Mēs cienām un aizsargājam privātumu

Dokumenta mērķis ir noteikt Budimex piegādātāja (un tā darbinieku) pienākumus un atbildību Budimex informācijas aktīvu aizsardzībā, kuriem Piegādātājam būs piekļuve un kurus tas apstrādās, sniedzot savus pakalpojumus.

Šis dokuments veido informācijas sistēmu drošības politiku Budimex SA piegādātājiem, turpmāk tekstā – “Politika”.

Turpmāk ietvertie noteikumi regulē divas informācijas drošības pamatjomas:

• pakalpojumu sniegšana, ko veic Piegādātājs, izmantojot Budimex uzticētās IT sistēmas un/vai Budimex infrastruktūrai pieslēgtās IT sistēmas,
• pakalpojumu sniegšanu, ko veic Piegādātājs, izmantojot savas IT sistēmas, bet apstrādājot informāciju, kas pieder Budimex vai par kuru Budimex ir atbildīgs (piemēram, Budimex darbinieku personas datus).

Budimex SA pieliek visas pūles, lai nodrošinātu efektīvu un drošu uzņēmuma darbību, lai vislabāk apmierinātu Uzņēmuma klientu, akcionāru un darbinieku vajadzības. Budimex SA vadības īpašās rūpības izpausme ir operacionālā riska samazināšana, m.in, nodrošinot apstrādāto informācijas aktīvu atbilstošu drošības līmeni. Šajā nolūkā Budimex SA vadība nolēma īstenot noteikumus par informācijas drošību.

Šis dokuments pauž Budimex nodomu nodrošināt informācijas aktīvu drošību, kas izriet no pieņemtās informācijas drošības politikas, attiecībā uz aktīviem, kurus dara pieejamus un apstrādā Budimex piegādātāji.

Informācijas aktīvi – informācija un sistēmas, infrastruktūra, ierīces un programmatūra, ko izmanto informācijas apstrādei.

Informācijas drošība – IT aktīvu konfidencialitātes, integritātes un pieejamības nodrošināšana.

Personas dati – jebkura informācija, kas tieši vai netieši attiecas uz identificētu vai identificējamu fizisku personu.

Drošības incidents – nevēlams notikums vai notikumu virkne, kas rada ievērojamu varbūtību, ka tiks traucēta uzņēmējdarbība, un var negatīvi ietekmēt informācijas līdzekļu drošību.

Informācija – jebkura informācija, neatkarīgi no tās formas, t.i., elektroniskā formā, ierakstīta papīra formā, nosūtīta mutiski.

Klasificēta informācija – termins, kas definēts 2010. gada 5. augusta Likumā par klasificētas informācijas aizsardzību. Tā ir informācija, kurai nepieciešama aizsardzība pret neatļautu izpaušanu, jo tā ir valsts vai valsts noslēpums, neatkarīgi no tās izpausmes formas un veida.

Informācijas apstrāde – jebkura darbība, kas tiek veikta ar informāciju, piemēram, izveide, vākšana, ierakstīšana, glabāšana, lasīšana, mainīšana, kopīgošana, dzēšana utt.

Lietotājs – ikviens, kam ir piekļuve Budimex informācijas līdzekļiem – lietotāji ir darbinieki, pagaidu darbinieki, konsultanti, praktikanti, klienti utt.

5.1. Atbilstība politikai

5.1.1. Politika ir daļa no noteikumiem un procedūrām, kas regulē attiecības starp Pusēm. Politika tiek periodiski pārskatīta. Atbilstība Politikai ir nosacījums pakalpojumu sniegšanai Budimex saskaņā ar līgumu.

5.2. Likumu ievērošana

5.2.1. Pusēm jāievēro normatīvie akti, kas attiecas uz Informācijas tehnoloģijām.

5.2.2. Aizliegts izmantot IT sistēmu resursus, kā rezultātā tiek pārkāptas intelektuālā īpašuma tiesības.

5.2.3. Programmatūras instalēšana vai jebkādu citu Budimex uzticēto materiālu saglabāšana IT sistēmā, kas nav iegūti tādā veidā, kas atļauj Budimex tos izmantot, ir pretrunā ar Politiku.

