Drošības politika

Politikas mērķis ir aizsargāt uzņēmumu no visa veida apdraudējumiem. Konfidenciālai informācijai drīkst piekļūt tikai personas, kurām tā pieder vai arī uzņēmuma darbinieki, kuriem tas atļauts darba specifikas ietvaros. Mēs vienmēr daram visu iespējamo, lai saglabātu informāciju drošībā un novērstu jebkāda veida noplūdi. 

Uzņēmumi sastāda drošības politiku vairāku iemeslu vadīti:

• lai veidotu vispārīgu piekļuvi informācijas drošībai;
• atklāt un novērst informācijas drošības apdraudējumus, piemēram, datu, tīklu un lietojumprogrammu ļaunprātīgu izmantošanu;
• uzņēmuma reputācijas aizsardzībai, ievērojot juridiskos un ētiskos procesus;
• nodrošinātu efektīvus mehānismus, lai atbildētu uz sūdzībām un jautājumiem par patiešām vai šķietamām neatbilstībām politikai, lai Ievērot klientu tiesības.

Drošības politika ir viens no pašiem svarīgākajiem uzņēmuma informācijas aizsardzības elementiem. Kompānijas labākie speciālisti var pavadīt ilgstošu laika periodu izveidojot nevainojamus darba procesus, ieviešot visjaunākās tehnoloģijas, tomēr tie darbojas tikai tad, ja cilvēki tos izmanto un ievēro. Drošības aizsardzības vājākā daļa ir uzņēmuma darbinieki.

Katrs uzņēmuma darbinieks nes atbildību par drošības politikas ievērošanu. Kā arī katrs interneta vietnes lietotājs reģistrējot kontu piekrīt mājaslapas drošības politikai. Visi kompānijas darbinieki ir atbildīgi par informācijas drošības prasību ievērošanu. Drošības politikas galvenais uzdevums ir neļaut ļaunprātīgiem lietotājiem piekļūt konfidenciālai informācijai un vienlaikus mazināt riska iespējas dodot piekļuvi sensitīviem datiem tikai uzņēmuma darbiniekiem, kuri bez šāda veida piekļuves nevar veikt savus darba pienākumus. Sākotnējā politikas izveides posma laikā uzņēmumam ir jāsaprot, kāda informācija ir pieejama katram no darbiniekiem, kāds ir iepējamais kaitējuma apmērs un  kādi aizsardzības līdzekļi jau ir ieviesti, vēl ir jāievieš. Drošības politikā ir norādīts kā personālam jārīkojas dažādās situācijās.

Oficiālā lietotāju reģistrācija tiek lietota, lai ai piekļūtu visām informācijas sistēmām un pakalpojumiem. Lai sensitīvas informācijas drošība būtu garantēta no abām pusēm, gan darbiniekam, gan lietotājam pieslēdzoties sistēmai ir jāizmanto obligātās autentifikācijas metodes. Apzinātas sistēmas ļaunprātīgas izmantošanas risku samazināšanai tiek ieviesta īpašas kontrole.

Drošības politikas ietvaros tiek veikts riska novērtējums un tiek izvērtēti drošības pasākumi riska situāciju novēršanai. Tā arī definē pasākumus, kuri uzņēmumam jāveic, lai tā darbinieki būtu apmācīti un sagatavoti pārvarēt riska situācijas ar pēc iespējas mazākiem zaudējumiem un kaitējumu. 

Pieredzējušākie darbinieki saņem plašāku piekļuvi sensitīvai informācijai nekā jaunie darbinieki. Tikai vadības apstiprināti darbinieki var skatīt un veikt noteiktu ierakstu grozījumus. Piekļuves atļaujas ir jāizmanto, lai aizsargātu informāciju neatkarīgi no tā, kur tā tiek glabāta.

Datu aizsardzības līmeņa noteikšanas process ir informācijas klasifikācija. Uzņēmumos parasti tiek klasificēta informācija balstoties uz konfidencialitātes līmeni. Parasti tā tiek klasificēta četros līmeņos:

• Konfidenciāla (informācija, kurai piekļuve ir tikai augstākajai vadībai);
• Ierobežota (dati, kuriem lielākajai daļai uzņēmuma darbinieku ir piekļuve);
• Iekšējā (visiem darbiniekiem ir piekļuve);
• Publiskā informācija (piekļuve ir visiem).

Uzņēmuma vadītājiem ir jānosaka informācijas klasifikācija un precīzi pasākumi, kas ir jāveic datu glabātājam, lai saglabātu konfidenciālas informācija aizsardzību atbilstoši līmenim.

Trīs galvenie mērķi, ko nodrošina informācijas drošība:

• Konfidencialitāte –  datiem un informācijas līdzekļiem ir jābūt pieejamiem tikai tām personām, kurām ir atļauta piekļuve, un tie nedrīkst atklāt to citiem;
• Integritāte – dati tiek saglabāti precīzi, neskarti un pilnīgi;
• Pieejamība: informācija vai sistēma ir pieejama pilnvarotiem lietotājiem pēc vajadzības.

