VAS Latvijas Loto
Informācijas sistēmu drošības politika

1. IS drošību pārvaldošā shēma.

VAS „Latvijas Loto” nodrošina klientiem augstu drošības pakāpi datu pieņemšanā, apstrādāšanā, nodošanā un saglabāšanā. Uzņēmums nepārtraukti ievēro un kontrolē datu neizmainīšanu, datu integritāti, datu konfidencialitāti un algoritmu korektumu. Lai nodrošinātu spēļu organizēšanu atbilstoši augstākajiem starptautiski atzītas labās prakses standartiem, VAS „Latvijas Loto” IS drošību regulējošie dokumenti ir izstrādāti un balstās uz ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, WLA/SCS, ISO 9001 standartos noteiktajām prasībām un tiek veidota kā sekojošu dokumentu kopa:

  • VAS „Latvijas Loto” Informācijas Drošības Pārvaldes Sistēmas piemērošanas akts;
  • Valsts Akciju Sabiedrības „Latvijas Loto” Pasaules loteriju asociācijas – Drošības kontroles standarta piemērošanas akts;
  • VAS „Latvijas Loto” IS drošības politika (šis dokuments);
  • VAS „Latvijas Loto” Informācijas drošības pārvaldes sistēmas (tālāk tekstā  - IDPS) vadlīnijas, kā arī Kvalitātes rokasgrāmata un Pārdevēju , drošības un korporatīvās sociālās atbildības rokasgrāmata - nosaka un apraksta IDPS uzturēšanas un pārvaldības principus;
  • VAS “Latvijas Loto” IS drošības noteikumi - nosaka un apraksta uzņēmumā esošās IDPS darbību;
  • VAS “Latvijas Loto” Valdes lēmumi un vadības rīkojumi par IS drošības jautājumiem, Darba kārtības noteikumi, Nolikums par konfidenciālu informāciju, Darba pienākumi - piesaista IDPS noteiktos ieviesto standartu atbilstības nodrošinošos pienākumus un atbildības konkrētām uzņēmuma amatpersonām un darbiniekiem;
  • VAS “Latvijas Loto” IS drošību regulējošās procedūras, instrukcijas un rekomendācijas - konkretizē IDPS noteikto procesu realizāciju.

Šajā un citos ar IS drošību saistītajos dokumentos lietotā terminoloģija ir izskaidrota VAS „Latvijas Loto”  IDPS vadlīnijās  un VAS “Latvijas Loto” IS drošības noteikumos. 

 

2. Uzņēmuma darbību IS drošības jomā  reglamentējošie  normatīvie akti.

2.1. Informācijas sistēmu drošības organizēšanas tiesisko un organizatorisko pamatu nosaka  LR Azartspēļu un izložu likums.

2.2. LR Civillikums nosaka uzņēmuma atbildību un saistības pret spēlētājiem.

2.3. LR Krimināllikuma 144. un 241.-245.pants nosaka darbinieku kriminālatbildību par nesankcionētām un prettiesiskām darbībām ar IS un to resursiem.

2.4. Likums „Par fizisko personu datu aizsardzību” nosaka prasības pret IS un ar tām saistītām procedūrām gadījumos, kad tiek apstrādāti fizisko personu dati.

2.5. ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002 standarts nosaka rekomendējošās prasības, kuras ir jāievēro, organizējot un realizējot ar IS saistītus darbus un projektus.

2.6. WLA/SCS  nosaka rekomendējošās prasības uzņēmumiem, kas darbojas loteriju biznesā.

 

3. Informācijas drošība.

3.1. VAS „Latvijas Loto” (tālāk tekstā „uzņēmums”) kā savu stratēģisko misiju ir noteicis sekojošu principu:

„Mēs sniedzam cilvēkiem augstākās klases spēles iespēju sociāli atbildīgā veidā, un mūsu loterijā iegūst visi - daži laimestus, bet visi - jauku izklaidi un apziņu, ka palīdz finansēt projektus, kas svarīgi mums visiem Latvijā”.

Šī misija ir sasniedzama, realizējot dažādus biznesu nosakošus mērķus, starp kuriem ar Informācijas apstrādes resursiem ir saistāmi sekojošie:

  • Latvijas Loto piedāvā saviem klientiem esošos produktus, veicot to servisa kvalitātes uzlabošanu un dažādošanu, un ar jauniem produktiem, nodrošinot tiem augstu drošības un servisa pakāpi (augsta līmeņa un individuālas pieejas apkalpošana, tāpat jaunu produktu izveidē pamata kritēriji – drošība un kvalitāte);
  • Latvijas Loto nodrošina klientiem augstu drošības pakāpi datu pieņemšanā, apstrādāšanā, nodošanā un saglabāšanā;
  • Latvijas Loto nodrošina atbilstošu un samērīgu drošības kontroļu izvēli, kas aizsargās informācijas un citus aktīvus un dos pārliecību par drošības kvalitāti organizācijas ietvaros (precīza drošības risku identificēšana un attiecīgu novēršanas pasākumu noteikšana un īstenošana, nosakot atbildīgos par riskiem un to mazināšanas / novēršanas mehānismu īstenošanu).

3.2. Ņemot vērā loteriju tirgus īpatnības, uzņēmums tikai tad varēs veiksmīgi pildīt savus biznesa plānus, ja  tā piedāvātie produkti/pakalpojumi uzņēmuma klientu un sadarbības partneru redzējumā būs uzticami,  droši un stabili. Labi izveidota, uzturēta un pārvaldīta informācijas drošības sistēma ļauj uzņēmumam sasniegt savus biznesa mērķus ar drošām un profesionālām metodēm, būt atpazīstamam spēlētāju vidū kā uzņēmumam ar augstu reputāciju, attīstīt jaunas sadarbības formas ar starptautiskiem loteriju uzņēmumiem valsts mēroga izložu organizēšanā.

3.3. Uzņēmuma darbību raksturo decentralizēta pakalpojumu tirdzniecība izmantojot specializētu tirdzniecības aparatūru, kura ir saslēgta on-line režīmā ar datu apstrādes centru Rīgā,  kā arī attālināta loterijas pakalpojumu tirdzniecība Interneta vidē un momentloteriju tirdzniecība. Uzņēmuma IS izstrādā un uztur uzņēmuma IT daļa sadarbība ar ārējiem sistēmu izstrādātājiem. Prasības pret Loteriju on-line tirdzniecības sistēmu pieejamību tiek noteiktas atbilstoši tirgoto loteriju nosacījumiem.

3.4. Uzņēmuma pamatdarbību nodrošinošajai loteriju on-line tirdzniecības un izložu sistēmai kā uzņēmuma darbības pamatsistēmai ir jānodrošina sekojošu prasību izpilde:

  • datu neizmainība – lai nodrošinātos pret nesankcionētām izložu datu izmaiņām gan no uzņēmuma personāla puses, gan no trešajām pusēm;
  • datu integritāte – lai nodrošinātu izlozes datu autentiskumu (lai varētu uzrādīt pretenziju gadījumos) un pareizību (izložu finanšu rezultātu aprēķinos);
  • datu slepenība un algoritmu korektums – lai nodrošinātu konkrētas izložu informācijas pieejamību tikai pilnvarotām personām, kā arī nodrošinātu aizsardzību pret izložu rezultātu viltošanu un ietekmējamību.