Політика інформаційної безпеки

ТОВ "Комп'ютерні інформаційні технології" (бренд "Kitsoft") зобов'язується встановити високорівневі політики та принципи інформаційної безпеки в нашій організації.

Політика інформаційної безпеки розроблена відповідно до внутрішніх нормативних документів компанії, вимог чинного законодавства України, ДСТУ ISO/IEC 27001:2023 “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”, ДСТУ ISO/IEC 27002:2023 “Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки”, та з урахуванням міжнародних стандартів з питань інформаційної безпеки, загальноприйнятих у міжнародній практиці принципів забезпечення інформаційної безпеки і кіберзахисту.

Метою цієї Політики інформаційної безпеки є встановлення загальних принципів, стандартів та вимог для забезпечення конфіденційності, цілісності та доступності інформації, а також виконання вимог стандарту ISO/IEC 27001:2023.

Політика інформаційної безпеки є документом верхнього рівня у системі управління інформаційною безпекою. Складові процесу управління інформаційною безпекою, які не зазначені у Політиці, представлені у інших внутрішніх нормативних документах компанії (порядках, процедурах тощо) та підтримується кількома іншими документами - політиками та процедурами.

1. Терміни і скорочення

1.1. Визначення та скорочення в цьому документі використовуються в таких значеннях:

• Компанія - групи компаній ТОВ «Комп’ютерні інформаційні технології», ТОВ «Кітсофт», ТОВ «Кіт груп», ТОВ «Кітсофт Плюс»
• Керівництво компанії - Генеральний директор.
• Конфіденційність - властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем та/або процесом.
• Цілісність - властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем та/або процесом.
• Доступність - властивість досяжності й можливості використання інформації на вимогу авторизованого об’єкта.
• Спостережність - властивість системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки та/або забезпечення відповідальності за певні дії.
• Політика - Політика інформаційної безпеки.
• Ризик - ймовірність шкідливого впливу на бізнес в результаті порушення конфіденційності, цілісності та доступності інформації.
• Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення  політики безпеки інформації і/або нанесення збитків автоматизованій системі;
• СУІБ - система управління інформаційною безпекою.
• Інформаційна безпека - багаторівневий комплекс організаційних заходів компанії, програмних і технічних засобів, що забезпечують захист інформації від випадкових і навмисних загроз, у результаті реалізації яких можливе порушення принципів безпеки: доступності, цілісності, конфіденційності та спостережності.
• Інцидент інформаційної безпеки (інцидент ІБ) - це поява одного або декількох небажаних або несподіваних подій інформаційної безпеки, які пов'язані з настанням або значною вірогідністю настання негативних наслідків для інформаційної безпеки, інформації, інформаційних активів, бізнес-процесів або завдати шкоди компанії та системі захисту.
• Інформаційний ресурс - сукупність людських, апаратних та програмних ресурсів в інформаційних системах та процесах компанії.
• Мінімальний рівень повноважень - повноваження та права доступу, мінімально необхідні для якісного виконання співробітниками компанії посадових обов'язків.

Інші терміни, що вживаються в Політиці, використовуються у значеннях, визначених законами України, та ДСТУ ISO/IEC 27000:2023.

2. Ціль документа

Ціллю політики є впровадження та ефективне функціонування системи управління інформаційною безпекою та кіберзахисту, яка буде забезпечувати безпечність та надійність функціонування бізнес-процесів, захист інформації та ресурсів компанії від зовнішніх та внутрішніх загроз та загроз, які пов’язані з навмисними та не навмисними діями працівників компанії, забезпечувати безперервну роботу компанії, сприяти мінімізації ризиків операційної діяльності компанії та створювати позитивну репутацію компанії при роботі з клієнтами.

3. Область застосування

Дія політики розповсюджується на всіх співробітників, підрозділи та структури компанії, а також на всі інші сторони, які мають доступ до інформації компанії.

4. Підходи щодо управління інформаційною безпекою 

4.1. Підходи до визначення цілей СУІБ

Для підтримання належного захисту інформації (насамперед інформації з обмеженим доступом) із забезпеченням її цілісності, конфіденційності, доступності та спостережності визначаються цілі інформаційної безпеки. Цілі інформаційної безпеки виражаються у вигляді характеристик і параметрів, для досягнення яких впроваджуються заходи інформаційної безпеки та встановлюються якісні та кількісні показники в системі внутрішнього контролю процесів СУІБ.

Джерелами для формування цілей інформаційної безпеки є зовнішні та внутрішні фактори, що визначають діяльність компанії, а саме:

• Закони України;
• Стандарти інформаційної безпеки;
• результати оцінки ризиків, які враховують загальну бізнес-стратегію та цілі діяльності компанії;
• внутрішні нормативні документи компанії, що регламентують принципи обміну та обробки інформації відповідно до бізнес-потреб.
• Цілі інформаційної безпеки затверджуються окремим розділом у внутрішньому нормативному документі компанії з управління СУІБ.

4.2. Управління інцидентами інформаційної безпеки

1. Виявлення і фіксація подій ІБ найбільш ефективним шляхом, підтвердження їх класифікації як інцидентів ІБ;
2. Послідовна оцінка і безперервне реагування на виявлені інциденти ІБ найбільш сприятливим та ефективним чином;
3. Застосування ефективної системи управління інцидентами, для зведення до мінімуму несприятливих наслідків для компанії;
4. Використання своєчасного інформування відповідальних осіб за інформаційну безпеку про інциденти ІБ, за допомогою процесу ескалації;
5. Впровадження моніторингу, оцінки та усунення вразливостей ІБ, для скорочення кількості інцидентів.

4.3. Підходи до управління та моніторингу ІБ

Для управління інформаційною безпекою в компанії використовується ефективне поєднання технічних та організаційних рішень, що дозволяє досягти високої якості моніторингу стану СУІБ.

