Безопасность и правовые документы
Политика информационной безопасности
Последнее обновление: 01 Декабря 2022
Ref: 51b70fa9-8e5c-40dd-8806-38aedf86b146
Ref: 51b70fa9-8e5c-40dd-8806-38aedf86b146
1. Цель и сфера применения
Целью настоящей Политики информационной безопасности является описание мер, которые Liqvid PTE. LTD. принимает для защиты своих информационных ресурсов от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Настоящая политика распространяется на всех сотрудников, подрядчиков, консультантов и сторонних пользователей, которые имеют
2. Система управления информационной безопасностью (ISMS)
Компания Liqvid PTE. LTD. внедрила Систему управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001 для управления рисками информационной безопасности и обеспечения конфиденциальности, целостности и доступности своих информационных активов. ISMS включает в себя следующие компоненты:
2.1 Оценка рисков и управление ими. Компания Liqvid PTE. LTD. проводит периодическую оценку рисков для выявления и оценки рисков информационной безопасности и внедряет соответствующие средства контроля для снижения этих рисков.
2.1.1 Сфера применения:
Оценка рисков распространяется на все информационные активы Liqvid PTE. LTD., включая, но не ограничиваясь:
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
физические ресурсы
· Интеллектуальная собственность
2.1.1.1 Идентификация рисков
Компания Liqvid PTE. LTD. выявляет потенциальные риски для своих информационных активов с помощью комбинации методов, включая:
· Рассмотрение отчетов о внутреннем и внешнем аудите
· Отчеты об инцидентах безопасности
· Аналитические отчеты об угрозах
· Оценка уязвимостей и тесты на проникновение
· Анализ влияния на бизнес
· Правовые и нормативные требования
2.1.1.2 Анализ рисков
Компания Liqvid PTE. LTD. анализирует каждый выявленный риск, чтобы определить его вероятность и влияние. При анализе учитываются следующие факторы:
· Угрозы: Потенциальные источники ущерба информационным активам
· Уязвимости: слабые места в информационных ресурсах, которые могут быть использованы угрозами.
· Вероятность: вероятность того, что риск возникнет.
· Воздействие: последствия риска в случае его возникновения.
2.1.1.3 Оценка рисков
Компания Liqvid PTE. LTD. оценивает выявленные риски, чтобы определить их уровень риска, и расставляет приоритеты на основе следующих критериев:
·· Серьезность воздействия
· Вероятность возникновения
· Существующие меры контроля и смягчения последствий
2.1.1.4 Обработка рисков
Компания Liqvid PTE. LTD. применяет меры контроля и смягчения для снижения выявленных рисков до приемлемого уровня. Процесс обработки рисков включает следующие этапы:
Определить и оценить варианты контроля
· Выбрать подходящие средства контроля на основе оценки рисков
· Внедрить средства контроля и оценить их эффективность
· Регулярно пересматривать и совершенствовать средства контроля
· Выбрать подходящие средства контроля на основе оценки рисков
· Внедрить средства контроля и оценить их эффективность
· Регулярно пересматривать и совершенствовать средства контроля
2.1.2 Управление рисками
2.1.2.1 Принятие риска
Liqvid PTE. LTD. может принять на себя определенные риски, если они будут сочтены находящимися в пределах допустимых уровней риска. Это решение принимается после консультаций с руководством и заинтересованными сторонами.
2.1.2.2 Мониторинг и анализ рисков
Компания Liqvid PTE. LTD. регулярно отслеживает и пересматривает свой процесс управления рисками, чтобы убедиться, что он остается эффективным и соответствует стандарту ISO 27001. Это включает в себя:
· Регулярные оценки рисков для выявления новых и изменяющихся рисков · Постоянный мониторинг средств контроля и мер по их снижению
· Регулярная отчетность перед руководством и заинтересованными сторонами
· Регулярные оценки рисков для выявления новых и изменяющихся рисков · Постоянный мониторинг средств контроля и мер по их снижению
· Регулярная отчетность перед руководством и заинтересованными сторонами
2.2 Классификация информации и обработка: Liqvid PTE. LTD. классифицирует свои информационные активы на основе их секретности и внедряет соответствующие средства контроля для обработки, хранения и передачи этих активов.
