Konfidencialumas. Darbuotojai vadovaujasi saugaus stalo politika bei yra supažindinti pasirašytinai su duomenų saugumui keliamais reikalavimais. Taip pat visi darbuotojai yra pasirašę konfidencialios informacijos saugojimo sutartis, pagal kurias įsipareigojimų nesilaikymui numatytos baudos.
Darbuotojai. Darbuotojai yra supažindinti su duomenų saugumo svarba, taisyklėmis ir jiems priskirtomis atsakomybėmis, siekiant užtikrinti duomenų (įskaitant asmens) apsaugą. Vykdomos specialios socialinės inžinerijos atakos padeda patikrinti darbuotojų budrumą ir tuo pačiu mokomi atpažinti galimas saugumo pažeidimo grėsmes. Taip pat yra paskirtas darbuotojas, atsakingas už duomenų apsaugą organizacijoje, žinių sklaidą, bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimų užtikrinimą bei nuolatinę priežiūrą.
Procesų valdymas. Parengta ir puoselėjama vadybos sistema, padedanti valdyti duomenų apsaugą, užkirsti kelią potencialiai veiklai įtaką darančiai grėsmei minimizuojant neigiamą incidentų bei rizikų pasireiškimo tikimybę bei poveikį. Darbuotojų atsakomybės, įgaliojimai ir įsipareigojimai nustatyti procesų aprašuose, tvarkose bei instrukcijose. Asmens duomenų tvarkymas nustatytais tikslais yra atliekamas vadovaujantis parengtomis tvarkomis.
Standartizavimas. Sertifikuota vadybos sistema, atitinkanti ISO/IEC 27001 tarptautinio standarto reikalavimus. Standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai. Jo pagrindu vertinamos rizikos ir įdiegtos tinkamos saugumo priemonės informacijos konfidencialumui, vientisumui bei prieinamumui apsaugoti.
Veiklos tęstinumas. Parengtas ir patvirtintas veiklos tęstinumo planas nurodantis veiksmus, reikalingus užtikrinti veiklos tęstinumą įvykus nenumatytai situacijai. Planuojamu reguliarumu veiklos tęstinumo planas yra išbandomas ir įvertinama, ar įvykus nenumatytai situacijai bus įmanoma užtikrinti nenutrūkstamą paslaugų teikimą.
Teisės aktai. Laikomasi Lietuvos Respublikos įstatymų, teisės aktų, o taip pat sutartyse tarp ,,Blue Bridge MSP” ir klientų, tiekėjų/ subrangovų bei partnerių numatytų įsipareigojimų.
Naudojamos informacinės sistemos. Renkantis organizacijos veiklai reikalingas informacines sistemas (toliau – IS) yra įvertinamas poveikis duomenų apsaugai pagal BDAR reikalavimus. Prieiga prie IS saugomų duomenų yra valdoma pagal vartotojų teises. Naudojama tik sertifikuota programinė įranga, kuri atnaujinama laikantis nustatytos tvarkos.
Duomenų centras. ,,Blue Bridge MSP” turi nuosavą duomenų centrą, skirtą teikti debesų kompiuterijos paslaugoms. Šiame duomenų centre talpinama tik ,,Blue Bridge MSP” priklausanti techninė įranga. Darbuotojai prie duomenų centro valdymo sistemų jungiasi per centralizuotą vieningą sprendimą, kuris yra apsaugotas dviejų faktorių autentifikacija ir fiksuoja (įrašo) visus sistemų administratorių atliekamus veiksmus. Siekiant užtikrinti papildomą saugumą, atsarginės kopijos saugomos kitame duomenų centre Vilniaus miesto teritorijoje. Tiek pagrindinis, tiek atsarginių kopijų duomenų centras visus metus ir visą parą stebimi video kameromis įrašant stebimą vaizdą, o patalpų įėjimas ir išėjimas apsaugotas įėjimo kontrolės sistema. Į duomenų centrų patalpas gali patekti tik autorizuoti darbuotojai. Kiti asmenys į duomenų centrus gali patekti tik lydint vienam iš autorizuotų darbuotojų.
