BlueBridge

Blue Bridge taikomos organizacinės ir techninės saugumo priemonės

Konfidencialumas. Darbuotojai vadovaujasi saugaus stalo politika bei yra supažindinti pasirašytinai su duomenų saugumui keliamais reikalavimais. Taip pat visi darbuotojai yra pasirašę konfidencialios informacijos saugojimo sutartis, pagal kurias įsipareigojimų nesilaikymui numatytos baudos.

Darbuotojai. Darbuotojai yra supažindinti su duomenų saugumo svarba, taisyklėmis ir jiems priskirtomis atsakomybėmis, siekiant užtikrinti duomenų (įskaitant asmens) apsaugą. Vykdomos specialios socialinės inžinerijos atakos padeda patikrinti darbuotojų budrumą ir tuo pačiu mokomi atpažinti galimas saugumo pažeidimo grėsmes. Taip pat yra paskirtas darbuotojas, atsakingas už duomenų apsaugą organizacijoje, žinių sklaidą, bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimų užtikrinimą bei nuolatinę priežiūrą.

Procesų valdymas. Parengta ir puoselėjama vadybos sistema, padedanti valdyti duomenų apsaugą, užkirsti kelią potencialiai, veiklą įtakojančiai grėsmei, minimizuojant neigiamą incidentų bei rizikų pasireiškimo tikimybę bei poveikį. Darbuotojų atsakomybės, įgaliojimai ir įsipareigojimai nustatyti procesų aprašuose, tvarkose bei instrukcijose. Asmens duomenų tvarkymas, nustatytais tikslais, yra atliekamas vadovaujantis parengtomis tvarkomis.

Standartizavimas. Sertifikuota vadybos sistema, atitinkanti ISO/IEC 27001:2013 tarptautinio standarto reikalavimus. Standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai. Jo pagrindu vertinamos rizikos ir įdiegtos tinkamos saugumo priemonės informacijos konfidencialumui, vientisumui bei prieinamumui apsaugoti.

Veiklos tęstinumas. Parengtas ir patvirtintas veiklos tęstinumo planas, nurodantis veiksmus, reikalingus užtikrinti veiklos tęstinumą, įvykus nelaimei. Planuojamu reguliarumu veiklos tęstinumo planas yra išbandomas ir įvertinama, ar įvykus nenumatytai situacijai (nelaimei) bus įmanoma užtikrinti nenutrūkstamą paslaugų teikimą.

Teisės aktai. Laikomasi Lietuvos Respublikos įstatymų, teisės aktų, o taip pat sutartyse tarp UAB „Blue Bridge“ ir klientų, tiekėjų/ subrangovų bei partnerių numatytų įsipareigojimų.

Naudojamos informacinės sistemos. Renkantis organizacijos veiklai reikalingas informacines sistemas (toliau – IS) yra įvertinamas poveikis duomenų apsaugai pagal BDAR reikalavimus. Prie IS saugomų duomenų prieiga yra valdoma per vartotojų teises. Naudojama tik sertifikuota programinė įranga, kuri atnaujinama laikantis nustatytos tvarkos.

Praėjimo kontrolė. Darbuotojai teikia paslaugas (įskaitant duomenų centro ir priežiūros) iš „Blue Bridge“ patalpų, patekimas į kurias yra apsaugotas naudojant praėjimo kontrolės sistemą.

Duomenų centras. „Blue Bridge“ turi nuosavą debesų kompiuterijos paslaugoms teikti skirtą duomenų centrą. Šiame duomenų centre talpinama tik „Blue Bridge“ priklausanti techninė įranga. Į duomenų centrą gali patekti darbuotojai, aptarnaujantys šią įrangą. Dėl saugumo atsarginės kopijos saugomos kitame duomenų centre Vilniaus miesto teritorijoje. Tiek pagrindinis, tiek atsarginių kopijų duomenų centras visus metus ir visą parą stebimi video kameromis įrašant stebimą vaizdą, o patalpų įėjimas ir išėjimas apsaugotas įėjimo kontrolės sistema. Video įrašai saugomi 7 paras. Į duomenų centrų patalpas gali patekti tik autorizuoti darbuotojai. Kiti asmenys į duomenų centrus gali patekti tik lydint vienam iš autorizuotų darbuotojų.

Visi darbuotojai dirbantys su duomenų centru yra apmokyti specialių saugumo reikalavimų bei atlieka nuolatinius žinių atnaujinimo mokymus. Prisijungimas prie vidinių duomenų centro sistemų galimas tik naudojant dviejų faktorių autentifikaciją, o visi vidiniai slaptažodžiai saugomi šifruotoje saugykloje, kopijos saugomos kitoje duomenų centro lokacijoje.

