НОВИНИ

Декларация към НСИ и НАП

Приложение към Годишния финансов отчет на "Консорциум Приста Газ - Домостроене" ДЗЗД към 31.12.2016 г.

Приложение към Годишния финансов отчет на "Консорциум Приста Газ - Домостроене" ДЗЗД към 31.12.2015 г.

Приложение към Годишния финансов отчет на "Консорциум Приста Газ - Домостроене" ДЗЗД към 31.12.2014 г.


ПОЛИТИКА ПО УПРАВЛЕНИЕ НА КАЧЕСТВОТО

        Ръководството на ПРИСТА-ГАЗ ООД – гр.Русе, обявява Политиката за качество с желанието тя да бъде подкрепена и прилагана от персонала на Дружеството. Целта е утвърждаване на ПРИСТА-ГАЗ ООД като предпочитан партньор на пазара за услуги, чрез ефективно управление на процесите, осъзнато високо качество в дейността на всеки служител, напълно удовлетворяване изискванията на клиентите и заинтересованите страни.

  • Основни насоки на политиката на дружеството по отношение на качеството:
    - Пълно съответствие на дейността с изискванията на клиентите и всички заинтересовани страни - служители, общински и други организации, чрез все по-пълно разбиране на техните потребности;
    - Подкрепа на новаторския подход и предлагане на оригинални решения за предоставяне на услуги с постоянно добро качество;
    - Подобряване на вътрешно-фирмената комуникация, подпомагане изграждането на фирмена култура по отношение на качеството;
    - Поддържане на колективната и индивидуалната мотивация на всички нива;
    -  Утвърждаване на имиджа на ПРИСТА-ГАЗ ООД, като надежден партньор.
  •   Тези цели ще се постигнат, чрез:
    - Редовно актуализиране на Интегрираната система за управление (в частност на качеството), при спазване на законовите и други изисквания; 
    - Осигуряване на необходимите ресурси; 
    - Работа с висококвалифицирани специалисти и подизпълнители по всеки проект;
    - Непрекъснато повишаване квалификацията на персонала;
    - Подобряване на ефикасността на Системата за управление на качеството, чрез редовно провеждане на вътрешни и надзорни одити.

          Ръководството на ПРИСТА-ГАЗ ООД декларира своята отговорност за осигуряване на необходимите финансови и човешки ресурси за прилагане на политиката, както и готовността си да я преразглежда и актуализира периодично, съобразно променените обстоятелства и изисквания вътре и вън от фирмата, така че да бъде адекватна и подходяща за организацията и за динамично променящите се условия извън нея.

Ръководството се ангажира, провежданата политика да бъде оповестена и разбрана от целия персонал и да е достъпна за всички. Основен ангажимент е непрекъснатото повишаване на ефективността на ИСУ и устойчивото ủ прилагане за изпълнение на нейните изисквания.                     

ПОЛИТИКА ПО УПРАВЛЕНИЕ НА ОКОЛНАТА СРЕДА

ПРИСТА-ГАЗ ООД – гр.Русе е съвременно предприятие с предмет на дейност: пълен инженеринг, проектиране, доставка, строително-монтажни и пусково-настроечни работи, гаранционно и извънгаранционно поддържане на: газови съоръжения и инсталации за природен газ, компресорни инсталации за сгъстен въздух, хранилища за газ пропан-бутан, газсигнализаторни алармени системи, парокотелни централи, отоплителни, парни, ВиК, омекотителни, климатични, вентилационни, водоподготвителни и др. инсталации, тръбопроводни изолации, метални конструкции и др.

Политиката на ръководството  е насочена към управление  на околната среда, внедряване, поддържане и непрекъснато подобряване  на Система за управление на околната среда  в съответствие с изискванията на  ISO 14 001, като в нея са:

  • определени аспектите  и  въздействието от извършваните в дружеството дейности  върху  околната среда;
  • предвидени и се прилагат нормативните изисквания по отношение определените аспекти  и  въздействието им  върху  околната среда;
  • определени и се преглеждат общите и конкретни цели по отношение управление на околната среда.

