Politika bezpečnosti informačných systémov pre dodávateľov spoločnosti Budimex S.A.
1. ÚČEL
Účelom tohto dokumentu je oznámiť povinnosti a zodpovednosti všetkým dodávateľom, ktorí poskytujú svoje služby spoločnosti Budimex S.A. (a jej zamestnancom), v súvislosti s ochranou informačných aktív, ku ktorým bude mať dodávateľ prístup a ktoré budú predmetom spracovania v rámci poskytovanej služby.
2. ROZSAH
Tento dokument je politikou bezpečnosti informačných systémov, ktorú majú dodržiavať dodávatelia spoločnosti Budimex S.A., ďalej len politika.
Ustanovenia obsiahnuté v tomto dokumente upravujú dve základné oblasti ochrany informácií:
• Služby poskytované dodávateľom na základe informačných systémov zverených spoločnosťou Budimex a/alebo informačných systémov napojených na IT infraštruktúru spoločnosti Budimex.
• Služby poskytované dodávateľom na základe vlastných informačných systémov, avšak spracúvané údaje sú buď vo vlastníctve alebo pod ochranou spoločnosti Budimex (napr. osobné údaje zamestnancov spoločnosti Budimex)
3. ZODPOVEDNOSŤ
Spoločnosť Budimex S.A. vynakladá maximálne úsilie na zabezpečenie efektívneho a bezpečného chodu podniku, aby v maximálnej miere uspokojila potreby zákazníkov, zainteresované osoby a zamestnancov spoločnosti. Táto osobitná starostlivosť vedenia spoločnosti sa prejavuje minimalizáciou prevádzkového rizika zabezpečením primeranej úrovne bezpečnosti pri spracovaní informačných aktív. Na tento účel sa vedenie spoločnosti Budimex S.A. rozhodlo implementovať nariadenia o informačnej bezpečnosti.
Tento dokument je vyjadrením zámeru zabezpečiť bezpečnosť informačných aktív implementujúcich politiku informačnej bezpečnosti pre aktíva zverejnené pre dodávateľov spoločnosti Budimex a nimi spracované aktíva.
4. DEFINÍCIE
Informačné aktíva – informácie a systémy, infraštruktúra, zariadenia a softvér používaný na spracovanie informácií.
Informačná bezpečnosť – zabezpečená dôvernosť, integrita a dostupnosť informačných aktív.
Osobné údaje – akékoľvek informácie týkajúce sa fyzickej osoby, ktorej identita je známa alebo môže byť priamo alebo nepriamo určená.
Incident informačnej bezpečnosti – nežiaduca udalosť alebo séria udalostí, ktoré pravdepodobne spôsobia narušenie obchodných operácií a môžu mať vplyv na bezpečnosť informačných aktív.
Informácie – akékoľvek informácie bez ohľadu na ich formu, t. j. v elektronickej forme, v papierovom dokumente alebo ústne odovzdané.
Utajované skutočnosti – pojem je definovaný v zákone z 5. augusta 2010 o ochrane utajovaných skutočností. Ide o informácie, ktoré si vyžadujú ochranu pred neoprávneným zverejnením ako štátne alebo služobné tajomstvo bez ohľadu na spôsob ich vyjadrenia.
Spracovanie informácií – akýkoľvek proces, ktorému môže byť informácia podrobená, či už ide o vytváranie, zhromažďovanie, zaznamenávanie, ukladanie, čítanie, upravovanie, zverejňovanie, mazanie atď.
Používateľ – každý, kto má prístup k informačným aktívam spoločnosti Budimex; to zahŕňa zamestnancov, dočasných zamestnancov, konzultantov, zaúčané osoby, zákazníkov atď.
5. POPIS POSTUPU – VŠEOBECNÉ PRAVIDLÁ
5.1 Súlad s politikou
5.1.1 Politika je súčasťou pravidiel a postupov, ktoré upravujú vzťahy medzi zmluvnými stranami. Politika podlieha pravidelnej kontrole. Súlad s politikou je predpokladom plnenia v súlade so zmluvou.
5.2 Súlad so zákonom
5.2.1 Zmluvné strany sú povinné dodržiavať zákony a predpisy vzťahujúce sa na informačné technológie.
5.2.2 Akékoľvek použitie zdrojov informačných systémov, ktoré má za následok porušenie práv duševného vlastníctva, je prísne zakázané.
