Главная
Услуги
Трениги
Новости
Связаться ●
Политика по информационной безопасности


Данная политика применяется Индивидуальным предпринимателем Тимофиевич Дмитрий Михайлович (далее - “я”, “мной”) и нанимаемым работникам, отдельно или совместно оказывающими услуги под брендом “Advisory BY” (далее - “Advisory BY”).

Информационная безопасность является приоритетом для меня и бренда Advisory BY.

Я несу ответственность перед своими клиентами, поставщиками и прочими заинтересованными сторонами за защиту предоставленной информации. Неспособность защитить информацию может потенциально нанести вред лицам, чья информация была доверена Advisory BY для хранения, что может привести к санкциям или иным финансовым потерям, а также оказать влияние на репутацию и бренд Advisory BY.

Политика по информационной безопасности относится ко всей информации и всем системам Advisory BY. Политика определяет минимальные требования, которые гарантируют, что Advisory BY сможет продемонстрировать последовательное соблюдение требований информационной безопасности.

Advisory BY может внедрить дополнительные Политики в отношении безопасности, управляемые на более низком уровне (отдела, персонала или задания), чтобы отразить специфические риски, а также законодательные требования, и должна соблюдать Политику как минимальные требования.
Политика предусматривает защиту информации и активов Advisory BY от внутренних или внешних угроз, преднамеренных или случайных.

Основные цели политики по информационной безопасности:

  • Конфиденциальная информация надлежаще защищена.
  • Целостность информации поддерживается для обеспечения ее точности и полноты.
  • Информация о физических лицах, включая персональные данные, обрабатывается с соблюдением их законных прав.
  • Информация доступна только для тех работников, которые имеют рабочую необходимость в этой информации, и только в том объеме, который необходим для выполнения их обязанностей (концепция «наименьших привилегий»).
  • Выполняются соответствующие юридические, нормативные и договорные обязательства.
Основные положения политики по информационной безопасности:

