1. Призначення документа
Витяг є скороченою версією Політики інформаційної безпеки хмарного сервісу «Мій Арт-офіс»
та призначений для публічного ознайомлення.
2. Загальні положення
Політика інформаційної безпеки описує запроваджені заходи інформаційної безпеки
щодо хмарного сервісу миттєвого обміну електронними документами «Мій Арт‑Офіс»
https://my.art‑office.com.ua
(далі – Сервіс) з метою забезпечення доступності, цілісності та конфіденційності електронних документів
та даних користувачів, які обробляються/зберігаються у Сервісі, а також доступності усіх функцій, виконання яких забезпечується Сервісом.
3. Терміни та скорочення
Інформаційна безпека – збереження конфіденційності, цілісності та доступності інформації.
Конфіденційність – властивість інформації не ставати доступною та розкритою для несанкціонованих осіб, суб’єктів або процесів.
Цілісність – властивість точності та повноти.
Доступність – властивість досяжності й можливості використання на вимогу авторизованого об’єкта.
Кваліфікований електронний підпис – удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа.
Інцидент інформаційної безпеки – подія або низка небажаних або непередбачуваних подій інформаційної безпеки, через які існує ймовірність компрометації бізнес-інформації (бізнес-процесів) і загрози інформаційній безпеці.
КЕП – Кваліфікований електронний підпис.
ЦОД – Центр обробки даних.
ІБ – Інформаційна безпека.
БД – База даних.
4. Фізична безпека та безпека інфраструктури
Фізично серверне та мережеве обладнання, на якому зберігається інформація користувачів,
а також розгорнута сама інформаційна система (Сервіс)
розташоване в індивідуальних модулях (кімнатах) в дата-центрі (центрі обробки даних - ЦОД) в місті Київ, Україна.
ЦОД має сертифіковану міжнародним органом сертифікації систему менеджменту інформаційної безпеки
для надання клієнтам послуг дата-центру, що відповідає вимогам міжнародному стандарту ISO/IEC 27001:2013.
Також ЦОД має сертифікат відповідності стандартам PSI/DSS.
Всі послуги надаються у суворій відповідності до вимог стандарту TIA-942, рівню безвідмовності TIER III.
ЦОД забезпечує:
– постачання до серверного обладнання гарантованої електроенергії, використовуючи дві незалежні кабельні мережі;
– стабільний рівень температури та вологості повітря незалежно від погодних умов та пори року;
– раннє виявлення займання, в разі його виникнення, та безпечне гасіння пожежі інертним газом;
– фізичну безпеку та охорону.
Доступ до обладнання в модулях мають
тільки санкціоновані на виконання робіт технічні фахівці компанії за узгодженою із ЦОД процедурою.
5. Безпека персоналу
5.1 Ретельна перевірка персоналу
Особисті якості та рівень компетентності персоналу Компанії, який забезпечує роботу Сервісу,
впливають на результативність її інформаційної безпеки.
Для гарантування, що найманий персонал розуміє свої обов’язки та придатний для виконання ролей,
на які претендує, перед прийняттям на роботу,
з дотриманням законодавства України щодо захисту персональних даних,
проводиться ретельна перевірка претендента.
5.2 Відповідальність щодо інформаційної безпеки
При оформленні на роботу, зі співробітниками компанії укладається Угода про нерозголошення комерційної таємниці,
в якій встановлюється порядок роботи з інформацією та відомостями, що становлять комерційну таємницю,
права та обов’язки працівника щодо ІБ,
а також відповідальність за невиконання або неналежне виконання своїх зобов’язань за цією Угодою.
З метою своєчасного, всебічного, повного й об'єктивного дослідження інциденту ІБ,
в компанії може бути ініційоване проведення службового розслідування відповідно
до встановленої процедури.
5.3 Поінформованість, навчання щодо інформаційної безпеки
Керівництво компанії вимагає від персоналу компанії, підрядників та інших суб’єктів,
які взаємодіють із Компанією та можуть вплинути на її інформаційну безпеку,
застосування заходів безпеки за установленими в Компанії політиками та процедурами.
Працівники компанії поінформовані щодо дотримання технічних і організаційних заходів інформаційної безпеки,
відповідно до їх ролей та обов’язків в Компанії.
Працівники компанії, задіяні в розробці та підтримці хмарного сервісу «Мій Арт‑Офіс»
не менш ніж один раз на рік проходить навчання з питань інформаційної безпеки.
Відповідне навчання також проходять нові працівники після прийняття на роботу.
6. Безпека експлуатації
6.1 Обслуговування обладнання
Для гарантування доступності та цілісності обладнання Компанії, яке задіяне в забезпеченні роботи Сервісу,
виконується його технічне обслуговування відповідно до рекомендованих постачальниками специфікацій
та періодів обслуговування. Обслуговування здійснюється внутрішнім персоналом компанії
або персоналом авторизованих сервісних центрів під наглядом персоналу компанії, який має відповідну санкцію.