Patikimumas. Sugedus įrangai, debesų kompiuterijos paslaugų teikimui naudojamas sprendimas automatiškai atstato paslaugos veikimą, o dubliuotos elektros tiekimo ir interneto linijos apsaugo nuo elektros ir ryšio tiekimo sutrikimų. Duomenų centre taip pat įrengta gaisro gesinimo sistema, drėgmės kontrolės ir dubliuota aušinimo sistema. Sistemos duomenų centre sukonfigūruotos taip, kad darant atnaujinimo ar papildymo užduotis poveikis klientams teikiamoms paslaugoms yra minimalus arba jo nėra. Visa naudojama įranga yra periodiškai aptarnaujama pagal gamintojų nurodytas instrukcijas siekiant išvengti neplanuotų įrangos sutrikimų. Prevenciniai veiksmai ir kitos atnaujinimo procedūros yra atliekamos pagal keitimų valdymo procesą.

Elektros tiekimas. Duomenų centre įrengtas autonominis generatorius elektros energijos tiekimui, dvigubas nepertraukiamo maitinimo šaltinis, kuriam teikiama energija iš dviejų nepriklausomų elektros linijų. Generatorius automatiškai įsijungia po 1 min. nuo momento kai per abi elektros linijas nėra teikiama elektros energija. Generatoriuose nuolatos palaikoma stabili temperatūra tam, kad esant poreikiui jie galėtų nedelsiant įsijungti ir pilnu pajėgumu tiekti elektros energiją. Šie komponentai dirba be pertrūkio visą parą ištisus metus, o jų aptarnavimas vykdomas pagal gamintojų  reikalavimus netrikdant duomenų centro veiklos.

Sistemos. „Blue Bridge“ debesų kompiuterijai naudojamos Microsoft bei VMware tiekiamos klasteriais išdalintos platformos užtikrinančios nepertraukiamą virtualių išteklių tiekimą. Atliekamas nuolatinis sistemų atnaujinimas pagal gamintojų reikalavimus bei rekomendacijas taikant saugumo valdymo bei keitimų valdymo procesus. Keitimai sistemose atliekami nepertraukiant klientams teikiamų paslaugų.

Išorinio įsilaužimo prevencija. Naudojami išorinės apsaugos lygmenys pasitelkiant žinomų gamintojų įsilaužimo prevencijos sprendimais. Tinklo perimetras apsaugotas naujos kartos ugniasiene (NGFW), turinčia gamintojo nuolat atnaujinamą įsilaužimų aptikimo analitiką. Tinklo infrastruktūra dubliuota, jos priežiūra atliekama 24×7 režimu. Visi saugumo incidentai apdorojami pagal saugumo užtikrinimo procesą, kuris nuolatos yra tobulinamas, o sistemos atnaujinamos ir prižiūrimos pagal gamintojų reikalavimus.

Duomenų perdavimas. Duomenų centre sujungimai atlikti greitaeigėmis linijomis atskiriant kiekvieno kliento virtualius tinklus.

Duomenų saugojimas. „Blue Bridge“ duomenų centre duomenys saugomi žinomų gamintojų duomenų saugyklose, kurios prižiūrimos vadovaujantis gamintojo reikalavimais. Saugyklų talpa apribota siekiant mažinti poveikio mastą bei užtikrinti maksimaliai greitą duomenų atstatymą esant esminiams saugyklos sutrikimams. Saugyklose fiziniai diskai yra apsaugoti RAID5, o pačios saugyklos valdomos kelių dubliuotų valdikių. Duomenys tarp vartotojų atskiriami loginiu būdu taip užtikrinant saugų klientų izoliavimą vieni nuo kitų.

Diskų ir kitų laikmenų naikinimo ir išvalymo politika. Duomenų centre naudojamų diskų gedimo atveju juose esantys duomenys yra išvalomi laikantis gamintojų rekomendacijų, o pasenusios ir jau nebenaudotinos duomenų laikmenos yra naikinamos fiziškai.

Slaptažodžių valdymas. „Blue Bridge“ darbuotojui suteikiami unikalūs prisijungimo prie Blue Bridge Group resursų vardas ir slaptažodis. Darbuotojai privalo saugoti suteiktą prieigos informaciją ir neatskleisti jo tretiesiems asmenims. Prisijungimo duomenys yra būtini norint prisijungti prie IT sistemų ar prie kitos kompiuterinės įrangos, laikmenų, dokumentų ir pan. Visose „Blue Bridge“ naudotojų kompiuterizuotose darbo vietose (toliau – KDV) yra įjungtos ir veikia centralizuotos saugumo grupinės politikos (naudojant Active Directory), įskaitant ir darbuotojų prieigos autentifikavimo (slaptažodžių) politiką. Darbuotojų nešiojamų kompiuterių vidiniai duomenų kaupikliai yra pilnai šifruojami. Darbuotojai nesinaudojus kompiuteriu ilgiau nei 15 min., automatiškai yra užrakinama jo paskyra.

