Valsts akciju sabiedrības "Latvijas Loto"

INFORMĀCIJAS DROŠĪBAS PĀRVALDĪBAS SISTĒMAS POLITIKAS PUBLISKĀ DAĻA

1. Ievads.

Šis dokuments ir uzskatāms kā papildinājums VAS "Latvijas Loto" darbības stratēģiskās plānošanas dokumentiem un nosaka uzņēmuma Informācijas drošības pārvaldības sistēmas (turpmāk tekstā – IDPS) politikas publisko daļu, tās saistību ar uzņēmuma biznesu raksturojošām īpašībām, uzņēmumu, tā informācijas pārvaldības pamatprincipiem.

2. IDPS sfēra un reglamentējošie normatīvie akti.

IDPS sfēra latviski:

Valsts mēroga izložu, tai skaitā interaktīvo izložu, organizēšana, laimestu apstrāde un izmaksa, kā arī skaitļu izložu un momentloteriju izstrāde, ražošana, pārdošana tiešsaistes režīmā tirdzniecības vietās un internetā, interaktīvo izložu organizēšana un pārdošana tiešsaistes režīmā internetā.

IDPS sfēra angliski:

Organization of state level lotteries including interactive lotteries, processing, and payout of winnings, development and production of number and instant lotteries, sale of those through on-line terminals in points of sale and on the Internet, the organisation and sale of interactive lotteries on the Internet.

VAS "Latvijas Loto" nodrošina klientiem augstu drošības pakāpi datu pieņemšanā, apstrādāšanā, nodošanā un saglabāšanā. Uzņēmums nepārtraukti ievēro un kontrolē datu neizmainīšanu, datu integritāti, datu konfidencialitāti un algoritmu korektumu. Lai nodrošinātu spēļu organizēšanu atbilstoši augstākajiem starptautiski atzītas labās prakses principiem, VAS "Latvijas Loto" iekšējie normatīvie akti un īstenojamās darbības ir izstrādātas un pamatotas ar prasībām, ko nosaka:

starptautiskie standarti ISO 9001, ISO/IEC 27001, WLA/SCS, EL/RGS, WLA/RGF (augstākais – ceturtais līmenis);
saistošie ārējie normatīvie akti;
līgumiskās saistības, cik tās nav pretrunā ar iepriekš minēto.

3.Informācijas drošība.

3.1. VAS Latvijas Loto (tālāk tekstā "uzņēmums") kā savu stratēģisko misiju ir noteicis sekojošu principu:

"Mēs sniedzam cilvēkiem augstākās klases spēles iespēju sociāli atbildīgā veidā, kur ieguvējs ir ikviens – daļa gūst laimestus, bet visi - jauku izklaidi un apziņu, ka ar viņu līdzdalību tiek finansēti projekti, kas nozīmīgi katram no mums Latvijā".

Šī misija ir sasniedzama, realizējot dažādus biznesu nosakošus mērķus, starp kuriem ar informācijas apstrādes resursiem ir saistāmi sekojošie:

Latvijas Loto īsteno organizācijas pozīcijas aizstāvēšanu un pastiprināšanu pašreizējos tirgos ar esošiem produktiem, veicot to servisa kvalitātes uzlabošanu un dažādošanu, un ar jauniem produktiem, nodrošinot tiem augstu drošības un servisa pakāpi (augsta līmeņa un individuālas pieejas apkalpošana, tāpat jaunu produktu izveidē pamata kritēriji – drošība un kvalitāte);
nodrošināt uzņēmuma darbības procesos iesaistītajām pusēm augstu drošības pakāpi datu pieņemšanā, apstrādāšanā, nodošanā un saglabāšanā;
nodrošināt atbilstošu un samērīgu drošības kontroļu izvēli, kas aizsargās informācijas un citus aktīvus un dos pārliecību par drošības kvalitāti organizācijas ietvaros (precīza drošības risku identificēšana un attiecīgu novēršanas pasākumu noteikšana un īstenošana, nosakot atbildīgos par riskiem un to mazināšanas/ novēršanas mehānismu īstenošanu).

