Політика безпеки

Політика безпеки

Безпека пристроїв, даних та передач є нашим найвищим пріоритетом. Тому наша політика безпеки враховує специфіку наших послуг і конкретні політики безпеки ІТ-систем наших клієнтів.
Нижче наведено базовий документ про політику безпеки, на якому базуються наші послуги.


Політика безпеки DATAHOUSE.PL/ETOP SP. Z O.O.

1 Цілі політики безпеки.

1.1 Основною метою цього документа є викладення основних принципів роботи з безпеки власних та довірених ІТ-ресурсів.
1.2 Основними завданнями вважаються
1.2.2 - захист від втрати даних.
1.2.3 - підтримання безперервності надання послуг.
1.2.3 - запобігання несанкціонованому доступу до ІТ ресурсів.
1.2.4. дотримання належних процедур у відносинах з іншими операторами та державними органами.
2. Фізична та технічна безпека ресурсів.

2.1 Принципи фізичного доступу до інфраструктури.
2.1.1 Фізичний доступ до приміщень та обладнання дата-центру надається лише уповноваженим працівникам, які мають відповідні повноваження та навички.
2.1.2 Фізичний доступ до приміщень та обладнання центру обробки даних третіх осіб, які є клієнтами, можливий лише за сприяння осіб, зазначених у пункті 2.1.1.
2.1.3 Фізичний доступ до приміщень та обладнання центру обробки даних субпідрядників та інших осіб, які виконують роботи для компанії, можливий лише на підставі договору або дозволу, що нагадує та санкціонує принципи, описані в цьому документі.
2.1.4 Доступ до обладнання та приміщень клієнта особам, не уповноваженим представниками клієнта, заборонений. Дозвіл повинен бути наданий у письмовій або постійній електронній формі. Уповноважені співробітники компанії мають доступ на загальних підставах.
2.1.5 Фізичний доступ до приміщень та обладнання дата-центру повинен бути письмово зареєстрований у журналі. Доступ до приміщень та обладнання працівників або осіб з електронними картками доступу повинен реєструватися в електронному журналі.
2.1.6 Детальні правила фізичного доступу викладені у внутрішній процедурі, встановленій Правлінням.

2.2 Застосування технічних рішень.
2.2.1 Електроживлення обладнання, розташованого в дата-центрі, базується на триступеневій системі резервного електроживлення. Система електроживлення включає в себе резервне джерело безперебійного живлення (ДБЖ), систему генераторів та мультиплікацію зовнішніх джерел живлення.
2.2.2 Електроживлення обладнання, розташованого в дата-центрі, повинно бути внутрішньо резервованим, якщо інше не передбачено окремим договором.
2.2.3 Критично важливе для безперервності роботи обладнання повинно мати резервне електроживлення на основі відокремлених ліній електропередач.
2.2.4 Приміщення дата-центру повинно бути захищене системою пожежної сигналізації.
2.2.5 Приміщення дата-центру, в яких розміщено активне обладнання та обладнання, критичне для безперервності надання послуг, захищаються автоматичною системою пожежогасіння.
2.2.6. Приміщення дата-центру та комунікаційні канали контролюються системою відеоспостереження із записом.
2.2.7 Приміщення дата-центру захищене системою сигналізації з можливістю запису подій.
2.2.8 Доступ до приміщень дата-центру контролюється системою доступу з фіксацією подій.
2.2.9. Основне мережеве обладнання працює в дублюючій кластерній або "mesh" системі.
2.2.10. Найбільш важливі для стабільності надання послуг мережеві з'єднання мають внутрішнє резервування (захист).
2.2.11. У випадку, якщо виявлено, що певний компонент системи вибув з ладу більше ніж на 80%, має бути проведена його модернізація в найкоротші терміни.
2.2.12. Приміщення дата-центру цілодобово охороняються штатними співробітниками служби безпеки та виїзними бригадами у разі надходження тривожного сигналу від ІТ-систем.
2.2.13. Зовнішні мережеві з'єднання дата-центру з резервуванням прокладені через окремі географічні маршрути.2.2.14. Будівельна конструкція приміщень коворкінгу враховує необхідність захисту від впливу можливих ризиків пожежі, крадіжки зі зломом та затоплення шляхом використання відповідних матеріалів та спеціалізованих технічних рішень.

3. Логічна безпека.