Чрез своя професионален опит и коректност при взаимоотношенията си със своите партньори, дружеството е завоювало сериозни позиции на българския и международния пазар и е насочило  стратегическите си цели към:

  • поддържане, доразвиване и усъвършенстване на Система за управление на околната среда;
  • гарантиране удовлетворяване на нормативните изисквания по отношение на околната среда и удовлетворяване изискванията на заинтересованите страни, като  не се допуска конфликт на интереси;
  • изпълнение на Програма за управление на околната среда на дружеството;
  • извършване прегледи и оценка на изпълнение на поставените цели на дружеството;
  • непрекъснато усъвършенстване на фирмената организация на работа.

ПОЛИТИКА  И ЦЕЛИ ПО УПРАВЛЕНИЕ НА ЗДРАВЕ И БЕЗОПАСНОСТ ПРИ РАБОТА

ПРИСТА-ГАЗ ООД – гр.Русе е съвременно предприятие с предмет на дейност: пълен инженеринг, проектиране, доставка, строително-монтажни и пусково-настроечни работи, гаранционно и извънгаранционно поддържане на: газови съоръжения и инсталации за природен газ, компресорни инсталации за сгъстен въздух, хранилища за газ пропан-бутан, газсигнализаторни алармени системи, парокотелни централи, отоплителни, парни, ВиК, омекотителни, климатични, вентилационни, водоподготвителни и др. инсталации, тръбопроводни изолации, метални конструкции и др.

Политиката на висшето ръководство е насочена към управление на здравето и безопасността при работа, при извършваните дейности и е насочена към   предотвратяване и намаляване на риска за човешкото здраве, информираност на  заинтересованите страни  в областта на здраве и безопасност при работа,  интегрирането ù в политиките за управление на бизнеса на дружеството.

Политиката на дружеството е непрекъснато усъвършенстване на бизнес културата за стабилно   партньорство в условията на пазара, постоянно да управлява условията за здраве и безопасност при работа и да подобрява резултатите си в тази област. Системата за управление на здравето и безопасността при работа е документирана, внедрена и се поддържа, като в нея:

  • са определени  опасностите и е направен анализ на риска за всяко работно място по здраве и безопасност при работа от извършваните в дружеството дейности;
  • са предвидени и се прилагат нормативните изисквания по отношение на определените опасности и оценения риск върху  здравето и безопасността при работа;
  • са определени и се преглеждат общите и конкретни цели по отношение управление на здравето и безопасността при работа;
  • е сведена до знанието на всички лица, работещи за или от името на дружеството и е достъпна до обществеността.

Политиката  по управление на здраве и безопасност при работа  е задължение и отговорност на всеки работник и служител в дружеството.
За провеждане на своята Политика ръководството е насочило стратегическите си цели към:

  • гарантиране на спазването на нормативните изисквания по отношение на здраве и безопасност при работа,  и удовлетворяване изискванията на заинтересованите страни, като  не допуска конфликт на интереси;
  • управляване на процесите и подобряване на условията, свързани с управление на здраве и безопасност при работа;
  • извършване на прегледи и оценка на изпълнението на поставените цели на дружеството  и  функциониране на Системата за управление на здраве и безопасност при работа в дружеството.
  • гарантиране на висок професионализъм и възможност за обучение и развитие на персонала;
  • извършване на прегледи и  оценка на изпълнението на поставените цели на дружеството; непрекъснато усъвършенстване на фирмената организация на работа и подобряване на здравето и безопасността при работа;
  • създаване  на мотивирана работна атмосфера на работниците и служителите, изразяваща се във взаимно доверие и зачитане на личното достойнство, признаване на лични и колективни успехи, подобряване условията на труд и комуникациите, постоянно повишаване на квалификацията.

ПОЛИТИКИ ПО УПРАВЛЕНИЕ НА  ИНФОРМАЦИОННАТА СИГУРНОСТ

 

СЪЩНОСТ

1.1. Политиките за Информационна Сигурност на дружеството,  представляват йерархична система от документи, които регламентират съвкупността от правила и средства за осигуряването на цялостната защита на информацията, създадени по структурата на стандарт ISO 27001:2005. Те регламентират основните принципни положения на сигурността и защитата на информацията, валидни за цялата организация.