3.2. Ņemot vērā izložu (turpmāk tekstā – "spēļu") tirgus īpatnības, uzņēmums tikai tad varēs veiksmīgi pildīt savus biznesa plānus, ja tā piedāvātie produkti/ pakalpojumi uzņēmuma klientu un sadarbības partneru redzējumā būs uzticami, droši un stabili. Neveiksmīgi nodrošināta spēle, tās procesus traucējoša vai ietekmējoša trešā puse, spēļu rezultātu ietekme vai manipulācijas ar tām, spēļu laimestu neizmaksas var pilnībā sagraut uzņēmuma veidolu spēlētāju un sadarbības partneru priekšstatos un līdz ar to būt par iemeslu zaudējumiem ieņēmumos līdz pat pilnīgai darbības apturēšanai. Savukārt labi izveidota, realizēta un pārvaldīta informācijas drošība ļauj uzņēmumam sasniegt savus biznesa mērķus ar drošām un profesionālām metodēm, būt pazīstamam spēlētāju vidū kā uzņēmumam ar augstu reputāciju, attīstīt jaunas sadarbības formas ar starptautiskiem izložu uzņēmumiem valsts mēroga izložu organizēšanā.

3.3. Uzņēmuma darbību raksturo:

3.3.1. Darbības ģeogrāfija – decentralizēta:

Centralizēta datu apstrāde Rīgā;
Attālināta pakalpojumu tirdzniecība caur specializētu tirdzniecības aparatūru, kura ir saslēgta on-line režīmā ar datu apstrādes centru;
Attālināta loterijas pakalpojumu tirdzniecība Interneta vidē;
Sistēmas administrē uzņēmuma IT daļa un ārējie sistēmu izstrādātāji (Eiropas Savienības valstis).

3.3.2. Loteriju on-line tirdzniecības sistēmu pieejamība atbilstoši tirgoto loteriju nosacījumiem (darbības nepārtrauktības nodrošināšana; sistēmas pārtraukumi ir pieļaujami tikai nodrošinot atbilstību spēļu noteikumiem vai veicot iepriekšplānotos pārvaldīšanas darbus);

3.3.3. Uzņēmuma iekšējās IT infrastruktūras esamība, kura tiek izmantota uzņēmuma pārējo biznesa darbību atbalstam.

3.4. Lai sasniegtu uzņēmuma biznesa mērķus, tās valdījumā esošai informācijai ir jāatbilst noteiktām biznesa prasībām (kritērijiem). Attiecībā uz informācijas apstrādi izšķir trīs prasību grupas: kvalitāte, uzticamība un drošība.

Informācijas drošības pasākumu kompleksam ir jānodrošina, ka informācija:

ir pieejama tikai attiecīgi pilnvarotām personām (atpazītām un atbilstoši to pienākumiem un tiesībām);
ir precīza, pareiza un pilnīga;
ir pieejama tās lietotājam vajadzīgā vietā un laikā.

Šīs trīs drošības pamatprasības ir pazīstamas kā informācijas konfidencialitāte, integritāte un pieejamība. Papildus šīm trim klasiskajām pamatprasībām, būtisku lomu spēlē notikumu secības atpazīšana, kas ļauj pēc notikuša notikuma noskaidrot, kas, kur un kad ir noticis.

3.5. IDPS virsmērķis ir saglabāt informācijas konfidencialitāti, integritāti un pieejamību, nodrošinot risku vadības procesus, un sniegt ieinteresētajām pusēm pārliecību par piemērotu risku vadību. IDPS ir gan daļa no uzņēmuma procesiem un vadības struktūras, gan arī integrēta ar tiem. Informācijas drošība tiek ņemta vērā gan izstrādājot procesus, gan informācijas sistēmas, gan kontroles.

