Обращение директора компании
Информационная безопасность в Ладуге — это командная работа, которая предполагает участие каждого из нас как пользователя, работающего с данными и информационной системой. Наша личная ответственность — знать эту политику и вести свою деятельность соответствующим образом. Защита информации компании и систем, которые хранят, обрабатывают эту информацию, имеет решающее значение.
Безопасность информационных систем должна включать средства контроля и защиты для устранения возможных угроз, а также средства контроля для обеспечения конфиденциальности, целостности и доступности данных. Политика безопасности информационных систем Ладуги предусматривает меры для создания и обеспечения информационной безопасности. Обязательно ознакомьтесь с этой политикой.
Валерий Овчинников, директор
Настоящая политика определяет цели и принципы обеспечения информационной безопасности в компании Ладуга (далее — Компания).
Политика распространяется на главный офис Компании и все представительства. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов.
Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность — в случае внесения в данные исключительно авторизованных изменений, доступность — при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.
Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании.
Информация, ноу-хау и интеллектуальная собственность является важнейшим активом Компании, защита информации является обязанностью каждого сотрудника.
Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в оптимальном объеме, не нарушающем непрерывность бизнеса компании.
Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.
Сотрудники Компании проходят обучение в области информационной безопасности.
В Компании ежегодно проводится независимый аудит информационной безопасности.
Генеральный директор Компании утверждает регламенты информационной безопасности.
Отдел информационных технологий (ИТ отдел) отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в Компании.
Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO 27001 и ISO 27002.
Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности.
Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнес-процессах.
При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке.
Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.
Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных регламентов информационной безопасности:
- Регламент использования паролей;
- Регламент допустимого использования данных;
- Регламент удаленного доступа;
- Регламент системных изменений;
- Регламент мониторинга;
- Регламент технической поддержки;
- Регламент физической безопасности.
Несоблюдение регламентов информационной безопасности сотрудниками Компании будет воспринято серьезно и может привести к дисциплинарным взысканиям в соответствии с правовыми и договорными нормами, включая увольнение и судебное преследование, согласно законодательству РФ.
Каждый сотрудник подтверждает, что предупрежден о том, что в соответствии с законодательством РФ разглашение сведений, составляющих коммерческую тайну, может повлечь гражданско-правовую, административную и уголовную ответственность.
Данная Политика будет пересматриваться ежегодно, или чаще, если это необходимо.