Polityka bezpieczeństwa w Firmie Fach-Stol (właściciel sklepu: www.e-deska.pl)
Definicja bezpieczeństwa
Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie:
Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim).
Integralności informacji (uniknięcie nieautoryzowanych zmian w danych).
Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika)
Rozliczalności operacji wykonywanych na informacjach (zapewnie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).
Firma stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie.
Oznaczanie danych
Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się: dane dostępowe do systemów IT, dane osobowe, inne informacje oznaczone jako „informacji poufne” lub „dane poufne”.
Zasada minimalnych uprawnień
W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy stosuje zasadę „minimalnych uprawnień”, to znaczy przydziela minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.
Pracując na komputerze PC każdy pracownik posiada tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).
Zasada wielowarstwowych zabezpieczeń
System IT Firmy jest chroniony równolegle na wielu poziomach. Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych.
Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows.
Zasada ograniczania dostępu
Domyślnymi uprawnieniami w systemach IT jest zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia.
Przykładowo: domyślnie dostęp do bazy przechowującej dane klientów jest zabroniony. Stosowny dostęp zostaje przyznany osobie, której zajmowane stanowisko wiąże się z koniecznością pracy w tego typu systemie.
Dostęp do danych poufnych na stacjach PC.
Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.
Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Lista systemów objętych tego typu działaniami dostępna jest w osobnym dokumencie.
Jeśli stacja PC jest komputerem przenośnym (laptopem) to jest dodatkowo zabezpieczona.
Dostęp do danych poufnych z zewnątrz firmy odbywa się z wykorzystaniem kanału szyfrowanego (, dostęp do e-mail poprzez protokół szyfrowany).
Dostęp do danych poufnych poprzez firmową sieć WiFi odbywa się z wykorzystaniem kanału szyfrowanego.
Zabezpieczenie stacji roboczych
Stacje robocze są zabezpieczone przed nieautoryzowanych dostępem osób trzecich.
Środki ochrony to: zainstalowane na stacjach systemy typu: firewall oraz antywirus, wdrożony system aktualizacji systemu operacyjnego oraz jego składników, wymaganie podania hasła przed uzyskaniem dostępu do stacji, niepozostawianie niezablokowanych stacji PC bez nadzoru, bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych. Szczegółowe informacje dotyczące korzystania ze stacji roboczych można znaleźć w stosownym dokumencie.
Wykorzystanie haseł
Hasła są okresowo zmieniane.
Hasła nie są przechowywane w formie otwartej (nie zaszyfrowanej).
Hasła są szyfrowane zgodnie z powszechnymi standardami budowy silnych haseł w branży IT.
Odpowiedzialność pracowników za dane poufne
Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony.
Monitoring bezpieczeństwa
W celu zapewnienia ochrony informacji Firma analizuje monitoruje wykorzystanie firmowej infrastruktury informatycznej, w szczególności obejmujący następujące elementy:
analiza oprogramowania wykorzystanego na stacjach roboczych,
analiza stacji roboczych pod względem wykorzystania nielegalnego oprogramowania / plików multimedialnych oraz innych elementów naruszających Prawo Autorskie,
analiza odwiedzanych stron WWW,
analiza godzin pracy na stanowiskach komputerowych,
analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych) do systemów IT będących w posiadaniu Firmy,
analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych Firmy.
Monitoring bezpieczeństwa odbywać się z zachowaniem obowiązującego prawa.
Edukacja pracowników w zakresie bezpieczeństwa
Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska są dokształcani z zakresu:
ochrony Danych Osobowych,
świadomości istnienia problemów bezpieczeństwa,
szczegółowych aspektów bezpieczeństwa.
Odpowiedzialność pracowników za dane dostępowe do systemów
Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:
hasła dostępowe,
klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
inne mechanizmy umożliwiające dostęp do systemów IT.
Przykłady ochrony danych dostępowych:
nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
Ochrona danych dostępowych przed kradzieżą przez osoby trzecie.
Transport danych poufnych przez pracowników
Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren Firmy. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Firmy.
Korzystanie z firmowej infrastruktury IT w celach prywatnych
Zabrania się korzystania firmowej infrastruktury IT w celach prywatnych.
Sieć lokalna (LAN).
Sieć lokalna jest odpowiednio chroniona przed nieuprawnionym dostępem. Goście nie mogą uzyskać dostępu do sieci LAN.
Systemy IT / serwery
Systemy IT przechowujące dane poufne (np. dane osobowe) są odpowiednio zabezpieczone.
W szczególności dbamy o poufność, integralność i rozliczalność danych przetwarzanych w systemach.
Dokumentowanie bezpieczeństwa
Firma prowadzi dokumentacje w zakresie:
obecnie wykorzystywanych metod zabezpieczeń systemów IT,
budowy sieci IT,
ewentualnych naruszeń bezpieczeństwa systemów IT,
dostępów do zbiorów danych / systemów udzielonych pracownikom.
Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.
Dane osobowe
Szczegółowe wytyczne dotyczące przetwarzania danych osobowych zawarte są w osobnym dokumencie.
Publiczne udostępnianie infrastruktury IT
Infrastruktura IT nie jest udostępniana publicznie.
Kopie zapasowe.
Każde istotne dane są archiwizowane na wypadek awarii w firmowej infrastrukturze IT. Nośniki z kopiami zapasowymi są przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. Okresowo kopie zapasowe są testowane pod względem rzeczywistej możliwości odtworzenia danych.
Dostęp do systemów IT po rozwiązaniu umowy o pracę
W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT.
Naruszenie bezpieczeństwa
Wszelakie podejrzenia naruszenia bezpieczeństwa danych w Firmie należy zgłaszać w formie ustnej lub za pośrednictwem poczty elektronicznej na adres e-mail Firmy.
Każdy incydent jest odnotowywany w stosownej bazie danych, a Aministrator Infrastruktury Firmowej podejmuje stosowne kroki zaradcze.
Weryfikacja przestrzegania polityki bezpieczeństwa.
Firma okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.