Sinaptic® AI

ISO 27001 — Управління інформаційною безпекою

Набуває чинності: квітень 2026 · ТОВ «Sinaptic AI» / Sinaptic AI LLC · Резидент Дія.City

1. Зобов'язання щодо системи управління інформаційною безпекою

ТОВ «Sinaptic AI» («Sinaptic») визнає, що інформаційна безпека є фундаментом довіри, яку наші клієнти покладають на наші продукти та послуги на основі AI. Як постачальник рішень з кібербезпеки — включаючи Browser DLP, Sinaptic AI Intent Firewall® та Sinaptic® DROID+ — ми дотримуємось найвищих стандартів практики інформаційної безпеки.

Sinaptic зобов'язується створити, впровадити, підтримувати та постійно вдосконалювати Систему управління інформаційною безпекою (СУІБ), узгоджену з вимогами ISO/IEC 27001:2022. Наша СУІБ розроблена для:

  • Захисту конфіденційності, цілісності та доступності інформаційних активів, включаючи дані клієнтів, пропрієтарну технологію та операційні системи.
  • Задоволення очікувань та вимог інформаційної безпеки наших клієнтів, партнерів, регуляторів та інших зацікавлених сторін.
  • Забезпечення дотримання застосовних правових, регуляторних та договірних вимог, пов'язаних з інформаційною безпекою.
  • Підтримки бізнес-цілей Sinaptic при управлінні ризиками інформаційної безпеки до прийнятних рівнів.
  • Формування культури обізнаності та відповідальності з питань безпеки в усій організації.

2. Обсяг

Обсяг СУІБ Sinaptic охоплює всі продукти, послуги та процеси підтримки, що оперуються Sinaptic, включаючи:

  • Продукти: Browser DLP, Sinaptic AI Intent Firewall®, Sinaptic® DROID+ та будь-які майбутні продукти, розроблені Sinaptic.
  • Послуги: Розгортання продуктів, налаштування, технічна підтримка, консалтинг та керовані послуги для корпоративних клієнтів.
  • Інфраструктура: Хмарні середовища, системи розробки та тестування, внутрішня корпоративна ІТ-інфраструктура та фізичні офісні приміщення.
  • Персонал: Усі працівники, підрядники та сторонні постачальники послуг, які мають доступ до інформаційних активів Sinaptic або працюють в межах обсягу СУІБ.
  • Дані: Дані клієнтів, оброблені через наші продукти, пропрієтарні дані Sinaptic (включаючи вихідний код, алгоритми та бізнес-аналітику), персональні дані працівників та операційні дані.

СУІБ застосовується до всіх місць, з яких працює Sinaptic, включаючи нашу штаб-квартиру в Києві, Україна, віддалені робочі станції розподілених членів команди та будь-які сторонні об'єкти, що використовуються для надання наших послуг.

3. Політика інформаційної безпеки

Політика інформаційної безпеки Sinaptic є наріжним каменем нашої СУІБ. Політика встановлює наступні принципи:

  1. Конфіденційність: Інформація повинна бути доступною лише тим, хто має відповідний дозвіл. Доступ надається за принципом мінімальних привілеїв та на основі потреби знати.
  2. Цілісність: Точність та повнота інформації та методів обробки повинні бути захищені. Зміни інформаційних активів здійснюються відповідно до визначених процедур управління змінами.
  3. Доступність: Уповноважені користувачі повинні мати доступ до інформації та пов'язаних активів за потреби. Плани безперервності бізнесу та відновлення після аварій підтримуються та тестуються.
  4. Відповідність: Усі застосовні правові, законодавчі, регуляторні та договірні вимоги щодо інформаційної безпеки повинні бути визначені, задокументовані та підтримані.
  5. Ризик-орієнтований підхід: Рішення щодо інформаційної безпеки приймаються на основі систематичного процесу оцінки ризиків, що враховує ймовірність та вплив загроз та вразливостей.

