Bezpečnostní politika společnosti synlab czech s.r.o.

Transkript

1 Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav Moc Ing. Luboš Hajn Garant dokumentu: Ing. Luboš Hajn, zmocněnec pro kvalitu Verze: 01 Identifikace dokumentu: VD 06 Důvěrnost: Veřejné Výtisk č.: Ostatní informace:

2 Vedení společnosti synlab czech s.r.o. si uvědomuje, že vysoká úroveň využívání informačních systémů, jak v rámci zpracování klinických materiálů v laboratořích, tak při komunikaci s dodavateli a zákazníky, přináší nemalá rizika. Bezpečnostní politika společnosti synlab czech s.r.o. je základním dokumentem, který vedení společnosti vydává pro zajištění bezpečného a efektivního provozu informačních a komunikačních systémů. Účelem bezpečnostní politiky je formulace jasné a závazné koncepce řešení informační bezpečnosti a definice základních přístupů při budování informační bezpečnosti společnosti synlab czech s.r.o. Bezpečnostní politika vytváří základ pro tvorbu vnitřních norem - bezpečnostních zásad a postupů, bezpečnostních standardů, směrnic a definuje zásady chování všech zaměstnanců i třetích stran při využívání informačních a telekomunikačních technologií. Vedení společnosti deklaruje bezpečnostní politikou svou strategii trvalého zajišťování informační bezpečnosti jako nedílné součásti všech řídicích procesů. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC Bezpečnostní politika je formulována v následujících bodech: I. Pravidla pro všechny uživatele IT (tj. všichni zaměstnanci, smluvní zaměstnanci a konzultanti) Incident Management Jakékoliv narušení nebo pokusy o narušení bezpečnosti IT a všechny zjištěné bezpečnostní nedostatky v IT systémech, musí být oznámeny bezpečnostnímu týmu IT. Je nezbytné, aby na všechna ohlášení narušení IT bezpečnosti nebo nedostatků následovala rychlá reakce, a aby bylo přijato opatření zabraňující možnosti opakování těchto situací. Přípustné využití Autorizovaní uživatelé IT systémů musí dodržovat zásady bezpečného používání těchto systémů a aktiv. Uživatel musí zajistit bezpečnost informací ve fyzické a logické formě a chránit informace před neoprávněným přístupem a vyzrazením. IT Outsourcing Proces výběru dodavatele musí být dodržován, přičemž každý externí dodavatel služeb týkajících se IT služeb a produktů, musí splňovat veškeré bezpečnostní požadavky. Přístupová oprávnění musí být přiřazena na základě principu co nejmenších privilegií a na bázi toho, co je nutné vědět. Zadávání veřejných zakázek v oblasti IT Zadávání veřejných zakázek v oblasti IT se musí řídit procesem výběru dodavatelů. Bezpečnostní požadavky na hardware, software a služby, které jsou předmětem veřejné zakázky, musí být označeny a zahrnuty do specifikace požadavků. Management smluv o úrovni poskytovaných služeb Úroveň služeb musí být dohodnuta, monitorována, zaznamenávána a porovnávána s definovanými požadavky. Přístup třetích stran Přístup třetí strany k IT systémům musí být nastaven na bázi toho, co je nutné vědět a s příslušnými autorizacemi. Verze: 01 platná od Strana 2 (celkem 5)

3 Se třetími stranami musí být podepsány dohody o zachování důvěrnosti, které chrání společnost před neoprávněným přístupem a modifikací IT systémů. Personální zabezpečení Zaměstnanci s přístupem k IT systémům si musí být vědomi své odpovědnosti za zachování bezpečnosti informačních systémů. Přístupová práva musí být poskytována na základě pracovních povinností a zrušena nebo změněna společně se změnami pracovního zařazení. Segregace povinností Povinnosti a oblasti odpovědnosti je nutné rozdělit ve snaze snížit možnost neoprávněných úprav nebo zneužití IT systémů. II. Pravidla pro řízení provozních aktiv v oblasti IT Správa datových center U datových center musí být zajištěna přiměřená fyzická a logická ochrana. Nezbytný oprávněný přístup do datového centra musí být zajištěn pro správce IT. Bezpečnost sítě Nezbytný přístup do sítě společnosti synlab czech s.r.o. musí být poskytnut po příslušné autorizaci. Je nezbytné implementovat příslušný silný ověřovací mechanismus pro IT systémy. Uživatelé musí být jedinečně identifikovatelní. Řízení aktiv Fyzická aktiva musí být vedena v inventárním soupisu. IT systémy musí být klasifikovány, označeny a musí s nimi být manipulováno s opatrností odpovídající jejich citlivosti. Fyzické zabezpečení Musí být zabráněno neoprávněnému fyzickému přístupu k majetku společnosti synlab czech s.r.o. Pohyb aktiv musí být kontrolován a prováděn s řádným povolením. Kryptografické kontroly Kde je to zapotřebí, šifrování musí být použito k ochraně citlivých informací společnosti. Zabezpečené postupy musí být použity pro generování klíčů, jejich distribuci, zrušení a skladování. Firewall Přístup na a z externích sítí musí být kontrolován a zabezpečen pomocí odpovídající brány firewall a podobných metod. Přístup přes bránu firewall, musí být sledován a kontrolován. Zálohování Data označená jako "kritická", musí být zálohována a pravidelně testována z hlediska obnovy. Zálohovaná data a média musí být bezpečně udržována a skladována. Monitorování Verze: 01 platná od Strana 3 (celkem 5)

