Политика информационной безопасности предприятия
Общие положения
Информация является ценным и жизненно важным ресурсом ООО «СТЕП» (далее – ООО). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в ООО.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник ООО, при этом первоочередной задачей является обеспечение безопасности всех данных ОВО. Это значит, что информация должна быть защищена не менее надежно, чем любые другие основные данные ООО. Главные цели ООО не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином "сотрудник" понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
Цель и назначение настоящей Политики
Целями настоящей Политики являются:
- сохранение конфиденциальности критичных информационных ресурсов;
- обеспечение непрерывности доступа к информационным ресурсам ООО для поддержки бизнес деятельности;
- защита целостности деловой информации с целью поддержания возможности ОВО по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами ООО;
- определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в ООО.
Руководители подразделений ООО должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.
Область применения настоящей Политики
Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации ООО. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации ООО, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.
ООО принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования ООО, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала ООО.
2. Требования и рекомендации
Ответственность за информационные активы
В отношении всех собственных информационных активов ООО, активов, находящихся под контролем ООО, а также активов, используемых для получения доступа к инфраструктуре ООО, должна быть определена ответственность соответствующего сотрудника ООО.
Информация о смене владельцев активов, их распределении, изменениях в конфигурации и использовании за пределами ООО должна доводиться до сведения руководителя Департамента информационных технологий и руководителя Департамента защиты информации ООО.
Контроль доступа к информационным системам
Общие положения
Все работы в пределах офисов ООО выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в ООО.
Внос в здания и помещения ООО личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы ОВО производится только при согласовании с Департаментом защиты информации ООО.
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну ООО и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры ООО должны быть оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
В процессе своей работы сотрудники обязаны постоянно использовать режим "Экранной заставки" с парольной защитой. Рекомендуется устанавливать максимальное время "простоя" компьютера до появления экранной заставки не дольше 15 минут.