Политика по информационна сигурност раздел I общи положения



Дата24.10.2018
Размер119 Kb.
#96123


ПОЛИТИКА ПО ИНФОРМАЦИОННА СИГУРНОСТ
Раздел I

ОБЩИ ПОЛОЖЕНИЯ


  1. Ръководството в лицето на ръководните органи и членове на Сметна палата, официално декларира Политиката по информационна сигурност на информационната система на Сметна палата.

  2. Политиката е документирана и огласена пред служителите, които имат достъп до информацията и информационните системи на Сметна палата. Политиката е одобрена от Ръководството в лицето на ръководните органи и членовете на Сметна палата и се прилага в рамките на институцията.

  3. Създава се Експертен съвет по информационна сигурност, наричан за кратко „Съвет/а“. Съветът ръководи и контролира дейностите, свързани с постигане на мрежова и информационна сигурност на Сметна палата в съответствие с нормативната уредба, политиките и целите за мрежова и информационна сигурност. Съставът на Съвета се определя със заповед на председателя на Сметна палата, а неговите функции се определят с вътрешни правила.

  4. Създава се постоянно действаща работна група към Съвета, което подпомага неговата работа, разработва и предлага за утвърждаване правила, инструкции, процедури и указания, произтичащи от настоящата политика и действащите нормативни актове в областта на информационната сигурност. Съставът на постоянно действащата работна група се определя със заповед на председателя на Сметна палата, а нейните функции се определят с вътрешни правила.

  5. Настоящата политика задава рамката на система от мерки, насочени към:

  • гарантиране на конфиденциалност на информацията, чрез прилагане на одобрени ограничения върху достъпа и разкриването на информация;

  • осигуряване на цялостност на информацията, чрез защита срещу неправомерни изменения или разрушаване на информация;

  • осигуряване на достъпност на информацията, чрез осигуряване на надежден и навременен достъп;

  • постигане на отчетност на информацията, чрез въвеждане на контрол върху достъпа и правата върху информационните ресурси.


Раздел II

ЦЕЛИ

  1. Целите на настоящата политика са:

  • осигуряване на непрекъснатост на работните процеси;

  • минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на Сметна палата;

  • минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;

  • осигуряване на необходимите ресурси за поддържане на ефективно управление на информационната сигурност;

  • информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;

  • осигуряване на съответствие с нормативни изисквания.

5. Ръководството в лицето на ръководните органи на Сметна палата ще прилага следните основни принципи при управление на информационната сигурност:

5. 1. От законова гледна точка:



  • защита на данни и неприкосновеност на лична информация;

  • опазване на архивите на институцията;

  • защита на авторски права, търговска информация и други права върху интелектуална собственост.

5.2. От общоприетите добри практики за информационна сигурност:

  • разработване на политика по информационна сигурност;

  • разпределяне на отговорностите по информационна сигурност;

  • обучение по информационна сигурност;

  • докладване на инциденти, свързани със сигурността;

  • управление непрекъснатостта на работа;

  1. При осигуряването на информационна сигурност, Сметната палата се стреми да прилага международния стандарт ISO 27001:2005, който задава изисквания към системи за управление на сигурността на информацията за всякакъв тип организации.

  2. Стратегическа цел на Сметната палата за въвеждане на тази политика е, че тя дефинира мястото и по отношение на мисията и целите на Сметна палата и установява общи правила за поведение.

Раздел III
ОБХВАТ НА СИСТЕМАТА ЗА УПРАВЛЕНИЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

    • Системата за управление на информационната сигурност обхваща всички документи - електронни и на хартиен носител, както и:

    • бази данни;

    • компютри – настолни и преносими;

    • софтуерни активи;

    • локална мрежа и мрежи в изнесените работни места;

    • всички WEB базирани и други информационни системи на Сметна палата;

    • носители на информация (дискови масиви,дискове, USB памети и др.);

    • устройства за копиране и предаване на данни;

    • комуникационни устройства;

    • инфраструктура на Сметна палата (електрозахранване, кабели за локална мрежа и др.);

    • служители;

  1. Системата за управление на информационната сигурност обхваща всички структурни звена и изнесени работни места на Сметна палата.

  2. Тази политика не се отнася за документи и процеси свързани с класифицирана информация и попадащи под обхвата на ЗЗКИ.