1.2. На базата на политиките за информационна сигурност се разработват и реализират конкретни организационно-технологични и програмно-технически проекти.

1.3. Политиките за информационна сигурност обхващат всички страни на информационния процес. Те са динамични по своето съдържание. Факторите, от които зависи са законодателството, типът и съдържанието на информацията и изискванията за нейната защита, отношението към различни категории данни от гледна точка на тяхната поверителност и т.н. В хода на прилагането на конкретната политика се натрупва практически опит, който разкрива определени нейни слабости и несъвършенства. Всичко това налага Политиките за управление на информационната сигурност да се преразглеждат периодично или след основни промени в защитата на информацията и в тях да се внасят необходимите изменения и допълнения.

1.4. Политиките за информационна сигурност на ПРИСТА ГАЗ-ООД, Русе са нормативно средство на ръководството на дружеството за запазването на конфиденциалността, целостта и наличността на информацията. Реализирането на конкретната система за управление на информационната сигурност (СУИС) задължително се основава на разумен баланс между разходите, които ще бъдат направени за реализирането и риска от загубите, които биха възникнали, при увреждане целостта или конфиденциалността на данните. Целта на политиките е да осигурят насоки и подкрепа от ръководството по отношение на информационната сигурност, в съответствие с изискванията на бизнеса и съответните закони и разпоредби.

1.5. Политиките за информационна сигурност трябва да бъдат разпространени до всички служители в организацията във форма, която е подходяща, достъпна и разбираема за читателите, за които е предназначена. Ако документът с политиките по информационна сигурност се разпространява извън организацията, трябва да се внимава да не разкрива чувствителна информация.

2. ПОЛИТИКИ

2.1. Политика по управление на Информационната Сигурност

2.1.1 Ангажираност на Ръководството

Ръководството на ПРИСТА-ГАЗ ООД, Русе, в лицето на Управителя, официално декларира Политиката по управление на сигурността на информационната система на дружеството. Тя е документирана, огласена и разбрана от всички служители, които имат достъп до информацията и информационните системи на дружеството. Политиката е одобрена от Управителя и се прилага в рамките на дружеството.
Политиката по информационната сигурност се поддържа от Съвет за информационна сигурност и задава рамката на система от мерки, насочени към:

  • Гарантиране на конфиденциалност на информацията, чрез прилагането на одобрени ограничения върху достъпа и разкриването ù;
  • Осигуряване на цялостност на информацията, чрез защита срещу неправомерни изменения или разрушаване;
  • Осигуряване на достъпност на информацията, чрез въвеждане на надежден и навременен достъп;
  • Постигане на отчетност на информацията, чрез въвеждане на контрол върху достъпа и правата върху информационните ресурси;
  • Идентифициране на адекватни цели по информационна сигурност;
  • Създаване, привеждане в изпълнение, периодичен преглед и обновяване на актуален План за намаляване на риска, задаващ адекватни мерки спрямо идентифицираните цели по ИС.

2.1.2 Обхват на Системата

Системата за управление на информационната сигурност обхваща информацията, касаеща дейността на организацията по отношение на организирането и изпълнението на проектиране, доставка, СМР и сервиз на газови, отоплителни, парни, ВиК, вентилационни, климатични инсталации и други съоръжения и инсталации.
Системата за управление на информационната сигурност обхваща:

  • Всички документи (в електронен вид и на хартия);
  • Бази данни;
  • Компютри, в т.ч. преносими;
  • Софтуерни активи;
  • Локална мрежа;
  • Електронната страница на фирмата;
  • Носители на информация (дискове, USB памети и др.);
  • Устройства за копиране и предаване на данни;
  • Комуникационни устройства;
  • Инфраструктура на фирмата (електрозахранване, кабели за локална мрежа и др.);
  • Персонал.

