Politika ISM

Politika integrovaného systému manažérstva spoločnosti TIPOS, národná lotériová spoločnosť, a. s. podľa normy ISO/IEC 27001 a štandardu WLA-SCS.

Cieľ

Cieľom zavedenia a prevádzkovania integrovaného systému manažérstva (ďalej len „ISM") v spoločnosti TIPOS, národná lotériová spoločnosť, a. s. (ďalej len „Spoločnosť") je zabrániť neoprávnenému nakladaniu s vlastnými informáciami aj s informáciami našich zákazníkov vo všetkých ich formách a zabezpečiť ich dostupnosť a integritu potrebnú pre kvalitné poskytovanie lotériových a nelotériových činností a služieb, predchádzať bezpečnostným incidentom alebo minimalizovať ich následky zavedením a prevádzkovaním účinného systému odozvy.

Politika

Predstavenstvu Spoločnosti veľmi záleží na bezpečnosti všetkých informácií, ktoré sa v Spoločnosti spracovávajú, vytvárajú, prenášajú, ukladajú, archivujú, likvidujú a pripravujú na odovzdanie zákazníkom či iným oprávneným subjektom. Prostredníctvom účinného ISM predstavenstvo Spoločnosti vytvára a stále zlepšuje podmienky pre primeranú ochranu všetkých informácií vo forme písomných dokumentov, informácií uložených na serveroch, v počítačoch alebo na médiách, informácií prenášaných po sieti, v hovorenej podobe apod. a to pred vnútornými aj vonkajšími hrozbami a úmyselnými alebo neúmyselnými aktivitami. Princípy tejto politiky vychádzajú z platných právnych požiadaviek, požiadaviek súvisiacich medzinárodných štandardov, predovšetkým noriem ISO/IEC 27001, ISO/IEC 27002 a štandardu Svetovej lotériovej asociácie WLA-SCS a zo zásad a pravidiel nastavených pre bezpečnosť informácií v súlade s platnými vnútornými predpismi Spoločnosti.

Ochrana informácií v Spoločnosti spočíva:

• v zabezpečení dôvernosti informácií, ktoré môžu byť sprístupnené alebo oznámené len oprávneným zamestnancom,
• v udržiavaní integrity informácií, ktoré musia byť vždy správne a úplné a ktoré môžu modifikovať len oprávnení zamestnanci riadeným spôsobom,
• v zabezpečení dostupnosti informácií, ktoré musia byť pre oprávnených zamestnancov prístupné v okamihu, keď ich potrebujú,
• v zabezpečení spoľahlivosti, autenticity, nepopierateľnosti informácií a zodpovednosti za ne.

ISM je súčasťou systému riadenia v Spoločnosti a je i neoddeliteľnou súčasťou pracovných povinností na všetkých úrovniach riadenia.

Zabezpečovanie bezpečnosti informácií v Spoločnosti je trvalý proces, ktorý zahŕňa realizáciu potrebných opatrení, meranie ich účinnosti, priebežný monitoring a kontrolné činnosti, začlenenie spätných väzieb do procesu, jeho hodnotenie, preskúmavanie, neustále zlepšovanie a uplatňovanie postupov učenia sa z chýb a bezpečnostných udalostí a incidentov.

Za zabezpečenie informácií, resp. okruhu informácií na stanovenú úroveň je v Spoločnosti vždy určená zodpovedná osoba. Všetkým zamestnancom, ktorí pristupujú k informáciám v Spoločnosti a pracujú s nimi, poskytuje Spoločnosť primerané školenie v oblasti bezpečnosti informácií, ochrany osobných údajov a systému prevencie legalizácie príjmov z trestnej činnosti a financovania terorizmu.

Pre hodnotenie rizík v Spoločnosti je vypracovaná metodika a sú stanovené kritéria pre akceptáciu alebo ošetrenie rizík. Opatrenia navrhované a uplatňované k ochrane informácií sú vždy dostatočne preskúmané a sú primerané identifikovaným rizikám, hodnote chránených informácií, hrozbám, zraniteľnostiam, ktoré na tieto informácie pôsobia a spĺňajú požiadavky súvisiacich právnych predpisov a zmluvných dohôd.

Akékoľvek narušenie systému zabezpečenia informácií či podozrenie na také narušenie alebo zistené slabiny, ktoré by mohli ohroziť tento systém, sú stanoveným spôsobom nahlasované, evidované a vyšetrené.

Pre zachovanie spôsobilosti plniť kvalitne a včas svoje záväzky voči klientom Spoločnosti v prípade krízových situácii alebo pri haváriách sa vytvárajú, testujú a udržiavajú postupy pre riešenie krízových situácií a obnovy, ktoré zabezpečia primerane rýchle obnovenie dostupnosti informácií a služieb informačných systémov.

Pre vykonávanie analýzy dopadov v Spoločnosti je vypracovaná metodika, ktorá stanovuje postupy pri identifikácii a kvantifikácii dopadov na Spoločnosť v prípade straty alebo prerušenia jej kritických procesov. Súčasťou analýzy dopadov je aj stanovenie časového intervalu, dokedy je potrebné dané procesy obnoviť, aby bol prípadný negatívny dopad na Spoločnosť minimálny. Analýza dopadov je aj východiskovým bodom pre navrhnutie stratégie obnovy, plánov kontinuity činností, definovanie havarijných tímov a rozpracovanie ich úloh a povinností.

Prostredníctvom nastavenia ISM sa v Spoločnosti zabezpečí dodržiavanie požiadaviek relevantných zákonov a ďalších predpisov vo vzťahu k informáciám a informačným systémom, najmä:

• zákon č. 30/2019 Z. z. o hazardných hrách a o zmene a doplnení niektorých zákonov
  
• zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov,
• zákon č. 513/1991 Zb. Obchodný zákonník,
• zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií),
• zákon č. 431/2002 Z. z. o účtovníctve,
• nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
• zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov,
• zákon č. 452/2021 Z. z. o elektronických komunikáciách, v znení neskorších predpisov a ďalších zákonov a nadväzných predpisov.

K napĺňaniu tejto politiky sú vypracované konkrétne záväzné vnútorné predpisy pre jednotlivé oblasti bezpečnosti a zavedené potrebné podporné procesy. Nadväzné dokumenty rozpracovávajú zásady stanovené v tejto politike a určujú právomoci a zodpovednosti za zavedenie, prevádzku a trvalé zlepšovanie ISM v Spoločnosti.

Každý zamestnanec Spoločnosti zodpovedá za naplňovanie tejto politiky pri každodennom plnení svojich pracovných úloh a povinností.

V Bratislave 19. augusta 2022