5.2.3 Akákoľvek inštalácia softvéru alebo iné ukladanie údajov v informačnom systéme poskytnutom spoločnosťou Budimex, ktoré boli získané spôsobom, ktorý zo spoločnosti Budimex nerobí jeho oprávneného používateľa, je porušením politiky.
5.3 Vlastnícke práva a ochrana informácií uložených v elektronickej podobe.
5.3.1 Údaje a informácie uložené, spracúvané a/alebo prenášané prostredníctvom informačných systémov, ktoré vlastní Budimex, sú pod neustálym dohľadom. To zahŕňa zber údajov, monitorovanie, vstup do záznamníka udalostí a kontrolu. Tento neustály dohľad je zameraný na ochranu záujmov spoločnosti Budimex, ako aj dodávateľa.
5.3.2 Údaje a informácie sú vlastníctvom spoločnosti Budimex alebo dodávateľa, a vyžaduje sa podobná starostlivosť ako v prípade iného majetku spoločnosti.
5.3.3 Údaje a informácie týkajúce sa spoločnosti Budimex uložené v akejkoľvek forme alebo v informačnom systéme nie je možné odstrániť bez povolenia. Akékoľvek vymazanie/zničenie sa môže uskutočniť len s predchádzajúcim súhlasom a spôsobom dohodnutým s vlastníkom údajov.
5.3.4 Údaje a informácie zverené dodávateľovi alebo vytvorené v rámci služieb poskytovaných spoločnosti Budimex, ako aj tie, ktoré má pod kontrolou dodávateľ, musí dodávateľ náležite chrániť pred zničením, poškodením a neoprávneným prístupom dostupnými prostriedkami.
5.3.5 Dodávateľ musí vždy zabezpečiť, aby boli zavedené vhodné obranné mechanizmy, ktoré zodpovedajú systémom pod kontrolou dodávateľa a s ohľadom na údaje/informácie v nich obsiahnuté. Dodávateľ nesie plnú zodpovednosť za to, že sa pravidelne vytvára záložná kópia dát spoločnosti Budimex uložených v mobilnom IT zariadení. Dáta a informácie budú uchovávané v mobilnom zariadení v minimálnom rozsahu a len po dobu potrebnú na dokončenie rozsahu poskytovanej služby. Ak je to možné, dáta sa uchovávajú na sieťových diskoch.
5.3.6 Mobilné IT zariadenie prenášajúce životne dôležité a/alebo utajované údaje a informácie týkajúce sa spoločnosti Budimex musia byť vybavené technológiou na ochranu údajov proti neoprávnenému prístupu schválenou zmluvnými stranami.
5.3.7 Žiadne údaje vlastnené spoločnosťou Budimex nemožno spracúvať ani uchovávať v zariadeniach, ktoré nevlastní spoločnosť Budimex (napr. domáce počítače) bez písomného súhlasu.
5.3.8 Doba a spôsob, akým sú elektronické údaje uchovávané v informačnom systéme, musí zodpovedať predpokladom prijatým pre daný systém (doba uchovávania dokumentov).
5.3.9 Akékoľvek zariadenie, ktoré nie je schválené spoločnosťou Budimex, nie je možné pripojiť k informačnému systému spoločnosti Budimex. Akékoľvek pripojenie firemných alebo súkromných mobilných telefónov k informačným systémom spoločnosti Budimex je prísne zakázané.
5.3.10 Cez internet nemožno posielať žiadne tajné alebo dôverné údaje. Životne dôležité informácie (ktoré nie sú ani tajné ani dôverné) prijaté alebo odoslané cez internet musia byť zašifrované podľa smerníc existujúcej bezpečnostnej politiky.
6. POPIS POSTUPU – PRAVIDLÁ PLATNÉ PRE SYSTÉMY ZDIEĽANÉ SPOLOČNOSŤOU BUDIMEX S DODÁVATEĽOM
6.1 IT technológie používané na obchodné účely
6.1.1 Zamestnanci dodávateľa, ktorí sú používateľmi informačných systémov poskytovaných spoločnosťou Budimex, môžu príležitostne použiť vyššie uvedené prostriedky na svoje súkromné účely, avšak tento spôsob použitia nemôže nikdy zasahovať do ich obchodných povinností a nemôže byť v žiadnom prípade v rozpore so záujmom spoločnosti Budimex.
6.1.2 Akékoľvek použitie zdrojov informačných systémov poskytovaných spoločnosťou Budimex na akúkoľvek zárobkovú činnosť spojenú s iným subjektom ako spoločnosťou Budimex je vylúčené.
