- ներածություն
Անվտանգության այս քաղաքականության նպատակն է ուրվագծել այն միջոցներն ու գործելակերպերը, որոնք Allamex™-ն ընդունում է՝ ապահովելու մեր համակարգերի և տվյալների գաղտնիությունը, ամբողջականությունը և հասանելիությունը: Այս քաղաքականությունը վերաբերում է բոլոր աշխատակիցներին, կապալառուներին և երրորդ կողմի կազմակերպություններին, որոնք հասանելի են մեր համակարգերին և տեղեկատվությանը: Այս քաղաքականությանը հետևելը պարտադիր է մեր բիզնեսի և հաճախորդների տեղեկությունները չարտոնված մուտքից, բացահայտումից, փոփոխությունից կամ ոչնչացումից պաշտպանելու համար:
- Մուտք Վերահսկում
2.1Օգտագործողի հաշիվներ.
- Օգտատերերի հաշիվներ կստեղծվեն բոլոր աշխատողների և կապալառուների համար, ովքեր մուտք են գործում մեծածախ առցանց բիզնես համակարգեր:
- Օգտատերերի հաշիվները կտրամադրվեն նվազագույն արտոնությունների սկզբունքի հիման վրա՝ ապահովելով, որ անհատները հասանելի լինեն միայն իրենց աշխատանքային պարտականությունները կատարելու համար անհրաժեշտ ռեսուրսներին:
- Կգործադրվեն ուժեղ գաղտնաբառեր, որոնք պահանջում են մեծ և փոքրատառ տառերի, թվերի և հատուկ նիշերի համադրություն:
- Բազմգործոն նույնականացումը (MFA) կիրականացվի բոլոր օգտատերերի հաշիվների համար՝ անվտանգության լրացուցիչ շերտ ապահովելու համար:
2.2Երրորդ կողմի մուտք.
- Երրորդ կողմի մուտքը մեր համակարգեր և տվյալներ կտրամադրվի միայն անհրաժեշտության դեպքում:
- Երրորդ կողմերից կպահանջվի ստորագրել գաղտնիության համաձայնագիր և հետևել անվտանգության չափանիշներին և գործելակերպին, որը համապատասխանում է մեր ստանդարտներին:
- Տվյալների պաշտպանություն
3.1Տվյալների դասակարգում:
-
- Բոլոր տվյալները կդասակարգվեն՝ ելնելով դրանց զգայունությունից և կարևորությունից՝ պաշտպանության համապատասխան մակարդակները որոշելու համար:
- Տվյալների դասակարգման ուղեցույցներ կտրամադրվեն աշխատակիցներին՝ ապահովելու տվյալների պատշաճ մշակումը, պահպանումը և փոխանցումը:
3.2Տվյալների գաղտնագրում.
-
- Զգայուն տվյալների փոխանցումը կգաղտնագրվի՝ օգտագործելով արդյունաբերության ստանդարտ գաղտնագրման արձանագրությունները, ինչպիսիք են SSL/TLS:
- Գաղտնագրման մեխանիզմները կիրականացվեն հանգստի ժամանակ տվյալները պաշտպանելու համար, հատկապես այնտեղ պահվող զգայուն տեղեկատվության համար
- տվյալների բազաներ և ֆայլային համակարգեր:
3.3Տվյալների կրկնօրինակում և վերականգնում.
-
- Կարևորագույն տվյալների կանոնավոր կրկնօրինակումները կկատարվեն և ապահով կերպով կպահվեն տեղից դուրս:
- Կրկնօրինակման ամբողջականությունը և վերականգնման գործընթացները պարբերաբար կփորձարկվեն՝ աղետի դեպքում տվյալների վերականգնումն ապահովելու համար:
4.Ցանցային անվտանգություն
-
- Firewalls և ներխուժման հայտնաբերման համակարգեր.
- Firewall-ները և ներխուժման հայտնաբերման համակարգերը կտեղակայվեն՝ պաշտպանելու մեր ցանցային ենթակառուցվածքը չարտոնված մուտքի փորձերից և վնասակար գործողություններից:
- Ցանցային տրաֆիկի կանոնավոր մոնիտորինգ և վերլուծություն կիրականացվի՝ բացահայտելու և արձագանքելու անվտանգության հետ կապված ցանկացած հնարավոր միջադեպին:
4.1Անվտանգ հեռակառավարման հասանելիություն.
