Політика інформаційної безпеки

Політика інформаційної безпеки встановлює основу для захисту інформації, полегшує прийняття рішень щодо управління безпекою та визначає цілі, які встановлюють, просувають та забезпечують найкращі засоби контролю інформаційної безпеки. Політика охоплює всю інформацію та інформаційні системи, включаючи інформацію та інформаційні системи, що використовуються, управляються або експлуатуються компанією на цьому веб-сайті. Політика інформаційної безпеки спрямована на захист конфіденційності, цілісності та доступності даних, на класифікацію та обробку інформації, а також на боротьбу з порушеннями цієї Політики.

Політика інформаційної безпеки забезпечує комплексний набір заходів захисту, які повинні однаково застосовуватися на нашому веб-сайті для забезпечення безпечного операційного середовища для його роботи.

Мета

Управління інформаційною безпекою полягає в обґрунтованому виборі та ефективному впровадженні відповідних засобів контролю для захисту критично важливих інформаційних активів організації.  Процеси контролю та управління в поєднанні з подальшим моніторингом їх доцільності та ефективності є двома основними елементами програми інформаційної безпеки.  Три цілі інформаційної безпеки включають:

• Конфіденційність: Захист конфіденційної інформації від розголошення несанкціонованим особам або системам;
• Цілісність: Захист точності, повноти та своєчасності інформації;
• Доступність: Забезпечення доступу до інформації та життєво важливих послуг для авторизованих користувачів у разі потреби.

Сфера застосування

Ця політика поширюється на всіх співробітників, підрядників, партнерів, стажерів/практикантів, які працюють у нашій компанії. Сторонні постачальники послуг, які надають послуги хостингу або в яких дані зберігаються поза межами приміщень компанії, також повинні дотримуватися цієї політики.

Сфера дії цієї Політики інформаційної безпеки поширюється на інформацію, що зберігається, передається та обробляється в межах нашої компанії, а також на дані компанії, що передаються на аутсорсинг.

Цілі

Метою Політики інформаційної безпеки є надання нашій компанії підходу до управління інформаційними ризиками та директив щодо захисту інформаційних активів для всіх підрозділів, а також для тих, з ким укладено контракти на надання послуг.

Класифікація інформаційних активів

Інформаційні активи компанії поділяються на чотири категорії: Публічна, Внутрішня, Конфіденційна та З обмеженим доступом. Всі основні інформаційні активи повинні мати призначеного власника, який відповідає за встановлення процедур автентифікації та авторизації, що відповідають цим категоріям, із зазначенням цього:

1. Загальнодоступна інформація, як правило, може бути надана або поширена серед широкої громадськості. Це інформація, яка не потребує захисту і при використанні за призначенням не матиме практично ніякого негативного впливу на діяльність, активи або репутацію зобов'язань компанії щодо конфіденційності інформації.
2. Конфіденційна інформація призначена лише для внутрішнього використання, доступ до неї мають лише ті працівники, яким вона необхідна для виконання обов'язків компанії (конфіденційна інформація включає інформацію, яка захищена державним законодавством або діловими договірними зобов'язаннями), і вимагає захисту конфіденційності та безпеки.
3. Інформація з обмеженим доступом, яка повинна зберігатися в суворій конфіденційності з доступом на основі принципу "необхідно знати". Приклади включають інформацію, що зачіпає національні інтереси та/або національну безпеку.

Усі співробітники повинні знати про свою юридичну та корпоративну відповідальність за неналежне використання, передачу або розголошення інформації іншій стороні. Будь-яка третя сторона, яка отримує конфіденційну інформацію або інформацію з обмеженим доступом, повинна мати на це дозвіл, а ця особа або її організація повинні вжити заходів інформаційної безпеки, які гарантують конфіденційність і цілісність цих даних.

Конфіденційну інформацію слід захищати, щоб запобігти несанкціонованому доступу до неї або її розголошенню.

Інформація з обмеженим доступом має найвищий рівень чутливості та становить найбільший ризик для компанії, держави та окремих осіб, якщо до неї отримають доступ сторонні особи або вона стане відомою стороннім особам. Тому співробітники компанії, які працюють з інформацією з обмеженим доступом або використовують системи, що зберігають, передають або маніпулюють інформацією з обмеженим доступом, зобов'язані постійно підтримувати конфіденційність, цілісність і доступність такої інформації/даних.

Управління інформаційною безпекою

Управління інформаційною безпекою складається з керівництва, організаційних структур і процесів, які захищають інформацію та пом'якшують зростаючі загрози інформаційній безпеці.

Критично важливими результатами управління інформаційною безпекою є:

• Узгодження інформаційної безпеки з бізнес-стратегією для підтримки організаційних цілей
• Управління та зменшення ризиків і зниження потенційних впливів на інформаційні ресурси до прийнятного рівня
• Управління ефективністю інформаційної безпеки шляхом вимірювання, моніторингу та звітування за показниками управління інформаційною безпекою для забезпечення досягнення цілей організації
• Оптимізація інвестицій в інформаційну безпеку для підтримки цілей організації. Важливо враховувати організаційну необхідність та переваги управління інформаційною безпекою.

Відповідальність

Відділ маркетингу відповідає за наповнення веб-сайту та забезпечення відповідності матеріалів законодавчим і політичним вимогам.

ІТ-відділ відповідає за безпеку, функціональність та інфраструктуру веб-сайту. Системні адміністратори слідкують за роботою нашого веб-сайту на предмет швидкості реагування та вирішення будь-яких проблем, що виникають.

Інформування та комунікація

Важливо, щоб усі аспекти інформаційної безпеки, включаючи конфіденційність, приватність і процедури, пов'язані з доступом до системи, були включені в офіційні процедури введення в посаду і регулярно доводилися до відома існуючого персоналу.

На початку роботи співробітники повинні бути поінформовані про те, що вони не повинні розголошувати будь-яку інформацію, до якої вони можуть мати доступ під час виконання своїх службових обов'язків. Співробітники також повинні бути поінформовані про те, що вони не повинні намагатися отримати доступ до даних, які не є необхідними для виконання їхніх звичайних обов'язків.