top of page

 

 

Політика інформаційної безпеки під час роботи з третіми сторонами
П - 17
версія 4.0

ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.

09 грудня 2021 року
Переглянуто 14 лютого 2022 року
Переглянуто 23 лютого 2023 року
Переглянуто 23 лютого 2024 року

1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Третя сторона - юридична чи фізична особа, яка володіє достатнім рівнем знань та кваліфікації для надання необхідних послуг (постачальники/провайдери/партнери)
Сторони - третя сторона (постачальники/провайдери/партнери) та Компанія


2. Призначення та сфера застосування
Політика інформаційної безпеки під час роботи з третіми сторонами (далі - Політика) встановлює єдині вимоги щодо забезпечення інформаційної безпеки процесу взаємодії Компанії з третіми сторонами.
Дія Політики поширюється на всіх співробітників та усі треті сторони.

​3. Терміни, абревіатури та скорочення

СУІБ – система управління інформаційної безпеки

КІБ – комітет з інформаційної безпеки.

Третя сторона - юридична чи фізична особа, яка володіє достатнім рівнем знань та кваліфікації для надання необхідних послуг (постачальники/провайдери/партнери)

Сторони - третя сторона (постачальники/провайдери/партнери) та Компанія

 

4. Предмет Політики
Стосовно третьої сторони повинні виконуватися такі вимоги:

  • Політика ІБ може бути розміщена у відкритому доступі та доводитися до відома постачальників/провайдерів/партнерів;

  • До початку надання доступу до засобів обробки інформації має бути підписано третьою стороною, яким надано доступ до інформації з обмеженим доступом, угоду про конфіденційність або нерозголошення, якщо клієнт не передає свої персональні дані самостійно підряднику на пряму;

  • Укладання основного договору та договору про конфіденційність підписується у разі, якщо клієнт не передає свої персональні дані самостійно підряднику на пряму;

  • Повинні бути ідентифіковані ризики щодо засобів обробки інформації, доступу до яких вимагатимуть постачальники/провайдери/партнери;

  • Надання послуг постачальниками/провайдерами/партнерами має включати узгоджені обома сторонами заходи безпеки та принципи управління послугою;

  • Повинна бути забезпечена підтримка постачальниками/провайдерами/партнерами принципів безперервності діяльності Компанії при наданні послуг;

  • Повинна бути визначена відповідальна особа (група) з боку Компанії з управління взаємодією з постачальниками/провайдерами/партнерами.

  • Управління інформаційною безпекою послуг третьої сторони відбувається за напрямами:

  • поінформованість про існування відносин між сторонами;

  • безпека інформації та засобів її обробки, що надаються третій стороні та використовуються нею під час надання послуг;

  • моніторинг послуг, що надаються третьою стороною (технічний та організаційний).

  • Відносини з третьою стороною повинні відбуватися в рамках наступної послідовності:

  • Оцінка ризиків інформаційної безпеки, які можуть виникнути у разі залучення третьої сторони;

  • визначення заходів безпеки, застосування яких вимагає залучення третьої сторони;

  • Інформування третьої сторони щодо впровадженої Політики інформаційної безпеки;

  • Визначення та узгодження з третьою стороною заходів безпеки, які необхідно буде вжити їй під час надання послуг;

  • Визначення та узгодження з третьою стороною заходів, які мають бути вжиті для забезпечення необхідного рівня безперервності діяльності Компаній;

  • визначення та узгодження з третьою стороною заходів безпеки, які необхідно вжити у разі припинення відносин, а також порядок зміни їх умов;

  • Укладання основного договору та договору про конфіденційність;

  • призначення відповідальних за взаємодію між сторонами (призначення відповідальних за взаємодію між сторонами може відбуватися в рамках відповідного розділу основного договор

  • Моніторинг рівня послуг, що надаються третьою стороною (у тому числі інформаційної безпеки);

  • Припинення відносин із третьою стороною.

Перед початком залучення третьої сторони Компанія має оцінити ризики інформаційної безпеки, які можуть виникнути. Результати оцінки повинні відображатися в угодах, що укладаються з третьою стороною.

