задължителни правила за информационна сигурност

правило №1: ПАЗЕТЕ ПАРОЛИТЕ СИ В ТАЙНА И ЗАКЛЮЧВАЙТЕ ЕКРАНА НА КОМПЮТЪРА СИ

Всеки потребител е длъжен да гарантира, че паролите отговарят на следните правила, дори ако ИТ системите не налагат минималните изисквания:

Всяка парола трябва да се състои от поне 12 знака и да включва поне 3 от следните четири типа знаци:
o Малки букви (a-z)
o Главни букви (A-Z)
o Цифри (0-9)
o Специални знаци (напр. !, @, #, $).
Администраторите трябва да използват пароли с минимум 24 знака, управлявани чрез сигурен мениджър на пароли (т.е. инструмента Passwd, който е стандартът в Холсим).
Всяка парола трябва да се пази в тайна (напр. не я споделяйте с прекия си ръководител, асистент, ИТ отдела, ИТ администратор или друг ИТ потребител).
Потребителските акаунти не трябва да се споделят. Вие носите отговорност за всички действия, извършени чрез вашите акаунти.
Трябва да промените първоначално предоставените ви пароли по време на първоначалното влизане в системата.
Трябва да използвате многофакторна автентификация (MFA) навсякъде, където е възможно (т.е. допълнително потвърждение чрез SMS код, биометрия или други видове хардуерни или софтуерни токени). Това се отнася за всички ваши корпоративни приложения.
Когато няма въведена многофакторна автентификация, трябва периодично да сменяте паролата си, поне на всеки 12 месеца. Някои системи изискват смяна на всеки 3 месеца, което е направено умишлено.
Трябва да промените паролите си за Active Directory, Google и други ключови системи в случай на съмнения за компрометиране на вашите акаунти.
Съхраняването на пароли в хранилища е строго забранено. Паролите никога не трябва да се съхраняват в изходен код (source code), текстови файлове, електронни таблици или други незащитени места.
Паролите не трябва да бъдат лесни за отгатване. Не използвайте думи от личната си или служебна среда (напр.: собствено/фамилно име, Холсим, села/градове, телефонни номера, рожден ден, набор от цифри, последователни пароли като „parola1“, след това „parola2“ и т.н.).
Избягвайте повторното използване на поне последните си 5 пароли, когато бъде поискана промяна на паролата. Не използвайте механични правила за създаване, тъй като те са известни на нападателите.
Трябва да използвате различни пароли за личния си достъп (т.е. лично ползване на интернет) и в рамките на ИТ системите на Холсим.
Смартфоните и таблетите трябва да бъдат защитени чрез използване на потребителски пароли или ПИН код, както е описано в Правило 3, за да се предотврати достъпът на неоторизирани потребители до информация.

ПРЕДОТВРАТЯВАНЕ НА НАРУШЕНИЯ НА СИГУРНОСТТА
Следните предпазни мерки ще помогнат за намаляване на риска от нарушения на сигурността:
Заключвайте компютъра или мобилното си устройство, когато са без надзор.

Уверете се, че излизате (log out) от активните сесии в уеб приложенията на Холсим, особено когато използвате компютър, различен от вашия корпоративен.
Уверете се, че чувствителни или поверителни документи не се виждат открито на бюрото ви.
Не оставяйте преносим компютър без надзор в кола, в лобито на хотел, по време на конференция/среща или при чакане на опашка (напр. на летището).
Поставяйте преносимите компютри, документите и служебните телефони в ръчния си багаж в самолетите.
Винаги когато е възможно, заключвайте кабинетите и залите, в които се съхраняват компютри или други мобилни устройства.

КОНТАКТИ

Стоил Димитров

Ръководител отдел "Информационно обслужване"

phone_iphone+359 888 65 71 79

emailstoil.dimitrov@holcim.com

правило №2: НЕ ИНСТАЛИРАЙТЕ НИКАКЪВ СОФТУЕР ИЛИ ХАРДУЕР НА ВАШАТА СИСТЕМА БЕЗ КОНСУЛТАЦИЯ С ИТ ОТДЕЛА

СОФТУЕР

Забранено е инсталирането или модифицирането на софтуер от неоторизирани лица върху компютри и лаптопи, собственост на Холсим. Това ограничение обхваща и деинсталирането на предварително инсталиран софтуер или служебни приложения.