6.2 Kontrola prístupu k informáciám z elektronických zdrojov.
6.2.1 Kontrola prístupu k údajom uloženým v informačných systémoch spoločnosti Budimex je povinná. Používatelia majú prístup ku každému systému v rozsahu, ktorý si vyžaduje konkrétna úloha.
6.2.2 Získanie prístupu zahŕňa individuálne ID poverenia a heslo na jednoznačnú identifikáciu používateľa v informačnom systéme a na ochranu pred neoprávneným prístupom.
6.2.3 Heslá sa vytvárajú podľa špecifických pravidiel definujúcich počet znakov, vnútornú štruktúru a frekvenciu úprav.
6.2.4 Heslá musia byť uchovávané v tajnosti a nesmú byť prezradené žiadnej tretej osobe. Ak používateľ konajúci v mene dodávateľa prezradí svoje heslo tretej osobe, dodávateľ zostáva plne zodpovedný za integritu a dôvernosť zverených údajov. Ochrana heslom je vždy v záujme spoločnosti Budimex ako aj dodávateľa.
6.2.5 Používateľ, ktorého ID a heslo bolo použité na neoprávnený prístup do informačného systému, bude považovaný za neoprávneného používateľa informačného systému.
6.2.6 V prípade že používateľ dočasne opustí svoje pracovisko, jeho počítač bude uzamknutý (napr. v OS Windows je potrebné použiť kombináciu kláves CTRL-ALT-DEL + ENTER), aby sa zabránilo neoprávnenému použitiu tretími osobami.
6.2.7 Na pridávanie nových používateľov do informačného systému je povinný predchádzajúci súhlas spoločnosti Budimex.
6.2.8 Spoločnosť Budimex zmení heslo používateľa len na žiadosť oprávnenej osoby. Staré heslo sa nezverejní.
6.2.9 Akékoľvek použitie informačných systémov vo vlastníctve spoločnosti Budimex alebo tretích osôb nie je povolené bez predchádzajúceho súhlasu osoby oprávnenej v tomto smere udeľovať povolenia.
6.3 Ochrana zdieľaných zdrojov informačných systémov
6.3.1 Dodávateľ nie je oprávnený upravovať žiadne zariadenia vo vlastníctve spoločnosti Budimex, napr. inštalácia hardvérových častí alebo softvéru, alebo iným spôsobom bez predchádzajúceho písomného súhlasu príslušnej osoby zastupujúcej spoločnosť Budimex.
6.3.2 Dodávateľ vynaloží náležitú starostlivosť o vybavenie zverené spoločnosťou Budimex. Chráňte ho najmä pred krádežou, zabráňte poškodeniu pri preprave a manipulácii, zabezpečte správne skladovanie pri správnej teplote, nevystavujte silnému magnetickému poľu alebo zlým atmosférickým podmienkam.
6.3.3 Mimoriadna opatrnosť a pozornosť bude venovaná manipulácii s vymeniteľnými médiami (napr. CD-ROM a pod.) vytvorenými alebo používanými externe, nad rámec informačného systému spoločnosti Budimex. V akomkoľvek zariadení vo vlastníctve spoločnosti Budimex nie je povolené používať žiadne médium z neovereného alebo neznámeho zdroja. Všetky materiály tohto druhu musia byť najskôr skontrolované na prítomnosť vírusov a/alebo testované IT oddelením spoločnosti Budimex.
6.3.4 Inštaláciu softvéru na počítačoch spoločnosti Budimex zabezpečuje výhradne Budimex. Legálna inštalácia softvéru na podnikové použitie fyzickými osobami, ktoré nie sú zamestnancami spoločnosti Budimex, si vyžaduje písomný súhlas od spoločnosti Budimex.
6.3.5 Akákoľvek inštalácia a/alebo používanie súkromného softvéru v IT zariadeniach zverených spoločnosťou Budimex je zakázané.
6.3.6 V počítačovom zariadení spoločnosti Budimex musí byť vždy aktívna antivírusová ochrana poskytovaná prostredníctvom najnovšej verzie antivírusového softvéru dodávaného spoločnosťou Budimex. Vždy je potrebné dodržiavať pokyny spoločnosti Budimex na prevenciu vírusov. Patria sem aj prípady možnej likvidácie vírusov, ktoré by mohli infikovať informačný systém spoločnosti Budimex. V prípade zistenia akejkoľvek nepravidelnej aktivity antivírusového softvéru je používateľ povinný túto skutočnosť bezodkladne oznámiť IT kancelárii spoločnosti Budimex.