5.3. Īpašumtiesības un elektroniskā formā glabātās informācijas aizsardzība.

5.3.1. Dati un informācija, kas tiek glabāti, apstrādāti un/vai pārsūtīti, izmantojot Budimex piederošās IT sistēmas, tiek pastāvīgi kontrolēti. Kontrole ietver tādas metodes kā: pārtveršana, uzraudzība, ievadīšana notikumu žurnālā un pārbaude. Pastāvīgās kontroles mērķis ir aizsargāt Budimex un Piegādātāja intereses.

5.3.2. Dati un informācija ir Budimex vai Piegādātāja īpašums, un pret tiem jāizturas tāpat kā pret jebkuru citu uzņēmuma īpašumu.

5.3.3. Datus un informāciju par Budimex, kas tiek glabāta jebkurā datu nesējā vai IT sistēmās, nedrīkst dzēst bez atļaujas, un tā ir jādzēš/jāiznīcina tikai ar piekrišanu un veidā, kas saskaņots ar datu īpašnieku.

5.3.4. Piegādātājam uzticētajiem vai Piegādātāja ģenerētajiem datiem un informācijai, sniedzot pakalpojumus Budimex un tiem, kas atrodas Piegādātāja kontrolē, Piegādātājam ir pienācīgi jāaizsargā pret iznīcināšanu, bojājumiem un neatļautu piekļuvi, izmantojot pieejamos līdzekļus.

5.3.5. Pakalpojumu sniedzējam vienmēr ir jāpiemēro atbilstoši drošības pasākumi saskaņā ar tā kontrolē esošajām sistēmām un attiecībā uz tajās esošajiem datiem/informāciju. Piegādātājs ir pilnībā atbildīgs par regulāru Budimex datu rezerves kopiju izveidi, kas izvietotas mobilajās datoriekārtās. Dati un informācija portatīvajos datoros būtu jāglabā tikai minimālajā apjomā un tikai tik ilgi, cik nepieciešams, lai veiktu sniegto pakalpojumu apjomu. Kad vien iespējams, dati būtu jāglabā tīkla diskos.

5.3.6. Portatīvajai datortehnikai, kas satur materiālus un/vai konfidenciālus datus un informāciju par Budimex, vienmēr jābūt aprīkotai ar pušu apstiprinātām tehnoloģijām, lai bloķētu nesankcionētu piekļuvi.

5.3.7. Bez Budimex rakstiskas piekrišanas Budimex piederošos datus nedrīkst apstrādāt vai uzglabāt iekārtās, kas nepieder Budimex (piemēram, mājas datoros).

5.3.8. Elektronisko datu glabāšanas periodam un metodei IT sistēmā jāatbilst pieņēmumiem, kas pieņemti attiecībā uz konkrēto sistēmu (dokumentu saglabāšana).

5.3.9. Budimex neapstiprinātās iekārtas nevar savienot ar Budimex IT sistēmu. Biznesa vai privāto mobilo tālruņu savienošana ar Budimex IT sistēmām ir aizliegta.

5.3.10. Nav atļauts pārsūtīt slepenu vai konfidenciālu informāciju, izmantojot internetu. Svarīga informācija (neslepena un nekonfidenciāla), kas saņemta vai nosūtīta internetā, ir jāšifrē saskaņā ar piemērojamās drošības politikas ieteikumiem.

6.1. Informācijas tehnoloģiju izmantošana uzņēmējdarbības vajadzībām.

6.1.1. Piegādātāja darbinieki, kas ir Budimex nodrošināto IT sistēmu lietotāji, laiku pa laikam var izmantot minētos resursus privātām vajadzībām. Šāda veida izmantošana nedrīkst traucēt oficiālo pienākumu izpildi un būt pretrunā Budimex interesēm.

6.1.2. Piegādātājs nedrīkst izmantot Budimex nodrošinātos IT sistēmu resursus algotam darbam citā uzņēmumā, izņemot Budimex.

