Politika informacijske sigurnosti CROZ d.o.o.

1. UVOD

Uprava tvrtke CROZ d.o.o. putem ovog dokumenta izražava svoj stav da je informacijska sigurnost od strateškog značaja za CROZ d.o.o. i njegove proizvode i usluge koje pruža korisnicima. CROZ je tvrtka usmjerena uslugama u financijskom i javnom sektoru te drugim većim informatičkim sustavima. Usluge uključuju zaokružene, cjelovite projekte ili specijalističke usluge edukacije, savjetovanja i implementacije u pojedinim segmentima. Kako je osnovna pretpostavka realizacije naših usluga sigurnost rada i informacija do kojih se dolazi tijekom rada, a kako se veći dio poslovnih procesa odvija primjenom informatičko-komunikacijske tehnologije, nužno je uspostaviti sustav informacijske sigurnosti. Politika informacijske sigurnosti početna je točka ovog sustava. Ovim dokumentom iskazuje se potreba za takvim sustavom, definira se opseg sustava i glavni sigurnosni ciljevi, upućuje se na način ostvarivanja tih ciljeva, pozicioniraju se sigurnosne kontrole, određuju uloge i odgovornosti te način upravljanja ovom politikom. U tom smislu ovaj dokument predstavlja vršnu (krovnu) politiku informacijske sigurnosti kojom se određuje njezin okvir te iskazuje puno opredjeljenje uprave tvrtke ovom sustavu i određuju smjernice putem kojih se ova politika provodi.

2. OKVIR POLITIKE INFORMACIJSKE SIGURNOSTI
   ⦁ Pojam i značaj informacijske sigurnosti

Informacijska sigurnost predstavlja sve aspekte povezane s definiranjem, postizanjem i održavanjem povjerljivosti, integriteta, raspoloživosti, nepovredivosti, odgovornosti, vjerodostojnosti i pouzdanosti informacijske imovine.

Kako bi se postigle i održavale sve spomenute karakteristike informacijske sigurnosti, nužno je voditi brigu o cjelokupnoj informacijskoj imovini:
⦁ informacije: baze podataka i datoteke, ugovori i sporazumi, dokumentacija sustava, korisnički priručnici, materijali za obučavanje i arhivirane informacije
⦁ softverski paketi: aplikacijski softver, sistemski softver i uslužni programi
⦁ fizička imovina: računalna oprema, komunikacijska oprema, uklonjivi mediji i ostala oprema
⦁ usluge: računalne i komuniakcijske usluge, općenite usluge
⦁ osoblje: kvalifikacije, iskustvo i vještine osoblja
⦁ nematerijalna imovina: ugled i imidž organizacije

Nad ovom imovinom postoje brojne prijetnje koje se pojavljuju zbog: organizacijskih propusta, nenamjernih i namjernih ljudskih postupaka i pogrešaka, tehničkih razloga, više sile, nesukladnosti s regulativom, politikama, procedurama, itd. Prijetnje, kao potencijalni uzrok neočekivanih i neželjenih sigurnosnih incidenata, mogu izazvati različite poslovne štete pa i prekid našeg poslovanja. Pojam informacijske sigurnosti označava zaštitu informacija i informacijske imovine od takvih prijetnji, kako bi se onemogućili prekidi u našem operativnom radu, zlouporabe, pogreške i propusti te osigurao kontinuitet poslovanja i smanjili mogući rizici. Zbog toga informacijska sigurnost mora biti na primjerenoj razini.

Uprava tvrtke CROZ želi ju ostvariti primjenom odgovarajućeg skupa sigurnosnih kontrola: politika, procesa, procedura, organizacija te primjenom sigurnosnih računalnih resursa, uvažavajući temeljne principe informacijske sigurnosti.

⦁ Principi i okosnica informacijske sigurnosti

Temeljni principi informacijske sigurnosti su: poštivanje svih naših pravnih obveza, procjena i postupanje s rizicima, definirane sigurnosne uloge i odgovornosti, potrebne suglasnosti unutar tvrtke, definirani globalni ciljevi i upravljanje životnim ciklusom ovog sustava. Smjernice za izradu politike i principa informacijske sigurnosti, promicanje kulture informacijske sigurnosti te iniciranje aktivnosti unapređenja informacijske sigurnosti na razini CROZ-a daje uprava.

