ПОЛИТИКА КОМПАНИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ на 2019-2021 гг.

СУТЬ ПОЛИТИКИ

заключается в достижении следующей стратегической цели:
Обеспечение непрерывной работы компьютерных, телекоммуникационных систем Компании и предотвращение и/или минимизация ущерба от нарушений информационной безопасности.

ОБЩИЕ ПОЛОЖЕНИЯ 

1. Процесс управления информационной безопасностью является частью общего процесса управления безопасностью предприятия. 
2. Все ресурсы (информация и средства ее обработки), входящие в состав информационной системы ПАО «ПНППК», являются собственностью предприятия и не подлежат использованию в личных целях и распространению за пределами Компании, если иное не предусмотрено локальными правовыми актами ПАО «ПНППК» или условиями заключенных договоров.

ПРИНЦИПЫ ПОЛИТИКИ 

1. Достижение и поддержание конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информационно-телекоммуникационных ресурсов Компании. Обеспечение непрерывности бизнеса. 
2. Учет и классификация информационных ресурсов, подлежащих защите. Закрепление каждого информационного ресурса за ответственным владельцем (главным пользователем), определяющим меры по организации безопасности ресурса. 
3. Обеспечение многоуровневой защиты. Постоянная разработка и осуществление комплекса мер, направленных на обеспечение физической и программно-технической защиты информационно- телекоммуникационных ресурсов предприятия от несанкционированного доступа, вирусов и прочих злонамеренных воздействий. 
4. Построение системы защиты, исходя из разумной достаточности. Оценка существующих рисков и выбор защитных мер с учетом соответствия возможного ущерба уровню затрат. 
5. Контроль событий в информационной системе и оперативное принятие мер, направленных на обеспечение ее безопасности. 
6. Разделение обязанностей и минимизация привилегий. Разработка и применение правил разграничения доступа к информационным ресурсам предприятия. 
7. Персональная ответственность пользователей ЛВС за действия, совершенные в информационной системе Компании. Ознакомление каждого пользователя с правилами работы в сети под личную подпись. 
8. Применение к сотрудникам, допустившим нарушение процедур, правил, нормативных документов предприятия, связанных с обеспечением информационной безопасности, дисциплинарных, административных и уголовных мер наказания. 
9. Соответствие политики информационной безопасности Компании текущему законодательству РФ, договорным обязательствам и нормативным документам предприятия.

ОБЯЗАТЕЛЬСТВА РУКОВОДСТВА КОМПАНИИ:

1. При распределении ресурсов и планировании деятельности Компании считать обязательной необходимость обеспечения информационной безопасности.
2. Постоянно совершенствовать систему информационной безопасности. Руководство несет ответственность за все аспекты управления безопасностью, включая принятие решений по управлению рисками.
3. Обеспечить понимание и строгое соблюдение требований информационной безопасности каждым работником, использующим информационно-телекоммуникационные системы предприятия.
4. При приеме на работу обеспечить проверку соответствия профессиональных компетенций кандидатов в области информационных технологий занимаемой должности. Проверка проводится с учетом требований безопасности бизнеса и характера информации, к которой будет предоставлен доступ.
5. Распространить действие «системы 5С» на информацию подразделений, хранимую в электронном виде.