Крестън БулМар

2.1.1 Ангажираност на Ръководството

Ръководството на Крестън БулМар ООД и Дъщерните Дружества на фирмата, в лицето на Управляващите, официално декларира Политиката по ИНФОРМАЦИОННА СИГУРНОСТ на информационната система на Крестън БулМар.

Политиката е документирана, огласена и разбрана от всички служители, които имат достъп до информацията и информационните системи на Крестън БулМар ООД и нейните Дъщерни Дружества. Политиката е одобрена от Управляващите и се прилага в рамките на:

• Крестън БулМар ООД
• Крестън БулМар – Обработка на Заплати ЕООД
• Крестън БулМар -Счетоводно Обслужване ЕООД
• Крестън БулМар -Финансов Одит ООД
• Крестън БулМар -Бизнес оценки ООД Политиката по информационната сигурност се поддържа от Съвета по Информационна Сигурност. Настоящата политика по информационна сигурност задава рамката на система от мерки, насочени към:
• Гарантиране на конфиденциалност на информацията, чрез прилагането на одобрени ограничения върху достъпа и разкриването на информация;
• Осигуряване на цялостност на информацията, чрез защита срещу неправомерни изменения или разрушаване на информация;
• Осигуряване на достъпност на информацията, чрез осигуряване на надежден и навременен достъп на информацията;
• Постигане на отчетност на информацията, чрез въвеждане на контрол върху достъпа и правата върху информационните ресурси.
• Идентифициране на адекватни цели по информационна сигурност;
• Създаване, привеждане в изпълнение и периодичен преглед и обновяване на актуален План за намаляване на риска, задаващ адекватни мерки спрямо идентифицираните цели по ИС.

2.1.2 Обхват на Системата

Системата за управление на Информационната Сигурност обхваща следната информация, касаеща дейността на Организацията: „Управление на сигурността на информацията при обработка и работа с финансови, счетоводни, правни, данъчни и лични данни на клиенти, на фирмата и на трети страни, в рамките на централния офис на Организацията”. Обхватът на СУИС на Крестън БулМар покрива управлението на сигурността на информацията и документите на фирмата, нейните клиенти и трети страни свързана с предоставянето на услуги в областите на финансов одит, счетоводното обслужване, обработката на заплати, правното обслужване и данъчните консултации, като и изготвянето на бизнес оценки. Системата за управление на информационната сигурност обхваща:

• Всички документи (в електронен вид и на хартия);
• Бази данни;
• Компютри, в т.ч. преносими;
• Софтуерни активи;
• Локална мрежа;
• Електронната страница на фирмата;
• Носители на информация (дискове, USB памети и др.);
• Устройства за копиране и предаване на данни;
• Комуникационни устройства;
• Инфраструктура на фирмата (електрозахранване, кабели за локална мрежа и др.);
• Персонал. Системата за управление на информационната сигурност обхваща централния офис на организацията намиращ се на ул. Нишка 172, ет. 3, както и подземния етаж (-1), където се намират физическия (хартиен) архив на организацията и сървърното помещение.

2.1.3 Цели

Целите на настоящата политика са:

• Осигуряване на непрекъснатост на бизнес процесите;
• Минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на Крестън БулМар, нейните клиенти, партньори и други заинтересовани страни;
• Минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;
• Осигуряване на необходимите ресурси за внедряване на ефективна СУИС;
• Информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;
• Осигуряване на съответствие с нормативни и договорни изисквания.

2.1.4 Принципи

Ръководството на фирмата ще прилага следните основни принципи при разработване, внедряване и поддържане на СУИС:

1. От законова гледна точка:
a) Осигуряване на съответствие с нормативни и професионални изисквания за конфидециалност;
b) Защита на данни и неприкосновеност на лична информация;
c) Опазване на архивите на организацията;
d) Защита на авторски права, търговска информация и други права върху интелектуална собственост.

2. От общоприетите най-добри практики за информационна сигурност:
a) Разработване на политика по информационна сигурност;
b) Разпределяне на отговорностите по информационна сигурност;
c) Обучение по информационна сигурност;
d) Докладване на инциденти, свързани със сигурността;
e) Управление непрекъснатостта на работа;
f) Дисциплинарен процес вследствие от нарушенията на политиката по сигурността.

