Drošības politika

Uzņēmuma drošības politika var ietvert vietnes lietošanas politiku. Tā apraksta, kā uzņēmums plāno izglītot savus darbiniekus par uzņēmuma aktīvu aizsardzību. Tie ietver arī skaidrojumu par to, kā tiks veikti un piemēroti drošības mērījumi, kā arī procedūras efektivitātes novērtēšanai, lai nodrošinātu nepieciešamo korekciju veikšanu.

Drošības politikā ir jābūt norādītiem galvenajiem organizācijas elementiem, kuri ir jāaizsargā. Tas ietver sevī kompānijas tīklu, tās fizisko ēku, kā arī daudz ko citu. Drošības politikā jābūt norādītiem iespējamajiem draudiem šiem priekšmetiem. Apdraudējums var būt no uzņēmuma iekšpuses, kā piemēram, varbūtība, ka neapmierināti darbinieki nozags vērtīgu informāciju vai palaidīs uzņēmuma tīklā iekšēju vīrusu, ja dokumentā galvenā uzmanība tiek pievērsta kiberdrošībai. Alternatīvi, hakerim ārpus uzņēmuma iekļūstot sistēmā, tas var izraisīt datu zudumu, mainīt datus vai tos nozagt. Kā arī, datorsistēmām var rasties fiziski bojājumi.

Identificējot draudus ir jāpārliecinās par to iespējamību, varbūtību, ka tie patiešām notiks. Uzņēmumam ir jādara viss iespējamais, lai noteiktu kā novērst šos draudus. Darbinieku politiku ieviešana, kā arī spēcīga fiziskā un tīkla drošības nodrošināšana ir pasākumi, kuri būtu jāveic. Kad draudi patiešām īstenojas, ir jābūt gatavam plānam kā rīkoties. Datu aizsardzības process ir regulāri jāpārskata un jāatjaunina, kad tajā ienāk jauni cilvēki, drošības politika ir jāizplata visiem uzņēmuma darbiniekiem.

Datu dublēšana nosaka noteikumus un procedūras datu rezerves kopiju veidošanai. Tā ir neatņemama vispārējās datu aizsardzības, uzņēmējdarbības nepārtrauktības un avārijas situāciju novēršanas stratēģijas sastāvdaļa. Tālāk ir norādītas datu dublēšanas politikas galvenās funkcijas.

• Identificē visu informāciju, kas organizācijai ir jādublē;
• Nosaka dublēšanas biežumu, piemēram, kad veikt sākotnējo pilno dublēšanu un kad palaist papildu dublēšanu;
• Definē krātuves vietu, kurā tiek glabāti rezerves dati, konfidenciāla informācija;
• Uzskaita visas lomas, kas ir atbildīgas par dublēšanas procesiem, piemēram, dublējuma administrators un IT komandas locekļi.

Izstrādājot drošības politiku, drošības speciālistiem, jāņem vērā vairākas jomas. Tās ietver:

• Organizācijām, izstrādājot drošības politikas ir svarīgi apsvērt, kā mākonis un mobilā lietojumprogramma tiek izmanta. Izmantojot organizācijas tīklu, dažādu ierīču spektru, arvien vairāk tiek izplatīti dati. izplatīts ierīču tīkls rada palielināto riska skaitu, ko ir svarīgi ņemt vērā;
• Nepareizi klasificējot datus kategorijās, var tikt atklāti vērtīgi līdzekļi vai resursi, kas tiek iztērēti, sargājot datus, kuri nav jāsargā;
• Organizācijai augot, mainoties nozarēm un attīstoties kiberdraudiem, mainās organizācijas vide un riski, kuriem tā ir pakļauta. Lai atspoguļotu šīs izmaiņas, drošības politikai ir jāattīstās;
• Savu kiberdrošības sistēmu piedāvā nacionālais standartu un tehnoloģiju institūts (NIST), kas sniedz norādījumus par drošības politikas izveidi. atklāt, novērst kiberuzbrukumus un reaģēt uz tiem palīdz NIST pieeja uzņēmumiem.

Fiziskās drošības politikas aizsargā visus organizācijas fiziskos aktīvus, tostarp ēkas, transportlīdzekļus, inventāru un iekārtas. Šie līdzekļi ietver IT aprīkojumu, piemēram, serverus, datorus un cietos diskus.

IT fizisko līdzekļu aizsardzība ir īpaši svarīga, jo fiziskajās ierīcēs ir uzņēmuma dati. Ja fizisks IT līdzeklis ir apdraudēts, tajā ietvertā un apstrādātā informācija tiek apdraudēta. Tādā veidā informācijas drošības politikas ir atkarīgas no fiziskās drošības politikām, lai nodrošinātu uzņēmuma datu drošību.