2.2.1 Сфера применения
Настоящая политика классификации и обработки информации применяется ко всем информационным активам компании Liqvid PTE. LTD., включая, но не ограничиваясь ими,:
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
2.2.2 Критерии классификации информации
Liqvid PTE. LTD. классифицирует свои информационные активы на основе следующих критериев:
· Конфиденциальность: степень, в которой информация должна быть защищена от несанкционированного раскрытия или доступа
· Целостность: степень, в которой информация должна быть защищена от несанкционированного изменения, удаления или уничтожения
· Доступность: степень, в которой информация должна быть доступна авторизованным пользователям при необходимости.
· Конфиденциальность: степень, в которой информация должна быть защищена от несанкционированного раскрытия или доступа
· Целостность: степень, в которой информация должна быть защищена от несанкционированного изменения, удаления или уничтожения
· Доступность: степень, в которой информация должна быть доступна авторизованным пользователям при необходимости.
2.2.3 Критерии классификации информации
Liqvid PTE. LTD. классифицирует свои информационные активы на основе следующих критериев:
· Конфиденциальность: степень, в которой информация должна быть защищена от несанкционированного раскрытия или доступа
· Целостность: степень, в которой информация должна быть защищена от несанкционированного изменения, удаления или уничтожения
· Доступность: степень, в которой информация должна быть доступна авторизованным пользователям при необходимости.
· Конфиденциальность: степень, в которой информация должна быть защищена от несанкционированного раскрытия или доступа
· Целостность: степень, в которой информация должна быть защищена от несанкционированного изменения, удаления или уничтожения
· Доступность: степень, в которой информация должна быть доступна авторизованным пользователям при необходимости.
2.2.4 Уровни классификации информации
Liqvid PTE. LTD. классифицирует свои информационные ресурсы по следующим категориям:
· Публичная: информация, предназначенная для широкого общественного потребления и не требующая какой-либо специальной обработки или защиты.
· Внутренняя: информация, предназначенная только для внутреннего использования и не подлежащая передаче внешним сторонам.
· Конфиденциальная: информация, которая является чрезвычайно важной и требует самого высокого уровня защиты. Сюда входит финансовая информация, личная информация и интеллектуальная собственность.
· Публичная: информация, предназначенная для широкого общественного потребления и не требующая какой-либо специальной обработки или защиты.
· Внутренняя: информация, предназначенная только для внутреннего использования и не подлежащая передаче внешним сторонам.
· Конфиденциальная: информация, которая является чрезвычайно важной и требует самого высокого уровня защиты. Сюда входит финансовая информация, личная информация и интеллектуальная собственность.
2.2.5 Требования к обработке информации
Компания Liqvid PTE. LTD. применяет соответствующие требования к обработке, основанные на уровнях классификации информации, для обеспечения конфиденциальности, целостности и доступности информации. Это включает в себя следующее:
· Контроль доступа: Доступ к конфиденциальной информации предоставляется только уполномоченному персоналу.
· Шифрование: Конфиденциальная информация шифруется при хранении или передаче.
· Удаление: Конфиденциальная информация удаляется надежно.
· Реагирование на инциденты: на инциденты, связанные с конфиденциальной информацией, принимаются своевременные и эффективные меры реагирования.
· Контроль доступа: Доступ к конфиденциальной информации предоставляется только уполномоченному персоналу.
· Шифрование: Конфиденциальная информация шифруется при хранении или передаче.
· Удаление: Конфиденциальная информация удаляется надежно.
· Реагирование на инциденты: на инциденты, связанные с конфиденциальной информацией, принимаются своевременные и эффективные меры реагирования.
2.2.6 Процедуры обращения
Liqvid PTE. LTD. разрабатывает и внедряет процедуры обращения с информационными активами на основе их уровней классификации. Эти процедуры включают в себя:
· Идентификацию информационных активов и их уровней классификации
· Требования к обращению с ними для каждого уровня классификации
· Требования к контролю доступа
· Процедуры шифрования и дешифрования · Процедуры реагирования на инциденты
· Идентификацию информационных активов и их уровней классификации
· Требования к обращению с ними для каждого уровня классификации
· Требования к контролю доступа
· Процедуры шифрования и дешифрования · Процедуры реагирования на инциденты
2.3 Контроль доступа: Компания Liqvid PTE. LTD. осуществляет контроль доступа для обеспечения того, чтобы только уполномоченные лица имели доступ к ее информационным ресурсам.
