Ми поважаємо та захищаємо конфіденційність

Метою документа є визначення зобов’язань та відповідальності Постачальника Budimex (та його співробітників) щодо захисту інформаційних активів Budimex, до яких Постачальник матиме доступ та які він буде обробляти в процесі надання своїх послуг.

Цей документ становить Політику безпеки інформаційних систем для постачальників Budimex SA, далі «Політика».

Положення, що містяться нижче, регулюють дві основні сфери інформаційної безпеки:

• надання послуг Постачальником з використанням ІТ-систем, довірених Budimex, та/або IT-систем, підключених до інфраструктури Budimex,


• надання послуг Постачальником з використанням власних ІТ-систем, але обробка інформації, якою володіє або за яку несе відповідальність компанія Budimex (наприклад, персональні дані співробітників Budimex).

Budimex SA докладає максимум зусиль для забезпечення ефективного та безпечного функціонування компанії з метою найкращого задоволення потреб клієнтів, акціонерів та співробітників Компанії. Проявом особливої старанності з боку керівництва Budimex SA є мінімізація операційних ризиків, m.in. шляхом забезпечення належного рівня безпеки оброблюваних інформаційних активів. З цією метою керівництвом Budimex SA було прийнято рішення про впровадження правил з інформаційної безпеки.

Цей документ є вираженням наміру Budimex забезпечити безпеку інформаційних активів, що випливає з прийнятої Політики інформаційної безпеки, активів, що надаються та обробляються Постачальниками Budimex.

Інформаційні активи – інформація та системи, інфраструктура, пристрої та програмне забезпечення, що використовуються для обробки інформації.

Інформаційна безпека – забезпечення конфіденційності, цілісності та доступності IT-активів.

Персональні дані – будь-яка інформація, що стосується ідентифікованої фізичної особи або фізичної особи, яку можна ідентифікувати, прямо чи опосередковано.

Інцидент безпеки – небажана подія або серія подій, яка створює значну ймовірність порушення ділової діяльності та може мати негативний вплив на безпеку інформаційних активів.

Інформація – будь-яка інформація, незалежно від її форми, тобто в електронному вигляді, записана в паперовій формі, передана в усній формі.

Секретна інформація – термін, визначений у Законі від 5 серпня 2010 року про захист секретної інформації. Під ними розуміються відомості, які потребують захисту від несанкціонованого розголошення як такі, що становлять державну або службову таємницю, незалежно від форми і способу її вираження.

Обробка інформації – будь-які дії, що виконуються над інформацією, такі як створення, збір, запис, зберігання, читання, зміна, обмін, видалення і т.д.

Користувач – будь-хто, хто має доступ до інформаційних активів Budimex – користувачі є співробітниками, тимчасовими співробітниками, консультантами, стажерами, клієнтами тощо.

5.1. Дотримання Політики

5.1.1. Політика є частиною правил і процедур, що регулюють відносини між Сторонами. Політика підлягає періодичному перегляду. Дотримання Політики є умовою надання послуг компанії Budimex відповідно до договору.

5.2. Дотримання законів

5.2.1. Сторони повинні дотримуватися законів і нормативно-правових актів, що стосуються інформаційних технологій.

5.2.2. Забороняється використання ресурсів ІТ-систем, що призводить до порушення прав інтелектуальної власності.

5.2.3. Встановлення програмного забезпечення або збереження будь-яких інших матеріалів в ІТ-системі, довіреній Budimex, які не були отримані способом, що дозволяє Budimex їх використовувати, суперечить Політиці.

5.3. Права власності та захист інформації, що зберігається в електронній формі.

5.3.1. Дані та інформація, що зберігаються, обробляються та/або передаються через ІТ-системи, що належать Budimex, знаходяться під постійним контролем. Контроль включає в себе такі методи, як: перехоплення, моніторинг, занесення в журнал подій і інспекція. Метою постійного контролю є захист інтересів Budimex та Постачальника.

5.3.2. Дані та інформація є власністю Budimex або Постачальника і повинні розглядатися як з будь-якою іншою власністю компанії.

5.3.3. Дані та інформація, що стосується Budimex, що зберігаються на будь-яких носіях або в IT-системах, не можуть бути видалені без дозволу і повинні бути видалені/знищені тільки за згодою і способом, узгодженим з власником даних.

