Політика інформаційної безпеки
ЗАТВЕРДЖЕНО наказом АТ «Укртранснафта» від 28 серпня 2019 року №413

ВСТУП

Політика інформаційної безпеки Акціонерного товариства «Укртранснафта» (далі – Політика) визначає основні методи та принципи управління інформаційною безпекою в АТ «Укртранснафта»
(далі – Товариство).

Метою Політики є впровадження та ефективне функціонування системи управління інформаційною безпекою (далі – СУІБ), яка буде забезпечувати захист інформації та ресурсів Товариства від зовнішніх і внутрішніх загроз та загроз, які пов’язані з навмисними та ненавмисними діями працівників Товариства, забезпечувати безперервну роботу Товариства, сприяти мінімізації ризиків операційної діяльності Товариства та створювати позитивну репутацію Товариству при роботі з клієнтами.

Товариство застосовує ризик-орієнтовний підхід, який забезпечує розуміння, моніторинг та зменшення ризиків операційної діяльності.

Товариство застосовує міжнародні стандарти та найкращі практики у сфері інформаційної безпеки.

Політика розроблена відповідно до вимог п.п.5.1.1, А.5.1.2, А.6.1.1, А.6.1.2, А.8.1.2, А.16.1.2 стандарту ISO/IEC 27001:2013.

СФЕРА ЗАСТОСУВАНЬ

Політика розповсюджується на Товариство у цілому і повинна використовуватися для всіх критичних бізнес-процесів, апаратних пристроїв та програмних продуктів Товариства, а також при взаємодії з третіми сторонами.

 

УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Цілі і вимірювання досягнення цілей:

Політка інформаційної безпеки визначає цілі та вимоги в області інформаційної безпеки, якими Товариство керується в своїй діяльності.

Основними цілями системи управління інформаційною безпекою є:

  • досягнення іміджу надійного партнера на ринку послуг шляхом пом’якшення наслідків у випадках виникнення потенційних інцидентів;
  • досягнення бізнес-цілей організації шляхом забезпечення реалізації бізнес-планів;
  • забезпечення дотримання вимог чинного законодавства;
  • мінімізація потенційних збитків від інцидентів інформаційної безпеки;
  • забезпечення інноваційного розвитку та технологічного лідерства Товариства.

Цілі для заходу безпеки або групи заходів безпеки визначаються у відповідному положенні, яке затверджується в установленому в Товаристві порядку.

Усі цілі повинні переглядатися на регулярній основі, не рідше одного разу на рік.

Прийнята Товариством системність підходу до управління інформаційною безпекою, означає, зокрема, забезпечення узгодженості процесів та дій здійснених в області безпеки:

  • з умовами середовища, у якому функціонує Товариство;
  • зі стратегією та бізнес-цілями Товариства;
  • з результатами оцінки ризиків та можливостей;
  • з результатами оцінки ефективності системи управління та впровадження засобів захисту;
  • зі всіма аспектами управління діяльністю та інформаційними технологіями Товариства.

Всі проекти, які пов’язані з впровадженням нових інформаційних технологій, узгоджуються з політиками інформаційної безпеки.

Всі дії щодо інформаційної безпеки, які впливають на функціонування критичних процесів/послуг/бізнес-продуктів, повинні бути узгоджені з представниками структурних підрозділів Товариства, які відповідають за забезпечення функціонування цих процесів/послуг/продуктів.

Детальні принципи та засоби забезпечення інформаційної безпеки, що враховує специфіку окремих вертикалей функціонування та діяльності Товариства, визначені в документах, пов’язаних з цією Політикою –положеннях, процедурах та інструкціях.

