu jedynie pod nadzorem osoby uprawnionej. 
  2. wdrożenie fizycznych zabezpieczeń chroniących przed nieautoryzowanym dostępem do pomieszczenia (np. krat w oknach); 
  3. zainstalowanie we wszystkich drzwiach zewnętrznych i dostępnych oknach systemów wykrywania włamań zgodnych z mającymi zastosowanie krajowymi normami oraz regularne ich testowanie. 

10.2 Sprzęt 

Sprzęt wchodzący w skład Firmy musi być umieszczany i chroniony w taki sposób, aby zredukować ryzyka wynikające z zagrożeń i niebezpieczeństw środowiskowych oraz okazje do nieuprawnionego dostępu. 

W celu ochrony sprzętu należy stosować się do poniższych zaleceń: 

  1. środki przetwarzania wrażliwych informacji powinny być tak ulokowane, aby podczas ich użytkowania minimalizować ryzyko podglądu przez nieuprawnione osoby; 
  2. urządzenia przechowujące informacje należy zabezpieczyć przed nieuprawnionym dostępem; 
  3. zaleca się wprowadzenie zabezpieczeń w celu minimalizacji ryzyka związanego z potencjalnymi zagrożeniami fizycznymi i środowiskowymi, np. kradzieżą, pożarem, dymem, zalaniem czy wandalizmem; 
  4. tam, gdzie szczególnie może mieć to niekorzystny wpływ na działanie środków przetwarzania informacji (np. w pomieszczeniach serwerowych), zaleca się monitorowanie warunków środowiska jak temperatura i wilgotność; 
  5. zabrania się spożywania posiłków, napojów oraz palenia tytoniu w bliskim sąsiedztwie środków przetwarzania informacji. 
  1. Odpowiedzialność pracowników za dane poufne 

Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony. 

  1. Odpowiedzialność pracowników za dane dostępowe do systemów 

Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak: 

  • hasła dostępowe, 
  • klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe, 
  • inne mechanizmy umożliwiające dostęp do systemów IT. 
  1. Edukacja pracowników w zakresie bezpieczeństwa 

Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu: 

  • ochrony Danych Osobowych, 
  • świadomości istnienia problemów bezpieczeństwa, 
  • szczegółowych aspektów bezpieczeństwa. 
  1. Korzystanie z firmowej infrastruktury IT w celach prywatnych 

Zabrania się korzystania firmowej infrastruktury IT w celach prywatnych. 

  1.   Dokumentowanie bezpieczeństwa 

Firma prowadzi dokumentacje w zakresie: 

  • obecnie wykorzystywanych metod zabezpieczeń systemów IT, 
  • budowy sieci IT, 
  • ewentualnych naruszeń bezpieczeństwa systemów IT, 
  • dostępów do zbiorów danych / systemów udzielonych pracownikom. 

Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji. 

  1. Dostęp do systemów IT po rozwiązaniu umowy o pracę 

W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT. 

  1. Kontrola bezpieczeństwa sieci 

Zabrania się podłączania do sieci Firmy nieautoryzowanych urządzeń, w tym tych będących własnością prywatną lub należących do zewnętrznych usługodawców, chyba, że zostanie to uzasadnione potrzebami operacyjnymi i zatwierdzone przez właściciela Firmy. 

  1. Naruszenie bezpieczeństwa 

Wszelakie podejrzenia naruszenia bezpieczeństwa danych w Firmie należy zgłaszać  w formie ustnej lub za pośrednictwem poczty elektronicznej do właściciela Firmy. 

Każdy incydent jest odnotowywany w stosownej bazie danych, a właściciel Firmy podejmuje stosowne kroki zaradcze. 

  1. Weryfikacja przestrzegania polityki bezpieczeństwa. 

Właściciel Firmy okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.