====== Политика информационной безопасности (от Агентства информационной безопасности "Атлант") ====== Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании. Политика распространяется на главный офис Компании и все филиалы. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов. Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность - в случае внесения в данные исключительно авторизованных изменений, доступность - при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время. Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании. Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника. Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме. Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации. Сотрудники Компании проходят регулярное обучение в области информационной безопасности. В Компании ежегодно проводится независимый аудит информационной безопасности. Генеральный директор Компании утверждает политики информационной безопасности. Отдел информационной безопасности отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в Компании. Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO 27001 и ISO 27002. Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности. Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнес-процессах. При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз. Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности: - Политика использования паролей; - Политика использования сети Интернет; - Политика использования электронной почты; - ... Несоблюдение политик информационной безопасности сотрудниками Компании может повлечь дисциплинарные меры взыскания вплоть до увольнения. Источник: сайт агентства информационной безопасности "Атлант"