top of page

 

 

Політика інформаційної безпеки під час роботи з третіми сторонами
П - 17
версія 5.0

ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.

09 грудня 2021 року
Переглянуто 14 лютого 2022 року
Переглянуто 23 лютого 2023 року
Переглянуто 23 лютого 2024 року

Переглянуто 23 лютого 2025 року

1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Третя сторона - юридична чи фізична особа, яка володіє достатнім рівнем знань та кваліфікації для надання необхідних послуг (постачальники/провайдери/партнери)
Сторони - третя сторона (постачальники/провайдери/партнери) та Компанія


2. Призначення та сфера застосування
Політика інформаційної безпеки під час роботи з третіми сторонами (далі - Політика) встановлює єдині вимоги щодо забезпечення інформаційної безпеки процесу взаємодії Компанії з третіми сторонами.

Ця політика встановлює вимоги до безпечної взаємодії з підрядниками, постачальниками, партнерами та будь-якими іншими третіми сторонами, які отримують доступ до інформаційних ресурсів компанії або виконують послуги, що впливають на інформаційну безпеку. Політика відповідає вимогам ISO/IEC 27002:2022, зокрема контролям розділів 5 та 6.
Дія Політики поширюється на всіх співробітників та усі треті сторони.

 

​3. Нормативні посилання

Політика розроблена відповідно до вимог чинних нормативних документів:

  • Міжнародний стандарт ISO/IEC 27001:2022 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;

  • Міжнародний стандарт ISO/IEC 27002:2022 «Інформаційні технології. Методи захисту. Кодекс практик з управління інформаційною безпекою».

4. Предмет Політики

 

Загальні вимоги до третіх сторін

  • Усі треті сторони повинні підписати угоду про нерозголошення (NDA) перед початком роботи.

  • ІТ-відділ або служба безпеки здійснює перевірку надійності підрядника (контроль 6.1).

  • Умови інформаційної безпеки мають бути зафіксовані у договорах, SLA, або технічних завданнях відповідно до контрольних вимог 5.35.

 

Класифікація та обробка інформації (5.23, 5.24)

  • Третім сторонам дозволяється доступ лише до інформації, класифікованої як: «Використання за контрактом» та «Доступна для партнерів»

  • Забороняється:
    • копіювання,
    • передача,
    • редагування даних без письмового дозволу.

  • Уся передача інформації має здійснюватися лише захищеними каналами (VPN, SFTP, HTTPS) із використанням сертифікованого шифрування.

Повернення активів (5.22)

Після завершення співпраці:

  • Третя сторона зобов’язана:
    Повернути всі фізичні носії інформації;
    Видалити електронні копії з підтвердженням;
    Надати письмову декларацію про видалення/повернення.

  • Контроль виконує керівник відповідного підрозділу або член КУІБ.
     

 Реагування на інциденти (5.30, 5.31)

  • Контракти з підрядниками повинні містити пункт про зобов’язання негайно повідомляти про інциденти, пов’язані з ІБ.

  • Щорічно проводиться:

Ознайомлення підрядників з актуальними політиками ІБ;
Навчання або онлайн-тестування обізнаності щодо реагування на інциденти.

Моніторинг і контроль змін (5.36, 5.37)

  • Усі дії третіх сторін (доступи, обробка, передача інформації) підлягають:
    Логуванню,
    Технічному аудиту,
    Оцінці дотримання вимог ІБ.

  • Зміни у складі команди підрядника, доступах або функціоналі послуг:
    Фіксуються письмово;
    Затверджуютьсячленом КУІБ.
    Періодичний перегляд доступів — не рідше ніж 1 раз на 6 місяців.


Стосовно третьої сторони повинні виконуватися такі вимоги:

  • Політика ІБ може бути розміщена у відкритому доступі та доводитися до відома постачальників/провайдерів/партнерів;

  • До початку надання доступу до засобів обробки інформації має бути підписано третьою стороною, яким надано доступ до інформації з обмеженим доступом, угоду про конфіденційність або нерозголошення, якщо клієнт не передає свої персональні дані самостійно підряднику на пряму;

  • Укладання основного договору та договору про конфіденційність підписується у разі, якщо клієнт не передає свої персональні дані самостійно підряднику на пряму;

  • Повинні бути ідентифіковані ризики щодо засобів обробки інформації, доступу до яких вимагатимуть постачальники/провайдери/партнери;

  • Надання послуг постачальниками/провайдерами/партнерами має включати узгоджені обома сторонами заходи безпеки та принципи управління послугою;

  • Повинна бути забезпечена підтримка постачальниками/провайдерами/партнерами принципів безперервності діяльності Компанії при наданні послуг;

  • Повинна бути визначена відповідальна особа (група) з боку Компанії з управління взаємодією з постачальниками/провайдерами/партнерами.

  • Управління інформаційною безпекою послуг третьої сторони відбувається за напрямами:

  • поінформованість про існування відносин між сторонами;

  • безпека інформації та засобів її обробки, що надаються третій стороні та використовуються нею під час надання послуг;

  • моніторинг послуг, що надаються третьою стороною (технічний та організаційний).

