Информационная безопасность является приоритетом для IQT.
IQT несёт ответственность перед своими работниками, клиентами, поставщиками и прочими заинтересованными сторонами за защиту предоставленной информации. Неспособность защитить информацию может потенциально нанести вред лицам, чья информация была доверена IQT для хранения, что может привести к санкциям или иным финансовым потерям, а также оказать влияние на репутацию и бренд IQT.
Политика по информационной безопасности относится ко всей информации и всем системам IQT. Политика определяет минимальные требования, которые гарантируют, что IQT сможет продемонстрировать последовательное соблюдение требований информационной безопасности.
IQT может внедрить дополнительные Политики в отношении безопасности, управляемые на более низком уровне (отдела, персонала или задания), чтобы отразить специфические риски, а также законодательные требования, и должна соблюдать Политику как минимальные требования.
Политика предусматривает защиту информации и активов IQT от внутренних или внешних угроз, преднамеренных или случайных.
Основные цели политики по информационной безопасности:- Конфиденциальная информация надлежаще защищена.
- Целостность информации поддерживается для обеспечения ее точности и полноты.
- Информация о физических лицах, включая персональные данные, обрабатывается с соблюдением их законных прав.
- Информация доступна только для тех сотрудников, которые имеют рабочую необходимость в этой информации, и только в том объеме, который необходим для выполнения их обязанностей (концепция «наименьших привилегий»).
- Выполняются соответствующие юридические, нормативные и договорные обязательства.
- Бренд «IQT» защищён.
Основные положения политики по информационной безопасности:- Сотрудники IQT являются лицами, ответственными за защиту информации компании и ее активов.
- IQT обязано проводить обучение и информирование всех сотрудников о том, как ответственно относиться к использованию технологий и инструментов. Сотрудники должны всегда сообщать о любых предполагаемых нарушениях в соответствии с процессом информирования, установленном в настоящей Политике.
- Сотрудники должны действовать в соответствии со своими обязанностями, определёнными в Политике и действующих стандартах, постоянно (например, во время работы в офисе, посещения клиента, удалённой работы) должны проходить всё необходимое обучение в установленный срок.
- Использование ноутбуков разрешается только если это использование необходимо для целей и задач бизнеса. Сотрудники несут ответственность за надлежащее использование указанных технологий с целью защиты данных и активов.
- IQT сохраняет свои и соблюдает чужие права интеллектуальной собственности, включая программное обеспечение третьих сторон. Сотрудники несут ответственность перед IQT и клиентами в отношении правил по использованию своей интеллектуальной собственности и интеллектуальной собственности третьих сторон, а также в отношении защиты творческих идей, инноваций или изобретений.
- IQT предоставляет сотрудникам условия и возможность дистанционной работы с целью выполнения потребностей клиента или деловых потребностей в случае необходимости. IQT должно информировать любого сотрудника, которому разрешено работать дистанционно, о допустимом использовании портативных компьютерных устройств и правилах удаленной работы.
- Раннее обнаружение или подозрение в отношении инцидента, связанного с безопасностью, имеет решающее значение для оперативного выявления и сдерживания последствий инцидента. Сотрудники должны быть осведомлены о процессе и контактных лицах, чтобы сообщать о любых предполагаемых нарушениях или предполагаемых инцидентах безопасности.
- Строгий контроль доступов снижает риски инцидентов или преднамеренного изменения или уничтожения данных, а также защищает от несанкционированного доступа к информации или её распространение.
- Доступ к информации должен соответствовать обязанностям сотрудника и концепции «наименьших привилегий», минимальные уровни доступа предоставляются в зависимости от их необходимости в доступе к этой информации для выполнения обязанностей сотрудника и характера информации, к которой сотрудники пытаются получить доступ. Привилегированный доступ должен быть надлежащим образом авторизован и ограничен определенной продолжительностью с надлежащим мониторингом и надзором.
- IQT несёт ответственность за защиту всей конфиденциальной информации, находящейся в его владении, включая персональные данные, принадлежащие сотрудникам и клиентам, и любую конфиденциальную деловую информацию третьих лиц, с которыми IQT ведёт дела (например, поставщики и партнеры в совместных деловых отношениях). Неспособность защитить персональные данные может привести к причинению вреда физическому лицу в виде финансовых потерь, ущерба репутации или социального или экономического ущерба. Такая неспособность также может привести к серьезным финансовым последствиям для IQT в результате штрафов, а также к ущербу репутации и бренду IQT и может повлиять на возможность сотрудничества с различными клиентами в будущем.
- IQT признает, что инциденты, связанные с безопасностью, носят разрушительный характер и могут нанести ущерб отдельным лицам, клиентам или бизнес-функциям. IQT должно быть готово к борьбе с этими угрозами и к оперативному реагированию, чтобы своевременно предотвратить последствия, которые могут привести к финансовым, юридическим или репутационным последствиям. Чтобы быть должным образом подготовленным, необходимо внедрить программу управления инцидентами для своевременного выявления, классификации, эскалации, реагирования и разрешения инцидентов безопасности и уменьшения воздействия на отдельных лиц и бизнес.
- Должны быть реализованы адекватные средства контроля для надлежащего обнаружения и защиты компании от вредоносного программного обеспечения, предназначенного для нарушения работы компьютеров. Чтобы не отставать от меняющихся угроз, необходимо внедрить методы шифрования и новейшую защиту от вредоносных программ для защиты данных на серверах, рабочих станциях, ноутбуках, мобильных и съемных устройствах.
- IQT собирает и производит, обрабатывает и хранит большие объёмы данных разной степени секретности в процессе своей деятельности. Конфиденциальность, целостность и доступность информации и информационных систем имеют решающее значение для бесперебойной работы и своевременного предоставления услуг. Для этого IQT должна внедрить процедуры управления данными для идентификации, классификации и инвентаризации данных.
- Процедура управления данными должна чётко определять заинтересованные стороны, классификацию данных на основе потенциального воздействия несанкционированного доступа на бизнес и управление жизненным циклом данных.
- Критически важные для бизнеса конфиденциальные данные должны быть идентифицированы на основе требований к классификации данных и конфиденциальности и должны быть защищены с использованием шифрования, где это необходимо (например, в процессе хранения и передачи) с учётом соблюдения белорусского и международного законодательства.
- Потребность в обмене данными через небезопасные носители привела к необходимости использования криптографических методов для защиты конфиденциальности информации.
- Мониторинг и ведение журналов - это средства обнаружения непредвиденных действий системы, которые могут включать снижение ожидаемой производительности системы или несанкционированную активность. Оперативная идентификация предоставит ответственным лицам ранние предупреждающие индикаторы изменения производительности системы, которые можно устранить для обеспечения доступности системы. Надлежащий мониторинг и регистрация систем, приложений и сетей обеспечивает возможность отслеживания действий, также надлежащий уровень регистрации активности может иметь решающее значение для процесса сохранения и восстановления данных. Кроме того, необходимо внедрить фильтрацию и мониторинг точек входа и выхода, чтобы предотвратить умышленные вредоносные действия, кибератаки, утечки данных и другие вредоносные события.
- IQT должно подготовить эффективный план экстренного восстановления и обеспечения непрерывности деятельности для реагирования в случае возникновения незапланированных событий или проблем. Планирование аварийного восстановления и обеспечения непрерывности деятельности является эффективным средством снижения рисков, позволяющим свести к минимуму перебои в работе.
- Программа обеспечения непрерывности деятельности необходима для надлежащей подготовки к возможным угрозам для возможности предоставления услуг, поэтому должен быть разработан план обеспечения непрерывности деятельности, который затрагивает критически важные бизнес-функции и приложения для проверки непрерывности работы и отказоустойчивости критически важных сервисов в случае сбоя или потери обслуживания. Эти программы должны быть согласованы с потребностями бизнеса и утверждены владельцем или партнером, отвечающим за направление обслуживания, и пересматриваться на регулярной основе.
- Планирование экстренного восстановления заблаговременно готовит компанию к реагированию в случае непредвиденного сбоя или проблемы. Планы экстренного восстановления должны быть задокументированы во время начальной реализации, поддерживаться в актуальном состоянии и быть легко доступными для команд, занимающихся информационными технологиями, ответственных за реагирование. Конфигурации аварийного восстановления должны быть согласованы с бизнес-требованиями системы или приложения и построены на основе критичности для бизнеса. Планирование аварийного восстановления должно включать в себя критически важные компоненты системы, сеть, сервер, рабочую станцию, средства размещения и соответствующие технические возможности. План аварийного восстановления должен регулярно тестироваться и проверяться на соответствие утвержденным бизнес-требованиям.