6.2. Kontrolējiet piekļuvi informācijai no elektroniskiem avotiem.

6.2.1. Piekļuves kontrole Budimex IT sistēmās glabātajai informācijai ir obligāta. Katrai Sistēmai Lietotājiem tiek piešķirta piekļuves atļauja, ciktāl tas nepieciešams viņu darba veikšanai.

6.2.2. Piekļuve tiek kontrolēta, izmantojot individuālus identifikatorus un paroles, kas skaidri identificē lietotāju IT sistēmā un aizsargā pret nesankcionētu piekļuvi.

6.2.3. Paroles tiek izveidotas saskaņā ar īpašiem noteikumiem par to garumu, struktūru un izmaiņu biežumu.

6.2.4. Paroles ir jātur slepenībā, un tās nedrīkst izpaust citiem. Ja Lietotājs pilda pienākumu sniegt Pakalpojumu sniedzējam paroli citai personai, Provaiders ir pilnībā atbildīgs par tam uzticētās informācijas integritāti un konfidencialitāti. Paroles aizsardzība ir gan Budimex, gan Piegādātāja interesēs.

6.2.5. Lietotājs, kura ID un parole ir izmantota, lai iegūtu nesankcionētu piekļuvi IT sistēmai, tiek uzskatīts par personu, kas neautorizēti izmantojusi šīs Sistēmas resursus.

6.2.6. Ja uz laiku tiek atstāta darbstacija, datora konsolei jābūt bloķētai (piemēram,. Windows sistēmās izmantojiet CTRL-ALT-DEL + ENTER), lai novērstu nesankcionētu datora lietošanu.

6.2.7. Ja IT sistēmai tiek pievienoti jauni lietotāji, ir nepieciešama Budimex piekrišana.

6.2.8. Budimex mainīs Lietotāja paroli tikai pēc pilnvarotas personas pieprasījuma, neatklājot iepriekšējo paroli.

6.2.9. Aizliegts izmantot Budimex vai trešajām personām piederošas IT sistēmas bez tās personas piekrišanas, kura ir pilnvarota izsniegt šādas atļaujas.

6.3. Informācijas sistēmu kopīgo resursu aizsardzība.

6.3.1. Piegādātājs nedrīkst modificēt Budimex piederošās ierīces, piemēram,. instalējot datora komponentus, programmatūru vai jebkādā citā veidā bez atbildīgā Budimex darbinieka rakstiskas atļaujas.

6.3.2. Piegādātājam pastāvīgi jārūpējas par viņam uzticēto Budimex aprīkojumu un jo īpaši jārūpējas par aizsardzību pret zādzībām, jānovērš bojājumi transportēšanas vai apstrādes laikā, pareizi jāuzglabā pareizajā temperatūrā un nepakļaujiet to magnētiskajiem laukiem vai sliktiem laika apstākļiem.

6.3.3. Īpaša piesardzība jāievēro, rīkojoties ar materiāliem maināmos materiālos (piemēram,. CD-ROM u.c.), kas izveidoti vai izmantoti ārpus Budimex IT sistēmas. Datu nesējus no apšaubāma vai nezināma avota nevar izmantot Budimex piederošajās iekārtās. Visi šādi materiāli pirms lietošanas jānoskenē ar pretvīrusu programmu un/vai jāpārbauda Budimex IT birojā.

6.3.4. Visas programmatūras instalācijas Budimex datoros veic Budimex. Tikai ar Budimex rakstisku piekrišanu var veikt likumīgas programmatūras instalēšanu uzņēmējdarbībai personām, kas nav Budimex darbinieki.

6.3.5. Privātas programmatūras/datņu instalēšana un/vai izmantošana IT iekārtās, ko uzticējis Budimex, ir aizliegta.

6.3.6. Budimex nodrošinātās pretvīrusu programmatūras jaunākajai versijai vienmēr jābūt klāt un aktīvai Budimex uzticētajā datortehnikā. Jāievēro Budimex sniegtie norādījumi par vīrusu profilaksi un iespējamo vīrusu likvidēšanu, kas iekļuvuši Budimex IT sistēmā. Ja tiek pamanīta nepareiza pretvīrusu programmas darbība, Lietotājam nekavējoties jāziņo par šo faktu Budimex IT birojam.