Всички софтуерни продукти (включително приложения, добавки (Add-ons), разширения (Extensions) и др.), използвани в Холсим, подлежат на задължителна проверка и се инсталират на корпоративните устройства единствено от съответния ИТ отдел. Инсталирането и/или използването на личен софтуер върху компютри и лаптопи, собственост на Холсим, не е разрешено, освен ако няма изрично предварително одобрение от ИТ отдела.

При инсталиране на софтуер за служебни цели от оторизиран потребител, същият е длъжен предварително да се увери, че продуктът е надлежно лицензиран и че версията му се поддържа активно от производителя. Използването на софтуер с изтекъл жизнен цикъл – „End-of-Life“ (EOL) – е строго забранено. Дори и да притежава лиценз, софтуер, който вече не се поддържа от доставчика, не може да бъде използван, тъй като за него не се осигуряват актуализации и корекции за сигурност (напр. версии на Microsoft Office, по-стари от 2021 г.).

На корпоративните устройства е разрешена употребата единствено на софтуер, официално предоставен или одобрен от ИТ отдела. Тази политика се прилага изрично и за:

• Портативни приложения (Portable applications): софтуер, който се изпълнява без официален процес на инсталиране (напр. торент клиенти или всякакви приложения през USB или локални папки).

• Инсталации на потребителско ниво (User-level installations): софтуер, който се инсталира, без да изисква администраторски права.

МОБИЛНИ УСТРОЙСТВА, СМАРТФОНИ И ТАБЛЕТИ

ИТ потребителите имат право да инсталират одобрени мобилни приложения на своите служебни устройства (смартфони и таблети). Всеки потребител носи лична отговорност за правилното използване и коректното функциониране на зачисленото му мобилно устройство.

Мобилните приложения трябва да се изтеглят единствено от официални източници, оторизирани от разработчика на съответната платформа (напр. App Store, Google Play). Инсталирането на софтуер от ненадеждни платформи е строго забранено. При колебания дали даден източник е одобрен, се свържете с ИТ отдела.

Потребителите на мобилни устройства са длъжни да осигурят следното:

• ПИН кодовете за мобилни устройства трябва да бъдат поне 6 знака.

• Холсим използва инструменти за управление, като например Google Mobile Device Management (MDM), за защита и подсигуряване на мобилните устройства, така че ще трябва да регистрирате устройството си, за да работи правилно. Холсим си запазва правото да откаже достъп до мобилни услуги за устройства, на които не работят правилните агенти за управление.

• Холсим има правомощието дистанционно да изтрива данни на Холсим от служебни и лични устройства (и ако е необходимо, цялото устройство), ако устройството бъде откраднато, загубено, ако трудовото правоотношение на потребителя бъде прекратено/реши да напусне организацията или при други ситуации, които могат да изискват подобни действия.

• Третирайте обществения Wi-Fi като по презумпция несигурен и незабавно прекратете връзката, ако се покажат предупреждения за сигурността от рода на „Privacy Warning“ (Предупреждение за поверителност) или „Insecure Connection“ (Несигурна връзка).

• В случай че сдвоявате устройство (напр. Bluetooth), избягвайте използването на пароли по подразбиране или отворени настройки.

• Устройствата не трябва да бъдат „разбивани“ (jailbroken) или да имат инсталиран софтуер/фърмуер, предназначен за получаване на достъп до функционалности, които не са първоначално предвидени от производителя на устройството да бъдат достъпни за потребителя. Нито пък трябва да се инсталира софтуер/фърмуер, който може да се използва за промяна или подмяна на системни приложения и настройки и изтегляне на приложения, които не са налични в официалните магазини.

• Операционната система на устройството (iOS/Android) и приложенията трябва винаги да се поддържат актуални с актуализации, предоставени от производителя или мрежата. Настройте устройството и приложенията си на автоматично актуализиране, за да сте в съответствие с тази Директива.

• Когато използват услуги за геолокация, потребителите трябва да прочетат правилата и условията, за да видят до каква информация позволяват на приложението да има достъп. Внимавайте какво споделяте. При съмнение се консултирайте с Правния отдел.

• Двуфакторната автентификация трябва да бъде активирана на всички акаунти в AppleID и iCloud, както и на подобни алтернативи на други доставчици.

Разрешено е използването само на предварително одобрени инструменти за отдалечен достъп за поддръжка и съдействие (т.е. Bomgar или Ivanti), но вие трябва да запазите контрола над връзката (т.е. да потвърдите самоличността на лицето, което се свързва, да одобрите и прекратите връзката, както и да наблюдавате всички извършвани дейности).

