Политика информационной безопасности edna

1. Общие положения

Настоящий документ является базисным в области обеспечения информационной безопасности (далее – ИБ) бизнес-процессов компании edna (далее – Компания) и включен в комплект документов по системе управления информационной безопасностью (далее – СУИБ).

Настоящий документ определяет цели и задачи в области ИБ Компании, формулирует основные принципы и подходы, которые применяются для обеспечения стабильного функционирования бизнес-процессов Компании и защиты ее информационных активов.

Стратегическая задача, утвержденная руководством Компании, – обеспечение защиты информационных активов, задействованных в бизнес-процессах Компании, а также информации и персональных данных клиентов, партнеров, работников, любых юридических и физических лиц, находящихся в правовых отношениях или иных видах взаимодействия с Компанией.

Нарушение применяемых в Компании требований ИБ может привести к финансовым потерям, правовым санкциям, ущербу репутации Компании, в том числе к потере доверия со стороны клиентов и партнеров, снижению конкурентоспособности на рынке.

Надлежащий уровень ИБ в Компании обеспечивается в соответствии с требованиями бизнеса, законодательства и регуляторов в области ИБ за счет внедрения и постоянного развития СУИБ на основе лучших практик ИБ.

Для повышения качества процессов обеспечения ИБ в Компании внедрена СУИБ, соответствующая требованиям международного стандарта ISO/IEC 27001:2022.

Настоящий документ распространяется на все бизнес-процессы Компании и является обязательным для исполнения всеми работниками и руководством Компании.

2. Термины и определения

Актив – все, что имеет ценность для организации [ISO/IEC 27000:2018].

Информационная безопасность (ИБ) – сохранение конфиденциальности, целостности и доступности информации [ISO/IEC 27000:2018].

Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на информационный ресурс в целях нарушения и (или) прекращения его функционирования и (или) создания угрозы безопасности информации, обрабатываемой таким ресурсом.

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную опасность утечки информации или несанкционированных воздействий на неё.

3. Цели и задачи в области информационной безопасности

Цели Компании в области ИБ:

  • обеспечение стабильного функционирования бизнес-процессов и сервисов Компании;
  • защита информационных активов, включая персональные данные работников, клиентов/партнеров и их представителей, от нарушения конфиденциальности, целостности и доступности;
  • поддержание высокой деловой репутации Компании, благодаря прозрачности и надежности мер ИБ, основанных на международных стандартах и лучших практиках ИБ;
  • соответствие требованиям международных стандартов ИБ в целях обеспечения конкурентоспособности на международном рынке.

Достижение целей Компании в области ИБ обеспечивается за счет решения следующих задач:

  • выполнение требований законодательства Российской Федерации, соответствие требованиям нормативно-методических документов регуляторов и стандартам, установленным в области ИБ, соответствие договорным обязательствам;
  • своевременное выявление и оценка угроз ИБ;
  • применение организационных и технических мер защиты информации;
  • обеспечение непрерывности бизнес-процессов и сервисов Компании;
  • мониторинг и контроль функционирования СУИБ;
  • управление инцидентами ИБ;
  • вовлеченность работников в процессы ИБ и повышение их осведомленности в вопросах ИБ;
  • непрерывное совершенствование процессов ИБ.

4. Принципы обеспечения информационной безопасности

Основные принципы деятельности Компании в области ИБ:

  • вовлеченность руководства Компании в процессы ИБ – руководство Компании принимает на себя ответственность за планирование, управление и обеспечение ИБ, назначает ответственных лиц за процессы ИБ, а также демонстрирует личную приверженность принципам ИБ;
  • обеспечение ресурсами – руководство Компании выделяет необходимое финансирование на технические и организационные меры защиты информации, включая приобретение необходимых программно-технических средств, найм специалистов в области ИБ, обучение и повышение квалификации работников в вопросах ИБ, проведение внешних аудитов и пр.;
  • законность и соответствие требованиям информационной безопасности – обеспечение ИБ основывается на выполнении требований законодательства Российской Федерации, международного стандарта ISO/IEC 27001, а также лучших практиках в области ИБ;
  • обоснованность выбора мер защиты информации – применяемые меры базируются на регулярной оценке рисков ИБ, контроле эффективности действующей защиты и экономической целесообразности;
  • подконтрольность процессов ИБ – проводятся мониторинг, контроль и анализ результатов внутренних проверок мер защиты, а также оценка рисков новых угроз безопасности информации;
  • постоянное совершенствование ИБ – систематическое улучшение мер защиты информации по результатам контроля и оценки эффективности действующих процессов ИБ, а также на основе анализа публичной информации о новых угрозах безопасности информации, компьютерных атаках, изменениях требований регуляторов, тенденциях и передовом российском и зарубежном опыте в области ИБ;
  • персональная ответственность – каждый работник Компании несет ответственность за соблюдение требований ИБ в рамках своих должностных обязанностей.

5. Ответственность

Все работники Компании должны соблюдать требования ИБ при выполнении своих должностных обязанностей. Правила ИБ обязательны при работе с информацией как работников, так и контрагентов Компании.

Руководители подразделений несут ответственность за выполнение подчиненными требований информационной безопасности.

За несоблюдение требований ИБ работник Компании может быть привлечен к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в соответствии с законодательством Российской Федерации.

6. Распространение политики информационной безопасности

Настоящий документ в обязательном порядке доводится до сведения всех работников Компании.

При необходимости документ может быть передан для ознакомления клиентам, партнерам, подрядным организациям и пр.

7. Актуализация и пересмотр

Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Компании, но не реже одного раза в три года.

8. Контроль версий

Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Компании, но не реже одного раза в три года.

ВерсияДатаОтветственныйИзменения
1.012.02.2024Инженер по информационной безопасностиРазработан новый документ

Аттестаты соответствия

Аттестат соответствия Клиентские системы edna для маршрутизации электронных сообщений
Аттестат соответствия Система edna Chat Center (cloud версия)

Мы используем cookie-файлы для анализа ваших посещений сайта. Нажимая кнопку «ОК» или продолжая использовать сайт, вы соглашаетесь на использование cookie и обработку данных в соответствии с Политикой конфиденциальности

ОК