Drošības apsvērumu dēļ piekļuve uzņēmuma serverim un tīklam ir jānodrošina izmantojot īpašus pieteikšanās vārdus, kuriem ir vajadzīga paroļu autentifikācija. Kā arī ir jāveic visa veida pieteikšanās mēģinājumu reģistrācija (neatkarīgi no tā vai tā ir veiksmīga, vai arī nē). Jāsaglabā visi dati ar precīziem pieteikšanās un atteikšanās datumiem un laikiem. Lai gan ne vienmēr tas garantē drošības uzlabošanos, saprātīgs ieteikums ir ik pa laikam drošības politiku atjaunināt.

Datu dublēšana

Katrā uzņēmumā ir ieteicams veikt datu dublēšanas jeb informācijas rezerves kopijas nodrošināšanu. Tā ir ārkārtas situāciju datu aizsardzības neatņemama daļa. Galvenās datu dublēšanas funkcijas ir: identificēt datus, noteikt rezerves kopiju biežumu un noteikt vietu, kur rezerves informācija tiek glabāta.

Datu aizsardzības noteikumi

Lai aizsargātu personu identificējošu informāciju un citus sensitīvus datus, katram uzņēmumam ir jāievieš pasākumu kopums. Šiem pasākumiem ir jāatbilst drošības un tiesiskajiem standartiem. Uzņēmumam ir jānodrošina datu šifrēšana un aizsardzība pret ļaunprātīgu to izmantošanu.

Datu pārvietošana

Ikreiz, kad uzņēmums pārvieto savus datus, tam ir jānodrošina to drošība. Datu pārsūtīšana var notikt tikai drošos tīklos, informācijai ir jābūt šifrētai un kopētai uz portatīvajām ierīcēm.

Ieceļot personas atbildīgos amatos ir jākoncentrē uzmanība uz viņu pieredzi un atbildības sajūtu. Šīs personas turpmāk veiks izglītošanu, lietotāju piekļuves kontroli, reaģēs avarijas situāciju gadījumos un veiks politikas atjaunināšanu. Šie visi pasākumi ir nepieciešami, lai novērstu informācijas zādzību un lai aizsargātu datus.

Drošības politika var ietvert vairākus elementus, tādus kā: vīrusu aizsardzības procedūru, ielaušanās atklāšanas procedūru, reaģēšanu uz incidentiem, disciplināras darbības un citus.

Klienta dati ir viena no vissvarīgākajiem informācijas līdzekļiem, kas ir jāsargā katram uzņēmumam. Katrs lietotājs reģistrējot spēlētāja kontu totalizatoru vietnē vēlas, lai viņa dati būtu drošībā. Spēlētāju tiesības ir zināt, ka kompānija ievēto datu aizsardzību un lietotāja informācija paliek konfidenciāla. Tas ir veiksmīgas sadarbības pamatā, jo klients ievadot savus datus parāda, ka uzticās uzņēmumam. 

Tādiem uzņēmumiem, piemēram, kā totalizatoriem ir jāatbilst normatīvajām un juridiskajām prasībām. Lielākā daļa noteikumu un juridisko prasību ir vērstas uz sensitīva rakstura informāciju. Totalizatoru vietnēs klienti ne vien uzrāda savus karšu numurus, bet arī ielādē karšu fotogrāfijas, kā apstiprinājumu, ka tās pieder tieši viņiem. Maksājumu drošības standartu pārkāpšana uzņēmumam var izmaksāt ļoti dārgi, tāpēc drošības politika ietver datu aizsardzību.

Ēkas, transportlīdzekļus, inventāru un iekārtas aizsargā fiziskā drošības politika. Tajā skaitā tiek ieverti arī serveri, datori un IT aprīkojums. Kāpēc IT fizisko līdzekļu aizsardzība ir tik svarīga? Tas ir tāpēc, ka fiziskajās ierīcēs tiek glabāti uzņemuma dati, tajā skaitā arī klienta. Gadījumā, ja fiziskās ierīces ir apdraudētas, tas nozīmē, ka arī visi dati tajos ir riska zonā. Informācijas drošības politika ir cieši saistīta ar fiziskās drošības politiku, lai uzņēmums varētu nodrošināt augstus dati aizsardzības standartus. Datu nozaudēšana ir smags trieciens uzņemuma reputācijai, tāpēc katra kompānija pieliek maksimālas pūles, lai izbēgtu šādu situāciju rašanos.

Informācijas drošības politika ir noteikumu kopums, ko ievieš organizācija, lai nodrošinātu, ka visi organizācijas domēna tīklu vai IT struktūras lietotāji ievēro prasības attiecībā uz digitāli uzglabāto datu drošību organizācijas pilnvaru robežās. Ik pēc laika ir jāveic Iekšējā drošības pārvaldības sistēmas efektivitātes pārbaude. Ja organizācijā notiek būtiskas izmaiņas, drošības politika tiek pārskatīta. Noteikti ir nepieciešama laba informācijas drošības politika, ja vadāt plaukstošu uzņēmumu. Pazīstot savu klientu, katrs totalizators vai jebkura cita kompānija zina, ka personīgā informācija ir jāaizsargā ar visiem iespējamajiem līdzekļiem, jo pazaudētu klienta uzticību ir gandrīz neiespējami atgriezt.