Главная >
Поиск по сайту

Политика информационной безопасности ООО "СЦТС"

Для управления процессами информационной безопасности ООО «СЦТС» создана система управления информационной безопасностью (Далее - СУИБ).

Цель СУИБ
СУИБ неразрывно связана с бизнес-процессом оказания инфокоммуникационных услуг и обеспечивает:
- доступность инфокоммуникационных услуг, предоставляемых ООО «СЦТС»;
- целостность и подлинность данных, используемых для обеспечения деятельности ООО «СЦТС»;
- конфиденциальность информации, охраняемой в соответствии с законами Российской Федерации и локальными нормативными актами ООО «СЦТС»;
- непрерывность бизнеса;
- минимизацию ущерба, нанесенного влиянием различных угроз информационной безопасности, бизнесу ООО «СЦТС»;
- максимальный уровень качества и надежности предоставляемых услуг, конкурентоспособность, сохранение доброго имени и репутации компании, исполнение взятых обязательств.

Принципы построения СУИБ
Информационная безопасность (Далее - ИБ) ООО «СЦТС» строится на основе следующих принципов:
Законность - применяемые меры ИБ не должны быть запрещены требованиями законодательства Российской Федерации, не должны наносить ущерб здоровью человека и окружающей среде;
Комплексность защиты - меры ИБ принимаются на всех участках бизнес-процесса;
Непрерывность защиты – ИБ обеспечивается непрерывно в течение всего бизнес-процесса;
Адекватность защиты – принимаемые меры ИБ адекватны имеющим место рискам;
Эргономичность защиты – применяемые меры ИБ максимально удобны для пользователей информационных систем и прозрачны для технологических систем. Должны быть максимально использованы встроенные в эксплуатируемые системы программные и аппаратные средства
обеспечения информационной безопасности;
Пассивность контроля – применяемые меры ИБ не имеют непосредственного доступа к защищаемым данным и системам управления технологическим оборудованием;
Минимизация полномочий – любой участник технологического процесса имеет минимально необходимый и достаточный для исполнения должностных обязанностей набор прав и полномочий в информационных системах;
Легитимность полномочий – все операции по предоставлению доступа и назначению полномочий осуществляются на основании оформленных в установленном порядке документов (заявок);
Гарантированность восстановления – система архивирования и аудита обеспечивает возможность гарантированного восстановления системы и анализа событий, повлекших нарушение работоспособности или безопасности;
Защита инвестиций – обеспечивается полная документированность мер безопасности информационных и технологических систем на стадиях проектирования и эксплуатации;
Персональная ответственность – ответственность за нарушения требований по обеспечению информационной безопасности возлагается персонально на работника, допустившего нарушение, и соответствующего руководителя подразделения.

Основы функционирования СУИБ
Достижение целей СУИБ и информационная безопасность ООО «СЦТС» обеспечивается применением соответствующего комплекса организационных и технических мер по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного и аппаратного обеспечения.

Для успешного функционирования системы осуществляется повышение осведомленности и постоянное обучение работников ООО «СЦТС» вопросам информационной безопасности.

Все информационные ресурсы ООО «СЦТС» и средства их обработки, передачи и хранения используются исключительно для достижения целей, определяемых Уставом ООО «СЦТС», и не могут быть использованы в целях нанесения ущерба.
Недопустимо использование информационных ресурсов ООО «СЦТС» в личных целях или в интересах третьих лиц.
Защите подлежат все информационные ресурсы ООО «СЦТС», средства их обработки, передачи и хранения, применяемые для осуществления производственной деятельности компании, и информационные ресурсы, применяемые для исполнения договорных или иных обязательств.

Информационная безопасность при взаимодействии с третьей стороной.
Доступ работников сторонних организаций к информационным ресурсам ООО «СЦТС» осуществляется только при условии документально оформленной договоренности о совместной защите информационных ресурсов ООО «СЦТС» и документального подтверждения соблюдения мер ИБ в сторонней организации.
Доступ к информационным ресурсам ООО «СЦТС» может быть предоставлен только при условии соблюдения мер обеспечения информационной безопасности.
Инфокоммуникационные услуги, оказываемые ООО «СЦТС» абоненту, обеспечиваются минимально необходимым уровнем информационной безопасности. Расширение применяемых мер достигается за счет предоставления абонентам дополнительных сервисов и услуг информационной безопасности.

Ответственность за нарушение требований информационной безопасности.
Требования Политики обязательны для исполнения всеми работниками ООО «СЦТС» (в том числе временными), партнерами, консультантами, клиентами ООО «СЦТС» и третьими лицами, имеющими доступ к информационным ресурсам Общества на законных основаниях.
Каждый работник ООО «СЦТС» обязан исполнять требования Политики и локальных нормативных документов по информационной безопасности на своем рабочем месте, при необходимости вносить предложения по ее совершенствованию.
Все инциденты информационной безопасности подлежат обязательным расследованиям, результатом которых являются адекватные корректирующие воздействия.
К работникам, нарушившим требования информационной безопасности, могут применяться меры дисциплинарного взыскания в соответствии с действующим трудовым законодательством.
Сторонние организации, нарушившие требования информационной безопасности, несут ответственность в соответствии с установленными гражданско-правовыми нормами.
При выявлении фактов нарушения законодательства Российской Федерации материалы расследования передаются в правоохранительные органы.
Контроль соблюдения требований Политики возлагается на заместителя генерального директора по ИТ. Ответственность за соблюдение ИБ возлагается на администратора по безопасности.

Примечание: Данная политика информационной безопасности ООО «СЦТС» является политикой обработки персональных данных.