Политика информационной безопасности ТОО «Бухта»

Назначение документа

Политика информационной безопасности (далее - Политика) предназначена для определения целей и требований обеспечения информационной безопасности ТОО «Бухта». Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается предоставлением доступа к информационным ресурсам только авторизованным пользователям, целостность – обеспечивается в случае внесения изменений в данные авторизованными пользователями, доступность – в обеспечении возможности доступа к информационным ресурсам авторизованным пользователям в нужное для них время.

Основные термины и определения:
  1. Товарищество – товарищество с ограниченной ответственностью «Бухта»;

  2. Информационная безопасность (далее ИБ) – комплекс правовых, технических и организационных мероприятий, направленных на обеспечение защиты информационных ресурсов от несанкционированного доступа, искажения и уничтожения, для, обеспечение конфиденциальности, целостности и доступности информации;

  3. Отдел информационных технологий (далее ОИТ) – структурное подразделение Товарищества, имеющее компетенцию в данной области, осуществляющее системно- техническое обслуживание информационных систем;

  4. Информационная система (далее ИС) – совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

  5. Электронные информационные ресурсы (далее ЭИР) – информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;

  6. Администратор ИС – работник Товарищества, ответственный за администрирование, сопровождение и обеспечение бесперебойного функционирования ИС Товарищества;

  7. Пользователь ИС – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции и(или) задачи;

  8. База данных – совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования, независимая от прикладных программ. База данных является информационной моделью предметной области;

  9. Конфиденциальность информации – обеспечение предоставления информации только авторизованным лицам;

  10. Целостность информации – состояние информации (информационных ресурсов автоматизированной информационной системы), при котором её(их) изменение осуществляется только авторизованными пользователями;

  11. Доступность – обеспечение возможности доступа авторизованным пользователям к информационным ресурсам автоматизированной информационной системы в нужное время. Настоящий документ разработан в соответствии с нормативно-правовыми актами и документами Республики Казахстан и международными стандартами.

Цели и задачи обеспечения ИБ
  1. Целью обеспечения информационной безопасности является предотвращение и минимизация возможного ущерба от реализации угроз информационной безопасности, а также повышение общего уровня конфиденциальности, целостности и доступности информационных ресурсов Товарищества. Задачами обеспечения ИБ являются:

  2. Обеспечение непрерывности деятельности Товарищества, управление рисками в целях недопущения или снижения вероятности возникновения внештатных ситуаций, выявление и недопущение нарушений, а также условий для их реализации;

  3. Создание механизма оперативного мониторинга и реагирования на нарушения.

Основные принципы обеспечения ИБ
  1. Основным принципом является защита ИС и ЭИР Товарищества от возможного нанесения ущерба посредством несанкционированного вмешательства в процесс функционирования.

  2. Защита ИС и ЭИР Товарищества достигается посредством обеспечения и постоянного поддержания доступности, конфиденциальности и целостности информации.

Область распространения
  1. Действие настоящей Политики распространяется на все структурные подразделения Товарищества, а также подрядной организации при её наличии и учитывается в договорных отношениях поставщиками услуг.

  2. Настоящая Политика применяется ко всем работникам Товарищества, подрядной организации при ее наличии, ко всем информационным технологиям и телекоммуникационным ресурсам, используемым в Товариществе, а также ко всем помещениям, в которых пользователь может получить доступ к ИС и информационно-коммуникационной инфраструктуре Товарищества.

  3. В целях обеспечения выполнения содержащихся в Политике нормативных правил необходимо обеспечить ее соблюдение третьими сторонами.

Распределение обязанностей по обеспечению ИБ
  1. Руководство Товарищества совместно с ОИТ и Ответственными за ИБ обязано активно реализовывать комплекс мероприятий по поддержанию ИС и ЭИР Товарищества посредством предоставления ясных указаний, демонстрируемых обязательств, четких постановок задач и осведомленности работников об обязанностях по обеспечению ИБ.

  2. Ответственный за ИБ обеспечивает формирование и контроль выполнения всех пунктов данной политики, должен пересматривать эффективность реализации политики ИБ и обеспечить четкое управление и зримую поддержку инициатив в области поддержки Системы управления информационной безопасностью, совместно с ОИТ должен инициировать планы и программы по поддержанию осведомленности об ИБ.

  3. Руководство должно обеспечивать координацию мер контроля за ИБ в Товариществе, предоставлять ресурсы для обеспечения ИБ, должно утверждать распределение специфических ролей и обязанностей по ИБ

  4. Администраторы ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно Руководству администратора ИС Товарищества.

  5. Пользователи ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно своим должностным обязанностям, учётных ролей в ИС и Руководству пользователя ИС Товарищества.

  6. Ответственный за ИБ отвечает за руководство разработкой, анализом Политики ИБ Товарищества.

Координация ИБ
  1. Действия по обеспечению ИБ должны координироваться руководством Товарищества соответствии с их компетенцией и должностным положением . Эта деятельность должна:

  2. Обеспечивать соответствие выполнения мероприятий по обеспечению ИБ;

  3. Определять мероприятия по обеспечению ИБ в случае ее несоответствия политике ИБ;

  4. Утверждать методологии и процессы обеспечения ИБ, например, оценку рисков, классификацию информации;

  5. Идентифицировать все изменения угроз ИБ и степень уязвимости информации и средств обработки информации к угрозам ИБ;

  6. Оценивать адекватность принимаемых решений и координировать реализацию мер контроля ИБ;

  7. Повышать профессиональный уровень пользователей за счёт обучения, подготовке по ИБ и осведомленности о ней;

  8. Оценивать информацию, полученную от мониторинга и просмотра инцидентов по ИБ и рекомендовать соответствующие мероприятия в ответ на идентифицированные инциденты ИБ.