Osnovni izvori sigurnosnih kontrola su: naše pravne obveze (zakoni, ugovori, drugi pravni akti), procjene rizika informacijske sigurnosti te sigurnosni zahtjevi koji proizlaze iz naše poslovne strategije. CROZ kroz potrebne sukladnosti s važećim pravnim normama, nastoji u potpunosti ispuniti sve svoje obveze koje iz toga proizlaze, redovito provodi procjene rizika informacijske sigurnosti, a ostvarenje naše poslovne strategije nemoguće je i bez ostvarenja naših sigurnosnih ciljeva.

Sigurnosni rizik shvaćamo kao mogućnost da neka prijetnja može iskoristiti našu eventualnu ranjivost, zbog čega mogu nastati poslovne štete.

Za potrebe ostvarenja adekvatne razine informacijske sigurnosti, određene su sve potrebne sigurnosne uloge i odgovornosti, postavljeni su sigurnosni ciljevi, o svim bitnim pitanjima postignut je konsenzus, a vrši se i upravljanje bitnim promjenama koje se događaju u okruženju ili proizlaze iz poslovne politike CROZ-a.

Da bi našu informacijsku imovinu zaštitili na primjereni način od mogućih prijetnji, moramo uspostaviti, primijeniti i neprestano razvijati sustav informacijske sigurnosti temeljen na normama ISO 27001:2022 i ISO 27002:2022. Značaj ovog sustava od krucijalne je važnosti za CROZ, jer njime želimo očuvati povjerljivost, cjelovitost, dostupnost i pouzdanost naših informacija, a time i poslovanja. Kroz ova obilježja informacijske sigurnosti jamčimo kontinuitet našeg rada, umanjujemo naše i korisničke poslovne rizike te štitimo sigurnost naših usluga.


⦁ Opseg primjene politike informacijske sigurnosti

Ova politika odnosi se na CROZ u cijelosti, a sam opseg detaljno je razrađen u dokumentu Detaljan opis opsega ISMS-a za CROZ d.o.o.

⦁ Globalni ciljevi informacijske sigurnosti

Globalni ciljevi informacijske sigurnosti su:

⦁ Postići visoku razinu svijesti o informacijskoj sigurnosti
Oblikovati i neprekidno podizati svijest o potrebi informacijske sigurnosti. Poticati da informacijska sigurnost proizlazi iz poslovne filozofije CROZ-a. Provoditi potrebna osposobljavanja u području primjene ISMS-a. Mjeriti ostvarenja globalnih ciljeva na odgovarajući način.

⦁ Uspostava učinkovite organizacije za informacijsku sigurnost unutar CROZ-a
Oblikovati organizaciju informacijske sigurnosti tako da je ona učinkovita i u cijelosti zadovoljava formalne sigurnosne zahtjeve propisane normama i zakonima. Precizno definirati sigurnosne uloge, prenijeti ih na kvalificirane osobe i osigurati potrebna prava i resurse.
U slučaju bilo kakvih kršenja ove politike informacijske sigurnosti, treba ocijeniti posljedice i poduzeti potrebne mjere.

⦁ Upravljanje sigurnosnim rizicima
Identificirati svu informacijsku imovinu koja ulazi u opseg primjene ISMS-a, klasificirati ju, prepoznati rizike, vjerojatnosti ostvarenja i moguće posljedice. Identificirati rizike i odijeliti prihvatljive od neprihvatljivih rizika. Neprihvatljivim rizicima se smatraju svi s razinom 8 ili više. Redovito ponavljati postupak upravljanja rizicima.

⦁ Uporaba učinkovitih sigurnosnih kontrola
Odabir sigurnosnih kontrola treba se činiti uzimajući u obzir njihovu opravdanost, funkcionalnost i isplativost.
Popis svih sigurnosnih kontrola, primijenjenih na opseg, naveden je u Izjavi o primjenjivosti (Statement of Applicability - SOA).

⦁ Ostvarenje kontinuiteta poslovanja (BCM – Business Continuity Management)
Logika pružanja naših usluga nalaže visoku raspoloživost ICT-a. Zbog toga je nužno osigurati odgovarajuće upravljanje kontinuitetom poslovanja, da bi se zaštitili kritični dijelovi našeg sustava od mogućeg „efekta katastrofe“ kao i od namjerne ili nenamjerne štete. Zbog toga je BCM zahtjeve potrebno stalno nadzirati i provoditi potrebne prilagodbe.

⦁ Jačanje individualne odgovornosti za informacijsku sigurnost
Svaki korisnik iz definiranog opsega koji je na bilo koji način uključen u provedbu ove Politike i u slučaju kada ne postoje eksplicitna pravila, osobno je odgovoran za informacijsku sigurnost.