Въвеждането и спазването на политиката по информационна сигурност цели да предодврати:

• Използването на информацията и системите на организацията без оторизация или за цели, които на са свързани с дейността й;
• Изнасяне на оборудване или информация от офисите и работните помещения на организацията без оторизация;
• Неоторизирано копиране на информация и софтуер;
• Компрометиране на пароли;
• Използване на персонална информация за бизнес цели, освен ако няма изрична оторизация;
• Фалшифициране на доказателства в случай на инцидент.
• Извършване на порнографски/неприлични, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);
• Разпространение на незаконни материали (например с неприлично или дискриминационно съдържание).

2.1.5 Класификация на информацията

В Крестън БулМар ООД се въвежда следната класификация на информацията от гледна точка на мерките за сигурност, които трябва да бъдат взети по отношение на нея:

1. Информация, не подлежаща на защита -Към информацията на Крестън БулМар, неподлежаща на защита, се причислява такава, която се обработва и използва в хода на текущата дейност на фирмата и след това губи своята актуалност.
2. Информация за служебно ползване -Информацията за служебно ползване има елементи на служебна тайна. Тя не може да бъде разпространявана извън Крестън БулМар, но на практика всички негови служители или групи от тях имат достъп до нея.
3. Конфиденциална /Поверителна/ информация -Поверителната информация представлява служебна тайна, чието разгласяване може да доведе до щети от най-различно естество за Дружеството или за неговите партньори. До поверителната информация имат достъп служителите от Крестън БулМар, характерът на чиито дейности налага да ползването на следната:

• Информация на клиенти
• Информация за клиенти
• Лични данни на служители В сила са следните основни правила:
• До поверителната информация нямат достъп потребители извън Крестън БулМар.
• Определени са ясни права за физически и логически достъп до поверителна информация
• Поверителната информация в Крестън БулМар е разделена на отделни части и достъпът на даден потребител се разрешава само до тези части от нея, които са му необходими за ползване във връзка с изпълнение на служебните му задължения.
• Правата за достъп може да се изменят във времето, т.е. едно и също лице в различни периоди от време може да има достъп до различни части от информацията.
• Всяко лице, получило достъп до определена поверителна информация, носи персонална отговорност за нейното разгласяване, както и за вредите и щетите за Крестън БулМар и за трети лица, произтекли от това действие.
• Правилата за боравене с отделните класове информация се регламентират с процедура.

2.1.6 Отговорности

За осъществяване на настоящата политика и за осигуряване функционирането на СУИС, Ръководството определя следните отговорности:

1. Съвет по информационна сигурност (определен със Заповед) -Формулира, преглежда и одобрява Политиката по информационна сигурност и контролира ефикасността на нейното изпълнение; планира необходимите ресурси за сигурността на информационната система; определя ролите и отговорностите свързани със сигурността на информацията, изготвя планове за обучение и осъзнаване; координира прилагането на мерки за защита на информационната сигурност.
2. Системен администратор -Отговарят за управление и поддържане на интернет свързаността в организацията, електронна поща, сървъри, локална мрежа, архивиране, техническа защита на активите (софтуер и хардуер); нива на достъп; проследимост на включване и опити за включване; изготвяне и поддръжка на цялостната документация, свързана с администрирането на информационната система и нейните подсистеми.
3. Отговорник по сигурността (определен със Заповед) -Координира дейностите по прилагане на Политиката и мерките по осигуряване на информационна сигурност. Отговаря, заедно с останалите членове на Съвета по информационна сигурност за изготвяне на методика за оценка на риска и за класификация на информацията, извършва оценка на риска и адекватност на мерките при изменения в информационната система, управлява възникнали несъответствия и инциденти, съдейства за осигуряване на обучението и осъзнаването на потребителите на информационната система.
4. Собственици на информационния ресурс (информация, програми, приложения и поддържащите компютърни системи и периферия) -Участват в определяне на степента на риска, идентификацията и оценката на мерките за сигурност, правата и привилегиите за достъп до съответния ресурс. Отговарят за спазването на правилата за правилна употреба на ресурса, генерирането, събирането, обработката, разпространението и предоставянето на информацията; защитата на ресурса. Собствениците носят отговорност даже когато ресурсът е споделен. Те отговарят за контрола върху използването, поддръжката и сигурността на актива, но не придобиват право на собственост.
5. Потребители -Потребителите на информационната система, се задължават да следват процедурите и инструкциите по информационна сигурност, да докладват за проблеми и инциденти в информационната система.

