Организационные и технические мероприятия

Организационные и технические мероприятия, применяемые компанией Ruptela, по обеспечению информационной безопасности

RUPTELA принимает все необходимые организационные и технические меры для обеспечения безопасности обрабатываемых данных и защиты обрабатываемых персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного разглашения или доступа к передаваемым персональным данным.

Политика и процедуры безопасности персональных данных. Безопасность персональных данных и их обработка в организации документируется в рамках политики информационной безопасности. Политика безопасности пересматривается и перерабатывается ежегодно.

Конфиденциальность. Прежде чем приступить к исполнению своих обязанностей, сотрудников просят ознакомиться с политикой безопасности организации и подписать соответствующие соглашения о конфиденциальности и неразглашении информации.

Обучение. Организация следит за тем, чтобы все сотрудники понимали свои обязанности и ответственность, связанную с обработкой личных данных. Функции и обязанности четко доводятся до сведения сотрудников до их приема на работу и/или в ходе вводного инструктажа.

Организация обеспечивает, чтобы все сотрудники были надлежащим образом информированы о средствах контроля за безопасностью IT систем, которые относятся к их повседневной работе. Сотрудники, участвующие в обработке личных данных, также информируются о соответствующих требованиях и юридических обязательствах, связанных с защитой данных, посредством проведения регулярных информационно-обучающих кампаний.

Кроме того, назначен сотрудник по защите данных, который отвечает за защиту данных в организации, распространение знаний и обеспечение соблюдения GDPR. С уполномоченным по защите данных можно связаться по электронной почте: [email protected]

Политика управления доступом. Каждому сотруднику, участвующему в обработке персональных данных, предоставляются конкретные права доступа, исходя из того, что ему необходимо знать. Организация определила соответствующие правила контроля доступа, права доступа и ограничения для сотрудников в отношении процессов и процедур, связанных с персональными данными, во время реорганизации юридического лица, увольнения сотрудников или изменения функций.

Управление контролем доступа. Доступ к внутренним ресурсам Ruptela защищен и управляется через Active Directory. Включена многофакторная аутентификация O365 для всех пользователей. За исключением систем O365, содержащих данные о клиентах, доступ из внутренней сети предоставляется только авторизованным сотрудникам с их уникальными учетными записями. Доступ удаляется сразу же после расторжения контракта с сотрудником. Каждые 6 месяцев проводится аудит учетных записей, чтобы убедиться в отсутствии устаревших учетных записей.

Управление изменениями. Все изменения в IT системе регистрируются и отслеживаются ответственным сотрудником.

Шифрование. Решения Ruptela используют SSL/TLS сертификаты с высококачественными алгоритмами шифрования для защиты внешних конечных точек обслуживания. В дополнение к этому Ruptela также использует IPSec VPN сертификаты с высококачественным шифрованием для защиты связи между удаленными ресурсами или конечными точками обслуживания.

Резервные копии. Резервное копирование выполняется не реже одного раза в день. Все данные, хранящиеся в эксплуатируемых базах данных, имеют копии. База данных координат копируется на три отдельных узла (кворум). Конечные пользователи не имеют права удалять информацию непосредственно на уровне базы данных.

Ведение журнала. Ruptela использует решение для ведения журнала, которое отслеживает изменения, выполненные на виртуальных машинах. Действия пользователей (входы/ выходы из системы, удаление, ввод) также отслеживаются и могут быть идентифицированы по IP-адресу пользователя.

Бесперебойность. Ruptela установила основные процедуры и меры контроля, которые должны соблюдаться для обеспечения необходимого уровня бесперебойности и доступности IT-системы, обрабатывающей персональные данные, в случае инцидента/нарушения персональных данных. План обеспечения бесперебойности регулярно тестируется для оценки возможности обеспечения бесперебойного обслуживания в случае инцидента.

Нарушения данных и инциденты. Ruptela разработала план реагирования на инциденты безопасности, который обеспечивает эффективное управление инцидентами, связанными с безопасностью персональных данных. Инциденты и нарушения данных регистрируются. О них сообщается руководству незамедлительно. Установлен порядок уведомления о нарушениях в компетентные органы и субъекты данных.

Обработка данных. Официальные принципы и процедуры, касающиеся обработки персональных данных (подрядчиками / сторонними организациями), определяются, документируются и согласовываются до начала операций по обработке.

Оценка воздействия на защиту персональных данных. При выборе информационных систем, необходимых для деятельности организации, оценивается влияние на защиту данных в соответствии с GDPR. Используется только сертифицированное программное обеспечение, которое регулярно обновляется.

Физический контроль доступа. Доступ в помещение защищен системой контроля доступа.

Защита от вредоносных программ. Все рабочие места защищены антивирусом, имеют операционную систему Microsoft Windows 10 со всеми новейшими обновлениями безопасности и управляются централизованно. Жесткие диски рабочих мест зашифрованы.

Управление запросами. Все пользовательские запросы записываются в централизованную систему с указанием времени запроса. Вход в систему контролируется паролем. Система управляет инцидентами, изменениями и консультациями. Также обеспечивается централизованное управление проблемами и изменениями. Качество работы систем пользователей обеспечивается посредством постоянного мониторинга, где каждое событие записывается и анализируется в централизованной системе. Инциденты управляются согласно установленному плану реагирования на инциденты, информируя ответственных лиц и, при необходимости, формируя команду по управлению бесперебойности деятельности. Периодически проводятся тесты и тренинги, установленные в плане обеспечения бесперебойности деятельности.

Программное обеспечение. Для всего программного обеспечения реализуются критические и важные исправления уязвимостей безопасности программного обеспечения.

Центры обработки данных. Ruptela хранит свои серверы в двух центрах обработки данных, сертифицированных по стандартам Tier3 и Tier3 Design.