5.3.4. Дані та інформація, довірені Постачальнику або згенеровані Постачальником в процесі надання послуг Budimex і тим, що знаходяться під контролем Постачальника, повинні бути належним чином захищені Постачальником від знищення, пошкодження та несанкціонованого доступу з використанням доступних засобів.

5.3.5. Провайдер повинен завжди застосовувати відповідні заходи безпеки відповідно до систем, що знаходяться під його контролем, і щодо даних/інформації, що містяться в них. Постачальник несе повну відповідальність за створення регулярних резервних копій даних Budimex, що розміщуються на мобільному комп’ютерному обладнанні. Дані та інформація повинні зберігатися на портативних комп’ютерах тільки в мінімальному обсязі і тільки протягом часу, необхідного для виконання обсягу послуг, що надаються. По можливості дані повинні зберігатися на мережевих дисках.

5.3.6. Портативне комп’ютерне обладнання, що містить матеріальні та/або конфіденційні дані та інформацію, що стосується Budimex, повинно завжди бути оснащене технологіями, схваленими Сторонами для блокування несанкціонованого доступу.

5.3.7. Без письмової згоди Budimex дані, що належать Budimex, не можуть оброблятися або зберігатися на обладнанні, що не належить Budimex (наприклад, на домашніх комп’ютерах).

5.3.8. Строк і спосіб зберігання електронних даних в ІТ-системі повинні відповідати припущенням, прийнятим для даної системи (зберігання документів).

5.3.9. Обладнання, яке не було схвалено Budimex, не може бути підключено до IT-системи Budimex. Підключення бізнес-телефонів або приватних мобільних телефонів до Budimex IT Systems заборонено.

5.3.10. Не допускається передача секретної або конфіденційної інформації через мережу Інтернет. Важлива інформація (не секретна і не конфіденційна), отримана або відправлена через Інтернет, повинна бути зашифрована відповідно до рекомендацій застосовної Політики безпеки.

6.1. Використання інформаційних технологій в бізнес-цілях.

6.1.1. Співробітники Постачальника, які є користувачами IT-систем, наданих компанією Budimex, можуть періодично використовувати зазначені ресурси в приватних цілях. Цей вид використання не повинен перешкоджати виконанню офіційних обов’язків і суперечити інтересам Budimex.

6.1.2. Постачальник не може використовувати ресурси ІТ-систем, наданих Budimex, для оплачуваної роботи для іншої організації, крім Budimex.

6.2. Контролювати доступ до інформації з електронних джерел.

6.2.1. Контроль доступу до інформації, що зберігається в Budimex IT Systems, є обов’язковим. Для кожної Системи Користувачам надається дозвіл на доступ в обсязі, необхідному для виконання їх роботи.

6.2.2. Доступ контролюється за допомогою індивідуальних ідентифікаторів і паролів, які чітко ідентифікують Користувача в ІТ-системі і захищають від несанкціонованого доступу.

6.2.3. Паролі створюються за певними правилами щодо їх довжини, структури та частоти змін.

6.2.4. Паролі повинні зберігатися в таємниці і не повинні розголошуватися іншим особам. У разі виконання Користувачем обов’язку щодо надання Провайдеру пароля іншій особі, Провайдер залишається за повною відповідальністю за цілісність та конфіденційність довіреної йому інформації. Захист паролем відповідає інтересам як Budimex, так і Постачальника.

6.2.5. Користувач, ідентифікатор та пароль якого були використані для отримання несанкціонованого доступу до ІТ-системи, вважається особою, яка використала ресурси цієї Системи несанкціонованим чином.

6.2.6. У разі тимчасового залишення робочого місця консоль комп’ютера повинна бути заблокована (наприклад,. у системах Windows використовуйте CTRL-ALT-DEL + ENTER), щоб запобігти несанкціонованому використанню комп’ютера.

6.2.7. У разі додавання нових Користувачів до ІТ-системи потрібна згода Budimex.

6.2.8. Budimex змінить пароль Користувача тільки на підставі запиту авторизованої особи, без розголошення попереднього пароля.

6.2.9. Забороняється використовувати IT-системи, що належать Budimex або третім особам, без згоди особи, яка уповноважена видавати такі дозволи.

6.3. Захист спільних ресурсів інформаційних систем.

