Політика класифікації інформації
П - 4
версія 3.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
20 травня 2021 року
Переглянуто 11 липня 2022 року
Переглянуто 10 липня 2023 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
Інформація - відомості у будь-якій формі та вигляді, на будь-яких носіях та будь-які інші публічно оголошені або документовані відомості, а також відомості у будь-якому форматі, які обговорюються, формуються, пересилаються, приймаються, обробляються та зберігаються у Компанії.
Інформація з обмеженим доступом – інформація, доступ до якої обмежений власником цієї інформації; у Компанії використовується інформація з обмеженим доступом: конфіденційна інформація, персональні дані та службова інформація.
Конфіденційна інформація - програмний код, фінансова, комерційна, організаційна або інша інформація, що використовується в діяльності Компанії, що має реальну або потенційну економічну цінність, розголошення якої може завдати шкоди інтересам Компанії.
Персональні дані - відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована.
Службова інформація - інформація, доступ до якої дозволено лише співробітникам Компанії в рамках виконання ними своїх службових обов'язків, при цьому ця інформація не стосується конфіденційної та персональної інформації.
2. Призначення та сфера застосування
Політика розроблена з метою підтримки конфіденційності при обробці та зберіганні інформації, що містить конфіденційну інформацію, персональні дані, службову інформацію та іншу інформацію, яка визначена в Компанії як інформація з обмеженим доступом. Політика визначає вимоги та порядок поводження з такою інформацією.
Дія Політики поширюється на всі інформаційні активи Компанії, всіх співробітників та всі треті сторони, які мають доступ до інформаційних активів Компанії.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Предмет Політики
Політика регулює відносини, що виникають у процесі діяльності Компанії та визначають вимоги до захисту, зберігання, використання та розкриття інформації з обмеженим доступом.
До інформації з обмеженим доступом Компанії може бути віднесена інформація, яка є власністю Компанії, або є власністю її клієнтів, інших фізичних та юридичних осіб, якщо така інформація знаходиться у володінні, використанні та розпорядженні Компанії у зв'язку із провадженням господарської діяльності та порядок доступу до неї нею визначено законодавством України чи власником цієї інформації.
Конфіденційною інформацією може бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру.
Первинними джерелами відомостей про фізичну особу (персональні дані) є: видані на його ім'я документи; підписані ним документи; відомості, які особа надає себе.
У Компанії обробляються та зберігаються такі типи персональних даних:
• персональні дані клієнтів Компанії, що є частиною інформації про клієнта;
• персональні дані працівників та акціонерів Компанії.
4.1. Правила використання конфіденційної інформації та персональних даних
Співробітники Компанії у разі прийняття їх на роботу підписують зобов'язання щодо збереження інформації з обмеженим доступом та правилами користування. Компанія зобов'язана за погодженням з клієнтом відображати у договорах, що укладаються між нею та клієнтом, застереження щодо збереження конфіденційної інформації та відповідальності за її незаконне розголошення чи використання.
З метою запобігання несанкціонованому доступу до інформації з обмеженим доступом, особи, які мають доступ до такої інформації, повинні дотримуватись особливого порядку використання, зберігання та доступу до активів, що містять конфіденційну інформацію та персональні дані.
Співробітники, які під час виконання своїх функцій та/або надання послуг прямо чи опосередковано отримали інформацію з обмеженим доступом, зобов'язані не розголошувати цю інформацію та не використовувати її на свою користь або на користь третіх осіб, крім випадків, передбачених законодавством України.
Незаконний збір з метою використання відомостей, що містить конфіденційну інформацію та персональні дані та/або розголошення такої інформації, тягне за собою відповідальність, передбачену законодавством України.
4.2. Правила обробки інформації, що містить конфіденційну інформацію та персональні дані
Працюючи з документами, що містять інформацію з обмеженим доступом, працівники повинні забезпечити зберігання такої інформації в місцях, які унеможливлять доступ до них неуповноважених осіб.
Забороняється надсилання документів, що містять інформацію з обмеженим доступом, з використанням каналів зв'язку, які не забезпечують належного захисту інформації.