4 Přístup k zásadním aplikacím a síti společnosti by měl být sledován proti podezřelé činnosti nebo narušení bezpečnosti. Antivirový systém Vhodných nástrojů a metod musí být využito pro zajištění ochrany IT majetku společnosti synlab czech s.r.o. Antivirový software a nasazené procesy musí zajistit detekci, účinné zadržení a zničení škodlivého kódu v síti společnosti. Řízení změn Změny v oblasti IT aktiv včetně aplikací, serverů a síťových zařízení musí být provedeny kontrolovaným způsobem a po řádném schválení. Pomocí pravidelného ověřování musí být kontrolována účinnost těchto kontrol. Plán kontinuity v oblasti IT Pro IT systémy označené jako "kritické" pro podnikání musí být naplánována kontinuita. Písemný kontinuální plán pro tyto kritické systémy by měl být udržován, testován a aktualizován. Management rizik v oblasti IT Organizace musí identifikovat, analyzovat a zmírňovat rizika, která mají vliv na důvěrnost, integritu a dostupnost aktiv IT systémů. III. Pravidla pro správu aplikací Vývoj softwaru Veškerý software vyvinutý nebo přizpůsobený pro použití ve společnosti musí odpovídat standardnímu procesu vývoje a musí zajistit, aby byly splněny požadavky na IT bezpečnost. Bezpečnost aplikací Aplikace provozované v organizaci musí mít ovládací prvky pro bezpečný vstup, zpracování, skladování a výstup dat. Aplikace musí být testovány na bezpečnost před nasazením. Přístup k aplikaci musí být omezen na oprávněné osoby a poskytnutá práva musí být stanovena na principu minimálních privilegií. Uživatelé musí být jedinečně identifikovatelní. Správa konfigurace IT systémy musí být nakonfigurovány pro bezpečnost a jejich konfigurace musí být zdokumentovány a zajištěny. Zabezpečení operačního systému Uživatelský přístup k operačnímu systému musí být omezen a monitorován. Operační systém musí být aktualizovaný pomocí nově vydaných bezpečnostních balíčků. Zabezpečení databáze Databázové systémy musí být nainstalovány, konfigurovány a spravovány podle přísných bezpečnostních norem. Uživatelský přístup do databáze musí být poskytnut pouze po předchozí autorizaci a ověření, na bázi nezbytného minima. Verze: 01 platná od Strana 4 (celkem 5)

5 IV. Role a odpovědnosti Manažer bezpečnosti informací: je přímo podřízený výkonnému řediteli společnosti; odpovídá za bezpečnost IT v rámci společnosti synlab czech s.r.o.; vede tým IT bezpečnosti; zajišťuje poradenství v oblasti bezpečnostních otázek týkající se posouzení rizik, infrastruktury, systémů a aplikací v plánovaných projektech a s uživateli již existujících aplikací a projektů; odpovídá za zajištění řádného fungování IT bezpečnosti pomocí koordinace různých bezpečnostních procesů; odpovídá za tvorbu a sběr požadavků na IT bezpečnost, zejména požadavků na IT zabezpečení a jejich splnění v rámci IT projektů; zajišťuje koordinaci IT bezpečnostních požadavků, jakož i tvorbu směrnic, koncepce, plánování, provádění bezpečnostních opatření a rovněž shrnutí realizovaných opatření; odpovídá za vývoj a distribuci takových dodatečných materiálů, které mohou být nezbytné k zajištění informovanosti a opatrnosti ohledně dodržování IT bezpečnosti v rámci společnosti synlab czech s.r.o.; odpovídá za hladký tok informací mezi zúčastněnými kontaktními osobami v rámci bezpečnosti IT. Tým IT bezpečnosti: podporuje manažera bezpečnosti informací v jeho práci; zajišťuje včasnou výměnu informací a koordinuje požadavky od všech zúčastněných stran; podporuje přezkoumání a přijetí dílčích bezpečnostních politik, postupů a požadavků; posuzuje rizika a zahajuje příslušné činnosti nebo opatření; poskytuje pomoc při provádění auditů IT bezpečnosti. Místní pracovníci bezpečnosti IT: jsou kontaktními osobami v situacích týkajících se IT bezpečnosti v rámci svých organizačních útvarů; implementují IT bezpečnost ve svých organizačních útvarech v souladu se směrnicemi v oblasti IT bezpečnosti nebo bezpečnostní politiky; shromažďují relevantní informace týkající se IT bezpečnosti a reportují je manažeru bezpečnosti informací; asistují při výběru vhodných opatření v otázkách IT bezpečnosti; podávají zprávy o bezpečnostních incidentech v rámci IT manažeru bezpečnosti informací a rovněž poskytují potřebnou podporu při vyšetřování. Kontakt a další informace ová adresa pro témata týkající se IT bezpečnosti je it-security@synlab.cz. Na intranetu společnosti jsou k dispozici doplňující informace v části "Bezpečnost ICT" Bezpečnostní incidenty a události musí být neprodleně hlášeny manažeru bezpečnosti informací k řešení. S touto bezpečnostní politikou jsou seznámeni všichni pracovníci společnosti synlab czech s.r.o a je závazná pro jejich chování a jednání. Verze: 01 platná od Strana 5 (celkem 5)