Politika informacione bezbednosti

Datum revizije: 29.09.2023.

Number	Value	Description
1	Ime kompanije	Smart Vision doo PIB 104960344 , MB 20279788
2	Datum poslednje revizije	29.09.2023.
3	Vlasnik dokumenta	Ivica Stanković, Generalni direktor ivica@smartvision.rs
4	Datum odobrenja	29.09.2023.
5	Datum stupanja na snagu	01.08.2023.
6	Službenik za privatnost	Nevena Vuković
7	Radno vreme	Ponedeljak – petak, 09-17

1.1              SVRHA

Ova politika definiše tehničke kontrole i bezbednosne konfiguracije koje korisnici i administratori R tehnologija (IT) moraju da primene kako bi se obezbedio integritet i dostupnost okruženja podataka u kompaniji SMART VISION DOO, u daljem tekstu Kompanija. Ona služi kao centralni dokument za politiku sa kojim svi zaposleni i podizvođači moraju da budu upoznati i definiše radnje i zabrane koje svi korisnici moraju da poštuju. Ova politika obezbeđuje IT menadžerima u Kompaniji politike i smernice u vezi sa prihvatljivom upotrebom tehnološke opreme Kompanije, e-maila, Internet veza, govorne pošte, faksa, budućih tehnoloških resursa i obrade informacija.

Zahtevi i ograničenja politike definisani u ovom dokumentu će se primenjivati na mrežne infrastrukture, baze podataka, eksterne medije, šifrovanje, štampane izveštaje, filmove, slajdove, modele, bežičnu vezu, telekomunikacije, razgovore i sve druge metode koji se koriste za prenošenje znanja i ideja u okviru svih mehanizama hardvera, softvera i prenosa podataka. Ove politike moraju da se pridržavaju svi zaposleni u Kompaniji ili privremeni radnici na svim lokacijama, kao i izvođači koji rade sa Kompanijom kao podizvođači.

1.2              OPSEG

Ovaj dokument za politiku definiše zajedničke bezbednosne zahteve za svo osoblje i sisteme Kompanije koji kreiraju, održavaju, čuvaju, pristupaju, obrađuju ili prenose informacije. Ova politika se takođe primenjuje na informacione resurse u vlasništvu drugih, kao što su podizvođači Kompanije, subjekti u privatnom sektoru, u slučajevima kada Kompanija ima zakonsku, ugovornu ili fiducijarnu dužnost da zaštiti pomenute resurse dok su pod nadzorom Kompanije. U slučaju konflikta primenjuju se restriktivnije mere. Ova politika pokriva mrežni sistem Kompanije koji se sastoji od različitog hardvera, softvera, komunikacione opreme i drugih uređaja projektovanih da pomognu Kompaniji u kreiranju, prijemu, skladištenju, obradi i prenosu informacija. Ova definicija uključuje opremu povezanu sa bilo kojim domenom ili VLAN-om Kompanije, bilo žično ili bežično i uključuje svu samostalnu opremu koju Kompanija postavlja na lokacijama svoje kancelarije ili na udaljenim lokacijama.

1.3              AKRONIMI / DEFINICIJE

Uobičajeni pojmovi i akronimi koji mogu da se koriste u ovom dokumentu.

GM – Generalni direktor je odgovoran za celokupnu privatnost i bezbednosnu praksu kompanije.

CIO – Direktor informacionih tehnologija

PO – Službenik za privatnost je odgovoran za usklađenost po pitanju poštovanja privatnosti.

CST – Tim za poverljivost i bezbednost

Šifrovanje – proces transformacije informacija, korišćenjem algoritma, kako bi one postale nečitljive bilo kome osim onima koji imaju specifičnu „potrebu da znaju“.

Eksterni mediji – npr . CD-ROM-ovi, DVD-ovi, flopi diskovi, fleš diskovi, USB drajvovi, trake

Zaštitni zid (firewall) – namenski deo hardvera ili softvera koji radi na računaru koji dozvoljava ili odbija saobraćaj koji prolazi kroz njega, na osnovu skupa pravila.

FTP – protokol za prenos datoteka

IT – informacione tehnologije

LAN – lokalna računarska mreža – računarska mreža koja pokriva malo geografsko područje, tj. grupu zgrada, kancelariju.

SOW – Izjava o radu – sporazum između dve ili više strana koji detaljno opisuje radni odnos između strana i navodi obim posla koji treba da se završi.

Korisnik – Svaka osoba ovlašćena za pristup izvoru informacija.

Privilegovani korisnici – administratori sistema i drugi koje je posebno identifikovao i ovlastio menadžment Kompanije.

Korisnici sa mogućnostima uređivanja/ažuriranja – pojedinci kojima je dozvoljeno, na osnovu dodeljenog posla, da dodaju, brišu ili menjaju zapise u bazi podataka.

Korisnici sa mogućnostima upita (samo za čitanje) – pojedinci kojima je onemogućeno, na osnovu dodeljenog posla, da dodaju, brišu ili menjaju zapise u bazi podataka. Njihov sistemski pristup je ograničen samo na čitanje informacija.

VPN – virtuelna privatna mreža – obezbeđuje siguran prolaz kroz javni Internet. WAN – regionalna mreža – računarska mreža koja omogućava komunikaciju na širem području, tj. regionalnom, nacionalnom.

Virus – softverski program sposoban da se reprodukuje i koji je obično u stanju da izazove veliku štetu na datotekama ili drugim programima na računaru koji napada. Pravi virus ne može da se proširi na drugi računar bez ljudske pomoći.

1.4              SLUŽBENIK ZA PRIVATNOST

Kompanija je uspostavila Službenika za privatnosti. Službenik za privatnost će nadgledati sve tekuće aktivnosti u vezi sa razvojem, implementacijom i održavanjem Praksa politike privatnosti u skladu sa važećim saveznim i državnim zakonima. Trenutni Službenik za privatnost Kompanije je:

Nevena Vuković, nevena.vukovic@smartvison.rs

1.5              TIM ZA POVERLJIVOST / BEZBEDNOST (CST)

Kompanija je uspostavila Tim za poverljivost / bezbednost sastavljen od ključnog osoblja čija je odgovornost da identifikuje oblasti koje izazivaju zabrinutost u okviru Kompanije i da deluje kao prva linija odbrane u jačanju odgovarajućeg bezbednosnog stava.

Sve članove identifikovane u okviru ove politike postavlja GM na njihove pozicije. Mandat svakog imenovanog člana u skladu je sa diskrecionim pravom GM-a, ali se uopšteno očekuje da će mandat trajati godinu dana. Članovi za svaku godinu biće imenovani na prvom sastanku Saveta za kvalitet u novoj kalendarskoj godini. Ovaj komitet će se sastojati od pozicija unutar Kompanije koje su najodgovornije za sveukupno planiranje bezbednosne politike organizacije – GM, PO, CMO, ISO i CIO (ukoliko je primenljivo). Trenutni članovi CST-a su:

Ivica Stanković, ivica@smartvision.rs
Bojana Stanković,  bojana@smartvision.rs
Žarko Kovačević, zarko@smartvision.rs

Službenik za privatnost (PO) ili drugo imenovano osoblje odgovorno je za održavanje zapisnika bezbednosnih poboljšanja i funkcija koje su implementirane radi dodatne zaštite svih osetljivih informacija i imovine u vlasništvu Kompanije. Ovaj zapisnik će takođe biti revidiran tokom kvartalnih sastanaka.

1.6              ZAHTEVI ZA ZAPOSLENE

Prva linija odbrane u bezbednosti podataka je pojedinačni korisnik Kompanije. Korisnici kompanije su odgovorni za bezbednost svih podataka koji mogu doći do njih u bilo kom formatu. Kompanija je odgovorna za održavanje stalnih programa obuke kako bi informisala sve korisnike o ovim zahtevima.

Kućna upotreba korporativnih sredstava Kompanije – Samo računarski hardver i softver u vlasništvu Kompanije i instaliran od strane Kompanije sme da se povezuje ili instalira na opremu Kompanije. Samo softver koji je Kompanija odobrila za korporativnu upotrebu sme da se instalira na opremu Kompanije. Lični računari koje obezbeđuje Kompanija smeju da se koriste isključivo u poslovne svrhe. Svi zaposleni i podizvođači moraju da pročitaju i razumeju listu zabranjenih aktivnosti koja je navedena u nastavku. Modifikacije ili promene konfiguracije nisu dozvoljene na računarima koje je Kompanija isporučila za kućnu upotrebu.

Zadržavanje vlasništva – Svi softverski programi i dokumentacija koju generišu ili obezbede zaposleni, konsultanti ili podizvođači u korist Kompanije vlasništvo su Kompanije osim ako nisu obuhvaćeni ugovornom obavezom. Ništa ovde sadržano ne odnosi se na softver koji su zaposleni u Kompaniji kupili o svom trošku.

1.7              ZABRANJENE AKTIVNOSTI

Osoblju su zabranjene sledeće aktivnosti. Spisak nije sveobuhvatan. Ostale zabranjene aktivnosti pominju se na drugom mestu u ovom dokumentu.

• Obaranje informacionog sistema. Namerno obaranje informacionog sistema strogo je zabranjeno. Korisnici možda neće shvatiti da su izazvali pad sistema, ali ako se pokaže da je do pada došlo zbog radnje korisnika, ponavljanje radnje od strane tog korisnika može da se smatra namernim činom.
• Pokušaj provale u izvor informacija ili zaobilaženja bezbednosne funkcije. Ovo uključuje upotrebu programa za razbijanje lozinki ili programa za njuškanje, kao i pokušaj zaobilaženja dozvola za datoteke ili druge resurse.
• Unošenje ili pokušaj unošenja računarskih virusa, trojanskih konja, peer-to-peer („P2P“) ili drugog zlonamernog koda u informacioni sistem.
• Izuzetak: Ovlašćeno osoblje za podršku informacionom sistemu ili drugi koje je ovlastio Službenik za privatnost Kompanije, mogu da testiraju otpornost informacionog sistema. Takvo osoblje može da testira podložnost hardverskom ili softverskom kvaru, sigurnost od hakerskih napada i infekcije sistema.
• Pregledanje. Zabranjeni su namerni, neovlašćeni pristup ili pregledanje poverljivih ili osetljivih informacija za koje nemate odobrenje na osnovu „potrebe da znate“.
• Lični ili neovlašćeni softver. Korišćenje ličnog softvera je zabranjeno. Sav softver instaliran na računarima Kompanije mora da bude odobren od strane Kompanije.
• Korišćenje softvera. Kršenje ili pokušaj kršenja uslova korišćenja ili ugovora o licenciranju bilo kog softverskog proizvoda koji koristi Kompanija je strogo zabranjeno.
• Korišćenje sistema. Strogo je zabranjeno uzimanje učešća u bilo kojoj aktivnosti u bilo koju svrhu koja je nezakonita ili suprotna politikama, procedurama ili poslovnim interesima Kompanije.

