Государственное акционерное общество “Latvijas Loto”

ПУБЛИЧНАЯ ЧАСТЬ ПОЛИТИКИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

 

 1. Введение.

Этот документ является дополнением к документам стратегического планирования ГАО “Latvijas Loto” и определяет публичную часть политики Системы управления информационной безопасностью (далее в тексте – СУИБ), ее отношение к бизнес- характеристике предприятия, к предприятию и к основным принципам управления информацией в нём.

2.СУИБ сфера и регламентирующие нормативные акты.

СУИБ сфера по-русски:

Организация государственных лотерей, в том числе и интерактивных лотерей, обработка и выплата выигрышей, а также разработка, производство, продажа в онлайн режиме в торговых местах и в интернете числовых лотерей и моментальных лотерей, организация интерактивных лотерей и продажа в онлайн режиме в интернете.

СУИБ сфера по-английски:

Organization of state level lotteries including interactive lotteries, processing, and payout of winnings, development and production of number and instant lotteries, sale of those through on-line terminals in points of sale and on the Internet, the organisation and sale of interactive lotteries on the Internet.

ГАО “Latvijas Loto” обеспечивает клиентам высокую степень безопасности при получении, обработке, передаче и хранении данных. Предприятие непрерывно соблюдает и контролирует неизменность данных, целостность данных, конфиденциальность данных и корректность алгоритмов. Для обеспечения организации лотерей в соответствии с главными международно-признанными принципами хорошей практики, внутренние акты и осуществляемые действия ГАО “Latvijas Loto” разработаны и основаны в соответствии с требованиями, которые определены:

  • международными стандартами ISO 9001, ISO/IEC 27001, WLA/SCS, EL/RGS, WLA/RGF (высший – четвертый уровень);
  • соответствующими внешними нормативно правовыми актами;
  • договорными обязательствами, если они не противоречат вышеупомянутому.

3. Информационная безопасность.

3.1. ГАО „Latvijas Loto” (далее в тексте “предприятие”) своей стратегической миссией определило следующий принцип:

“Мы социально-ответственным способом даем людям возможность участия в лотереях высшего класса, где выгоду получает каждый – часть получают выигрыши, а остальные – хорошее развлечение и осознание, что с их участием финансируются проекты, значимые для каждого из нас в Латвии”.

Эта миссия достижима, реализуя различные определяющие бизнес-цели, среди которых с ресурсами обработки информации связаны следующие: 

  • Latvijas Loto реализует защиту и укрепление позиций организации на существующих рынках с помощью существующих продуктов, осуществляя улучшение качества и разнообразность сервиса, и новых продуктов, обеспечивая тем высокий уровень безопасности и сервиса (обслуживание высокого уровня с индивидуальным подходом, а также основные критерии в создании новых продуктов – безопасность и качество);
  • для задействованных лиц, принимающих участие в осуществляемых предприятием процессах, обеспечить высокую степень безопасности в получении, обработке, передаче и сохранности данных;
  • обеспечить соответствующий и соразмерный выбор мер безопасности для защиты информационных и других активов и предоставлении уверенности в качестве безопасности в рамках организации (точная идентификация рисков безопасности, определение и осуществление соответствующих мероприятий по устранению, назначая ответственных за риски и их уменьшение/ реализации механизмов устранения).

3.2. Учитывая специфику рынка лотерей (далее в тексте – “игр”), предприятие только тогда сможет успешно выполнять свои бизнес-планы, когда предлагаемые продукты/ услуги в глазах клиентов предприятия и его деловых партнеров будут надежными, безопасными и стабильными. Неудачно обеспеченная игра, мешающая или влияющая на ее процесс третья сторона, влияние на результаты игры или манипуляции с ними, неспособность выплаты выигрышей, могут полностью разрушить имидж предприятия в глазах участников и деловых партнеров, что в совокупности может привести к потере доходов предприятия вплоть до полной остановки его деятельности. В свою очередь хорошо налаженная, внедренная и управляемая информационная безопасность, позволяет предприятию достичь свои бизнес-цели надежными и профессиональными методами, быть узнаваемым среди участников, как предприятие с высокой репутацией, развивать новые формы сотрудничества с международными лотерейными предприятиями в организации лотерей государственного масштаба.

3.3. Деятельность предприятия характеризует:

3.3.1.География деятельности – децентрализованная:

  • Централизованная обработка данных в Риге;
  • Удаленная торговля лотерейными услугами, используя специализированное торговое оборудование, которое в онлайн режиме подключено к центру обработки данных;
  • Удаленная торговля лотерейными услугами в интернете;
  • Администрирование систем ИT отделом предприятия и внешними разработчиками (страны Евросоюза);

3.3.2. Доступность в онлайн режиме систем торговли лотереями в соответствии с условиями продаваемых лотерей (обеспечение непрерывности процесса; перерывы в работе системы допустимы только в соответствии с правилами игр или проводя заранее запланированные обслуживающие работы);

 

3.3.3. Наличие внутренней ИT инфраструктуры, которая используется для поддержки остальной бизнес-деятельности предприятия.

3.4. Для достижения бизнес-целей, имеющаяся во владении предприятия информация должна соответствовать определенным требованиям (критериям) бизнеса. В отношении обработки информации разделяют три группы требований: качество, надежность и безопасность.

Комплекс мероприятий информационной безопасности обязан обеспечить, чтобы информация:

  • была доступна только соответствующе уполномоченным лицам (распознанным в соответствии с обязанностями и правами);
  • является точной, достоверной и полной;
  • доступна пользователю в нужное время и в нужном месте.

Эти три основных требования безопасности известны, как конфиденциальность, целостность и доступность информации. Дополнительно к этим трем основным, классическим требованиям, существенную роль играет распознавание хронологии событий, которое по прошествии времени позволяет выяснить, что, где и когда произошло.

3.5. Главной целью СУИБ является сохранение конфиденциальности, целостности и доступности информации, обеспечивая процессы управления рисками, а также предоставление уверенности заинтересованным сторонам о надлежащем управлении рисками. СУИБ является частью процессов предприятия и структуры управления, а также интегрирована с ними. Информационная безопасность учитывается при разработке процессов, при разработке информационных систем и систем контроля.

3.6. Любое лицо вне предприятия по вопросам потенциальных/ существующих аспектов информационной безопасности, может связаться с ним, используя доступную на домашней страничке предприятия контактную информацию.

 

4. Классификация информации

4.1. Безопасность СУИБ зависит от безопасности используемых ресурсов. Приемы и процедуры, которыми обеспечивается поставка, поддержка, сохранность, использование и ликвидация ресурсов, для разных групп ресурсов отличаются, поэтому необходима классификация информационных ресурсов.

4.2. Цель классификации – определить значимость, всей имеющейся на предприятии, информации, классифицировать ее на группы и каждой из этих групп обеспечить защиту.

4.3. Информация предприятия может быть классифицирована по разным критериям и методам, но главной остается классификация по степени конфиденциальности, уровень которой определяется в зависимости от вреда (включая финансовый, репутационный и т.д.), который может возникнуть у предприятия, если было допущено, что информация пропала и/ или с ней ознакомилось третье лицо, которое не уполномочено иметь доступ к данной информации.

4.4. ГАО „Latvijas Loto” классифицирует информацию по следующим группам:

Публичная или открытая

Публично доступная и распространяемая информация, доступ к которой может осуществляться неконтролируемым образом, а также несанкционированное распространении которой не повлечет за собой юридические или финансовые последствия.

Внутреннего значения

Информация, неконтролируемое распространение которой за пределами предприятия, может создать кратковременные финансовые или юридические последствия или обязательства.

Конфиденциальная/ Ограниченного пользования

 

Информация, применение или доступ к которой является значимой для деятельности предприятия; ее несанкционированное распространение или использование может повлечь за собой существенные последствия, но в целом из-за которых предприятие не понесет ощутимые финансовые потери.

Особо конфиденциальная/ Ограниченного пользования

Информация, применение которой является очень важной для деятельности предприятия в целом, и несанкционированное распространение или использование которой может повлечь за собой существенные последствия.

 

4.4.1. Первичную классификацию информации в соответствии с ее конфиденциальностью осуществляет:

  • пользователь – в случаях, когда информация создана или внесена свободным, предварительно не определенным образом (например, на бумаге, на пустых документах, презентациях и т.д.);
  • владелeц информационных ресурсов, управляющий ИБ или владелец ИБ рисков (ответственный за ИБ риск) – в случаях, когда информация вводится в СУИБ в заранее определенном стандартном виде (например, с помощью формы);
  • получатель информации - в случае, когда информация создана за пределами предприятия. Такая информация классифицируется в соответствии с требованиями ее создателя и/ или распространителя.

4.4.2. Пользователь, ознакомившись и работая с конфиденциальной информацией, обязан знать к какой конкретной группе конфиденциальности данная информация принадлежит. Это можно обеспечить разными способами:

  • маркируя носители информации специальными отметками или надписями;
  • устно или письменно информируя пользователей информации;
  • или административно определяя принадлежность конкретной информации к определенной группе.

4.4.3. Информация должна быть защищена на всех этапах ее существования – начиная с создания до ее удаления.

 

Корзина

(( item.name ))

Cena: (( item.price ))€ x (( item.count ))

-
+
Общая сумма: (( sum )) €