Раздел IV

ПРИОРИТЕТИ

  1. Ръководството в лицето на ръководните органи на Сметна палата насочва внимание и полага усилия:

  • критичната (чувствителната) информация и системи да бъдат подлагани на редовен анализ по отношение на риска;

  • за критичните (чувствителни) информационни ресурси и системи да бъдат определени служители, отговорни за конкретните работни приложения, компютри и мрежи;

  • информацията да бъде класифицирана по начин, който показва нейната критичност и чувствителност;

  • служителите да бъдат информирани и да осъзнават проблемите на информационната сигурност;

  • да бъде създадена организация на работа, която гарантира спазване на авторски права на компютърния софтуер, както и условията за работа с тях.

  • нарушаването на политиката по сигурността и евентуалните недостатъци в системата за информационна сигурност да бъдат докладвани;

  • информационните ресурси да бъдат защитавани от гледна точка на изискванията за конфиденциалност, цялостност и достъпност.

  1. Въвеждането и спазването на политиката по информационна сигурност цели да се забранят:

  • използването на информацията и системите на организацията без оторизация или за цели, които нe са свързани с дейността й;

  • изнасяне на оборудване или информация от изнесените работни места без оторизация;

  • неоторизирано копиране на информация и софтуер;

  • компрометиране на пароли (например със записване или разпространяване);

  • използване на персонална информация за други цели, освен ако няма изрична оторизация;

  • фалшифициране на доказателства в случай на инцидент.

  • отправяне на неприлични, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);

  • разпространение на незаконни материали (например с неприлично или дискриминационно съдържание).

Раздел V

ОТГОВОРНОСТИ

  1. За осъществяване на настоящата политика и за осигуряване на информационната сигурност, ръководството в лицето на ръководните органи и членове на Сметна палата определя следните отговорности:

    1. Съветът, по предложение на постоянно действаща работна група по т. 4:

  • формулира, преглежда и предлага за изменение Политиката по информационна сигурност;

  • оценява потребностите и планира необходимите ресурси за осигуряване на информационната сигурност;

  • разпределя ролите и отговорностите, свързани със сигурността на информацията, изготвя план за действие и планове за обучение;

  • координира прилагането на мерки за защита и информационна сигурност.

    1. Системни администратори, които:

  • отговарят за управление и поддържане на интранет, интернет, електронна поща, сървъри, локална мрежа, архивиране, техническа защита (софтуер и хардуер) от вреден софтуер; нива на достъп; проследимост на включване и опити за включване; изготвяне и поддръжка на цялостната документация, свързана с администрирането на информационната система и нейните подсистеми.

    1. Отговорник по сигурността, който:

  • изпълнява възложени дейности, свързани с прилагане на Политиката и мерките по осигуряване на информационна сигурност;

  • прилага набелязаните мерки за поддържане на информационната сигурност и следи за тяхната ефикасност при изменения в информационната система.

  • при възникнала необходимост предлага нови, спешни и ефикасни мерки за подобряване на сигурността.

    1. Потребители:

  • потребителите на информационната система, се задължават да следват процедурите, инструкциите и заповедите, свързани с информационната сигурност, да докладват за проблеми и инциденти в информационната система.


Раздел VI

ОЦЕНКА НА РИСКА

  1. Оценката на риска се прилага за всеки актив на Сметна палата или извън нея, обхванат от споразумение с трета страна. Оценката на риска се прилага към цялата информационна система и включва приложения, сървъри, мрежа, всеки процес или процедура, чрез които системата се администрира и/или поддържа.

  2. Идентифицирането и оценката на риска се извършва на базата на разработени и утвърдени в Сметна палата Стратегия за управление на риска и Указания за управление на риска.

  3. Постоянно действащата работна група по т. 4 извършва идентифициране, оценка и управление на рисковете, свързани с информационната сигурност на Сметна палата, като документира процеса в утвърдената форма – риск-регистър.

  4. Резултатите от оценката на риска определят мерките за контрол за намаляване на риска в съответствие с нивата на риска.

  5. Оценката на риска се извършва периодично, за да бъдат отчетени измененията в изискванията за сигурност, активите, заплахите, уязвимостите, въздействията или други настъпили промени.

Раздел VII

ВЪТРЕШНА ОРГАНИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

  1. Ръководството в лицето ръководните органи и членове на Сметна палата провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.

  2. Разпределяне на отговорностите по сигурността на информацията се извършва в съответствие с приета от Сметна палата Политиката информационна сигурност.

  3. Отговорностите на служителите се определят в съответствие с настоящата политика, в правила, заповеди или в длъжностните им характеристики.