2.3.1 Сфера применения
Настоящая политика контроля доступа применяется ко всем информационным ресурсам компании Liqvid PTE. LTD., включая, но не ограничиваясь ими:
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
2.3.2 Цели контроля доступа
Целями политики контроля доступа являются следующие:
· Обеспечение того, чтобы доступ к информационным ресурсам предоставлялся только уполномоченным лицам
· Защита конфиденциальности, целостности и доступности информационных ресурсов
· Предотвращение несанкционированного доступа, использования, раскрытия, изменения или уничтожения информационных ресурсов
· Обеспечение того, чтобы доступ к информационным ресурсам предоставлялся только уполномоченным лицам
· Защита конфиденциальности, целостности и доступности информационных ресурсов
· Предотвращение несанкционированного доступа, использования, раскрытия, изменения или уничтожения информационных ресурсов
2.3.3 Требования к контролю доступа
Liqvid PTE. LTD. реализует следующие требования к управлению доступом:
· Идентификация и аутентификация: Пользователи идентифицируются и проходят аутентификацию перед получением доступа к информационным ресурсам.
· Политики управления доступом: Политики управления доступом применяются для определения того, какой доступ предоставляется пользователям в зависимости от их роли и обязанностей.
· Авторизация: Пользователи имеют право доступа только к тем информационным ресурсам, которые необходимы для выполнения их должностных обязанностей.
· Минимальные привилегии: пользователям предоставляется минимальный уровень доступа, необходимый для выполнения их должностных обязанностей.
· Разделение обязанностей: пользователям с противоречивыми ролями или обязанностями не предоставляется доступ к одним и тем же информационным ресурсам.
· Удаленный доступ: Удаленный доступ предоставляется только авторизованному персоналу и защищен с помощью соответствующих методов шифрования.
· Реагирование на инциденты: Реагирование на инциденты, связанные с несанкционированным доступом к информационным ресурсам, осуществляется своевременно и эффективно.
· Идентификация и аутентификация: Пользователи идентифицируются и проходят аутентификацию перед получением доступа к информационным ресурсам.
· Политики управления доступом: Политики управления доступом применяются для определения того, какой доступ предоставляется пользователям в зависимости от их роли и обязанностей.
· Авторизация: Пользователи имеют право доступа только к тем информационным ресурсам, которые необходимы для выполнения их должностных обязанностей.
· Минимальные привилегии: пользователям предоставляется минимальный уровень доступа, необходимый для выполнения их должностных обязанностей.
· Разделение обязанностей: пользователям с противоречивыми ролями или обязанностями не предоставляется доступ к одним и тем же информационным ресурсам.
· Удаленный доступ: Удаленный доступ предоставляется только авторизованному персоналу и защищен с помощью соответствующих методов шифрования.
· Реагирование на инциденты: Реагирование на инциденты, связанные с несанкционированным доступом к информационным ресурсам, осуществляется своевременно и эффективно.
2.3.4 Контроль доступа пользователей
Liqvid PTE. LTD. разрабатывает и внедряет процедуры предоставления и отзыва доступа пользователей к информационным ресурсам. Эти процедуры включают в себя:
· Идентификацию и аутентификацию пользователя
· Процедуры авторизации
· Минимальные привилегии и разделение обязанностей
· Управление паролями и учетными записями
· Процедуры удаленного доступа
· Процедуры реагирования на инциденты
· Идентификацию и аутентификацию пользователя
· Процедуры авторизации
· Минимальные привилегии и разделение обязанностей
· Управление паролями и учетными записями
· Процедуры удаленного доступа
· Процедуры реагирования на инциденты
2.3.5 Контроль доступа к сети
Liqvid PTE. LTD. разрабатывает и внедряет процедуры контроля доступа к своим ИТ-системам и сетям. Эти процедуры включают в себя:
· Сегментацию сети
· Правила и конфигурации брандмауэра
· Обнаружение и предотвращение вторжений
· Мониторинг безопасности
· Процедуры реагирования на инциденты
· Сегментацию сети
· Правила и конфигурации брандмауэра
· Обнаружение и предотвращение вторжений
· Мониторинг безопасности
· Процедуры реагирования на инциденты
2.3.6 Физический контроль доступа
Liqvid PTE. LTD. разрабатывает и внедряет процедуры контроля физического доступа к своим объектам и оборудованию. Эти процедуры включают в себя:
· Системы контроля доступа
· Процедуры управления посетителями
· Мониторинг физической безопасности
· Процедуры реагирования на инциденты
· Обучение и повышение осведомленности
· Системы контроля доступа
· Процедуры управления посетителями
· Мониторинг физической безопасности
· Процедуры реагирования на инциденты
· Обучение и повышение осведомленности
2.4 Управление инцидентами: Компания Liqvid PTE. LTD. внедрила процесс управления инцидентами для выявления инцидентов безопасности, реагирования на них и восстановления после них.
