Политика в области информационной безопасности ООО «ТЕОМЕДИА»

В соответствии с решением ООО «ТЕОМЕДИА» в настоящем документе представлены общие тезисы по обеспечению информационной безопасности Компании, не раскрывающие методы и средства обеспечения информационной безопасности. Данный документ одобрен для открытого опубликования.

1. Общие положения

Настоящая политика устанавливает общие направления и методы планирования, внедрения, управления, аудита и анализа, а также развития системы менеджмента информационной безопасности ООО «ТЕОМЕДИА» (далее — Общество).

Управление настоящим документом, включая анализ актуальности и актуализацию, осуществляет представитель руководства по качеству в системе менеджмента информационной безопасности (далее — СМИБ). Актуализация документа осуществляется при необходимости.

Настоящий документ содержит:

  • описание области распространения требований системы менеджмента информационной безопасности;
  • цели в области информационной безопасности;
  • положения политики в области информационной безопасности.

В Обществе принято решение о независимой сертификации системы менеджмента информационной безопасности в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» для обеспечения эффективного внедрения лучших практик в области информационной безопасности, а также демонстрации намерений к постоянному совершенствованию методов обеспечения информационной безопасности.

Внутри Общества настоящая политика используется для решения задач по обеспечению информационной безопасности активов и процессов Общества. Представитель руководства по качеству в СМИБ обеспечивает ознакомление работников и (при необходимости) контрагентов Общества с настоящим документом.

Внешнее использование данного документа предусмотрено для предъявления контролирующим органам, а также (по согласованию с ответственным за документ) контрагентам Общества с целью подтверждения наличия, функционирования и соответствия системы менеджмента информационной безопасности требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2021. Также документ может быть использован для обеспечения исполнения требований СМИБ со стороны контрагентов Общества. В случае необходимости предъявления документа внешним пользователям, по решению ответственного за документ, заинтересованному лицу могут быть предъявлены выдержки из документа, либо полная версия документа.

2. Термины и определения

В настоящем документе, а также других документах системы менеджмента информационной безопасности применяются следующие термины, сокращения и обозначения с соответствующими определениями:

СМИБ — система менеджмента информационной безопасности;

Информационная безопасность (ИБ) – сохранение конфиденциальности, целостности  и доступности информации;

Руководство Общества — генеральный директор.

3. Область распространения требований системы менеджмента информационной безопасности

СМИБ распространяется на следующую деятельность Общества: проектирование систем информационной безопасности.

4. Цели в области информационной безопасности

Общими целями системы менеджмента информационной безопасности являются:

  • создание позитивного образа Общества на рынке;
  • снижение вероятности наступления и смягчение последствий реализации инцидентов информационной безопасности.

В Обществе также устанавливаются специфические цели в области информационной безопасности, которые отражаются в «Плане развития системы менеджмента информационной безопасности» на соответствующий период.

Цели подлежат пересмотру на периодической основе не реже одного раза в год.

Ответственным за пересмотр, контроль, анализ целей, а также доведение результатов их реализации до руководства является представитель руководства по качеству в СМИБ.

В дополнение к указанным целям и применительно к конкретным элементам СМИБ в рамках документа «Положение о применимости» могут быть предложены специфические цели, задачи и методы их реализации.

5. Политика системы менеджмента информационной безопасности

5.1. Требования информационной безопасности

Требования к ИБ должны быть однозначны: необходимо избегать возможностей для двоякого толкования требований. Законодательные, регуляторные и контрактные требования также должны определяться, документироваться и учитываться при планировании. Требования к информационной безопасности вновь создаваемых или изменяемых систем и процессов должны учитываться на этапе планирования каждого из них.

Внедрение элементов информационной безопасности продиктовано особенностями, потребностями и требованиями бизнеса ООО «ТЕОМЕДИА». Это является фундаментальным принципом системы менеджмента информационной безопасности Общества.