  4. Постоянно действащата работна група т. 4 предлага на Съвета за одобрение разпределението и документирането на отговорностите за изпълнението на следните дейности:

  • защита на активите;

  • поддръжка на ключови ресурси на организацията - мрежа, сървъри, потребителски заявки;

  • закупуване, изменения и поддръжка на софтуерните ресурси;

  • закупуване, изменения и поддръжка на хардуерни компоненти;

  • правила за поддръжка на инфраструктурата, вътрешния ред и контактите с външни организации;

  • управление на инциденти;

  • непрекъснатост на дейността;

  • сключване на споразумения за поверителност с трети страни и изисквания за защита на поверителната информация на организацията.

Раздел VIII

УПРАВЛЕНИЕ НА АКТИВИТЕ

  1. Политиката се отнася до служители, договарящи страни, консултанти, временно работещи за Сметна палата (стажанти) и други, включително и служители на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от Сметна палата.

  2. Политиката на Сметна палата за използване на активите цели не да налага ограничения, противоречащи на установената култура на откритост и доверие, а да защитава служителите на Сметна палата, нейните партньори и самата нея от незаконни и увреждащи действия, извършени предумишлено или несъзнателно.

  3. Системите, свързани с интранет, интернет, локална мрежа, включително компютърното оборудване, приложния софтуер, операционните системи, средствата за съхранение на информация, електронната поща и други са собственост на Сметна палата. Тези системи са предназначени да се използват за целите на дейността и в интерес на организацията.

  4. Данните, които потребителите обработват и съхраняват при изпълнение на служебните се задължения в корпоративната система са собственост на Сметна палата и/или на проверяваните обекти.

  5. За всяка друга информация, съхранявана на технически средства на Сметна палата не се гарантира конфиденциалност. Служителите са задължени да правят добра преценка относно разумността на съхраняване на информация върху служебни технически средства за лична употреба.

  6. За целите на сигурността и поддръжката на мрежата, системните администратори наблюдават оборудването, системите и мрежовия трафик по всяко време.

  7. Сметна палата си запазва правото чрез системните администратори да деинсталира всякакъв софтуер или файлове, които не са свързани със служебните задължения на потребителя. Примери за такъв софтуер или файлове включват, но не се ограничават до: игри, музикални файлове, файлове с изображения, споделени и безплатни програми, и др.

  8. Сметна палата си запазва правото периодично да одитира мрежите и системите, за да провери спазването на тази политика.

  9. Потребителите, имащи достъп до информацията, разположена в системите свързани с интернет/локална мрежа са длъжни да спазват политика за чисто бюро, чист екран и защита на ненадзиравани устройства.

  10. Служителите трябва да прилагат изключително внимание когато работят с електронната поща, за да се предпазят от вируси, троянски коне и друг вредоносен софтуер.


Раздел IX

СИГУРНОСТ, СВЪРЗАНА С ЧОВЕШКИТЕ РЕСУРСИ

  1. Сигурността на човешките ресурси на Сметна палата е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност чрез адекватно дефиниране на отговорности и обучение.

  2. Администрирането на човешките ресурси обхваща целия процес - от проучване на кандидатите, назначаване, определяне на задълженията, промяна на длъжността и до прекратяване на договорите включително и се извършва в съответствие с Правилника за подбор, назначаване, обучение, оценка на трудовото изпълнение и професионалното развитие на служителите на Сметната палата.

  3. Всички одитори и служители на Сметна палата се задължават да спазват утвърдените правила и процедури, свързани с информационната сигурност, определени в политиката и вътрешните актове на Сметната палата. Това обстоятелство се удостоверява чрез декларация, която служителите подписват при постъпване на работа по реда на чл. 34 от Закона за Сметната палата.

  4. В договорите с лица, по силата на които последните обработват информация на Сметна палата, задължително се включват клаузи за спазване на конфиденциалност, а физическите лица, които фактически изпълняват дейностите, подписват декларации за конфиденциалност, съгласно Приложение № 1.


Раздел X

ФИЗИЧЕСКА СИГУРНОСТ, СИГУРНОСТ НА ЗАОБИКАЛЯЩАТА СРЕДА И КОНТРОЛ НА ДОСТЪПА
36. Информационните системи, които поддържат критични за Сметна палата дейности, притежават подходяща физическа сигурност. Никакви конфиденциални материали в електронен формат не се оставят в неконтролирана среда и са защитени срещу случаен достъп.

37. Оборудването, което поддържа критични функции, се защитава физически от заплахи за сигурността и влияние на рискове от околната среда за предотвратяване на загуби, щети или излагане на риск на активи и прекратяване на основни дейности. Това включва информационно, комуникационно, мрежово оборудване, оборудване за съхранение на данни, захранващо оборудване и оборудване за контрол на околната среда. Определени са физически периметри (зони), в които е разположено такова оборудване и достъпът до тях е строго ограничен и контролиран /издадена е Заповед за определяне на зони за сигурност/.