Системата за управление на информационната сигурност обхваща централния офис на организацията, намиращ се в гр. Русе, ул. Княжеска №1, вх.Б.

2.1.3 Цели

Целите на настоящата политика са:

  • Осигуряване на непрекъснатост на бизнес процесите;
  • Минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на дружеството, неговите клиенти, партньори и други заинтересовани страни;
  • Минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;
  • Осигуряване на необходимите ресурси за внедряване на ефективна СУИС;
  • Информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;
  • Осигуряване на съответствие с нормативни и договорни изисквания.

2.1.4 Принципи

Ръководството на дружеството прилага следните основни принципи при поддържане на СУИС:
1. От законова гледна точка:
a) Осигуряване на съответствие с нормативни и професионални изисквания за конфиденциалност;
b) Защита на данни и неприкосновеност на лична информация;
c) Опазване на архивите на организацията;
d) Защита на авторски права, търговска информация и други права върху интелектуална собственост.
2. От общоприетите най-добри практики за информационна сигурност:
a) Разработване на политики по информационна сигурност;
b) Разпределяне на отговорностите по информационна сигурност;
c) Обучение по информационна сигурност;
d) Докладване за инциденти, свързани със сигурността;
e) Управление на непрекъснатостта на работа;
f) Дисциплинарен процес, вследствие от нарушенията на политиката по сигурността.
Въвеждането и спазването на политиката по информационна сигурност цели да предотврати:

  • Използването на информацията и системите на организацията, без оторизация или за цели, които не са свързани с дейността ù;
  • Изнасяне на оборудване или информация от офиса, без оторизация;
  • Неоторизирано копиране на информация и софтуер;
  • Компрометиране на пароли;
  • Използване на персонална информация за бизнес цели, освен ако няма изрична оторизация;
  • Фалшифициране на доказателства в случай на инцидент.
  • Извършване на порнографски/неприлични, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);
  • Разпространение на незаконни материали.

2.1.5 Класификация на информацията

В дружеството се въвежда следната класификация на информацията от гледна точка на мерките за сигурност, които трябва да бъдат взети по отношение на нея:

  1. Информация, неподлежаща на защита. Към информацията на дружеството, неподлежаща на защита, се причислява такава, която се обработва и използва в хода на текущата дейност на фирмата и след това губи своята актуалност.
  2. Информация за служебно ползване. Информацията за служебно ползване има елементи на служебна тайна. Тя не може да бъде разпространявана извън дружеството, но на практика всички негови служители или групи от тях имат достъп до нея.
  3. Конфиденциална /Поверителна/ информация. Поверителната информация представлява служебна тайна, чието разгласяване може да доведе до щети от най-различно естество за Дружеството или за неговите партньори. До поверителната информация имат достъп служителите от ПРИСТА-ГАЗ ООД, Русе, чиято дейност налага ползването на следната:
  • Информация на клиенти
  • Информация за клиенти
  • Лични данни на служители

В сила са следните основни правила:

  • До поверителната информация нямат достъп потребители извън ПРИСТА-ГАЗ ООД, Русе.
  • Определени са ясни права за физически и логически достъп до поверителна информация.
  • Поверителната информация в дружеството е разделена на части и достъпът на даден потребител се разрешава само до тези части от нея, които са му необходими за ползване във връзка с изпълнение на служебните му задължения.
  • Правата за достъп може да се изменят във времето, т.е. едно и също лице в различни периоди от време може да има достъп до различни части от информацията.
  • Всяко лице, получило достъп до определена поверителна информация, носи персонална отговорност за нейното разгласяване, както и за вредите и щетите за дружеството и за трети лица, произтекли от това действие.