⦁ Uspostava učinkovite dokumentacije o informacijskoj sigurnosti
Sustav upravljanja informacijskom sigurnošću mora biti dobro dokumentiran. Sve njegove relevantne informacije, kao što su: politike, priručnik, radne upute, određeni zapisi, izvješća itd., moraju postojati te na odgovarajući način moraju biti klasificirane i ažurne.

⦁ Interni audit i certifikacija
Potrebno je provoditi interne audite kako bi se provjeravalo da se sustav upravljanja informacijskom sigurnošću učinkovito koristi i neprekidno poboljšava.

Ovom Politikom obvezuju se odgovorne osobe u CROZ-u da u dijelu svoje nadležnosti provode ove globalne ciljeve te ih učine mjerljivim i dostupnim neposrednim izvršiteljima.

2.5. Odgovornosti i organizacija za informacijsku sigurnost

Za provedbu ove Politike informacijske sigurnosti određene su sljedeće uloge i odgovornosti:

⦁ Uprava
Uprava tvrtke CROZ odobrava Politiku informacijske sigurnosti te putem nje uspostavlja organizaciju informacijske sigurnosti za usluge koje CROZ pruža i iskazuje svoje čvrsto opredjeljenje i potporu uspostavi i održavanju sustava informacijskoj sigurnosti. Uprava osigurava resurse potrebne za provedbu ove Politike te imenuje CISO-a čija je zadaća brinuti se da su ciljevi informacijske sigurnosti jasno definirani i integrirani u procese pružanja usluga, podržava sigurnosne inicijative, planove i programe za održavanje svijesti o informacijskoj sigurnosti, kao i učinkovitu primjenu kontrola informacijske sigurnosti.

⦁ CISO

CISO je odgovoran za:

⦁ koordiniranje provedbe identifikacije i klasifikacije informacijske imovine,
⦁ koordiniranje procjene rizika i izrade plana upravljanja rizicima,
⦁ definiranje sigurnosnih kontrola,
⦁ definiranje sigurnosnih rizika
⦁ provođenje politika informacijske sigurnosti i pripadnih kontrola u opsegu primjene ISMS-a, u skladu s Priručnikom ISMS-a,
⦁ edukaciju i podizanje svijesti o informacijskoj sigurnosti kod zaposlenih,
⦁ upravljanje nesukladnostima te davanje prijedloga za poboljšanja politika i kontrola,
⦁ koordinaciju po pitanju informacijske sigurnosti unutar opsega primjene ISMS-a.
⦁ donošenje odluka

⦁ Security office

Security office je odgovoran za:
⦁ provođenje i koordinaciju politika informacijske sigurnosti i pripadnih kontrola u opsegu primjene ISMS-a, u skladu s Priručnikom ISMS-a,
⦁ edukaciju i podizanje svijesti o informacijskoj sigurnosti kod zaposlenih,
⦁ upravljanje nesukladnostima te davanje prijedloga za poboljšanja politika i kontrola,
⦁ provođenje internih audita
⦁ komunikaciju s Upravom i CISO-om
⦁ vođenja dokumentacije ISMS-a i
⦁ Identificiranje sigurnosnih događaja
⦁ Praćenje i kontrola provođenja korektivnih i preventivnih mjera
⦁ sudjelovanje pri izradi procjene sigurnosnih rizika

⦁ Voditelji organizacijskih jedinica u CROZ-u

Voditelji organizacijskih jedinica u CROZ-u:

⦁ Odgovorni za provedbu Politike informacijske sigurnosti u području svoje nadležnosti,
⦁ Odgovorni za provedbu Politike identifikacije i klasifikacije informacijske imovine u području svoje nadležnosti,
⦁ Odgovorni za provedbu Priručnika ISMS-a,
⦁ Odgovorni za ostvarenje ciljeva sigurnosti u području svoje nadležnosti,
⦁ Odgovorni za implementaciju poboljšanja proizašlih iz internih i eksternih audita ISMS-a,
⦁ Može biti imenovan vlasnikom rizika nad imovinom iz područja svoje nadležnosti.

⦁ Vlasnik imovine

Vlasnik imovine odgovoran je za:
⦁ popis i klasifikaciju informacijske imovine čiji je vlasnik,
⦁ procjenu sigurnosnih rizika nad tom imovinom,
⦁ odabir sigurnosnih kontrola za smanjenje rizika na prihvatljivu razinu,
⦁ implementaciju sigurnosnih kontrola i
⦁ provjeru njihove primjene.

