Настоящая Политика является основополагающим документом, регулирующим деятельность Группы компаний Softline в области информационной безопасности.
Корпоративные требования в сфере обеспечения информационной безопасности распространяются на все регионы деятельности и на все бизнес-подразделения Группы компаний Softline.
Политика информационной безопасности закладывает требования к менеджменту информационной безопасности в соответствии с требованиями международного стандарта ISO27001:2013 (действующая в области Технической Поддержки).
Настоящий документ включает в себя следующие аспекты:
- Цели в области информационной безопасности.
- Задачи обеспечения информационной безопасности.
- Принципы обеспечения информационной безопасности.
- Ответственность за нарушение Политики информационной безопасности.
Настоящий документ обязателен к исполнению всем сотрудникам Группы компаний Softline.
Документ «Политика информационной безопасности»
ОБЩИЕ ПОЛОЖЕНИЯ
Под информационной безопасностью понимается состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.
Политика информационной безопасности разработана в соответствии с положениями международного стандарта ISO/IEC 27001:2013.
Политика информационной безопасности утверждается Председателем совета директоров Группы компаний Softline.
Пересмотр Политики проводится на регулярной основе не реже одного раз в год.
Ответственность за общий контроль содержания настоящего документа и внесение в него изменений возлагается на Руководителя Департамента безопасности.
ЦЕЛИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В области информационной безопасности Группой компаний Softline устанавливаются следующие стратегические цели:
- Повышение конкурентоспособности бизнеса Группы компаний Softline.
- Соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности.
- Повышение деловой репутации и корпоративной культуры Группы компаний Softline.
- Эффективное управление информационной безопасностью и непрерывное совершенствование системы управления информационной безопасностью.
- Достижение адекватности мер по защите от угроз информационной безопасности.
- Обеспечение безопасности корпоративных активов Группы компаний Softline, включая персонал, материально-технические ценности, информационные ресурсы, бизнес-процессы.
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Система обеспечения информационной безопасности Группы компаний Softline должна решать следующие задачи:
- Вовлечение высшего руководства Группы компаний Softline в процесс обеспечения информационной безопасности: деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Группы компаний Softline.
- Соответствие требованиям законодательства РФ: Группа компаний Softline реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
- Согласованность действий по обеспечению информационной, физической и экономической безопасности: действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Группы компаний Softline и согласованы между собой по целям, задачам, принципам, методам и средствам.
- Применение экономически целесообразных мер: Группа компаний Softline стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
- Проверка работников: все кандидаты на вакантные должности в Группе компаний Softline в обязательном порядке проходят проверку в соответствии с установленными процедурами.
- Документированность требований информационной безопасности: в Группе компаний Softline все требования в области информационной безопасности фиксируются в разрабатываемых внутренних нормативных документах.
- Повышение осведомленности в вопросах обеспечения информационной безопасности: документированные требования в области информационной безопасности доводятся до сведения работников всех бизнес-подразделений Группы компаний Softline и контрагентов в части их касающейся.
- Реагирование на инциденты информационной безопасности: Группа компаний Softline стремится выявлять, учитывать и оперативно реагировать на действительные, предпринимаемые и вероятные нарушения информационной безопасности.
- Оценка рисков: в Группе компаний Softline на постоянной основе реализуются мероприятия по оценке и управлению рисками информационной безопасности, повышению уровня защищенности информационных активов.
- Учет требований информационной безопасности в проектной деятельности: помимо операционной деятельности, Группа компаний Softline стремится учитывать требования информационной безопасности в проектной деятельности. Разработка и документирование требований по обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов, связанных с обработкой, хранением и передачей информации.
- Постоянное совершенствование системы управления информационной безопасностью: совершенствование системы управления информационной безопасности является непрерывным процессом.
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Принцип системности
В Группе компаний Softline активы рассматриваются как взаимосвязанные и взаимовлияющие компоненты единой системы. Учитывается максимально возможное количество сценариев поведения системы в случае возникновения угроз информационной безопасности. Система защиты строится с учетом не только всех известных каналов получения несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип полноты (комплексности)
Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты информации. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающих все существующие каналы угроз и не содержащих слабых мест на стыках отдельных ее компонентов.
Принцип эшелонированности
Нельзя полагаться на один защитный рубеж, каким бы надежным он ни казался. Система обеспечения информационной безопасности стоится таким образом, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.
Принцип равнопрочности
Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки реальных угроз либо применения неадекватных мер защиты.
Принцип непрерывности
В Группе компаний Softline обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие соответствующих мер на всех этапах жизненного цикла активов.
Принцип разумной достаточности
Руководство Группы компаний Softline исходит из того, что создать «абсолютную» защиту активов невозможно. Поэтому выбор средств защиты активов, адекватных реально существующим угрозам (т.е. обеспечивающих допустимый уровень возможного ущерба в случае реализации угроз), осуществляется на основе проведения анализа рисков.
Принцип законности
При выборе и реализации мер и средств обеспечения информационной безопасности Группой компаний Softline строго соблюдается законодательство Российской Федерации, требования нормативных правовых и технических документов в области обеспечения информационной безопасности Группы компаний Softline.
Принцип управляемости
Все процессы обеспечения и управления информационной безопасностью в Группе компаний Softline должны быть управляемыми, т. е. должна быть возможность мониторинга и измерения процессов и компонентов, своевременного выявления нарушений информационной безопасности и принятия соответствующих мер.
Принцип персональной ответственности
Ответственность за обеспечение безопасности активов возлагается на каждого работника в пределах его полномочий.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В случае нарушения установленных правил работы с информационными активами работник может быть ограничен в правах доступа к таким активам, а также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.