6.3.7 Všetky identifikované výskyty ohrozenia, narušenia a oslabenia bezpečnosti informačných systémov alebo prevádzky softvéru neautorizovaného spoločnosťou Budimex (bezpečnostné incidenty) musia byť okamžite nahlásené IT oddeleniu spoločnosti Budimex.
6.4 Elektronický prenos správ
6.4.1 Firemný poštový systém spoločnosti Budimex, ktorý môže byť sprístupnený používateľom konajúcim na zodpovednosť dodávateľa, je v spoločnosti Budimex uznávaným prostriedkom komunikácie a považuje sa za oficiálnu poštu.
6.4.2 Každý používateľ konajúci na zodpovednosť dodávateľa nesmie vo svojich správach distribuovaných elektronicky prezentovať akékoľvek súkromné názory a úsudky ako stanovisko spoločnosti Budimex.
6.4.3 Na elektronické zasielanie správ na počítačoch zverených spoločnosťou Budimex možno použiť len riešenia schválené spoločnosťou Budimex.
6.4.4 Na počítačoch zverených spoločnosťou Budimex nie je možné používať žiadne externé služby poskytované prostredníctvom webu (napr. Hotmail, Yahoo, WP, ONET, webové chaty, instantné správy atď.).
6.4.5 Aby sa predišlo akejkoľvek aktivite škodlivého softvéru (napr. vírusy), ktoré by mohli infikovať informačné systémy spoločnosti Budimex, musia byť okamžite odstránené akékoľvek neočakávané správy vrátane ich príloh od neznámeho odosielateľa. Nie je dovolené otvoriť žiadnu prílohu k žiadnej správe tohto druhu.
6.4.6 Obeh e-mailových správ v systéme podnikovej pošty spoločnosti Budimex musí byť obmedzený len na príjemcov, ktorí potrebujú poznať správu alebo príjemcov, ktorí sa priamo podieľajú na jej opodstatnenosti. Zoznamy adries by sa nemali používať, pokiaľ všetci príjemcovia nespĺňajú vyššie uvedené kritériá.
6.4.7 V systéme podnikovej pošty spoločnosti Budimex je potrebné sa vyhnúť veľkým prílohám v správach distribuovaných veľkému počtu príjemcov prostredníctvom zoznamov adries. Na obmedzenie veľkosti veľkých príloh by sa mal použiť kompresný softvér dodávaný spoločnosťou Budimex a/alebo by sa namiesto toho malo odoslať viacero správ.
6.4.8 Veľkosť firemnej schránky je obmedzená. Používateľ konajúci na zodpovednosť dodávateľa je povinný pravidelne odstraňovať neaktuálne správy.
6.5 Internet
6.5.1 Môže sa ukázať ako nevyhnutné poskytnúť dodávateľovi prístup na internet, aby boli služby podľa zmluvy zo strany spoločnosti Budimex riadne podporované. Prístup však podlieha určitým obmedzeniam stanoveným politikou bezpečnosti informačných systémov spoločnosti Budimex SA. Prístup na internet, či už so zariadením a/alebo prostredníctvom infraštruktúry poskytovanej spoločnosťou Budimex, je povolený len prostredníctvom riešení poskytovaných a schválených spoločnosťou Budimex
6.5.2 Používateľ konajúci na zodpovednosť dodávateľa nemôže za žiadnych okolností pripojiť zariadenie, ktoré mu bolo zverené, k internetu alebo inej sieti pomocou káblov, dial-up modemov alebo bezdrôtových riešení, pokiaľ zariadenie nie je zabezpečené riešeniami, ktoré sú v súlade s existujúcou politikou bezpečnosti informačných systémov spoločnosti Budimex SA. Akékoľvek pripojenie zvereného zariadenia do počítačovej siete, ktorá nie je vo vlastníctve skupiny Budimex Group, musí byť individuálne schválené spoločnosťou Budimex.
6.5.3 Budimex si vyhradzuje právo monitorovať internetové pripojenie, bez ohľadu na jeho povahu, kedykoľvek sú zapojené informačné systémy spoločnosti Budimex, a zablokovať prístup k webovým službám a stránkam, ak by boli v rozpore s politikou bezpečnosti informačných systémov spoločnosti Budimex SA.