1.8              ELEKTRONSKA KOMUNIKACIJA, E-MAIL, KORIŠĆENJE INTERNETA

Kao alat za povećanje produktivnosti, Kompanija podstiče poslovnu upotrebu elektronskih komunikacija. Međutim, svi sistemi elektronske komunikacije i sve poruke koje se generišu ili kojima se rukuje na opremi u vlasništvu Kompanije smatraju se vlasništvom Kompanije – a ne vlasništvom pojedinačnih korisnika. Shodno tome, ova politika se primenjuje na sve zaposlene i podizvođače Kompanije i pokriva svu elektronsku komunikaciju uključujući, ali ne ograničavajući se na, telefone, e-mail, govornu poštu, razmenu trenutnih poruka, Internet, faks, lične računare i servere.

Resursi koje je obezbedila Kompanija, kao što su individualne računarske radne stanice ili laptopovi, računarski sistemi, mreže, e-mail i Internet softver i usluge namenjeni su za poslovne svrhe. Međutim, usputna lična upotreba je dozvoljena sve dok:

1. ne troši više od trivijalne količine vremena ili resursa zaposlenog,
2. ne ometa produktivnost osoblja,
3. ne sprečava bilo koju poslovnu aktivnost,
4. ne krši ništa od sledećeg:
   1. Kršenja autorskih prava
   2. Nezakonite aktivnosti
   3. Komercijalnu upotrebu
   4. Političke aktivnosti
   5. Uznemiravanje
   6. Neželjeni e-mail

Uopšteno govoreći, iako politika Kompanije NIJE da nadgleda sadržaj bilo kakve elektronske komunikacije, Kompanija je odgovorna za servisiranje i zaštitu opreme, mreža, podataka i dostupnosti resursa Kompanije, te stoga može da postoji potreba da Kompanija pristupi elektronskim komunikacijama i/ili ih nadgleda s vremena na vreme.

Kompanija zadržava pravo, po sopstvenom nahođenju, da pregleda fajlove ili elektronske komunikacije bilo kog zaposlenog u meri koja je neophodna da bi se obezbedilo da se svi elektronski mediji i usluge koriste u skladu sa svim važećim zakonima i propisima, kao i politikama Kompanije.

Zaposleni bi trebalo da strukturišu svu elektronsku komunikaciju uz uvažavanje činjenice da se sadržaj može nadgledati i da svaka elektronska komunikacija može da bude prosleđena, presretnuta, odštampana ili sačuvana od strane drugih.

1.9              PRISTUP INTERNETU

Pristup Internetu je obezbeđen korisnicima Kompanije i smatra se odličnim resursom za organizaciju. Ovaj resurs je skup za rad i održavanje i mora se prvenstveno dodeliti onima koji imaju poslovne, administrativne ili ugovorne potrebe. Pristup Internetu koji pruža Kompanija ne treba koristiti za zabavu, slušanje muzike, gledanje sportskih događaja dana, igre, filmove itd. Nemojte da koristite Internet kao radio ili za stalno praćenje vremena ili stanja na berzi.

Korisnici moraju da razumeju da se individualno korišćenje Interneta nadgleda i ako se utvrdi da zaposleni troši previše vremena ili da troši velike količine propusnog opsega za ličnu upotrebu, biće preduzete disciplinske mere.

1.10            PRIJAVLJIVANJE SOFTVERSKIH KVAROVA

Korisnici treba da obaveste odgovarajuće osoblje Kompanije kada se čini da softver korisnika ne funkcioniše ispravno. Kvar – bilo slučajan ili nameran – može da predstavlja rizik za informacionu bezbednost. Ako korisnik ili korisnikov menadžer ili nadređeni posumnjaju na infekciju računarskim virusom, treba ispratiti smernice Kompanije po pitanju računarskih virusa, te odmah treba preduzeti sledeće korake:

• Prestanite da koristite računar.
• Ne izvršavajte nikakve komande, uključujući komande za podatke.
• Ne zatvarajte nijedan od prozora ili programa računara.
• Ne isključujte računar ili periferne uređaje.
• Ako je moguće, fizički isključite računar sa mreža na koje je povezan.
• Obavestite odgovarajuće osoblje ili Kompaniju što je pre moguće. Zapišite svako neobično ponašanje računara (poruke na ekranu, neočekivani pristup disku, neobične odgovore na komande), kao i vreme kada su prvi put primećeni.
• Zapišite sve promene u hardveru, softveru ili upotrebi softvera koje su prethodile kvaru.
• Ne pokušavajte da uklonite potencijalni virus!

ISO treba da nadgleda rešavanje kvara ili incidenta i da podnese izveštaj CST-u o rezultatu akcije sa preporukama o akcionim koracima kako bi se sprečili budući slični događaji.

1.11            PRIJAVITE BEZBEDNOSNE INCIDENTE

Odgovornost je svakog zaposlenog ili podizvođača Kompanije da o uočenim bezbednosnim incidentima izveštava na kontinuiranoj osnovi odgovarajućeg nadzornika ili osobu zaduženu za bezbednost. Korisnik je svako lice ovlašćeno za pristup izvoru informacija. Korisnici su odgovorni za svakodnevnu, neposrednu bezbednost tog resursa. Korisnici treba odmah da zvanično prijave sve bezbednosne incidente ili kršenja bezbednosne politike Službeniku za privatnost. Korisnici treba da prijave svaki uočeni bezbednosni incident bilo svom neposrednom nadređenom, bilo šefu odeljenja ili bilo kom članu CST-a Kompanije. Članovi CST-a navedeni su iznad u ovom dokumentu.

Izveštaji o bezbednosnim incidentima će se eskalirati što je pre moguće. Svaki član CST-a Kompanije mora da obavesti ostale članove što je pre moguće. Svaki incident će biti analiziran kako bi se utvrdilo da li su neophodne promene u postojećoj bezbednosnoj strukturi. Svi prijavljeni incidenti se evidentiraju i naznačavaju se mere za otklanjanje. Odgovornost je CST-a da obezbedi obuku o svim proceduralnim promenama koje mogu da budu potrebne kao rezultat istrage incidenta.

Kršenja bezbednosti će se odmah istražiti. Ako se sumnja na krivično delo, Službenik za privatnost Kompanije će odmah kontaktirati odgovarajuće organe za sprovođenje zakona i istražne organe.

PRENOS OSETLJIVIH/POVERLJIVIH INFORMACIJA

Kada od jednog lica neko drugo lice primi poverljive ili osetljive informacije tokom obavljanja službenih poslova, lice koje ih je primilo će održavati poverljivost ili osetljivost informacija u skladu sa uslovima koje nameće lice koje ih daje. Svi zaposleni moraju da prepoznaju osetljivu prirodu podataka koje vodi Kompanija i da sve podatke čuvaju u najstrožoj tajnosti. Svako namerno objavljivanje podataka kojima zaposleni može da ima pristup predstavlja kršenje Politike kompanije i rezultovaće disciplinskim radnjama, a može da rezultuje i pravnim postupkom.

1.12            PRENOS SOFTVERA I DATOTEKA IZMEĐU KUĆE I POSLA

Lični softver ne sme da se koristi na računarima ili mrežama Kompanije. Ako postoji potreba za određenim softverom, podnesite zahtev svom nadređenom ili šefu odeljenja. Korisnici ne smeju da koriste softver koji je kupila Kompanija na kućnim računarima ili opremi, kao i računarima ili opremi koji nisu vlasništvo Kompanije.

Vlasnički podaci kompanije, uključujući, ali ne ograničavajući se na informacije, informacije o IT sistemima, finansijske informacije ili podatke o ljudskim resursima, ne smeju da se stavljaju na bilo koji računar koji nije vlasništvo Kompanije bez pismene saglasnosti odgovarajućeg nadređenog ili šefa odeljenja.

Regionalna mreža Kompanije („WAN“) održava se uz široki spektar uspostavljenih bezbednosnih zaštita, koje uključuju funkcije kao što su zaštita od virusa, ograničenja tipa datoteka u e-mailu, zaštitni zidovi, hardver i softver protiv hakovanja itd. S obzirom da Kompanija ne kontroliše lične računare koji nisu vlasništvo Kompanije, Kompanija ne može biti sigurna u metode koji mogu ili ne moraju da postoje za zaštitu osetljivih informacija Kompanije, pa otuda i potreba za ovim ograničenjem.

1.13            RAZMATRANJA U VEZI S INTERNETOM

Potrebne su posebne mere predostrožnosti da bi se blokirao Internet (javni) pristup informacionim resursima Kompanije koji nisu namenjeni javnom pristupu, kao i za zaštitu poverljivih informacija Kompanije kada se one prenose putem Interneta.

Sledeća pitanja bezbednosti i administracije će regulisati korišćenje Interneta.