Якщо обслуговування/ремонт обладнання проводиться зовнішнім персоналом за межами ЦОД,
вся конфіденційна інформація, за можливості, вивантажується з обладнання або,
якщо це неможливо, із компанією, що буде виконувати ремонт/обслуговування обладнання
підписується Угода про конфіденційність.
Перед вводом в експлуатацію після обслуговування/ремонту,
обладнання перевіряється на комплектність і працездатність.
6.2 Постійний моніторинг потужності та доступності Сервісу
Для забезпечення цілісності та доступності Сервісу та електронних документів Користувачів,
компанія здійснює постійний моніторинг та регулювання використання ресурсів інформаційної системи
за допомогою системи моніторингу та відстеження статусів різноманітних сервісів комп'ютерної мережі,
серверів та мережевого обладнання, з миттєвим сповіщенням технічних спеціалістів у режимі 24/7.
6.3 Управління змінами
Інформування користувачів про планові оновлення інформаційної системи або проведення технічних робіт
здійснюється шляхом розміщення інформаційних повідомлень на сайті
https://my.art‑office.com.ua
та сторінці Facebook, а також надсилання листів на електронну адресу Користувачів.
Для зручності Користувачів, оновлення системи/регламентні технічні роботи
здійснюються не в бізнес-час (тобто після 18 години), або у вихідні дні.
Доступність послуг при оновленні Сервісу відновлюється за 20-30 хвилин.
6.4 Відокремлення засобів розробки, тестування та експлуатації
Для зменшення ризику випадкової зміни або несанкціонованого доступу до інформаційної системи,
що перебуває в експлуатації, середовища розробки, тестування та експлуатації відокремлені.
Конфіденційні дані клієнтів не використовуються для тестування.
Тестування не здійснюється в системі, що знаходиться в експлуатації.
Перед застосуванням оновлень ми проводимо різні види тестування в тестовому середовищі.
6.5 Резервне копіювання
З метою запобігання випадкового або навмисного знищення,
або втрати даних клієнтів застосовується стратегія резервного копіювання.
Резервному копіюванню підлягають:
– бази даних, що містять історію подій в системі;
– файли електронних документів клієнтів.
Частота проведення резервного копіювання: кожні 24 години.
6.6 Захист від зловмисного коду
Для гарантування захисту Сервісу та інформації Користувачів,
що зберігається/обробляється у Сервісі від зловмисного коду, ми приймаємо наступні заходи:
– Використовуємо тільки ліцензійне програмне забезпечення;
– Проводимо пошук технічних вразливостей з метою їх зменшення, використовуючи сканери вразливостей;
– Використовуємо сучасні перевірені ліцензійні антивірусні програмні засоби, які налаштоване на виконання, як мінімум щотижневого сканування і отримання щоденних і автоматичних оновлень файлів;
– Використовуємо мережевий екран (firewall), який фільтрує вхідний трафік та захищає внутрішню мережу та інформаційні системи від зовнішніх потенційно небезпечних атак.
6.7 Ведення журналів аудиту та моніторингу
З метою запису системних подій та збереження доказів діяльності користувачів
(збої, попередження, системні помилки, входи користувачів, управління обліковими записами,
зміна дозволів та прав доступу до файлів і папок, запуск і зупинка процесів тощо)
ведуться наступні журнали подій: операційної системи, міжмережевого екрана, віддаленого доступу, антивірусів.
6.8 Моніторинг подій в Сервісі
Всі дії користувачів із кожним електронним документом в Сервісі можна відслідкувати
за допомогою вбудованого інструменту «Історія операцій».
Також є можливість побачити історію по всій організації, в тому числі дії локального адміністратора.
7. Управління доступом
7.1 Контроль доступу
З метою обмеження доступу до інформації та засобів оброблення інформації
в компанії розроблена та впроваджена Політика контролю доступу, відповідно до якої:
– користувачі отримують доступ до мережі та інших інформаційних ресурсів
відповідно до класифікації інформації;
– визначені ролі та обов’язки щодо управління доступом до інформаційних ресурсів
при прийнятті на роботу нових співробітників компанії,
а також при переведенні на іншу посаду (зміну обов’язків), звільненні співробітників.
Періодично проводиться формальна перевірка доступу користувачів до інформаційних систем та ресурсів,
включаючи ті, які зберігають (або зберігатимуть) інформацію клієнтів/ щодо клієнтів.
7.2 Безпека мережі
Адміністрування серверів, що знаходяться в ЦОД, здійснюється із локальної мережі.
Передача даних із ЦОД до локальної мережі здійснюється через два виділені канали зв’язку
від двох незалежних провайдерів.
В мережі Інтернет Сервіс опублікований з використанням SSL-сертифіката,
який забезпечує безпечне введення персональних даних користувачів через сайт,
також задіяні Протоколи захисту транспортного рівня (TLS),
які забезпечують захищену передачу даних між вузлами в мережі.
Доступ до локальної мережі через сервер публікатор заборонений. Для захисту внутрішньої мережі компанії
від ненадійних/зовнішніх мереж використовується міжмережевий екран (брандмауер).
