Область дії системи управління інформаційною безпекою
П - 12
версія 4.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
02 вересня 2021 року
Переглянуто 25 лютого 2022 року
Переглянуто 23 лютого 2023 року
Переглянуто 23 лютого 2024 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
2. Призначення та сфера застосування
Мета цього документа – чітко визначити межі системи управління інформаційної безпеки.
Користувачами цього документа є співробітники Компанії.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Визначення меж СУІБ
Компанія визначає межі СУІБ з метою розуміння переліку інформації, яку необхідно захищати. Таку інформацію необхідно буде захистити незалежно від того, де вона зберігається, обробляється або передається в або за межі дії СУІБ.
Той факт, що деяка інформація доступна за межами області дії, не означає, що заходи безпеки не застосовуватимуться - це означає лише, що відповідальність за застосування заходів безпеки передаватиметься третій стороні, яка керує цією інформацією.
З урахуванням юридичних, нормативних, договірних та інших вимог визначається така сфера дії СУІБ:
Послуги та процеси:
Розробка програмного забезпечення та надання послуг у сфері віртуальної телефонії.
Організаційні підрозділи
Усі організаційні одиниці включені до сфери дії СУІБ.
Розташування: Україна, 02081, м. Київ, вул. Здолбунівська, 7-Д.
Визначення зацікавлених сторін та їх вимог:
Клієнти (вимоги):
Захист від несанкціонованого доступу до персональних даних, включаючи вимоги GDPR;
Тривалість зберігання даних;
SLA;
Цілісність даних;
Доступність даних;
Софт компанії не завдає шкоди клієнту.
Постачальники/Партнери (вимоги):
Виконання взятих він зобов'язань у межах сущ.контрактов;
Розвиток партнерської програми.
Персонал компанії (вимоги):
Мотиваційна програма (умови праці, гідна/конкурентна оплата праці, кар'єрне зростання, соціальна захищеність та соціальна стійкість, можливість для самореалізації, розвиток здібностей, підвищення конкурентоспроможності);
Дотримання трудових прав; дотримання законодавства;
Можливість додаткового навчання та підвищення кваліфікації;
Відсутність дискримінації.
Акціонери (вимоги):
вихід на європейський ринок;
Виконання KPI (фінансова сторона);
формування довгострокових конкурентних переваг компанії;
Зростання вартості нематеріальних активів;
Нагромадження репутаційного капіталу компанії.
Банки (вимоги):
Впровадження антикорупційних процедур;
Відповідність GDPR/ закону про захист персональних даних.
Держава (вимоги):
Виконання податкового та трудового кодексу України;
Відповідність ведення діяльності компанії законам України та країн, де ми ведемо свою комерційну діяльність;
Виконання приписів воєнного стану
Відповідність GDPR/ закону про захист персональних даних;
Відповідність регламентам та постановам регуляторів телекомунікацій;
Відповідність до ліцензій.
ЗМІ (вимоги):
Створення інфоприводів.
5. Визначення контексту
Встановивши контекст, Компанія формулює свої цілі, визначає зовнішні та внутрішні параметри, які необхідно враховувати при управлінні ризиками, а також задають масштаб та критерій ухвалення ризику та обробки залишкових ризиків.
Зовнішній контекст
Зовнішній контекст - це зовнішнє середовище, в якому Компанія прагне досягти своєї мети.
Зовнішній контекст включає, але не обмежується:
● соціально-культурний, політичний, військовий, правовий, нормативний, фінансовий, технологічний, економічний, конкурентний;
● ключові фактори та тенденції, що впливають на цілі організації;
● відносини із зовнішніми зацікавленими сторонами, їх сприйняття та цінності.
Внутрішній контекст
Внутрішній контекст - це внутрішнє середовище, в якому організація прагне досягти своєї мети.
Це включає, але не обмежується:
● управління, організаційна структура, ролі та підзвітність;
● цілі та стратегії, що існують для їх досягнення;
● можливості, зрозумілі з погляду ресурсів та знань (наприклад, капітал, час, люди, процеси, системи та технології);
● відносини, сприйняття та цінності внутрішніх зацікавлених сторін;
● організаційна культура;
● інформаційні системи, інформаційні потоки та процеси прийняття рішень (як формальні, так і неофіційні);
● стандарти, посібники та моделі, прийняті організацією;
● форма та обсяг договірних відносин.
6. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.