6.3.7. Par visiem konstatētajiem IT sistēmu drošības apdraudējuma, pārkāpuma un vājināšanās gadījumiem vai Budimex neatļautas programmatūras darbību (drošības incidenti) nekavējoties jāziņo Budimex IT birojam.

6.4. Ziņojumu sūtīšana elektroniski.

6.4.1. Budimex korporatīvais elektroniskais pasts, kas var būt pieejams lietotājiem, par kuriem ir atbildīgs Piegādātājs, ir oficiāls saziņas līdzeklis Budimex un tiek uzskatīts par biznesa pastu.

6.4.2. Lietotājs, par kuru ir atbildīgs Piegādātājs, var nesniegt privātus viedokļus un spriedumus kā Budimex nostāju, nosūtot ziņojumus ar elektroniskiem līdzekļiem.

6.4.3. Budimex uzticētos datoros var izmantot tikai Budimex apstiprinātas elektroniskās ziņojumu apmaiņas sistēmas.

6.4.4. Budimex uzticētajos datoros ārējos pakalpojumus, kas tiek sniegti internetā, nevar izmantot, lai nosūtītu vai saņemtu ziņojumus (piemēram,. Hotmail, Yahoo, UP, Onet, Chat I Communicatory ITP.).

6।4।5. Lai novērstu ļaunprātīgas programmatūras darbību (piemēram,. vīrusi), kas var nokļūt Budimex IT sistēmā, jums nekavējoties jāizdzēš visi negaidītie ziņojumi ar pielikumiem no nezināma sūtītāja. Šāda ziņojuma pielikumus nevar atvērt.

6.4.6. E-pastu izplatīšana Budimex korporatīvajā e-pasta sistēmā ir jāierobežo tikai personām, kurām būtu jāzina to saturs, vai personām, kas ir tieši saistītas ar ziņojuma saturu. Adresātu sarakstus nedrīkst izmantot, izņemot gadījumus, kad visi saņēmēji atbilst iepriekš minētajiem kritērijiem.

6.4.7. Budimex korporatīvajā e-pasta sistēmā ir jāizvairās no ziņojumu sūtīšanas ar lieliem pielikumiem lielai cilvēku grupai, izmantojot adresātu sarakstus. Jums vajadzētu izmantot Budimex nodrošināto saspiešanas programmatūru, lai ierobežotu lielu pielikumu lielumu un / vai nosūtītu vairākus ziņojumus.

6.4.8. Uzticētās Budimex korporatīvās pastkastes lielumu ierobežo ierobežojums. Lietotājam, par kuru ir atbildīgs Provaiders, ir pienākums regulāri dzēst novecojušus ziņojumus.

6.5. Interneta.

6.5.1. Lai sniegtu līgumā paredzētos pakalpojumus, Budimex var būt nepieciešams nodrošināt Piegādātājam piekļuvi internetam. Uz šādu piekļuvi attieksies Budimex SA informācijas drošības politikas ierobežojumi Piekļuve internetam no Budimex piedāvātajām ierīcēm un/vai infrastruktūras ir atļauta tikai ar Budimex piedāvātajiem un apstiprinātajiem risinājumiem.

6.5.2. Lietotājs, par kuru ir atbildīgs Piegādātājs, nekādā gadījumā nedrīkst pieslēgt viņam uzticētās iekārtas internetam vai citiem tīkliem, izmantojot kabeļus, iezvanes modemus vai bezvadu savienojumu, neievērojot garantijas, ko pieprasa piemērojamā Budimex informācijas drošības politika Katrs Budimex uzticētās datortehnikas pieslēgums datortīklam, kas nepieder Budimex grupai, ir individuāli jāapstiprina Budimex.

