Политика информационной безопасности



жүктеу/скачать 0.49 Mb.
Pdf көрінісі
бет5/12
Дата02.01.2022
өлшемі0.49 Mb.
#453255
1   2   3   4   5   6   7   8   9   ...   12
7f80864fb06e64cf2138b49aa7666b56

Возможности Компании 

§4.


2.10.  Компания  обладает  следующими  возможностями,  которые  позволяют 

гарантировать достижение ожидаемых результатов СМИБ: 

1)  компетентный 

и 

осведомленный 



персонал, 

проходящий 

профессиональную 

подготовку 

и 

периодическое 



повышение 

квалификации; 

2)  необходимая  инфраструктура  и  центры  обработки  данных  определены, 

обеспечиваются и поддерживаются в рабочем состоянии

3)  высокая  прозрачность  деятельности  и  социальная  ответственность 

Компании

4)  сильная 

система 


менеджмента, 

соответствующая 

современным 

стандартам и лучшим мировым практикам. 



ГЛАВА 3. ПОНЯТИЕ, ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

2.11.  Под информационной безопасностью понимается защищенность информации 

и  средств  её  обработки  от  случайных  или  преднамеренных  воздействий 

естественного или искусственного характера. 

2.12.  Информационная  безопасность  не  является  самоцелью,  ее  обеспечение 

необходимо для адекватной защищенности информационных активов (информация 

и  программно-аппаратный  комплекс,  используемый  для  ее  хранения  и  (или) 

обработки)  Компании,  снижения  рисков  и  экономических  потерь,  связанных  с 

угрозами  информационным  активам  и  ресурсам  Компании  (основные 

информационные системы и базы данных Компании, данные по выданным займам, 

методологии  Компании,  компьютерное,  телекоммуникационное  и  серверное 

оборудование). 

2.13.  В  рамках  обеспечения  информационной  безопасности  поддерживаются 

главные атрибуты информации (Рисунок 1): 

1) 

Конфиденциальность – это гарантия, что информация может быть прочитана 

и  проинтерпретирована  только  теми  людьми  и  процессами,  которые 

авторизованы  это  делать.  Обеспечение  конфиденциальности  включает 

процедуры 

и 

меры, 


предотвращающие 

раскрытие 

информации 

неавторизованными пользователями.  

2) 

Целостность  –  это  гарантия  того,  что  информация  остается  неизменной, 

корректной  и  аутентичной.  Обеспечение  целостности  предполагает 

предотвращение  и  определение  неавторизованного  создания,  модификации 

или удаления информации. 



 

 



3) 

Доступность  –  это  гарантирование  того,  что  авторизованные  пользователи 

могут  иметь  доступ  и  работать  с  информационными  активами,  ресурсами  и 

системами,  которые  им  необходимы,  при  этом  обеспечивается  требуемая 

производительность.  Обеспечение  доступности  включает  меры  для 

поддержания  доступности  информации,  несмотря  на  возможность  создания 

помех,  включая  отказ  системы  и  преднамеренные  попытки  нарушения 

доступности. 

Доступность

 

Рисунок 1. Основные атрибуты информационной безопасности (CIA Triad) 

2.14.  Основные цели информационной безопасности: 

1)  обеспечение  надлежащей  защиты информации  в зависимости  от ее  значения 

для Компании; 

2)  обеспечение  конфиденциальности,  целостности  и  доступности  информации, 

защиты персональных данных; 

3)  предотвращение  несанкционированного  физического  и  логического  доступа, 

повреждения  и  вмешательства  в  информацию  и  в  средства  обработки 

информации Компании; 

4)  обеспечение  информационной  безопасности  как  неотъемлемой  части 

информационных систем в течение всего их жизненного цикла

5)  обеспечение  непрерывного  и  результативного  подхода  к  управлению 

инцидентами информационной безопасности, включая сообщения о событиях 

безопасности и слабые стороны. 

2.15.  Для достижения целей обеспечения информационной безопасности Компания 

обеспечивает эффективное решение следующих задач: 

1)  инвентаризация  и  классификация  информационных  активов  Компании 

(владельцами  информационных  активов  во  всех  бизнес-подразделениях, 

входящих в область действия СМИБ); 

2)  определение 

и  оценка  рисков  информационной  безопасности  и 

потенциальных  возможностей  данных  рисков  (основываясь  на  модель  угроз 

информационной безопасности); 

3)  разработка  мер  по  управлению  рисками  информационной  безопасности 

(включая как методологические, ручные, так и автоматизированные средства 

контроля); 


 

 



4)  формирование и совершенствование системы менеджмента информационной 

безопасности,  в  том  числе  процессов  оценки  и  анализа  информационной 

безопасности (как внутренне, так и внешние оценки и аудиты СМИБ); 

5)  определение  и  документирование  основных  требований  и  процедур 

обеспечения информационной безопасности; 

6)  внедрение и настройка средств защиты информации

7)  обучение персонала Компании в области информационной безопасности; 

8)  своевременное выявление и устранение уязвимостей активов Компании и тем 

самым  предупреждение  возможности  нанесения  ущерба  и  нарушения 

нормального  функционирования  бизнес-процессов  Компании  в  результате 

реализации угроз информационной безопасности; 

9)  уменьшение  до  приемлемого  уровня  возможного  ущерба  Компании  при 

реализации  угроз  информационной  безопасности,  в  том  числе  сокращение 

времени восстановления бизнес-процессов после возможных прерываний; 

10) 

мониторинг  и  обработка  событий  и  инцидентов  информационной 



безопасности; 

11) 


планирование  и  оптимизация  затрат  на  обеспечение  информационной 

безопасности Компании. 




жүктеу/скачать 0.49 Mb.

Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   ...   12



©dereksiz.org 2024
әкімшілігінің қараңыз
    Басты бет