Область дії системи управління інформаційною безпекою
П - 12
версія 5.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
02 вересня 2021 року
Переглянуто 25 лютого 2022 року
Переглянуто 23 лютого 2023 року
Переглянуто 23 лютого 2024 року
Переглянуто 23 лютого 2024 року
Переглянуто 23 лютого 2025 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
2. Призначення та сфера застосування:
Метою цього документа є чітке визначення меж системи управління інформаційною безпекою (СУІБ).
Користувачами цього документа є всі співробітники Компанії.
Область застосування СУІБ (відповідно до §4.3)
Система управління інформаційною безпекою охоплює всі структурні підрозділи ТОВ «Бінотел», розташовані на території України, а також усі внутрішні та зовнішні інформаційні системи, що використовуються для:
надання послуг клієнтам,
обробки персональних та комерційних даних.
До переліку охоплених систем належать:
CRM-система,
омніканальна платформа,
API,
мобільні застосунки,
офіційні веб-сайти,
корпоративна електронна пошта,
система білінгу,
внутрішні файлові сервери,
внутрішній чат.
Винятки: персональні мобільні пристрої користувачів, а також особисті акаунти співробітників у зовнішніх системах, які не інтегровані до ІТ-інфраструктури компанії, не входять до області дії СУІБ.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних нормативних документів:
Міжнародний стандарт ISO/IEC 27001:2022 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;
Міжнародний стандарт ISO/IEC 27002:2022 «Інформаційні технології. Методи захисту. Кодекс практик з управління інформаційною безпекою».
4. Визначення меж СУІБ
Компанія визначає межі СУІБ з метою розуміння переліку інформації, яку необхідно захищати. Така інформація підлягає захисту незалежно від того, де вона зберігається, обробляється або передається — в межах чи за межами області дії СУІБ.
Той факт, що певна інформація доступна за межами області дії СУІБ, не означає, що до неї не застосовуються заходи безпеки — це означає лише те, що відповідальність за їх реалізацію покладається на третю сторону, яка управляє цією інформацією.
З урахуванням юридичних, нормативних, договірних та інших вимог визначено таку область дії СУІБ:
Послуги та процеси:
Розробка програмного забезпечення та надання послуг у сфері віртуальної телефонії.
Організаційні підрозділи:
Усі організаційні одиниці включені до області дії СУІБ.
Місцезнаходження:
Україна, 02081, м. Київ, вул. Здолбунівська, 7-Д.
Визначення зацікавлених сторін та їхніх вимог
До зацікавлених сторін СУІБ входять:
Керівництво компанії — забезпечує стратегічне управління та фінансування заходів з інформаційної безпеки;
Замовники — очікують безпечного зберігання та обробки персональних і комерційних даних;
Працівники — мають чітко визначені права доступу до інформаційних активів і несуть відповідальність за їх дотримання;
Підрядники, інтегратори, постачальники — зобов’язані дотримуватись вимог інформаційної безпеки під час надання послуг або технічної інтеграції;
Регуляторні органи (Кіберполіція, НКЕК, СБУ) — здійснюють нагляд, перевірки та аудит відповідності нормативно-правовим актам;
Аудитори — проводять внутрішній та зовнішній аудит ефективності СУІБ відповідно до вимог стандарту ISO/IEC 27001.
Визначення зацікавлених сторін та їх вимог:
Клієнти (вимоги):
Захист від несанкціонованого доступу до персональних даних, включаючи вимоги GDPR;
Тривалість зберігання даних;
SLA;
Цілісність даних;
Доступність даних;
Софт компанії не завдає шкоди клієнту.
Постачальники/Партнери (вимоги):
Виконання взятих він зобов'язань у межах сущ.контрактов;
Розвиток партнерської програми.
Персонал компанії (вимоги):
Мотиваційна програма (умови праці, гідна/конкурентна оплата праці, кар'єрне зростання, соціальна захищеність та соціальна стійкість, можливість для самореалізації, розвиток здібностей, підвищення конкурентоспроможності);
Дотримання трудових прав; дотримання законодавства;
Можливість додаткового навчання та підвищення кваліфікації;
Відсутність дискримінації.
Акціонери (вимоги):
вихід на європейський ринок;
Виконання KPI (фінансова сторона);
формування довгострокових конкурентних переваг компанії;
Зростання вартості нематеріальних активів;
Нагромадження репутаційного капіталу компанії.
Банки (вимоги):
Впровадження антикорупційних процедур;
Відповідність GDPR/ закону про захист персональних даних.
Держава (вимоги):
Виконання податкового та трудового кодексу України;
Відповідність ведення діяльності компанії законам України та країн, де ми ведемо свою комерційну діяльність;
Виконання приписів воєнного стану
Відповідність GDPR/ закону про захист персональних даних;
Відповідність регламентам та постановам регуляторів телекомунікацій;
Відповідність до ліцензій.
ЗМІ (вимоги):
Створення інфоприводів.
5. Визначення контексту
Контекст організації (відповідно до ISO/IEC 27001:2022 §4.1)
ТОВ «Бінотел» надає послуги хмарної телефонії, омніканальних комунікаційних платформ і цифрових сервісів для корпоративного сектору України. Організація працює на висококонкурентному ринку телекомунікацій і IT-послуг. Серед основних факторів внутрішнього контексту — централізоване керівництво, присутність офіцера ІБ, використання дата-центру, ISO-сумісні процеси. До зовнішнього контексту відносяться: вимоги державних органів (Кіберполіція, НКЕК), вимоги GDPR та Законів України «Про захист інформації».
Встановивши контекст, Компанія формулює свої цілі, визначає зовнішні та внутрішні параметри, які необхідно враховувати при управлінні ризиками, а також задають масштаб та критерій ухвалення ризику та обробки залишкових ризиків.
Зовнішній контекст
Зовнішній контекст - це зовнішнє середовище, в якому Компанія прагне досягти своєї мети.
Зовнішній контекст включає, але не обмежується:
● соціально-культурний, політичний, військовий, правовий, нормативний, фінансовий, технологічний, економічний, конкурентний;
● ключові фактори та тенденції, що впливають на цілі організації;
● відносини із зовнішніми зацікавленими сторонами, їх сприйняття та цінності.
Внутрішній контекст
Внутрішній контекст - це внутрішнє середовище, в якому організація прагне досягти своєї мети.
Це включає, але не обмежується:
● управління, організаційна структура, ролі та підзвітність;
● цілі та стратегії, що існують для їх досягнення;
● можливості, зрозумілі з погляду ресурсів та знань (наприклад, капітал, час, люди, процеси, системи та технології);
● відносини, сприйняття та цінності внутрішніх зацікавлених сторін;
● організаційна культура;
● інформаційні системи, інформаційні потоки та процеси прийняття рішень (як формальні, так і неофіційні);
● стандарти, посібники та моделі, прийняті організацією;
● форма та обсяг договірних відносин.
6. Взаємодія з регуляторами
Компанія зобов’язується надавати доступ до даних, звітів або системних журналів відповідним державним органам (Кіберполіція, СБУ, НКЕК) на вимогу, відповідно до законодавства України та міжнародних нормативів.
7. Участь підрядників
Усі зовнішні компанії, які мають доступ до ІТ-ресурсів компанії (інтегратори, хостинг-партнери, постачальники ліцензійного ПЗ), зобов’язані дотримуватись політик ІБ ТОВ «Бінотел» та підписати відповідну угоду про нерозголошення (NDA). Їхня діяльність контролюється на етапі надання доступу, зміни прав та завершення співпраці.
6. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.