ПОЛИТИКА БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Государственного акционерного общества Latvijas Loto

 

1. Схема управляющая безопасностью информационной системы

ГАО «Latvijas Loto» обеспечивает своим клиентам высокий уровень безопасности в получении, обработке, передаче и хранении данных. Предприятие непрерывно соблюдает и контролирует неизменность данных, интегрированность данных, конфиденциальность данных и корректность алгоритмов. Чтобы обеспечить организацию игр соответственно высоким международно признанным стандартам хорошей практики.

Документы регулирующие безопасность информационной системы (далее в тексте ИС) ГАО Latvijas Loto разработаны и основаны на требованиях указанных в ISO/IEC 27000,  ISO/IEC 27001 и ISO/IEC 27002, WLA/SCS, ISO стандартах и сформированы как следующий пакет документов:

  • Акт ГАО «Latvijas Loto» о применении систем управления информационной безопасности;
  • Мировые ассоциации Государственного Акционерного Общества «Latvijas Loto» - акт об использовании стандарта контроля безопасности;
  • Политика безопасности ИС ГАО Latvijas Loto (состоит из общественной части и части внутреннего пользования);
  • Правила безопасности ИС ГАО Latvijas Loto;
  • Указания безопасности ИС ГАО Latvijas Loto;
  • Решения правления ГАО Latvijas Loto о вопросах безопасности ИС;
  • Процедуры, инструкции и рекомендации регулирующие безопасности ИС ГАО Latvijas Loto, а также Руководство по качеству и Руководство продавца по безопасности и корпоративной социальной ответственности – определяет и описывает принципы содержания и управления IDPS;
  •  Процедуры, инструкции и рекомендации регулирующие безопасности ИС ГАО Latvijas Loto и его структур конкретизируют определенную в СУИБ реализацию процесса;
  • Решения Правления и распоряжения начальства ГАО «Latvijas Loto» о вопросах IS безопасности, Правила порядка работы, Положение о конфиденциальности информации, Рабочие обязанности – включают IDPS установленные стандарты соответствия, обеспечивающие обязанности конкретному должностному лицу и сотрудникам.

Терминология используемая в этих и других связанных с безопасностью ИС документах объяснена в правилах безопасности ИС ГАО Latvijas Loto.

 

2. Нормативные акты регламентирующие деятельность предприятия в сфере безопасности ИС

2.1. Правовую и организационную основу организации безопасности информационных систем определяет Закон лотерей и азартных игр.

2.2. Гражданский закон определяет ответственность и обязательства предприятия по отношению к игрокам.

2.3. 144 и 241-245 панты Криминального закона определяет криминальную ответственность работников за несанкционированную и незаконную деятельность с  ИС и ее ресурсами.

2.4. Закон „О защите данных физических лиц” определяет требования к ИС и связанным с ней процедурам в случаях, когда обрабатываются данные физических лиц.

2.5. ISO/IEC 27000, ISO/IEC 27001 и 27002 стандарты определяют рекомендательные требования, которые необходимо соблюдать организовывая и реализовывая работы и проекты связанные с ИС.

2.6. „WLA Security control standarts” – определяют рекомендательные требования для предприятий, которые действуют в лотерейном бизнесе.

3. Безопасность информации

3.1. ГАО Latvijas Loto (далее в тексте “предприятие”) определило следующие принципы как свою стратегическую миссию:

“Мы предлагаем людям возможность игры высокого уровня в социально-ответственной форме, и в наших лотереях получают все – некоторые выигрыши, а все – веселое развлечение и сознание того, что помогают финансировать проекты, которые важны для нас всех в Латвии”.

Эта миссия достижима, реализовывая разные цели определяющие бизнес, среди которых с ресурсами обработки информации связаны следующие:

  • Latvijas Loto предлагает своим клиентам имеющиеся продукты, выполняя улучшение и разнообразие качества их сервиса, обеспечивая высокий уровень безопасности и сервиса (высокий уровень и индивидуальный подход в обслуживании, в разработке новой продукции основные критерии – безопасность и качество);
  • Latvijas Loto обеспечивает клиентам высокую степень безопасности в принятии, обработке, передаче и хранении данных;
  • «Latvijas Loto» обеспечивает соответствующий выбор контроля безопасности, который защитит информацию и другие активы и даст уверенность в качестве безопасности в рамках организации (точная идентификация рисков безопасности  и определение и осущетвление  соответствующих  мероприятий по устранению, назначая ответственных за осуществление механизма по уменьшенинию / устраненинию рисков).

3.2. Принимая во внимание особенности рынка лотерей, предприятие только тогда сможет успешно выполнять свои планы бизнеса, если предлагаемые продукты/услуги будут надежными, безопасными и стабильными с точки зрения клиентов предприятия. Хорошо разработанная, поддерживаемая и управляемая система безопасности информации позволяет предприятию достигать свои цели бизнеса безопасными и профессиональными методами, быть узнаваемым среди игроков как предприятие с высокой репутацией.

3.3. Деятельность предприятия характеризует децентрализованная торговля услугами используя специализированную аппаратуру торговли, которая соединена в on-line режиме с центром обработки данных в Риге, а также отдаленная торговля лотерейными услугами в среде Интернета и торговля моментальными лотереями. ИС предприятия разрабатывает и поддерживает IT часть предприятия в сотрудничестве с внешними разработчиками системы. Требования доступа к Системе on-line торговли лотереями определяются в соответствии с условиями продаваемых лотерей.

3.4. Для обеспечения основной деятельности on-line торговли лотереями и системы розыгрышей предприятия как основной системы для деятельности предприятия необходимо обеспечить выполнение следующих требований:

  • неизменность данных – чтобы обезопаситься против несанкционированных изменений данных розыгрышей как со стороны персонала предприятия, так и со стороны третьих лиц;
  • интеграция данных – чтобы обеспечить подлинность данных розыгрышей (в случае претензий) и правильность (в расчетах финансовых результатов розыгрышей);
  • секретность данных и корректность алгоритмов – чтобы обеспечить доступность к конкретной информации о розыгрышах только уполномоченным лицам, а также обеспечить защиту от подделывании результатов розыгрышей и влиянии на них.