2.1.6 Отговорности

           За осъществяване на настоящата политика и за осигуряване функционирането на СУИС, Ръководството определя следните отговорности:

  1. Съвет по информационна сигурност (определен със Заповед), ръководен от Представителя на ръководството: Формулира, преглежда и одобрява Политиката по информационна сигурност и контролира ефикасността на нейното изпълнение; планира необходимите ресурси за сигурността на информационната система; определя ролите и отговорностите, свързани със сигурността на информацията, изготвя планове за обучение и осъзнаване; координира прилагането на мерки за защита на информационната сигурност.
  2. Системен администратор: Отговаря за управление и поддържане на интернет свързаността в организацията, електронна поща, сървъри, локална мрежа, архивиране, техническа защита на активите (софтуер и хардуер); нива на достъп; проследимост на включване и опити за включване; изготвяне и поддръжка на цялостната документация, свързана с администрирането на информационната система и нейните подсистеми.
  3. Координатор на интегрираната система за управление: Координира дейностите по прилагане на Политиката и мерките по осигуряване на информационна сигурност. Заедно с останалите отговорници участва в изготвяне на методика за оценка на риска, за класификация на информацията и за вземането на мерки при изменения в информационната система. Управлява възникнали несъответствия и инциденти, и съдейства за осигуряване на обучението на потребителите на информационната система.
  4. Собственици на информационния ресурс (информация, програми, компютърни системи и периферия): Участват в определяне на степента на риска, идентификацията и оценката на мерките за сигурност, правата и привилегиите за достъп до съответния ресурс. Отговарят за спазването на правилата за правилна употреба на ресурса, генерирането, събирането, обработката, разпространението и предоставянето на информацията; защитата на ресурса. Собствениците носят отговорност даже когато ресурсът е споделен. Те отговарят за контрола върху използването, поддръжката и сигурността на актива, но не придобиват право на собственост.
  5. Потребители: Потребителите на информационната система, се задължават да следват процедурите и инструкциите по информационна сигурност, да докладват за проблеми и инциденти в информационната система.

Политика по оценка на риска

Оценката на риска се прилага за всеки актив на организацията в/или извън нея. Оценката на риска се прилага към цялата информационна система и включва: сървъри, мрежа и всеки процес или процедура, чрез които системата се администрира и/или поддържа.

Идентифицирането и оценката на риска се извършва на базата на разработената и внедрена от организацията Методика за оценка на риска. Резултатите от оценката на риска определят мерките за контрол за намаляване на риска в съответствие с нивата на риска. Оценката на риска се извършва периодично, за да бъдат отчетени измененията в изискванията за сигурност, активите, заплахите, уязвимостите, въздействията или други настъпили промени.

Изпълнението на политиката по оценка на риска е отговорност на Съвета по информационна сигурност.

Политика по вътрешна организация на информационната сигурност

Ръководството провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.

Дружеството е извършило разпределяне на отговорностите по сигурността на информацията в съответствие с Политиката по сигурност на информацията. Ангажиментите на служителите са дефинирани в Декларацията за конфиденциалност и лоялност към работодателя и в съответните документите, съставляващи Системата за управление на качеството и Системата за управление на информационната сигурност на организацията.

Организацията е определила и документирала отговорностите за изпълнението на следните дейности:

  • Собственост и защита на активите;
  • Поддръжка на ключови ресурси на организацията – мрежа, сървъри, клиентски данни;
  • Закупуване и поддръжка на софтуерните ресурси;
  • Закупуване, изменения и поддръжка на хардуерни компоненти;
  • Правилата за поддръжка на инфраструктурата, вътрешния ред и контактите с външни организации;
  • Управление на инциденти;
  • Непрекъснатост на дейността;
  • Сключване на договори за конфиденциалност с трети страни и изисквания за защита на поверителната информация на организацията.

Политика по управление на активите

Политиката се отнася до служители, договарящи страни, консултанти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственос или използвано от дружеството, както и до наличната информация. Политиката на фирмата за използване на активите цели не да налага ограничения, противоречащи на установената фирмена култура на откритост и доверие, а да защитава служителите на дружеството, нейните партньори и самата фирма от незаконни и увреждащи действия, извършени предумишлено или несъзнателно. Системите свързани с Интернет, Локална мрежа, включително компютърното оборудване, приложния софтуер, операционните системи, средствата за съхранение на информация, електронната поща и други са собственост на дружеството. Тези системи са предназначени да се използват за целите на бизнеса, в интерес на фирмата, нейните клиенти и потребители, което налага въвеждане на правила за употреба.