3.6. Ikviens ārpus uzņēmuma var sazināties ar to par iespējamiem/ esošiem informācijas drošības aspektiem, izmantojot uzņēmuma mājaslapā pieejamo kontaktinformāciju.

4.Informācijas klasifikācija

4.1. IDPS drošība ir atkarīga no izmantojamo resursu drošības. Paņēmieni un procedūras, ar kurām nodrošina resursu iegādi, uzturēšanu, saglabāšanu, lietošanu un likvidāciju, ir atšķirīgas dažādām resursu grupām, tāpēc ir nepieciešama informācijas resursu klasifikācija.

4.2. Klasificēšanas mērķis ir apzināt visas uzņēmumā esošās informācijas nozīmību, iedalīt to klasifikācijas grupās, lai varētu nodrošināt katras informācijas grupas aizsardzību.

4.3. Uzņēmumā informācija var tikt klasificēta pēc dažādiem kritērijiem un metodēm, tomēr kā galvenā tiek uzskatīta tās klasifikācija pēc konfidencialitātes līmeņa, šo līmeni nosakot atkarībā no tā, kādi kaitējumi (tai skaitā finansiāli, reputācijas utt.) var rasties uzņēmumam, ja tiek pieļauts, ka informācija pazūd un/ vai tai piekļūst un ar to iepazīstas personas, kuras nav pilnvarotas ar šo informāciju iepazīties.

4.4. VAS "Latvijas Loto" informācijas konfidencialitāte tiek klasificēta sekojošās grupās:

Publiska vai atklātā	Publiski pieejama vai izplatāma informācija, piekļuve kurai var notikt nekontrolētā veidā, kā arī tās neautorizēta izplatīšana nevar radīt juridiskas vai finansiālas sekas.
Iekšējas nozīmes	Informācija, kuras nekontrolēta izplatība ārpus uzņēmuma var tai radīt ierobežota apjoma finansiālas vai juridiskas sekas vai saistības.
Konfidenciāla / Ierobežotas pieejamības	Informācija, kuras pielietojums vai piekļuve tai ir būtiska uzņēmuma darbībai; tās neautorizēta izplatība vai izmantošana var radīt būtiskas sekas, tomēr kopumā šīs sekas nerada jūtamus finansiālus zaudējumus.
Īpaši konfidenciāla / Ierobežotas pieejamības	Informācija, kuras pielietojums ir ļoti būtisks uzņēmuma darbībai kopumā, kā arī tās neautorizēta izplatība vai izmantošana var radīt būtiskas sekas.

4.4.1. Informācijas sākotnējo klasificēšanu atbilstoši tās konfidencialitātei veic:

lietotājs - gadījumos, ja informācija tiek radīta vai ievadītā brīvā, iepriekš nedefinētā veidā (piem. uz papīra, "tukšos" dokumentos, prezentācijās utt.);
informācijas resursu valdītājs, IDPS pārvaldnieks vai informācijas drošības (turpmāk tekstā – ID) riska īpašnieks (atbildīgais par ID risku) - gadījumos, ja informācija tiek ievadīta IDPS iepriekš noteiktā standartizētā viedā (piem., ar formu palīdzību);
informācijas saņēmējs - gadījumā, ja tā ir radīta ārpus uzņēmuma. Šāda informācija ir klasificējama atbilstoši tās izplatītāja un/ vai izveidotāja prasībām.

4.4.2. Lietotājam, iepazīstoties un strādājot ar konfidenciālu informāciju, ir jāzina, kādai konkrētai konfidencialitātes grupai šī informācija pieder. To var nodrošināt dažādos veidos:

marķējot informācijas nesējus ar speciālām atzīmēm vai uzrakstiem;
mutiski vai rakstiski informējot informācijas lietotājus;
vai arī administratīvi nosakot konkrēta veida informācijas piederību noteiktai grupai.

4.4.3. Informācija ir jāaizsargā visos tās eksistences posmos – sākot no radīšanas līdz tās dzēšanai.