6.5.4 Nižšie sú uvedené činnosti zakázané používateľom, ktorí konajú na zodpovednosť dodávateľa:
pokúšať sa obísť ochrany, kontrolu prístupu alebo mechanizmy filtrovania obsahu na internetovej bráne;
zámerne narúšať fungovanie siete šírením vírusov, hackerskými praktikami a spôsobovaním veľkého dátového toku, ktorý môže preťažiť sieť, a tak zabrániť aktivite iných používateľov;
prezradiť alebo zverejniť tajné alebo utajované informácie spoločnosti cez internet vrátane finančných údajov, nových nápadov a riešení súvisiacich so spoločnosťou, stratégií, marketingových plánov, databáz a záznamov v nich obsiahnutých, zoznamov zákazníkov, zdrojových kódov softvéru, prístupových kódov do počítača/siete a obchodných kontaktov atď.;
používať internet, elektronickú poštu alebo iné nástroje na založenie akýchkoľvek právnych alebo zmluvných väzieb bez požadovaných právomocí udelených predstavenstvom spoločnosti Budimex;
inak používať zdroje nevhodným spôsobom, ako to definuje Budimex.
6.6 Nevhodný obsah
6.6.1 Dodávateľ nesmie používať IT vybavenie poskytnuté spoločnosťou Budimex, ako aj zariadenie alebo príslušenstvo, na prezeranie, spracúvanie, výrobu a/alebo distribúciu materiálov medzi zamestnancami alebo kýmkoľvek mimo spoločnosti Budimex s obsahom spadajúcim do niektorej z nižšie uvedených kategórií:
týkajúci sa diskriminácie (rasovej alebo akejkoľvek inej povahy),
obťažovanie (sexuálne alebo akejkoľvek inej povahy),
predstavujúci hrozby,
obscénny,
pornografický,
urážlivý,
nezákonný.
6.6.2 Dodávateľ je povinný okamžite zničiť/odstrániť všetky materiály definované v bode 6.6.1. vyššie, prijaté z akéhokoľvek zdroja, a požadovať od tohto odosielateľa, aby ukončil vykonávanie týchto nevhodných praktík. O tejto skutočnosti bude bezodkladne informovaný riaditeľ informačnej bezpečnosti spoločnosti Budimex, vrátane e-mailovej adresy odosielateľa, predmetu a prijatých opatrení.
7. POPIS POSTUPU – PRAVIDLÁ PRE INFORMAČNÉ SYSTÉMY DODÁVATEĽA SPOLOČNOSTI BUDIMEX
V prípade, že dodávateľ pri poskytovaní svojej služby používa iný informačný systém, ako ten vo vlastníctve spoločnosti Budimex, a nie je vytvorené žiadne spojenie s infraštruktúrou spoločnosti Budimex, pred prijatím systému na podporu služby sú potrebné minimálne nasledovné požiadavky:
7.1 Softvér (operačný systém a aplikácie) by mal byť nainštalovaný a používaný v súlade so zákonom a príslušnými licenčnými podmienkami.
7.2 Operačný systém a všetky aplikácie musia pravidelne (najmenej raz za mesiac) prejsť bezpečnostnou aktualizáciou.
7.3 Každý systém s akoukoľvek schopnosťou interakcie s vonkajším prostredím (počítačová sieť, optická jednotka, USB port, disketová jednotka) musí byť vybavený aktuálnym a aktívnym antivírusovým softvérom (denne aktualizovaným). Pre systémy Windows je k dispozícii zoznam antivírusových partnerov na nasledovnom odkaze: http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7
7.4 Systémový čas musí byť presný a musí byť pravidelne synchronizovaný (v prípade sieťového prístupového systému: cez časový server; v prípade off-line systému: dokumentovaná synchronizácia aspoň raz za mesiac).
7.5 Systém musí mať funkčný a pravidelne overovaný záložný softvér (minimálne raz ročne testovaná obnova dát).
7.6 Celé prostredie, na ktorom je postavená služba spoločnosti Budimex, musí mať logiku a ochranu prostredia: zálohovanie napájania, ochrana proti neoprávnenému prístupu, fyzická aj logická.
7.7 Personál musí absolvovať zaškolenie o používaní a prevádzke systému.
8. DOKUMENTOVANÉ INFORMÁCIE
8.1 Správa dodávateľa z revízie organizačných a technických kontrol.
9. PRÍLOHY A FORMULÁRE
ŽIADNE
Posledná aktualizácia: 2017-02-07