Polityka bezpieczeństwa

 

      1.  Monitoring bezpieczeństwa

W celu zapewnienia ochrony informacji Zarząd może stosować monitoring wykorzystania firmowej infrastruktury informatycznej, w szczególności obejmujący następujące elementy:

      1. analiza oprogramowania wykorzystanego na stacjach roboczych,
      2. analiza stacji roboczych pod względem wykorzystania nielegalnego oprogramowania / plików multimedialnych oraz innych elementów naruszających Prawo Autorskie,
      3. analiza odwiedzanych stron WWW,
      4. analiza godzin pracy na stanowiskach komputerowych,
      5. analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych) do systemów IT będących w posiadaniu Firmy,
      1. Analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych Firmy.

Monitoring bezpieczeństwa musi odbywać się z zachowaniem obowiązującego prawa.

    1.   Edukacja pracowników w zakresie bezpieczeństwa

Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu:

      • ochrony Danych Osobowych,
      • świadomości istnienia problemów bezpieczeństwa,
      • szczegółowych aspektów bezpieczeństwa.
    2. Odpowiedzialność pracowników za dane dostępowe do systemów

Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:

      • hasła dostępowe,
      • klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
      • inne mechanizmy umożliwiające dostęp do systemów IT.

Przykłady ochrony danych dostępowych:

      • nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
      •  nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
      • Ochrona danych dostępowych przed kradzieżą przez osoby trzecie.
    2. Transport danych poufnych przez pracowników

Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren Firmy. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Firmy.

    1. Korzystanie z firmowej infrastruktury IT w celach prywatnych

Zabrania się korzystania firmowej infrastruktury IT w celach prywatnych.

    1. Sieć lokalna (LAN).
      Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, przykładowo:

      • istotne serwery muszą być odseparowowane od sieci klienckich,
      • gniazdka sieciowe dostępne publiczne muszą być nieaktywne,
      • goście nie mogą uzyskiwać dostępu do sieci LAN.

Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.

    1. Systemy IT / serwery
      • Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone.
      • W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach.
      • Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.
    2.   Dokumentowanie bezpieczeństwa

Firma prowadzi dokumentacje w zakresie:

      • obecnie wykorzystywanych metod zabezpieczeń systemów IT,
      • budowy sieci IT,
      • ewentualnych naruszeń bezpieczeństwa systemów IT,
      • dostępów do zbiorów danych / systemów udzielonych pracownikom.

Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.

    1. Dane osobowe

Szczegółowe wytyczne dotyczące przetwarzania danych osobowych zawarte są w osobnym dokumencie.

    1. Publiczne udostępnianie infrastruktury IT

Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona. Przykładowe środki bezpieczeństwa:

      • Separacja od sieci LAN (np. z wykorzystaniem strefy DMZ)
      • Wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system)
      • Wewnętrzna lub zewnętrzna weryfikacja bezpieczeństwa systemu (np. poprzez realizację testów penetracyjnych)
    2. Kopie zapasowe.
      • Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT.
      • Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym.
      • Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych.
    3. Dostęp do systemów IT po rozwiązaniu umowy o pracę

W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT.

    1. Naruszenie bezpieczeństwa

Wszelakie podejrzenia naruszenia bezpieczeństwa danych w Firmie należy zgłaszać  w formie ustnej lub za pośrednictwem poczty elektronicznej do Zarządu Spółki.

Każdy incydent jest odnotowywany w stosownej bazie danych, a Zarząd Firmy podejmuje stosowne kroki zaradcze.

    1.  Weryfikacja przestrzegania polityki bezpieczeństwa.

Zarząd okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram