Политика информационной безопасности

Назначение

Настоящий документ «Политика информационной безопасности Компании «Элайтс» (далее — Политика) является основополагающим документом, определяющим позицию, цели, задачи и принципы Компаний «Элайтс» (далее — Элайтс) в области информационной безопасности.

Общие положения

Информационная безопасность — это совокупность сотрудников, политик, процессов и технологий, задействованных Элайтс в целях защиты информационных активов. Защищенность информационных активов Элайтс характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.

Под информационными активами для целей настоящей Политики признаются сотрудники, информация, деловая репутация, материальные ценности и бизнес-процессы.

Деятельность Элайтс в области информационной безопасности основывается на стратегии развития Элайтс, а решаемые задачи способствуют эффективному и безопасному развитию бизнеса Элайтс в современном мире цифровизации и цифровой трансформации.

Политика разработана в соответствии с положениями международных стандартов и мировых передовых практик.

Период действия и внесение изменений

Настоящая Политика является локальным нормативным актом постоянного действия. Настоящая Политика утверждается, изменяется и признается утратившей силу Генеральным директором «Элайтс». Пересмотр Политики проводится на регулярной основе не реже одного раза в два года или по мере необходимости.

Декларация об информационной безопасности

Принятием Политики Элайтс провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.

Руководство Элайтс осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.

Руководство Элайтс инициирует и контролирует работы в области информационной безопасности.

Соблюдение принципов, правил и требований информационной безопасности является элементом корпоративной культуры Элайтс.

Руководители и специалисты по информационной безопасности Элайтс должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Элайтс.

Сотрудники Элайтс должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.

Каждый сотрудник Элайтс или партнера Элайтс несёт ответственность за выполнение требований информационной безопасности при работе с информационными активами.

Достижение целей информационной безопасности при соблюдении принципов дополнительно позволит упрочить конкурентные преимущества, обеспечить соответствие правовым, регуляторным и договорным требованиям, снизить риски деловой репутации.

Цели в области информационной безопасности

Управление и обеспечение информационной безопасности Элайтс ориентировано на достижение следующих целей:

  • Предоставление безопасной информационной среды для функционирования и развития бизнеса.
  • Повышение конкурентоспособности, деловой репутации и ценности бизнеса для акционеров путем снижения уровня риска в области информационной безопасности.
  • Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
  • Повышение корпоративной культуры обработки и защиты информации, в т. ч. персональных данных.
  • Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.

Задачи в области информационной безопасности

Для достижения целей в Элайтс приняты следующие задачи в области информационной безопасности:

  • Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью (далее — СУИБ).
  • Вовлечение высшего руководства Элайтс в процесс функционирования СУИБ.

Вопросы информационной безопасности регулярно рассматриваются уполномоченными комитетами и/или рабочими группами.

  • Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности. Оценка эффективности расходов.
  • Обеспечение безопасности информационных активов Элайтс.
  • Соблюдение законодательства, требований регулирующих организаций в области информационной безопасности и защиты персональных данных.
  • Совершенствование технических, организационных и правовых мер защиты.
  • Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
  • Использование рискориентированного подхода. В Элайтс регулярно проводится оценка рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
  • Управление инцидентами информационной безопасности. Элайтс непрерывно совершенствует механизмы реагирования на инциденты.
  • Повышение осведомленности сотрудников. Сотрудники Элайтс регулярно проходят обязательное обучение по информационной безопасности.
  • Формализация требований информационной безопасности. Требования фиксируются в локальных нормативных актах и доводятся до сотрудников.
  • Учет требований информационной безопасности в проектной деятельности. Разработка и документирование требований к обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов.
  • Проверка благонадежности сотрудников. Все кандидаты на вакантные должности проходят проверку в соответствии с установленными процедурами.
  • Мониторинг и непрерывное совершенствование СУИБ по результатам периодических аудитов (проверок).

Принципы обеспечения информационной безопасности

В Элайтс определены следующие принципы обеспечения информационной безопасности:

Принцип системности

Активы рассматриваются как взаимозависимые компоненты единой системы. Взаимовлияние компонентов учитывается при анализе рисков и угроз информационной безопасности.

Принцип полноты (комплексности)

В целях обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз и отсутствие и уязвимостей в точках интеграции.

Принцип эшелонированности

Недопустимо полагаться на один защитный рубеж. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.

Принцип равнопрочности

Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.

Принцип непрерывности

Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла активов.

Принцип разумной достаточности

«Абсолютная» защита активов невозможна. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.

Принцип законности

При выборе и реализации мер обеспечения информационной безопасности Элайтс строго соблюдает применимое законодательство, требования нормативных правовых и технических документов в области информационной безопасности.

Принцип управляемости

Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, т.е. необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.

Принцип персональной ответственности

Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника в пределах его полномочий.

Ответственность за нарушение Политики

Сотрудники Элайтс обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами Элайтс, её партнёров и контрагентов.

Высокие корпоративные стандарты и правила обеспечения информационной безопасности Элайтс обязательны для всех без исключения сотрудников Элайтс и должны учитываться во взаимоотношениях с партнерами и контрагентами.

При использовании сети Интернет, при общении в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств и платформ коммуникаций сотрудникам Элайтс следует проявлять осмотрительность и сдержанность.

Каждый сотрудник Элайтс за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.

Сотрудники партнёров и контрагентов, использующие информационные активы Элайтс, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством.

Генеральный директор «Элайтс»
Ковалева Лариса Александровна

Чтобы подобрать необходимое оборудование
для автоматизации магазина розничной торговли,
свяжитесь с нашим менеджером
по бесплатному номеру
8-800-700-7824
Рейтинг@Mail.ru Яндекс цитирования