  1. Я и нанятые мной работники являются лицами, ответственными за защиту информации компании и ее активов.
  2. Я обязан проходить обучение и информирование всех нанимаемых работников о том, как ответственно относиться к использованию технологий и инструментов. Все наемные работники должны всегда сообщать о любых предполагаемых нарушениях в соответствии с процессом информирования, установленном в настоящей Политике.
  3. Я и нанятые мной работники должны действовать в соответствии со своими обязанностями, определёнными в Политике и действующих стандартах, постоянно (например, во время работы в офисе, посещения клиента, удалённой работы) должны проходить всё необходимое обучение в установленный срок.
  4. Использование ноутбуков разрешается только если это использование необходимо для целей и задач бизнеса. Я и нанятые мной работники несут ответственность за надлежащее использование указанных технологий с целью защиты данных и активов.
  5. Advisory BY сохраняет свои и соблюдает чужие права интеллектуальной собственности, включая программное обеспечение третьих сторон. Я и нанятые мной работники несут ответственность перед клиентами в отношении правил по использованию своей интеллектуальной собственности и интеллектуальной собственности третьих сторон, а также в отношении защиты творческих идей, инноваций или изобретений.
  6. Я предоставляю нанятым мной работникам условия и возможность дистанционной работы с целью выполнения потребностей клиента или деловых потребностей в случае необходимости. Я должен информировать любого работника, которому разрешено работать дистанционно, о допустимом использовании портативных компьютерных устройств и правилах удаленной работы.
  7. Раннее обнаружение или подозрение в отношении инцидента, связанного с безопасностью, имеет решающее значение для оперативного выявления и сдерживания последствий инцидента. Я и нанятые мной работники должны быть осведомлены о процессе и контактных лицах, чтобы сообщать о любых предполагаемых нарушениях или предполагаемых инцидентах безопасности.
  8. Строгий контроль доступов снижает риски инцидентов или преднамеренного изменения или уничтожения данных, а также защищает от несанкционированного доступа к информации или её распространение.
  9. Доступ к информации должен соответствовать обязанностям нанятого мной работника и концепции «наименьших привилегий», минимальные уровни доступа предоставляются в зависимости от их необходимости в доступе к этой информации для выполнения обязанностей и характера информации, к которой работники пытаются получить доступ. Привилегированный доступ должен быть надлежащим образом авторизован и ограничен определенной продолжительностью с надлежащим мониторингом и надзором.
  10. Я несу ответственность за защиту всей конфиденциальной информации, находящейся в его владении, включая персональные данные, принадлежащие работникам и клиентам, и любую конфиденциальную деловую информацию третьих лиц, с которыми Advisory BY ведёт дела (например, поставщики и партнеры в совместных деловых отношениях). Неспособность защитить персональные данные может привести к причинению вреда физическому лицу в виде финансовых потерь, ущерба репутации или социального или экономического ущерба. Такая неспособность также может привести к серьезным финансовым последствиям для меня в результате штрафов, а также к ущербу репутации и бренду Advisory BY и может повлиять на возможность сотрудничества с различными клиентами в будущем.
  11. Я признаю, что инциденты, связанные с безопасностью, носят разрушительный характер и могут нанести ущерб отдельным лицам, клиентам или бизнес-функциям. Advisory BY должно быть готово к борьбе с этими угрозами и к оперативному реагированию, чтобы своевременно предотвратить последствия, которые могут привести к финансовым, юридическим или репутационным последствиям. Чтобы быть должным образом подготовленным, необходимо внедрить программу управления инцидентами для своевременного выявления, классификации, эскалации, реагирования и разрешения инцидентов безопасности и уменьшения воздействия на отдельных лиц и бизнес.
  12. Должны быть реализованы адекватные средства контроля для надлежащего обнаружения и защиты компании от вредоносного программного обеспечения, предназначенного для нарушения работы компьютеров. Чтобы не отставать от меняющихся угроз, необходимо внедрить методы шифрования и новейшую защиту от вредоносных программ для защиты данных на серверах, рабочих станциях, ноутбуках, мобильных и съемных устройствах.
  13. Advisory BY собирает и производит, обрабатывает и хранит большие объёмы данных разной степени секретности в процессе своей деятельности. Конфиденциальность, целостность и доступность информации и информационных систем имеют решающее значение для бесперебойной работы и своевременного предоставления услуг. Для этого Advisory BY должна внедрить процедуры управления данными для идентификации, классификации и инвентаризации данных.
  14. Процедура управления данными должна чётко определять заинтересованные стороны, классификацию данных на основе потенциального воздействия несанкционированного доступа на бизнес и управление жизненным циклом данных.
  15. Критически важные для бизнеса конфиденциальные данные должны быть идентифицированы на основе требований к классификации данных и конфиденциальности и должны быть защищены с использованием шифрования, где это необходимо (например, в процессе хранения и передачи) с учётом соблюдения белорусского и международного законодательства.
  16. Потребность в обмене данными через небезопасные носители привела к необходимости использования криптографических методов для защиты конфиденциальности информации.
  17. Мониторинг и ведение журналов - это средства обнаружения непредвиденных действий системы, которые могут включать снижение ожидаемой производительности системы или несанкционированную активность. Оперативная идентификация предоставит ответственным лицам ранние предупреждающие индикаторы изменения производительности системы, которые можно устранить для обеспечения доступности системы. Надлежащий мониторинг и регистрация систем, приложений и сетей обеспечивает возможность отслеживания действий, также надлежащий уровень регистрации активности может иметь решающее значение для процесса сохранения и восстановления данных. Кроме того, необходимо внедрить фильтрацию и мониторинг точек входа и выхода, чтобы предотвратить умышленные вредоносные действия, кибератаки, утечки данных и другие вредоносные события.
  18. Advisory BY должно подготовить эффективный план экстренного восстановления и обеспечения непрерывности деятельности для реагирования в случае возникновения незапланированных событий или проблем. Планирование аварийного восстановления и обеспечения непрерывности деятельности является эффективным средством снижения рисков, позволяющим свести к минимуму перебои в работе.
  19. Программа обеспечения непрерывности деятельности необходима для надлежащей подготовки к возможным угрозам для возможности предоставления услуг, поэтому должен быть разработан план обеспечения непрерывности деятельности, который затрагивает критически важные бизнес-функции и приложения для проверки непрерывности работы и отказоустойчивости критически важных сервисов в случае сбоя или потери обслуживания. Эти программы должны быть согласованы с потребностями бизнеса и утверждены владельцем или партнером, отвечающим за направление обслуживания, и пересматриваться на регулярной основе.
  20. Планирование экстренного восстановления заблаговременно готовит компанию к реагированию в случае непредвиденного сбоя или проблемы. Планы экстренного восстановления должны быть задокументированы во время начальной реализации, поддерживаться в актуальном состоянии и быть легко доступными для команд, занимающихся информационными технологиями, ответственных за реагирование. Конфигурации аварийного восстановления должны быть согласованы с бизнес-требованиями системы или приложения и построены на основе критичности для бизнеса. Планирование аварийного восстановления должно включать в себя критически важные компоненты системы, сеть, сервер, рабочую станцию, средства размещения и соответствующие технические возможности. План аварийного восстановления должен регулярно тестироваться и проверяться на соответствие утвержденным бизнес-требованиям.