6.5.3. Budimex patur tiesības uzraudzīt visu veidu interneta savienojumus, kas ietver ierīces, kas savienotas ar Budimex IT sistēmām, un bloķēt piekļuvi pakalpojumiem un tīmekļa vietnēm, kas tiek uzskatītas par neatbilstošām Budimex SA informācijas drošības politikai

6.5.4. Lietotājs, par kuru Pakalpojumu sniedzējs ir atbildīgs, nedrīkst:

• Mēģinājums apiet drošības, piekļuves kontroles vai satura filtrēšanas mehānismus interneta izejas vārtejā
• tīši traucēt tīkla darbību, piem.,

. nosūtot datorvīrusus, izmantojot hakeru praksi un nosūtot lielus datu apjomus, kas bloķē tīklu un kavē citu lietotāju darbu,

6.6. Nepiemērots materiāls.

6.6.1. Piegādātājs nedrīkst izmantot Budimex nodrošināto datortehniku, ierīces un telpas, lai apskatītu, apstrādātu, izveidotu un/vai izplatītu materiālus starp darbiniekiem vai jebkuru citu personu ārpus Budimex, kas satur saturu:

• saistībā ar diskrimināciju (rasu vai citu),
• uzmākšanās (seksuāla vai citkārtēja),
• Draudot
• Neķītrs
• Pornogrāfisks
• Apmelojošs
• Nelegālo

6.6.2. Piegādātājam ir pienākums nekavējoties iznīcināt/aizvākt punktā norādītos materiālus. 6.6.1. saņemt no jebkuras personas un lūgt Nosūtītāju turpmāk pārtraukt šādu praksi. Jums arī nekavējoties jāinformē iekšlietu vadītājs. Budimex SA IT sistēmu drošība attiecībā uz incidenta detaļām, kā arī sūtītāja e-pasta adresi, tēmu un veiktajām darbībām.

Ja Pakalpojumu sniegšanai Piegādātājs izmanto savu IT sistēmu, kas nepieder Budimex un nav savienota ar Budimex infrastruktūru, šādas prasības ir minimums, lai šādai sistēmai ļautu sniegt pakalpojumus:

7.1. Visa programmatūra (operētājsistēma un lietojumprogrammas), kas instalēta un izmantota saskaņā ar likumu un licences noteikumiem.

7.2. Katra operētājsistēma un lietojumprogramma ir pastāvīgi jāpārbauda, vai nav drošības ielāpu atjauninājumu (biežums vismaz 1x mēnesī).

7.3. Sistēmai, kurai ir jebkāda iespēja mijiedarboties ar ārpasauli (datortīkls, CD-ROM/DVD-ROM diskdzinis, USB, diskdzinis), obligāti jābūt atjauninātai (ar atjauninājumu biežumu vismaz 24 stundas) un darba pretvīrusu programmatūrai. Sistēmām, kuru pamatā ir Windows, pieejamo pakalpojumu sniedzēju saraksts ir http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7.

7.4. Sistēmai jābūt atbilstoši atjauninātam un regulāri sinhronizētam laikam (sistēmām ar piekļuvi tīklam, laika servera izmantošana; bezsaistes sistēmu gadījumā dokumentēta laika sinhronizācija vismaz 1 x mēnesī).

7.5. Sistēmā jābūt strādājošai un periodiski verificētai (atjaunošanas testi vismaz reizi gadā) programmatūrai, kas veido datu dublējumus.

7.6. Visai videi, kas tiek izmantota pakalpojumu sniegšanai Budimex, ir jābūt atbilstošai loģiskai un vides aizsardzībai – avārijas elektroapgādei un aizsardzībai pret neatļautu fizisku un neatļautu loģisku piekļuvi.

7.7. Sistēmas lietošanā apmācīts apkalpojošais personāls.

7.8. Ja iespējams, piekļūstot IT sistēmām, jāizmanto daudzfaktoru autentifikācija (MFA).

7.9. Budimex SA datu apstrādei īpaši jāuzmanās, izmantojot ārējo atmiņas ierīci (piemēram, USB cieto disku/zibatmiņas disku), datiem datu nesējā jābūt aizsargātiem pret zudumu un trešo personu piekļuvi (piemēram, šifrētiem, izmantojot metodi, ko vispārpieņemts kā drošu).

8.1. Ziņojums par Piegādātāja organizatorisko un tehnisko drošības pasākumu pārskatīšanu