Politica de securitate a informatiilor

IIntroducere

1. Informația există sub diferite forme. Poate fi tipărita sau scrisa pe hârtie, stocata în formă electronică, transmisa prin poștă sau prin mijloace electronice, afișata pe film și vorbita. Indiferent de forma în care apare sau de mijloacele prin care este transmisă sau stocată, ar trebui să fie întotdeauna protejată corespunzător.

2. Securitatea informației se realizează prin aplicarea unui set adecvat de controale administrative, tehnice și fizice, care includ politici, procese, proceduri, structuri organizaționale, funcții software și hardware.

3. Principalele obiective ale securității informațiilor sunt:

  • Confidențialitate (Eng. Confidențiality) - Caracteristica informațiilor că sunt disponibile numai utilizatorilor sau proceselor autorizate.
  • Integritate (Eng. Integrity) - Proprietatea informațiilor care poate fi modificată numai de către utilizatori sau procese autorizate.
  • Disponibilitate (Eng. Availability) - caracteristica informațiilor că este disponibilă utilizatorilor sau proceselor, atunci când există o nevoie de afaceri pentru aceasta.

4. Alte obiective ale securității informațiilor sunt:

  • Identificare (Identificare ing.) – Identificarea fără echivoc a utilizatorului sau procesului sistemului sau aplicației.
  • Autentificare - Confirmare că utilizatorul sistemului sau al aplicației este o persoană sau un proces identificat.
  • Aplicarea autorizației (Autorizare ing.) – Acordarea de autorizații adecvate unui utilizator sau unui proces din cadrul unui sistem sau aplicație după finalizarea cu succes a identificării și verificării identității.
  • Responsabilitate – Activitățile efectuate în cadrul sistemului sau aplicației care sunt relevante pentru securitate trebuie înregistrate și dovedite.

II Contextul organizaţiei 

5. Mozzart este o companie de jocuri de noroc care operează în regiunea Europei de Est și alte piețe. Pentru nevoile de afaceri, a fost creat un sistem informatic cuprinzător pentru producerea, întreținerea și modernizarea software-ului pentru aranjarea jocurilor de noroc la punctele de plată și online.

6. În registrul părților interesate identificate sunt definite cerințele părților interesate relevante pentru securitatea informațiilor.

7. Sfera de aplicare a ISMS include activitățile companiei cu scopul de a organiza jocuri de noroc, în conformitate cu Declarația de Aplicabilitate (Statement Of Applicability ing.) creată.

8. Sistemul ISMS a fost stabilit, implementat, întreținut continuu și îmbunătățit în conformitate cu cerințele standardului ISO27001:2013.

III Politica de securitate a informațiilor

9. Conducerea companiei aprobă Politica de securitate a informațiilor. Politica este publicată și comunicată tuturor angajaților și, dacă este necesar, terților.

10. Rolurile și responsabilitățile specifice securității informațiilor sunt determinate de documentele de nivel inferior, fișele postului și contractele angajaților.

11. Mozzart revizuiește periodic Politica de securitate a informațiilor și, dacă este necesar, o completează atunci când sunt observate noi amenințări sau schimbări în mediu, sunt recunoscute noi bune practici de securitate a informațiilor, au loc schimbări majore în infrastructură, servicii, structura organizațională sau ca urmare a constatării independente ale auditului ISMS intern sau extern.

IV Suport de management

12. Conducerea companiei recunoaște că programul de securitate a informațiilor există pentru a sprijini cerințele de afaceri pentru operațiunile de succes și competitive ale companiei, precum și pentru conformitatea cu standardele, legile și reglementările relevante ale pieței în care își desfășoară activitatea compania. De asemenea, conducerea companiei confirmă faptul că sprijinul acesteia este  important pentru atingerea obiectivelor companiei de securitate a informațiilor și planificarea, implementarea și menținerea eficientă a controalelor de securitate a informațiilor.

13. Conducerea companiei oferă suport deplin în dezvoltarea și implementarea activităților de securitate a informațiilor.

IV.1 Roluri organizaționale

14. Mozzart lucrează la identificarea riscurilor de securitate a informațiilor pe toate piețele în coordonare cu echipele ISMS, creând măsuri pentru tratarea riscurilor de securitate a informațiilor, precum și coordonarea activităților pentru stabilirea și implementarea acestora.

15. Echipele ISMS au fost formate pe toate piețele cu scopul implementării efective a activităților de securitate a informațiilor.

16. Toți angajații sunt responsabili pentru respectarea regulilor prevazute in Politica de securitate a informațiilor și alte politici de securitate a informațiilor în activitatea lor.

V Managementul riscului de securitate a informațiilor

17. Mozzart lucrează la identificarea și evaluarea riscurilor la securitatea informațiilor, la definirea măsurilor de tratare a riscurilor și la coordonarea activităților pentru implementarea acestora în conformitate cu Politica de management al riscurilor.

18. Activitățile de securitate a informațiilor, obiectivele, implementarea și îmbunătățirea controalelor de securitate a informațiilor se bazează pe riscurile de securitate a informațiilor și măsurile stabilite pentru tratarea acestora.

19. Obiectivele de securitate a informațiilor sunt stabilite și evaluate anual.

VI Conștientizarea securității informațiilor

20. Mozzart lucrează continuu pentru a crește gradul de conștientizare a securității informațiilor, organizează și implementează diferite forme de conștientizare a securității informațiilor în rândul angajaților, care includ, dar nu se limitează la, efectuarea de simulări de phishing, organizarea și /sau implementarea instruirii online sau la fața locului și a notificărilor către angajați prin e-mail și alte canale de comunicare.

21. Noii angajați urmează o pregătire inițială privind securitatea informațiilor, care include o familiarizare formală cu politicile și așteptările de securitate a informațiilor în termen de o lună de la angajare, iar această formare continuă pe parcursul angajării în companie, cel puțin o dată pe an.

VII Monitorizarea și măsurarea performanței sistemului ISMS

22. Mozzart defineste criteriile de monitorizare și măsurare a performanței sistemului ISMS, care sunt analizate și evaluate cel puțin o dată pe an înainte de revizuirea sistemului ISMS de către conducerea companiei.