Разработването и внедряването на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2005 е основополагаща цел за реализация на бизнес стратегията на Организацията. Разработването и внедряването на СУИС е в пълно съответствие с политиката, процедурите и практиките на Системата на управление на качеството, внедрена в Крестън БулМар ООД и Дъщерни дружества в съответствие с международния стандарт ISO 9001:2008.

2.2.1 Политика по Определяне на Методиката и Извършване на Оценка на Риска

Оценката на риска се прилага за всеки актив на организацията или извън нея, обхванат от споразумение с трета страна. Оценката на риска се прилага към цялата информационна система и включва приложения, сървъри, мрежата, и всеки процес или процедура чрез които системата се администрира и/или поддържа.

Идентифицирането и оценката на риска се извършва на базата на разработената и внедрена от Организацията Методика за оценка на риска (част от Процедурата за оценка на риска)

Резултатите от оценката на риска определят мерките за контрол за намаляване на риска в съответствие с нивата на риска.

Оценката на риска се извършва периодично, за да бъдат отчетени измененията в изискванията за сигурност, активите, заплахите, уязвимостите, въздействията или други настъпили промени.

Изпълнението на политиката по оценка на риска е отговорност на Съвета по информационна сигурност.

2.2.2 Политика по Вътрешна Организация на Информационната Сигурност

Ръководството провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.

Крестън БулМар е извършила разпределяне на отговорностите по сигурността на информацията в съответствие с Политиката по сигурност на информацията. Ангажиментите на служителите са дефинирани в Договорите за лоялност/Договорите за възлагане и в съответните документите съставляващи Системата за Управление Качеството и Системата за Управление на Информационната Сигурност на Организацията.

За координиране на дейностите по отношение на сигурността на информацията е създаден Съвет по информационна сигурност

Организацията е определила и документирала отговорностите за изпълнението на следните дейности:

• Собственост и защита на активите;
• Поддръжка на ключови ресурси на организацията – мрежа, сървъри, клиентски данни;
• Закупуване, изменения и поддръжка на софтуерните ресурси;
• Закупуване, изменения и поддръжка на хардуерни компоненти;
• Правилата за поддръжка на инфраструктурата, вътрешния ред и контактите с външни организации;
• Управление на инциденти;
• Непрекъснатостта на дейността;
• Сключване на договори за конфиденциалност с трети страни и изисквания за защита на поверителната информация на организацията.

2.2.3 Политика по Управление на Активите

Политиката се отнася до служители, договарящи страни, консултанти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от Крестън БулМар , както и до наличната информация.

Политиката на фирмата за използване на активите цели не да налага ограничения, противоречащи на установената фирмена култура на откритост и доверие, а да защитава служителите на Крестън БулМар, нейните партньори и самата фирма от незаконни и увреждащи действия, извършени предумишлено или несъзнателно.

Системите свързани с Интернет, Локална мрежа, включително компютърното оборудване, приложния софтуер, операционните системи, средствата за съхранение на информация, електронната поща и други са собственост на Крестън БулМар. Тези системи са предназначени да се използват за целите на бизнеса в интерес на фирмата, нейните клиенти и потребители, което налага въвеждане на правила за употреба.

Данните, които потребителите обработват и съхраняват в корпоративната система са собственост на фирмата и/или на клиентите на организацията. Поради необходимостта да се защитава информационната система на Крестън БулМар, Ръководството на фирмата не гарантира конфиденциалност на личната информация, съхранявана на което и да е устройство, принадлежащо на Крестън БулМар .

Служителите са задължени да правят добра преценка относно разумността на личната употреба.

За целите на сигурността и поддръжката на мрежата, Системният администратор наблюдават оборудването, системите и мрежовия трафик по всяко време.

2.2.4 Политика по Сигурност, Свързана с Човешките Ресурси

Човешките ресурси са основен елемент от СУИС. Политиката по сигурността на човешките ресурси на Крестън БулМар е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност чрез адекватно дефиниране на отговорности и обучение.

Администрирането на човешките ресурси на Организацията обхваща целия процес – проучване на кандидатите, назначаване, определяне на задълженията, промяна на длъжността и прекратяване на договорите, и се извършва в съответствие с разработена, документирана и внедрена Процедура -Подбор, Въвеждане и Раздяла със Служител.

Всички служители на организацията, и където е уместно, доставчиците и потребителите от трета страна, в съответствие с техните функции на работа, преминават подходящо обучение и редовно актуализиране на знанията по политиката и процедурите на организацията.

