ПОЛИТИКА БЕЗОПАСНОСТИ PANDORA FMS
Целью данной политики является достижение адекватной защиты информации Pandora FMS с сохранением ее свойств безопасности

Конфиденциальность: гарантия того, что информация доступна только тем, кто уполномочен иметь к ней доступ.

Целостность: гарантия точности и полноты информации и методов ее обработки.

Доступность: обеспечение доступа авторизованных пользователей к информации и связанным с ней активам в случае необходимости.

Отслеживаемость: обеспечивает возможность мониторинга и контроля деятельности, связанной с данными и информационными системами, на протяжении всего их жизненного цикла.

Подлинность: гарантирует, что сущность (пользователь, устройство, система) является именно той, за кого себя выдает.

Эти основные принципы должны быть сохранены и защищены в любой форме, которую принимает информация, будь то в электронном, печатном, визуальном или речевом формате, и независимо от того, обрабатывается ли она на территории Pandora FMS или за ее пределами. Аналогичным образом, эти принципы должны учитываться в следующих областях безопасности:

Физическая: включает в себя безопасность зависимостей, установок, аппаратных систем, опор и любых активов физического характера, которые обрабатывают или могут обрабатывать информацию.
Логическая: включает в себя аспекты защиты приложений, сетей и прототипов электронных коммуникаций и компьютерных систем.
Политико-корпоративный: формируется из аспектов безопасности, связанных с самой организацией, внутренними правилами, регламентами и правовыми нормами.

Компания Pandora FMS твердо привержена принципу постоянного совершенствования управления информационной безопасностью. Это обязательство включает в себя регулярный пересмотр и обновление политик, процедур и средств контроля, а также внедрение новых технологий и передового опыта. Непрерывное совершенствование является неотъемлемой частью системы управления информационной безопасностью (ISMS) и находит отражение во всех обзорах деятельности руководства, а также в планах действий, разработанных для достижения стратегических целей организации.

Pandora FMS основывает свою деятельность на обработке различных типов данных и информации. Это позволяет ей выполнять основные бизнес-процессы. Таким образом, повреждение или потеря активов организации влияет на выполнение ее операций и может поставить под угрозу непрерывность деятельности организации. Чтобы этого не произошло, была разработана политика информационной безопасности, которая преследует следующие основные цели:

Защищать с помощью средств контроля и мер безопасности активы компании от угроз, которые могут привести к инцидентам безопасности.
Смягчение последствий инцидентов безопасности, которые могут затронуть как сотрудников организации, так и внешние заинтересованные стороны.
Создать систему классификации информации и данных для защиты критически важных информационных активов как внутри компании, так и тех, которые могут представлять интерес для внешних заинтересованных сторон.
Определите ответственность за информационную безопасность, создав соответствующую организационную структуру.
Разработать набор правил, стандартов и процедур, применимых к органам управления, сотрудникам, партнерам, внешним поставщикам услуг и т. д. Такие политики безопасности и соответствие стандартам ISO 27001 будут особенно важны для клиентов, поставщиков и внешних организаций, и о них необходимо своевременно информировать. Разумеется, внутри компании будет проводиться дальнейшее информирование о функционировании СУИБ и всех внутренних политиках и правилах.
Указывать на последствия несоблюдения Политики безопасности на рабочем месте посредством постоянного обучения и внутренней коммуникации.
Постоянно оценивать риски, влияющие на активы, с целью принятия соответствующих мер безопасности/контроля.
Проверять функционирование мер безопасности и средств контроля с помощью внутренних аудитов безопасности, проводимых независимыми аудиторами.
Обучение пользователей управлению безопасностью и информационно-коммуникационным технологиям.
Контролировать передачу информации и данных через коммуникационные инфраструктуры или посредством оптических, магнитных, бумажных и т. д. носителей информации.
Соблюдать законодательство в области защиты данных, интеллектуальной собственности, труда, услуг информационного общества, уголовного права и т. д., затрагивающее активы Pandora FMS и ее отношения с внешними заинтересованными сторонами.
Обеспечить эффективное обслуживание наших клиентов и других внешних заинтересованных сторон с высоким уровнем качества и честности, тем самым сохраняя их доверие.
Защищать интеллектуальный капитал организации от незаконного раскрытия и использования.
Получение доказательств, подтверждающих инциденты безопасности и идентификацию нарушителя, как внешнего (поставщики, клиенты, пользователи), так и внутреннего по отношению к компании.
Снизить вероятность недоступности за счет надлежащего использования активов организации, как внутренних, так и внешних.
Защищать активы от внутренних и внешних атак, чтобы они не превратились в инциденты безопасности.
Контролировать функционирование мер безопасности, определяя количество инцидентов, их характер и последствия.