6.3.1. Постачальник не може модифікувати пристрої, що належать Budimex, наприклад. шляхом встановлення комп’ютерних компонентів, програмного забезпечення або будь-яким іншим способом без письмового дозволу відповідального співробітника Budimex.

6.3.2. Постачальник повинен постійно дбайливо ставитися до ввіреного йому обладнання Budimex, і зокрема дбати про захист від крадіжки, запобігати пошкодженню під час транспортування або вантажно-розвантажувальних робіт, правильно зберігати при потрібній температурі та не піддавати його впливу магнітних полів або поганих погодних умов.

6.3.3. Особливу обережність слід проявляти при роботі з матеріалами на змінних носіях (наприклад,. CD-ROM і т.д.), які були створені або використовувалися поза ІТ-системою Budimex. Медіа з сумнівного або невідомого джерела не можна використовувати на обладнанні, що належить Budimex. Всі такі матеріали повинні бути проскановані антивірусною програмою та/або протестовані IT-офісом Budimex перед використанням.

6.3.4. Всі установки програмного забезпечення на комп’ютери Budimex здійснюються компанією Budimex. Лише за письмовою згодою Budimex може бути здійснено встановлення легального програмного забезпечення для комерційного використання особами, які не є співробітниками Budimex.

6.3.5. Встановлення та/або використання приватного програмного забезпечення/файлів на IT-обладнанні, довіреному Budimex, заборонено.

6.3.6. Остання версія антивірусного програмного забезпечення, що надається компанією Budimex, завжди повинна бути присутня та активна на комп’ютерному обладнанні, довіреному компанією Budimex. Необхідно дотримуватися інструкцій, наданих Budimex щодо запобігання вірусам та можливого усунення вірусів, які проникли в IT-систему Budimex. Якщо помічена некоректна робота антивірусної програми, Користувач повинен негайно повідомити про цей факт в IT-офіс Budimex.

6.3.7. Про будь-які виявлені випадки загрози, порушення та ослаблення безпеки ІТ-систем або несанкціонованої Budimex роботи програмного забезпечення (інциденти безпеки) необхідно негайно повідомляти в ІТ-офіс Budimex.

6.4. Надсилання повідомлень в електронному вигляді.

6.4.1. Корпоративна електронна пошта Budimex, яка може бути доступна користувачам, за яких несе відповідальність Постачальник, є офіційним засобом зв’язку в Budimex і розглядається як ділова пошта.

6.4.2. Користувач, за якого несе відповідальність Постачальник, не може представляти приватні думки та судження як позицію Budimex під час надсилання повідомлень електронними засобами.

6.4.3. Тільки системи обміну електронними повідомленнями, схвалені Budimex, можуть використовуватися на комп’ютерах, довірених Budimex.

6.4.4. На комп’ютерах, довірених Budimex, зовнішні послуги, що надаються через Інтернет, не можуть використовуватися для надсилання або отримання повідомлень (наприклад,. Hotmail, Yahoo, UP, Onet, Chat i Communicatory ITP).

6।4।5. Щоб запобігти роботі шкідливого програмного забезпечення (наприклад,. віруси), які можуть потрапити в IT-систему Budimex, слід негайно видалити будь-яку несподівану пошту з вкладеннями від невідомого відправника. Вкладення в такому повідомленні не можна відкрити.

6.4.6. Розсилка електронних листів в системі корпоративної електронної пошти Budimex повинна бути обмежена тільки особами, які повинні знати їх зміст або особами, безпосередньо пов’язаними зі змістом повідомлення. Списки розсилки не повинні використовуватися, за винятком випадків, коли всі одержувачі відповідають вищезазначеним критеріям.

6.4.7. У системі корпоративної електронної пошти Budimex необхідно уникати відправки повідомлень з великими вкладеннями великій групі людей через списки розсилки. Ви повинні використовувати програмне забезпечення для стиснення, надане Budimex, щоб обмежити розмір великих вкладень та/або надіслати кілька повідомлень.

6.4.8. Розмір ввіреної корпоративної поштової скриньки Budimex обмежений лімітом. Користувач, за якого несе відповідальність Провайдер, зобов’язаний регулярно видаляти застарілі повідомлення.

6.5. Інтернет.