ЗАБРАНЕНА УПОТРЕБА

При работа със служебна информация или файлове трябва да се използват само одобрени и разрешени онлайн услуги (напр. имейл, незабавни съобщения, генеративен изкуствен интелект (Generative AI) и др.). На служителите е забранено да качват/използват каквито и да било поверителни или вътрешни работни и търговски данни или документи на Холсим, изцяло или частично, в неодобрени външни платформи или услуги.

Това включва, но не се ограничава до:

• Архивиране или споделяне на информация в услуги за облачно съхранение (напр. Dropbox, iCloud, BitTorrent); вместо това насърчаваме използването на Google Drive за съхранение и споделяне с трети страни.

• Услуги за съобщения (като Telegram, Signal и др.) и социални медии (напр. X, Facebook, Instagram, TikTok и др.) за споделяне на информация на Холсим. Вместо това трябва да се използват инструментите на Холсим (напр. Google Hangouts/Chat). За яснота, такива услуги за съобщения могат да се използват за вътрешни или външни комуникации, които са лични и/или не включват никакви поверителни или вътрешни работни и търговски данни или документи на Холсим. Използването на стандартен WhatsApp е строго ограничено до обща вътрешна координация и неповерителна комуникация, както при всички други услуги за съобщения, обяснени по-горе, докато използването на WhatsApp Business е разрешено изключително за оперативни и търговски цели, при условие че акаунтът е надлежно лицензиран и регистриран под домейна на компанията.

• Лични/частни имейл акаунти (напр. лично ползване на Hotmail, Google (Gmail), GMX Mail, Yahoo! Mail, AOL Mail и други доставчици на имейл) или всякакви други външни имейл акаунти при липса на легитимна бизнес цел.

• Платформи за сътрудничество извън корпоративните споразумения (напр. Slack, Microsoft Teams) и сайтове за съхранение на код.

• Услуги за превод (като DeepL, Amazon Translate и др.). Като безопасен метод за превод ви насърчаваме да използвате функцията „Translate document“ (Превод на документ – когато работите с Google Docs, можете да я намерите в меню „Tools“ / Инструменти), която е вътрешен инструмент, или Google Gemini във версията, която е одобрена за бизнес употреба в Холсим.

• Сменяеми носители (флаш памети, USB устройства и др.), освен ако такива устройства не са разрешени за такава употреба от ИТ отдела. Вместо това използвайте хранилището за документи на Холсим (в момента Google Drive) за споделяне на файлове и резервно копие на данни.

• Чатботове с изкуствен интелект (AI) (някои примери включват ChatGPT, MS Bing Copilot, Jasper.ai, You.com и др.), освен ако те не са интегрирани в дигиталните решения на Холсим или по друг начин одобрени за бизнес употреба в Холсим (в момента това е така за версията на Холсим за Google Gemini и NotebookLM). Прегледайте подробностите относно използването на AI в Директивата за изкуствен интелект.

• Инструменти с AI за срещи в Zoom (напр. Otter.ai, Read.ai) не са разрешени, тъй като могат да споделят поверителни данни от срещи с трети страни. Въпреки това, инструментът Zoom AI Companion, който е вграден нативно, е разрешен за употреба.

Всички данни и документи трябва да бъдат класифицирани в съответствие с изискванията на Холсим за класификация на данни. Служителите трябва да направят справка с Процедурата за класификация на информацията за приложимите нива на класификация на данните и с Ръководството за класификация на информацията за насоки относно правилното боравене и управление на данни въз основа на тяхната класификация.

Правилата относно съхранението на информация могат да бъдат намерени в Директивата за съхранение и изтриване на данни и местните Политики за съхранение на данни.

ИТ ДИРЕКТИВА

ИТ директива (в сила от 15.06.2026 г.).pdf
(pdf, 0.35 MB)

ПРАВИЛО 3: ПАЗЕТЕ ВАШИТЕ ИТ УСТРОЙСТВА И ИНФОРМАЦИОННИ АКТИВИ ОТ ПОВРЕДА ИЛИ ЗАГУБА

Ако използвате вашия компютър/лаптоп за обработка на чувствителни данни на обществени места (напр. самолети), помислете за заявяване на филтър за поверителност на екрана (privacy screen filter) от ИТ отдела.
Данните не трябва да се съхраняват локално (на вашия компютър, лаптоп), вместо това те трябва да се копират в хранилището за документи на Холсим (в момента Google Drive) или на файловите сървъри на Холсим, за да се предотврати загуба на данни.
Чувствителните (поверителни/с ограничен достъп) документи на хартиен носител трябва да се заключват всяка вечер.
Белите дъски и флипчартовете трябва да се почистват от чувствителна информация, когато ги напускате (особено в залите за срещи).

ЛИЧНО ИЗПОЛЗВАНЕ НА ИТ УСТРОЙСТВА НА ХОЛСИМ И ИЗПОЛЗВАНЕ НА ЛИЧНИ УСТРОЙСТВА
Холсим позволява случайна лична употреба на предоставените от компанията ИТ устройства, доколкото тази употреба не е прекомерна или неподходяща и не води до разходи или вреди за Холсим или по друг начин не нарушава фирмените политики, закони или разпоредби.
Лични данни могат да се съхраняват на ИТ устройства на Холсим, включително в хранилището за документи на Холсим (в момента Google Drive), само доколкото количеството не е прекомерно, съдържанието не вреди на Холсим или по друг начин не нарушава фирмените политики, закони или разпоредби.
Личните данни, както и свързаните с компанията данни, съхранявани на платформите на Холсим, могат да бъдат пренасочени, прехвърлени или изтрити като част от процеса по напускане на служителя. Служителите носят отговорност за премахването на всички лични данни от платформите на Холсим преди да напуснат компанията. Холсим не носи отговорност за каквато и да е загуба на лични данни в резултат на напускането на служител или последващото пренасочване, прехвърляне или изтриване на данни.
Достъпът до уеб услугите на Холсим (напр. Google услуги на Холсим или публикувани приложения и услуги, достъпни по интернет) е възможен от всяко ИТ устройство (публично или лично) и е разрешен, доколкото потребителите спазват тази Директива. В такива случаи бизнес данните и документите, собственост на Холсим, могат да се копират на лични или други устройства, които не са собственост на Холсим, единствено за легитимна бизнес цел. Тези копия трябва незабавно да бъдат изтрити от устройството, след като бизнес целта вече не е валидна. На служителите е забранено да използват пълна синхронизация на хранилището за документи на Холсим (в момента Google Drive) на лични (различни от одобрените BYOD) или други устройства (напр. използване на „Google Drive for Desktop“ на личен лаптоп).

ПРАВИЛО 4: БЪДЕТЕ ВНИМАТЕЛНИ ОНЛАЙН. ПАЗЕТЕ СЕ ОТ РИСКОВЕ ЗА СИГУРНОСТТА ПРИ ИЗПОЛЗВАНЕ НА ИЗКУСТВЕН ИНТЕЛЕКТ (AI), ИМЕЙЛ ИЛИ ИНТЕРНЕТ

Всички ИТ потребители са длъжни да използват имейл системата на Холсим (в момента „Gmail“) (а не лична имейл услуга) за служебни цели. При използване на имейл системата на Холсим трябва да се осигурят следните принципи:
• Изпращайте линкове към документи, вместо прикачени файлове.
• Не изпращайте съобщения до големи групи потребители, като например „All Users“ (Всички потребители).
• За външни имейли трябва да проверите двукратно дали имейлът или прикачените файлове не съдържат повече информация, отколкото е необходима на получателя.
• Имайте предвид, че всички имейли (включително вашите лични имейли, ако има такива), както и разговорите в Google Chat, се архивират по подразбиране за периода от време, дефиниран в съответствие с графика за съхранение на документи на Холсим, дори ако бъдат изтрити от входящата кутия, и могат да бъдат обект на преглед по време на разследвания, одити или други проверки (вижте по-долу). Google Chat и Google Spaces могат да се използват за комуникация с доставчици чрез прилагане на препоръките, включени в тази Директива.
• Платформата на имейл системата на Холсим включва възможност за директно докладване на СПАМ и фишинг имейли чрез бутона „Phish Alert Button“. Бързото докладване на такива подозрителни имейли ще помогне за по-ефективното филтриране в бъдеще.
Въпреки че използването на AI чатботове и LLM (големи езикови модели) инструменти предлага много ползи и възможности, то включва и определени рискове, които потребителите трябва да осъзнават и внимателно да управляват:
• Ако имате нужда от точни резултати, генерираният отговор трябва да бъде валидиран от експерт.
• Генерираният от AI текст за публикуване носи риск от нарушаване на авторски права.
• Използването на прекомерен контекст или честата смяна на темите може да доведе до „халюцинации“ (неправилни резултати).
• Ако са намесени лични данни, може да възникне риск от пристрастност (bias).
Когато използвате хранилището за документи на Холсим (в момента Google Drive), имайте предвид следните последици за сигурността:
• Използвайте хранилището за документи на Холсим за създаване и сътрудничество по документи.
• Всички документи, съхранявани в хранилището за документи на Холсим, са фирмени документи и се споделят само в съответствие с работните или функционалните изисквания. Всеки служител носи отговорност за лицата, на които предоставя достъп.
• Документите в хранилището за документи на Холсим могат да се споделят с временен достъп, за да се намали рискът от изтичане на данни.
• Когато работите с външни страни (напр. клиенти или доставчици), уверете се, че всички документи са създадени и съхранени в хранилището за документи на Холсим, за да се гарантира правилното им запазване.

