ПОЛИТИКА КОМПАНИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ на 2019-2021 гг.
СУТЬ ПОЛИТИКИ
заключается в достижении следующей стратегической цели:
Обеспечение непрерывной работы компьютерных, телекоммуникационных систем Компании и предотвращение и/или минимизация ущерба от нарушений информационной безопасности.
ОБЩИЕ ПОЛОЖЕНИЯ
- Процесс управления информационной безопасностью является частью общего процесса управления безопасностью предприятия.
- Все ресурсы (информация и средства ее обработки), входящие в состав информационной системы ПАО «ПНППК», являются собственностью предприятия и не подлежат использованию в личных целях и распространению за пределами Компании, если иное не предусмотрено локальными правовыми актами ПАО «ПНППК» или условиями заключенных договоров.
ПРИНЦИПЫ ПОЛИТИКИ
- Достижение и поддержание конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информационно-телекоммуникационных ресурсов Компании. Обеспечение непрерывности бизнеса.
- Учет и классификация информационных ресурсов, подлежащих защите. Закрепление каждого информационного ресурса за ответственным владельцем (главным пользователем), определяющим меры по организации безопасности ресурса.
- Обеспечение многоуровневой защиты. Постоянная разработка и осуществление комплекса мер, направленных на обеспечение физической и программно-технической защиты информационно- телекоммуникационных ресурсов предприятия от несанкционированного доступа, вирусов и прочих злонамеренных воздействий.
- Построение системы защиты, исходя из разумной достаточности. Оценка существующих рисков и выбор защитных мер с учетом соответствия возможного ущерба уровню затрат.
- Контроль событий в информационной системе и оперативное принятие мер, направленных на обеспечение ее безопасности.
- Разделение обязанностей и минимизация привилегий. Разработка и применение правил разграничения доступа к информационным ресурсам предприятия.
- Персональная ответственность пользователей ЛВС за действия, совершенные в информационной системе Компании. Ознакомление каждого пользователя с правилами работы в сети под личную подпись.
- Применение к сотрудникам, допустившим нарушение процедур, правил, нормативных документов предприятия, связанных с обеспечением информационной безопасности, дисциплинарных, административных и уголовных мер наказания.
- Соответствие политики информационной безопасности Компании текущему законодательству РФ, договорным обязательствам и нормативным документам предприятия.
ОБЯЗАТЕЛЬСТВА РУКОВОДСТВА КОМПАНИИ:
- При распределении ресурсов и планировании деятельности Компании считать обязательной необходимость обеспечения информационной безопасности.
- Постоянно совершенствовать систему информационной безопасности. Руководство несет ответственность за все аспекты управления безопасностью, включая принятие решений по управлению рисками.
- Обеспечить понимание и строгое соблюдение требований информационной безопасности каждым работником, использующим информационно-телекоммуникационные системы предприятия.
- При приеме на работу обеспечить проверку соответствия профессиональных компетенций кандидатов в области информационных технологий занимаемой должности. Проверка проводится с учетом требований безопасности бизнеса и характера информации, к которой будет предоставлен доступ.
- Распространить действие «системы 5С» на информацию подразделений, хранимую в электронном виде.