• Технічні рішення є сукупністю засобів для збору відомостей про стан елементів інформаційних систем, а також засобів впливу на їх поведінку. Зокрема засоби моніторингу шкідливого ПЗ, а також системи управління подіями і інцидентами інформаційної безпеки.
• Організаційні рішення використовуються у вигляді налагодження процесів взаємодії людей (співробітників), спрямованих на забезпечення необхідного рівня моніторингу ІТ-систем і підсистем ІБ. Це дозволяє формувати групи реагування на інциденти, що складаються з експертів різного рівня, та обумовлює створення операційного центру безпеки.

5. Принципи та вимоги інформаційної безпеки

5.1. Основним принципом інформаційної безпеки є підтримання належного захисту інформаційних активів компанії (насамперед інформації з обмеженим доступом) із забезпеченням її цілісності, конфіденційності, доступності та спостережності.

5.2. Принципами забезпечення інформаційної безпеки є:

• системний (комплексний) підхід до забезпечення інформаційної безпеки компанії;
• безперервність процесу удосконалення та розвитку інформаційної безпеки та його здійснення шляхом обґрунтування та реалізації раціональних засобів, методів, заходів із застосуванням найкращого міжнародного досвіду;
• своєчасність та адекватність заходів захисту від реальних та потенційних загроз інформаційній безпеці компанії;
• контроль та забезпечення підтримки належного рівня інформаційної безпеки з боку керівника компанії.

5.3. Керівництво компанії всіляко підтримує впровадження інформаційної безпеки та забезпечує її фінансування на достатньому рівні.

5.4. Документи з питань інформаційної безпеки розробляються підрозділом з інформаційної безпеки та іншими підрозділами за відповідними напрямами діяльності. Постійний контроль впровадження, виконання, вдосконалення та підтримки Політики в актуальному стані покладений на підрозділ з інформаційної безпеки.

5.5. Компанія розробляє внутрішні документи, які визначають, зокрема:

• вимоги щодо використання, надання, скасування та контролю доступу до інформаційних систем компанії;
• вимоги до забезпечення захисту від зловмисного коду та організації захисту від зловмисного коду;
• використання криптографічних засобів для захисту інформації;
• вимоги щодо використання електронної корпоративної пошти;
• вимоги щодо використання пристроїв для робочих цілей;
• вимоги щодо процесу управління інцидентами інформаційної безпеки.

5.6. В компанії діє принцип надання мінімального рівня повноважень під час надання доступу до інформаційних систем компанії (включаючи доступ привілейованих користувачів).

5.7. Компанія використовує стандарти, документи та настанови відкритого проекту захисту додатків "Open web application security project" (OWASP) для розроблення безпечних додатків.

5.8. Під час розроблення, впровадження та функціонування програмно-технічних комплексів компанією обов'язково враховуються вимоги інформаційної безпеки, зокрема:

• Виконуються заходи безпеки на всіх етапах життєвого циклу розробки ПЗ, включно з постійним оновленням та тестуванням безпеки продуктів компанії, для запобігання вразливостям.
• Проводяться регулярні аудити безпеки та оцінки вразливостей, у вигляді періодичних аудитів безпеки для ідентифікації потенційних ризиків та вразливостей у ПЗ та інфраструктурі.

5.9. Публічні сервіси компанії та внутрішні мережі мають відповідати вимогам стандартів з інформаційної безпеки.

5.10. В компанії розроблено та затверджено план забезпечення безперервності діяльності, у якому враховано безперервність функціонування заходів інформаційної безпеки в рамках процесу управління безперервністю діяльності компанії.

5.11. Кожен працівник компанії під час виконання своїх посадових обов'язків і повноважень повинен забезпечувати виконання вимог інформаційної безпеки компанії. Працівники компанії несуть відповідальність за невиконання вимог інформаційної безпеки, встановлених внутрішніми документами компанії та нормами чинного законодавства.

5.12. Компанія підтримує програму підвищення обізнаності/навчання, шляхом проведення регулярних тренінгів з інформаційної безпеки для всіх співробітників, з акцентом на розуміння внутрішніх і зовнішніх загроз та відповідних заходів реагування.

5.13. Компанія всіляко сприяє зміцненню репутації та відносин з громадськістю, зокрема:

• Розробляє та впроваджує стратегії управління кризовими ситуаціями, які включають плани зв'язків з громадськістю для реагування на інциденти безпеки.
• Підтримує відкриту і прозору комунікацію з клієнтами та партнерами щодо зусиль компанії в галузі інформаційної безпеки.

5.14. Зміст Політики доводиться до відома усім співробітникам компанії. Компанія зобов'язана ознайомити з Політикою працівників під час прийому на роботу. Кожен працівник компанії зобов'язаний ознайомитися з Політикою під підпис та надати зобов'язання про дотримання конфіденційності.

6. Перегляд документа

6.1. Політика затверджуються Керівництвом компанії.

6.2 Політика підтримується в актуальному стані та переглядається не рідше ніж один раз на рік. Якщо за результатами перегляду зміни до Політики не вносяться, то повторне її затвердження не потрібно.

6.3. Підставами внесення змін до Політики є зміни в інформаційній інфраструктурі та/або впровадженні нових інформаційних технологій, зміни в законодавстві, стандартах з інформаційної безпеки та інших нормах, або за появи істотних змін.

6.4. Зміни та доповнення до Політики погоджуються та затверджуються керівництвом компанії.

Ця Політика інформаційної безпеки є обов'язковою для всіх співробітників компанії Kitsoft та відзначає наше зобов'язання забезпечити високий рівень інформаційної безпеки у всіх аспектах діяльності компанії.