Политика информационной безопасности
ТОО «COMRUN»

1. Область действия

1.1. Настоящая Политика информационной безопасности (далее - Политика) ТОО «COMRUN» (далее - Организация) распространяется на всех сотрудников Организации, а также на сторонние организации и частные лица в мере, соответствующей договорным и/или лицензионным отношениям и/или другим видам договоренностей.
1.2. Политика предназначена для определения целей и требований обеспечения информационной безопасности.
1.3. Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности.
1.4. Настоящий документ должен быть доведен до сведения всех сотрудников в доступной и понятной форме.

2. Нормативные ссылки

2.1. Закон Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК «Об информатизации»;
2.2. Закон Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите»;
2.3. Закон Республики Казахстан от 7 января 2003 года N 370 «Об электронном документе и электронной цифровой подписи»;
2.4. Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18 795 «Об утверждении методики и правил проведения испытаний объектов информатизации „электронного правительства“ и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности»;
2.5. Приказ и. о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135. Зарегистрирован в Министерстве юстиции Республики Казахстан 29 февраля 2016 года № 13 349 «Об утверждении Правил классификации объектов информатизации и классификатор объектов информатизации»;
2.6. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (далее - ЕТ);
2.7. СТ РК ISO/IEC 27 001−2023 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования (далее - СТ РК ИСО/ МЭК 27 001−2022);

3. Цели и задачи

Главной целью, на достижение которой направлены все положения Политики, является надежное обеспечение информационной безопасности информационных активов ИС.
Обеспечения информационной безопасности необходимо для минимизации ущерба от реализации угроз информационной безопасности.
Так же, целью настоящего документа является обеспечить участие руководства Организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами Республики Казахстан.
a) защита от вмешательства посторонних лиц в процесс функционирования ИС;
b) разграничение доступа зарегистрированных пользователей к информации, аппаратным, программным и криптографическим средствам защиты, используемым в ИС;
c) контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
d) защита информации от несанкционированной модификации и искажения;

3.1. Задачи

e) контроль целостности используемых программных средств, а также защиту системы от внедрения вредоносных кодов, включая компьютерные вирусы;
f) Защита записей от потери, повреждения, фальсификации, несанкционированного доступа и несанкционированной публикации.
g) обеспечение аутентификации пользователей ИС;
h) своевременное выявление угроз информационной безопасности, причин и условий, способствующих нанесению ущерба.
Настоящий документ подвергается анализу и пересмотру не реже одного раза в два года или при возникновении существенных изменений, влияющих на соответствие требованиям стандартов, адекватности и эффективности применяемых мер обеспечения ИБ, выявленных в процессе внешнего или внутреннего аудита.
В ходе пересмотра оценивается возможность улучшения положений Политики и процесса управления информационной безопасностью в соответствии с изменениями условий ведения бизнеса, законодательства, изменениями в организационной структуре или ИС, изменениями адекватной реальности и информационных угроз окружающей среды.
Ответственным лицом за контроль, реализацию, распространения, применения, исполнения, за развитие, оценку и пересмотр настоящего документа назначается Специалист ответственный за обеспечение информационной безопасности (далее — СОИБ).
СОИБ назначается приказом руководства Организации.

3.2. Пересмотр Политики

4. Обязанности руководства по обеспечению информационной безопасности

Настоящим документом руководство Организации утверждает требуемый уровень информационной безопасности ИС, который необходимо поддерживать, определяет механизмы управления информационной безопасностью и распределяет обязанности и ответственность персонала за ее обеспечение.
Руководство Организации выполняет следующие функции:
a) обеспечение целей информационной безопасности в соответствии с организационными требованиями и использование их в соответствующих процессах;
b) утверждает и контролирует пересмотр политики информационной безопасности ИС и других документов, требуемых для обеспечения информационной безопасности;
c) контролирует эффективность внедрения политики информационной безопасности;
d) выполняет управление и поддержку инициатив в области безопасности;
e) выделяет ресурсы (финансовые, материальные и человеческие) для обеспечения информационной безопасности;
f) распределяет основные обязанностей и ответственности в отношении информационной безопасности в Организации;
g) утверждает документы, планы и перечни (списки) по поддержке обеспечения информационной безопасности;
h) контролирует согласованность средств управления информационной безопасности в Организации.
Для обеспечения необходимого уровня осведомленности сотрудников Организации руководство обеспечивает и контролирует обучение сотрудников в области информационной безопасности.
Действия по обеспечению информационной безопасности координируются СОИБ.
Рабочая группа по ИБ создается приказом руководителя Организации. Руководителем рабочей группы назначается СОИБ. В состав рабочей группы включаются ответственные сотрудники подразделений Организации и третьих сторон, отвечающие за обеспечение функционирование ИС в соответствии с установленными требованиями. Участники рабочей группы по ИБ должны иметь соответствующие функции и должностные обязанности, позволяющие поддерживать установленный режим информационной безопасности ИС.
Один раз в месяц (или по требованию руководства Организации или ответственного за обеспечение ИБ) в организации проводятся совещания рабочей группы по ИБ с участием руководства Организации по вопросам координации действий по поддержанию режима безопасности ИС. Совещания протоколируются и подписываются членами рабочей группы по ИБ.

