Pravilnik o primjerenom korištenju informacijskog sustava

Polje	Vrijednost
Oznaka	PR-INF-KORIS-v1_1
Tip	Pravilnik
Verzija	1.1
Datum usvajanja	20.08.2024.
Format	DOCX
ISO 27001:2022	5.10, 8.1
Status	Aktivan
Preuzimanje	PR-INF-KORIS-v1.1.docx

Opis

Sveobuhvatni pravilnik koji uređuje način korištenja informacijskog sustava TPA d.o.o. od strane svih korisnika — djelatnika, ugovornih radnika i vanjskih partnera. Definira pravila pristupa, fizičke i logičke kontrole, upravljanje mobilnim uređajima, udaljeni rad, mrežnu segmentaciju i prihvatljivo korištenje IS resursa. Verzija 1.1 uvodi poboljšanja u pravilima za privilegirane račune i udaljeni rad (MFA, zabrana BYOD-a).

Sadržaj dokumenta

• Uvodne odredbe i ciljevi — djelotvorno, etično i zakonski primjereno korištenje IS-a; odgovorne osobe (IT službenik, ISMS voditelj, administrator IS-a, rukovoditelji)
• Pojmovi — definicija IS-a: računala, serveri, mrežni uređaji, mobilni uređaji, podaci, programi
• Korisnici IS-a — svaki djelatnik, ugovorni radnik ili vanjski partner; prava se dodjeljuju prema načelu najmanjih ovlasti
• Nadzor i kontrola — svi resursi su imovina Tvrtke; prihvaćanje nadzora uvjet za pristup
• Fizička sigurnost prostora — dvije zone: uredski prostori (ograničen pristup vanjskim osobama) i server soba (samo IT administrator); pristupne kartice, evidencija ulaza
• Logički pristup IS-u — formalna registracija korisnika; odobrenje rukovoditelja i vlasnika podataka; pisana izjava o prihvaćanju politike
• Identifikacija i autentifikacija — kompleksne lozinke, periodička promjena; privilegirani računi po načelu najmanjih ovlasti; revizija najmanje godišnje
• Udaljeni pristup — Barracuda-TINA VPN; SSL za servere; TeamViewer isključivo na zahtjev korisnika; obveza MFA; zabrana BYOD-a; samo odobreni kanali za prijenos podataka
• Mobilni uređaji — enkripcija, zaključavanje, antivirusna zaštita, udaljeno brisanje; zabrana ostavljanja bez nadzora
• Mrežna arhitektura — segmentacija: produkcija / WAN (cloud); Barracuda vatrozid; statičke adrese za servere/štampače
• Prihvatljivo korištenje — zabranjeno: nelicencirani softver, privatni mail za poslovne podatke, streaming, pornografija; dopuštena ograničena privatna upotreba
• Korištenje e-pošte — zabranjeno slanje povjerljivih podataka bez enkripcije; oprez s privicima i phishingom
• Završne odredbe — primjena od dana donošenja

Povezani dokumenti

• PO-INF-SIG-v2_0 — Politika informacijske sigurnosti (nadređeni dokument)
• PC-INF-PRAVA-v1_0 — Procedura upravljanja korisničkim pravima (operativna provedba)
• PC-INF-STANKONF-v1_0 — Standardna konfiguracija računala (tehničke postavke)
• PR-INF-KRIPTO-v1_0 — Pravilnik o kriptografiji (enkripcija podataka)

Povijest izmjena

Verzija	Datum	Opis
1.1	20.08.2024.	Izmjena pravila za privilegirane račune i udaljeni rad (MFA, BYOD zabrana)
1.0	20.08.2024.	Inicijalno usvajanje