38. Защитата на физическата сигурност се базира на непрекъснатостта на външната граница (конструкция от плоча до плоча) и на подходящ контрол на достъпа (ключове за ограничен достъп, входни точки за служителите, секретни ключалки, дневник за достъп, видеонаблюдение).

39. Изнасянето извън сградите на Сметна палата на информационните активи /собственост на Сметна палата/ изисква разрешение от съответния ръководител и подлежи на проверка.

40. Служебна информация не се оставя без надзор или контрол, което означава видима на екран.

41. Когато използването на дадено оборудване се прекрати, всички ключове, идентификационни карти и други устройства и пароли за достъп се връщат и отчитат.

42. При всички положения, когато информационната инфраструктура и/или физическата среда за разполагане, използвана от Сметна палата е споделена или не е под пряк контрол, се гарантира с договорни условия, че настоящата политиката за информационна сигурност ще се спазва. Спазването на тези условия се проверява на място периодично и се включва в извършваните одити по сигурността.

43. Физическият достъп до ИТ съоръженията и комуникационното оборудване на Сметна палата се извършва от и/или в присъствие на служители на Сметна палата.

44. Средствата за контрол на физическата сигурност се използват и при защита на копирни машини, факсове и мрежови принтери,.

45. Всички информационни системи на Сметна палата работят във физически условия, дефинирани от техните производители.

46. Сървърите на Сметна палата са оборудвани със системи за климатизация, подходящо оразмерени и резервирани. Осигурени са със системи за пожароизвестяване и пожарогасене. Сървърното помещение следва да е оборудвано с непрекъсваеми захранващи устройства, подходящо оразмерени и резервирани.

47. Сметна палата създава поддържа и осигурява условия за безопасна работа в съответствие със Закона за здравословни и безопасни условия на труда.


Раздел XI

РАЗРАБОТВАНЕ, ВНЕДРЯВАНЕ И ПОДДЪРЖАНЕ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ

48. Политиката на Сметна палата по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система.

49. С цел предотвратяване на грешки, загуба, неразрешено изменение или използване на информация в приложни информационни системи, се прилагат механизми за контрол върху входните данни, вътрешната обработка и изходните данни.

50. Разработването и внедряването на информационни системи се предхожда от анализ за необходимостта от тях, както и от ясно и конкретно дефиниране на процесите, които съответните системи предстои да обслужват.



Раздел XII

УПРАВЛЕНИЕ НА ИНЦИДЕНТИ И ПОДОБРЯВАНЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА

51. В Сметна палата следва да се събират данни и да се извършва анализ на вида и броя на инцидентите, на направените разходи по разрешаване на инцидентите. Целта е да се идентифицират повтарящите се инциденти или инцидентите с голямо влияние, да се ограничат честотата, щетите и загубите от появата им в бъдеще.



Раздел XIII

ОСИГУРЯВАНЕ НА НЕПРЕКЪСНАТОСТТА НА ДЕЙНОСТТА

52. Ръководството в лицето ръководните органи и членове на Сметна палата оценява необходимостта от планиране непрекъснатостта на дейността. Осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси, базирани на технологии и силната зависимост от информационните технологии, е основание за създаване на план за непрекъснатост на работа.

53. Сметна палата създава условия и следи за непрекъснатост на работата на критичните ресурси на системата при настъпване на сериозни неблагоприятни условия и опасност за прекъсване, по-голямо от 8 часа.

Раздел XIV

ПРИДОБИВАНЕ И ПОЛЗВАНЕ НА ЛИЦЕНЗИ

54. Сметна палата създава организация на работа, която гарантира спазване на авторски права на компютърния софтуер, както и условията за работа с тях. Институцията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в изнесените работни места или на друго място, освен ако не съществува изрично разрешение за това, съгласно договора с лицензодателя.

55. Служителите използват софтуера по начин, който съответства на условията в договора, с който са предоставени лицензите.

56. Компютрите на Сметна палата са активи, нейна собственост, използват лицензиран софтуер и са защитени от вируси.

57. Забранява се на потребителите да внасят софтуер отвън и да го инсталират на своите компютри. Ползваният от Сметна палата софтуер не може да бъде изнасян от потребителите и качван на други компютри.

58. Всички потребители използват наличния софтуер, при спазване на условията на съответните лицензионни договори.