Potrebno je dobiti prethodno odobrenje Službenika za privatnost Kompanije ili odgovarajućeg osoblja koje je Kompanija ovlastila pre nego što se:

• Uspostavi internet ili druga spoljna mrežna veza;
• Informacije o kompaniji (uključujući obaveštenja, memorandume, dokumentaciju i softver) učine dostupnim na bilo kom računaru ili uređaju kojem je moguće pristupiti preko Interneta (npr. veb ili ftp server);
• Korisnici ne smeju da instaliraju ili preuzimaju bilo koji softver (aplikacije, čuvare ekrana). Ukoliko korisnici imaju potrebu za dodatnim softverom, korisnik treba da kontaktira svog nadređenog;
• Upotreba će biti u skladu sa ciljevima Kompanije. Mreža može da se koristi za plasiranje usluga u vezi sa Kompanijom, međutim korišćenje mreže za ličnu prednost ili dobit je zabranjeno.
• Poverljivi ili osetljivi podaci – uključujući brojeve kreditnih kartica, brojeve telefonskih kartica, lozinke za prijavu i druge parametre koji se mogu koristiti za pristup robi ili uslugama – moraju da se šifruju pre nego što se prenesu putem Interneta.
• Softver za šifrovanje koji se koristi i specifični ključevi za šifrovanje (npr. lozinke, šifre za pristup) će biti deponovani kod Službenika za privatnost Kompanije ili kod odgovarajućeg osoblja, kako bi se osiguralo da se bezbedno održavaju/čuvaju. Upotreba softvera za šifrovanje i ključeva, koji nisu deponovani kao što je gore navedeno je zabranjena i može dovesti do disciplinske mere protiv korisnika.

1.14            INSTALACIJA SERTIFIKATA ZA POTVRDU IDENTITETA I ŠIFROVANJE NA E-MAIL SISTEMU

Svaki korisnik koji želi da razmeni bezbedan e-mail sa određenim identifikovanim spoljnim korisnikom može da zahteva razmenu javnih ključeva sa spoljnim korisnikom. Kada se potvrdi, sertifikat se instalira na radnim stanicama oba primaoca, pa oni mogu bezbedno da razmenjuju obezbeđen e-mail.

1.15            KORIŠĆENJE E-MAILA ŠIFROVANOG I ZAPAKOVANOG WINZIP-OM

Ovaj softver omogućava osoblju Kompanije da razmenjuje e-mail sa udaljenim korisnicima koji imaju odgovarajući softver za šifrovanje na svom sistemu. Dva korisnika razmenjuju privatne ključeve koji će se koristiti i za šifrovanje i za dešifrovanje svakog prenosa. Svaki član osoblja Kompanije koji želi da koristi ovu tehnologiju može da zahteva ovaj softver od Službenika za privatnost ili odgovarajućeg osoblja.

1.16            ID-JEVI ZA PRIJAVU KORISNIKA

Pojedinačni korisnici će imati jedinstvene ID-jeve i lozinke za prijavu. Sistem kontrole pristupa će identifikovati svakog korisnika i sprečiti neovlašćene korisnike da uđu ili koriste informacione resurse. Bezbednosni zahtevi za identifikaciju korisnika obuhvataju sledeće:

• Svakom korisniku će biti dodeljen jedinstveni identifikator.
• Korisnici će biti odgovorni za upotrebu i zloupotrebu svog individualnog ID-ja za prijavu.

Svi ID-jevi za prijavu korisnika revidiraju se najmanje dva puta godišnje i svi neaktivni ID-jevi za prijavu se opozivaju. Odeljenje za ljudske resurse Kompanije obaveštava Službenika za bezbednost ili odgovarajuće osoblje o odlasku svakog zaposlenog i podizvođača, u kom trenutku se ID-jevi za prijavu opozivaju.

ID za prijavu se zaključava ili opoziva nakon najviše tri (3) neuspešna pokušaja prijavljivanja, što zatim zahteva da lozinke resetuje odgovarajući Administrator.

Korisnici koji žele da dobiju pristup sistemima ili mrežama Kompanije moraju da imaju popunjen i potpisan Obrazac za pristup mreži. Ovaj obrazac mora da potpiše nadređeni ili šef odeljenja svakog korisnika koji zahteva pristup.

1.17            LOZINKE KORISNIČKOG NALOGA

Korisnički ID-jevi i lozinke neophodni su za pristup svim mrežama i radnim stanicama Kompanije. Sve lozinke su ograničene politikom lozinki u okviru cele korporacije tako da budu „jake“. To znači da sve lozinke moraju biti u skladu sa ograničenjima koja su osmišljena da otežaju pogađanje lozinke. Od korisnika se traži da izaberu lozinku da bi dobili pristup svim elektronskim informacijama kako na nivou servera tako i na nivou radne stanice. Kada se lozinke resetuju, od korisnika će se automatski tražiti da ručno promeni tu dodeljenu lozinku.

Dužina lozinke – Lozinke moraju imati najmanje osam znakova.

Zahtevi za sadržaj – Lozinke moraju da sadrže kombinaciju velikih i malih abecednih znakova, numeričkih znakova i specijalnih znakova.

Učestalost promene – Lozinke se moraju menjati svakih 365 dana. Kompromitovane lozinke moraju odmah da se promene.

Ponovna upotreba – Prethodnih šest lozinki ne mogu ponovo da se koriste.

Ograničenja deljenja lozinki – Lozinke se ne smeju deliti, zapisivati na papir, niti čuvati u datoteci ili bazi podataka na radnoj stanici i moraju da se čuvaju poverljivim.

Ograničenja za snimanje lozinki – Lozinke su maskirane ili potisnute na svim ekranima na mreži i nikada se ne štampaju niti uključuju u izveštaje ili evidencije. Lozinke se čuvaju u šifrovanom formatu.

1.18            UGOVOR O POVERLJIVOSTI

Korisnici informacionih resursa Kompanije dužni su da potpišu, kao uslov za zapošljavanje, odgovarajući ugovor o poverljivosti. Ugovor će uključivati sledeću izjavu ili njenu parafrazu:

Razumem da svako neovlašćeno korišćenje ili otkrivanje informacija koje se nalaze u sistemima informacionih resursa Kompanije može da rezultuje disciplinskim merama u skladu sa politikama i procedurama saveznih, državnih i lokalnih agencija.

Radnici na određeno vreme i zaposleni treće strane koji nisu već obuhvaćeni ugovorom o poverljivosti potpisaće takav dokument pre pristupa informacionim resursima Kompanije.

Ugovori o poverljivosti će se pregledati kada dođe do promena ugovora ili drugih uslova zapošljavanja, posebno kada se ugovori završavaju ili zaposleni napuštaju organizaciju.

1.19            KONTROLA PRISTUPA

Informacioni resursi su zaštićeni korišćenjem sistema kontrole pristupa. Sistemi kontrole pristupa obuhvataju interne (tj. lozinke, šifrovanje, liste kontrole pristupa, ograničeni korisnički interfejsi, itd.) i eksterne (tj. uređaje za zaštitu portova, zaštitni zidovi, autentifikaciju zasnovanu na hostu, itd.).

Pravila za pristup resursima (uključujući interne i eksterne telekomunikacije i mreže) uspostavio je vlasnik informacija/aplikacije ili menadžer odgovoran za resurse. Pristup se odobrava samo popunjavanjem Obrasca za zahtev za pristup mreži. Ovaj obrazac može da inicira samo odgovarajući šef odeljenja i mora da ga potpiše šef odeljenja i Službenik za bezbednost ili odgovarajuće osoblje.

Ova smernica zadovoljava zahtev „potrebe da znaju“ iz uredbe, pošto je nadređeni ili šef odeljenja osoba koja najpribližnije može da prepozna potrebu zaposlenog da pristupi podacima. Korisnici se mogu dodati u informacioni sistem, mrežu ili EHR samo uz potpis Službenika za bezbednost ili odgovarajućeg osoblja koje je odgovorno za dodavanje zaposlenog u mrežu na način i u obliku koji obezbeđuje da se zaposlenom dodeli pristup podacima samo na način kako je izričito traženo.

Zahtevi za identifikaciju i autentifikaciju

Program za upravljanje bezbednošću hosta održava trenutna ovlašćenja za radnu aktivnost korisnika. Svaki početni zahtev za konekciju ili sesiju podleže prethodno pomenutom procesu autorizacije

1.20            PREGLED PRAVA ZA PRIJAVU KORISNIKA

Ako zaposleni promeni poziciju u Kompaniji, novi nadređeni ili šef odeljenja zaposlenog mora odmah da obavesti Odeljenje za informacione tehnologije („IT“) o promeni uloga tako što će na Obrascu za zahtev za pristup mreži navesti i uloge ili pristup koje treba dodati, kao i uloge ili pristup koji treba ukloniti kako bi zaposleni imao pristup minimumu potrebnih podataka za efikasno obavljanje svojih novih radnih funkcija.

Najmanje jednom godišnje, IT menadžer će organizovati reviziju prava sa šefovima odeljenja kako bi osigurao da svi zaposleni imaju odgovarajuće uloge, pristup i softver neophodan za efikasno obavljanje svojih radnih funkcija, dok su istovremeno ograničeni na minimum potrebnih podataka kako bi se obezbedila usklađenost i zaštitili podaci.

1.21            PRESTANAK NALOGA ZA PRIJAVU KORISNIKA

Po prestanku rada zaposlenog, bilo dobrovoljno ili prinudno, nadzornik zaposlenog ili šef odeljenja će odmah obavestiti IT odeljenje navođenjem „Ukloniti pristup“ na Obrascu za zahtev za pristup mreži zaposlenog i podnošenjem obrasca IT

odeljenju. Ako je otkaz zaposlenog dobrovoljan i zaposleni dostavi najavu, nadzornik zaposlenog ili šef odeljenja će odmah obavestiti IT odeljenje o poslednjem planiranom radnom danu zaposlenog kako bi njihov korisnički nalog(nalozi) mogao da se konfiguriše da istekne. Šef odeljenja zaposlenog odgovoran je da obezbedi da svi ključevi, identifikacioni kartice i drugi uređaji za pristup, kao i oprema i imovina Kompanije budu vraćeni Kompaniji pre nego što zaposleni napusti kompaniju poslednjeg dana zaposlenja.

1.22            TELEKOMUNIKACIONA OPREMA

Određene direktne veze mogu da zahtevaju namensku ili iznajmljenu telefonsku liniju. Ovu opremu ovlašćuje samo Službenik za privatnost ili odgovarajuće osoblje, a naručuje je odgovarajuće osoblje. Telekomunikaciona oprema i usluge uključuju, ali se ne ograničavaju na sledeće:

• telefonske linije
• slušalice za telefon
• telefoni softverskog tipa instalirani na radnim stanicama
• mobilni telefoni
• uređaji tipa iPhone
• softver za usmeravanje poziva
• softver za izveštavanje o pozivima
• oprema za administraciju telefonskog sistema
• lokalne telefonske linije
• telefonska oprema

1.23            TRAJNE VEZE

Bezbednost sistema Kompanije može da bude ugrožena sa lokacija trećih strana ako bezbednosne prakse i resursi nisu adekvatni. Kada postoji potreba za povezivanjem sa lokacijom treće strane, potrebno je izvršiti analizu rizika. Analiza rizika treba da uzme u obzir koja vrsta pristupa je potrebna, vrednost informacija, mere bezbednosti koje primenjuje treća strana i implikacije na bezbednost sistema Kompanije. Službenik za privatnost ili odgovarajuće osoblje treba da budu uključeni u proces, dizajn i odobrenje.

1.24            NAGLASAK NA BEZBEDNOSTI U UGOVORIMA SA TREĆIM STRANAMA

Pristup računarskim sistemima Kompanije ili korporativnim mrežama ne bi trebalo da se odobri dok se ne obavi analiza sledećih nedoumica i dok se odgovarajuća ograničenja ili sporazumi ne uključe u izjavu o radu („SOW“) sa stranom koja zahteva pristup.

• Analizirani su i razmotreni primenljivi delovi Politike informacione bezbednosti Kompanije.
• Sprovedene su politike i standardi utvrđeni u Programu informacione bezbednosti Kompanije.
• Procena rizika od dodatnih odgovornosti koje će biti dodeljene svakoj od strana u sporazumu.
• Pravo na kontrolu ugovornih odgovornosti treba da bude uključeno u sporazum ili SOW.
• Opis svake usluge koja će biti dostupna.
• Svaka usluga, pristup, nalog i/ili dozvola koja će biti dostupna treba da bude samo minimum koji je neophodan kako bi treće lice izvršilo svoje ugovorne obaveze.
• Detaljna lista korisnika koji imaju pristup računarskim sistemima Kompanije mora da se održava i da bude dostupna za reviziju.
• Ako je neophodno prema ugovoru, treba tražiti dozvolu za proveru ovlašćenih korisnika.
• O datumima i vremenu kada će usluga biti dostupna potrebno je dogovoriti se unapred.
• Procedure u vezi sa zaštitom informacionih resursa treba da budu dogovorene unapred, a metod revizije i sprovođenja treba da implementiraju i odobre obe strane.
• Pravo na praćenje i opoziv aktivnosti korisnika treba da bude uključeno u svaki sporazum.
• Jezička ograničenja za kopiranje i otkrivanje informacija treba da budu uključena u sve sporazume.
• Odgovornosti u vezi sa instalacijom i održavanjem hardvera i softvera treba razumeti i usaglasiti u sporazumima.
• Mere za obezbeđivanje vraćanja ili uništavanja programa i informacija na kraju ugovora treba da budu napisane u sporazumu.
• Ukoliko su mere fizičke zaštite neophodne zbog odredbi ugovora, one treba da budu uključene u sporazum.
• Formalni metod za odobravanje ovlašćenih korisnika koji će pristupiti podacima prikupljenim na osnovu sporazuma treba da bude formalno uspostavljen pre nego što se bilo kom korisniku odobri pristup.
• Trebalo bi da postoje mehanizmi kako bi se osiguralo da sve strane u sporazumu poštuju mere bezbednosti.
• Detaljnu listu bezbednosnih mera koje će preduzeti sve strane u sporazumu treba objaviti pre sporazuma.

1.25            ZAŠTITNI ZID

Ovlašćenje Službenika za privatnost ili odgovarajućeg osoblja mora da se dobije pre nego što se bilo kom zaposlenom ili podizvođaču odobri pristup ruteru ili zaštitnom zidu Kompanije.

2                  Zlonamerni kôd

2.1                INSTALACIJA ANTIVIRUSNOG SOFTVERA

Antivirusni softver je instaliran na svim personalnim računarima i serverima Kompanije. Obrasci ažuriranja virusa se svakodnevno ažuriraju na serverima i radnim stanicama Kompanije. Mašine i datoteke sa podacima za ažuriranje virusa nadgleda odgovarajuće administrativno osoblje koje je odgovorno za ažuriranje svih virusnih obrazaca.

2.2              DISTRIBUCIJA NOVOG SOFTVERA

Samo softver koji je kreiralo osoblje za aplikacije Kompanije, ako je primenljivo, ili softver koji je odobrio Službenik za privatnost ili odgovarajuće osoblje smeju da se koriste na internim računarima i mrežama. Sav novi softver će testirati odgovarajuće osoblje kako bi se osigurala kompatibilnost sa trenutno instaliranim softverom i mrežnom konfiguracijom. Pored toga, odgovarajuće osoblje mora da skenira sav softver na viruse pre instalacije.

Iako šerver (shareware) i besplatni (freeware) programi često mogu da budu korisni izvori programa namenjenih poslu, korišćenje i/ili nabavku takvog softvera mora da odobri Službenik za privatnost ili odgovarajuće osoblje.

Svi podaci i programske datoteke koje su elektronski prenete na računar ili mrežu Kompanije sa druge lokacije moraju da se skeniraju na viruse odmah po prijemu. Obratite se odgovarajućem osoblju Kompanije za uputstva kako skenirati datoteke na viruse.

Svaki CD-ROM, DVD i USB uređaj potencijalni je izvor računarskog virusa. Zbog toga mora da se skenira na infekciju virusom pre nego što se informacije kopiraju na računar ili mrežu Kompanije.

Računari nikada ne smeju da se „pokreću“ sa CD-ROM-a, DVD-a ili USB uređaja dobijenih od spoljnjeg izvora. Korisnici će uvek ukloniti CD-ROM, DVD ili USB uređaj sa računara kada se ne koriste. Svrha toga je da se osigura da CD-ROM, DVD ili USB uređaj ne bude u računaru kada se mašina uključi. CD-ROM, DVD ili USB uređaj zaražen virusom prilikom pokretanja može da zarazi računar na taj način, čak i ako se sa tog CD-ROM-a, DVD-a ili USB uređaja ne može pokrenuti računar.

2.3              ZADRŽAVANJE VLASNIŠTVA

Svi softverski programi i dokumentacija koju generišu ili obezbede zaposleni, konsultanti ili podizvođači u korist Kompanije vlasništvo su Kompanije osim ako nisu obuhvaćeni ugovornom obavezom. Zaposleni koji razvijaju programe ili dokumentaciju moraju da potpišu izjavu kojom potvrđuju vlasništvo Kompanije u trenutku zaposlenja.

Ništa ovde sadržano se ne odnosi na softver koji su zaposleni u Kompaniji kupili o svom trošku.

3               Encryption

3.1                DEFINITION

Šifrovanje je prevođenje podataka u tajni kôd. Šifrovanje je najefikasniji način za postizanje bezbednosti podataka. Da biste pročitali šifrovanu datoteku, morate imati pristup tajnom ključu ili lozinki koja vam omogućava da je dešifrujete. Nešifrovani podaci se nazivaju običan tekst; šifrovani podaci se nazivaju šifrovani tekst.

3.2              KLJUČ ZA ŠIFROVANJE

Ključ za šifrovanje određuje konkretnu transformaciju običnog teksta u šifrovani tekst, ili obrnuto tokom dešifrovanja.

Ako je to opravdano analizom rizika, osetljivi podaci i datoteke će biti šifrovani pre nego što se prenesu kroz mreže. Kada se šifrovani podaci prenose između agencija, agencije će osmisliti međusobno prihvatljivu proceduru za bezbedno upravljanje ključevima. U slučaju konflikta, Kompanija će utvrditi kriterijume u saradnji sa Službenikom za privatnost ili odgovarajućim osobljem. Kompanija primenjuje nekoliko metoda bezbednog prenosa podataka.

4            Rad na daljinu

Sa povećanom dostupnošću širokopojasnog pristupa i VPN-ova, rad na daljinu je postao održiviji za mnoge organizacije. Kompanija smatra da je rad na daljinu prihvatljiv radni aranžman u određenim okolnostima. Ova politika se primenjuje na sve zaposlene i podizvođače koji rade stalno ili samo povremeno van kancelarijskog okruženja Kompanije. Odnosi se na sve, od korisnika koji rade od kuće puno radno vreme, preko zaposlenih na privremenom putu, do korisnika koji rade sa lokacije udaljene kancelarije, kao i na svakog korisnika koji se povezuje na mrežu Kompanije i/ili hostovani EHR, ako je primenjivo, sa udaljene lokacije.

Dok rad na daljinu može da bude prednost za korisnike i za organizaciju uopšte, on predstavlja nove rizike u oblastima poverljivosti i bezbednosti podataka. Radnici povezani sa mrežom Kompanije postaju produžetak regionalne mreže i predstavljaju dodatna okruženja koja moraju da budu zaštićena od opasnosti od širenja trojanaca, virusa ili drugog malvera. Ovakvo uređenje takođe izlaže kompaniju, kao i podatke, rizicima koji nisu prisutni u tradicionalnom radnom okruženju.

4.1              OPŠTI ZAHTEVI

Zaposleni koji rade na daljinu moraju da poštuju sve politike koje se tiču korporacije, bezbednosti, poverljivosti, kadrovske politike ili pravila ponašanja koje se primenjuju na druge zaposlene/podizvođače.

• Potreba da znaju: Korisnici koji rade na daljinu će imati pristup koji se zasniva na istoj „potrebi da znaju“ kao i kada su u kancelariji.
• Upotreba lozinke: Upotreba jake lozinke je još važnija u okruženju rada na daljinu. Nemojte deliti svoju lozinku niti je zapisivati tamo gde član porodice ili posetilac može da je vidi.
• Obuka: Osoblje koje radi na daljinu mora da završi istu godišnju obuku o privatnosti kao i svi ostali zaposleni.
• Ugovorna specifičnost: Mogu da postoje dodatni zahtevi koji su specifični za pojedinačne ugovore kojima je zaposleni dodeljen.

4.2              POTREBNA OPREMA

Zaposleni kojima je odobren rad na daljinu moraju da razumeju da Kompanija neće obezbediti svu opremu neophodnu za osiguravanje odgovarajuće zaštite informacija kojima zaposleni ima pristup; međutim, sledeće liste definišu potrebnu opremu i okruženje:

Kompanija obezbeđuje:

Desktop ili laptop koji obezbeđuje kompanija.

Ako koristite VPN, potreban je hardverski zaštitni zid koji Kompanija obezbeđuje. Ako štampate, štampač obezbeđuje Kompanija.

Ako je vaš pretpostavljeni odobrio, telefon obezbeđuje Kompanija.

Zaposleni obezbeđuje:

Širokopojasnu vezu i naknade,

Orman za dokumente koji se može zaključati ili sef za obezbeđivanje dokumenata kada ste van kućne kancelarije.

4.3              HARDVERSKE BEZBEDNOSNE ZAŠTITE

Zaštita od virusa: Kućni korisnici nikada ne smeju da zaustavljaju proces ažuriranja zaštite od virusa. Softver za zaštitu od virusa instaliran je na svim ličnim računarima Kompanije i podešen je da svakodnevno ažurira obrazac virusa. Ovo ažuriranje je kritično za bezbednost svih podataka i neophodno je dozvoliti da se ono završi.

Upotreba VPN-a i zaštitnog zida: Utvrđene procedure moraju strogo da se poštuju kada se pristupa Kompanijskim informacijama bilo koje vrste. Kompanija zahteva korišćenje VPN softvera i uređaja za zaštitni zid. Onemogućavanje skenera virusa ili zaštitnog zida je razlog za raskid ugovora.

Zaključavanje ekrana: Bez obzira na kojoj ste lokaciji, uvek zaključajte ekran pre nego što se udaljite od radne stanice. Podaci na ekranu mogu da budu zaštićeni ili mogu da sadrže poverljive informacije. Uverite se da je funkcija automatskog zaključavanja podešena da se automatski uključuje nakon 15 minuta neaktivnosti.

4.4              ZAŠTITA BEZBEDNOSTI PODATAKA

Pravljenje rezervnih kopija podataka: Uspostavljene su procedure za pravljenje rezervnih kopija koje šifruju podatke koji se premeštaju na spoljašnji medij. Koristite samo tu proceduru – nemojte je praviti sami. Ako nije uspostavljena procedura pravljenja rezervnih kopija ili ako imate spoljašnji medij koji nije šifrovan, kontaktirajte odgovarajuće osoblje Kompanije za pomoć. Zaštitite spoljašnje medije tako što ćete ih držati u svom posedu kada putujete.

Prenos podataka Kompaniji: Prenos podataka Kompaniji zahteva korišćenje odobrene VPN veze kako bi se obezbedila poverljivost i integritet podataka koji se prenose. Nemojte zaobilaziti utvrđene procedure, niti kreirati sopstveni metod prilikom prenosa podataka Kompaniji.

Pristup spoljašnjem sistemu: Ako vam je potreban pristup spoljašnjem sistemu, kontaktirajte svog nadređenog ili šefa odeljenja. Službenik za privatnost ili odgovarajuće osoblje pomoći će vam u uspostavljanju bezbednog metoda pristupa spoljašnjem sistemu.

E-mail: Nemojte slati putem e-maila bilo kakve informacije koje mogu da identifikuju pojedinca, osim ako one nisu šifrovane. Ako vam je potrebna pomoć u vezi sa ovim, kontaktirajte Službenika za privatnost ili odgovarajuće osoblje kako biste osigurali da se odobreni mehanizam šifrovanja koristi za prenos putem e-maila.

Nekompanijske mreže: Morate biti izuzetno oprezni prilikom povezivanja Kompanijske opreme na kućnu ili hotelsku mrežu. Iako Kompanija aktivno prati svoj bezbednosni status i održava politike zaštite širom organizacije kako bi zaštitila podatke u okviru svih ugovora, ova praksa nema mogućnost da nadgleda ili kontroliše bezbednosne procedure na nekompanijskim mrežama.

Zaštitite podatke u svom posedu: Pregledajte ili pristupajte samo informacijama za koje imate potrebu da ih vidite kako biste obavili svoj radni zadatak. Redovno pregledajte podatke koje ste sačuvali kako biste bili sigurni da se količina podataka održava na minimalnom nivou i da se stari podaci eliminišu što je pre moguće. Čuvajte elektronske podatke samo u šifrovanim radnim prostorima. Ako vaš laptop nije podešen da ima šifrovan radni prostor, obratite se Službeniku za privatnost ili odgovarajućem osoblju za pomoć.

Štampani izveštaji ili poslovni papiri: Nikada ne ostavljajte papirne zapise oko mesta na kojem radite. Zaključajte sve papirne zapise u ormariću za dokumente tokom noći ili kada napuštate svoj radni prostor.

Unos podataka kada ste na javnoj lokaciji: Nemojte obavljati radne zadatke koji zahtevaju korišćenje osetljivih korporativnih informacija kada se nalazite na javnoj lokaciji, npr. aerodromi, avioni, predvorje hotela. Ekrani računara lako mogu da se vide pored ili iza vas.

Slanje podataka van Kompanije: Sav spoljašnji prenos podataka mora biti povezan sa zvaničnim ugovorom, ugovorom o neotkrivanju podataka ili odgovarajućim Ugovorom o poslovnoj saradnji. Nemojte davati ili prenositi informacije nikome izvan Kompanije bez pismenog odobrenja vašeg nadređenog.

4.5              UKLANJANJE PAPIRA I/ILI SPOLJAŠNJIH MEDIJA

• Nemojte bacati u smeće medije koji sadrže osetljive, zaštićene informacije.
• Vratite sve spoljašnje medije svom nadređenom.
• Sa spoljašnjih medija moraju biti obrisani svi podaci. Službenik za privatnost ili odgovarajuće osoblje imaju vrlo određene procedure za to – tako da svi spoljašnji mediji moraju da se pošalju njima.
• Poslednji korak u ovom procesu je prosleđivanje medija na uklanjanje ovlašćenoj agenciji za uništavanje.

5            Specifični protokoli i uređaji

5.1              STANDARDI I POLITIKA KORIŠĆENJA BEŽIČNE VEZE

Zbog pojave bežičnih pristupnih tačaka u hotelima, aerodromima i kućama, postalo je nužno da se razvije i usvoji Politika korišćenja bežičnih veza kako bi se osigurala bezbednost i funkcionalnost takvih veza za zaposlene u Kompaniji. Ova politika opisuje procese i procedure za sticanje privilegija bežičnog pristupa, korišćenje bežičnog pristupa i obezbeđivanje bezbednosti laptop računara i mobilnih uređaja Kompanije.

Procedura odobrenja – Da biste dobili mogućnost da koristite interfejs bežične mreže na laptopu ili mobilnom uređaju Kompanije, biće potrebno da dobijete odobrenje svog neposrednog nadređenog ili šefa odeljenja i Službenika za privatnost ili odgovarajućeg osoblja Kompanije. Za podnošenje takvog zahteva koristi se Obrazac za zahtev za pristup mreži. Kada je ovaj obrazac popunjen i odobren, kontaktiraće vas odgovarajuće osoblje Kompanije kako bi podesili vaš laptop i zakazali obuku.

Softverski zahtevi – Sledi lista minimalnih softverskih zahteva za bilo koji laptop Kompanije kojem je dodeljena privilegija da koristi bežični pristup:

• Windows, Linux, MacOS
• Antivirusni softver
• Šifrovanje celog diska
• Odgovarajući VPN

Ako vaš laptop nema sve ove softverske komponente, obavestite svog nadređenog ili šefa odeljenja kako bi ove komponente mogle da se instaliraju.

Uslovi za obuku – Kada dobijete odobrenje za bežični pristup na vašem računaru Kompanije, biće neophodno da prisustvujete obuci o korišćenju i bezbednosti koju će obezbediti Službenik za privatnost ili odgovarajuće osoblje. Ova obuka će pokriti osnove povezivanja na bežične mreže, obezbeđivanje računara kada je povezan na bežičnu mrežu i pravilan način za isključivanje sa bežičnih mreža. Ova obuka će biti sprovedena u razumnom vremenskom roku nakon što se odobri bežični pristup i u većini slučajeva će istovremeno obuhvatiti nekoliko pojedinaca.

5.2              UPOTREBA PRENOSIVIH MEDIJA

• • Podaci mogu da se razmenjuju između radnih stanica/mreža Kompanije i radnih stanica koje se koriste unutar Kompanije. Sama priroda razmene podataka zahteva da se u određenim situacijama podaci razmenjuju na ovaj način.Prenosivi medijumi uključeni u opseg ove politike obuhvataju, ali nisu ograničeni na, SD kartice, DVD-ove, CD-ROM-ove i USB drajvove.Svrha ove politike je da usmerava zaposlene/podizvođače Kompanije u pravilnom korišćenju prenosivih medija kada postoji legitiman poslovni zahtev za prenos podataka na mreže Kompanije i sa njih. Pretpostavlja se da svaka radna stanica ili server koji su koristili zaposleni u Kompaniji ili podizvođači ima osetljive informacije uskladištene na svom hard disku. Zbog toga je neophodno da se pažljivo prate procedure prilikom kopiranja podataka na prenosive medije ili sa njih kako bi se zaštitili osetljivi podaci Kompanije. Pošto se prenosivi mediji, u skladu sa samim svojim dizajnom, lako gube, potrebno je obratiti pažnju na brigu o ovim uređajima i njihovu zaštitu. S obzirom da je velika verovatnoća da će zaposlenom Kompanije neki spoljašnji izvor obezbediti prenosivi medij za razmenu informacija, neophodno je da svi zaposleni imaju uputstva za pravilno korišćenje medija drugih kompanija.Upotreba prenosivih medija u različitim formatima uobičajena je praksa u Kompaniji. Svi korisnici moraju biti svesni da osetljivi podaci mogu potencijalno da budu izgubljeni ili kompromitovani kada se prenesu van mreža Kompanije. Prenosivi mediji koji se dobiju od eksternog izvora mogu potencijalno da predstavljaju pretnju mrežama Kompanije.USB drajvovi su praktični uređaji koji omogućavaju prenos podataka u formatu koji je jednostavan za nošenje. Oni pružaju znatno poboljšani format za prenos podataka u poređenju sa prethodnim formatima medija, kao što su diskete, CD-ROM-ovi ili DVD-ovi. Softverski drajveri neophodni za korišćenje USB drajvova obično su uključeni u okviru samog uređaja i automatski se instaliraju kada se on poveže. Oni sada dolaze u robusnom titanijumskom formatu koji može da se okači na bilo koji privezak za ključeve. Ovi faktori ih čine lakim za upotrebu i nošenje, ali ih je, nažalost, lako izgubiti.Pravila koja regulišu upotrebu prenosivih medija uključuju:
    • Nikakvi osetljivi podaci ne bi trebalo da se čuvaju na prenosivim medijima, osim ako se podaci ne čuvaju u šifrovanom formatu.
    • Svi USB drajvovi koji se koriste za čuvanje podataka Kompanije ili osetljivih podataka moraju biti šifrovani USB drajvovi koje izdaje Službenik za privatnost ili odgovarajuća osoba. Upotreba ličnog USB drajva strogo je zabranjena.
    • Korisnici nikada ne smeju da povezuju svoje prenosive medije na radnu stanicu koju nije obezbedila Kompanija.
    • Radne stanice i prenosni računari koji nisu kompanijski možda nemaju iste standarde bezbednosne zaštite koje zahteva Kompanija i, shodno tome, virusi bi potencijalno mogli da se prenesu sa uređaja koji nije kompanijski na medij, a zatim nazad na radnu stanicu Kompanije.

    Primer: Nemojte kopirati unakrsnu tabelu s posla na svoj USB drajv kako biste je poneli kući da radite na kućnom računaru.

6            Uklanjanje spoljašnjih medija / hardvera

6.1              UKLANJANJE SPOLJAŠNJIH MEDIJA

Neophodno je pridržavati se sledećih koraka:

• Odgovornost svakog zaposlenog je da identifikuje medije koje treba da budu isečeni, kao i da iskoristi ovu politiku za njihovo uništavanje.
• Spoljašnje medije nikada ne treba bacati u smeće.
• Kada više nisu potrebni, svi oblici spoljnih medija šalju se Službeniku za privatnost ili odgovarajućem osoblju radi pravilnog uklanjanja.
• Mediji će biti obezbeđeni sve dok se ne upotrebe odgovarajuće metode uništavanja na osnovu smernica NIST 800-88.

6.2              ZAHTEVI U VEZI SA OPREMOM

Sa sve opreme koju treba ukloniti treba obrisati sve podatke, a sva podešavanja i konfiguracije treba da budu vraćene na fabričke vrednosti. Neće biti napravljena nikakva druga podešavanja, konfiguracije, instalacije softvera ili opcija. Oznake sredstava i svi drugi identifikacioni logotipi ili oznake biće uklonjeni.

6.3              ODLAGANJE VIŠKA OPREME

Kako starije računare i opremu Kompanije zamenjuju novi sistemi, starije mašine se čuvaju u inventaru za širok spektar upotrebe:

• Starije mašine se redovno koriste za rezervne delove.
• Starije mašine se koriste na bazi hitne zamene.
• Starije mašine se koriste za testiranje novog softvera.
• Starije mašine se koriste kao rezervne kopije za drugu produkcionu opremu.
• Starije mašine se koriste kada je potrebno obezbediti drugu mašinu za osoblje koje redovno putuje.
• Starije mašine se koriste kada treba obezbediti drugu mašinu za osoblje koje često radi od kuće.

7            Upravljanje promenama

Izjava o politici

U cilju osiguravanja da Kompanija prati promene na mrežama, sistemima i radnim stanicama, uključujući izdanja softvera i zakrpe softverskih ranjivosti u informacionim sistemima koji sadrže elektronske zaštićene informacije. Praćenje promena omogućava Odeljenju za informacione tehnologije („IT“) da efikasno rešava probleme koji nastaju usled ažuriranja, nove implementacije, rekonfiguracije ili druge promene sistema.

Procedura

1. IT osoblje ili drugi imenovani zaposleni u Kompaniji koji ažuriraju, implementiraju, rekonfigurišu ili na drugi način menjaju sistem moraju pažljivo da evidentiraju sve promene napravljene na sistemu.
   1. Kada se promene prate u okviru sistema, tj. Windows ažuriranja u komponenti Add or Remove Programs ili ažuriranja elektronskih zapisa koje je izvršio i evidentirao dobavljač, one ne moraju da se zabeleže u evidenciji praćenja upravljanja promenama; međutim, zaposleni koji sprovodi promenu će obezbediti da praćenje promena bude dostupno za pregled ukoliko je potrebno.
2. Zaposleni koji sprovodi promenu će se pobrinuti da se naprave sve neophodne rezervne kopije podataka pre promene.
3. Zaposleni koji sprovodi promenu takođe treba da bude upoznat sa procesom vraćanja u prethodno stanje u slučaju da promena izazove negativan efekat u sistemu i da treba da bude uklonjena.

8          Pregled aktivnosti informacionog sistema

Izjava o politici

U cilju uspostavljanja procesa za sprovođenje, na periodičnoj osnovi, operativnog pregleda aktivnosti sistema uključujući, ali ne ograničavajući se na, korisničke naloge, pristup sistemu, pristup datotekama, bezbednosne incidente, zapisnike revizije i izveštaj o pristupu. Kompanija će redovno sprovoditi internu reviziju evidencije o aktivnostima sistema kako bi se narušavanje bezbednosti svelo na minimum.

Procedura

1. Pogledajte politiku pod nazivom Kontrole revizije za opis tehničkih mehanizama koji prate i beleže aktivnosti nad informacijama Kompanije.
2. Službe informacionih tehnologija će biti odgovorne za sprovođenje revizija aktivnosti informacionih sistema Kompanije. Takva osoba(e) će imati odgovarajuće tehničke veštine u vezi sa operativnim sistemom i aplikacijama kako bi pristupila zapisnicima revizije i povezanim informacijama i tumačila ih na odgovarajući način.
3. Službenik za bezbednost će razviti format izveštaja u kojem će se zabeležiti revizija Kompanije. Takav izveštaj će uključivati ime revizora, datum i vreme izvođenja i značajne nalaze koji opisuju događaje koji zahtevaju dodatne mere (npr. dodatna istraga, obuka zaposlenih i/ili disciplinske mere, prilagođavanja programa, izmene zaštitnih mehanizama). U meri u kojoj je to moguće, takav izveštaj će biti u formatu kontrolne liste..
4. Takve revizije će se sprovoditi jednom godišnje. Kontrole poslovanja će se takođe sprovoditi ako Kompanija ima razloga da sumnja u malverzacije. Prilikom sprovođenja ovih kontrola, Službe informacionih tehnologija će pregledati zapisnike revizije u potrazi za događajima od značaja za bezbednost uključujući, ali ne ograničavajući se na, sledeće:
   1. Prijavljivanja – Skeniranje uspešnih i neuspešnih prijavljivanja. Identifikacija više neuspešnih pokušaja prijavljivanja, zaključavanja naloga i neovlašćenog pristupa.
   2. Pristupanja datotekama – Skeniranje uspešnih i neuspešnih pristupa datotekama. Identifikacija više neuspešnih pokušaja pristupa, neovlašćenih pristupa i neovlašćenog kreiranja, modifikovanja ili brisanja datoteke.
   3. Bezbednosni incidenti – Ispitivanje zapisa sa bezbednosnih uređaja ili zapisnike revizije sistema u potrazi za događajima koji predstavljaju kompromitovanje sistema, neuspešne pokušaje kompromitovanja, zlonamernu logiku (npr. virusi, crvi), uskraćivanje usluge ili incidente skeniranja/ispitivanja.
   4. Korisnički nalozi – Pregled korisničkih naloga u svim sistemima kako bi se osiguralo da korisnici koji više nemaju poslovnu potrebu za informacionim sistemima više nemaju takav pristup informacijama i/ili sistemu.

Sva značajna otkrića će biti zabeležena korišćenjem formata izveštaja navedenog u Odeljku 2 ove politike i procedure.

1. Službe za informacione tehnologije će sve popunjene izveštaje, kao i preporučene radnje koje treba preduzeti kao odgovor na otkrića proslediti Službeniku za bezbednost na pregled. Službenik za bezbednost je odgovoran za održavanje takvih izveštaja. Službenik za bezbednost će uzeti u obzir takve izveštaje i preporuke prilikom odlučivanja da li je potrebno izvršiti promene u administrativnim, fizičkim i tehničkim zaštitnim mehanizmima Kompanije. U slučaju da se takvom kontrolom otkrije bezbednosni incident, ta pitanja će se rešavati u skladu sa politikom pod nazivom Odgovornosti zaposlenih (Prijavite bezbednosne incidente).

9        Integritet podataka

Izjava o politici

Kompanija će implementirati i održavati odgovarajuće elektronske mehanizme za potvrđivanje da podaci nisu izmenjeni ili uništeni na neovlašćen način.

Svrha ove politike je da zaštiti podatke Kompanije od neprikladne izmene ili uništenja.

Procedura

U najvećoj mogućoj meri, Kompanija će koristiti aplikacije sa ugrađenom inteligencijom koja automatski proverava ljudske greške.

Kompanija će nabaviti odgovarajuće sisteme za otkrivanje upada koji se zasnivaju na mreži i na hostu. Službenik za bezbednost je odgovoran za instaliranje, održavanje i ažuriranje takvih sistema.

Da bi sprečila greške u prenosu prilikom prelaska podataka sa jednog računara na drugi, Kompanija će koristiti šifrovanje, na način na koji se utvrdi da je prikladno, kako bi sačuvala integritet podataka.

Kompanija će proveriti moguće dupliranje podataka u svojim računarskim sistemima kako bi sprečila lošu integraciju podataka između različitih računarskih sistema.

Da bi sprečila programske ili softverske greške, Kompanija će testirati svoje informacione sisteme na tačnost i funkcionalnost pre nego što počne da ih koristi. Kompanija će ažurirati svoje sisteme kada IT dobavljači objave ispravke za rešavanje poznatih grešaka ili problema.

1. Kompanija će instalirati i redovno ažurirati antivirusni softver na svim radnim stanicama kako bi otkrila i sprečila zlonamerni kôd da promeni ili uništi podatke.
2. Kako bi sprečili izlaganje magnetnih medija jakom magnetnom polju, zaposleni će držati magnetne medije dalje od jakih magnetnih polja i toplote. Na primer, računare ne bi trebalo ostavljati u automobilima tokom letnjih meseci.