-
- Հեռակա մուտքը մեր համակարգեր թույլատրվելու է միայն անվտանգ ուղիներով, ինչպիսիք են VPN-ները (Վիրտուալ մասնավոր ցանցեր):
- Հեռակա մուտքի հաշիվները պաշտպանված կլինեն վավերացման ուժեղ մեխանիզմներով և կվերահսկվեն կասկածելի գործողությունների համար:
5.Դեպքի արձագանք
5.1Միջադեպի մասին հաղորդում.
-
-
- Աշխատակիցները և կապալառուները կսովորեցնեն, որպեսզի անհապաղ զեկուցեն անվտանգության ցանկացած միջադեպ, խախտում կամ կասկածելի գործողություն նշանակված շփման կետին:
- Միջադեպերի մասին հաշվետվությունների ընթացակարգերը հստակորեն կհաղորդվեն և պարբերաբար կվերանայվեն՝ ժամանակին արձագանքելու և լուծում ապահովելու համար:
-
5.2Միջադեպերի արձագանքման թիմ.
-
-
- Միջադեպերի արձագանքման թիմը կնշանակվի անվտանգության միջադեպերը կարգավորելու, խախտումները հետաքննելու և համապատասխան գործողությունները համակարգելու համար:
- Կսահմանվեն թիմի անդամների դերերն ու պարտականությունները, և նրանց կոնտակտային տվյալները հասանելի կլինեն:
-
5.3Միջադեպի վերականգնում և քաղված դասեր.
-
-
- Անվտանգության միջադեպերի ազդեցությունը մեղմելու և տուժած համակարգերն ու տվյալները վերականգնելու համար արագ գործողություններ կձեռնարկվեն:
- Յուրաքանչյուր միջադեպից հետո կանցկացվի հետպատահարից հետո վերանայում` բացահայտելու քաղված դասերը և իրականացնելու անհրաժեշտ բարելավումներ` ապագայում նմանատիպ միջադեպերը կանխելու համար:
-
6.Ֆիզիկական անվտանգություն
6.1Մուտքի հսկողություն.
-
- Ֆիզիկական մուտքը տվյալների կենտրոններ, սերվերային սենյակներ և այլ կարևոր տարածքներ կսահմանափակվեն միայն լիազորված անձնակազմով:
- Մուտքի վերահսկման մեխանիզմները, ինչպիսիք են կենսաչափական նույնականացումը, բանալի քարտերը և CCTV հսկողությունը, կներդրվեն ըստ անհրաժեշտության:
6.2Սարքավորումների պաշտպանություն.
-
- Համակարգչային բոլոր սարքավորումները, պահեստային կրիչները և շարժական սարքերը պաշտպանված կլինեն գողությունից, կորստից կամ չարտոնված մուտքից:
- Աշխատակիցները կվերապատրաստվեն ապահով կերպով սարքավորումները պահելու և վարելու համար, հատկապես հեռավար աշխատելիս կամ ճանապարհորդելիս:
7.Ուսուցում և իրազեկում
7.1 Անվտանգության իրազեկման ուսուցում.
-
- Անվտանգության վերաբերյալ իրազեկման կանոնավոր դասընթացներ կանցկացվեն բոլոր աշխատակիցներին և կապալառուներին՝ նրանց ուսուցանելու անվտանգության լավագույն փորձի, քաղաքականության և ընթացակարգերի մասին:
- Դասընթացները կներառեն այնպիսի թեմաներ, ինչպիսիք են գաղտնաբառի անվտանգությունը, ֆիշինգի մասին իրազեկումը, տվյալների մշակումը և միջադեպերի մասին հաշվետվությունը:
7.2 Քաղաքականության հաստատում.
-
- Բոլոր աշխատակիցներից և կապալառուներից կպահանջվի վերանայել և ընդունել իրենց հասկացողությունն ու համապատասխանությունը անվտանգության այս քաղաքականությանը:
- Շնորհակալագրերը պարբերաբար թարմացվելու և պահպանվելու են որպես անձնակազմի գրառումների մաս:
8.Քաղաքականության վերանայում և թարմացումներ
Անվտանգության այս քաղաքականությունը պարբերաբար կվերանայվի և անհրաժեշտության դեպքում կթարմացվի՝ արտացոլելու տեխնոլոգիայի, կանոնակարգերի կամ բիզնեսի պահանջները: Բոլոր աշխատակիցները և կապալառուները կտեղեկացվեն ցանկացած թարմացման մասին, և նրանց կողմից կպահանջվի հավատարիմ մնալ վերանայված քաղաքականությանը:
Անվտանգության այս քաղաքականությունն իրականացնելով և գործադրելով՝ մենք նպատակ ունենք պաշտպանել մեր մեծածախ առցանց բիզնեսը, հաճախորդների տվյալները և պահպանել մեր գործընկերների և հաճախորդների վստահությունը: