О Моцарту

Политика информационе безбедности

I           Увод

  1. Информација постоји у различитим формама. Она може бити одштампана или написана на папиру, сачувана у електронском облику, пренесена путем поште или коришћењем електронских средстава, приказана на филму и изговорена. Без обзира на форму у којој се појављује или на средство помоћу којег је пренесена или сачувана, она треба увек да је заштићена на одговарајући начин.
  2. Информациона безбедност се остварује применом одговарајућег скупа административних, техничких и физичких контрола, које обухваћају политике, процесе, поступке, организационе структуре, софтверске и хардверске функције.
  3. Главни циљеви информационе безбедности су:
  • Поверљивост (енг. Цонфидентиалитy) – Особина информације да је доступна искључиво овлашћеним корисницима или процесима.
  • Интегритет (енг. Интегритy) – Особина информације да могу да је измене искључиво овлашћени корисници или процеси.
  • Доступност (енг. Аваилабилитy) – особина информације да је доступна овлашћеним корисницима или процесима онда када за то постоји пословна потреба.
  1. Други циљеви информационе безбедности су:
  • Идентификација (енг. Идентифицатион) – Једнозначна идентификација корисника или процеса система или апликације.
  • Провера идентитета (енг. Аутхентицатион) – Потврда да је корисник система или апликације идентификована особа или процес.
  • Примена овлашћења (енг. Аутхоризатион) – Додела одговарајућих овлашћења кориснику или процесу у оквиру система или апликације након што се успешно заврши идентификација и провера идентитета.
  • Одговорност за урађено (енг. Аццоунтабилитy) – Извршене активности у оквиру система или апликације које су релевантне за сигурност морају да буду забележене и доказиве. 

II          Контекст организације

  1. Моззарт је компанија за приређивање игара на срећу која послује у региону Источне Европе и на другим тржиштима. За потребе пословања креиран је свеобухватан информациони систем за производњу, одржавање и надоградњу софтвера за приређивање игара на срећу на уплатним местима и он-лине.
  2. У регистру идентификованих заинтересованих страна су дефинисани захтеви заинтересованих страна који су релеватни за безбедности информација.
  3. Опсегом ИСМС-а су обухваћене активности компаније с циљем приређивања игара на срећу, а у складу са креираном Изјавом о примењивости (енг. Статемент Оф Апплицабилитy – СоА).
  4. ИСМС систем је успостављен, имплементиран, континуирано се одржава и унапређује у складу са захтевима ИСО27001:2013 стандарда.

III         Политика информационе безбедности

  1. Руководство компаније одобрава Политику информационе безбедности. Политика је објављена и саопштена свим запосленима и трећим странама.
  2. Специфичне улоге и одговорности информационе безбедности утврђују се документима нижег нивоа, описима рада и уговорима запослених.
  3. Моззарт редовно преиспитује Политику информационе безбедности и по потреби је допуњава када се уоче нове претње или промене у окружењу, препознају нове најбоље праксе информационе безбедности, десе велике промене у инфраструктури, услугама, организационој структури или као резултат независних интерних или екстерних налаза провере ИСМС-а.

IV         Подршка руководства

  1. Руководство компаније признаје да програм информационе безбедности постоји да би се подржали пословни захтеви за успешно и конкурентно пословање компаније, као и због усаглашавања са релевантним стандардима, законима и прописима тржишта на којима компанија послује. Такође, руководство компаније потврђује чињеницу да је његова подршка кључна за остваривање компанијских циљева информационе безбедности и ефикасно планирање, имплементирање и одржавање контрола информационе безбедности.
  2. Руководство компаније даје пуну подршку у развоју и спровођењу активности информационе безбедности.

IV.1      Организационе улоге

  1. Моззарт континуирано ради на препознавању ризика информационе безбедности на свим тржиштима у координацији са ИСМС тимовима, креирању мера за третирање ризика информационе безбедности, као и на координацији активности за њихово успостављање и имплементацију.
  2. ИСМС тимови су формирани на свим тржиштима с циљем ефикасног спровођења активности информационе безбедности.
  3. Сви запослени су одговорни да се у свом раду придржавају правила која су прописана Политиком информационе безбедности и другим политикама информационе безбедности.

V          Управљање ризицима информационе безбедности     

  1. Моззарт континуирано ради на идентификацији и евалуацији ризика информационе безбедности, на дефинисању мера за третирање ризика и на координисању активности за њихову имплементацију у складу са Политиком управљања ризицима.
  2. Активности информационе безбедности, циљеви, имплементација и унапређење контрола информационе безбедности се базира на утврђеним ризицима информационе безбедности и мерама за њихово третирање.
  3. Циљеви информационе безбедности се постављају и евалуирају на годишњем нивоу.

VI         Свест о информационој безбедности 

  1. Моззарт континуирано ради на подизању свести о информационој безбедности, организује и спроводи различите облике освешћивања запослених о информационој безбедности који укључују, но нису ограничени на, спровођење пхисхинг симулација, организовање и/или спровођење он-лине или он-сите обука и обавештења према запосленима преко електронске поште и других канала комуникације.
  2. У периоду од месец дана након запослења нови запослени пролазе иницијалну обуку о информационој безбедности која подразумева формално упознавање са политикама информационе безбедности и очекивањима компаније, а та се обука даље наставља у току радног односа и то најмање једном у периоду од годину дана.

VII        Праћење и мерење перформанси ИСМС система

  1. Моззарт дефинише критеријуме за праћење и мерење перформанси ИСМС система које се анализирају и вреднују најмање једном годишње пре преиспитивања ИСМС система од стране руководства компаније.