Политика информационной безопасности ТОО «Бухта»

Назначение документа

Политика информационной безопасности (далее - Политика) предназначена для определения целей и требований обеспечения информационной безопасности ТОО «Бухта». Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается предоставлением доступа к информационным ресурсам только авторизованным пользователям, целостность – обеспечивается в случае внесения изменений в данные авторизованными пользователями, доступность – в обеспечении возможности доступа к информационным ресурсам авторизованным пользователям в нужное для них время.

Основные термины и определения:
  1. Товарищество – товарищество с ограниченной ответственностью «Бухта»;

  2. Информационная безопасность (далее ИБ) – комплекс правовых, технических и организационных мероприятий, направленных на обеспечение защиты информационных ресурсов от несанкционированного доступа, искажения и уничтожения, для, обеспечение конфиденциальности, целостности и доступности информации;

  3. Отдел информационных технологий (далее ОИТ) – структурное подразделение Товарищества, имеющее компетенцию в данной области, осуществляющее системно- техническое обслуживание информационных систем;

  4. Информационная система (далее ИС) – совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

  5. Электронные информационные ресурсы (далее ЭИР) – информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;

  6. Администратор ИС – работник Товарищества, ответственный за администрирование, сопровождение и обеспечение бесперебойного функционирования ИС Товарищества;

  7. Пользователь ИС – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции и(или) задачи;

  8. База данных – совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования, независимая от прикладных программ. База данных является информационной моделью предметной области;

  9. Конфиденциальность информации – обеспечение предоставления информации только авторизованным лицам;

  10. Целостность информации – состояние информации (информационных ресурсов автоматизированной информационной системы), при котором её(их) изменение осуществляется только авторизованными пользователями;

  11. Доступность – обеспечение возможности доступа авторизованным пользователям к информационным ресурсам автоматизированной информационной системы в нужное время. Настоящий документ разработан в соответствии с нормативно-правовыми актами и документами Республики Казахстан и международными стандартами.

Цели и задачи обеспечения ИБ
  1. Целью обеспечения информационной безопасности является предотвращение и минимизация возможного ущерба от реализации угроз информационной безопасности, а также повышение общего уровня конфиденциальности, целостности и доступности информационных ресурсов Товарищества. Задачами обеспечения ИБ являются:

  2. Обеспечение непрерывности деятельности Товарищества, управление рисками в целях недопущения или снижения вероятности возникновения внештатных ситуаций, выявление и недопущение нарушений, а также условий для их реализации;

  3. Создание механизма оперативного мониторинга и реагирования на нарушения.

Основные принципы обеспечения ИБ
  1. Основным принципом является защита ИС и ЭИР Товарищества от возможного нанесения ущерба посредством несанкционированного вмешательства в процесс функционирования.

  2. Защита ИС и ЭИР Товарищества достигается посредством обеспечения и постоянного поддержания доступности, конфиденциальности и целостности информации.

Область распространения
  1. Действие настоящей Политики распространяется на все структурные подразделения Товарищества, а также подрядной организации при её наличии и учитывается в договорных отношениях поставщиками услуг.

  2. Настоящая Политика применяется ко всем работникам Товарищества, подрядной организации при ее наличии, ко всем информационным технологиям и телекоммуникационным ресурсам, используемым в Товариществе, а также ко всем помещениям, в которых пользователь может получить доступ к ИС и информационно-коммуникационной инфраструктуре Товарищества.

  3. В целях обеспечения выполнения содержащихся в Политике нормативных правил необходимо обеспечить ее соблюдение третьими сторонами.

Распределение обязанностей по обеспечению ИБ
  1. Руководство Товарищества совместно с ОИТ и Ответственными за ИБ обязано активно реализовывать комплекс мероприятий по поддержанию ИС и ЭИР Товарищества посредством предоставления ясных указаний, демонстрируемых обязательств, четких постановок задач и осведомленности работников об обязанностях по обеспечению ИБ.

  2. Ответственный за ИБ обеспечивает формирование и контроль выполнения всех пунктов данной политики, должен пересматривать эффективность реализации политики ИБ и обеспечить четкое управление и зримую поддержку инициатив в области поддержки Системы управления информационной безопасностью, совместно с ОИТ должен инициировать планы и программы по поддержанию осведомленности об ИБ.

  3. Руководство должно обеспечивать координацию мер контроля за ИБ в Товариществе, предоставлять ресурсы для обеспечения ИБ, должно утверждать распределение специфических ролей и обязанностей по ИБ

  4. Администраторы ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно Руководству администратора ИС Товарищества.

  5. Пользователи ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно своим должностным обязанностям, учётных ролей в ИС и Руководству пользователя ИС Товарищества.

  6. Ответственный за ИБ отвечает за руководство разработкой, анализом Политики ИБ Товарищества.

Координация ИБ
  1. Действия по обеспечению ИБ должны координироваться руководством Товарищества соответствии с их компетенцией и должностным положением . Эта деятельность должна:

  2. Обеспечивать соответствие выполнения мероприятий по обеспечению ИБ;

  3. Определять мероприятия по обеспечению ИБ в случае ее несоответствия политике ИБ;

  4. Утверждать методологии и процессы обеспечения ИБ, например, оценку рисков, классификацию информации;

  5. Идентифицировать все изменения угроз ИБ и степень уязвимости информации и средств обработки информации к угрозам ИБ;

  6. Оценивать адекватность принимаемых решений и координировать реализацию мер контроля ИБ;

  7. Повышать профессиональный уровень пользователей за счёт обучения, подготовке по ИБ и осведомленности о ней;

  8. Оценивать информацию, полученную от мониторинга и просмотра инцидентов по ИБ и рекомендовать соответствующие мероприятия в ответ на идентифицированные инциденты ИБ.

