top of page

 

ТОВ “Бінотел”
Затверджено:
Генеральний директор
Корзун А.В.

20 травня 2021 року
Переглянуто 15 березня 2022 року
Переглянуто 20 березня 2023 року
Переглянуто 21 березня 2024 року

Переглянуто 21 березня 2025 року


 

Політика навчання персоналу інформаційної безпеки

П - 8

версія 5.0

 

 

1. Терміни, абревіатури та скорочення

СУІБ — система управління інформаційною безпекою
КІБ — комітет з інформаційної безпеки

 

2. Призначення та сфера застосування

Політика навчання персоналу у сфері інформаційної безпеки (далі — Політика) встановлює стратегію управління ризиками, пов’язаними з нестачею обізнаності, комунікації та навчання працівників у сфері інформаційної безпеки. Ці ризики управляються шляхом створення ефективної програми підвищення обізнаності з інформаційної безпеки.

Ця Політика поширюється на всіх співробітників Компанії, і кожен працівник несе відповідальність за її дотримання.

3. Нормативні посилання

Політика розроблена відповідно до вимог чинних нормативних документів:

  • Міжнародний стандарт ISO/IEC 27001:2022 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;

  • Міжнародний стандарт ISO/IEC 27002:2022 «Інформаційні технології. Методи захисту. Кодекс практик з управління інформаційною безпекою».


4. Загальні положення

Компанія зобов’язана проводити базове навчання з інформаційної безпеки для всіх співробітників при прийнятті на роботу, а також щорічне навчання для всіх працівників. Співробітники повинні розуміти політики та процедури безпеки, а також уміти виявляти, повідомляти та запобігати потенційним інцидентам безпеки.

Згідно з програмою навчання, Компанія повинна вести облік навчальних заходів: документувати та контролювати окремі тренінги, включаючи базове навчання та навчання щодо захисту конкретних інформаційних активів. Дані про індивідуальне навчання повинні зберігатися щонайменше протягом року.

5. Програма навчання

Метою програми навчання з інформаційної безпеки є ознайомлення користувачів з актуальними та новими кіберзагрозами та надання їм простих кроків для захисту систем і даних Компанії. Програма також нагадує про політики та процедури, які допомагають уникати, попереджувати або пом’якшувати кіберризики.

Програма готується щорічно та включає:

  • актуальні кіберзагрози та тенденції у сфері безпеки;

  • заходи безпеки в умовах воєнного стану;

  • внутрішні політики компанії та галузеві вимоги.
     

Для підвищення ефективності програма використовує різноманітні методи інформування:

  • email-нагадування,

  • банери,

  • онлайн-курси,

  • вікторини тощо.

6. Вимоги до навчання нових працівників

Усі нові працівники Компанії зобов’язані пройти початкове навчання з політик і процедур інформаційної безпеки протягом десяти (10) робочих днів з моменту початку роботи. Після завершення навчання кожен працівник повинен підтвердити ознайомлення з політиками та процедурами, погодившись із їх виконанням.

7. Вимоги до регулярного навчання

Усі співробітники Компанії зобов’язані щорічно проходити курси підвищення кваліфікації з політик і процедур інформаційної безпеки згідно із затвердженою програмою навчання.

У разі впровадження нових або оновлення чинних політик і процедур ІБ, усі користувачі повинні ознайомитися з ними та підтвердити прийняття протягом 10 робочих днів з моменту їхнього затвердження.

8. Оцінка та перегляд програми навчання з інформаційної безпеки

Програма щороку переглядається Комітетом з інформаційної безпеки (КІБ) для оцінки її ефективності та відповідності політикам інформаційної безпеки.

9. Організація навчання та підвищення обізнаності

  • Усі нові співробітники проходять вступний курс з інформаційної безпеки протягом перших 10 робочих днів з моменту початку роботи.
     

  • Всі співробітники щорічно проходять повторне навчання з метою оновлення знань і навичок.
     

  • Співробітники, які працюють з критичними ІТ-системами, зобов’язані пройти розширену технічну підготовку, що включає захист інфраструктури, адміністрування доступів і реагування на інциденти.
     

  • Усі програми навчання документуються, а результати (включно з тестуванням або підписаними формами ознайомлення) фіксуються та зберігаються протягом визначеного строку.

10. Перевірка кандидатів на посади

Перед прийняттям на роботу осіб, які матимуть доступ до критичної інформації або систем, компанія може здійснювати:

  • перевірку рекомендацій,

  • аналіз наявності судимостей (якщо це дозволено законом),

  • оцінку професійного досвіду у сфері інформаційної безпеки.


11. Умови трудового договору

Трудовий договір або інші документи, що регулюють взаємовідносини з працівником, повинні містити обов’язкові положення щодо:

  • дотримання внутрішніх політик та процедур інформаційної безпеки;

  • зобов’язання щодо збереження конфіденційної інформації навіть після припинення трудових відносин;

  • встановлення відповідальності за порушення вимог ІБ, включно з можливими дисциплінарними або юридичними наслідками.

12. Санкції у разі порушення політики ІБ

Працівники, які:

  • ігнорують обов’язкові програми навчання;

  • не проходять регулярне тестування або не підтверджують ознайомлення з оновленими політиками;

  • порушують вимоги інформаційної безпеки, можуть бути притягнуті до дисциплінарної відповідальності відповідно до внутрішнього трудового регламенту компанії.

13. Завершення трудових відносин

Після звільнення або припинення трудових відносин:

  • Компанія негайно відкликає всі доступи працівника до інформаційних систем і ресурсів;

  • Проводиться повернення виданого обладнання, носіїв та доступів;

  • Працівникові нагадується про зобов’язання нерозголошення конфіденційної інформації, що залишаються чинними після звільнення відповідно до умов підписаних договорів.

14. Ролі та відповідальність

  • Усі співробітники несуть особисту відповідальність за розуміння та дотримання політик і процедур інформаційної безпеки.

  • КІБ відповідає за:
     

    • забезпечення розуміння та дотримання політик усіма працівниками,

    • розробку та підтримку програми навчання.
       

  • Нові працівники зобов’язані пройти навчання з ІБ протягом 10 днів з початку роботи.

  • Усі працівники мають проходити регулярне навчання згідно з вимогами КІБ.

  • Керівники підрозділів відповідають за участь своїх працівників у заходах з підвищення обізнаності та навчанні з ІБ.

  • Усі користувачі несуть особисту відповідальність за постійне дотримання політик, законів і нормативів у сфері інформаційної безпеки.

15.  Перегляд документа

Перегляд Політики здійснюється за потреби, але не рідше одного разу на рік від дати затвердження.

bottom of page