Skip to main content

Опфат на ISMS

Верзија: 1.0 Одобрил: Далибор Шојиќ

1. Цел

Овој документ го дефинира опфатот на Системот за управување со информациска безбедност (ISMS) на Лајв Нетворкс ДООЕЛ Куманово, согласно барањата на ISO/IEC 27001:2022, клаузула 4.3.

2. Контекст на организацијата

Лајв Нетворкс ДООЕЛ е компанија специјализирана за сајбер безбедност и управувани ИТ услуги со седиште во Куманово, Република Северна Македонија. Компанијата има еден вработен и соработува со надворешни соработници ангажирани по проект, со договор на дело или преку волонтерски агенции.

Компанијата не поседува сопствен data center, туку целосно се потпира на dedicated сервери и виртуелни машини кај специјализирани провајдери.

3. Опфат на ISMS

3.1 Сервиси во опфат

  • Управувани сајбер безбедносни услуги
  • Развој на прилагодени апликации
  • Одржување и администрација на сервери и firewall-и
  • Управувана е-маил услуга со напредно филтрирање на phishing, spam и малициозни пораки, прилагодена индивидуално за секој клиент
  • Изработка на веб-страници со SEO оптимизација
  • Управувани е-маил маркетинг кампањи од сопствени сервери
  • CRM со тикетинг систем

3.2 Локации

  • Канцеларија во Куманово - единствена физичка локација
  • Далечински пристап на надворешни соработници

3.3 Инфраструктура

  • Dedicated сервери и виртуелни машини кај Hetzner, Contabo и Databasemart
  • Бекап складирање на Wasabi S3
  • DNS менаџмент и CDN преку Cloudflare
  • Wireless мрежа во канцеларијата
  • Комуникациска инфраструктура (VPN, е-маил системи, CRM, алатки за соработка)

3.4 Лица во опфат

  • Вработени на Лајв Нетворкс ДООЕЛ
  • Надворешни соработници
  • Добавувачи на инфраструктура и трети страни со пристап до информациски средства

3.5 Процеси во опфат

  • Испорака и одржување на сите горенаведени сервиси
  • Управување со пристап до системи и податоци
  • Управување со инциденти поврзани со информациска безбедност
  • Управување со ризици
  • Бекап и обнова на податоци
  • Мониторинг и логирање
  • Управување со односи со добавувачи и клиенти
  • Континуитет на работење

4. Исклучени контроли

Следните контроли од Анекс А на ISO/IEC 27001:2022 не се применливи:

  • A.7.4 Мониторинг на физичка безбедност - не е идентификуван како ризик
  • A.7.5 Заштита од физички и еколошки закани - нема критична инфраструктура на локацијата
  • A.7.6 Работа во безбедни области - нема безбедни зони или ограничени простории
  • A.7.11 Помошни услуги - нема UPS ни генератор
  • A.7.12 Безбедност на каблирање - нема кабелска инфраструктура
  • A.8.23 Веб филтрирање - не е оправдано за организацијата
  • A.8.29 Безбедносно тестирање во развој - не се врши систематски, по потреба во зависност од проектот може да се врши тестирање за ранливости
  • A.8.32 Управување со промени - моментално не се води формален запис
  • A.8.34 Заштита на системи при аудиторско тестирање - моментално не е применливо

Деталите за применливоста на секоја контрола се документирани во Изјавата за применливост (SoA).

5. Интерфејси и зависности

  • Провајдери на инфраструктура - согласно договори за ниво на сервис и проценка на безбедноста
  • Клиенти - согласно договори за сервис и одговорности за информациска безбедност
  • Надворешни соработници - согласно договори за доверливост (NDA) и безбедносни барања

6. Референци

  • ISO/IEC 27001:2022, клаузула 4.3
  • Изјава за применливост (SoA)
  • Политика за информациска безбедност
  • Методологија за управување со ризици
Back to top