ПРАВИЛО 5: ДОКЛАДВАЙТЕ ВСИЧКИ ИНЦИДЕНТИ СЪС СИГУРНОСТТА НА ИТ ОТДЕЛА

Инциденти с информационната сигурност са събития, показващи възможно нарушение на правилата за ИТ сигурност (дефинирани в тази Директива), отказ на контролни механизми или непозната досега ситуация, която може да е важна за сигурността (напр. фишинг имейли, споделяне на пароли, загуба или кражба на устройства, вируси и др.).
Всеки ИТ потребител трябва незабавно да докладва за инциденти със сигурността, проблеми и сривове, свързани с всяко ИТ устройство, приложение или ИТ-базирана услуга, на ИТ отдела и да следва предоставените след това инструкции.
По-долу са изброени някои често срещани и уместни инциденти със сигурността, заедно с препоръчителните действия, които трябва да се предприемат (неизчерпателен списък):
В случай на загуба или кражба на лаптоп или мобилно устройство:
• Незабавно се свържете с ИТ отдела, за да нулирате всички пароли.
• Своевременно докладвайте за загубата на вашия ръководител.
• В случай на кражба, незабавно докладвайте за инцидента в полицията.
• Подгответе опис на всички документи или данни, които може да са били изгубени или откраднати, и се уверете, че са предприети подходящи смекчаващи мерки, когато това е уместно за компанията.
• В случай на мобилни устройства, поискайте дистанционно изтриване на устройството (remote wipe) чрез ИТ отдела и докладвайте за загубата на телекомуникационния доставчик, след като ИТ отдела бъде информиран.
В случай на кликване върху фишинг имейл или съмнение за атака чрез социално инженерство:
• Незабавно спрете да взаимодействате с имейла, подателя, уебсайта, прикачения файл или обаждащия се.
• Докладвайте фишинг имейла с червения/оранжевия бутон Phish Alert Button в Gmail.
• Незабавно се свържете с ИТ отдела, променете паролите си и докладвайте върху какво е кликнато, каква информация е въведена и дали са изтеглени някакви файлове.
В случай на нарушение на сигурността на данните (data breach) или излагане на чувствителни данни:
• Докладвайте инцидента незабавно на ИТ отдела.
• Спрете споделянето, изпращането или модифицирането на засегнатите данни. Където е възможно, оттеглете достъпа до споделени файлове, линкове, папки или получатели.
• Не изтривайте файлове, имейли, съобщения в чата или лог файлове, свързани с инцидента.
• Идентифицирайте типа данни, които потенциално са засегнати (напр. данни за клиенти, данни за служители, финансови данни, идентификационни данни, поверителни документи).
• Запишете часа на излагането на данните, потенциалните получатели или страни с достъп и метода, по който е станало излагането.
• Не се опитвайте да скриете инцидента и не се свързвайте с външни страни, освен ако нямате разрешение за това.
• Сътрудничете на екипите по правни въпроси, съответствие (Compliance) и киберсигурност за мерките за локализиране и изискванията за уведомяване.
В случай на заразяване със зловреден софтуер (malware) или съмнение за компрометиране на системата:
• Незабавно се свържете с ИТ отдела и предоставете подробности за ситуацията. Предоставете възможно най-много информация, включително изпълнените файлове или наблюдаваното подозрително поведение. Променете незабавно всички пароли.
• Докладвайте за необичайно поведение, като изскачащи прозорци (pop-ups), съобщения от рансъмуер (ransomware), бавна производителност на системата, неоторизирани влизания, липсващи файлове или инсталиране на непознат софтуер.
• Оставете устройството включено, освен ако не е изрично инструктирано друго от ИТ отдела.
• Спрете да използвате засегнатата система незабавно. Не продължавайте да сърфирате, да изпращате имейли или да отваряте файлове.
• Не изтривайте файлове и не стартирайте инструменти за самопомощ за почистване или сканиране за вируси, освен ако не сте инструктирани да го направите от ИТ отдела.