Раздел XV

ЗАЩИТА НА АВТОРСКИТЕ ПРАВА

59. Политиката на Сметна палата за защита на авторските права е изцяло съобразена със Закона за авторското право и сродните му права.


Раздел XVI

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

60. Политиката на Сметна палата за защита на личните данни е изцяло съобразена със Закона за защита на личните данни.



Раздел XVII

ЗАКЛЮЧЕНИЕ

61. Настоящата политика се предоставя на трети страни, които имат достъп до информацията и системите на организацията, с цел запознаване и недопускане на инциденти, които да поставят в риск сигурността.

62. Настоящата политика се преразглежда от Съвета, с цел гарантиране на нейната уместност, адекватност и ефективност регулярно, но не по-малко от веднъж годишно и в случай на законови, организационни и технически промени.

63. Всеки служител, който прецени, че има злоупотреба с настоящата политика, уведомява незабавно Съвета.

64. Ролите във връзка с отговорностите по провеждане на политиката по информационна сигурност се разпределят за изпълнение от конкретни длъжностни лица чрез правила, заповеди, допълнение на длъжностни характеристики или по друг подходящ начин.

65. Служителите на Сметна палата се задължават да спазват всички вътрешни актове, издадени във връзка с информационната сигурност.

66. Постоянно действащата работна група по т. 4 изготвя, а Съветът одобрява план за действие за постигане на заложените в политиката цели чрез определяне срокове, отговорни структурни звена и/или длъжностни лица.

Настоящата политика е приета с решение на Сметната палата № 109/18.05.2017 г., и влиза в сила от 01.06.2017 г.



Приложение № 1

Към чл. 35
ДЕКЛАРАЦИЯ ЗА КОНФИДЕНЦИАЛНОСТ

От: ……………………………………………………………………………………………., в качеството на упълномощен представител на …, със седалище и адрес на управление: град …, ул. ”…” № …, ЕИК …, представлявано от …., ИЗПЪЛНИТЕЛ по договор за със СМЕТНА ПАЛАТА, гр. София, ул. ”Екзарх Йосиф” № 37, данъчен номер 1223066395, БУЛСТАТ 121004469, представлявана от Цветан Цветков - Председател на Сметната палата, като ВЪЗЛОЖИТЕЛ



на основание чл. ... от Договора, декларирам, че :

1. Се задължавам да не разгласявам конфиденицална информация, получена от ВЪЗЛОЖИТЕЛЯ, станала ми известна в процеса на работата ми по изпълнението на Договора.

2. Конфиденциална информация по смисъла на настоящата Декларация е всяка информация, получена в писмен, устен или електронен вид, която се обработва в Сметна палата, включително информация относно лични данни, собственост, сделки, финансовото състояние и други за всички лица, за които се отнася тази информация.

3. Разгласяване на конфиденциална информация по смисъла на настоящата Декларация представлява всякакъв вид устно или писмено изявление, предаване на информация на хартиен, електронен или друг носител, включително по поща, факс или електронна поща, както и всякакъв друг начин на разгласяване на информация, в това число чрез средствата за масово осведомяване, печатните издания или Интернет.

4. Задължението за запазване на конфиденциалност има действие от датата на действие на договора и е без ограничение във времето.

5. Задължавам се да пазя конфиденциалната информация добросъвестно, за да предпазя разпространяването и публикуването й от лица, които нямат правото да я разпространяват и публикуват.

6. Задължението за запазване на конфиденциалност няма да се прилага по отношение на информация, която е предадена по искане на компетентен орган, както и по отношение на информация, която е била публично оповестена или е била придобита от трети лица.

7. Задължавам се да върна на ВЪЗЛОЖИТЕЛЯ всички предоставени ми от него хартиени и/или електронни документи, предоставени ми по повод изпълнение на задължения по Договора.

Декларатор: ..........................................................................................................................

(трите имена, длъжност, подпис)





Каталог: articles -> download
download -> Закон за върховната сметна палата на 14 декември 2005 г се навършват 125 години от приемането на първия Закон за Върховната сметна палата
download -> Одитен доклад №0400005712 за извършен одит за съответствие на декларираните приходи
download -> Одитирани обекти и дейности от сметната палата І. Първостепенни и второстепенни разпоредители с бюджетни кредити
download -> Закон за върховната сметна палата на българия уважаеми господин председател на Народното събрание
download -> Указания за финансов одит
download -> За извършен финансов одит на годишния финансов отчет
download -> Сборник документи издател на поредицата "архивите говорят": главно управление на архивите при министерския съвет


Сподели с приятели:




©obuch.info 2024
отнасят до администрацията

    Начална страница