Политика информационной безопасности
Назначение
Настоящий документ «Политика информационной безопасности Группы Компаний «Софтлайн Россия» (далее — Политика) является основополагающим документом, определяющим позицию, цели, задачи и принципы Группы Компаний «Софтлайн Россия» (далее — Софтлайн, или Группа) в области информационной безопасности.
Общие положения
Информационная безопасность — это совокупность сотрудников, политик, процессов и технологий, задействованных Софтлайн в целях защиты информационных активов. Защищенность информационных активов Софтлайн характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.
Под информационными активами для целей настоящей Политики признаются сотрудники, информация, деловая репутация, материальные ценности и бизнес-процессы.
Деятельность Софтлайн в области информационной безопасности основывается на стратегии развития Группы, а решаемые задачи способствуют эффективному и безопасному развитию бизнеса Софтлайн в современном мире цифровизации и цифровой трансформации.
Политика разработана в соответствии с положениями международных стандартов и мировых передовых практик.
Период действия и внесение изменений
Настоящая Политика является локальным нормативным актом постоянного действия. Настоящая Политика утверждается, изменяется и признается утратившей силу Генеральным директором ГК «Софтлайн Россия». Пересмотр Политики проводится на регулярной основе не реже одного раза в два года или по мере необходимости.
Декларация об информационной безопасности
Принятием Политики Софтлайн провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.
Руководство Софтлайн осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.
Руководство Софтлайн инициирует и контролирует работы в области информационной безопасности.
Соблюдение принципов, правил и требований информационной безопасности является элементом корпоративной культуры Группы.
Руководители и специалисты по информационной безопасности Софтлайн должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Группы.
Сотрудники Софтлайн должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.
Каждый сотрудник Софтлайн или партнера Группы несёт ответственность за выполнение требований информационной безопасности при работе с информационными активами.
Достижение целей информационной безопасности при соблюдении принципов дополнительно позволит упрочить конкурентные преимущества, обеспечить соответствие правовым, регуляторным и договорным требованиям, снизить риски деловой репутации.
Цели в области информационной безопасности
Управление и обеспечение информационной безопасности Софтлайн ориентировано на достижение следующих целей:
- Предоставление безопасной информационной среды для функционирования и развития бизнеса.
- Повышение конкурентоспособности, деловой репутации и ценности бизнеса для акционеров путем снижения уровня риска в области информационной безопасности.
- Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
- Повышение корпоративной культуры обработки и защиты информации, в т. ч. персональных данных.
- Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.
Задачи в области информационной безопасности
Для достижения целей в Софтлайн приняты следующие задачи в области информационной безопасности:
- Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью (далее — СУИБ).
- Вовлечение высшего руководства Софтлайн в процесс функционирования СУИБ.
Вопросы информационной безопасности регулярно рассматриваются уполномоченными комитетами и/или рабочими группами.
- Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности. Оценка эффективности расходов.
- Обеспечение безопасности информационных активов Софтлайн.
- Соблюдение законодательства, требований регулирующих организаций в области информационной безопасности и защиты персональных данных.
- Совершенствование технических, организационных и правовых мер защиты.
- Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
- Использование рискориентированного подхода. В Софтлайн регулярно проводится оценка рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
- Управление инцидентами информационной безопасности. Софтлайн непрерывно совершенствует механизмы реагирования на инциденты.
- Повышение осведомленности сотрудников. Сотрудники Софтлайн регулярно проходят обязательное обучение по информационной безопасности.
- Формализация требований информационной безопасности. Требования фиксируются в локальных нормативных актах и доводятся до сотрудников.
- Учет требований информационной безопасности в проектной деятельности. Разработка и документирование требований к обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов.
- Проверка благонадежности сотрудников. Все кандидаты на вакантные должности проходят проверку в соответствии с установленными процедурами.
- Мониторинг и непрерывное совершенствование СУИБ по результатам периодических аудитов (проверок).
Принципы обеспечения информационной безопасности
В Софтлайн определены следующие принципы обеспечения информационной безопасности:
Принцип системности
Активы рассматриваются как взаимозависимые компоненты единой системы. Взаимовлияние компонентов учитывается при анализе рисков и угроз информационной безопасности.
Принцип полноты (комплексности)
В целях обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз и отсутствие и уязвимостей в точках интеграции.
Принцип эшелонированности
Недопустимо полагаться на один защитный рубеж. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.
Принцип равнопрочности
Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.
Принцип непрерывности
Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла активов.
Принцип разумной достаточности
«Абсолютная» защита активов невозможна. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.
Принцип законности
При выборе и реализации мер обеспечения информационной безопасности Софтлайн строго соблюдает применимое законодательство, требования нормативных правовых и технических документов в области информационной безопасности.
Принцип управляемости
Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, т.е. необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.
Принцип персональной ответственности
Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника в пределах его полномочий.
Ответственность за нарушение Политики
Сотрудники Софтлайн обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами Группы, её партнёров и контрагентов.
Высокие корпоративные стандарты и правила обеспечения информационной безопасности Софтлайн обязательны для всех без исключения сотрудников Группы и должны учитываться во взаимоотношениях с партнерами и контрагентами.
При использовании сети Интернет, при общении в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств и платформ коммуникаций сотрудникам Софтлайн следует проявлять осмотрительность и сдержанность.
Каждый сотрудник Софтлайн за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.
Сотрудники партнёров и контрагентов, использующие информационные активы Софтлайн, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством.
Генеральный директор ГК «Софтлайн Россия»
В. Лавров
Каждый Softliner обязан
-
Признавать и применять принципы, изложенные в настоящих BCG
-
Соблюдать данные политики и правила Softline, а также законы, связанные с ними
-
Действовать в соответствии с принципами. Если вы не уверены, как действовать, пожалуйста, спросите своего менеджера
-
Сообщать о любых возможных нарушениях КБК, политики, законов и нормативных актов