У відповідь на нове технологічне середовище, в якому конвергенція між інформаційними технологіями та комунікаціями сприяє новій парадигмі продуктивності для компаній, IT-Decision Telecom прагне підтримувати конкурентоспроможність послуг, пропонуючи відповідальну бізнес-модель, засновану на постійному пошуку економічного, соціального та екологічного балансу, де розробка передової практики в галузі інформаційної безпеки необхідна для досягнення цілей конфіденційності, цілісності, доступності та законності всієї керованої інформації.
Таким чином, IT-Decision Telecom визначає такі принципи застосування, які необхідно враховувати у рамках Системи управління інформаційною безпекою (СУІБ):
- Конфіденційність: Інформація, що обробляється IT-Decision Telecom, буде відома виключно уповноваженим особам після ідентифікації, у певний час і дозволеними засобами.
- Цілісність: інформація, що обробляється IT-Decision Telecom буде повною, точною та достовірною, а її зміст буде надано зацікавленими особами без будь-яких маніпуляцій.
- Доступність: інформація, що обробляється IT-Decision Telecom буде доступною та може використовуватися авторизованими та ідентифікованими користувачами в будь-який час, що гарантує її збереження в разі настання будь-яких передбачених подій.
- Законність: IT-Decision Telecom гарантує дотримання всього чинного законодавства або договірних вимог. Зокрема, чинних правил щодо обробки персональних даних.
З метою коректного виконання своїх базових бізнес-функцій IT-Decision Telecom допомагає в обробці різних типів даних та інформації, що підтримуються системами, програмами, комунікаційною інфраструктурою, файлами, базами даних тощо, що входять до складу основних активів IT-Decision Telecom, таким чином, що їх пошкодження або втрата вплинуть на якість їхніх послуг і можуть загрожувати безперервності діяльності організації. Щоб цього не сталося, була розроблена Політика інформаційної безпеки, основною метою якої є:
- Захист активів за допомогою засобів контролю/заходів від загроз, які можуть призвести до інцидентів у плані безпеки.
- Пом'якшення наслідків інцидентів у плані безпеки.
- Створення системи класифікації інформації та даних для захисту критично важливих інформаційних активів.
- Визначення обов'язків у питаннях інформаційної безпеки, формуючи відповідну організаційну структуру.
- Розробка набору правил, стандартів та процедур, які застосовуються до органів управління, співробітників, партнерів, зовнішніх постачальників послуг тощо.
- Специфікація наслідків недотримання Політики безпеки на робочому місці.
- Оцінка ризиків, які впливають на активи, щоб вжити відповідних заходів безпеки/контролю.
- Перевірка дії заходів безпеки/контролю Політики безпеки на робочому місці.
- Навчання користувачів управлінню безпекою та інформаційним та комунікаційним технологіям.
- Контролює трафіку інформації та даних через комунікаційну інфраструктуру або шляхом надсилання оптичних, магнітних, паперових та інших носіїв даних.
- Дотримання та виконання законодавства в частині захисту даних, інтелектуальної власності, праці, послуг інформаційного суспільства, кримінального законодавства тощо, яке стосується активів IT-Decision Telecom.
- Захист інтелектуального капіталу організації від його розкриття чи незаконного використання.
- Зменшення ймовірності недоступності за рахунок належного використання активів організації.
- Захист активів від внутрішніх чи зовнішніх атак, щоб вони не стали інцидентами в плані безпеки.
- Перевірка дії заходів безпеки, з'ясувавши кількість інцидентів, їх характер та наслідки.
Керівництво IT-Decision Telecom бере на себе відповідальність за підтримку та сприяння встановленню необхідних організаційних, технічних та контрольних заходів для дотримання цієї Політики інформаційної безпеки. А також за надання ресурсів, необхідних для максимально швидкого та ефективного усунення невідповідностей та інцидентів інформаційної безпеки, які можуть виникнути, та здійснення необхідних заходів для уникнення їх повторення.
Ця Політика підтримуватиметься, оновлюватиметься та відповідатиме цілям організації, узгоджуючись із контекстом управління ризиками організації. Для цієї мети вона буде переглядатися через заплановані проміжки часу або щоразу, коли виникатимуть суттєві зміни, щоб забезпечити збереження її актуальності, адекватності та ефективності.
Аналогічно встановлюється формально визначена процедура оцінки ризиків для управління ризиками, з якими стикається IT-Decision Telecom.
Зі свого боку, всі політики та процедури, включені до СУІБ, будуть розглядатися, затверджуватися та просуватися керівництвом IT-Decision Telecom.