top of page

 

Політика використання комп'ютерної техніки та віддаленого доступу 

П - 7

версія 5.0

ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.

04 лютого 2021 року
Переглянуто 15 березня 2022 року
Переглянуто 20 березня 2023 року
Переглянуто 21 березня 2024 року

Переглянуто 21 березня 2025 року

1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.


2. Призначення та сфера застосування
Метою цієї Політики є запобігання несанкціонованому доступу до комп'ютерної техніки як усередині, так і поза приміщенням Компанії.
Політика визначає забезпечення контролю над інформацією Компанії у випадках, коли ця інформація доступна через пристрої, що не належать Компанії.
Політика застосовується до всіх особистих пристроїв, які можуть зберігати, передавати або обробляти будь-яку інформацію з обмеженим доступом. До таких пристроїв належать ноутбуки та персональні ПК співробітників.

Метою цієї Політики є запобігання несанкціонованому доступу до комп'ютерної техніки як усередині, так і поза приміщенням Компанії. Політика визначає забезпечення контролю над інформацією Компанії у випадках, коли ця інформація доступна через пристрої, що не належать Компанії.

Ця політика також регулює правила використання комп’ютерної техніки, мобільних пристроїв, програмного забезпечення, а також порядок організації віддаленого доступу до корпоративних інформаційних ресурсів. Політика відповідає вимогам ISO/IEC 27002:2022 (контролі розділу 8).

Політика застосовується до всіх особистих пристроїв, які можуть зберігати, передавати або обробляти будь-яку інформацію з обмеженим доступом. До таких пристроїв належать ноутбуки, мобільні пристрої та персональні ПК співробітників. Дія Політики поширюється на всіх співробітників Компанії.


3. Нормативні посилання

Політика розроблена відповідно до вимог чинних нормативних документів:

  • Міжнародний стандарт ISO/IEC 27001:2022 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;

  • Міжнародний стандарт ISO/IEC 27002:2022 «Інформаційні технології. Методи захисту. Кодекс практик з управління інформаційною безпекою».

4. Загальні положення
Комп'ютерне обладнання (КО) включає всі види портативних комп'ютерів, персональних комп'ютерів та іншого обладнання, яке використовується для зберігання, обробки та передачі даних і є власністю Компанії.
Особливу увагу слід приділяти, КО розміщуються у громадських місцях: громадських місцях, місцях зустрічі, конференц-центрах та інших незахищених територіях поза приміщенням Компанії.
До КО повинні бути впроваджені такі правила та налаштування:
КЗ не повинно залишатися без нагляду і, якщо можливо, фізичний доступ має бути обмежений;
при використанні КЗ у громадських місцях співробітник повинен переконатися, що дані не можуть бути прочитані неавторизованими особами;
оновлення патчів та інших параметрів системи повинні виконуватись відповідно до внутрішніх політик компанії;
повинні встановлюватися та своєчасно оновлюватись програми захисту від шкідливого коду, які мають бути інтегрованими в корпоративну систему антивірусного захисту, оновлення та централізованого моніторингу інцидентів безпеки;
Будь-яка конфіденційна інформація на портативних комп'ютерах повинна розташовуватись у хмарних сервісах;
відразу ж після встановлення факту викрадення, втрати контролю чи підозрілої роботи КЗ повідомити IT Департамент;
встановлення пароля на доступ до BIOS КО, там де це технічно можливо;
включена політика блокування екрану, розблокування можливе лише за паролем;
підключення та робота користувачів на КЗ здійснюється з використанням персональних облікових записів та відповідного пароля доступу. У разі віддаленого підключення з КО до мережі компанії використовується з'єднання VPN.
Використання КЗ без проведення зазначених вище обов'язкових заходів заборонено.

Управління та використання активів (контролі 8.1–8.5)

Усі комп’ютери, ноутбуки, мобільні пристрої, видані працівникам, мають бути зареєстровані в інвентаризаційному реєстрі Адмін-відділу (8.2).

Передача пристроїв іншим працівникам допускається лише за погодженням з Адмін-відділом.
Вся інформація, що обробляється на КЗ, повинна бути класифікована як:
Відкрита, Внутрішня, Конфіденційна (8.4).

Документи мають бути відповідно марковані за рівнем конфіденційності, якщо це технічно можливо (8.5).

Загальні вимоги до користувачів (контролі 8.6–8.12)

  • Заборонено використовувати службові пристрої для особистих цілей без письмового дозволу керівництва.

  • Усі входи до систем здійснюються виключно за допомогою персональних облікових даних. Передача облікових записів заборонена (8.11).

  • На всіх пристроях має бути встановлене та оновлюване антивірусне програмне забезпечення (8.9).

  • Повинна бути увімкнена політика блокування екрана після 5 хвилин бездіяльності (8.23).

  • Віддалений доступ до корпоративної мережі дозволяється виключно через VPN та за попереднім дозволом керівника (8.12).

