Організаційно-технічні заходи для забезпечення інформаційної безпеки

RUPTELA вживає всіх необхідних організаційних та технічних заходів для забезпечення безпеки оброблюваних даних та захисту оброблених персональних даних від випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до переданих персональних даних.

Політика та процедури захисту персональних даних. Безпека персональних даних та їх обробка в організації задокументована як частина політики інформаційної безпеки. Політика безпеки переглядається та переглядається щороку.

Конфіденційність. Перед початком своїх обов’язків працівників просять переглянути та узгодити політику безпеки організації та підписати відповідні угоди про конфіденційність та нерозголошення.

Навчання. Організація гарантує, що всі працівники розуміють свої обов’язки та зобов’язання, пов’язані з обробкою персональних даних. Ролі та обов’язки чітко повідомляються під час процесу попереднього працевлаштування та / або вступу.

Організація забезпечує, щоб усі співробітники були належним чином поінформовані про засоби безпеки ІТ-системи, що стосуються їх повсякденної роботи. Працівники, які беруть участь у обробці персональних даних, також інформуються про відповідні вимоги щодо захисту даних та законодавчі зобов’язання шляхом регулярних інформаційних кампаній.

Також призначається посадова особа з питань захисту даних, яка відповідає за захист даних в організації, розповсюдження знань та забезпечення дотримання GDPR. Зі службовцем захисту даних можна зв’язатись електронною поштою: [email protected]

Політика контролю доступу. Конкретні права контролю доступу надаються кожному працівникові, який бере участь у обробці персональних даних, дотримуючись принципу необхідності знання. Політика контролю доступу детально та документована. Організація визначила відповідні правила контролю доступу, права доступу та обмеження для працівників щодо процесів та процедур, пов’язаних з персональними даними під час реорганізації організації, звільнення працівників або зміни функцій.

Управління контролем доступу. Доступ до внутрішніх ресурсів Ruptela захищений та управляється через Active Directory. Багатофакторна автентифікація O365 увімкнена для всіх користувачів. Інші, ніж системи O365, що містять дані клієнтів, доступні лише із внутрішньої мережі уповноваженими працівниками з їх унікальними обліковими записами. Доступ скасовується відразу після припинення контракту з працівниками. Кожні 6 місяців проводиться аудит рахунку, щоб переконатися у відсутності несанкціонованих рахунків.

Управління змінами. Усі зміни в ІТ-системі реєструються та контролюються призначеним працівником.

Шифрування. Рішення Ruptela використовують SSL / TLS з високоякісними алгоритмами шифрування для захисту зовнішніх кінцевих точок служби. На додаток до цього, Ruptela також використовує IPSec VPN із високоякісним шифруванням для захисту зв’язку між віддаленими сайтами або кінцевими точками обслуговування.

Резервні копії. Резервні копії виконуються не рідше одного разу на день. Усі дані, що зберігаються у виробничих базах даних, мають репліки. База даних координат реплікується на три окремі вузли (кворум). Кінцеві користувачі не мають права видаляти інформацію безпосередньо на рівні бази даних.

Лісозаготівля. Ruptela використовує протокольне рішення, яке відстежує зміни, здійснені на віртуальних машинах. Дії користувачів системи (входи / виходи, видалення, введення) також контролюються і можуть бути ідентифіковані за допомогою IP-адреси користувачів.

Безперервність бізнесу. Ruptela встановила основні процедури та засоби контролю, яких слід дотримуватися, щоб забезпечити необхідний рівень безперервності та доступності ІТ-системи, яка обробляє персональні дані у випадку інциденту / порушення персональних даних. План безперервності бізнесу регулярно перевіряється, щоб оцінити, чи можна забезпечити безперебійне обслуговування у випадку інциденту.

Порушення даних та інциденти. Руптела створила план реагування на інциденти, що забезпечують ефективне управління інцидентами, пов’язаними з безпекою персональних даних. Інциденти та порушення даних реєструються. Вони повідомляються керівництву без зайвої затримки. Встановлені процедури сповіщення про повідомлення про порушення компетентним органам та суб’єктам даних.

Процесори даних. Формальні вказівки та процедури, що охоплюють обробку персональних даних обробниками даних (підрядниками / аутсорсингом), визначаються, документуються та узгоджуються до початку обробки даних.

Оцінка впливу захисту даних. При виборі інформаційних систем, необхідних для діяльності організації, оцінюється вплив на захист даних відповідно до GDPR. Використовується лише сертифіковане програмне забезпечення, яке регулярно оновлюється.

Фізичний контроль доступу. Доступ до приміщення захищений системою контролю доступу.

Захист від зловмисного програмного забезпечення. Усі робочі станції захищені антивірусом, мають операційну систему Microsoft Windows 10 з усіма найновішими оновленнями безпеки та управляються централізовано. Жорсткі диски робочої станції зашифровані.

Управління запитами. Усі запити клієнтів реєструються в централізованій системі із зазначенням часу запиту. Вхід в систему контролюється паролем. Система управляє інцидентами, змінами та консультаціями. Також забезпечується централізоване управління питаннями та змінами. Якість роботи систем клієнтів забезпечується за допомогою постійного моніторингу, де кожна подія реєструється та аналізується в централізованій системі. Управління інцидентами здійснюється відповідно до встановленого плану реагування на інциденти, інформування відповідальних осіб та, за необхідності, формування Групи управління безперервністю бізнесу. Проводяться періодичні тести та тренінги, встановлені в плані безперервності бізнесу.

Програмне забезпечення. Важливі та важливі виправлення уразливостей програмного забезпечення реалізовані для всього програмного забезпечення.

Центри обробки даних. Ruptela зберігає свої сервери у двох центрах обробки даних, які мають сертифікат Tier 3 та Tier 3 Design. Дані зберігаються в Європейському економічному просторі та не передаються третім країнам