4. Підхід до оцінки ризиків

Sinaptic застосовує систематичну, задокументовану методологію оцінки ризиків для ідентифікації, аналізу, оцінки та обробки ризиків інформаційної безпеки:

4.1 Ідентифікація ризиків

Ми ідентифікуємо ризики через аналіз інвентаризації активів, розвідку загроз, оцінки вразливостей, результати тестування на проникнення, аналіз інцидентів та внесок від внутрішніх та зовнішніх зацікавлених сторін. Ризики каталогізуються в централізованому реєстрі ризиків, що підтримується командою інформаційної безпеки.

4.2 Аналіз та оцінка ризиків

Кожен ідентифікований ризик аналізується за ймовірністю та впливом з використанням стандартизованої методології оцінювання. Ризики оцінюються відносно критеріїв ризик-апетиту Sinaptic, затверджених вищим керівництвом та переглянутих щорічно. Ризики, що перевищують прийнятні пороги, пріоритезуються для обробки.

4.3 Обробка ризиків

Для кожного ризику, що потребує обробки, ми вибираємо відповідні варіанти обробки ризику: зменшення (впровадження контролів), передача (через страхування або договірний розподіл), уникнення (припинення діяльності) або прийняття (в межах визначеного ризик-апетиту). Плани обробки документуються, призначаються власникам ризиків та відстежуються через впровадження.

4.4 Перегляд ризиків

Реєстр ризиків переглядається щоквартально або частіше у відповідь на суттєві зміни, інциденти або нову розвідку загроз. Комплексна оцінка ризиків проводиться щорічно як частина циклу управлінського перегляду СУІБ.

5. Цілі контролю — основні аспекти Додатку A

Sinaptic впровадив контролі в усіх доменах, визначених ISO 27001:2022 Додаток A. Нижче наведено основні аспекти ключових областей:

5.1 Організаційні контролі (A.5)

  • Політики інформаційної безпеки задокументовані, затверджені керівництвом, опубліковані та доведені до відома всіх відповідних сторін.
  • Ролі та обов'язки з інформаційної безпеки чітко визначені та призначені.
  • Розвідка загроз збирається та аналізується для інформування проактивних заходів безпеки.
  • Інформаційна безпека інтегрована в процеси управління проєктами.

5.2 Контролі персоналу (A.6)

  • Перевірка біографічних даних проводиться для всього персоналу до початку роботи відповідно до застосовного законодавства.
  • Усі працівники та підрядники підписують угоди про конфіденційність та нерозголошення.
  • Програми підвищення обізнаності, освіти та навчання з інформаційної безпеки проводяться регулярно з обов'язковим відстеженням та документуванням проходження.
  • Існує дисциплінарний процес для персоналу, що порушує інформаційну безпеку.

5.3 Фізичні контролі (A.7)

  • Фізичний доступ до офісів та чутливих зон обмежений через електронний контроль доступу та процедури управління відвідувачами.
  • Обладнання захищене від екологічних загроз, збоїв живлення та несанкціонованого доступу.
  • Впроваджені процедури безпечної утилізації носіїв інформації, що містять чутливу інформацію.

5.4 Технологічні контролі (A.8)

  • Доступ до систем та даних контролюється через контроль доступу на основі ролей (RBAC), багатофакторну автентифікацію (MFA) та принцип мінімальних привілеїв.
  • Усі дані шифруються при передачі (TLS 1.3) та зберіганні (AES-256).
  • Процеси управління вразливостями включають регулярне сканування, управління патчами та тестування на проникнення.
  • Практики безпечного життєвого циклу розробки (SDLC) включають перегляд коду, статичний та динамічний аналіз, сканування залежностей та стандарти безпечного кодування.
  • Системи журналювання та моніторингу забезпечують видимість подій безпеки в реальному часі з автоматичним сповіщенням про підозрілу діяльність.
  • Мережева безпека забезпечується сегментацією, брандмауерами, системами виявлення/запобігання вторгненням та захистом від DDoS.
  • Процедури резервного копіювання та відновлення задокументовані, протестовані та узгоджені з визначеними цілями часу відновлення та точки відновлення.