Обучение и осведомленность в вопросах ИБ
  1. Требования к обучению и осведомленности в вопросах ИБ:

  2. Пользователи, сотрудники ОИТ и администраторы ИС Товарищества должны быть ознакомлены с политикой ИБ и соблюдать ее требования;

  3. Ответственный за ИБ Товарищества должен проводить первичный инструктаж по ИБ;

  4. Сотрудники ОИТ и Администратор ИС Товарищества, обеспечивающие функционирование ИС Товарищества должны проходить регулярный инструктаж по соблюдению требований ИБ;

  5. В целях обеспечения ИБ необходимо согласовать и определить в соглашении с третьей стороной мероприятия по управлению ИБ Товарищества;

  6. Ответственный за ИБ по мере необходимости проходит курсы по повышению квалификации по информационной безопасности;

  7. В целях обеспечения гарантированного уведомления ответственным за ИБ, всех заинтересованных сторон об инциденте и уязвимости ИБ по отношению к ИС Товарищества должны быть реализованы формальные процедуры по уведомлению об инциденте и проявлении угроз. Для трансляции уведомлений должен быть избран способ, гарантированно позволяющий своевременно принять корректирующие меры по сохранению ИБ;

  8. Ответственный за ИБ Товарищества должен знать процедуры уведомления, а также располагать сведениями о различных типах событий или слабых местах, которые могут влиять на безопасность ресурсов, о наступлении которых или предпосылках к таковым необходимо отправить уведомление;

  9. Сотрудники ОИТ и Администраторы ИС Товарищества обязаны как можно быстрее сообщать любых нарушениях в сфере ИБ ответственному за ИБ лицу;

  10. Ответственные лица по ИБ должны вести мониторинг посещения серверного помещения за сотрудниками ОИТ.

Управление инцидентами
  1. В случае обнаружения нарушения информационной безопасности следует незамедлительно доложить ответственному по ИБ.

  2. Все сотрудники, подрядчики и пользователи, пользующиеся ИС и ЭИР Товарищества обязаны незамедлительно доложить об инциденте ответственному по ИБ и по возможности обеспечить минимизацию ущерба.

  3. В случае возникновения инцидента ИБ или другой нештатной ситуации необходимо руководствоваться «Инструкцией о порядке действий пользователей по реагированию на инциденты ИБ во внештатных (кризисных) ситуациях».

Управление непрерывностью бизнеса
  1. Необходимо внедрить процесс управления непрерывностью бизнеса с целью минимизации влияния на деятельность Товарищества и восстановления после потери информационных активов. Этот процесс должен идентифицировать важные бизнес-процессы и интегрировать требования непрерывности бизнеса управления информационной безопасностью с другими требованиями непрерывности касательно таких аспектов, как операции, кадровое обеспечение, материалы, транспорт и оборудование.

  2. Последствия нарушений безопасности, отказов в обслуживании и доступность сервисов должны быть предметом анализа степени влияния на бизнес. Информационная безопасность является составной частью общего процесса непрерывности бизнеса, и других процессов управления в организации, для идентификации и уменьшения рисков.

Анализ и оценка рисков
  1. Требования к анализу и оценке рисков:

  2. Политика ИБ Товарищества основывается на данных, полученных в результате анализа и оценки рисков ИБ;

  3. С целью совершенствования политики информационной безопасности Товарищества, проводиться ежегодный анализ и оценка рисков информационной безопасности для ИС и ЭИР Товарищества в соответствии со стандартами, действующими на территории Республики Казахстан и международными регламентами;

Контроль изменений
  1. В целях минимизации влияния инцидентов, связанных с изменениями, на качество предоставляемых услуг, работоспособности ИС, используются стандартные методы и процедуры для продуктивной и своевременной обработки изменений, прописанные в Положении об управлением изменением товарищества.

Пересмотр политики ИБ
  1. Товарищество является владельцем Политики ИБ. Пересмотр политики ИБ производится не реже одного раза в год и должен включать возможности оценки для улучшения в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

  2. Пересмотренная политика и все технические документы по информационной безопасности должны утверждаться руководством.

Ответственность и контроль эффективности политики информационной безопасности
  1. Для обеспечения необходимого уровня информационной безопасности Товарищество производит постоянный контроль эффективности.

  2. Руководство несет ответственность за выполнение всех пунктов данной политики.

  3. За Планирование и контроль состояния информационной безопасности в Товариществе несет ответственность Ответственный за ИБ сотрудник.

  4. В случае нарушения требований настоящей Политики ИБ все субъекты Товарищества привлекаются к административной или иной ответственности в соответствии с действующим законодательством Республики Казахстан.

start_using_it

we_will_ease_and_accelerate_all_business_processes

Скачать приложение

astana hub


. inn: -. okpo: -. . account: -. bik: -. address: . phone: . Email: . site: