Политика информационной безопасности

Политика информационной безопасности устанавливает основу для защиты информации, облегчает принятие решений по управлению безопасностью и определяет цели, которые устанавливают, продвигают и обеспечивают наилучшие средства контроля информационной безопасности. Политика охватывает всю информацию и информационные системы, включая информацию и информационные системы, используемые, управляемые или эксплуатируемые компанией на этом сайте. Политика информационной безопасности направлена на защиту конфиденциальности, целостности и доступности данных, на классификацию и обработку информации, а также на борьбу с нарушениями этой Политики.

Политика информационной безопасности обеспечивает комплексный набор мер защиты, которые должны одинаково применяться на нашем веб-сайте для обеспечения безопасной операционной среды для его работы.

Цель

Управление информационной безопасностью заключается в обоснованном выборе и эффективном внедрении соответствующих средств контроля для защиты критически важных информационных активов организации.  Процессы контроля и управления в сочетании с последующим мониторингом их целесообразности и эффективности являются двумя основными элементами программы информационной безопасности.  Три цели информационной безопасности включают:

• Конфиденциальность: Защита конфиденциальной информации от разглашения несанкционированным лицам или системам;
• Целостность: Защита точности, полноты и своевременности информации;
• Доступность: Обеспечение доступа к информации и жизненно важным услугам для авторизованных пользователей в случае необходимости.

Сфера применения

Эта политика распространяется на всех сотрудников, подрядчиков, партнеров, стажеров/практикантов, работающих в нашей компании. Сторонние поставщики услуг, которые предоставляют услуги хостинга или у которых данные хранятся вне помещений компании, также должны придерживаться этой политики.

Сфера действия этой Политики информационной безопасности распространяется на информацию, которая хранится, передается и обрабатывается в пределах нашей компании, а также на данные компании, передаваемые на аутсорсинг.

Цели

Целью Политики информационной безопасности является предоставление нашей компании подхода к управлению информационными рисками и директив по защите информационных активов для всех подразделений, а также для тех, с кем заключены контракты на предоставление услуг.

Классификация информационных активов

Информационные активы компании делятся на четыре категории: Публичная, Внутренняя, Конфиденциальная и С ограниченным доступом. Все основные информационные активы должны иметь назначенного владельца, который отвечает за установление процедур аутентификации и авторизации, соответствующих этим категориям, с указанием этого:

1. Общедоступная информация, как правило, может быть предоставлена или распространена среди широкой общественности. Это информация, которая не требует защиты и при использовании по назначению не будет иметь практически никакого негативного влияния на деятельность, активы или репутацию обязательств компании по конфиденциальности информации.
2. Конфиденциальная информация предназначена только для внутреннего использования, доступ к ней имеют только те работники, которым она необходима для выполнения обязанностей компании (конфиденциальная информация включает информацию, которая защищена государственным законодательством или деловыми договорными обязательствами), и требует защиты конфиденциальности и безопасности.
3. Информация с ограниченным доступом, которая должна храниться в строгой конфиденциальности с доступом на основе принципа "необходимо знать". Примеры включают информацию, затрагивающую национальные интересы и/или национальную безопасность.

Все сотрудники должны знать о своей юридической и корпоративной ответственности за ненадлежащее использование, передачу или разглашение информации другой стороне. Любая третья сторона, которая получает конфиденциальную информацию или информацию с ограниченным доступом, должна иметь на это разрешение, а это лицо или его организация должны принять меры информационной безопасности, которые гарантируют конфиденциальность и целостность этих данных.

Конфиденциальную информацию следует защищать, чтобы предотвратить несанкционированный доступ к ней или ее разглашение.

Информация с ограниченным доступом имеет самый высокий уровень чувствительности и представляет наибольший риск для компании, государства и отдельных лиц, если к ней получат доступ посторонние лица или она станет известной посторонним лицам. Поэтому сотрудники компании, которые работают с информацией с ограниченным доступом или используют системы, которые хранят, передают или манипулируют информацией с ограниченным доступом, обязаны постоянно поддерживать конфиденциальность, целостность и доступность такой информации/данных.

Управление информационной безопасностью

Управление информационной безопасностью состоит из руководства, организационных структур и процессов, которые защищают информацию и смягчают растущие угрозы информационной безопасности.

Критически важными результатами управления информационной безопасностью являются:

• Согласование информационной безопасности с бизнес-стратегией для поддержки организационных целей
• Управление и уменьшение рисков и снижение потенциальных воздействий на информационные ресурсы до приемлемого уровня
• Управление эффективностью информационной безопасности путем измерения, мониторинга и отчетности по показателям управления информационной безопасностью для обеспечения достижения целей организации
• Оптимизация инвестиций в информационную безопасность для поддержки целей организации. Важно учитывать организационную необходимость и преимущества управления информационной безопасностью.

Ответственность

Отдел маркетинга отвечает за наполнение веб-сайта и обеспечение соответствия материалов законодательным и политическим требованиям.

ИТ-отдел отвечает за безопасность, функциональность и инфраструктуру веб-сайта. Системные администраторы следят за работой нашего сайта на предмет скорости реагирования и решения любых возникающих проблем.

Информирование и коммуникация

Важно, чтобы все аспекты информационной безопасности, включая конфиденциальность, приватность и процедуры, связанные с доступом к системе, были включены в официальные процедуры введения в должность и регулярно доводились до сведения существующего персонала.

В начале работы сотрудники должны быть проинформированы о том, что они не должны разглашать любую информацию, к которой они могут иметь доступ во время выполнения своих служебных обязанностей. Сотрудники также должны быть проинформированы о том, что они не должны пытаться получить доступ к данным, которые не являются необходимыми для выполнения их обычных обязанностей.