Политика информационной безопасности компании


Данная Политика информационной безопасности является ключевым компонентом общей структуры управления информационной безопасностью компании Yours Clothing Limited.

Данные и информационные системы имеют жизненно важное значение для бизнеса. Инциденты, связанные с нарушением конфиденциальности, целостности или доступности информации, могут иметь значительные финансовые последствия. Серьезные инциденты, которые могут включать в себя несоблюдение законодательных норм в области информации, также способны нанести ущерб деловой репутации.

1. Задачи, цель и область действия

  • 1.1. Задачи

    Задачами Политики информационной безопасности компании Yours Clothing Limited являются:

    • Конфиденциальность – доступ к данным ограничивается лицами, наделенными соответствующими полномочиями, данные защищены от несанкционированного доступа.
    • Целостность – информация должна быть полной и точной. Все системы, активы и сети должны функционировать правильно, в соответствии со спецификацией.
    • Управление рисками – принимаются соответствующие меры для управления рисками в отношении доступности и раскрытия информации.
    • Соблюдение – обеспечивается соблюдение законодательных актов, нормативных документов и условий договоров.

    Несоблюдение Политики информационной безопасности компании Yours Clothing Limited может повлечь за собой применение мер дисциплинарной ответственности.

  • 1.2. Цель политики

    Цель данной политики заключается в создании и поддержании безопасности информации физических лиц, информационных систем, приложений и сетей, которые принадлежат или используются компанией Yours Clothing Limited, посредством:

    • Обеспечения осведомленности и полного соблюдения всеми сотрудниками соответствующих законодательных норм, как описано в этой и других политиках.
    • Объяснения принципов безопасности и способов их реализации в организации.
    • Обеспечения полного понимания всеми сотрудниками их обязанностей в отношении последовательного подхода к безопасности.
    • Создания и поддержания уровня осведомленности о необходимости обеспечения информационной безопасности как неотъемлемой части повседневной хозяйственной деятельности.
    • Защиты информационных активов.
  • 1.3. Область действия
    • Данная политика распространяется на всю информацию, информационные системы, сети, приложения, местоположения и пользователей компании Yours Clothing Limited, и на таковые, предоставляемые компании Yours Clothing Limited на основании договоров.

2. Обязанности в сфере информационной безопасности

  • 2.1. Основная ответственность за обеспечение информационной безопасности лежит на совете директоров компании Yours Clothing, который отвечает за управление и надзор за реализацией политики и связанных с ней процедур.
  • 2.2. Линейные руководители несут ответственность за обеспечение осведомленности их кадрового и временного персонала и подрядчиков в отношении:
    • областей Политики информационной безопасности, которые распространяются на их отдел;
    • персональных обязанностей в сфере информационной безопасности;
    • источников и способов получения рекомендаций по вопросам информационной безопасности.
  • 2.3. Все сотрудники обязаны соблюдать процедуры обеспечения информационной безопасности, включая поддержание конфиденциальности и целостности данных.
  • 2.4. Политика информационной безопасности поддерживается, пересматривается и обновляется соответствующим образом на ежегодной основе.
  • 2.5. Линейные руководители несут ответственность за безопасность физической среды своих отделов, в которой осуществляется доступ к информации либо ее обработка или хранение.
  • 2.6. Каждый сотрудник несет ответственность за операционную безопасность используемых им информационных систем.
  • 2.7. Каждый пользователь системы обязан соблюдать действующие требования безопасности, а также обеспечивать поддержание конфиденциальности, целостности и доступности используемой им информации на самом высоком уровне.
  • 2.8. Доступ к информационным системам организации предоставляется внешним подрядчикам только по соответствующим договорам, вступившим в силу до предоставления такого доступа. Такие договора должны обеспечивать соблюдение персоналом или субподрядчиками внешней организации всех соответствующих пол��тик безопасности.

3. Законодательство

  • 3.1. Компания Yours Clothing Limited обязуется соблюдать все соответствующие законодательные акты Великобритании и Европейского Союза. Требование о соблюдении таких законодательных актов распространяется также на сотрудников и представителей, которые могут привлекаться к персональной ответственности за какие-либо нарушения информационной безопасности, за которые они могут нести ответственность.