5.2. Законодательные и контрактные требования к СМИБ

ООО «ТЕОМЕДИА» осуществляет деятельность, лицензируемую в соответствии с законодательством РФ:

СМИБ компании разработана и функционирует в соответствии с лицензионными и законодательными требованиями, предъявляемыми на основании:

  • Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;
  • Закон Российской Федерации от 21 июля 1993 года № 5485-1 «О государственной тайне»;
  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • Указ Президента Российской Федерации от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • Указ Президента РФ от 01.05.2022 N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
  • Приказ Минфина России от 30.07.2020 N 156н «Об утверждении требований о соблюдении режима охраны помещений (территорий), используемых для производства и реализации защищенной от подделок полиграфической продукции»;
  • Приказ Минфина России от 29.09.2020 N 217н «Об утверждении Технических требований и условий изготовления защищенной от подделок полиграфической продукции».

В отдельных случаях заказчиком могут быть предъявлены дополнительные требования к конфиденциальности и информационной безопасности процессов разработки, изготовления и хранения продукции. Такие требования анализируются до принятия компанией контрактных обязательств.

5.3. Лидерство и обязательства руководства Общества

Вовлечение и вклад в создание, поддержание и развитие системы менеджмента информационной безопасности подтверждается настоящей политикой и демонстрируется выделением ресурсов, необходимых для системы менеджмента информационной безопасности.

Руководство Общества проводит систематический и регулярный анализ результативности системы менеджмента информационной безопасности для гарантии того, что цели по СМИБ установлены и выполняются, а инциденты информационной безопасности идентифицируются и анализируются. Анализ СМИБ со стороны Руководства Общества проводится в форме очных либо заочных совещаний.

5.4. Представитель руководства по качеству в СМИБ

Представителем руководства по качеству в системе менеджмента информационной безопасности является руководитель проекта. Представитель руководства по качеству в СМИБ должен быть наделён необходимыми ответственностью и полномочиями для развития и управления системой менеджмента информационной безопасности.

В частности, представитель руководства по качеству в СМИБ отвечает за:

  • идентификацию. документирование и реализацию требований в области информационной безопасности;
  • реализацию, управление и совершенствование процессов управления рисками;
  • интеграцию процессов (в части информационной безопасности);
  • обеспечение соответствия законодательным, регуляторным. а также контрактным требованиям;
  • информирование Руководства Общества о результативности и совершенствовании системы менеджмента информационной безопасности.

5.5. Основа для определения политики и целей

Политика и цели в области информационной безопасности подлежат пересмотру и актуализации (при необходимости) на ежегодной основе. Для обеспечения выделения соответствующих ресурсов, планирование целей в области информационной безопасности осуществляется в связке с планированием годового бюджета Общества. В случае необходимости, цели и политика в области информационной безопасности могут быть актуализированы внепланово.

Цели в области информационной безопасности основываются на требованиях к информационной безопасности.

Необходимость и способы реализации задач и методов обеспечения информационной безопасности, указанных в «Приложении А» стандарта ГОСТ Р ИСО/МЭК 27001-2021 определены в «Положении о применимости» Общества. Применение таких задач и методов регулярно анализируется и адаптируется в соответствии с результатами анализа рисков информационной безопасности.

Ответственным за пересмотр и актуализацию политики и целей в области информационной безопасности является представитель руководства по качеству в СМИБ.

5.6. Роли и ответственность

Представитель руководства по качеству в СМИБ отвечает за:

  • обеспечение внедрения и поддержание функционирования СМИБ;
  • оценку доступности ресурсов, необходимых для СМИБ;
  • координацию деятельности в рамках СМИБ;
  • информирование заинтересованных сторон о результативности СМИБ;
  • планирование и реализацию деятельности по информированию и обучению персонала (включая персонал, обеспечивающий информационную безопасность) в области информационной безопасности;
  • принятие решения о необходимости и возможности передачи информации (защищаемой информации или относящейся к организации СМИБ) заинтересованным лицам — внутри и вовне организации, а также объёмах и полноте передаваемой информации.