  • Відносини з третьою стороною повинні відбуватися в рамках наступної послідовності:

  • Оцінка ризиків інформаційної безпеки, які можуть виникнути у разі залучення третьої сторони;

  • визначення заходів безпеки, застосування яких вимагає залучення третьої сторони;

  • Інформування третьої сторони щодо впровадженої Політики інформаційної безпеки;

  • Визначення та узгодження з третьою стороною заходів безпеки, які необхідно буде вжити їй під час надання послуг;

  • Визначення та узгодження з третьою стороною заходів, які мають бути вжиті для забезпечення необхідного рівня безперервності діяльності Компаній;

  • визначення та узгодження з третьою стороною заходів безпеки, які необхідно вжити у разі припинення відносин, а також порядок зміни їх умов;

  • Укладання основного договору та договору про конфіденційність;

  • призначення відповідальних за взаємодію між сторонами (призначення відповідальних за взаємодію між сторонами може відбуватися в рамках відповідного розділу основного договор

  • Моніторинг рівня послуг, що надаються третьою стороною (у тому числі інформаційної безпеки);

  • Припинення відносин із третьою стороною.

Перед початком залучення третьої сторони Компанія має оцінити ризики інформаційної безпеки, які можуть виникнути. Результати оцінки повинні відображатися в угодах, що укладаються з третьою стороною.

Реалізація зазначеної послідовності досягається визначенням Компанією та прийняттям третьою стороною відповідних умов, виконання яких гарантовано дозволить забезпечити необхідний рівень безпеки.

Цими умовами є:

  • Третя сторона зобов'язана ознайомитися та дотримуватись Політики інформаційної безпеки;

  • Компані та третя сторона зобов'язуються призначити відповідальних осіб за взаємодію та обмін інформацією з обмеженим доступом, сповістивши один одного про факт призначення та контактну інформацію відповідальних;

  • При передачі бізнес-інформації чи інформації з обмеженим доступом, вся інформація передається за замовчуванням між Компанією та сторонами у захищеному вигляді;

  • Компанія та третя сторона зобов'язуються чітко визначити та повідомити один одного про перелік відомостей, що містять інформацію з обмеженим доступом та можуть бути доступні один одному при наданні послуг;

  • Компанія та третя сторона зобов'язуються звертатися з інформацією з обмеженим доступом один одного відповідно до внутрішніх політик Сторін

  • Компанія та третя сторона зобов'язуються забезпечувати збереження інформації з обмеженим доступом, застосовуючи до отриманої інформації з обмеженим доступом заходи захисту, визначені іншою стороною. Інформація з обмеженим доступом не підлягає продажу, обміну, публікації тощо.

  • Компанія та третя сторона зобов'язуються забезпечити виконання своїми працівниками правил зберігання та використання інформації з обмеженим доступом;

  • Компанія та третя сторона зобов'язуються використовувати отриману інформацію з обмеженим доступом тільки з тією метою, з якою вона була передана їм;

  • Компанія та третя сторона зобов'язуються виконувати свої обов'язки щодо збереження інформації з обмеженим доступом протягом 5 років з дати її отримання або строку, визначеного іншою стороною в Угоді про нерозголошення інформації з обмеженим доступом. Після цього терміну отримана інформація з обмеженим доступом підлягає знищенню;

  • Компанія та третя сторона зобов'язуються негайно сповістити один одного (через відповідальних осіб) про факт компрометації (розголошення) інформації з обмеженим доступом (навмисне або ненавмисне)

  • Компанія та третя сторона домовилися, що передача інформації з обмеженим доступом до відкритих каналів зв'язку, а також з використанням мережі Інтернет без вжиття відповідних заходів захисту забороняється;

  • Компанія та третя сторона домовилися, що передача інформації з обмеженим доступом не означає передачі будь-яких прав на цю інформацію. Інформація з обмеженим доступом є власністю сторони.

  • Компанія та третя сторона домовилися, що вони можуть передавати інформацію з обмеженим доступом третім особам лише після отримання письмової згоди власника інформації.

Ці умови викладаються у типовій Угоді про нерозголошення конфіденційної інформації.

Підписання Угоди про нерозголошення конфіденційної інформації третьою стороною є підтвердженням факту ознайомлення з умовами, згоди та їх прийняття.

У разі відмови підписання третьою стороною Угоди про нерозголошення конфіденційної інформації, подальші відносини Компанії з третьою стороною припиняються.

 

5. Аутсорсингові послуги

Компанія у своїй бізнес-діяльності може використовувати аутсорсингові послуги у сфері консультацій, виконання окремих робіт за напрямами маркетингу, реклами, створення продуктів, юридичних послуг. При укладанні договору з підрядником, Компанія в особі замовників повинна переконатися, що використовуються такі методи та підходи:

Розробка ведеться за допомогою модульного підходу service-oriented architecture – SOA;

Усі етапи робіт контролюються, виконані етапи здаються у строк, з обумовленим обсягом та якістю роботи, із застосуванням політик ІБ, затверджених у Компанії Бінотел;

Прийом-передача виконаних робіт, оформляється Актом приймання-передачі та підписується відповідальними сторонами.

 

6. Канали зв'язку для інформування з інформаційної безпеки:

З усіх питань ІБ у компанії Бінотел можна звертатися:

Електронна пошта iso@binotel.com

За телефонами відділу контролю якості: +38 044 344 25 25 +38 050 344 25 25

 

7. Перегляд документа

Перегляд Політики відбувається за потребою, але не рідше ніж один раз на рік від дати затвердження.

bottom of page