6. Управління інцидентами інформаційної безпеки

Sinaptic підтримує формальний процес управління інцидентами інформаційної безпеки, що включає:

  • Виявлення та звітність: Автоматизовані системи моніторингу та чітка процедура звітності про інциденти (доступна всьому персоналу) забезпечують швидке виявлення та ескалацію подій безпеки.
  • Оцінка та класифікація: Інциденти класифікуються за серйозністю (критичний, високий, середній, низький) на основі впливу на конфіденційність, цілісність та доступність.
  • Реагування: Команда реагування на інциденти чергує 24/7 для критичних інцидентів з визначеними плейбуками для поширених типів інцидентів.
  • Комунікація: Постраждалі зацікавлені сторони, включаючи клієнтів, регуляторів та органи захисту даних, повідомляються відповідно до договірних та юридичних вимог.
  • Аналіз після інциденту: Кожен суттєвий інцидент проходить безобвинувачувальний аналіз для виявлення першопричин та впровадження превентивних заходів.

7. Безперервність бізнесу

Sinaptic підтримує плани безперервності бізнесу, що забезпечують доступність критичних послуг під час несприятливих подій. Ці плани базуються на аналізі впливу на бізнес, що визначає критичні процеси та пріоритети відновлення. Плани тестуються щонайменше раз на рік через настільні вправи та, де це можливо, вправи з живим перемиканням. Наша хмарна архітектура з можливістю багаторегіонального розгортання підтримує швидке відновлення та географічну надлишковість.

8. Безперервне вдосконалення

Sinaptic зобов'язується постійно вдосконалювати свою СУІБ через:

  • Внутрішні аудити: Регулярні внутрішні аудити оцінюють відповідність СУІБ вимогам ISO 27001 та ефективність впроваджених контролів.
  • Управлінські перегляди: Вище керівництво переглядає СУІБ через заплановані інтервали (щонайменше раз на рік) для оцінки її постійної придатності, адекватності, ефективності та узгодженості з організаційною стратегією.
  • Коригувальні дії: Невідповідності, виявлені через аудити, інциденти або моніторинг, ініціюють формальні процеси коригувальних дій.
  • Метрики та KPI: Продуктивність інформаційної безпеки вимірюється через визначені метрики та ключові показники ефективності, які доповідаються керівництву та використовуються для стимулювання вдосконалення.
  • Зовнішній бенчмаркінг: Ми порівнюємо наші практики безпеки з галузевими стандартами, організаціями-аналогами та ландшафтом загроз, що еволюціонує.

9. Дорожня карта сертифікації

Sinaptic рухається до формальної сертифікації ISO/IEC 27001:2022 за наступною дорожньою картою:

  1. Фаза 1 — Основа (Завершено): Створено рамку СУІБ, визначено обсяг, проведено початкову оцінку ризиків, впроваджено базові контролі та призначено команду інформаційної безпеки.
  2. Фаза 2 — Впровадження (В процесі): Повне впровадження контролів Додатку A, документування всіх політик та процедур, розгортання систем моніторингу та вимірювання, та програми навчання персоналу.
  3. Фаза 3 — Внутрішній аудит: Комплексний цикл внутрішнього аудиту для оцінки зрілості СУІБ та виявлення прогалин до зовнішнього сертифікаційного аудиту.
  4. Фаза 4 — Зовнішній сертифікаційний аудит: Залучення акредитованого органу сертифікації для проведення аудитів Етапу 1 (перегляд документації) та Етапу 2 (оцінка на місці).
  5. Фаза 5 — Підтримка: Постійні наглядові аудити, цикли ресертифікації та безперервне вдосконалення для підтримки сертифікації.

Запит інформації про відповідність

Для запитань щодо наших практик інформаційної безпеки або прогресу сертифікації ISO 27001 зверніться до нас за адресою hello@sinaptic.ai.