Политика по сигурност, свързана с човешките ресурси

Човешките ресурси са основен елемент от СУИС. Политиката по сигурността на човешките ресурси на дружеството е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност, чрез адекватно дефиниране на отговорности и обучение. Администрира-нето на човешките ресурси на Организацията обхваща целия процес –  проучване на кандидатите, назначаване, определяне на задълженията, промяна на длъжността и прекратяване на договорите. Всич-ки служители на организацията, в съответствие с техните функции на работа, преминават подходящо обучение и редовно актуализиране на знанията по политиката и процедурите на организацията. Всички служители на дружеството и други физически лица, които използват ресурсите на организацията, под-писват Декларация за конфиденциалност и лоялност към работодателя. В случаи на сериозно нарушение на политиката и правилата за сигурност на човешките ресурси, се прилага дисциплинарен процес, който включва отнемане на права за достъп до информационни ресурси, на активи и, ако е необходимо, отстраняване от работа.

Политика по физическата сигурност

ПРИСТА-ГАЗ ООД, Русе провежда политика на защита на средствата за обработка и съхранение на информацията, чрез определяне на граници на физическа сигурност и организация на зони за сигурност. Работните помещения и техниката се защитават от физическо влизане, чрез система за сигурност – блиндирана врата в офиса и видеонаблюдение в Промишлената база и склада. Определени са местата за достъп на клиенти, доставки и зареждане.

Политиката на ПРИСТА-ГАЗ ООД, Русе по отношение на защита на устройствата цели намаляване на риска от неразрешен достъп до информацията с всички възможни последствия, загуба, повреда, кражба, прекъсване на дейността. Прилагат се технически мерки за защита от пожар и прекъсване в електрозахранването, защита на окабеляването и комуникационните връзки.Изнасянето на устройства и работа извън офисите на фирмата е забранено за служителите, с изключение на два преносими компютъра, зачислени лично на Управителя и Техническия директор. Начините за поддръжка на информационните ресурси, както и за тяхното унищожаване или повторно използване, се извършва в съответствие със процедурата за боравене с носители и информация. ПРИСТА-ГАЗ ООД, Русе провежда и политика за осигуряване на условия за безопасна работа, в съответствие със Закона за здравословни и безопасни условия на труда.

Политика по контрол на достъпа

Политиката на дружеството за контрол на достъпа е базирана на принципите „необходимо да знае”, „необходимо да се ограничи”, „всеки достъп, който не е изрично разрешен, е забранен” и минимизиране на привилегиите.
Ръководството на Организацията прилага мерки за контрол на достъпа, които да осигуряват:

  • Физическа защита на информационните ресурси;
  • Достъп до съответните информационни ресурси, в съответствие с политиката на собственика на ресурса и на ръководството на организацията;
  • Определяне на нивата на достъп, в съответствие с ролята, която трябва да изпълняват служителите на организацията и нивата на класификация на информацията;
  • Механизми за контрол на физическото влизане;
  • Определяне на зони за обществен достъп, доставки и зареждане;
  • Контрол на нивото на достъп за всеки служител от регистрирането до крайната дерегистрация;
  • Разделяне на ролите за контрол на достъпа;
  • Минимизиране на необходимостта от специални привилегии;
  • Спазване на правилата за „чисто бюро и чист екран”;
  • Защита на ненадзиравани устройства;
  • Ограничаване нивата на достъп на външни потребители на информационната система;
  • Отнемане на права на достъп при напускане;
  • Периодичен преглед на достъпа;
  • Ъпргрейд на контрола на достъп, в отговор на нови заплахи, възможности, изисквания на бизнеса или изводи от инциденти.

