1. შესავალი

ამ უსაფრთხოების პოლიტიკის მიზანია გამოიკვეთოს ზომები და პრაქტიკა, რომლებსაც Allamex™ ატარებს ჩვენი სისტემებისა და მონაცემების კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველსაყოფად. ეს პოლიტიკა ვრცელდება ყველა თანამშრომელზე, კონტრაქტორზე და მესამე მხარის პირებზე, რომლებსაც აქვთ წვდომა ჩვენს სისტემებსა და ინფორმაციაზე. ამ პოლიტიკის დაცვა სავალდებულოა, რათა დავიცვათ ჩვენი ბიზნესისა და მომხმარებლების ინფორმაცია არაავტორიზებული წვდომისგან, გამჟღავნებისგან, ცვლილებისგან ან განადგურებისგან.

  1. წვდომის კონტროლის

2.1მომხმარებლის ანგარიშები:

  • მომხმარებლის ანგარიშები შეიქმნება ყველა თანამშრომლისთვის და კონტრაქტორისთვის, რომლებიც წვდებიან საბითუმო ონლაინ ბიზნეს სისტემებს.
  • მომხმარებლის ანგარიშები მინიჭებული იქნება მინიმალური პრივილეგიის პრინციპის საფუძველზე, რაც უზრუნველყოფს, რომ პირებს ჰქონდეთ წვდომა მხოლოდ იმ რესურსებზე, რომლებიც საჭიროა მათი სამუშაო პასუხისმგებლობის შესასრულებლად.
  • განხორციელდება ძლიერი პაროლები, რომლებიც საჭიროებს დიდი და პატარა ასოების, რიცხვების და სპეციალური სიმბოლოების კომბინაციას.
  • მრავალფაქტორიანი ავთენტიფიკაცია (MFA) განხორციელდება ყველა მომხმარებლის ანგარიშისთვის, რათა უზრუნველყოს უსაფრთხოების დამატებითი ფენა.

 2.2მესამე მხარის წვდომა:

  • მესამე მხარის წვდომა ჩვენს სისტემებსა და მონაცემებზე მიენიჭება მხოლოდ საჭიროებისამებრ.
  • მესამე მხარის სუბიექტებს მოეთხოვებათ ხელი მოაწერონ კონფიდენციალურობის შეთანხმებას და დაიცვან უსაფრთხოების სტანდარტები და პრაქტიკა, რომელიც შეესაბამება ჩვენს პრაქტიკას.

 

  1. მონაცემთა დაცვა

3.1მონაცემთა კლასიფიკაცია:

    • ყველა მონაცემი იქნება კლასიფიცირებული მისი სენსიტიურობისა და კრიტიკულობის მიხედვით დაცვის შესაბამისი დონის დასადგენად.
    • მონაცემთა კლასიფიკაციის ინსტრუქციები მიეწოდება თანამშრომლებს მონაცემთა სათანადო დამუშავების, შენახვისა და გადაცემის უზრუნველსაყოფად.

3.2მონაცემთა დაშიფვრა:

    • სენსიტიური მონაცემების გადაცემა დაშიფრული იქნება ინდუსტრიის სტანდარტული დაშიფვრის პროტოკოლების გამოყენებით, როგორიცაა SSL/TLS.
    • დაშიფვრის მექანიზმები განხორციელდება მონაცემების დასაცავად დასვენების დროს, განსაკუთრებით მასში შენახული მგრძნობიარე ინფორმაციისთვის
    • მონაცემთა ბაზები და ფაილური სისტემები.

3.3მონაცემთა სარეზერვო და აღდგენა:

    • კრიტიკული მონაცემების რეგულარული სარეზერვო ასლები შესრულდება და შეინახება უსაფრთხოდ ადგილზე მიღმა.
    • სარეზერვო ასლის მთლიანობა და აღდგენის პროცესები პერიოდულად შემოწმდება, რათა უზრუნველყოს მონაცემთა აღდგენა კატასტროფის შემთხვევაში.

 

4.ქსელის უსაფრთხოება

    • Firewalls და შეჭრის აღმოჩენის სისტემები:
    • Firewalls და შეჭრის აღმოჩენის სისტემები განლაგდება ჩვენი ქსელის ინფრასტრუქტურის დასაცავად არაავტორიზებული წვდომის მცდელობებისა და მავნე მოქმედებებისგან.
    • ჩატარდება ქსელის ტრაფიკის რეგულარული მონიტორინგი და ანალიზი უსაფრთხოების პოტენციური ინციდენტის იდენტიფიცირებისა და რეაგირების მიზნით.

4.1უსაფრთხო დისტანციური წვდომა:

    • ჩვენს სისტემებზე დისტანციური წვდომა დაიშვება მხოლოდ უსაფრთხო არხებით, როგორიცაა VPN (ვირტუალური პირადი ქსელები).
    • დისტანციური წვდომის ანგარიშები დაცული იქნება ავტორიზაციის ძლიერი მექანიზმებით და მონიტორინგდება ნებისმიერი საეჭვო აქტივობისთვის.