Нормативно-правовая база

Одной из целей должно быть соблюдение применимых законодательных требований, а также любых других обязательств, которые мы принимаем, в дополнение к договорным обязательствам с клиентами, а также их постоянное обновление. В этой связи правовая и нормативная база, в рамках которой мы осуществляем нашу деятельность, включает:

РЕГЛАМЕНТ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.
Органический закон 3/2018 от 5 декабря о защите персональных данных и гарантии цифровых прав.
Королевский законодательный декрет 1/1996 от 12 апреля «Закон об интеллектуальной собственности».
Закон 2/2019 от 1 марта, вносящий изменения в консолидированный текст Закона об интеллектуальной собственности, утверждённый Королевским законодательным декретом 1/1996 от 12 апреля, и транспонирующий в испанское законодательство Директиву 2014/26/ЕС Европейского парламента и Совета от 26 февраля 2014 года и Директиву (ЕС) 2017/1564 Европейского парламента и Совета от 13 сентября 2017 года.
Королевский декрет 311/2022 от 3 мая о развитии Национальной схемы безопасности, изменённый Королевским декретом 951/2015 от 23 октября.
Закон 34/2002 от 11 июля «Об услугах информационного общества и электронной коммерции (LSSI)».
Закон 40/2015 от 1 октября «О правовом режиме государственного сектора».
Закон 39/2015 от 1 октября «Об общем административном порядке государственных администраций».

Комитет по безопасности

Комитет по безопасности является органом, несущим наивысшую ответственность в рамках СУИБ, и именно этим комитетом принимаются все наиболее важные решения, связанные с безопасностью.

В состав Комитета по безопасности входят:

Ответственный за информацию
Ответственный за услуги
Ответственный за безопасность
Ответственный за системы

В случае конфликта между ролями, определёнными в данной Политике безопасности, относительно выполнения назначенных функций и задач, решение будет принято общим руководителем, при этом приоритет отдаётся решению, обеспечивающему более высокий уровень защиты персональных данных. При отсутствии общего руководителя разрешение конфликта берёт на себя Комитет по безопасности.

Управление рисками

Все системы, подпадающие под действие данной Политики, должны проводить анализ рисков, оценивая угрозы и риски, которым они подвержены. Этот анализ регулярно пересматривается:

Не реже одного раза в год;
При изменении обрабатываемой информации;
При изменении предоставляемых услуг;
При возникновении серьёзного инцидента безопасности;
При выявлении серьёзных уязвимостей.

Для гармонизации анализа рисков Комитет по безопасности установит эталонные оценки для различных типов информации и предоставляемых услуг. Комитет по безопасности будет способствовать доступности ресурсов для удовлетворения потребностей безопасности различных систем, продвигая горизонтальные инвестиции в безопасность.

Для проведения анализа рисков будет использоваться методология анализа рисков, разработанная в рамках процедуры «Анализ рисков».

Безопасность по умолчанию

Информационная безопасность является комплексным и сквозным процессом, который должен быть интегрирован на всех этапах жизненного цикла информационных систем и сервисов — от создания до вывода из эксплуатации.

PANDORA FMS будет управлять изменениями физических или логических элементов системы посредством процесса предварительного утверждения с оценкой влияния на безопасность. Периодически будут проводиться проверки безопасности для оценки состояния систем и управления рисками.

PANDORA FMS реализует меры безопасности для защиты информации как при хранении, так и при передаче в средах, считающихся небезопасными. К таким средам относятся ноутбуки, персональные цифровые ассистенты (PDA), периферийные устройства, носители информации и коммуникации через открытые сети или слабое шифрование.

PANDORA FMS устанавливает меры защиты информации, особенно при подключении к публичным сетям. Риски межсетевого взаимодействия системы будут проанализированы, а точки подключения контролироваться, включая электронные соединения, доступные общественности.

PANDORA FMS будет вести учёт действий пользователей и сохранять необходимую информацию для мониторинга, анализа, расследования и документирования неправомерной или несанкционированной деятельности, что позволит в любое время идентифицировать лицо, совершившее действие.

Посредством управления инцидентами PANDORA FMS создаёт систему обнаружения, реагирования и восстановления при инцидентах, обеспечивая непрерывность бизнеса, снижая последствия и повышая уровень безопасности с помощью процедур управления, анализа, коммуникации и учёта.

Для обеспечения непрерывности операций в случае потери обычных средств работы PANDORA FMS внедрил меры, обеспечивающие наличие у систем резервных копий и механизмов восстановления.

Защита персональных данных

Pandora FMS обрабатывает персональные данные в целях, предварительно сообщенных заинтересованным лицам (субъектам данных) и, при необходимости, предварительно согласованных с ними в момент сбора данных или впоследствии.

С точки зрения защиты данных субъекты данных имеют право на доступ, исправление, ограничение обработки, переносимость, возражение, стирание и другие права (так называемые права ARCO/ARLtPOS). Это означает, что любое физическое лицо может запросить у Pandora FMS информацию о том, какие данные о нем хранятся, откуда они были получены, что с ними делается, для чего они используются, и потребовать изменений в их использовании. При осуществлении прав ARCO/ARLtPOS любого затронутого лица персонал Pandora FMS обязан немедленно уведомить Делегата по защите данных, отправив электронное письмо по адресу [email protected]. Это крайне важно сделать незамедлительно, поскольку существуют строгие юридические сроки для ответа.

Любое лицо, имеющее доступ к информационным ресурсам или информационным активам Pandora FMS (как собственный, так и привлеченный персонал), должно прочитать, понять, знать и принять Политику информационной безопасности и Политику использования информационных систем в начале трудовых или коммерческих отношений с Pandora FMS и впоследствии ежегодно вносить в них изменения.