Компанія впроваджує засоби захисту від незаконного доступу до персональних даних клієнтів третіх осіб та дотримується прав клієнта, щодо якого здійснюється обробка його персональних даних у базі персональних даних.
4.3. Заходи забезпечення збереження інформації з обмеженим доступом
Компанія забезпечує збереження інформації з обмеженим доступом шляхом:
1. Обмеження кола осіб, які мають доступ до інформації, яка становить інформацію з обмеженим доступом;
2. Організації спеціального діловодства з документами, які містять інформацію з обмеженим доступом;
3. Застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації.
Керівники та працівники зобов'язані не розголошувати та не використовувати з вигодою для себе або для третіх осіб інформацію з обмеженим доступом, яка стала відома ним під час виконання своїх службових обов'язків.
У разі розголошення відомостей з обмеженим доступом винні особи відповідають відповідно до законодавства України та внутрішніми нормативними документами Компанії.
Керівники структурних підрозділів відповідають за порядок зберігання, знищення, передачі, одержання та використання документів, справ, файлів, що містять інформацію з обмеженим доступом.
4.4. Особливості роботи з електронними документами, що містять інформацію з обмеженим доступом
Автоматизовані системи обробки інформації мають вбудовану систему захисту інформації, яку неможливо відключити або здійснити обробку інформації, минаючи її.
Автоматизовані системи обробки інформації, що містять інформацію з обмеженим доступом, що працюють в режимі реального часу (on-line), мають таку архітектуру, при якій користувачі не мають прямого доступу до конфіденційних даних у базі даних і можуть отримувати доступ тільки через сервер додатків, здійснює строгу аутентифікацію запитів.
Автоматизовані системи здійснюють обов'язкову реєстрацію всіх спроб доступу та інших критичних подій у системі у захищеному від модифікації електронному журналі.
На автоматичних системах обробки інформації Компанія ставить свій дисклеймер із попередженням про відповідальність за розголошення інформації з обмеженим доступом.
Передача інформації, що містить інформацію з обмеженим доступом, електронною поштою або в режимі on-line, здійснюється тільки в захищеному (зашифрованому) вигляді.
Якщо співробітнику стало відомо про витік інформації з обмеженим доступом, співробітник негайно повідомляє про це безпосереднього керівника та одного з членів КІБ.
Керівники структурних підрозділів зобов'язані забезпечити систематичний контроль за допуском до відомостей з обмеженим доступом тільки тих осіб, яким вони необхідні для виконання своїх службових обов'язків.
Співробітники мають право знайомитися лише з тими документами та виконувати лише ті роботи, до яких вони допущені.
4.5. Захист інформації з обмеженим доступом
Захист інформації з обмеженим доступом полягає у прийнятті комплексу заходів, спрямованих на обмеження доступу до такої інформації третім особам та запобігання несанкціонованому розголошенню такої інформації, виявлення порушень режиму обмеження доступу.
У робочих та інших приміщеннях створюються умови, що обмежують доступ третіх осіб до інформації з обмеженим доступом, та встановлюються технічні засоби захисту від несанкціонованого доступу до інформації.
Забезпечення захисту з обмеженим доступом є обов'язком кожного співробітника, у зв'язку з цим він зобов'язаний:
- суворо дотримуватися пропускного режиму;
- суворо дотримуватись Політика чистого робочого столу та чистого екрану;
- знищувати паперові носії, які були роздруковані та не використовуються.
5. Ролі та відповідальності
Керівництво Компанії сприяє впровадженню та контролю Політики.
Контроль над виконанням працівниками Політики доручається всіх керівників структурних підрозділів Компанії.
Співробітники несуть персональну відповідальність порушення вимог Політики.
Факт порушення певних Політикою положень є інцидентом інформаційної безпеки.
Відповідальність за актуальність Політики покладається на КІБ.
Співробітники беруть на себе зобов'язання щодо зберігання в таємниці відомостей, до яких встановлюється обмежений доступ і які їм стають відомими у зв'язку з виконанням своїх посадових обов'язків.
6. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше ніж один раз на рік від дати затвердження.