2.4.1 Сфера применения
Настоящая политика управления инцидентами применяется ко всем информационным ресурсам компании Liqvid PTE. LTD., включая, но не ограничиваясь ими,:
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
· ИТ-системы и сети
· Программные приложения
· Базы данных
· Облачные сервисы
· Мобильные устройства
· Физические активы
· Интеллектуальную собственность
2.4.2 Цели управления инцидентами
2.3.2 Цели контроля доступа
Политика управления инцидентами преследует следующие цели:
· Свести к минимуму воздействие инцидентов безопасности на информационные активы Liqvid PTE. LTD.
· Предотвратить повторение инцидентов безопасности
· Поддерживать доступность, целостность и конфиденциальность информационных активов
· Соблюдать правовые и нормативные требования, связанные с отчетностью об инцидентах и управлением ими.
· Свести к минимуму воздействие инцидентов безопасности на информационные активы Liqvid PTE. LTD.
· Предотвратить повторение инцидентов безопасности
· Поддерживать доступность, целостность и конфиденциальность информационных активов
· Соблюдать правовые и нормативные требования, связанные с отчетностью об инцидентах и управлением ими.
2.4.3 Требования к управлению инцидентами
Liqvid PTE. LTD. реализует следующие требования к управлению инцидентами:
· Отчетность об инцидентах: Обо всех инцидентах, связанных с безопасностью, необходимо сообщать в Группу реагирования на инциденты (IRT) как можно скорее.
· Классификация инцидентов: Инциденты классифицируются в соответствии с их серьезностью и воздействием на информационные активы.
· Реагирование на инциденты: IRT своевременно и эффективно реагирует на инциденты безопасности.
· Расследование инцидентов: IRT исследует первопричину инцидентов безопасности, чтобы предотвратить их повторение.
· Документирование инцидентов: Все инциденты безопасности и способы их устранения документируются для дальнейшего использования.
· Информирование об инцидентах: Все заинтересованные стороны уведомляются об инцидентах безопасности и их разрешении по мере необходимости.
· Анализ инцидентов: Процесс управления инцидентами регулярно пересматривается для обеспечения его эффективности
· Отчетность об инцидентах: Обо всех инцидентах, связанных с безопасностью, необходимо сообщать в Группу реагирования на инциденты (IRT) как можно скорее.
· Классификация инцидентов: Инциденты классифицируются в соответствии с их серьезностью и воздействием на информационные активы.
· Реагирование на инциденты: IRT своевременно и эффективно реагирует на инциденты безопасности.
· Расследование инцидентов: IRT исследует первопричину инцидентов безопасности, чтобы предотвратить их повторение.
· Документирование инцидентов: Все инциденты безопасности и способы их устранения документируются для дальнейшего использования.
· Информирование об инцидентах: Все заинтересованные стороны уведомляются об инцидентах безопасности и их разрешении по мере необходимости.
· Анализ инцидентов: Процесс управления инцидентами регулярно пересматривается для обеспечения его эффективности
2.4.4 Сообщение об инцидентах
Обо всех инцидентах безопасности необходимо сообщать в Группу реагирования на инциденты (IRT), используя следующие процедуры:
· Идентифицируйте инцидент и задокументируйте детали, включая дату и время инцидента, затронутые информационные ресурсы и вовлеченных лиц.
· Уведомите IRT как можно скорее, предоставив всю необходимую информацию.
· IRT подтвердит факт инцидента и присвоит ему уникальный идентификатор.
· IRT классифицирует инцидент в соответствии с его серьезностью и воздействием на информационные ресурсы.
· Идентифицируйте инцидент и задокументируйте детали, включая дату и время инцидента, затронутые информационные ресурсы и вовлеченных лиц.
· Уведомите IRT как можно скорее, предоставив всю необходимую информацию.