Политика, относно защита на информация и използване на интернет

Организацията притежава право на собственост върху съдържанието на всички файлове, запазени в мрежовите системи, както и върху всички съобщения, излъчени чрез тези системи. Организацията запазва правото си на достъп до тази информация, когато го изисква дейността, без предварително уведомление. Препоръчително е служителите и ползващите системите да не запаметяват лични файлове на споделеното работно сървърно пространство. Организацията има правото да:

  • Извършва наблюдение на всеки достъп и използването на ресурсите, апаратурата и източниците, свързани с публичния Интернет и електронната поща;
  • Използва информацията, придобита чрез наблюдението, или друг начин, за нуждите на ръководството на Организацията;
  • Предприема всички мерки, разрешени от закона или по договор, независимо дали същите резултати ще бъдат доказани в гражданско или криминално дело срещу дадено лице, фирма или предприятие, или е заподозряно нарушение на тази политика по сигурността;
  • Забранено е използването на Интернет за незаконно сваляне или разпространение на софтуер или други продукти със запазени авторски права;
  • Забранено е използването на Интернет за разглеждане или сваляне на неприлични материали;
  • Забранено е използването на Интернет за игри, лични разговори по специализирани програми като Skype, ICQ, IRC, Odigo и други подобни;

Политика по внедряване и поддържане на информационни системи

Политиката на дружеството по внедряване и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от ъпгрейд на съществуващи и внедряване на нови системи и редовната поддръжка на цялата информационна система.

С цел предотвратяване на грешки, загуба, неразрешено изменение или използване на информация в приложни системи, се прилагат механизми за контрол върху входните данни, вътрешната обработка, изходните данни и данните за изпитването на системата.

Всички изменения в хардуера и в софтуера на системата се извършват само с предварително разрешение от Управителя на дружеството и в съответствие с предписанията на приетите процедури и инструкции.

Политика по управление на инциденти и подобряване на сигурността на   информацията

С цел намаляване на риска и произтичащите от появата на инциденти разходи, дружеството е разработило и внедрило политика за управление на инциденти, която е насочена към разработване и внедряване на процедури и средства за ефективно третиране на слабостите и пробивите, свързани със сигурността на информацията. Мерките обхващат непрекъснато наблюдение, реагиране, оценяване, подобряване и цялостно управление на слабостите и инцидентите. Всички потребители на информационната система на дружеството са задължени да докладват за наблюдавани събития и слабости в информационната сигурност.

Действията, свързани с управление на инциденти се извършват в съответствие с инструкция  ИК 8.04.02 Управление на инциденти по информационна сигурност и включват докладване, анализ на причините, планиране на коригиращи и превантивни мерки за предотвратяване от повторна поява, възстановяване на системата.

Действията за възстановяване, след нарушение на сигурността, и за коригиране на грешки на системата се извършват от системния администратор и са документирани в регистър на инцидентите.

Където се изискват доказателства, те се събират и съхраняват, за да се гарантира съответствие с изискванията на нормативните актове при последващи правни действия срещу лице или организация, след инцидент със сигурността на информацията.

В организацията се събират данни и се извършва анализ на вида и броя на инцидентите, и на направените разходи по разрешаване на инцидентите, с цел да се идентифицират повтарящите се инциденти или инцидентите с голямо влияние, и да се ограничат честотата, щетите и загубите от появата им в бъдеще. Оценката на инцидентите е част от входните данни при Прегледа от ръководството.

Политика по осигуряване непрекъснатостта на бизнеса

Ръководството на Организацията разбира необходимостта от планиране непрекъснатостта на бизнеса. То осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси, базирани на технологии, и силната зависимост от информационните технологии, е основание за създаване на План за непрекъснатост на работа.

Дружеството е разработило План за действие за гарантиране непрекъснатост на бизнеса, който да обезпечи непрекъснатост на работата на критичните ресурси на системата при настъпване на сериозни неблагоприятни условия и прекъсване по-голямо от 72 часа. Планът за непрекъснатостта на работа е разработен и приложен във всички направления на организацията, с цел критичните бизнес задачи да бъдат възстановени в минимален период от време.

Планът представлява интегрална част от всички процеси по управление и е съгласуван с процедурите и мерките за управление на инциденти.