Ролі та обов’язки

  • Генеральний директор Товариства здійснює загальне керівництво інформаційною безпекою в Товаристві, визначає пріоритетні напрямки розвитку інформаційної безпеки.
  • Директор з безпеки:
    • здійснює безпосереднє керівництво процесом організації та управління інформаційною безпекою в Товаристві;
    • забезпечує контроль за дотриманням усіма працівниками встановлених вимог інформаційної безпеки.
  • Топ-менеджмент Товариства:
    • сприяє створенню, впровадженню, контролю і підтримці та розвитку СУІБ;
    • забезпечує усіма необхідними ресурсами;
    • є відповідальними за перегляд і оновлення основних цілей СУІБ відповідно до цілей бізнесу;
    • усвідомлює, що інформаційна безпека є основою життєдіяльності Товариства.
  • У Товаристві створений та постійно працює керівний орган з питань інформаційної безпеки – Комітет з управління ІТ-ризиками
    АТ «Укртранснафта»
    (далі – Комітет), рішення якого є обов’язковими для виконання всіма працівниками Товариства. Комітет є відповідальним за координацію процесів СУІБ, за своєчасний перегляд СУІБ, а також за складання звітності про ефективність СУІБ. Перегляд СУІБ повинен обов’язково переглядатись Комітетом не рідше одного разу на рік або у випадку істотних змін в роботі Товариства.
  • Кожен працівник Товариства забезпечує підтримку відповідного рівня інформаційної безпеки. В межах своїх службових обов’язків та повноважень працівники повинні виконувати та відповідати за виконання вимог Політики, законодавчих, регуляторних і внутрішніх норм і несуть відповідальність за їхні порушення згідно із чинним законодавством України та організаційно-розпорядчими документами Товариства.
  • Власники інформаційних активів є відповідальними за захист конфіденційності, цілісності і доступності своїх активів.
  • Кожен працівник або особа, яка співпрацює з Товариством зобов’язаний сприяти діяльності щодо досягнення та підтримання відповідного рівня інформаційної безпеки в Товаристві в обсязі, що відповідає його службовим обов’язкам та наданим повноваженням.

Вимоги інформаційної безпеки:

Ця політика, як і СУІБ в цілому, повинні відповідати правовим і нормативним вимогами, що мають відношення до Товариства у сфері інформаційної безпеки, а також договірним зобов’язаннями.

Вимоги Політики доводяться до персоналу Товариства під час прийому на роботу (під час інструктажу), а також шляхом розміщення Політики на корпоративних ресурсах та ресурсах загального доступу. Треті сторони обов’язково ознайомлюються з Політикою під час укладення договорів (у тому числі договорів конфіденційності).

В межах своїх службових обов’язків та повноважень працівники повинні дотримуватись вимог цієї Політики і законодавчих норм та нести відповідальність за їхнє порушення згідно із законодавством України.

У Товаристві реалізовано програму підвищення обізнаності працівників в питаннях інформаційної безпеки. Програма включає в себе різні методи інформування та навчання працівників, такі як використання розсилок, заміток, тематичних зборів, навчання за допомогою веб-технологій тощо.

Безперервність бізнесу:

У Товаристві визначений процес управління безперервністю бізнесу.

У Товаристві складаються, діють, тестуються та оновляються плани забезпечення безперебійного функціонування на випадок непередбачених критичних ситуацій під керуванням голови Комітету.

ПРИКІНЦЕВІ ПОЛОЖЕННЯ

Політика переглядається за необхідності, але не менш ніж одного разу на рік.

Для оцінки ефективності цього документа можуть використовуватися такі критерії:

  • кількість працівників і зовнішніх сторін, які мають роль в СУІБ і які не ознайомлені із справжньою Політикою;
  • невідповідність СУІБ вимогам законодавства, договірним зобов’язанням або вимогам організаційно-розпорядчих документів Товариства;
  • неефективність впровадження або підтримки СУІБ;
  • нечіткі обов’язки ролей впровадження і підтримки СУІБ.

У разі виникнення проблемних ситуацій, не передбачених цією Політикою, їх розглядають у робочому порядку всі зацікавлені сторони.