Политика информационной безопасности

Политика информационной безопасности компании определяет основную стратегию и принципы, относящиеся к управлению информационной безопасностью (ISMS) в соответствии с ČSN ISO/IEC 27001, определяет основные правила безопасности для эксплуатации, использования и обслуживания информационных и коммуникационных технологий с целью обеспечения требуемой доступности и защиты информации, а также минимизации ущерба от возможных инцидентов безопасности.

Основные принципы работы с информацией и способы ее защиты

  • Обеспечение защиты персональных данных в соответствии с действующим законодательством.
  • Разработка и продвижение системы контролируемого доступа к информации.
  • Включение информационной безопасности в должностные обязанности.
  • Обеспечение систематического обучения и повышение квалификации сотрудников в области информационной безопасности.
  • Постоянное выявление инцидентов безопасности и принятие эффективных мер по повышению уровня информационной безопасности.
  • Разработка комплекса мер по обеспечению непрерывности в случае крупного информационного сбоя, а также регулярное тестирование и проверка этих мер.
  • Обеспечение доступности информационных систем, Интернета, электронной почты и других средств обмена информацией для общественности.
  • Управление системой физического доступа в помещения в целях снижения угроз для информационных активов.
  • Проведение политики безопасного рабочего места: чистые столы, пустые экраны и мусорные корзины.
  • Обеспечение соблюдения правил техники безопасности в отношении портативных вычислительных устройств и других носителей информации.
  • Обеспечение надежного контроля всей внутренней сети от вредоносного программного обеспечения.
  • Техническое обеспечение, защита и развитие информационных активов, надежное резервное копирование информационных систем.
  • Регулярное отслеживание и оценка рисков и инцидентов, связанных с безопасностью.
  • Обеспечение требований, вытекающих из договорных обязательств и общеобязательного законодательства.
  • Обеспечение своевременного предоставления информации. Критическое время доступности информации должно определяться в соответствии с ее важностью.
  • Предотвращение нежелательной модификации информации.
  • Предотвращение неправильного использования или потери информации. Должны быть определены ответственность и защита доступа к информации и помещениям, в которых расположены информационные активы.

Ответственность сотрудников

  • Любой сотрудник, получивший доступ к информационным ресурсам для осуществления своей трудовой деятельности, берет на себя ответственность за безопасное обращение с этими ресурсами и за защиту информации в пределах своей зоны ответственности.
  • Политика информационной безопасности и соответствующая документация являются обязательными для всех сотрудников, имеющих доступ к информации, независимо от их должности, положения или роли в компании. В соответствии с действующим законодательством и нормативными актами все сотрудники несут свою долю ответственности за соблюдение или нарушение правил, с которыми они ознакомлены. Все сотрудники обязаны реагировать и сообщать о дефектах, неисправностях и инцидентах, связанных с безопасностью, которые происходят в установленном порядке в соответствии с действующими политиками и руководствами.

Последствия нарушения информационной политики

  • Нарушение принципов политики информационной безопасности сотрудниками и подрядчиками рассматривается как инцидент безопасности, который влияет на информационную безопасность и должен рассматриваться соответствующим образом.
  • Необходимо анализировать причины нарушений и предпринять эффективные действия, чтобы извлечь уроки из этих событий.