4.1. Координация вопросов обеспечения информационной безопасности

Ответственный за обеспечение ИБ может передавать свои полномочия по обеспечению безопасности кому-либо из сотрудников проекта или поставщикам услуг. Тем не менее, он остается ответственным за обеспечение безопасности ИС и должен быть в состоянии определить, что любые переданные полномочия реализуются с соблюдением требований СМИБ.
В каждом документе составляющим СМИБ ИС четко прописаны обязанности и ответственность руководства Организации, ответственного за обеспечение ИБ, сотрудников проекта, пользователей и ответственных сотрудников третьих сторон и выполняются следующие правила:
a) активы и процессы (процедуры) безопасности, ИС, выделены и четко определены;
b) вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного ответственного сотрудника Организации;

4.2. Распределение обязанностей по обеспечению информационной безопасности

c) уровни полномочий (авторизации) ясно определены и документированы.
В случае временной нетрудоспособности СОИБ его права, обязанности и ответственность могут быть переданы другому сотруднику на усмотрение руководителя Организации. Передача прав, обязанностей и ответственности СОИБ закрепляется приказом руководителя Организации.
Настоящим документом руководство Организации определяет условия конфиденциальности и требования к соглашению о неразглашении информации в соответствии с целями защиты информации.
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления о том, что информация является конфиденциальной или секретной. Соглашение составляется и заключается в соответствии с требованиями законодательства.

4.3. Соглашения о соблюдении конфиденциальности

5. Взаимодействие с компетентными органами

В ответственность руководства Организации входит поддерживание контактов с представителями:
a) региональных правоохранительных органов:
b) региональных органов исполнительной власти:
c) региональных органов чрезвычайных ситуаций:
d) служб оказания срочной помощи:
e) поставщиков услуг и средств производства:
f) клиентов для оповещения.
Ответственный за обеспечение ИБ сотрудник обязан держать в актуальном состоянии перечень контактов и информировать руководство Организации и других ответственных лиц в случае его изменения.
Взаимодействие с регулирующими органами, также необходимы для прогнозирования и подготовки к предстоящим изменениям в законодательстве или правилах, которые должны соблюдаться Организацией.
Также на сайте Организации и/или на сайте ИС имеется специальная рубрика оповещения клиентов и пользователей о всех затрагивающих их интересы событиях. События, имеющие особую и чрезвычайную важность, отмечены красным цветом.

6. Взаимодействие с ассоциациями и профессиональными группами

В ответственность СОИБ входит поддерживание контактов с профессиональными группами, ассоциациями и участвовать в конференциях (форумах) специалистов в области информационной безопасности.
Дополнительно, руководство Организации не ограничивает и приветствует самостоятельное участие сотрудников в онлайн-семинарах, онлайн-вебинарах, интернет-форумах и выпуск собственных публикации на тему информационной безопасности, если таковые не нарушают соглашения о конфиденциальности и неразглашении информации.
Руководство Организации готово рассмотреть предложения членства в профессиональных группах по ИБ или участие в конференциях (форумах), и поддерживает аналогичное отношение к этой деятельности среди своих сотрудников, в первую очередь как средство для:
a) совершенствования знаний и навыков и соответствия новейшим требованиям в области информационной безопасности;
b) обеспечения полного понимания обстановки в области информационной безопасности;
c) получения своевременных предупреждений о тревожных сигналах, опасности и исправлений, касающиеся атак и уязвимостей;
d) получения доступа к специалистам за консультацией по вопросам информационной безопасности;
e) обмена информацией о новых технологиях, программных продуктах, угроз или уязвимостей;
f) организации адекватного реагирования на инциденты нарушения информационной безопасности.
Помимо прочего руководством Организации могут рассматриваться предложения о совместных работах над проектами и заключении договорных отношений с целью улучшения сотрудничества и координации в вопросах безопасности, при соблюдении всех необходимых мер по строгому разграничению ответственности и соблюдении соглашений о конфиденциальности и неразглашении информации и норм законодательства РК.