Лицензионна политика

Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна. Организацията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в офисите на организацията или на друго място, освен ако не съществува изрично разрешение за това, съгласно договора с лицензода-теля. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензион-ния договор, включително предоставяне или получаване на софтуер или шрифтове от клиенти, изпълни-тели по договори, потребители и други. Целият софтуер, придобит от организацията, трябва да бъде закупен след съгласуване със Системният администратор. Каналите за придобиване на софтуер са ограничени, за да гарантират, че организацията поддържа пълна документация за закупения софтуер. Това включва софтуер, който може да бъде свален и/или закупен от интернет. Компютрите на дружеството са активи, собственост на организацията и трябва да бъдат използвани само с лицензиран софтуер, както и да бъдат защитени от вируси. Забранява се на потребителите да внасят софтуер отвън и да го инсталират на своите компютри в организацията. Притежаваният от организацията софтуер не може да бъде изнасян от потребителите и качван на други компютри. Всички потребители трябва да използват целия наличен софтуер при спазване на съответните лицензионни договори и да съзнават, че те не притежават този софтуер или свързаната с него документация и, освен ако изрично не са упълномощени от издателя на софтуера, не могат да правят допълнителни копия, освен за нуждите на архива. Дружеството не толерира използването на неоторизирани копия на софтуер. Никой потребител не трябва да толерира незаконното копиране на софтуер при никакви обстоятелства. Никой потребител не може да дава софтуер на външни лица, включително клиенти и др. При никакви обстоятелства дружеството не може да използва софтуер, който е донесен от нелицензирано местонахождение: дом, приятели и колеги.

Политика за защита на личните данни

Политиката на ПРИСТА-ГАЗ ООД, Русе за защита на личните данни е изцяло съобразена със Закона за защита на личните данни. ПРИСТА-ГАЗ ООД, Русе събира лични данни единствено за уреждане на трудовоправните взаимоотношения със служителите. Информацията не се използва повторно за цели, несъвместими с първоначалните.
Информацията, която ПРИСТА-ГАЗ ООД, Русе може да събира, включва данни от лични карти, здравни досиета, телефонни и факс номера, адрес за електронна поща, и др. Изрично се забранява събирането на информация, която:

  • разкрива расов или етнически произход;
  • разкрива политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
  • се отнася до здравето, сексуалния живот или до човешкия геном.

ПРИСТА-ГАЗ ООД, Русе няма да продава, отдава, търгува с всякаква лична информация, получена от служителите си или от подизпълнителите. Определените отговорни служители, обработващи лични данни, са задължени да третират информацията като конфиденциална. Предприети са мерки за физическа и логическа защита на личните данни и са ограничени правата за достъп до тях. Всеки служител, за когото се отнасят данните („субект на данни“) има право на достъп до своите данни, както и да изиска тяхното коригиране.

3. ЗАКЛЮЧЕНИЕ

Поддържането и усъвършенстването на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2005 е основополагаща цел за реализация на бизнес стратегията на ПРИСТА-ГАЗ ООД. СУИС е разработена в пълно съответствие с политиката, процедурите и практиките на съществуващата Системата на управление на качеството, внедрена в ПРИСТА-ГАЗ ООД, Русе, в съответствие с международния стандарт ISO 9001:2008. Персоналът на ПРИСТА-ГАЗ ООД, Русе се задължава да спазва всички правила, свързани с информационната сигурност, описани в процедури, инструкции и други документи от СУИС. Политиката по информационна сигурност обявява, че ще бъдат предприемани дисциплинарни действия срещу нарушителите на нейните регламенти и постановки. Всеки служител, който прецени, че е налице неспазване на настоящата политика в рамките на организацията и на обхвата на СУИС, трябва незабавно да уведоми член на Съвета по информационна сигурност.

Ръководството на ПРИСТА ГАЗ-ООД, Русе декларира своята пълна ангажираност в процесите на развитие, поддържане и усъвършенстване на СУИС.

 

Услуги

Проектиране/инженеринг

Доставка и строително- монтажни работи

Сервиз