Klientų suteikti arba sistemų administratorių/ inžinierių sukurti slaptažodžiai yra valdomi vienoje informacinėje sistemoje. Prisijungimas prie slaptažodžių valdymo sistemos galimas tik naudojant dviejų faktorių autentifikaciją,  slaptažodžiai saugomi šifruotoje saugykloje, kopijos saugomos kitoje duomenų centro lokacijoje.

Apsauga nuo kenksmingų programų. Visa įranga, jungiama prie organizacijos tinklo, yra apsaugota antivirusine programine įranga, kuri valdoma centralizuotai ir yra automatiškai reguliariai atnaujinama. Visuose darbuotojų kompiuteriuose yra atliekamas viso kompiuterio skenavimas nuo kenksmingų programų kartą per savaitę. Antivirusinė programinė įranga sukonfigūruota taip, kad tikrintų ne tik gaunamus, bet ir išsiunčiamus el. laiškus. Virusų duomenų bazė atnaujinama prieš skenavimą ir automatiškai skenuoja bylas prieš jas atidarant ar paleidžiant.

Priežiūros apskaita. Visi klientų kreipiniai yra fiksuojami centralizuotoje sistemoje nurodant kreipinio laikus. Prisijungimas prie sistemos yra valdomas slaptažodžiu. Sistemoje valdomi incidentai, keitimai bei konsultacijos. Tai pat užtikrinamas centralizuotas problemų bei keitimų valdymas. Klientų sistemų veikimo kokybė užtikrinama nuolatinio stebėjimo priemonėmis kur kiekvienas įvykis (angl. event) fiksuojamas ir analizuojamas centralizuotoje sistemoje. Saugumo incidentai valdomi pagal nustatytą procesą, informuojant atsakingus asmenis, ir esant poreikiui sudarant ekstremalios situacijos valdymo centrą. Periodiškai vykdomi ekstremalios situacijos bandymai bei mokymai.

Nuotolinis prisijungimas į klientų sistemas. Prie kliento sistemų yra jungiamasi per centralizuotą vieningą sprendimą, kuris yra apsaugotas dviejų faktorių autentifikacija bei fiksuoja (įrašo) visus administratorių atliekamus veiksmus tiek prisijungiant prie kliento sistemų, tiek ir dirbant su jomis. Įrašai saugomi 6 mėn.

Administratoriaus darbo vietos saugumas. Visi įmonės kompiuteriai apsaugoti nuo virusų bei kenkėjiškų programų, o sistemų administratorių kompiuterių kieti diskai papildomai užšifruoti siekiant užtikrinti kompiuterių turinio nutekėjimo prevenciją esant praradimui. Darbo vietų kompiuterių programinė įranga atnaujinama ne rečiau kaip kartą per savaitę, o kritiniai atnaujinimai diegiami nedelsiant. Darbo vietų kompiuteriuose darbuotojai dirba paprasto vartotojo teisėmis, t. y. neturi administratoriaus teisių.

Prisijungimų į klientų sistemas slaptažodžių valdymas. Naudojamas procesu bei žinomų gamintojų įrankiais paremtas centralizuotas sprendimas, kurio pagalba tik autorizuoti asmenys gali patekti į dviejų autentifikavimo lygių sistemą. Sistemos valdytojų bei administratorių rolės yra griežtai atskiros, o panaudojami klientų slaptažodžiai fiksuojami žurnaluose, kurie negali būti modifikuoti ar keičiami.

Aparatinė įranga. „Blue Bridge“ naudoja oficialių gamintojų palaikomą aparatinę įrangą (informacijos apdorojimo sistemos fizinių komponentų visumą arba visumos dalį).

Operacinė sistema. Darbo aplinkoje yra gamintojo palaikoma ir legali operacinė sistema, kurios atnaujinimą bei priežiūrą atlieka specializuotas tiekėjas. Administravimui yra naudojamos atskirtos paskyros.

Programinė įranga. Visai programinei įrangai diegiamos kritinės ir svarbios programinės įrangos saugumo pažeidžiamumus taisančios pataisos.

 

„Blue Bridge“ IT žinių centras

Nematomas slaptažodžių gyvenimas: valdymo klaidos, pasekmės ir prevencija

Skaitykite