Политика информационной безопасности

УТВЕРЖДАЮ:

ООО «СВЕЖИЕ РЕШЕНИЯ»

Генеральный директор

Цой В.Г..

___________________

12 Марта 2016 г.

 

 

 

Политика

Информационной безопасности ООО "Свежие Решения" для размещения в сети интернет

версия 1.0

Уровень доступа: общий

 

 

Содержание

  1.  Общие положения

1.1. Цель документа

1.2. Область применения

1.3. Для кого предназначен документ

  1. Цели обеспечения и управления информационной безопасностью ООО «СВЕЖИЕ РЕШЕНИЯ»
  2. Подход к обеспечению информационной безопасности
  3. Порядок пересмотра политики

 

  1. Общие положения

      Обеспечение информационной безопасности является необходимым условием для осуществления деятельности ООО «СВЕЖИЕ РЕШЕНИЯ» (далее по тексту Компания). Нарушение информационной безопасности может привести к серьезным последствиям для ООО «СВЕЖИЕ РЕШЕНИЯ», включая потерю доверия со стороны клиентов, партнеров, поставщиков и снижение конкурентоспособности.

1.1. Цель документа

      Целью Политики информационной безопасности  ООО «СВЕЖИЕ РЕШЕНИЯ» для размещения в сети Интернет (далее-Политика) является декларация основных целей и положений по организации процессов обеспечения и управления информационной безопасностью ООО «СВЕЖИЕ РЕШЕНИЯ» (далее – Компания).

1.2. Область применения

      Политика предназначена для:              

         - опубликования на сайте компании

         - декларирует подход Компании к обеспечению информационной безопасности

             1.3. Для кого предназначен документ.

     Политика является общедоступной и предназначена для всех, кто пожелает ознакомиться с подходом Компании к обеспечению информационной безопасности.

  1. Цели обеспечения и управления информационной безопасностью ООО «СВЕЖИЕ РЕШЕНИЯ»  

    Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации  обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.

    Основными целями в области обеспечения и управления информационной безопасностью Компании являются:

- Обеспечение целостности, доступности и конфиденциальности критичной информации, а также обеспечение доступности критичных ИТ-сервисов Компании.

- Применение обоснованных, экономически эффективных организационных и технических мер по обеспечению информационной безопасности.

- Соответствие Компании требованиям действующего законодательства и регуляторов в области ИБ.

- Соответствие процессов обеспечения информационной безопасности бизнес-требованиям Компании.

- Обеспечение доверия клиентов и партнеров компании.

- Установление ответственности сотрудников по вопросам обеспечения информационной безопасности и повышение их осведомлённости.

               3.  Подход а обеспечению информационной безопасности.

3.1. Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника.

3.2. Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.

3.3. Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.

3.4. Сотрудники Компании проходят регулярное обучение в области информационной безопасности.

3.5. В Компании регулярно проводится независимый аудит информационной безопасности.

3.6. Специалисты информационной безопасности отвечают за определение детальных требований информационной безопасности и контролируют их исполнение в Компании.

3.7. Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности.

3.8. Меры защиты персональных данных внедряются согласно требованиям Федерального закона № 152 «О защите персональных данных» и других нормативных документов, регламентирующих обработку персональных данных в автоматизированных и неавтоматизированных информационных системах.

3.9. Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнес-процессах.

3.10. При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке.

3.11. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.

3.12. Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO-27001. Компания сертифицирована по международному стандарту ISO-27001:2005 со следующей областью регистрации: Система управления информационной безопасностью в отношении обеспечения защиты информации в информационных системах и при осуществлении информационного обмана в рамках бизнес-процессов закупки цифровой, компьютерной техники и сопутствующих товаров, процесса управления продажами, включая продажи через интернет – магазин, процесса управления предоставления сервиса, процесса управления логистическими операциями, включая программу лояльности, процесса осуществления финансовых и бухгалтерских операций в соответствии с положениями о применимости средств контроля ЗП-9 от 13.03.2012 г.

3.13. Успешное достижение целей настоящей политики возможно только при выполнении положений детальных регламентов информационной безопасности.

             4. Порядок пересмотра Политики.

   Политика подлежит пересмотру при наступлении существенных событий, но не реже чем раз в три года.