Руководство Общества в целях поддержания адекватности, результативности и соответствия СМИБ проводит её систематический анализ. Анализ проводится на ежегодной основе. Сроки проведения такого анализа устанавливаются руководством. При необходимости, руководство либо представитель руководства по качеству в СМИБ также могут инициировать проведение внепланового анализа СМИБ.

Владельцы соответствующих активов обеспечивают их целостность, доступность и конфиденциальность.

Информация о выявленных уязвимостях или инцидентах информационной безопасности доводится до сведения представителя руководства по качеству в СМИБ в области информационной безопасности.

5.7. Политика постоянного совершенствования

Постоянное совершенствование системы менеджмента информационной безопасности Общества обеспечивается за счёт:

  • повышения результативности СМИБ;
  • совершенствования процессов и применения лучших практик по СМИБ;
  • проведения регулярных независимых аудитов СМИБ Общества;
  • обеспечения активного участия заинтересованных сторон (работников, руководства, и где применимо — клиентов и подрядчиков Общества) в поддержании и совершенствовании СМИБ;
  • внедрения и поддержания измеряемых критериев результативности СМИБ для обеспечения процесса принятия решений;
  • проведения регулярного анализа СМИБ и сбора статистических данных с начала действия СМИБ;
  • регулярного планирования целей и задач в области информационной безопасности, а также проведения анализа таких целей и задач.

В качестве источника направлений для совершенствования системы менеджмента информационной безопасности используется информация или отзывы работников, клиентов, подрядчиков, учредителей или государственных и контролирующих органов. Представитель руководства по качеству в СМИБ организует процесс сбора и анализа предложений по улучшению СМИБ.

При рассмотрении предложений по улучшению СМИБ учитываются следующие критерии:

  • необходимость выделения ресурсов;
  • ожидаемый бизнес-результат;
  • ожидаемое (в том числе негативное) воздействие на достижение бизнес-результата;
  • ожидаемое воздействие на реализацию целей по СМИБ;
  • ожидаемое воздействие на общий уровень риска.

5.8. Подход к управлению рисками

Управление рисками в Обществе реализуется на всех уровнях управления посредством:

  • анализа и планирования Руководством Общества целей в области информационной безопасности;
  • анализа и планирования рисков информационной безопасности и непрерывности бизнеса;
  • анализа рисков ИБ при планировании изменений процессов и систем;
  • анализа рисков ИБ при разработке и переносе процессов и систем.

В ходе регулярного анализа результативности СМИБ Руководством Общества проводится анализ рисков ИБ.

5.9. Персонал

Общество обеспечивает компетентность персонала, вовлечённого в СМИБ, на основании соответствующих образования, навыков и опыта.

Требуемые навыки определяются на основании анализа планируемых или исполняемых обязанностей и полномочий работника. В случае необходимости, Общество обеспечивает обучение, либо наём работников необходимой квалификации. Записи по результатам обучения хранятся у ответственного по работе с персоналом.

5.10. Аудит и анализ

Аудит и анализ системы менеджмента информационной безопасности является важной составляющей постоянного совершенствования системы. В Обществе приняты три уровня проведения аудита СМИБ:

  • анализ СМИБ Руководством Общества на предмет её соответствия политике и целям в области информационной безопасности;
  • внутренний аудит СМИБ на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2021, требованиям политики и целей в области СМИБ, а также процедурам СМИБ;
  • аудит СМИБ с привлечением третьей стороны на предмет подтверждения соответствия требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2021.

5.11. Управление документацией и записями

Документация СМИБ управляется в соответствии с требованиями процедуры СМИБ 01 «Управление документацией систем менеджмента»

Услуги Новости Кейсы Решения под ключ +7 (499) 113-73-80
Позвонить