Политика информационной безопасности edna

1. Общие положения

Настоящий документ является базисным в области обеспечения информационной безопасности (далее – ИБ) бизнес-процессов компании edna (далее – Компания) и включен в комплект документов по системе управления информационной безопасностью (далее – СУИБ).

Настоящий документ определяет цели и задачи в области ИБ Компании, формулирует основные принципы и подходы, которые применяются для обеспечения стабильного функционирования бизнес-процессов Компании и защиты ее информационных активов.

Стратегическая задача, утвержденная руководством Компании, – обеспечение защиты информационных активов, задействованных в бизнес-процессах Компании, а также информации и персональных данных клиентов, партнеров, работников, любых юридических и физических лиц, находящихся в правовых отношениях или иных видах взаимодействия с Компанией.

Нарушение применяемых в Компании требований ИБ может привести к финансовым потерям, правовым санкциям, ущербу репутации Компании, в том числе к потере доверия со стороны клиентов и партнеров, снижению конкурентоспособности на рынке.

Надлежащий уровень ИБ в Компании обеспечивается в соответствии с требованиями бизнеса, законодательства и регуляторов в области ИБ за счет внедрения и постоянного развития СУИБ на основе лучших практик ИБ.

Для повышения качества процессов обеспечения ИБ в Компании внедрена СУИБ, соответствующая требованиям международного стандарта ISO/IEC 27001:2022.

Настоящий документ распространяется на все бизнес-процессы Компании и является обязательным для исполнения всеми работниками и руководством Компании.

2. Термины и определения

Актив – все, что имеет ценность для организации [ISO/IEC 27000:2018].

Информационная безопасность (ИБ) – сохранение конфиденциальности, целостности и доступности информации [ISO/IEC 27000:2018].

Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на информационный ресурс в целях нарушения и (или) прекращения его функционирования и (или) создания угрозы безопасности информации, обрабатываемой таким ресурсом.

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную опасность утечки информации или несанкционированных воздействий на неё.

3. Цели и задачи в области информационной безопасности

Цели Компании в области ИБ:

  • обеспечение стабильного функционирования бизнес-процессов и сервисов Компании;
  • защита информационных активов, включая персональные данные работников, клиентов/партнеров и их представителей, от нарушения конфиденциальности, целостности и доступности;
  • поддержание высокой деловой репутации Компании, благодаря прозрачности и надежности мер ИБ, основанных на международных стандартах и лучших практиках ИБ;
  • соответствие требованиям международных стандартов ИБ в целях обеспечения конкурентоспособности на международном рынке.

Достижение целей Компании в области ИБ обеспечивается за счет решения следующих задач:

  • выполнение требований законодательства Российской Федерации, соответствие требованиям нормативно-методических документов регуляторов и стандартам, установленным в области ИБ, соответствие договорным обязательствам;
  • своевременное выявление и оценка угроз ИБ;
  • применение организационных и технических мер защиты информации;
  • обеспечение непрерывности бизнес-процессов и сервисов Компании;
  • мониторинг и контроль функционирования СУИБ;
  • управление инцидентами ИБ;
  • вовлеченность работников в процессы ИБ и повышение их осведомленности в вопросах ИБ;
  • непрерывное совершенствование процессов ИБ.

4. Принципы обеспечения информационной безопасности

Основные принципы деятельности Компании в области ИБ:

  • вовлеченность руководства Компании в процессы ИБ – руководство Компании принимает на себя ответственность за планирование, управление и обеспечение ИБ, назначает ответственных лиц за процессы ИБ, а также демонстрирует личную приверженность принципам ИБ;
  • обеспечение ресурсами – руководство Компании выделяет необходимое финансирование на технические и организационные меры защиты информации, включая приобретение необходимых программно-технических средств, найм специалистов в области ИБ, обучение и повышение квалификации работников в вопросах ИБ, проведение внешних аудитов и пр.;
  • законность и соответствие требованиям информационной безопасности – обеспечение ИБ основывается на выполнении требований законодательства Российской Федерации, международного стандарта ISO/IEC 27001, а также лучших практиках в области ИБ;
  • обоснованность выбора мер защиты информации – применяемые меры базируются на регулярной оценке рисков ИБ, контроле эффективности действующей защиты и экономической целесообразности;
  • подконтрольность процессов ИБ – проводятся мониторинг, контроль и анализ результатов внутренних проверок мер защиты, а также оценка рисков новых угроз безопасности информации;
  • постоянное совершенствование ИБ – систематическое улучшение мер защиты информации по результатам контроля и оценки эффективности действующих процессов ИБ, а также на основе анализа публичной информации о новых угрозах безопасности информации, компьютерных атаках, изменениях требований регуляторов, тенденциях и передовом российском и зарубежном опыте в области ИБ;
  • персональная ответственность – каждый работник Компании несет ответственность за соблюдение требований ИБ в рамках своих должностных обязанностей.

5. Ответственность

Все работники Компании должны соблюдать требования ИБ при выполнении своих должностных обязанностей. Правила ИБ обязательны при работе с информацией как работников, так и контрагентов Компании.

Руководители подразделений несут ответственность за выполнение подчиненными требований информационной безопасности.

За несоблюдение требований ИБ работник Компании может быть привлечен к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в соответствии с законодательством Российской Федерации.

6. Распространение политики информационной безопасности

Настоящий документ в обязательном порядке доводится до сведения всех работников Компании.

При необходимости документ может быть передан для ознакомления клиентам, партнерам, подрядным организациям и пр.

7. Актуализация и пересмотр

Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Компании, но не реже одного раза в три года.

8. Контроль версий

Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Компании, но не реже одного раза в три года.

ВерсияДатаОтветственныйИзменения
1.012.02.2024Инженер по информационной безопасностиРазработан новый документ

Сертификат соответствия

Международный стандарт ISO/IEC 27001:2022

Аттестаты соответствия

Аттестат соответствия «152-ФЗ»: Клиентские системы edna для маршрутизации электронных сообщений
Аттестат соответствия «152-ФЗ»: Система edna Chat Center (cloud версия)

Мы используем cookie-файлы для анализа ваших посещений сайта. Нажимая кнопку «ОК» или продолжая использовать сайт, вы соглашаетесь на использование cookie и обработку данных в соответствии с Политикой конфиденциальности

ОК