7.2.1 Захист даних в процесі передачі
Доступ до сайту здійснюється за протоколом HTTPS.
7.2.2 Авторизація в системі
Користувачі отримують доступ до Сервісу лише коли вони були авторизовані.
Авторизація в системі відбувається виключно з використанням кваліфікованого електронного підпису (КЕП),
а саме файлу особистого ключа, який доступний тільки підписувачу чи створювачу електронної печатки.
Таким чином, кожний користувач однозначно ідентифікується в системі,
оскільки він використовує свій власний особистий ключ КЕП.
КЕП повинний відповідати Законодавству України у сферах електронних довірчих послуг та електронної ідентифікації.
Дані автентифікації користувачів (особисті ключі, паролі до ключів) не зберігаються і нікуди не передаються.
7.3 Конфіденційність
Компанія дотримується Законодавства України щодо захисту персональних даних
(Закон України «Про захист персональних даних»)
та застосовує до Сервісу «Політику конфіденційності персональних даних», з якою можна ознайомитися
за посиланням
https://my.art‑office.com.ua/common/privacypolicy
.
Співробітники компанії не мають доступу до електронних документів та кабінетів користувачів,
окрім тих, що мають привілейовані права для виконання відповідних функціональних обов’язків.
Призначення та використання привілейованих прав доступу обмежено та контрольовано.
Працівники, які мають доступ до персональних даних користувачів,
дають письмове зобов'язання про нерозголошення персональних даних,
які їм були довірені або які стали їм відомі у зв'язку з виконанням професійних
або службових чи трудових обов'язків.
У разі звільнення працівника, який мав доступ до персональних даних або переведення його на іншу посаду,
яка не передбачає роботу з персональними даними клієнтів,
вживаються заходи щодо запобігання доступу такої особи до персональних даних.
Періодично (не менш ніж один раз на три місяці) перевіряються поточні права працівників,
що забезпечують роботу Сервісу.
7.4 Порядок призначення локального адміністратора системи
Для управління користувачами в межах організації клієнта (реєстрація користувачів, контроль прав доступу)
існує можливість відповідальному працівнику організації клієнта надати права локального адміністратора.
Призначення/вилучення привілейованих прав доступу (локальний адміністратор Сервісу)
контролюється за допомогою формального процесу санкціонування.
Призначення/вилучення прав локального адміністратора здійснюється тільки на підставі
отриманого на адресу служби технічної підтримки заяви (в електронному вигляді)
від керівника підприємства/організації, підписаної його КЕП.
8. Строки зберігання документів
Порядок зберігання електронних документів та архівів електронних документів визначається
Законом України «Про електронні документи та електронний документообіг».
Відповідно до Закону строк зберігання електронних документів на електронних носіях інформації
повинен бути не меншим від строку, встановленого законодавством для відповідних документів на папері.
Відповідно до
Публічної оферти до користувачів Інтернет-сайту «Мій Арт-Офіс»
,
з якою погоджуються Користувачі Сервісу до початку користування Сервісом,
електронні документи Користувачів в Сервісі «Мій Арт-офіс» гарантовано зберігаються
протягом 60 (шістдесяти) календарних місяців, з дня створення електронного документа.
У разі, якщо електронний документ було розміщено в Сервісі, але він не був укладений Користувачами,
шляхом не підписання електронного документа Користувачами або одним із Користувачів,
гарантується розміщення та доступ до такого електронного документа протягом 30 (тридцяти) календарних днів,
з дня створення електронного документа.
Якщо, Користувачеві необхідно зберігати документи довше зазначеного в оферті строку,
він повинен самостійно вжити заходів щодо його завантаження із Сервісу
до закінчення гарантованого строку зберігання документів.
Відповідальність за своєчасне завантаження електронних документів із Сервісу несе Користувач.
Після завантаження електронного документа необхідно здійснювати перевірку цілісності даних.
Електронні документи користувачів після закінчення гарантованого терміну зберігання не видаляються.
Якщо необхідно видалити будь-який документ, необхідно отримати погодження із всіма контрагентами.
9. Управління інцидентами
В разі виникнення інциденту Користувачі Сервісу мають змогу сформувати
та відправити лист-звернення до Служби підтримки безпосередньо зі свого електронного кабінету,
для цього передбачена відповідна форма Звернення до Служби підтримки
(https://docs.art‑office.com.ua/9.htm).
Всі отримані звернення Користувачів реєструються та розглядаються Службою підтримки
та надаються листи-відповіді.
В Компанії впроваджений процес реєстрації, аналізу, та реагування на інциденти,
а також проведення службового розслідування у випадку інциденту інформаційної безпеки,
та встановлена відповідальність персоналу компанії у разі порушення ним вимог щодо інформаційної безпеки.
10. Оцінка ризиків інформаційної безпеки
В Компанії впроваджено процес управління ризиками інформаційної безпеки,
який дозволяє застосовувати належні організаційні та технічні заходи з метою досягнення
та постійного вдосконалення рівня інформаційної безпеки Сервісу.
