Политика информационной безопасности ТОО «Бухта»

Назначение документа

Политика информационной безопасности (далее - Политика) предназначена для определения целей и требований обеспечения информационной безопасности ТОО «Бухта». Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается предоставлением доступа к информационным ресурсам только авторизованным пользователям, целостность – обеспечивается в случае внесения изменений в данные авторизованными пользователями, доступность – в обеспечении возможности доступа к информационным ресурсам авторизованным пользователям в нужное для них время.

Основные термины и определения:

1. Товарищество – товарищество с ограниченной ответственностью «Бухта»;

2. Информационная безопасность (далее ИБ) – комплекс правовых, технических и организационных мероприятий, направленных на обеспечение защиты информационных ресурсов от несанкционированного доступа, искажения и уничтожения, для, обеспечение конфиденциальности, целостности и доступности информации;

3. Отдел информационных технологий (далее ОИТ) – структурное подразделение Товарищества, имеющее компетенцию в данной области, осуществляющее системно- техническое обслуживание информационных систем;

4. Информационная система (далее ИС) – совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

5. Электронные информационные ресурсы (далее ЭИР) – информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;

6. Администратор ИС – работник Товарищества, ответственный за администрирование, сопровождение и обеспечение бесперебойного функционирования ИС Товарищества;

7. Пользователь ИС – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции и(или) задачи;

8. База данных – совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования, независимая от прикладных программ. База данных является информационной моделью предметной области;

9. Конфиденциальность информации – обеспечение предоставления информации только авторизованным лицам;

10. Целостность информации – состояние информации (информационных ресурсов автоматизированной информационной системы), при котором её(их) изменение осуществляется только авторизованными пользователями;

11. Доступность – обеспечение возможности доступа авторизованным пользователям к информационным ресурсам автоматизированной информационной системы в нужное время. Настоящий документ разработан в соответствии с нормативно-правовыми актами и документами Республики Казахстан и международными стандартами.

Цели и задачи обеспечения ИБ

12. Целью обеспечения информационной безопасности является предотвращение и минимизация возможного ущерба от реализации угроз информационной безопасности, а также повышение общего уровня конфиденциальности, целостности и доступности информационных ресурсов Товарищества. Задачами обеспечения ИБ являются:

13. Обеспечение непрерывности деятельности Товарищества, управление рисками в целях недопущения или снижения вероятности возникновения внештатных ситуаций, выявление и недопущение нарушений, а также условий для их реализации;

14. Создание механизма оперативного мониторинга и реагирования на нарушения.

Основные принципы обеспечения ИБ

15. Основным принципом является защита ИС и ЭИР Товарищества от возможного нанесения ущерба посредством несанкционированного вмешательства в процесс функционирования.

16. Защита ИС и ЭИР Товарищества достигается посредством обеспечения и постоянного поддержания доступности, конфиденциальности и целостности информации.

Область распространения

17. Действие настоящей Политики распространяется на все структурные подразделения Товарищества, а также подрядной организации при её наличии и учитывается в договорных отношениях поставщиками услуг.

18. Настоящая Политика применяется ко всем работникам Товарищества, подрядной организации при ее наличии, ко всем информационным технологиям и телекоммуникационным ресурсам, используемым в Товариществе, а также ко всем помещениям, в которых пользователь может получить доступ к ИС и информационно-коммуникационной инфраструктуре Товарищества.

19. В целях обеспечения выполнения содержащихся в Политике нормативных правил необходимо обеспечить ее соблюдение третьими сторонами.

Распределение обязанностей по обеспечению ИБ

20. Руководство Товарищества совместно с ОИТ и Ответственными за ИБ обязано активно реализовывать комплекс мероприятий по поддержанию ИС и ЭИР Товарищества посредством предоставления ясных указаний, демонстрируемых обязательств, четких постановок задач и осведомленности работников об обязанностях по обеспечению ИБ.

21. Ответственный за ИБ обеспечивает формирование и контроль выполнения всех пунктов данной политики, должен пересматривать эффективность реализации политики ИБ и обеспечить четкое управление и зримую поддержку инициатив в области поддержки Системы управления информационной безопасностью, совместно с ОИТ должен инициировать планы и программы по поддержанию осведомленности об ИБ.

22. Руководство должно обеспечивать координацию мер контроля за ИБ в Товариществе, предоставлять ресурсы для обеспечения ИБ, должно утверждать распределение специфических ролей и обязанностей по ИБ

23. Администраторы ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно Руководству администратора ИС Товарищества.

24. Пользователи ИС Товарищества обязаны действовать в строгом соответствии с зонами их ответственности, согласно своим должностным обязанностям, учётных ролей в ИС и Руководству пользователя ИС Товарищества.

25. Ответственный за ИБ отвечает за руководство разработкой, анализом Политики ИБ Товарищества.

