BlueBridge

Blue Bridge Code taikomos organizacinės ir techninės saugumo priemonės

Konfidencialumas. Darbuotojai vadovaujasi saugaus stalo politika bei yra supažindinti pasirašytinai su duomenų saugumui keliamais reikalavimais. Taip pat visi darbuotojai yra pasirašę konfidencialios informacijos saugojimo sutartis, pagal kurias įsipareigojimų nesilaikymui numatytos baudos.

Darbuotojai. Darbuotojai yra supažindinti su duomenų saugumo svarba, taisyklėmis ir jiems priskirtomis atsakomybėmis, siekiant užtikrinti duomenų (įskaitant asmens) apsaugą. Vykdomos specialios socialinės inžinerijos atakos padeda patikrinti darbuotojų budrumą ir tuo pačiu mokomi atpažinti galimas saugumo pažeidimo grėsmes. Taip pat yra paskirtas darbuotojas, atsakingas už duomenų apsaugą organizacijoje, žinių sklaidą, bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimų užtikrinimą bei nuolatinę priežiūrą.

Procesų valdymas. Parengta ir puoselėjama vadybos sistema, padedanti valdyti duomenų apsaugą, užkirsti kelią potencialiai, veiklą įtakojančiai grėsmei, minimizuojant neigiamą incidentų bei rizikų pasireiškimo tikimybę bei poveikį. Darbuotojų atsakomybės, įgaliojimai ir įsipareigojimai nustatyti procesų aprašuose, tvarkose bei instrukcijose. Asmens duomenų tvarkymas, nustatytais tikslais, yra atliekamas vadovaujantis parengtomis tvarkomis.

Teisės aktai. Laikomasi Lietuvos Respublikos įstatymų, teisės aktų, o taip pat sutartyse tarp UAB „Blue Bridge Code“ ir klientų, tiekėjų/ subrangovų bei partnerių numatytų susitarimų bei reikalavimų.

Naudojamos informacinės sistemos. Renkantis organizacijos veiklai reikalingas informacines sistemas (toliau – IS) yra įvertinamas poveikis duomenų apsaugai pagal BDAR reikalavimus. Prie IS saugomų duomenų prieiga yra valdoma per vartotojų teises. Naudojama tik sertifikuota programinė įranga, kuri atnaujinama laikantis nustatytos tvarkos.

Praėjimo kontrolė. Darbuotojai teikia paslaugas iš „Blue Bridge Code“ patalpų, patekimas į kurias yra apsaugotas naudojant praėjimo kontrolės sistemą.

Infrastruktūra. Taip pat yra naudojama ugniasienė, praleidžianti tik grįžtančius įrenginių inicijuotų sesijų duomenų paketus ir tik išimtimis aprašytų sesijų duomenų paketus, bei nesiunčianti atsakymo duomenų paketo siuntėjui, užblokuojant nesankcionuotą paketą.

Aparatinė įranga. „Blue Bridge Code“ naudoja oficialių gamintojų palaikomą aparatinę įrangą (informacijos apdorojimo sistemos fizinių komponentų visumą arba visumos dalį).

Operacinė sistema. Darbo aplinkoje yra gamintojo palaikoma ir legali operacinė sistema, kurios atnaujinimą bei priežiūrą atlieka specializuotas tiekėjas. Administravimui yra naudojamos atskirtos paskyros.

Programinė įranga. Visai programinei įrangai diegiamos kritinės ir svarbios programinės įrangos saugumo pažeidžiamumus taisančios pataisos.

Priežiūros apskaita. Visi klientų kreipiniai yra fiksuojami centralizuotoje sistemoje nurodant kreipinio laikus. Prisijungimas prie sistemos yra valdomas slaptažodžiu. Sistemoje valdomi incidentai, keitimai bei konsultacijos.

Slaptažodžių valdymas. Darbuotojui suteikiamas unikalus prisijungimo prie Blue Bridge grupės resursų vardas ir slaptažodis. Darbuotojai privalo saugoti suteiktą prieigos informaciją ir neatskleisti jo tretiesiems asmenims. Prisijungimo duomenys yra būtini norint prisijungti prie IT sistemų ar prie kitos kompiuterinės įrangos, laikmenų, dokumentų ir pan. Visose „Blue Bridge“ naudotojų kompiuterizuotose darbo vietose (KDV) yra įjungtos ir veikia centralizuotos saugumo grupinės politikos (naudojant Active Directory), įskaitant ir darbuotojų prieigos autentifikavimo (slaptažodžių) politiką. Darbuotojų nešiojamų kompiuterių vidiniai duomenų kaupikliai yra pilnai šifruojami. Darbuotojai nesinaudojus kompiuteriu ilgiau nei 15 min., automatiškai yra užrakinama jo paskyra.

Apsauga nuo kenksmingų programų. Visa įranga, jungiama prie organizacijos tinklo, yra apsaugota antivirusine programine įranga, kuri valdoma centralizuotai ir yra automatiškai reguliariai atnaujinama. Visuose darbuotojų kompiuteriuose yra atliekamas viso kompiuterio skenavimas nuo kenksmingų programų kartą per savaitę. Antivirusinė programinė įranga sukonfigūruota taip, kad tikrintų ne tik gaunamus, bet ir išsiunčiamus el. laiškus. Virusų duomenų bazė atnaujinama prieš skenavimą ir automatiškai skenuoja bylas prieš jas atidarant ar paleidžiant.

Prisijungimas prie klientų. Darbuotojai prisijungia prie kliento kompiuterių nuotoliniu būdu specializuotos programinės įrangos pagalba, kurioje realizuota dviejų lygių autentifikacija, siekiant, kad tik patvirtinti IT specialistai galėtų atlikti prisijungimą prie kompiuterio. Prisijungiant prie kliento kompiuterio ekrano nuotoliniu būdu galimas tik su kliento galutinio vartotojo patvirtinimu. Visi prisijungimai ir trukmės yra fiksuojamos specializuotoje programinėje įrangoje. Prisijungimo prie kompiuterio kanalas yra šifruojamas specializuotos programinės įrangos pagalba.

Išorinio įsilaužimo prevencija. Naudojami išorinės apsaugos lygmenys pasitelkiant žinomų gamintojų įsilaužimo prevencijos sprendimais. Tinklo perimetras apsaugotas naujos kartos ugniasiene (NGFW), turinčia gamintojo nuolat atnaujinamą įsilaužimų aptikimo analitiką. Tinklo infrastruktūra dubliuota, jos priežiūra atliekama 24×7 režimu. Visi saugumo incidentai apdorojami pagal saugumo užtikrinimo procesą, kuris nuolatos yra tobulinamas, o sistemos atnaujinamos ir prižiūrimos pagal gamintojų reikalavimus.

Įvykių įrašai. Sistemos įvykių įrašai yra generuojami, apdorojami ir saugomi. Šių įrašų struktūra yra sudaryta: įvykio tipas, naudotojo identifikatorius, data ir laikas, sėkmingos ir nesėkmingos prieigos įrašas, susiję sistemos komponentai ar resursai, tinklo IP adresas ir/ ar naudotas protokolas.

„Blue Bridge“ IT žinių centras

2018-ieji „debesyje“: ruošiamasi dideliam inovacijų kūrimo šuoliui

Skaitykite