  • Кожен працівник несе персональну відповідальність за дії, вчинені з його облікового запису.

Використання особистих пристроїв (контроль 8.28)

  • BYOD (Bring Your Own Device) дозволяється лише за погодженням з відділом інформаційної безпеки.

  • На особистих пристроях заборонено:

    • зберігати службову або конфіденційну інформацію без шифрування;

    • підключатися до корпоративної мережі без VPN;

    • використовувати незахищене або неліцензійне програмне забезпечення.

Знищення та обмеження доступу (контролі 8.6, 8.7)

  • У разі передачі пристрою іншому працівнику або його списання/утилізації, всі дані мають бути безпечно знищені згідно з інструкцією ІТ (wipe).

  • Забороняється:
    передавати конфіденційні дані через незахищені канали (нешифровану пошту, відкриті месенджери),

    • використовувати USB-носії 

    • передавати дані через хмарні сервіси без дозволу КІБ


Користувачеві КЗ в установленому порядку можуть бути надані повноваження на виконання окремих адміністративних завдань, якщо така необхідність зумовлена необхідністю забезпечення роботи окремих програмних продуктів.

Співробітники повинні проходити навчання та підвищення обізнаності у сфері безпечного використанням КЗ відповідно до цієї Політики.


Користувачеві КЗ в установленому порядку можуть бути надані повноваження на виконання окремих адміністративних завдань, якщо така необхідність зумовлена необхідністю забезпечення роботи окремих програмних продуктів.

Співробітники повинні проходити навчання та підвищення обізнаності у сфері безпечного використанням КЗ відповідно до цієї Політики.

5. Віддалений доступ
Віддалений доступ передбачає, що КЗ та комунікаційне обладнання використовується для того, щоб співробітники могли

виконувати свою роботу за межами Компанії. Підключення до робочих ІС компанії відбувається через VPN компанії Бінотел, який налаштовується кожному співробітнику окремо.
Під час віддаленої роботи необхідно забезпечити наступне:

налаштувати захист КЗ згідно з п.4 Політики; налаштувати VPN компанії Бинотел;
запобігання несанкціонованому доступу осіб, які живуть або працюють у місці, де здійснюється віддалена робота;
захист прав інтелектуальної власності Компанії на програмне забезпечення чи інші матеріали, які можуть бути захищені правами інтелектуальної власності;
процес повернення даних та КЗ у разі припинення трудової діяльності.

6. Правила безпеки під час використання персональних пристроїв
Компанія дозволяє використання персональних пристроїв для роботи обмеженого кола осіб співробітників.
Дані компанії, які зберігаються, передаються та обробляються на персональних пристроях, є власністю Компанії, яка зберігає за собою право контролювати ці дані.
Компанія залишає за собою право переглядати, редагувати та видаляти всі дані Компанії, які зберігаються, передаються та обробляються на персональних пристроях.
Компанія має право виконувати повне видалення всіх корпоративних даних на персональних пристроях або блокувати доступ до них, якщо це вважає за необхідне для захисту даних Компанії, без згоди власника пристрою.

Для виконання бізнес-завдань використовується лише корпоративна техніка, видана співробітнику Адміністративним відділом компанії. Окремо можуть бути погоджені посади співробітників та послуги, яким мають право використовувати персональні пристрої за умовчанням.

Для кожного персонального пристрою обов'язкові такі вимоги:
включена політика блокування екрану, розблокування можливе лише за паролем
поза приміщенням компанії, персональний пристрій не слід залишати без нагляду і, якщо це можливо, слід фізично обмежувати доступ до нього.
у разі використання персональних пристроїв у громадських місцях власник повинен переконатися, що дані не можуть бути прочитані неавторизованими особами;
повинні регулярно встановлюватися патчі та оновлення як на операційну систему так і на прикладні програми;
Анитивірусні програми встановлюються на ОС Windows, якщо ця ОС використовується співробітниками у роботі;
відразу ж після встановлення факту викрадення, втрати контролю чи підозрілої роботи персонального пристрою необхідно повідомити IT Департамент;

З персональних пристроїв не дозволяється таке:

  • локально зберігати конфіденційну інформацію або інформацію з обмеженим доступом на пристрої;

  • надавати доступ комусь або до персонального пристрою;

  • зберігати на влаштуванні незаконні матеріали;

  • встановлювати неліцензійне чи підозріле програмне забезпечення;

  • локально зберігати паролі;

  • надсилати дані Компанії на інші неавторизовані пристрої.

 

7. Ролі та відповідальності
Керівництво Компанії сприяє впровадженню та контролю Політики.
Контроль над виконанням працівниками Політики доручається всіх керівників структурних підрозділів Компанії.
Співробітники несуть персональну відповідальність порушення вимог Політики.


8. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше одного разу на рік від дати затвердження.

bottom of page