Координация ИБ

26. Действия по обеспечению ИБ должны координироваться руководством Товарищества соответствии с их компетенцией и должностным положением . Эта деятельность должна:

27. Обеспечивать соответствие выполнения мероприятий по обеспечению ИБ;

28. Определять мероприятия по обеспечению ИБ в случае ее несоответствия политике ИБ;

29. Утверждать методологии и процессы обеспечения ИБ, например, оценку рисков, классификацию информации;

30. Идентифицировать все изменения угроз ИБ и степень уязвимости информации и средств обработки информации к угрозам ИБ;

31. Оценивать адекватность принимаемых решений и координировать реализацию мер контроля ИБ;

32. Повышать профессиональный уровень пользователей за счёт обучения, подготовке по ИБ и осведомленности о ней;

33. Оценивать информацию, полученную от мониторинга и просмотра инцидентов по ИБ и рекомендовать соответствующие мероприятия в ответ на идентифицированные инциденты ИБ.

Обучение и осведомленность в вопросах ИБ

34. Требования к обучению и осведомленности в вопросах ИБ:

35. Пользователи, сотрудники ОИТ и администраторы ИС Товарищества должны быть ознакомлены с политикой ИБ и соблюдать ее требования;

36. Ответственный за ИБ Товарищества должен проводить первичный инструктаж по ИБ;

37. Сотрудники ОИТ и Администратор ИС Товарищества, обеспечивающие функционирование ИС Товарищества должны проходить регулярный инструктаж по соблюдению требований ИБ;

38. В целях обеспечения ИБ необходимо согласовать и определить в соглашении с третьей стороной мероприятия по управлению ИБ Товарищества;

39. Ответственный за ИБ по мере необходимости проходит курсы по повышению квалификации по информационной безопасности;

40. В целях обеспечения гарантированного уведомления ответственным за ИБ, всех заинтересованных сторон об инциденте и уязвимости ИБ по отношению к ИС Товарищества должны быть реализованы формальные процедуры по уведомлению об инциденте и проявлении угроз. Для трансляции уведомлений должен быть избран способ, гарантированно позволяющий своевременно принять корректирующие меры по сохранению ИБ;

41. Ответственный за ИБ Товарищества должен знать процедуры уведомления, а также располагать сведениями о различных типах событий или слабых местах, которые могут влиять на безопасность ресурсов, о наступлении которых или предпосылках к таковым необходимо отправить уведомление;

42. Сотрудники ОИТ и Администраторы ИС Товарищества обязаны как можно быстрее сообщать любых нарушениях в сфере ИБ ответственному за ИБ лицу;

43. Ответственные лица по ИБ должны вести мониторинг посещения серверного помещения за сотрудниками ОИТ.

Управление инцидентами

44. В случае обнаружения нарушения информационной безопасности следует незамедлительно доложить ответственному по ИБ.

45. Все сотрудники, подрядчики и пользователи, пользующиеся ИС и ЭИР Товарищества обязаны незамедлительно доложить об инциденте ответственному по ИБ и по возможности обеспечить минимизацию ущерба.

46. В случае возникновения инцидента ИБ или другой нештатной ситуации необходимо руководствоваться «Инструкцией о порядке действий пользователей по реагированию на инциденты ИБ во внештатных (кризисных) ситуациях».

Управление непрерывностью бизнеса

47. Необходимо внедрить процесс управления непрерывностью бизнеса с целью минимизации влияния на деятельность Товарищества и восстановления после потери информационных активов. Этот процесс должен идентифицировать важные бизнес-процессы и интегрировать требования непрерывности бизнеса управления информационной безопасностью с другими требованиями непрерывности касательно таких аспектов, как операции, кадровое обеспечение, материалы, транспорт и оборудование.

48. Последствия нарушений безопасности, отказов в обслуживании и доступность сервисов должны быть предметом анализа степени влияния на бизнес. Информационная безопасность является составной частью общего процесса непрерывности бизнеса, и других процессов управления в организации, для идентификации и уменьшения рисков.

Анализ и оценка рисков

49. Требования к анализу и оценке рисков:

50. Политика ИБ Товарищества основывается на данных, полученных в результате анализа и оценки рисков ИБ;

51. С целью совершенствования политики информационной безопасности Товарищества, проводиться ежегодный анализ и оценка рисков информационной безопасности для ИС и ЭИР Товарищества в соответствии со стандартами, действующими на территории Республики Казахстан и международными регламентами;

Контроль изменений

52. В целях минимизации влияния инцидентов, связанных с изменениями, на качество предоставляемых услуг, работоспособности ИС, используются стандартные методы и процедуры для продуктивной и своевременной обработки изменений, прописанные в Положении об управлением изменением товарищества.

Пересмотр политики ИБ

53. Товарищество является владельцем Политики ИБ. Пересмотр политики ИБ производится не реже одного раза в год и должен включать возможности оценки для улучшения в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде.

54. Пересмотренная политика и все технические документы по информационной безопасности должны утверждаться руководством.

Ответственность и контроль эффективности политики информационной безопасности

55. Для обеспечения необходимого уровня информационной безопасности Товарищество производит постоянный контроль эффективности.

56. Руководство несет ответственность за выполнение всех пунктов данной политики.

57. За Планирование и контроль состояния информационной безопасности в Товариществе несет ответственность Ответственный за ИБ сотрудник.

58. В случае нарушения требований настоящей Политики ИБ все субъекты Товарищества привлекаются к административной или иной ответственности в соответствии с действующим законодательством Республики Казахстан.