10      Plan za vanredne situacije

Izjava o politici

U cilju uspostavljanja i primenjivanja politika i procedura za reagovanje na hitan slučaj ili drugu pojavu (npr. požar, vandalizam, kvar sistema, prirodna katastrofa) koja oštećuje sisteme.

Kompanija je posvećena održavanju formalne prakse za reagovanje na hitan slučaj ili drugu pojavu koja nanosi štetu. Kompanija će kontinuirano procenjivati potencijalne rizike i ranjivosti kako bi zaštitila informacije u svom posedu i razvijala, sprovodila i održavala odgovarajuće administrativne, fizičke i tehničke mere bezbednosti u skladu sa bezbednosnim pravilom.

Procedura

1. Plan pravljenja rezervne kopije podataka
   1. Kompanija, pod upravljanjem Službenika za bezbednost, će primeniti plan pravljenja rezervne kopije podataka radi kreiranja i održavanja dostupnom rezervne kopije podataka.
   2. Na kraju svakog dana, od ponedeljka do petka, inkrementalna rezervna kopija svih servera biće napravljena na NAS-u. U subotu će biti napravljena kompletna rezervna kopija svih servera na NAS-u. Na udaljenoj lokaciji će se uvek održavati poslednjih mesec dana rezervnih kopija. Mediji za rezervne kopije koji više nisu u upotrebi biće uklonjeni u skladu sa Politikom uklanjanja spoljašnjih medija/hardvera.
   3. Službenik za bezbednost će nadgledati skladištenje i uklanjanje rezervnih kopija i obezbediti da se sprovode sve primenljive kontrole pristupa.
   4. Službenik za bezbednost će testirati procedure pravljenja rezervnih kopija na godišnjem nivou kako bi osigurao da se tačne kopije mogu preuzeti i učiniti dostupnim. Takvo testiranje će Službenik za bezbednost dokumentovati. U meri u kojoj takvo testiranje ukazuje na potrebu za poboljšanjem procedura pravljenja rezervnih kopija, Službenik za bezbednost će identifikovati i blagovremeno primeniti takva poboljšanja.
2. Plan za oporavak od katastrofe i aktivnosti u režimu vanredne situacije
   1. Službenik za bezbednost je odgovoran za razvoj i redovno ažuriranje pisanog plana za oporavak od katastrofe i aktivnosti u režimu vanredne situacije u svrhu:
      1. Vraćanja ili oporavka bilo kakvog gubitka i/ili sistema neophodnih da se blagovremeno učine dostupnim izazvanog požarom, vandalizmom, terorizmom, kvarom sistema ili drugim hitnim slučajevima; i
      2. Nastavljanje aktivnosti tokom perioda prilikom kojeg su informacioni sistemi nedostupni. Takav pisani plan će imati dovoljan nivo detalja i objašnjenja da osoba koja nije upoznata sa sistemom može da primeni plan u slučaju vanredne situacije ili katastrofe. Kopije plana će se čuvati na licu mesta i na mestima koja su van lokacije na kojima se čuvaju rezervne kopije ili na nekom drugom bezbednom mestu van lokacije.
   2. Plan za oporavak od katastrofe i aktivnosti u režimu vanredne situacije uključuje sledeće:
      1. Aktuelne kopije inventara informacionih sistema i konfiguracije mreže razvijene su i ažurirane kao deo analize rizika Kompanije.
      2. Aktuelna kopija pisanih procedura pravljenja rezervnih kopija razvijena i ažurirana u skladu sa ovom politikom.
      3. Inventar štampanih obrazaca i dokumenata koje je potrebno zabeležiti.
      4. Identifikacija tima za odgovor na hitne slučajeve. Članovi takvog tima su odgovorni za sledeće:
         1. Utvrđivanje uticaja katastrofe i/ili nedostupnosti sistema na poslovanje Kompanije.
         2. U slučaju katastrofe, obezbeđenje lokacije i kontinuirano fizičko obezbeđenje.
         3. Oporavak izgubljenih podataka.
         4. Identifikovanje i implementacija odgovarajućih „zaobilaznih rešenja“ tokom tog vremena za informacione sisteme koji nisu dostupni.
         5. Preduzimanje koraka koji su neophodni za obnavljanje aktivnosti.
      5. Procedure za reagovanje na gubitak elektronskih podataka uključujući, ali ne ograničavajući se na, oporavak i učitavanje rezervnih kopija podataka ili metode za ponovno kreiranje podataka ukoliko se dogodi da su rezervne kopije podataka nedostupne. Procedure treba da identifikuju redosled kojim se podaci vraćaju na osnovu analize kritičnosti koja je izvršena kao deo analize rizika Kompanije.
      6. Brojevi telefona i/ili e-mail adrese svih osoba koje treba kontaktirati u slučaju katastrofe, uključujući sledeće:
         1. Članovi tima za odgovor na hitne slučajeve,
         2. Objekti u kojima se čuvaju rezervne kopije podataka,
         3. Dobavljači informacionih sistema i
         4. Svi trenutni zaposleni.
   3. Tim za oporavak od katastrofe će se sastajati najmanje jednom godišnje da bi:
      1. Pregledali efikasnost plana u reagovanju na bilo koju katastrofu ili vanrednu situaciju koju je Kompanija doživela;
      2. U nedostatku takve katastrofe ili vanrednog stanja, planirali vežbe kako bi testirali efikasnost plana i procenili rezultate takvih vežbi; i
      3. Pregledali pisani plan za oporavak od katastrofe i aktivnosti u režimu vanredne situacije i napravili odgovarajuće izmene u planu. Službenik za bezbednost je odgovoran za sazivanje i vođenje zapisnika o takvim sastancima. Službenik za bezbednost je takođe odgovoran za reviziju plana na osnovu preporuka tima za oporavak od katastrofe.

11        Svest o bezbednosti i obuka

Izjava o politici

U cilju uspostavljanja svesti o bezbednosti i programa obuke za sve zaposlene Kompanije, uključujući menadžment.

Svi zaposleni će proći odgovarajuću obuku u vezi sa bezbednosnim politikama i procedurama Kompanije. Takva obuka će se sprovesti pre stupanja na snagu bezbednosnog pravila i na stalnoj osnovi za sve nove zaposlene. Takva obuka će se ponavljati svake godine za sve zaposlene.

Procedura

1. Program obuke o bezbednosti
   1. Službenik za bezbednost će biti odgovoran za razvoj i realizaciju početne obuke o bezbednosti. Svi članovi radne snage će proći takvu početnu obuku koja se bavi zahtevima bezbednosnih pravila, uključujući ažuriranja propisa. Obuka o bezbednosti biće obezbeđena za sve nove zaposlene kao deo procesa orijentacije. Pohađanje i/ili učešće u takvoj obuci biće obavezno za sve zaposlene. Službenik za bezbednost je odgovoran za održavanje odgovarajuće dokumentacije o svim aktivnostima obuke.
   2. Službenik za bezbednost je odgovoran za razvoj i realizaciju stalne obuke o bezbednosti koja se pruža zaposlenima kao odgovor na ekološke i operativne promene koje utiču na funkcionisanje Kompanije, dodavanje novog hardvera ili softvera i povećane pretnje.
2. Bezbednosni podsetnici
   1. Službenik za bezbednost će praviti i distribuirati svim zaposlenima rutinske bezbednosne podsetnike na redovnoj osnovi. Periodični podsetnici će se odnositi na bezbednost lozinke, zlonamerni softver, identifikaciju i reagovanje na incidente i kontrolu pristupa. Službenik za bezbednost može da realizuje takve podsetnike putem formalne obuke, poruka preko e-maila, diskusija tokom sastanaka osoblja, čuvara ekrana, banera za prijavljivanje, članaka u biltenu/intranetu, postera, promotivnih predmeta kao što su šolje za kafu, podloge za miša, lepljive beleške itd. Službenik za bezbednost je odgovoran za održavanje odgovarajuće dokumentacije svih periodičnih bezbednosnih podsetnika.
   2. Službenik za bezbednost će praviti i distribuirati posebna obaveštenja svim zaposlenima koji pružaju hitna ažuriranja, kao što su nove pretnje, opasnosti, ranjivosti i/ili protivmere.
3. Zaštita od zlonamernog softvera
   1. Kao deo gorepomenutih programa Obuke o bezbednosti i Bezbednosnih podsetnika, Službenik za bezbednost će realizovati obuku u vezi sa sprečavanjem, otkrivanjem, suzbijanjem i iskorenjivanjem zlonamernog softvera. Takva obuka će uključivati sledeće:
      1. Uputstvo za otvaranje sumnjivih priloga e-maila, e-maila od nepoznatih pošiljalaca i e-maila sa prevarama,
      2. Važnost ažuriranja antivirusnog softvera i kako da proverite radnu stanicu ili drugi uređaj da biste utvrdili da li je zaštita od virusa aktuelna,
      3. Uputstva da nikada ne preuzimate datoteke iz nepoznatih ili sumnjivih izvora,
      4. Prepoznavanje znakova potencijalnog virusa koji bi mogao da se provuče pored antivirusnog softvera ili da stigne pre ažuriranja antivirusnog softvera,
      5. Važnost redovnog pravljenja rezervnih kopija kritičnih podataka i čuvanja podataka na bezbednom mestu,
      6. Oštećenja uzrokovana virusima i crvima i
      7. Šta učiniti ako se detektuje virus ili crv.
4. Upravljanje lozinkama
   1. Kao deo gorepomenutog Programa obuke o bezbednosti i Bezbednosnih podsetnika, Službenik za bezbednost će realizovati obuku u vezi sa upravljanjem lozinkama. Takva obuka će se baviti značajem poverljivosti lozinki u održavanju računarske bezbednosti, kao i sledećim zahtevima u vezi sa lozinkama:
      1. Lozinke se moraju menjati svakih 365 dana.
      2. Korisnik ne može ponovo da koristi poslednjih 6 lozinki.
      3. Lozinke moraju imati najmanje osam znakova i moraju da sadrže velika slova, mala slova, brojeve i specijalne znakove.
      4. Često korišćene reči, imena, inicijali, rođendani ili brojevi telefona ne treba da se koriste kao lozinke.
      5. Lozinka mora odmah da se promeni, ako se sumnja da je otkrivena ili se zna da je otkrivena.
      6. Lozinke ne smeju da se otkrivaju drugim zaposlenima (uključujući bilo koga ko tvrdi da mu je potrebna lozinka kako bi „popravio“ računar ili rešio hitnu situaciju) ili pojedincima, uključujući članove porodice.
      7. Lozinke se ne smeju zapisivati, postavljati ili izlagati na nebezbedan način, kao što je u beležnici ili na radnoj stanici.
      8. Zaposleni treba da odbiju sve ponude softvera i/ili internet sajtova za automatsko prijavljivanje sledećeg puta kada pristupe tim resursima.
      9. Svaki zaposleni kome Službenik za bezbednost naloži da promeni lozinku kako bi bio u skladu sa gorenavedenim standardima, će to učiniti odmah.