3.1 Логічний доступ до власного обладнання дата-центру можливий лише для уповноважених осіб, які мають відповідні права та навички.
3.2 Логічний доступ до даних, розміщених на обладнанні, що перебуває у власності або в оренді третіх осіб, можливий лише на умовах договору або замовлення, після надання суб'єктом, що володіє або орендує обладнання, даних для доступу в письмовій або електронній формі.
3.3 Логічний доступ до ІТ-систем, розташованих у дата-центрі, здійснюється на основі системи паролів та списків доступу.
3.4 Доступ до конфігурації та управління системами, критично важливими для безперервності надання послуг, а також до систем реєстрації та моніторингу можливий лише для персоналу, уповноваженого керівництвом. Такими системами вважаються системи основного електроживлення, моніторингу фізичного доступу та спостереження за журналюванням.
3.5 Усі дані, отримані у зв'язку з доступом до власних даних та даних, що належать клієнту, є конфіденційними і не можуть бути передані третім особам на будь-якому праві, якщо тільки така передача не передбачена іншими правовими або договірними положеннями.
3.6 Якщо клієнт втрачає доступ до даних, такий доступ може бути відновлений лише на підставі розпорядження, підписаного законно уповноваженим представником клієнта або уповноваженою ним особою. Таке розпорядження має бути в письмовій формі або в постійній електронній формі.
3.7 Передача будь-якого доступу до логічних ресурсів будь-якій третій особі, уповноваженій на отримання такого доступу, повинна бути здійснена в письмовій формі або в постійній електронній формі за умови, що ця особа негайно змінить ключ або пароль на інший, ніж той, що був переданий.
3.8 Логіка мережевого з'єднання центру обробки даних повинна враховувати його надлишковий характер шляхом використання резервних систем комутації та протоколів динамічної маршрутизації.
3.9 Після припинення надання певної послуги або остаточного виведення з експлуатації певного власного пристрою дані, що містяться на носіях, або конфігураційні дані виведеного з експлуатації пристрою, видаляються безповоротно.
3.10 Деталі вирішення питань логічного доступу центру обробки даних описані у внутрішніх процедурах логічного доступу та обробки під час запуску та припинення надання послуг.
3.11 Конфігурація спільних ресурсів унеможливлює взаємний доступ до даних на них різних суб'єктів.
3.12 Доступ до конфігурації або моніторингу спільного ресурсу можливий тільки для уповноважених співробітників компанії.
3.13 Дані моніторингу, що стосуються конкретного клієнта, можуть бути надані тільки особі, уповноваженій цим клієнтом, і тільки в тій мірі, в якій вони стосуються виключно послуг, що надаються цьому клієнту.
3.14 Дані глобального моніторингу можуть бути загальнодоступними тільки в тому випадку, якщо їх оприлюднення не може вплинути на конфіденційність даних моніторингу відповідної послуги або клієнта.
3.15 Системи моніторингу мережевого трафіку повинні бути оснащені механізмами блокування зловмисних зовнішніх атак і системами зменшення втручання у внутрішні мережеві системи.
3.16 Забороняється надавати третім особам доступ до обладнання для моніторингу, яке є спільним для декількох суб'єктів. Доступ до таких систем або їх конфігурацій можливий лише для обладнання, яке повністю використовується або належить одному замовнику.
3.17 Мережа управління відокремлена від виробничої мережі та обмежена центром обробки даних.
3.18 Ключові дані захищені циклічним резервним копіюванням. Кількість копій та спосіб їх зберігання визначаються внутрішніми процедурами.
3.19 Дані клієнтів підлягають захищеному копіюванню на договірній основі.

4 Правила обробки подій в інформаційних системах.

4.1 Основні пріоритети процедур обробки подій наведені в порядку їх важливості:
4.1.1 - захист даних від втрати
4.1.2 - захист даних від несанкціонованого доступу
4.1.3 - підтримання або відновлення системи або послуги, про яку йдеться
4.1.4 - інформування залучених осіб (клієнтів або інших осіб, які постраждали від інциденту)
4.1.5 - аналіз причин інциденту та їх усунення або зменшення ймовірності їх виникнення в майбутньому
4.2 Види інцидентів.
4.2.1 Незаплановані події мають пріоритет над запланованими подіями.
4.2.2 Критичні події, тобто події, що перешкоджають коректній роботі сервісу, мають пріоритет над усіма іншими типами подій.
4.2.3 Заплановані події повинні оброблятися після консультацій з тими, на кого вони можуть негативно вплинути, і в найменш неприємний для них час.
4.3 Інші правила обробки інцидентів.
4.3.1 Про критичні події, що глобально впливають на роботу системи дата-центру, необхідно негайно повідомляти керівництво дата-центру.
4.3.2 При виявленні можливості виникнення критичного інциденту персонал дата-центру зобов'язаний вжити негайних заходів для захисту даних від втрати, включаючи відключення доступу до загрозливого пристрою або системи.
4.3.3 До того часу, поки керівник або керівництво центру обробки даних не призначить відповідальну особу, співробітник, який першим дізнався про інцидент, несе відповідальність за його врегулювання.
4.3.4 Детальні правила обробки інциденту визначені у внутрішніх процедурах і в договорі з окремим клієнтом.

5 Принципи співпраці з іншими операторами та державними органами.

5.1 Принципи співпраці з іншими операторами.
5.1.1 Центр обробки даних проводить відкриту політику щодо обміну трафіком із зовнішніми операторами.
5.1.2 У разі виявлення порушень цілісності з'єднань або їх використання у спосіб, що може поставити під загрозу безпеку мережі, такі з'єднання блокуються до з'ясування обставин.
5.2 Правила взаємодії з державними органами.
5.2.1 У відносинах з державними органами центр обробки даних, як юридична особа та оператор телекомунікацій, надає дані на законних підставах, що випливають з відповідних нормативно-правових актів або постанов суду чи прокурора.
5.2.2 Центр обробки даних виключає передачу конфіденційних даних або доступ до даних на будь-якій іншій підставі, ніж 5.2.1.

6. Інше

6.1 Усі інші конкретні правила визначені у внутрішніх процедурах. Через їхній рівень конфіденційності вони можуть бути показані третім особам. 6.2 Будь-яке розкриття змісту внутрішніх процедур третім особам має бути санкціоноване Радою директорів.
6.3 Усі процедури, що стосуються питань безпеки, відповідають стандарту ISO 27001.