4. Policy Framework

  • 4.1. Управление безопасностью
    • Ответственность за обеспечение информационной безопасности лежит на совете директоров.
    • Руководители отделов отвечают за внедрение, мониторинг и документальное оформление требований безопасности, а также доведение их до сведения сотрудников своих отделов в организации.
  • 4.2. Повышение осведомленности персонала в вопросах информационной безопасности
    • Повышение осведомленности персонала в вопросах информационной безопасности является составной частью процесса введения в должность.
    • Программа повышения осведомленности персонала пересматривается, корректируется и обновляется по мере необходимости.
  • 4.3. Договоры о найме
    • Все договоры о найме должны содержать оговорку о конфиденциальности.
    • Ожидания от персонала в отношении информационной безопасности включаются в справочник сотрудника и в содержание вводного инструктажа.
  • 4.4. Контроль над безопасностью активов
    • Каждый ИТ-актив (например, аппаратное обеспечение, программное обеспечение, приложение) закрепляется за определенным лицом, которое несет ответственность за информационную безопасность этого актива.
  • 4.5. Контроль доступа
    • Допуск в зоны ограниченного доступа, в которых находятся информационные системы или хранимые данные, предоставляется только уполномоченным сотрудникам, имеющим на это обоснованную служебную необходимость.
  • 4.6. Контроль доступа к компьютерному оборудованию
    • Доступ к компьютерному оборудованию ограничивается пользователями с санкционированным доступом, имеющими служебную необходимость в использовании такого оборудования.
  • 4.7. Контроль доступа к программным приложениям
    • Доступ к данным, системным утилитам и библиотекам исходных кодов контролируется и ограничивается пользователями с санкционированным доступом, имеющим правомерную служебную необходимость, например, системным администраторам и администраторам баз данных.
  • 4.8. Безопасность оборудования
    • Чтобы свести к минимуму потерю или повреждение всех активов, оборудование физически защищается от угроз и опасностей неблагоприятных внешних воздействий.
  • 4.9. Компьютерные и сетевые процедуры
    • Управление компьютерным оборудованием и сетями контролируется посредством санкционированных советом стандартных оформленных документально процедур.
  • 4.10. Оценка информационных рисков
    • Оценка и управление рисками требуют проведения идентификации и количественной оценки рисков информационной безопасности с точки зрения воспринимаемой ценности актива, степени воздействия и вероятности возникновения.
      После проведения идентификации риски информационной безопасности регистрируются в центральном реестре коммерческих рисков и планах действий, разработанных для эффективного управления такими рисками. Реестр рисков и все связанные с ним действия регулярно пересматриваются. Все внедренные меры обеспечения информационной безопасности также регулярно пересматриваются. Эти пересмотры призваны содействовать определению областей постоянной оптимальной практики и вероятных недостатков, а также потенциальных рисков, которые могли возникнуть после проведения последнего пересмотра.
  • 4.11. События и недостатки информационной безопасности
    • Обо всех событиях информационной безопасности и предполагаемых недостатках делается сообщение. Проводится расследование для установления их причин и последствий, во избежание подобных ситуаций или событий в будущем.
  • 4.12. Защита от вредоносного программного обеспечения
    • Компания Yours Clothing применяет процедуры управления и меры противодействия в отношении любого используемого программного обеспечения для защиты от угрозы вредоносного программного обеспечения. Пользователи не вправе устанавливать программное обеспечение на имущество организации без получения разрешения руководителя отдела информационных технологий или директора.
  • 4.13. Носители информации пользователей
    • Использование в системах Yours Clothing съемных носителей всех типов, содержащих программное обеспечение или данные из внешних источников, или используемых на внешнем оборудовании, возможно только при условии утверждения руководителем отдела ИТ или директором. Перед использованием на оборудовании организации такие носители также должны пройти полную проверку на отсутствие вирусов.
  • 4.14. Мониторинг доступа к системе и ее использования
    • В компании ведется журнал контроля доступа к системе и использования данных всем персоналом.
    • Yours Clothing регулярно проводит проверки соблюдения этой и других политик. Кроме того, компания оставляет за собой право осуществлять мониторинг деятельности, вызывающей подозрение в нарушении политики. Закон о правовом регулировании следственных полномочий 2000 г. (Regulation of Investigatory Powers Act, 2000) позволяет осуществлять мониторинг и запись электронных сообщений сотрудников (включая телефонные разговоры) по следующим причинам:
      • для установления существования фактов
      • обнаружение и расследование какого-либо несанкционированного использования системы;
      • предотвращение и раскрытие преступлений;
      • установление или демонстрация стандартов, которые достигнуты или должны быть достигнуты лицами, использующими систему (контроль качества и обучение);
      • интересы национальной безопасности;
      • соблюдение нормативных практик или процедур;
      • обеспечение эффективной работы систем.

      Любые виды мониторинга проводятся в соответствии с вышеуказанным Законом и Законом о правах человека (Human Rights Act).

  • 4.15. Аккредитация информационных систем
    • Yours Clothing обеспечивает, чтобы все новые информационные системы, приложения и сети имели план по обеспечению безопасности и вводились в эксплуатацию только после утверждения советом директоров.
  • 4.16. Контроль за изменениями в системе
    • Изменения в информационных системах, приложениях и сетях рассматриваются и утверждаются руководителем отдела ИТ и советом директоров.
  • 4.17. Права интеллектуальной собственности
    • Yours Clothing обеспечивает, чтобы все информационные продукты имели надлежащие лицензии и были одобрены к применению. Пользователи не вправе устанавливать программное обеспечение на имущество организации без получения разрешения руководителя отдела ИТ или директора.
  • 4.18. Планы обеспечения бесперебойной деятельности и аварийно-восстановительных работ
    • Организация должна обеспечить, чтобы оценки воздействия на бизнес, непрерывность бизнеса и планы аварийного восстановления были созданы для всей важной критически важной информации, приложений, систем и сетей.
  • 4.19. Отчетность
    • Руководитель отдела ИТ уведомляет совет о состоянии информационной безопасности организации посредством регулярных отчетов.