Реалізація зазначеної послідовності досягається визначенням Компанією та прийняттям третьою стороною відповідних умов, виконання яких гарантовано дозволить забезпечити необхідний рівень безпеки.

Цими умовами є:

  • Третя сторона зобов'язана ознайомитися та дотримуватись Політики інформаційної безпеки;

  • Компані та третя сторона зобов'язуються призначити відповідальних осіб за взаємодію та обмін інформацією з обмеженим доступом, сповістивши один одного про факт призначення та контактну інформацію відповідальних;

  • При передачі бізнес-інформації чи інформації з обмеженим доступом, вся інформація передається за замовчуванням між Компанією та сторонами у захищеному вигляді;

  • Компанія та третя сторона зобов'язуються чітко визначити та повідомити один одного про перелік відомостей, що містять інформацію з обмеженим доступом та можуть бути доступні один одному при наданні послуг;

  • Компанія та третя сторона зобов'язуються звертатися з інформацією з обмеженим доступом один одного відповідно до внутрішніх політик Сторін

  • Компанія та третя сторона зобов'язуються забезпечувати збереження інформації з обмеженим доступом, застосовуючи до отриманої інформації з обмеженим доступом заходи захисту, визначені іншою стороною. Інформація з обмеженим доступом не підлягає продажу, обміну, публікації тощо.

  • Компанія та третя сторона зобов'язуються забезпечити виконання своїми працівниками правил зберігання та використання інформації з обмеженим доступом;

  • Компанія та третя сторона зобов'язуються використовувати отриману інформацію з обмеженим доступом тільки з тією метою, з якою вона була передана їм;

  • Компанія та третя сторона зобов'язуються виконувати свої обов'язки щодо збереження інформації з обмеженим доступом протягом 5 років з дати її отримання або строку, визначеного іншою стороною в Угоді про нерозголошення інформації з обмеженим доступом. Після цього терміну отримана інформація з обмеженим доступом підлягає знищенню;

  • Компанія та третя сторона зобов'язуються негайно сповістити один одного (через відповідальних осіб) про факт компрометації (розголошення) інформації з обмеженим доступом (навмисне або ненавмисне)

  • Компанія та третя сторона домовилися, що передача інформації з обмеженим доступом до відкритих каналів зв'язку, а також з використанням мережі Інтернет без вжиття відповідних заходів захисту забороняється;

  • Компанія та третя сторона домовилися, що передача інформації з обмеженим доступом не означає передачі будь-яких прав на цю інформацію. Інформація з обмеженим доступом є власністю сторони.

  • Компанія та третя сторона домовилися, що вони можуть передавати інформацію з обмеженим доступом третім особам лише після отримання письмової згоди власника інформації.

Ці умови викладаються у типовій Угоді про нерозголошення конфіденційної інформації.

Підписання Угоди про нерозголошення конфіденційної інформації третьою стороною є підтвердженням факту ознайомлення з умовами, згоди та їх прийняття.

У разі відмови підписання третьою стороною Угоди про нерозголошення конфіденційної інформації, подальші відносини Компанії з третьою стороною припиняються.

 

5. Аутсорсингові послуги

Компанія у своїй бізнес-діяльності може використовувати аутсорсингові послуги у сфері консультацій, виконання окремих робіт за напрямами маркетингу, реклами, створення продуктів, юридичних послуг. При укладанні договору з підрядником, Компанія в особі замовників повинна переконатися, що використовуються такі методи та підходи:

Розробка ведеться за допомогою модульного підходу service-oriented architecture – SOA;

Усі етапи робіт контролюються, виконані етапи здаються у строк, з обумовленим обсягом та якістю роботи, із застосуванням політик ІБ, затверджених у Компанії Бінотел;

Прийом-передача виконаних робіт, оформляється Актом приймання-передачі та підписується відповідальними сторонами.

 

6. Канали зв'язку для інформування з інформаційної безпеки:

З усіх питань ІБ у компанії Бінотел можна звертатися:

Електронна пошта iso@binotel.com

За телефонами відділу контролю якості: +38 044 344 25 25 +38 050 344 25 25

 

7. Перегляд документа

Перегляд Політики відбувається за потребою, але не рідше ніж один раз на рік від дати затвердження.

bottom of page