Polityka bezpieczeństwa informacji

Informacjami Poufnymi Solwit są wszystkie dane odnoszace się do firmy Solwit oraz wszystkie dane Klientow i Partnerów Solwit, będących w posiadaniu Solwit z tytułu realizowanych projektów lub współpracy, które zostały oznaczone jako poufne. Jako dane podlegające szczególnej ochronie rozumie się:

  • dane osobowe,
  • dane dostępowe do systemów IT,
  • informacje o technologiach rozwijanych w firmie
  • informacje finansowe Firmy,
  • informacje o klientach,
  • informacje  o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),
  • informacje organizacyjne,
  • informacje stanowiące o przewadze konkurencyjnej Firmy
  • inne informacje oznaczone jako "Poufne Informacje Solwit" lub "Dane Poufne".

Definicja bezpieczeństwa

Bezpieczeństwo informacji w firmie Solwit  dotyczy:

  • Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim).
  • Integralności informacji  (uniknięcie nieautoryzowanych zmian w danych).
  • Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika)
  • Rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).

 

Zarząd Firmy Solwit stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie. Dodatkowo na rzecz polityki bezpieczeństwa zdefiniowano takie pojęcia jak:

  • Naruszenie bezpieczeństwa
  • Weryfikacja przestrzegania polityki bezpieczeństwa.
  • Monitoring bezpieczeństwa
  • Dokumentowanie bezpieczeństwa

 

Zasady postępowania

Ze wzgledu na charakter firmy, w Solwit szczególny nacisk polożony został na poufność danych w systemach komputerowych i informatycznych. W Polityce Bezpieczeństwa Informacji określone są zasdy postępowania z danymi w tych systemach oraz zady dostępu do tych danych. Poniżej zaprezentowano wyjątki tego dotyczące.

Zasada minimalnych uprawnień

W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy należy stosować zasadę "minimalnych uprawnień", to znaczy - przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.

Zasada wielowarstwowych zabezpieczeń

Systemy IT firmy Solwit są chronione równolegle na wielu poziomach. Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych.

Zasada ograniczania dostępu

Domyślnymi uprawnieniami w systemach IT jest zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia.

Dostęp do danych poufnych

Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany.

Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego - FDE).

 Dostęp do danych poufnych z zewnątrz firmy odbywa się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany).

 Bezpieczeństwo nośników danych i informacji

Zabrania się wynoszenia niezabezpieczonych danych poufnych poza teren Firmy.

  • Przenośne urządzenia magazynujące dane muszą być przechowywane w bezpieczny sposób np. w zamykanej na klucz szafce.
  • Zabronione jest kopiowanie służbowych danych na prywatne urządzenia np. smartfony
  • Obowiązuje zasada czystego biurka. Na biurku nie powinny być przechowywane żadne poufne dokumenty.
  • Dyski oraz inne inne nośniki danych które już nie będą wykorzystywane należy skasować w bezpieczny sposób uniemożliwiający ich późniejsze odtworzenie.
  • W przypadku niesprawnych dysków należy je przekazać podmiotowi zewnętrznemu specjalizującemu się w bezpiecznym ich niszczeniu.

 Edukacja Pracowników

 Firma Solwit dba o cykliczną edukację pracowników (etatowych i kontraktorów) w zakresie bezpieczeństwa informacji, w szczególności.

 Każdy nowo-przyjmowany pracownik przechodzi szkolenie z procedur bezpieczeństwa firmy.

 Pracownicy w zależności od zajmowanego stanowiska uczestniczą w szkoleniach z zakresu: ochrony danych, świadomości istnienia problemów bezpieczeństwa, szczegółowych aspektów bezpieczeństwa.

 Pracownicy realizujący zadania dla klienta Solwitu są zobowiązani do ukończenia szkoleń wymaganych przez tego Klienta.

 Cyklicznie weryfikowany jest poziom zabezpieczeń oraz wiedzy Pracowników na temat Polityki bezpieczeństwa.

 Wewnętrzny System Kontroli

Wewnętrzny System Kontroli (WSK) określa zasady postępowania z towarami strategicznymi w obrocie międzynarodowym.  Regulamin WSK definiuje procedury postępowania z towarami strategicznymi spełniających wymogi  międzynarodowych i krajowych regulacji prawnych oraz zapewnienia prawidłowego nadzoru nad towarami wymagającymi szczególnej opieki. Dotyczy to towarów HVI (High Value Inventory) tj. sprzętu i oprogramowania, które ze względu na nowatorskie rozwiązania i zawartą myśl techniczną stanowi wysoką wartość.

Zasady postepowania:

  • klasyfikowanie towaru ( jest/nie jest towarem strategicznym podlegającym  szczególnej kontroli obrotu, jest/nie jest HVI)
  • weryfikowanie, czy towar podlega obowiązkowi informowania organu monitorującego o zamierzonym imporcie
  • prowadzenie ewidencji
  • spełnianie procedur obowiązujących przy przekazywaniu towaru z Firmy (w tym obowiązku posiadania zezwoleń na wywóz)
  • prawidłowe prowadzenie i przechowywanie dokumentacji
  • szkolenie pracowników w zakresie zasad postępowania z TS i HVI oraz odpowiedzialności za złamanie tych zasad.

Zgodność z regulacjami

Wewnętrzny System Kontroli Solwit zgodny jest z nastepujacymi przepisami i regulacjami krajowymi i miedzynarodowymi.

Lista Odmów - lista organizacji, przedsiębiorstw i osób objętych zakazem uczestnictwa w obrocie, publikowana przez:

  •  Departament Handlu USA pod adresem:  http://www.bis.doc.gov/index.php/policy-guidance/lists-of-parties-of-concern/denied-persons-list
  • Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 428/2009 ustanawiające wspólnotowy system kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania dostępne pod adresem: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:134:0001:0269:PL:PDF, zmienione Rozporządzeniem Parlamentu Europejskiego (UE) nr. 388/2012 dostępnym pod adresem: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:129:0012:0280:PL:PDF
  • Rozp.. Ministra Gospodarki z dnia 10 maja 2013 w sprawie ewidencji obrotu towarami o znaczeniu strategicznym dostępne pod adresem:http://isap.sejm.gov.pl/DetailsServlet?id=WDU20130000619