7. Правила безопасности, связанные с персоналом

Настоящий раздел описывает требования к процедурам трудоустройства персонала, а также требования к контролю персонала партнеров и подрядных организаций.
Требования, обязанности и ответственность за обеспечение безопасности сотрудников отражается в должностных инструкциях.
Все кандидаты на работу, подрядчики и пользователи сторонней организации проходят тщательный отбор, особенно это касается должностей, предполагающих доступ к важной информации.
Для осуществления необходимого влияния на сторонние организации при выборе сотрудников, все требования относительно персонала выполняющего работы для Организации, отражены в договорных отношениях и подтверждаются соответствующими документами.
Все сотрудники и представители сторонних организаций, использующие средства обработки информации Организации, должны подписать соглашение о своих функциях и обязанностях в области информационной безопасности.
Все сотрудники Организации, сотрудники поставщиков товаров и услуг и сотрудники партнеров соблюдают требования настоящего документа и других документов, регулирующих обеспечение информационной безопасности ИС.
Функции и обязанности персонала по обеспечению безопасности Организации, поставщиков товаров и услуг и партнеров в области безопасности определены и отражены в должностных инструкциях, договорных соглашениях в соответствии с требованиями информационной безопасности.
Функции и обязанности персонала по обеспечению безопасности содержат следующие требования:
a) внедрять и действовать в соответствии с Политикой;
b) защищать ресурсы от несанкционированного доступа, раскрытия, изменения, уничтожения или создания препятствий для их использования;

7.1. Функции и обязанности персонала по обеспечению безопасности

c) выполнять определенные в Организации процессы и мероприятия, связанные с безопасностью;
d) гарантировать выполнения обязанностей, порученных отдельным лицам при выполнении работ;
e) докладывать о событиях безопасности или других рисках безопасности.
Функции и обязанности персонала по обеспечению безопасности, должны быть сообщены кандидатам при приеме на работу, в ходе предварительного процесса трудоустройства.
Функции и обязанности персонала описаны в должностных инструкциях.
Функции и обязанности сотрудников партнеров и поставщиков товаров и услуг отражены в договорных отношениях.
Все сотрудники Организации, все работники нанятые по договору, сотрудники подрядных организаций и все пользователи ИС обязаны соблюдать требования настоящего документа и действующие документы регламентирующие требования к обеспечению ИБ.
Обязанности за осуществление контроля исполнения настоящего раздела возлагается на ответственного за обеспечение ИБ.

8. Осведомленность, обучение и переподготовка в области информационной безопасности

СОИБ составляет, а руководство Организации утверждает График обучения и инструктажа сотрудников Организации (по форме Приложения 4) по вопросам информационной безопасности.
Внутреннее обучение и инструктаж проводится СОИБ Организации. Обучению подлежат все сотрудники Организации и, при необходимости, сотрудники поставщиков товаров и услуг и сотрудники партнеров в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций.
Обучение проводится не реже одного раза в год, инструктаж — не реже двух раз в год.
По окончанию инструктажа сотрудник вносит запись в Журнал проведения обучения, инструктажа по информационной безопасности (по форме Приложения 9).

9. Дисциплинарная практика

К сотрудникам, совершившим нарушение требований безопасности, применяется дисциплинарная практика, установленная в организации в соответствии с законодательством РК.
Применение дисциплинарной практики обеспечивает корректное и справедливое рассмотрение инцидента для сотрудников, которые подозреваются в серьезных или регулярных нарушениях требований безопасности.

10. Ответственность

Руководство Организации
a) контроль исполнения требований настоящего документа,
b) поддержание процессов обеспечения информационной безопасности.
СОИБ несет ответственность за:
a) контроль исполнения требований настоящего документа.
b) обеспечение информационной безопасности.
Сотрудники проекта ИС:
a) исполнение требований настоящего документа.
В случае если действиями или бездействием сотрудник организации и/или пользователь нарушил требования настоящего документа (ровно как всех документов регламентирующих обеспечение информационной безопасности), руководство Организации имеет право применять практики административного наказания (в соответствии с ЗРК) и/или обратиться в суд для вынесения справедливого наказания и/или взыскания ущерба, нанесенного таким образом.
© 2024 ТОО «COMRUN»
Международный технопарк "Astana Hub" г. Астана, прт. Мәңгілік ел, 55/7, павильон С3.5
Помощь
re:Kassa
Дополнительно
Блог
В случае обнаружения уязвимостей или недостатков в защищенности данных, пожалуйста, сообщите нам по адресу