Visi darbuotojai, dirbantys su duomenų centru, yra apmokyti specialių saugumo reikalavimų bei atlieka nuolatinius žinių atnaujinimo mokymus. Prisijungimas prie vidinių duomenų centro sistemų galimas tik naudojant dviejų faktorių autentifikaciją. Visi vidiniai slaptažodžiai saugomi šifruotoje saugykloje, o kopijos saugomos kitoje duomenų centro lokacijoje.
Patikimumas. Sugedus įrangai, debesų kompiuterijos paslaugų teikimui naudojamas sprendimas automatiškai atstato paslaugos veikimą, o dubliuotos elektros tiekimo ir interneto linijos apsaugo nuo elektros ir ryšio tiekimo sutrikimų. Duomenų centre taip pat įrengta gaisro gesinimo, drėgmės kontrolės ir dubliuota aušinimo sistemos. Sistemos duomenų centre sukonfigūruotos taip, kad darant atnaujinimo ar papildymo užduotis poveikis klientams teikiamoms paslaugoms yra minimalus arba jo nėra. Visa naudojama įranga yra periodiškai aptarnaujama pagal gamintojų nurodytas instrukcijas siekiant išvengti neplanuotų įrangos sutrikimų. Prevenciniai veiksmai ir kitos atnaujinimo procedūros yra atliekamos pagal keitimų valdymo procesą.
Elektros tiekimas. Duomenų centro elektros energijos tiekimą užtikrina įrengtas autonominis elektros generatorius, dvigubas nepertraukiamo maitinimo šaltinis, kuriam teikiama energija iš dviejų nepriklausomų elektros linijų. Šie komponentai dirba be pertraukos visą parą ištisus metus, o jų aptarnavimas, netrikdant duomenų centro veiklos, vykdomas pagal gamintojų reikalavimus,
Sistemos. ,,Blue Bridge MSP” debesų kompiuterijos paslaugoms teikti naudojamos virtualizavimo platformos, užtikrinančios nepertraukiamą virtualių išteklių tiekimą. Atliekamas nuolatinis sistemų atnaujinimas pagal gamintojų reikalavimus bei rekomendacijas taikant saugumo valdymo ir keitimų valdymo procesus. Keitimai sistemose atliekami nepertraukiant klientams teikiamų paslaugų.
Duomenų perdavimas. Duomenų centre sujungimai atlikti greitaeigėmis linijomis atskiriant kiekvieno kliento virtualius tinklus.
Duomenų saugojimas. ,,Blue Bridge MSP” duomenų centre duomenys saugomi duomenų saugyklose, kurios prižiūrimos vadovaujantis gamintojo reikalavimais. Saugyklų talpa apribota siekiant mažinti poveikio mastą bei užtikrinti maksimaliai greitą duomenų atstatymą esant esminiams saugyklos sutrikimams. Duomenys tarp vartotojų atskiriami loginiu būdu taip užtikrinant saugų klientų izoliavimą vienus nuo kitų.
Diskų ir kitų laikmenų naikinimo ir išvalymo politika. Duomenų centre naudojamų atminties diskų gedimo atveju juose esantys duomenys yra išvalomi laikantis gamintojų rekomendacijų, o pasenusios ir jau nebenaudotinos duomenų laikmenos yra naikinamos fiziškai.
Operacinės sistemos. Duomenų centro virtualizacijos aplinkoje yra naudojamos tik gamintojo palaikomų versijų legalios operacinės sistemos.
Programinė įranga. Visai ,,Blue Bridge MSP” programinei įrangai nuolat diegiamos kritinės ir svarbios programinės įrangos saugumo pažeidžiamumus taisančios pataisos.
Išorinio įsilaužimo prevencija. Naudojami išorinės apsaugos lygmenys pasitelkiant žinomų gamintojų įsilaužimo prevencijos sprendimais. Tinklo perimetras apsaugotas naujos kartos ugniasiene, turinčia gamintojo nuolat atnaujinamą įsilaužimų aptikimo analitiką. Tinklo infrastruktūra dubliuota, jos priežiūra atliekama 24×7 režimu. Visi saugumo incidentai apdorojami pagal saugumo užtikrinimo procesą, kuris nuolatos yra tobulinamas, o sistemos atnaujinamos ir prižiūrimos pagal gamintojų reikalavimus.