5.ინციდენტის რეაგირება

5.1ინციდენტის შესახებ შეტყობინება:

      • თანამშრომლები და კონტრაქტორები გაივლიან ტრენინგს, რათა დაუყონებლივ შეატყობინონ უსაფრთხოების ნებისმიერი ინციდენტის, დარღვევის ან საეჭვო აქტივობის დანიშნულ საკონტაქტო პუნქტს.
      • ინციდენტის მოხსენების პროცედურები მკაფიოდ იქნება მიწოდებული და პერიოდულად განიხილება დროული რეაგირებისა და გადაწყვეტის უზრუნველსაყოფად.

5.2ინციდენტზე რეაგირების ჯგუფი:

      • ინციდენტებზე რეაგირების ჯგუფი დაინიშნება უსაფრთხოების ინციდენტების მოსაგვარებლად, დარღვევების გამოსაძიებლად და შესაბამისი ქმედებების კოორდინაციისთვის.
      • განისაზღვრება გუნდის წევრების როლები და პასუხისმგებლობები და მათი საკონტაქტო ინფორმაცია ხელმისაწვდომი იქნება.

5.3ინციდენტის აღდგენა და მიღებული გაკვეთილები:

      • მიიღება სწრაფი ზომები უსაფრთხოების ინციდენტების ზემოქმედების შესამცირებლად და დაზარალებული სისტემებისა და მონაცემების აღსადგენად.
      • ყოველი ინციდენტის შემდეგ ჩატარდება ინციდენტის შემდგომი მიმოხილვა, რათა გამოვლინდეს მიღებული გაკვეთილები და განხორციელდეს აუცილებელი გაუმჯობესებები მომავალში მსგავსი ინციდენტების თავიდან ასაცილებლად.

6.Ფიზიკური დაცვა

6.1წვდომის კონტროლი:

    • ფიზიკური წვდომა მონაცემთა ცენტრებზე, სერვერის ოთახებსა და სხვა კრიტიკულ ზონებზე მხოლოდ ავტორიზებული პერსონალისთვის იქნება შეზღუდული.
    • წვდომის კონტროლის მექანიზმები, როგორიცაა ბიომეტრიული ავთენტიფიკაცია, საკვანძო ბარათები და CCTV მეთვალყურეობა, განხორციელდება სათანადოდ.

6.2აღჭურვილობის დაცვა:

    • ყველა კომპიუტერული მოწყობილობა, შესანახი მედია და პორტატული მოწყობილობები დაცული იქნება ქურდობის, დაკარგვის ან არაავტორიზებული წვდომისგან.
    • თანამშრომლები გაივლიან ტრენინგს აღჭურვილობის უსაფრთხოდ შესანახად და მართვაში, განსაკუთრებით დისტანციურად მუშაობისას ან მოგზაურობისას.

7.ტრენინგი და ინფორმირებულობა

7.1 უსაფრთხოების ინფორმირებულობის ტრენინგი:

    • უსაფრთხოების შესახებ ცნობიერების ამაღლების რეგულარული ტრენინგი ჩაუტარდება ყველა თანამშრომელს და კონტრაქტორს, რათა მათ გააცნონ უსაფრთხოების საუკეთესო პრაქტიკის, პოლიტიკისა და პროცედურების შესახებ.
    • ტრენინგის სესიები მოიცავს ისეთ თემებს, როგორიცაა პაროლის უსაფრთხოება, ფიშინგის ინფორმირებულობა, მონაცემთა დამუშავება და ინციდენტების მოხსენება.

7.2 პოლიტიკის აღიარება:

    • ყველა თანამშრომელსა და კონტრაქტორს მოეთხოვება განიხილოს და დაადასტუროს მათი გაგება და შესაბამისობა უსაფრთხოების ამ პოლიტიკასთან.
    • მადლიერებები რეგულარულად განახლდება და ინახება, როგორც პერსონალის ჩანაწერების ნაწილი.

8.პოლიტიკის მიმოხილვა და განახლებები

უსაფრთხოების ეს პოლიტიკა პერიოდულად განიხილება და განახლდება საჭიროებისამებრ, რათა აისახოს ცვლილებები ტექნოლოგიაში, რეგულაციაში ან ბიზნესის მოთხოვნებში. ყველა თანამშრომელი და კონტრაქტორი იქნება ინფორმირებული ნებისმიერი განახლების შესახებ და საჭირო იქნება მათი დაცვა განახლებული პოლიტიკის მიმართ.

უსაფრთხოების ამ პოლიტიკის განხორციელებით და აღსრულებით, ჩვენ მიზნად ისახავს დავიცვათ ჩვენი საბითუმო ონლაინ ბიზნესი, მომხმარებელთა მონაცემები და შევინარჩუნოთ ჩვენი პარტნიორებისა და კლიენტების ნდობა.