top of page

 

 

Політика криптографічного захисту ІТ

П - 20

версія 3.0

 

ТОВ "Бінотел"

Затверджено:

Генеральний директор

Корзун А.В.

09 грудня 2021 року

Переглянуто 19 грудня 2022 року

Переглянуто 20 грудня 2023 року



 

1. Терміни, абревіатури та скорочення

СУІБ – система управління інформаційної безпеки

КІБ – комітет з інформаційної безпеки.

Інформаційна безпека (ІБ) - означає різні процеси та заходи, що застосовуються для забезпечення конфіденційності, цілісності та доступності інформації.

Інформаційні активи (ІА) - комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання, що використовуються для обробки та зберігання даних, а також інформація, що обробляється за допомогою цих систем.

Інформаційні системи – означають комп'ютерні системи, програмне забезпечення, телекомунікаційне та периферійне обладнання.

Конфіденційність означає, що неавторизований користувач або процес не може отримати інформацію.

Цілісність означає, що неавторизований користувач або процес не може змінювати інформацію.

Доступність означає, що користувач або процес з певними привілеями може використовувати інформацію відповідно до Політики безпеки, коли і де це необхідно.


 

2. Призначення та сфера застосування

Метою цього документа є визначення правил для керування шифруванням та використання ключів шифрування для захисту конфіденційності, цілісності, автентичності та відсутності відхилень інформації.

Ця Політика охоплює всі операції з обробки даних у Системі управління інформаційною безпекою.

Ця Політика поширюється на всі інформаційні активи, співробітників та підрядників Компанії.

 

3. Нормативні посилання

Політика розроблена відповідно до вимог чинних документів:

• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;

• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».

4. Загальні положення

КІБ відповідає за розробку вимог наступних правил для керування системою шифрування:

Створення приватних та публічних ключів шифрування

Активація та розповсюдження ключів шифрування

Визначення періоду використання ключів та їх регулярне оновлення (згідно з оцінкою ризиків)

Архівування неактивних ключів, необхідних для зашифрованих електронних архівів

Знищення ключів шифрування

 

Ключі контролюються їхнім власником.

 

Користувачам ключів шифрування суворо заборонено:

  1. передати комусь свій секретний ключ шифрування;

  2. розкриття будь-кому свого пароля доступу до секретного ключа шифрування;

  3. порушувати правила отримання/збереження/використання ключів шифрування.


 

Ключі шифрування, що використовуються в системах та сервісах Компанії, необхідно періодично оновлювати за графіком не рідше ніж один раз на 2 роки. Якщо їх неможливо відновити з технічних причин, необхідно реалізувати додаткові елементи керування, щоб мінімізувати ризик порушення безпеки ключа шифрування.

 

5. Криптографічні контролі

Відповідно до Політики класифікації інформації, а також юридичних та договірних зобов'язань Компанія захищає окремі системи або інформацію за допомогою таких засобів криптографічного захисту:

 

Назва системи/тип інформації  - Web site

Засоби криптографії - RSAEncryption ( 1.2.840.113549.1.1.11 )

Алгоритм - SHA-256

Розмір ключа - 2048 bits (RSA)

 

Отримання ключів керування є частиною процесу керування доступом. Ключі не можна використовувати в коді продукту або зберігати на робочих пристроях у відкритому вигляді. Ключі повного доступу зберігаються в Gitlab як захищене змінне середовище.

 

Власник глобального доступу ІТ відповідає за такі ключові процеси управління:

  1. генерація приватних та публічних криптографічних ключів

  2. активація та розповсюдження криптографічних ключів

  3. визначення терміну використання ключів та їх регулярне оновлення (згідно з оцінкою ризиків)

  4. архівування неактивних ключів, необхідні для зашифрованих електронних архівів

  5. знищення ключів


 

6. Ролі та обов'язки

КІБ допомагає впроваджувати Політику та стежити за її дотриманням. Усі керівники Компанії повинні переконатися, що користувачі виконують вимоги Політики.

Користувачі компанії несуть особисту відповідальність за недотримання вимог Політики. Порушення умов Політики є інцидентом інформаційної безпеки.


 

7. Перегляд документа

Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.

bottom of page