Zemāk ir uzskaitīti daži no vissvarīgākajiem uzņēmuma drošības politikas elementiem:

• izvirzītais mērķis;
• politiku piemērojošā subjekta noteikšana;
• mērķu izklāsts;
• noteikta pilnvaras un piekļuves kontroles politika, kas norāda, kam ir piekļuve kādiem  no resursiem;
• datu klasifikācija, kas iedala tos jutīguma kategorijās – no publiskas informācijas līdz informācijai, kas, izpaužoties, var nodarīt kaitējumu uzņēmumam vai privātpersonai tiek dēvēti par aptvertajiem datiem;
• datu izmantošanas paziņojums, kas nosaka, kā dati ir jāapstrādā – tas ietver datu aizsardzības noteikumu precizēšanu. Kā arī datu dublēšanas prasības un tīkla drošības standartus attiecībā uz datu pārraidi, piemēram, šifrēšanu;
• Ir jāpaziņo, kurš būs atbildīgs par politikas pārraudzību un izpildi, par darbinieku atbildību un pienākumiem;
• darbinieki tiek informēti par drošības paraugpraksi, drošības izpratnes apmācībā, kura ietver izglītību par iespējamiem drošības apdraudējumiem, un datoru drošības paraugpraksi uzņēmuma ierīču lietošanā; tam, lai novērtētu cik labi darbojas drošības politika un kā tiks veikti uzlabojumi, tiks izmantoti efektivitātes mērījumi.
• darbinieki tiek informēti par drošības paraugpraksi, drošības izpratnes apmācībā, kura ietver izglītību par iespējamiem drošības apdraudējumiem, un datoru drošības paraugpraksi uzņēmuma ierīču lietošanā; tam, lai novērtētu cik labi darbojas drošības politika un kā tiks veikti uzlabojumi, tiks izmantoti efektivitātes mērījumi.

Informācijas drošības politikām uzņēmumā var būt šādas priekšrocības:

• Atvieglo datu integritāti, pieejamību un konfidencialitāti — efektīvas informācijas drošības politikas standartizē noteikumus un procesus, kas aizsargā pret vektoriem, kas apdraud datu integritāti, pieejamību un konfidencialitāti;
• Aizsargā sensitīvus datus — Informācijas drošības politikās prioritāte ir intelektuālā īpašuma un sensitīvu datu, piemēram, personu identificējošas informācijas aizsardzībai;
• Samazina drošības incidentu risku — informācijas drošības politika palīdz organizācijām noteikt procedūras ievainojamību un risku identificēšanai un mazināšanai. Tajā arī sīki aprakstītas ātras reakcijas, lai samazinātu bojājumus drošības incidenta laikā;
• Izpilda drošības programmas visā organizācijā — Informācijas drošības politikas nodrošina pamatu procedūru ieviešanai;
• Sniedz skaidru drošības paziņojumu trešajām pusēm — Informācijas drošības politikās ir apkopota organizācijas drošības pozīcija un paskaidrots, kā organizācija aizsargā IT resursus un līdzekļus. Tie atvieglo ātru atbildi uz trešo pušu klientu, partneru un revidentu informācijas pieprasījumiem;
• Palīdz ievērot normatīvās prasības — informācijas drošības politikas izveide var palīdzēt organizācijām noteikt ar normatīvajām prasībām saistītās drošības nepilnības un tās novērst.

Totalizatorslatvija.com drošības politikas mērķis un uzdevumi ir veicināt un nodrošināt, ka:

• tā pamatdarbība un palīgdarbība turpina darboties ar minimāliem traucējumiem;
• visai informācijai, ko izmanto vai glabā Totalizatorslatvija.com, ir absolūta integritāte un pieejamība;
• visa attiecīgā informācija tiek pārvaldīta un glabāta, ievērojot atbilstošas konfidencialitātes procedūras;
• visi organizāciju informācijas līdzekļi ir aizsargāti pret jebkādiem iekšējiem vai ārējiem, apzinātiem vai nejaušiem apdraudējumiem.

Drošības politikas pamatmērķis ir aizsargāt cilvēkus un informāciju, noteikt noteikumus paredzamajai lietotāju rīcībai, definēt pārkāpuma sekas. Tai ir jāaizsargā ierobežoti, konfidenciāli vai sensitīvi dati no zaudēšanas, lai izvairītos no reputācijas kaitējuma un negatīvas ietekmes. Šajā politikā ir izklāstītas prasības attiecībā uz datu noplūdes novēršanu.

Dati ir viens no organizācijas svarīgākajiem aktīviem. Tie vienmēr tiek ģenerēti un pārsūtīti organizācijas tīklā, un tos var atklāt neskaitāmos veidos. Drošības politika nosaka organizācijas stratēģiju datu un citu līdzekļu aizsardzībai.

Drošības vadītājiem, piemēram, galvenajiem informācijas drošības darbiniekiem, ir jānodrošina, lai darbinieki ievērotu drošības politiku, lai aizsargātu uzņēmuma īpašumus. Ja tas netiek darīts, var rasties šādas sekas:

• apdraudēti klienta dati;
• naudas sodi un citas finansiālas sekas; 
• kaitējums uzņēmuma reputācijai;
• labas kiberdrošības stratēģijas sākas ar labu politiku. Labākās politikas preventīvi risina drošības apdraudējumus, pirms tiem ir iespēja notikt.

Drošības politika palīdz nodrošināt datu konfidencialitāti, integritāti un pieejamību. To bieži izmanto, lai aizsargātu sensitīvus klientu datus un personu identificējošu informāciju.

Datu pārkāpumi un citi informācijas drošības incidenti var negatīvi ietekmēt organizācijas reputāciju.

Totalizatoriem jānodrošina atbilstību juridiskajām un normatīvajām prasībām. Daudzas juridiskas prasības un noteikumi ir vērsti uz sensitīvu informāciju. Piemēram, maksājumu karšu nozares datu drošības standarts nosaka, kā organizācijas apstrādā patērētāju maksājumu karšu informāciju. Šo noteikumu pārkāpšana var izmaksāt dārgi.