Всички служители на Крестън БулМар и други физически лица, които използват ресурсите на Организацията, подписват Договор за лоялност/Договор за възлагане или Декларация за конфиденциалност/Договор за конфиденциалност.

В случаи на сериозно нарушение на политиката и правилата за сигурност на човешките ресурси се прилага дисциплинарен процес, който включва отнемане на права за достъп до информационни ресурси, на активи и, ако е необходимо, отстраняване от работа.

Ключови за организацията служители се включват в оценката на риска, като регулярно се извършва преглед на релевантните рискове.

2.2.5 Политика по Физическата Сигурност и Сигурност на Заобикалящата Среда

Крестън БулМар провежда политика на защита на средствата за обработка и съхранение на информацията чрез определяне на граници на физическа сигурност и организация на зони за сигурност.

Работните помещения и техниката се защитават от физическо влизане чрез система за сигурност с различни зони за достъп и определени права за достъп до всяка зона, посочени в картите за зониране.

Прилагат се механизми за контрол на физическото влизане, които ограничават достъп до зоните с чувствителна или критична информация само на упълномощени служители.

Определени са местата за достъп на клиенти, доставки и зареждане. За да се избегне неразрешен достъп, не се допуска присъствие на външни лица в работните помещенията на организацията.

Политиката на Крестън БулМар по отношение на защита на устройствата цели намаляване на риска от неразрешен достъп до информацията с всички възможни последствия, загуба, повреда, кражба, прекъсване на дейността. Прилагат се технически мерки за защита от пожар и прекъсване в електрозахранването, защита на окабеляването и комуникационните връзки.

Изнасянето на устройства и работа извън офисите на фирмата е забранено за служителите. Начините за поддръжка на информационните ресурси, както и за тяхното унищожаване или повторно използване, се извършва в съответствие със процедурата Боравене с носители и информация.

Крестън БулМар провежда и политика за осигуряване на условия за безопасна работа в съответствие със Закона за здравословни и безопасни условия на труда.

2.2.6 Политика по Контрол на Достъпа

Политиката на Крестън БулМар за контрол на достъпа е базирана на принципите „необходимо да знае” или „необходимо да се ограничи”, „всеки достъп, който не е изрично разрешен е забранен” и минимализиране на привилегиите.

Ръководството на Организацията прилага мерки на контрол на достъпа, които да осигуряват:

• Физическа защита на информационните ресурси;
• Достъп до съответните информационни ресурси в съответствие с политиката на собственика на ресурса и на ръководството на организацията;
• Определяне на нивата на достъп в съответствие с ролята, която трябва да изпълняват служителите на организацията и нивата на класификация на информацията;
• Механизми за контрол на физическото влизане;
• Определяне на зони за обществен достъп, доставки и зареждане;
• Контрол на нивото на достъп за всеки служител от регистрирането до крайната де-регистрация;
• Разделяне на ролите за контрол на достъпа;
• Минимизиране на необходимостта от специални привилегии;
• Спазване на правилата за „чисто бюро и чист екран”;
• Защита на ненадзиравани устройства;
• Ограничаване нивата на достъп на външни потребители на информационната система;
• Отнемане на права на достъп при напускане;
• Периодичен преглед на достъпа;
• Ъпргрейд на контрола на достъп в отговор на нови заплахи, възможности, изисквания на бизнеса или изводи от инциденти.

2.2.7 Политика Относно Защита на Информация и Използване на Интернет

Организацията притежава право на собственост върху съдържанието на всички файлове, запазени мрежовите системи, както и върху всички съобщения, излъчени чрез тези системи. Организацията запазва правото си на достъп до тази информация, когато го изисква дейността, без предварително уведомление.

Организацията не се ангажира с наблюдение на комуникациите на служителите си, но си запазва правото да извърши наблюдение, да възстанови, прочете и/или да разкрие извършеното от служителите.