Обучение и осведомленность в вопросах ИБ
  1. Требования к обучению и осведомленности в вопросах ИБ:

  2. Пользователи, сотрудники ОИТ и администраторы ИС Товарищества должны быть ознакомлены с политикой ИБ и соблюдать ее требования;

  3. Ответственный за ИБ Товарищества должен проводить первичный инструктаж по ИБ;

  4. Сотрудники ОИТ и Администратор ИС Товарищества, обеспечивающие функционирование ИС Товарищества должны проходить регулярный инструктаж по соблюдению требований ИБ;

  5. В целях обеспечения ИБ необходимо согласовать и определить в соглашении с третьей стороной мероприятия по управлению ИБ Товарищества;

  6. Ответственный за ИБ по мере необходимости проходит курсы по повышению квалификации по информационной безопасности;

  7. В целях обеспечения гарантированного уведомления ответственным за ИБ, всех заинтересованных сторон об инциденте и уязвимости ИБ по отношению к ИС Товарищества должны быть реализованы формальные процедуры по уведомлению об инциденте и проявлении угроз. Для трансляции уведомлений должен быть избран способ, гарантированно позволяющий своевременно принять корректирующие меры по сохранению ИБ;

  8. Ответственный за ИБ Товарищества должен знать процедуры уведомления, а также располагать сведениями о различных типах событий или слабых местах, которые могут влиять на безопасность ресурсов, о наступлении которых или предпосылках к таковым необходимо отправить уведомление;

  9. Сотрудники ОИТ и Администраторы ИС Товарищества обязаны как можно быстрее сообщать любых нарушениях в сфере ИБ ответственному за ИБ лицу;

  10. Ответственные лица по ИБ должны вести мониторинг посещения серверного помещения за сотрудниками ОИТ.

Управление инцидентами
  1. В случае обнаружения нарушения информационной безопасности следует незамедлительно доложить ответственному по ИБ.

  2. Все сотрудники, подрядчики и пользователи, пользующиеся ИС и ЭИР Товарищества обязаны незамедлительно доложить об инциденте ответственному по ИБ и по возможности обеспечить минимизацию ущерба.

  3. В случае возникновения инцидента ИБ или другой нештатной ситуации необходимо руководствоваться «Инструкцией о порядке действий пользователей по реагированию на инциденты ИБ во внештатных (кризисных) ситуациях».

Управление непрерывностью бизнеса
  1. Необходимо внедрить процесс управления непрерывностью бизнеса с целью минимизации влияния на деятельность Товарищества и восстановления после потери информационных активов. Этот процесс должен идентифицировать важные бизнес-процессы и интегрировать требования непрерывности бизнеса управления информационной безопасностью с другими требованиями непрерывности касательно таких аспектов, как операции, кадровое обеспечение, материалы, транспорт и оборудование.

  2. Последствия нарушений безопасности, отказов в обслуживании и доступность сервисов должны быть предметом анализа степени влияния на бизнес. Информационная безопасность является составной частью общего процесса непрерывности бизнеса, и других процессов управления в организации, для идентификации и уменьшения рисков.

Анализ и оценка рисков
  1. Требования к анализу и оценке рисков:

  2. Политика ИБ Товарищества основывается на данных, полученных в результате анализа и оценки рисков ИБ;

  3. С целью совершенствования политики информационной безопасности Товарищества, проводиться ежегодный анализ и оценка рисков информационной безопасности для ИС и ЭИР Товарищества в соответствии со стандартами, действующими на территории Республики Казахстан и международными регламентами;

Контроль изменений
  1. В целях минимизации влияния инцидентов, связанных с изменениями, на качество предоставляемых услуг, работоспособности ИС, используются стандартные методы и процедуры для продуктивной и своевременной обработки изменений, прописанные в Положении об управлением изменением товарищества.

Пересмотр политики ИБ
  1. Товарищество является владельцем Политики ИБ. Пересмотр политики ИБ производится не реже одного раза в год и должен включать возможности оценки для улучшения в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

  2. Пересмотренная политика и все технические документы по информационной безопасности должны утверждаться руководством.

Ответственность и контроль эффективности политики информационной безопасности
  1. Для обеспечения необходимого уровня информационной безопасности Товарищество производит постоянный контроль эффективности.

  2. Руководство несет ответственность за выполнение всех пунктов данной политики.

  3. За Планирование и контроль состояния информационной безопасности в Товариществе несет ответственность Ответственный за ИБ сотрудник.

  4. В случае нарушения требований настоящей Политики ИБ все субъекты Товарищества привлекаются к административной или иной ответственности в соответствии с действующим законодательством Республики Казахстан.

start_using_it

we_will_ease_and_accelerate_all_business_processes

Скачать приложение

astana hub


Bukhta.kz LLP. bin: 140840021970. Subsidiary Bank Alfa-Bank JSC. iik: KZ929470398990409118. bik: ALFAKZKA. address: 050013, Republic of Kazakhstan, Almaty, st. Timiryazeva, 28v, 6th floor, office. 603. phone: +7 727 331 6611. Email: hello@buhta.com. site: buhta.com

Certificate of entering information into the state register of rights to objects protected by copyright No. 6944 dated December 10, 2019. Included in the state register of KKM under number 233 on June 20, 2019.

All personal data is stored and processed in accordance with the Law of the Republic of Kazakhstan dated May 21, 2013 No. 94-V "On personal data and their protection"