⦁ Specijalistički tim za upravljanje sigurnosnim incidentima

Svi incidenti prijavljuju se slanjem e-maila na security_office@croz.net ili pomoću SCCD ticketing sustava. U slučaju da nadležne osobe zaključe da je riječ o sigurnosnom incidentu za čije rješavanje je potrebno formirati širi specijalistički tim, isti se formira u suradnji s CISO-om. Ovaj tim uključuje stručne osobe koje mogu doprinijeti rješavanju sigurnosnih incidenata.

Specijalistički tim analizira uzroke koji su doveli do sigurnosnog incidenta, izrađuje plan postupanja po incidentu, nadzire njegovu provedbu i čini potrebna izvješća.

⦁ Interni procjenitelji
⦁ Provode provjeru usklađenosti sustava informacijske sigurnosti sa ISO/IEC 27001 normom prema dokumentiranom postupku „Interni audit“ i planu provođenja internih audita,
⦁ Izrađuju izvješća o provedenim internim auditima.

⦁ Individualna odgovornost

Svaki djelatnik i vanjski suradnik iz definiranog opsega primjene ove Politike, osobno je odgovoran za informacijsku sigurnost, u djelokrugu svoga rada.

⦁ NAČIN REALIZACIJE OVE POLITIKE INFORMACIJSKE SIGURNOSTI

Uprava CROZ-a odlučila je da se uspostava sustava informacijske sigurnosti temelji na zahtjevima norme ISO/IEC 27001:2022 i ovom Politikom iskazuje svoju potpunu predanost i potporu uspostavi, implementaciji i svakodnevnom funkcioniranju i unapređenju ovog sustava u domeni svih usluga CROZ-a. Ova Politika predstavlja temeljni okvir sustava informacijske sigurnosti i potrebno ju je dalje provoditi putem ostalih dokumenata sigurnosti u definiranom opsegu primjene.

Ciljevi informacijske sigurnosti ostvaruju se primjerenim procjenama sigurnosnih rizika i identifikacijom neprihvatljivih rizika, što je osnova odlučivanja o potrebnim sigurnosnim kontrolama. Razina prihvatljivosti sigurnosnih rizika definirana je u Metodologiji upravljanja rizicima. Odabir sigurnosnih kontrola provodi se uzimajući u obzir njihovu opravdanost, funkcionalnost i isplativost.

Primjena sigurnosnih kontrola je usklađena s važećim zakonskim i ugovornim obvezama CROZ-a. Pri tome su korištene preporuke navedene u normi ISO/IEC 27002:2022. Za svaku kontrolu, propisanu Anexom A norme ISO/IEC 27001:2022, u Izjavi o primjenjivosti (SOA-i) jasno je definirano je li ona implementirana u definiranom opsegu primjene i u slučaju da nije, koji su razlozi za to. Sve one kontrole koje su posljedica zakonske obveze ili poslovnih zahtjeva korisnika usluga, nisu isključene.

Sustav informacijske sigurnosti se kontinuirano nadzire i provjerava. Također, sustav se kontinuirano procjenjuje od strane internih procjenitelja i vanjskih neovisnih organizacija. Sve na taj način dobivene informacije, koriste se za njegovo kontinuirano poboljšanje.

Uprava CROZ-a se obvezuje osigurati potrebne resurse za razvoj, implementaciju, primjenu, nadzor, provjeru, održavanje i poboljšavanje sustava upravljanja informacijskom sigurnošću.

⦁ DISCIPLINSKI POSTUPAK

Protiv svakog zaposlenika koji ne bude postupao u skladu s ovom politikom, može biti pokrenut disciplinski postupak, u skladu s Pravilnikom o radu.

U slučaju kršenja ove Politike od strane vanjskih suradnika primjenjuju se odredbe o zaštiti tajnosti iz Ugovora s vanjskim suradnicima.

⦁ VEZE S DRUGIM DOKUMENTIMA

Interni dokumenti:
⦁ Ciljevi informacijske sigurnosti
⦁ Detaljan opis opsega ISMS-a za CROZ d.o.o.
⦁ Metodologija upravljanja rizicima
⦁ Izvješće o procjeni rizika i plan postupanja s rizicima
⦁ Izjava o primjenjivosti (SOA)
⦁ Priručnik ISMS-a
⦁ Pravilnik o radu
⦁ Ostali zapisi i operativne procedure iz domene sigurnosti