· IRT подтвердит факт инцидента и присвоит ему уникальный идентификатор.
· IRT классифицирует инцидент в соответствии с его серьезностью и воздействием на информационные ресурсы.
2.4.5 Реагирование на инциденты
IRT реагирует на инциденты безопасности, используя следующие процедуры:
· IRT определяет соответствующие меры реагирования на основе классификации инцидента и воздействия на информационные активы.
· IRT фиксирует инцидент, чтобы предотвратить дальнейший ущерб информационным активам.
· IRT расследует инцидент, чтобы выявить первопричину и предотвратить его повторение.
· IRT при необходимости координирует свои действия с другими подразделениями и внешними сторонами.
· IRT устраняет инцидент и возвращает затронутые информационные ресурсы в нормальное состояние.
· IRT документирует инцидент и его разрешение для дальнейшего использования.
· IRT определяет соответствующие меры реагирования на основе классификации инцидента и воздействия на информационные активы.
· IRT фиксирует инцидент, чтобы предотвратить дальнейший ущерб информационным активам.
· IRT расследует инцидент, чтобы выявить первопричину и предотвратить его повторение.
· IRT при необходимости координирует свои действия с другими подразделениями и внешними сторонами.
· IRT устраняет инцидент и возвращает затронутые информационные ресурсы в нормальное состояние.
· IRT документирует инцидент и его разрешение для дальнейшего использования.
2.4.6 Сообщение об инциденте
IRT взаимодействует с заинтересованными сторонами, используя следующие процедуры:
· IRT уведомляет всех затронутых лиц и подразделения об инциденте и его разрешении.
· IRT при необходимости взаимодействует с внешними сторонами, такими как регулирующие органы, правоохранительные органы и клиенты.
· IRT регулярно предоставляет обновленную информацию об инциденте и его разрешении.
· IRT уведомляет всех затронутых лиц и подразделения об инциденте и его разрешении.
· IRT при необходимости взаимодействует с внешними сторонами, такими как регулирующие органы, правоохранительные органы и клиенты.
· IRT регулярно предоставляет обновленную информацию об инциденте и его разрешении.
2.5 Обеспечение непрерывности бизнеса и аварийного восстановления: Компания Liqvid PTE. LTD. разработала план обеспечения непрерывности бизнеса и аварийного восстановления, чтобы обеспечить доступность своих информационных ресурсов в случае сбоя.
3. Роли и обязанности
Компания Liqvid PTE. LTD. назначает конкретные роли и обязанности для обеспечения эффективного внедрения и поддержания своей политики информационной безопасности и СУИБ. Эти роли включают:
3.1 Менеджер по информационной безопасности: Отвечает за разработку, внедрение и техническое обслуживание ISMS.
3.2 Владельцы информационных активов: Несут ответственность за классификацию и защиту конфиденциальности, целостности и доступности своих соответствующих информационных активов.
3.3 Сотрудники: Ответственные за соблюдение настоящей политики и связанных с ней процедур, а также за сообщение о любых инцидентах безопасности или уязвимостях.
4. Средства контроля информационной безопасности
Liqvid PTE. LTD. реализует ряд мер по обеспечению информационной безопасности для защиты своих информационных ресурсов от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Эти меры включают:
4.1 Меры контроля доступа, такие как политика паролей, двухфакторная аутентификация и сегментация сети.
4.2 Шифрование конфиденциальных данных при передаче и в процессе хранения.
4.3 Обучение сотрудников навыкам безопасности.
4.4 Регулярное резервное копирование критически важных данных.
4.5 Мониторинг и протоколирование системной и сетевой активности.
4.6 Периодическая оценка уязвимостей и тестирование на проникновение.
5.Соблюдение требований и проверка
Liqvid PTE. LTD. регулярно пересматривает и обновляет свою Политику информационной безопасности и связанные с ней процедуры для обеспечения соответствия стандарту ISO 27001 и другим применимым законам и нормативным актам. Liqvid PTE. LTD. также проводит периодические аудиты и оценки своей СМИБ для обеспечения ее эффективности.
6. Последствия несоблюдения требований
Несоблюдение данной Политики информационной безопасности может привести к дисциплинарным взысканиям, вплоть до увольнения с работы, а также к гражданской и уголовной ответственности.
Скачать Политику информационной безопасности Liqvid