Політика допустимого використання

Політика допустимого використання
П - 18

версія 5.0

ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.

09 грудня 2021 року
Переглядів 14 лютого 2022 року
Переглянуто 23 лютого 2023 року
Переглянуто 23 лютого 2024 року

Переглянуто 23 лютого 2025 року

1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Інформаційні активи - всі комп'ютерні системи, програмне забезпечення та інше периферійне обладнання, що використовується для обробки або зберігання даних, а також інформація, що обробляється цими системами
Інформаційні системи (ІС) - комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання

2. Призначення та сфера застосування
Ця політика визначає принципи допустимого використання інформаційних активів Компанії та спрямована на забезпечення захисту інформаційних активів від порушень конфіденційності, цілісності, доступності через несанкціоноване, неправомірне використання.

Ця політика встановлює принципи допустимого використання інформаційних систем, пристроїв, програмного забезпечення та мереж компанії усіма співробітниками, підрядниками та іншими уповноваженими особами. Політика спрямована на забезпечення захисту інформаційних активів від порушень конфіденційності, цілісності та доступності внаслідок несанкціонованого або неправомірного використання.

Вона відповідає вимогам ISO/IEC 27002:2022, зокрема контролям 5.10, 5.19, 5.20, 5.21, 6.1, 6.2, 8.1.

Дія Політики поширюється на всі інформаційні активи Компанії, всіх співробітників Компанії та всі треті сторони, які мають доступ до інформаційних активів Компанії.

3. Нормативні посилання

Політика розроблена відповідно до вимог чинних нормативних документів:

Міжнародний стандарт ISO/IEC 27001:2022 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;
Міжнародний стандарт ISO/IEC 27002:2022 «Інформаційні технології. Методи захисту. Кодекс практик з управління інформаційною безпекою».

4. Предмет Політики
Інформаційні активи є власністю Компанії та надаються співробітникам для використання у службових цілях.
Співробітники Компанії зобов'язані дбайливо ставитися до інформаційних активів, що надаються.
Співробітники несуть персональну відповідальність за надані їм інформаційні активи відповідно до внутрішньої документації та положень.
У Компанії визначаються та встановлюються правила та вимоги користування персональними комп'ютерами (робочими станціями) співробітників, іншими засобами обчислювальної техніки, корпоративною мережею, мережевими ресурсами, електронною поштою та ресурсами Інтернет, прикладними системами, мобільними пристроями, іншими зовнішніми пристроями на території та за її межами. .
У Компанії визначаються та встановлюються правила та вимоги користування інформаційними активами співробітниками третіх сторін.
У Компанії використовується лише офіційно дозволене ліцензійне ПЗ з дотриманням вимог інтелектуальної власності.

Допустиме використання ІТ-активів (контроль 5.20)

ІТ-ресурси Компанії (у тому числі комп’ютери, мережа, ПЗ, доступ до Інтернету) призначені виключно для виконання службових обов’язків.

Заборонено використовувати ІТ-ресурси для:

доступу до сайтів з азартними іграми, торентів, соціальних мереж (крім робочих цілей),

політичної, ідеологічної або незаконної активності,

розсилки небажаних повідомлень (спаму).

Усі дії користувачів можуть бути моніторинговані відповідно до політики конфіденційності та чинного законодавства.

Повернення ІТ-активів (контроль 5.21)

У разі звільнення або завершення співпраці, користувач зобов’язаний повернути: усі пристрої, носії, пропуски, електронні ключі, документи та паролі.

Адмін та технічний відділ забезпечує:

деактивацію всіх облікових записів,

зміну паролів до загальних сервісів,

видалення конфіденційних даних зі сторонніх пристроїв (якщо є).

Захист кінцевих пристроїв (контроль 8.1)

Усі ноутбуки, ПК та смартфони, що використовуються для доступу до ІС компанії, мають бути: захищені антивірусним ПЗ, фаєрволом, захищені паролем доступу, налаштовані на автоматичне блокування екрана через 5 хвилин бездіяльності.
Заборонено: встановлення неліцензійного або стороннього ПЗ без погодження з ІТ-відділом, використання незахищених пристроїв для обробки службової інформації.

Доступ третіх сторін (контролі 6.1, 6.2)

Надання доступу підрядникам, постачальникам, консультантам та іншим третім сторонам можливе лише після перевірки, погодження та укладення договору або NDA (угоди про конфіденційність).
Умови використання ІТ-активів для третіх сторін повинні бути:
прописані у договорах про співпрацю, узгоджені з КІБ, документально затверджені відповідальним керівником та власником ІС.

5. Ролі та обов'язки
Керівництво Компанії сприяє впровадженню та контролю політики.
Відповідальність за актуальність політики несе КУІБ.
Контроль над виконанням працівниками Політики доручається всіх керівників структурних підрозділів Компанії.
Співробітники Компанії несуть персональну відповідальність порушення вимог політики.

Відповідальність користувачів (контролі 5.10, 5.19)

Кожен користувач несе персональну відповідальність за збереження своїх облікових даних та запобігання несанкціонованому доступу.
Заборонено:
передавати логіни і паролі іншим особам, використовувати облікові записи третіх осіб.
Порушення цієї Політики може призвести до:
дисциплінарної відповідальності,
тимчасового або повного обмеження доступу до ІС,
у тяжких випадках — юридичної відповідальності згідно з чинним законодавством.

6. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.

Підписати ознайомлення з документом