Prieigos valdymas. ,,Blue Bridge MSP“ darbuotojui suteikiami unikalūs prisijungimo prie „Blue Bridge“ grupės resursų vardas ir slaptažodis. Darbuotojai privalo saugoti suteiktą prieigos informaciją ir neatskleisti jos tretiesiems asmenims. Prisijungimo duomenys yra būtini norint prisijungti prie IT sistemų ar prie kitos kompiuterinės įrangos, laikmenų, dokumentų ir pan. Visose ,,Blue Bridge MSP“ naudotojų kompiuterizuotose darbo vietose yra įjungtos ir veikia centralizuotos saugumo grupinės politikos, įskaitant ir darbuotojų prieigos autentifikavimo politiką. Darbuotojai nesinaudojus kompiuteriu ilgiau nei 15 min., automatiškai yra užrakinama jo paskyra.
Klientų suteikti arba sistemų administratorių/inžinierių sukurti slaptažodžiai yra valdomi vienoje informacinėje sistemoje. Prisijungimas prie slaptažodžių valdymo sistemos galimas tik naudojant dviejų faktorių autentifikaciją, slaptažodžiai saugomi šifruotoje saugykloje, kopijos saugomos kitoje duomenų centro lokacijoje.
Apsauga nuo kenksmingų programų. Visa įranga, jungiama prie organizacijos tinklo, yra apsaugota antivirusine programine įranga, kuri valdoma centralizuotai ir yra automatiškai reguliariai atnaujinama. Visuose darbuotojų kompiuteriuose yra atliekamas viso kompiuterio skenavimas nuo kenksmingų programų kartą per savaitę. Antivirusinė programinė įranga sukonfigūruota taip, kad tikrintų ne tik gaunamus, bet ir išsiunčiamus el. laiškus. Virusų duomenų bazė atnaujinama prieš skenavimą ir automatiškai skenuoja bylas prieš jas atidarant ar paleidžiant.
Priežiūros apskaita. Visi klientų kreipiniai yra fiksuojami centralizuotoje sistemoje nurodant kreipinio laikus. Prisijungimas prie sistemos yra valdomas slaptažodžiu. Užtikrinamas centralizuotas problemų, keitimų bei konsultacijų valdymas. Klientų sistemų veikimo kokybė užtikrinama nuolatinio stebėjimo priemonėmis, kuomet kiekvienas įvykis fiksuojamas ir analizuojamas centralizuotoje sistemoje. Saugumo incidentai valdomi pagal nustatytą procesą – informuojant atsakingus asmenis ir, pagal poreikį, sudarant ekstremalios situacijos valdymo komandą. Periodiškai vykdomi ekstremalios situacijos bandymai bei mokymai.
Nuotolinis prisijungimas į klientų sistemas. Prie kliento sistemų yra jungiamasi per centralizuotą vieningą sprendimą, kuris yra apsaugotas dviejų faktorių autentifikacija bei fiksuoja (įrašo) visus administratorių atliekamus veiksmus tiek prisijungiant prie kliento sistemų, tiek su jomis dirbant. Įrašai saugomi 6 mėn.
Administratoriaus darbo vietos saugumas. Visi įmonės kompiuteriai apsaugoti nuo virusų bei kenkėjiškų programų, o sistemų administratorių kompiuterių kieti diskai papildomai užšifruoti siekiant užtikrinti kompiuterių turinio nutekėjimo prevenciją esant praradimui. Darbo vietų kompiuterių programinė įranga atnaujinama ne rečiau kaip kartą per savaitę, o kritiniai atnaujinimai diegiami nedelsiant.
Prisijungimų į klientų sistemas slaptažodžių valdymas. Naudojamas patikimų gamintojų įrankiais paremtas centralizuotas sprendimas, kurio pagalba tik autorizuoti asmenys gali patekti į dviejų autentifikavimo lygių sistemą. Sistemos valdytojų bei administratorių rolės yra griežtai atskiros, o panaudojami klientų slaptažodžiai fiksuojami žurnaluose, kurie negali būti modifikuoti ar keičiami.
Aparatinė įranga. Blue Bridge MSP naudoja oficialių gamintojų palaikomą aparatinę įrangą (informacijos apdorojimo sistemos fizinių komponentų visumą arba visumos dalį).
Šifravimas. Siekiant užtikrinti duomenų apsaugą ir privatumą, darbuotojų darbiniai kompiuteriai yra šifruojami.