Политика информационной безопасности

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий документ является базисным в области обеспечения информационной безопасности (далее – ИБ) бизнес-процессов компании ООО «Брума Сервис» (далее – Jeffit) и включен в комплект документов по системе управления информационной безопасностью (далее – СУИБ).
Настоящий документ определяет цели и задачи в области ИБ Jeffit, формулирует основные принципы и подходы, которые применяются для обеспечения стабильного функционирования бизнес-процессов Jeffit и защиты ее информационных активов.
Стратегическая задача, утвержденная руководством Jeffit, – обеспечение защиты информационных активов, задействованных в бизнес-процессах Jeffit, а также информации и персональных данных клиентов, партнеров, работников, любых юридических и физических лиц, находящихся в правовых отношениях или иных видах взаимодействия с Jeffit.
Нарушение применяемых в Jeffit требований ИБ может привести к финансовым потерям, правовым санкциям, ущербу репутации Jeffit, в том числе к потере доверия со стороны клиентов и партнеров, снижению конкурентоспособности на рынке.
Надлежащий уровень ИБ в Jeffit обеспечивается в соответствии с требованиями бизнеса, законодательства и регуляторов в области ИБ за счет внедрения и постоянного развития СУИБ на основе лучших практик ИБ.
Настоящий документ распространяется на все бизнес-процессы Jeffit и является обязательным для исполнения всеми работниками и руководством Jeffit.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Актив – все, что имеет ценность для организации.
Информационная безопасность (ИБ) – сохранение конфиденциальности, целостности и доступности информации.
Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на информационный ресурс в целях нарушения и (или) прекращения его функционирования и (или) создания угрозы безопасности информации, обрабатываемой таким ресурсом.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную опасность утечки информации или несанкционированных воздействий на неё.

3. ЦЕЛИ И ЗАДАЧИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цели Jeffit в области ИБ:

• обеспечение стабильного функционирования бизнес-процессов и сервисов Jeffit;
• защита информационных активов, включая персональные данные работников, клиентов/партнеров и их представителей, от нарушения конфиденциальности, целостности и доступности;
• поддержание высокой деловой репутации Jeffit, благодаря прозрачности и надежности мер ИБ, основанных на международных стандартах и лучших практиках ИБ.

Достижение целей Jeffit в области ИБ обеспечивается за счет решения следующих задач:

• выполнение требований законодательства Российской Федерации, соответствие требованиям нормативно-методических документов регуляторов и стандартам, установленным в области ИБ, соответствие договорным обязательствам;
• своевременное выявление и оценка угроз ИБ;
• применение организационных и технических мер защиты информации;
• обеспечение непрерывности бизнес-процессов и сервисов Jeffit;
• мониторинг и контроль функционирования СУИБ;
• управление инцидентами ИБ;
• вовлеченность работников в процессы ИБ и повышение их осведомленности в вопросах ИБ;
• непрерывное совершенствование процессов ИБ.

4. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основные принципы деятельности Jeffit в области ИБ:

• вовлеченность руководства Jeffit в процессы ИБ – руководство Jeffit принимает на себя ответственность за планирование, управление и обеспечение ИБ, назначает ответственных лиц за процессы ИБ, а также демонстрирует личную приверженность принципам ИБ;
• обеспечение ресурсами – руководство Jeffit выделяет необходимое финансирование на технические и организационные меры защиты информации, включая приобретение необходимых программно-технических средств, обучение и повышение квалификации работников в вопросах ИБ и пр.;
• законность и соответствие требованиям информационной безопасности – обеспечение ИБ основывается на выполнении требований законодательства Российской Федерации, а также лучших практиках в области ИБ;
• обоснованность выбора мер защиты информации – применяемые меры базируются на регулярной оценке рисков ИБ, контроле эффективности действующей защиты и экономической целесообразности;
• подконтрольность процессов ИБ – проводятся мониторинг, контроль и анализ результатов внутренних проверок мер защиты, а также оценка рисков новых угроз безопасности информации;
• постоянное совершенствование ИБ – систематическое улучшение мер защиты информации по результатам контроля и оценки эффективности действующих процессов ИБ, а также на основе анализа публичной информации о новых угрозах безопасности информации, компьютерных атаках, изменениях требований регуляторов, тенденциях и передовом российском и зарубежном опыте в области ИБ;
• персональная ответственность – каждый работник Jeffit несет ответственность за соблюдение требований ИБ в рамках своих должностных обязанностей.

5. ОТВЕТСТВЕННОСТЬ
Все работники Jeffit должны соблюдать требования ИБ при выполнении своих должностных обязанностей. Правила ИБ обязательны при работе с информацией как работников, так и контрагентов Jeffit.
Руководители подразделений несут ответственность за выполнение подчиненными требований информационной безопасности.
За несоблюдение требований ИБ работник Jeffit может быть привлечен к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в соответствии с законодательством Российской Федерации.

6. РАСПРОСТРАНЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Настоящий документ в обязательном порядке доводится до сведения всех работников Jeffit.
При необходимости документ может быть передан для ознакомления клиентам, партнерам, подрядным организациям и пр.

7. АКТУАЛИЗАЦИЯ И ПЕРЕСМОТР
Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Jeffit, но не реже одного раза в три года.

8. КОНТРОЛЬ ВЕРСИЙ
Настоящий документ пересматривается по мере возникновения изменений во внутреннем или внешнем контексте, процессах, а также стратегии развития Jeffit, но не реже одного раза в три года.