12        Proces upravljanja bezbednošću

Izjava o politici

U cilju osiguravanja da Kompanija sprovodi preciznu i temeljnu procenu potencijalnih rizika i ranjivosti po pitanju poverljivosti, integriteta i dostupnosti.

Kompanija će sprovesti preciznu i temeljnu analizu rizika koja će poslužiti kao osnova za aktivnosti Kompanije u pogledu usklađenosti sa pravilima bezbednosti. Kompanija će ponovo proceniti bezbednosne rizike i proceniti efikasnost svojih bezbednosnih mera i zaštitnih mera po potrebi, u svetlu promena u poslovnim praksama i tehnološkom napretku.

Procedura

1. Službenik za bezbednost će biti odgovoran za koordinaciju analize rizika Kompanije. Službenik za bezbednost će identifikovati odgovarajuće osobe unutar organizacije koje će pomoći u analizi rizika.
2. The risk analysis shall proceed in the following manner:
   1. Dokumentovanje trenutnih informacionih sistema Kompanije.
      1. Ažuriranje/razvijanje inventara informacionih sistema. Nabrajanje sledećih informacija za sav hardver (tj. mrežne uređaje, radne stanice, štampače, skenere, mobilne uređaje) i softver (tj. operativni sistem, razne aplikacije, interfejse): datum nabavke, lokacija, dobavljač, licence, raspored održavanja i funkcija. Ažuriranje/razvijanje mrežnog dijagrama koji ilustruje kako je mreža informacionog sistema Kompanije konfigurisana.
      2. Ažuriranje/razvijanje rasporeda objekta koji prikazuje lokaciju sve opreme informacionih sistema, izvora napajanja, telefonskih utičnica i druge telekomunikacione opreme, mrežnih pristupnih tačaka, opreme za dojavu požara i provale i skladišta opasnih materija.
      3. Za svaku identifikovanu aplikaciju, identifikacija svakog korisnika licence ( ovlašćenog korisnika) prema poslovnom zvanju i opisivanje načina na koji se daje ovlašćenje.
      4. Za svaku identifikovanu aplikaciju:
         1. Opisivanje podataka povezanih sa tom aplikacijom..
         2. Određivanje da li je podatke kreirala organizacija ili su primljeni od trećih lica. Ako su podaci primljeni od trećih lica, navođenje tih lica i svrhu i način prijema.
         3. Određivanje da li se podaci održavaju samo u okviru organizacije ili se prenose trećim licima. Ako se podaci prenose trećim licima, navesti ta lica i svrhu i način prenosa.
         4. Definisanje kritičnosti aplikacije i povezanih podataka kao visoke, srednje ili niske. Kritičnost je stepen uticaja na organizaciju ako su aplikacija i/ili povezani podaci bili nedostupni tokom određenog vremenskog perioda.
         5. Definisanje osetljivosti podataka kao visoka, srednja ili niska. Osetljivost je priroda podataka i šteta koja može da nastane usled povrede poverljivosti ili bezbednosnog incidenta.
         6. Za svaku identifikovanu aplikaciju, identifikovanje različitih bezbednosnih kontrola koje su trenutno na snazi i pronalaženje svih pisanih smernica i procedura koje se odnose na takve kontrole.
      5. Identifikacija i dokumentovanje pretnji poverljivosti, integritetu i dostupnosti (koje se nazivaju „činioci pretnje“), koje Kompanija prima, održava ili prenosi. Uzeti u obzir sledeće:
         1. Prirodne pretnje, npr. zemljotresi, štete od oluje.
         2. Pretnje po životnu sredinu, npr. šteta od požara i dima, nestanak struje, problemi sa komunalnim uslugama.
         3. Ljudske pretnje
            1. Slučajne radnje, npr. greške i propusti u unosu, neispravno programirane aplikacije ili procedure obrade, neuspešno ažuriranje/nadogradnja softvera/sigurnosnih uređaja, nedostatak adekvatnih finansijskih i ljudskih resursa za podršku neophodnim bezbednosnim kontrolama
            2. Neprikladne aktivnosti, npr. neprikladno ponašanje, zloupotreba privilegija ili prava, nasilje na radnom mestu, rasipanje korporativne imovine, uznemiravanje
            3. Nezakonito delovanje i namerni napadi, npr. prisluškivanje, špijuniranje, prevara, krađa, vandalizam, sabotaža, ucena
            4. Spoljašnji napadi, npr. zlonamerno krekovanje, skeniranje, demonsko biranje, unošenje virusa
         4. Identifikacija i dokumentovanje propusta u informacionim sistemima Kompanije. Ranjivost je nedostatak ili slabost u bezbednosnim politikama i procedurama, dizajnu, implementaciji ili kontrolama koja može biti slučajno pokrenuta ili namerno iskorišćena, što dovodi do neovlašćenog pristupa, modifikacije, uskraćivanja usluge ili poricanja (tj. nemogućnosti da se identifikuje izvor i da neka osoba bude odgovorna za akciju). Da biste izvršili ovaj zadatak, izvršite samoanalizu koristeći standarde i specifikacije implementacije kako biste identifikovali ranjivosti.
   2. Utvrdite i dokumentujte verovatnoću i kritičnost identifikovanih rizika.
      1. Dodelite nivo verovatnoće, npr. verovatnoću bezbednosnog incidenta koji uključuje identifikovani rizik.
         1. „Veoma verovatno“ (3) se definiše kao verovatna šansa da se dogodi.
         2. „Verovatno“ (2) se definiše kao velika šansa da se dogodi.
         3. „Nije verovatno“ (1) se definiše kao umerena ili neznatna šansa da se dogodi.
      2. Dodelite nivo kritičnosti.
         1. „Visoko“ (3) se definiše da ima katastrofalan uticaj na funkcionisanje, uključujući značajan broj zapisa koji mogu da budu izgubljeni ili kompromitovani.
         2. „Srednje“ (2) se definiše da ima značajan uticaj, uključujući umereni broj zapisa unutar kompanije koji mogu da budu izgubljeni ili kompromitovani.
         3. „Nisko“ (1) se definiše da ima umeren ili neznatan uticaj, uključujući mali broj zapisa koji mogu da budu izgubljeni ili kompromitovani.
      3. Odredite ocenu rizika za svaki identifikovani rizik. Pomnožite ocenu verovatnoće i ocenu kritičnosti. Rizici sa većom ocenom rizika zahtevaju neposredniju pažnju.
   3. Identifikacija i dokumentovanje odgovarajućih mera bezbednosti i zaštitnih mehanizama za rešavanje ključnih ranjivosti. Da biste izvršili ovaj zadatak, pregledajte ranjivosti koje ste identifikovali u vezi sa standardima i specifikacijama implementacije. Fokusirajte se na one ranjivosti koje imaju visoku ocenu rizika, kao i na specifične mere bezbednosti i zaštitne mehanizme koje zahteva Pravilo bezbednosti.
   4. Razvijte i dokumentujte strategiju implementacije kritičnih mera bezbednosti i zaštitnih mehanizama.
      1. Odredite vremenski okvir za implementaciju.
      2. Odredite troškove takvih mera i zaštitnih mehanizama i obezbedite finansiranje.
      3. Dodelite odgovornost za primenu specifičnih mera i zaštitnih mehanizama odgovarajućoj osobi (osobama).
      4. Napravite neophodna prilagođavanja na osnovu iskustava u implementaciji.
      5. Dokumentujte stvarne datume završetka.
   5. Procenite efikasnost mera i zaštitnih mehanizama nakon implementacije i izvršite odgovarajuća prilagođavanja.
3. Službenik za bezbednost je odgovoran za identifikaciju odgovarajućih vremena za sprovođenje naknadnih procena i koordinaciju tih procena. Službenik za bezbednost će identifikovati odgovarajuće osobe u kompaniji da pomognu u takvim procenama. Takve procene će se sprovoditi po nastanku jednog ili više od sledećih događaja: promene bezbednosnih propisa; novi savezni, državni ili lokalni zakoni ili propisi koji utiču na bezbednost; promene u tehnologiji, ekološkim procesima ili poslovnim procesima koje mogu uticati na bezbednosne politike ili procedure; ili nastanak ozbiljnog bezbednosnog incidenta. Naredne procene će uključivati sledeće:
   1. Inspekcije, pregledi, intervjui i analize za procenu adekvatnosti administrativnih i fizičkih zaštitnih mehanizama. Takva evaluacija će uključivati intervjue za procenu usaglašenosti zaposlenih; inspekcije nakon radnog vremena radi procene fizičke bezbednosti, zaštite lozinkom (tj. nisu postavljene) i prekinutih sesija radnih stanica (tj. zaposleni su odjavljeni); pregled najnovijih bezbednosnih politika i procedura za ispravnost i potpunost; i inspekcija i analiza obuka, incidenata i evidencije medija radi usaglašenosti.
   2. Analizu za procenu adekvatnosti kontrola unutar mreže, operativnih sistema i aplikacija. Po potrebi, Kompanija će angažovati spoljne dobavljače da procene postojeće fizičke i tehničke mere bezbednosti i da daju preporuke za poboljšanje.

SMART VISION DOO Politika i procedura
Naslov: Politika informacione bezbednosti
Datum odobrenja: 29.9.2023.	Sledeća revizija:
Datum stupanja na snagu: 1.8.2023.	Informaciona tehnologija

Generalni direktor Ivica Stanković, Beograd, Srbija