6.5.1. Для надання послуг, на які поширюється договір, компанії Budimex може знадобитися надати Постачальнику доступ до мережі Інтернет. Такий доступ підпадатиме під обмеження політики інформаційної безпеки Budimex SA: Доступ до Інтернету з пристроїв та/або інфраструктури, наданих Budimex, дозволяється лише за допомогою рішень, наданих та схвалених Budimex.

6.5.2. Ні за яких обставин Користувач, за якого несе відповідальність Постачальник, підключати довірене йому обладнання до Інтернету або інших мереж за допомогою кабелів, комутованих модемів або бездротовим способом без гарантій, що вимагаються застосовною Політикою інформаційної безпеки Budimex SA Кожне підключення до комп’ютерної мережі, що не належить до Групи комп’ютерного обладнання Budimex Group, довіреного Budimex, має бути індивідуально схвалено Budimex.

6.5.3. Budimex залишає за собою право контролювати всі типи інтернет-з’єднань за участю пристроїв, підключених до Budimex IT Systems, і блокувати доступ до послуг і веб-сайтів, які вважаються несумісними з політикою інформаційної безпеки Budimex SA

6.5.4. Користувач, за якого несе відповідальність Провайдер, не має права:

• Спроба обійти механізми безпеки, контролю доступу або фільтрації контенту на шлюзі виходу з Інтернету


• навмисно порушувати функціонування мережі, наприклад

6.6. Невідповідний матеріал.

6.6.1. Постачальник не має права використовувати комп’ютерне обладнання, пристрої та кімнати, надані Budimex, для перегляду, обробки, створення та/або розповсюдження серед співробітників або будь-кого за межами Budimex матеріалів, які містять контент:

• пов’язані з дискримінацією (расовою чи іншою),


• домагання (сексуального або іншого),


• Загрожує


• Непристойні


• Порнографічний


• Наклепницький


• Незаконним

6.6.2. Постачальник зобов’язаний негайно знищити/вивезти матеріали, зазначені в пункті. 6.6.1 отримані від будь-кого та вимагати від Відправника припинити таку практику в майбутньому. Також слід негайно повідомити про це керівника МВС. Безпека Budimex SA IT Systems про деталі інциденту, а також адресу електронної пошти відправника, тему та вжиті дії.

Якщо Постачальник використовує свою ІТ-систему, яка не належить Budimex і не підключена до інфраструктури Budimex, для надання послуг наведені нижче вимоги є мінімальними для того, щоб така система мала дозвіл на надання послуг:

7.1. Все програмне забезпечення (Операційна система і додатки) встановлене і використовується відповідно до законодавства і ліцензійних умов.

7.2. Кожна операційна система та додаток повинні проходити перевірку на постійній основі для оновлень виправлень безпеки (частота не менше 1 разу на місяць).

7.3. Система, що має будь-яку можливість взаємодії з навколишнім світом (комп’ютерна мережа, привід CD-ROM/DVD-ROM, USB, дисковод), обов’язково повинна мати актуальне (з періодичністю оновлень не менше 24 годин) і робоче антивірусне програмне забезпечення. Для систем на базі Windows список доступних провайдерів становить http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7.

7.4. Система повинна мати належним чином оновлюваний і регулярно синхронізований час (у разі систем з доступом до мережі – використання сервера часу; у випадку автономних систем – документована синхронізація часу не рідше 1 разу на місяць).

7.5. Система повинна мати робоче та періодично перевірене (відновлювальні випробування не рідше одного разу на рік) програмне забезпечення, яке виконує резервні копії даних.

7.6. Все середовище, яке використовується для надання послуг Budimex, повинно мати відповідний логічний та екологічний захист – аварійне електроживлення та захист від несанкціонованого фізичного та несанкціонованого логічного доступу.

7.7. Обслуговуючий персонал, навчений користуванню системою.

7.8. Там, де це можливо, під час доступу до ІТ-систем слід використовувати багатофакторну автентифікацію (MFA).

7.9. Особливу обережність слід проявляти при використанні зовнішнього запам’ятовуючого пристрою (наприклад, жорсткого диска USB/флеш-накопичувача) для обробки даних Budimex SA, дані на носії повинні бути захищені від втрати та доступу третіх осіб (наприклад, зашифровані за допомогою методу, загальноприйнятого як безпечний).

8.1. Звіт про огляд організаційних та технічних заходів безпеки Постачальника