Препоръчително е служителите и ползващите системите да не запаметяват лични файлове на споделено работното сървърно пространство. Организацията има правото да:

• Извършва наблюдение на всеки достъп и използването на ресурсите, апаратурата и източниците, свързани с публичния Интернет и електронната поща;
• Използва информацията, придобита чрез наблюдението, или друг начин, за нуждите на ръководството на Организацията;
• Предприема всички мерки, разрешени от закона или по договор, независимо дали същите резултати бъдат доказани в гражданско или криминално дело срещу дадено лице, фирма или предприятие, или е заподозряно нарушение на тази или свързани с тази политика по сигурността.
• Забранено е използването на Интернет за незаконно сваляне или разпространение на софтуер или други продукти със запазени авторски права.
• Забранено е използването на Интернет за разглеждане или сваляне на неприлични материали;
• Забранено е използването на Интернет за игри, лични разговори по специализирани програми като Skype, ICQ, IRC, Odigo и други подобни;
• Не се позволява паролите за достъп до интернет страници, да бъдат същите, както паролата за достъп до акаунта на потребителя;

2.2.8 Политика по Разработване, Внедряване и Поддържане на Информационни Системи

Политиката на Крестън БулМар по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система.

С цел предотвратяване на грешки, загуба, неразрешено изменение или използване на информация в приложни системи се прилагат механизми за контрол върху входните данни, вътрешната обработка, изходните данни и данните за изпитването на системата, които са дефинирани в Процедура Управление на сигурността при придобиване, разработване и поддържане на информационни системи.

Всички изменения в хардуера и в софтуера на системата се извършват само с предварително разрешение и в съответствие с процедура Управление на измененията.

В отделна Процедура за управление на технически уязвимости са идентифицирани мерки, които включват приложенията, операционните системи и оценка на риска, свързан с техническите уязвимости.

2.2.9 Политика по Управление на Инциденти и Подобряване на Сигурността на Информацията

С цел намаляване на риска и произтичащите от появата на инциденти разходи Крестън БулМар е разработила и внедрила политика за управление на инциденти, която е насочена към разработване и внедряване на процедури и средства за ефективно третиране на слабостите и пробивите, свързани със сигурността на информацията. Мерките обхващат непрекъснато наблюдение, реагиране, оценяване, подобряване и цялостно управление на слабостите и инцидентите.

Всички потребители на информационната система на Организацията са задължени да докладват за наблюдавани събития и слабости в информационната сигурност в съответствие с Процедурата за докладване на слабости и пробиви в информационната сигурност.

Действията свързани с управление на инциденти се извършват в съответствие с Процедурата за управление на инциденти и включват докладване, анализ на причината, планиране на коригиращи и превантивни мерки за предотвратяване от повторна поява, възстановяване на системата и съобщаване за инцидента.

Действията за възстановяване след нарушение на сигурността и за коригиране на грешки на системата се извършват от определен и упълномощен персонал и са документирани, и докладвани.

Където се изискват доказателства, те се събират и съхраняват, за да се гарантира съответствие с изискванията на нормативните актове при последващи правни действия срещу лице или организация след инцидент със сигурността на информацията.

В организацията се събират данни и се извършва анализ на вида и броя на инцидентите, и на направените разходи по разрешаване на инцидентите с цел да се идентифицират повтарящите се инциденти или инцидентите с голямо влияние, и да се ограничат честотата, щетите и загубите от появата им в бъдеще. Оценката на инцидентите е част от входните данни при Прегледа от ръководството.

2.2.10 Политика по Осигуряване Непрекъснатостта на Бизнеса

Ръководството на Организацията разбира необходимостта от планиране непрекъснатостта на бизнеса. То осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси базирани на технологии и силната зависимост от информационните технологии е основание за създаване на План за непрекъснатост на работа.

Крестън БулМар е разработила план за непрекъснатост на работата на информационната система на Организацията, който да обезпечи непрекъснатост на работата на критичните ресурси на системата при настъпване на сериозни неблагоприятни условия и прекъсване по-голямо от 72 часа. Планът е разработен от Отговорника по сигурността и е съгласуван с ръководителите отдели и отговорниците на пряко подчинение на Управляващия. Планът за непрекъснатостта на работа е разработен и приложен във всички направления на Организацията с цел критичните бизнес задачи да бъдат възстановени в необходимия период от време.

Планът представлява интегрална част от всички процеси по управление.

Планът по непрекъснатостта е съгласуван с процедурите и мерките по управление на инциденти.

Планът определя специфичните отговорности на определените екипи, които да осигурят възобновяване и възстановяване на критичните информационни функции. Планът осигурява придобиване и поддържане на информационни ресурси, необходими за осъществяването непрекъснатост на работа.

2.2.11 Лицензионна Политика

Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна. Крестън БулМар е Microsoft Gold Certified Partner, което дава безплатен достъп на Крестън БулМар до някои от последните версии на софтуерни програми на Microsoft. Организацията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в офисите на организацията или на друго място, освен ако не съществува изрично разрешение за това съгласно договора с лицензодателя. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензионния договор, включително предоставяне или получаване на софтуер или шрифтове от клиенти, изпълнители по договори, потребители и други.

Целият софтуер, придобит от организацията, трябва да бъде закупен след съгласуване със Системният администратор. Каналите за придобиване на софтуер са ограничени, за да гарантират, че организацията поддържа пълна документация за закупения софтуер и може да регистрира, поддържа и актуализира съответния софтуер. Това включва софтуер, който може да бъде свален и/или закупен от интернет.

Компютрите на Крестън БулМар са активи собственост на организацията и трябва да бъдат използвани само с лицензиран софтуер, както и да бъдат защитени от вируси. Забранява се на потребителите да внасят софтуер отвън и да го инсталират на своите компютри в организацията. Притежаваният от организацията софтуер не може да бъде изнасян от потребителите и качван на други компютри.

Всички потребители трябва да използват целия наличен софтуер при спазване на съответните лицензионни договори и да съзнават, че те не притежават този софтуер или свързаната с него документация, и освен ако изрично не са упълномощени от издателя на софтуера, не могат да правят допълнителни копия, освен за нуждите на архива.

Крестън БулМар няма да толерира използването на никакви неоторизирани копия на софтуер или шрифтове. Всеки, който незаконно копира софтуер, може да бъде обект на граждански или наказателни санкции, включително налагане на глоби и затвор. Никой потребител не трябва да толерира незаконното копиране на софтуер при никакви обстоятелства, а всеки който разработва, използва или придобива нелицензиран софтуер ще бъде наказан дисциплинарно.

Никой потребител не може да дава софтуер или шрифтове на външни лица, включително клиенти и др. При никакви обстоятелства Крестън БулМар не може да използва софтуер, който е донесен от нелицензирано местонахождение, включително, но не само от интернет, дом, приятели и колеги

2.2.12 Политика за Защита на Личните Данни

Политиката на Крестън БулМар за защита на личните данни е изцяло съобразена със Закона за защита на личните данни.

Крестън БулМар събира лични данни единствено за уреждане на трудовоправните взаимоотношения със служителите. Информацията не се използва повторно за цели, несъвместими с първоначалните.

Информацията, която Крестън БулМар може да събира, включва данни от лични карти, здравни досиета, телефонни и факс номера, адрес за електронна поща, и др. Изрично се забранява събирането на информация, която:

• разкрива расов или етнически произход;
• разкрива политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
• се отнася до здравето, сексуалния живот или до човешкия геном.

Крестън БулМар няма да продава, отдава, търгува с всякаква лична информация, получена от служителите си или от подизпълнителите.

Определените отговорни служители, обработващи лични данни, са задължени да третират информацията като конфиденциална.

Предприети са мерки за физическа и логическа защита на личните данни и са ограничени правата за достъп до тях.

Всеки служител, за когото се отнасят данните („субект на данни“) има право на достъп до своите данни, както и да изиска тяхното коригиране.

2.3.1 Общи Положения

Разработването и внедряването на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2005 е основополагаща цел за реализация на бизнес стратегията на Организацията.

Разработването и внедряването на СУИС е в пълно съответствие с политиката, процедурите и практиките на Системата на управление на качеството, внедрена в Крестън БулМар в съответствие с международния стандарт ISO 9001:2008.

Политиката по информационна сигурност е разпространена до трети страни, които имат достъп до информацията и системите на организацията.

Политиката по информационна сигурност се преглежда редовно на базата на установен процес.

Политиката по информационна сигурност се ревизира, за да се вземат под внимание променящите се обстоятелства.

Персоналът на Крестън БулМар се задължава да спазва всички правила, свързани с информационната сигурност, описани в процедури, инструкции и други документи от СУИС. Персоналът на Крестън БулМар се задължава да спазва всички правила, свързани с информационната сигурност, описани в процедури, инструкции и други документи от СУИС.

Политиката по информационна сигурност обявява, че ще бъдат предприемани дисциплинарни действия срещу нарушителите на нейните регламенти и постановки.

Всеки служител, който прецени, че е налице неспазване на настоящата политика в рамките на организацията и на обхвата на СУИС, трябва незабавно да уведоми Отговорника по сигурността.