Политика информационной безопасности
Декларация
Общество с ограниченной ответственностью «Лаборатория Безопасных Систем» (далее – Адваланж) провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.
Политика информационной безопасности является основополагающим документом, определяющим позицию, цели, задачи и принципы Адваланж в области информационной безопасности.
Адваланж рассматривает риски информационной безопасности как вероятность возникновения негативных событий, которые могут нанести ущерб компании или ее сотрудникам.
Применительно к сфере информационной безопасности Адваланж минимизирует или устраняет такие риски как:
- Утечка конфиденциальной информации.
- Атаки на информационные системы.
- Действия неблагонадежных сотрудников.
- Использование неполной или искаженной информации.
- Доступ к потенциально опасным объектам в сети Интернет.
- Потеря или недоступность важных данных.
- Вредоносное программное обеспечение.
- Распространение во внешней среде информации, угрожающей репутации Адваланж.
Общество с ограниченной ответственностью «Лаборатория Безопасных Систем» (далее – Адваланж) провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.
Политика информационной безопасности является основополагающим документом, определяющим позицию, цели, задачи и принципы Адваланж в области информационной безопасности.
Адваланж рассматривает риски информационной безопасности как вероятность возникновения негативных событий, которые могут нанести ущерб компании или ее сотрудникам.
Применительно к сфере информационной безопасности Адваланж минимизирует или устраняет такие риски как:
- Утечка конфиденциальной информации.
- Атаки на информационные системы.
- Действия неблагонадежных сотрудников.
- Использование неполной или искаженной информации.
- Доступ к потенциально опасным объектам в сети Интернет.
- Потеря или недоступность важных данных.
- Вредоносное программное обеспечение.
- Распространение во внешней среде информации, угрожающей репутации Адваланж.
Соответствие
Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», а так же Международным стандартом ISO/IEC 27001 «Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности – Требования».
Соблюдение принципов, правил и требований Политики информационной безопасности является элементом корпоративной культуры Адваланж.
Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», а так же Международным стандартом ISO/IEC 27001 «Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности – Требования».
Соблюдение принципов, правил и требований Политики информационной безопасности является элементом корпоративной культуры Адваланж.
Принципы
В Адваланж определены следующие принципы обеспечения информационной безопасности:
Принцип системности. Информационные активы рассматриваются как взаимозависимые компоненты единой системы.
Принцип полноты. Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз.
Принцип эшелонированности. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.
Принцип равнопрочности. Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.
Принцип непрерывности. Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла информационных активов.
Принцип разумной достаточности. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.
Принцип законности. Адваланж строго соблюдает законодательство в области информационных технологий, требования нормативных правовых и технических документов в области информационной безопасности.
Принцип управляемости. Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.
Принцип персональной ответственности. Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника Адваланж в пределах его полномочий.
Ответственность за нарушение политики. Сотрудники Адваланж обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами, как компании Адваланж, так и её партнёров и контрагентов.
В Адваланж определены следующие принципы обеспечения информационной безопасности:
Принцип системности. Информационные активы рассматриваются как взаимозависимые компоненты единой системы.
Принцип полноты. Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз.
Принцип эшелонированности. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.
Принцип равнопрочности. Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.
Принцип непрерывности. Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла информационных активов.
Принцип разумной достаточности. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.
Принцип законности. Адваланж строго соблюдает законодательство в области информационных технологий, требования нормативных правовых и технических документов в области информационной безопасности.
Принцип управляемости. Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.
Принцип персональной ответственности. Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника Адваланж в пределах его полномочий.
Ответственность за нарушение политики. Сотрудники Адваланж обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами, как компании Адваланж, так и её партнёров и контрагентов.
Цель
Управление и обеспечение информационной безопасности Адваланж ориентировано на достижение следующих целей:
- Предоставление безопасной информационной среды для функционирования и развития бизнеса.
- Повышение конкурентоспособности, деловой репутации и ценности бизнеса, путем минимизации рисков в области информационной безопасности.
- Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
- Повышение корпоративной культуры обработки и защиты информации, в том числе персональных данных.
- Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.
Управление и обеспечение информационной безопасности Адваланж ориентировано на достижение следующих целей:
- Предоставление безопасной информационной среды для функционирования и развития бизнеса.
- Повышение конкурентоспособности, деловой репутации и ценности бизнеса, путем минимизации рисков в области информационной безопасности.
- Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
- Повышение корпоративной культуры обработки и защиты информации, в том числе персональных данных.
- Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.
Задачи
Для достижения целей в Адваланж приняты следующие задачи в области информационной безопасности:
- Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью.
- Вовлечение высшего руководства Адваланж в процесс функционирования системы управления информационной безопасностью.
- Регулярное рассмотрение вопросов информационной безопасности рабочими группами.
- Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности.
- Оценка эффективности расходов.
- Обеспечение безопасности информационных активов Адваланж.
- Соблюдение законодательства, требований регулирующих органов в области информационной безопасности и защиты персональных данных.
- Совершенствование технических, организационных и правовых мер защиты.
- Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
- Проведение оценки рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
- Управление инцидентами информационной безопасности совершенствование механизмов реагирования на них.
- Повышение осведомленности сотрудников Адваланж и регулярное прохождение обязательного обучения по информационной безопасности.
- Формализация требований информационной безопасности в локальных нормативных актах.
- Учет требований информационной безопасности в проектной деятельности.
- Проверка благонадежности соискателей, сотрудников, контрагентов и других деловых партнеров.
- Мониторинг системы управления информационной безопасностью и проведение периодических аудитов.
Для достижения целей в Адваланж приняты следующие задачи в области информационной безопасности:
- Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью.
- Вовлечение высшего руководства Адваланж в процесс функционирования системы управления информационной безопасностью.
- Регулярное рассмотрение вопросов информационной безопасности рабочими группами.
- Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности.
- Оценка эффективности расходов.
- Обеспечение безопасности информационных активов Адваланж.
- Соблюдение законодательства, требований регулирующих органов в области информационной безопасности и защиты персональных данных.
- Совершенствование технических, организационных и правовых мер защиты.
- Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
- Проведение оценки рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
- Управление инцидентами информационной безопасности совершенствование механизмов реагирования на них.
- Повышение осведомленности сотрудников Адваланж и регулярное прохождение обязательного обучения по информационной безопасности.
- Формализация требований информационной безопасности в локальных нормативных актах.
- Учет требований информационной безопасности в проектной деятельности.
- Проверка благонадежности соискателей, сотрудников, контрагентов и других деловых партнеров.
- Мониторинг системы управления информационной безопасностью и проведение периодических аудитов.
Организация
Настоящая политика является глобальным нормативным актом постоянного действия.
Настоящая политика утверждается, изменяется и признается утратившей силу Генеральным директором Адваланж. Пересмотр политики проводится на регулярной основе не реже одного раза в год или по мере необходимости.
Информационная безопасность — это состояние защищённости корпоративных данных Адваланж, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Защищенность информационных активов Адваланж характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.
Под информационными активами, для целей настоящей политики, признаются информация, деловая репутация, материальные ценности и бизнес-процессы.
Настоящая политика является глобальным нормативным актом постоянного действия.
Настоящая политика утверждается, изменяется и признается утратившей силу Генеральным директором Адваланж. Пересмотр политики проводится на регулярной основе не реже одного раза в год или по мере необходимости.
Информационная безопасность — это состояние защищённости корпоративных данных Адваланж, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Защищенность информационных активов Адваланж характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.
Под информационными активами, для целей настоящей политики, признаются информация, деловая репутация, материальные ценности и бизнес-процессы.
Ответственность
Руководство Адваланж осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.
Руководство Адваланж инициирует и контролирует работы в области информационной безопасности.
Руководители и специалисты по информационным технологиям и информационной безопасности Адваланж должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Адваланж.
Каждый сотрудник Адваланж за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.
Руководство Адваланж осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.
Руководство Адваланж инициирует и контролирует работы в области информационной безопасности.
Руководители и специалисты по информационным технологиям и информационной безопасности Адваланж должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Адваланж.
Каждый сотрудник Адваланж за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.
Ресурсы
Адваланж стремится к внедрению современных программных, технических, организационных и юридических средств и методов обеспечения информационной безопасности.
Для безопасного использования корпоративных ресурсов, основываясь на мировых стандартах в области информационной безопасности, в Адваланж разрабатываются и внедряются внутренние нормативные документы в области Качества, Кадров, Комплаенс, Безопасности и Юриспруденции.
Соглашения о конфиденциальности и неразглашении информации, которые заключаются с сотрудниками и контрагентами, являются неотъемлемой частью системы управления информационной безопасностью Адваланж.
Для работы в сети Интернет, общения в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств, платформ, сред разработки и коммуникации, Адваланж внедряет организационные, методические, программные и технические меры информационной безопасности и защиты.
Адваланж стремится к внедрению современных программных, технических, организационных и юридических средств и методов обеспечения информационной безопасности.
Для безопасного использования корпоративных ресурсов, основываясь на мировых стандартах в области информационной безопасности, в Адваланж разрабатываются и внедряются внутренние нормативные документы в области Качества, Кадров, Комплаенс, Безопасности и Юриспруденции.
Соглашения о конфиденциальности и неразглашении информации, которые заключаются с сотрудниками и контрагентами, являются неотъемлемой частью системы управления информационной безопасностью Адваланж.
Для работы в сети Интернет, общения в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств, платформ, сред разработки и коммуникации, Адваланж внедряет организационные, методические, программные и технические меры информационной безопасности и защиты.
Требования
Сотрудники Адваланж должны руководствоваться настоящей политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.
Высокие корпоративные стандарты и правила обеспечения информационной безопасности Адваланж обязательны для всех без исключения сотрудников Адваланж и должны учитываться во взаимоотношениях с партнерами и контрагентами.
Представители партнёров и контрагентов, использующие информационные активы Адваланж, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством
Сотрудники Адваланж должны руководствоваться настоящей политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.
Высокие корпоративные стандарты и правила обеспечения информационной безопасности Адваланж обязательны для всех без исключения сотрудников Адваланж и должны учитываться во взаимоотношениях с партнерами и контрагентами.
Представители партнёров и контрагентов, использующие информационные активы Адваланж, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством