Требования бизнеса к информационной безопасности

К омпания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина.

Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Требования к информационной безопасности — кого вовлекать в выявление? (Алексей Краснов)

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Законодательные требования РФ по информационной безопасности 2023 | Алексей Лукацкий

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

  • использовать и периодически менять сложные пароли, никогда не передавать средства идентификации – пароль и логин – другим сотрудникам;
  • не хранить в «облаках» конфиденциальную информацию, даже если нужно поработать с годовым отчетом из дома;
  • уничтожать ненужные документы в шредере;
  • не передавать информацию без официального запроса;
  • не смешивать корпоративную и личную почту;
  • архивировать важные файлы;
  • блокировать компьютер перед уходом с рабочего места;
  • уметь распознавать фишинговые письма;
  • ознакомиться с практиками социальной инженерии и не поддаваться им.

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске.

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

  • исключить возможность использования удаленными сотрудниками для подсоединения к корпоративной сети открытых Wi-Fi-сетей, в которых возможен перехват трафика;
  • домашние сети сотрудников должны быть защищены паролями и шифрованием как минимум уровня WPA2. В компании необходимо разработать правила информационной безопасности для удаленных сотрудников для защиты домашних сетей;
  • подключение для мобильных устройств к корпоративной сети должно происходить только по каналам VPN. Компании желательно самой выбрать надежного поставщика услуг VPN и обеспечить сотрудникам на удаленном доступе возможность работать с этим сервисом;
  • для работы необходимо иметь отдельное мобильное устройство и не смешивать частную и корпоративную информацию, система ИБ компании должна предусматривать меры защиты таких удаленных устройств;
  • сведения о работе на удаленном доступе не должны публиковаться в социальных сетях, чтобы не вызвать интерес злоумышленников. Устное и письменное разглашение конфиденциальных данных недопустимо;
  • пароли на ресурсах, связанных с работой на удаленном доступе, необходимо регулярно менять;
  • плагины и программное обеспечение, содержащие известные хакерам уязвимости (например, Adobe Flash, Acrobat Reader, Java и другие), должны регулярно обновляться;
  • компьютер и мобильные устройства нужно защищать паролем даже дома, чтобы гость или ремонтный рабочий не смогли похитить или случайно повредить данные.
Читайте также:  Клуб бизнес ангелов это

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

  • внедрить механизм аутентификации пользователей (пароли, аппаратные средства-токены, биометрические данные);
  • организовать единую систему управления доступом (централизованное управление доступом к IT-ресурсам компании);
  • системно использовать средство организации собственных протоколов VPN (аппаратные устройства, программные решения, расширения брандмауэра);
  • внедрить средства противостояния атакам (защита внутренней сети и сотрудников от атак).

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы.

Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах.

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

  • электроэнергетика;
  • предприятия топливно-энергетического комплекса;
  • транспорт;
  • металлургия;
  • машиностроение.

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31.

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

  • уровень операторского (диспетчерского) управления (верхний уровень);
  • уровень автоматического управления (средний уровень);
  • уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

  • информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
  • программно-технический комплекс, включающий технические средства (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

  • систематический аудит степени АСУ ТП путем интервьюирования специалистов организации, изучения проектной документации, анализа структуры и архитектуры информационных систем;
  • организацию технического анализа защищенности для нахождения уязвимостей при помощи программ-сканеров;
  • ручной и программный анализ рисков;
  • выявление и мониторинг новых типов угроз, представляющих опасность для функционирования объекта.

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

  • обнаружение внешних атак и аномалий в поведении элементов сети;
  • мониторинг инцидентов информационной безопасности;
  • пассивный анализ уязвимостей;
  • анализ конфигураций оборудования, правил доступа сетевого оборудования;
  • контроль целостности данных и программного обеспечения.

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

  • получение информации нарушителем для использования в своих целях;
  • анализ характеристик информации без доступа к самой информации.
  • изменение информации;
  • внесение ложной информации;
  • нарушение (разрушение) информации;
  • нарушение работоспособности системы обработки информации.
Читайте также:  Не горят фары на газели бизнес в чем причина

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

Источник: searchinform.ru

Кто и как должен следить за информационной безопасностью в 2022 году

В 2022 году расширили список организаций, которые должны следить за информационной безопасностью. Теперь это не только стратегические предприятия и госструктуры, но и тысячи юридических лиц. Первый доклад в правительство они должны сдать уже 1 июля.

Никита Ярков Любовь Крапивина

1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность на первых лиц компаний. В документе он перечислил, какие именно организации должны ее обеспечивать:

  • органы исполнительной власти;
  • высшие исполнительные органы государственной власти российских регионов;
  • государственные фонды;
  • госкорпорации и организации, которые созданы на основе федеральных законов;
  • стратегические предприятия, акционерные общества и системообразующие организации российской экономики;
  • юрлица — субъекты критической информационной инфраструктуры РФ.

Многие из этих организаций и так занимались вопросами обеспечения информационной безопасности. Однако некоторые акционерные общества, системообразующие организации российской экономики и субъекты критической информационной структуры РФ подключатся к ним впервые.

22 июня правительство выпустило перечень организаций, которые должны оценить уровень защищенности своих информационных систем. В него попали 72 организации.

В будущем и другие организации, упомянутые в Указе, будут оценивать свою защищенность. Определить, попадает ли компания под требования Указа, можно и из других нормативных актов.

Перечни предприятий, которые утверждены другими законами

Конкретные списки в других нормативных актах и законах есть для стратегических предприятий и акционерных обществ (Указ Президента от 04.08.2004 № 1009) и системообразующих организаций российской экономики (Письмо Минэкономразвития от 23.03.2020 № 8952-РМ/Д18).

Для субъектов критической информационной структуры подробного перечня организаций нет. Согласно закону, субъекты критической информационной инфраструктуры — это госорганы, госучреждения, российские юридические лица и ИП, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в следующих сферах (ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ):

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банки и другие сферы финансового рынка;
  • топливно-энергетический комплекс;
  • атомная энергия;
  • оборонная;
  • ракетно-космическая;
  • горнодобывающая;
  • металлургическая промышленность;
  • химическая промышленность.

Обратите внимание, субъект критической информационной структуры — это не только тот, кому принадлежат такие объекты, но и тот, кто обеспечивает информационное взаимодействие компаний с критически значимыми системами.

Обеспечьте безопасность объектов критической информационной структуры по требованиям ФСТЭК

Как именно компании должны обеспечивать информационную безопасность

Они должны обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Для этого глава государства обязал компании создать специальные структурные подразделения или возложить обязанности на существующие.

Отвечать за информационную безопасность будут персонально руководители компаний (п. 2 Указа № 250).

Как и в каком виде нужно до 1 июля отчитаться перед правительством

Организации из перечня правительства должны до 1 июля предоставить доклад. Как именно он должен выглядеть и в каком виде, пояснений нет.

Но 3 июня Минцифры разработало рекомендации по исполнению 4 пункта Указа и разместило типовое техническое задание, а также типовую форму отчета. Скорее всего, она и станет основой для будущих аудитов.

Кто может оценить информационную безопасность компании

Типовое техническое задание содержит инструкции, которые помогут компаниям оценить защищенность информации и найти следы утечек и взлома информационной инфраструктуры злоумышленником.

Если кратко, это примерный алгоритм проверки, который похож на пентест информационной безопасности по компании в целом.

Согласно рекомендациям Минцифры, чтобы оценить защищенность, компании должны:

  • выявить и консолидировать стратегические риски информационной безопасности;
  • выявить уязвимость информационной инфраструктуры и технических средств обработки информации;
  • выявить недостатки применяемых средств защиты информации и программных продуктов, оценить возможности их использования нарушителем;
  • проверить практическую возможность использования уязвимостей;
  • получить оценки текущего уровня защищенности на основе объективных свидетельств;
  • разработать маршрутную карту модернизации информационной инфраструктуры.

Сделать это могут сами компании либо привлечь стороннюю организацию. Однако оценивать информационную безопасность могут только организации с лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации (п. 1.в Указа № 250). Реестр таких компаний находится в свободном доступе.

Никита Ярков, эксперт Контура

Любовь Крапивина, руководитель отдела продаж Контур.Безопасности

Источник: kontur.ru

Политика информационной безопасности

Политика информационной безопасности

Настоящий документ «Политика информационной безопасности Группы Компаний «Софтлайн Россия» (далее — Политика) является основополагающим документом, определяющим позицию, цели, задачи и принципы Группы Компаний «Софтлайн Россия» (далее — Софтлайн, или Группа) в области информационной безопасности.

Общие положения

Информационная безопасность — это совокупность сотрудников, политик, процессов и технологий, задействованных Софтлайн в целях защиты информационных активов. Защищенность информационных активов Софтлайн характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.

Под информационными активами для целей настоящей Политики признаются сотрудники, информация, деловая репутация, материальные ценности и бизнес-процессы.

Деятельность Софтлайн в области информационной безопасности основывается на стратегии развития Группы, а решаемые задачи способствуют эффективному и безопасному развитию бизнеса Софтлайн в современном мире цифровизации и цифровой трансформации.

Политика разработана в соответствии с положениями международных стандартов и мировых передовых практик.

Период действия и внесение изменений

Настоящая Политика является локальным нормативным актом постоянного действия. Настоящая Политика утверждается, изменяется и признается утратившей силу Генеральным директором ГК «Софтлайн Россия». Пересмотр Политики проводится на регулярной основе не реже одного раза в два года или по мере необходимости.

Читайте также:  Деловое понятие отражающее цель бизнеса

Декларация об информационной безопасности

Принятием Политики Софтлайн провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.

Руководство Софтлайн осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.

Руководство Софтлайн инициирует и контролирует работы в области информационной безопасности.

Соблюдение принципов, правил и требований информационной безопасности является элементом корпоративной культуры Группы.

Руководители и специалисты по информационной безопасности Софтлайн должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Группы.

Сотрудники Софтлайн должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.

Каждый сотрудник Софтлайн или партнера Группы несёт ответственность за выполнение требований информационной безопасности при работе с информационными активами.

Достижение целей информационной безопасности при соблюдении принципов дополнительно позволит упрочить конкурентные преимущества, обеспечить соответствие правовым, регуляторным и договорным требованиям, снизить риски деловой репутации.

Цели в области информационной безопасности

Управление и обеспечение информационной безопасности Софтлайн ориентировано на достижение следующих целей:

  • Предоставление безопасной информационной среды для функционирования и развития бизнеса.
  • Повышение конкурентоспособности, деловой репутации и ценности бизнеса для акционеров путем снижения уровня риска в области информационной безопасности.
  • Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
  • Повышение корпоративной культуры обработки и защиты информации, в т. ч. персональных данных.
  • Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.

Задачи в области информационной безопасности

Для достижения целей в Софтлайн приняты следующие задачи в области информационной безопасности:

  • Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью (далее — СУИБ).
  • Вовлечение высшего руководства Софтлайн в процесс функционирования СУИБ.

Вопросы информационной безопасности регулярно рассматриваются уполномоченными комитетами и/или рабочими группами.

  • Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности. Оценка эффективности расходов.
  • Обеспечение безопасности информационных активов Софтлайн.
  • Соблюдение законодательства, требований регулирующих организаций в области информационной безопасности и защиты персональных данных.
  • Совершенствование технических, организационных и правовых мер защиты.
  • Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
  • Использование рискориентированного подхода. В Софтлайн регулярно проводится оценка рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
  • Управление инцидентами информационной безопасности. Софтлайн непрерывно совершенствует механизмы реагирования на инциденты.
  • Повышение осведомленности сотрудников. Сотрудники Софтлайн регулярно проходят обязательное обучение по информационной безопасности.
  • Формализация требований информационной безопасности. Требования фиксируются в локальных нормативных актах и доводятся до сотрудников.
  • Учет требований информационной безопасности в проектной деятельности. Разработка и документирование требований к обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов.
  • Проверка благонадежности сотрудников. Все кандидаты на вакантные должности проходят проверку в соответствии с установленными процедурами.
  • Мониторинг и непрерывное совершенствование СУИБ по результатам периодических аудитов (проверок).

Принципы обеспечения информационной безопасности

В Софтлайн определены следующие принципы обеспечения информационной безопасности:

Принцип системности

Активы рассматриваются как взаимозависимые компоненты единой системы. Взаимовлияние компонентов учитывается при анализе рисков и угроз информационной безопасности.

Принцип полноты (комплексности)

В целях обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз и отсутствие и уязвимостей в точках интеграции.

Принцип эшелонированности

Недопустимо полагаться на один защитный рубеж. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.

Принцип равнопрочности

Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.

Принцип непрерывности

Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла активов.

Принцип разумной достаточности

«Абсолютная» защита активов невозможна. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.

Принцип законности

При выборе и реализации мер обеспечения информационной безопасности Софтлайн строго соблюдает применимое законодательство, требования нормативных правовых и технических документов в области информационной безопасности.

Принцип управляемости

Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, т.е. необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.

Принцип персональной ответственности

Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника в пределах его полномочий.

Ответственность за нарушение Политики

Сотрудники Софтлайн обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами Группы, её партнёров и контрагентов.

Высокие корпоративные стандарты и правила обеспечения информационной безопасности Софтлайн обязательны для всех без исключения сотрудников Группы и должны учитываться во взаимоотношениях с партнерами и контрагентами.

При использовании сети Интернет, при общении в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств и платформ коммуникаций сотрудникам Софтлайн следует проявлять осмотрительность и сдержанность.

Каждый сотрудник Софтлайн за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.

Сотрудники партнёров и контрагентов, использующие информационные активы Софтлайн, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством.

Генеральный директор ГК «Софтлайн Россия»
В. Лавров

  • О компании
  • Миссия Softline
  • Политики компании
  • Позиции в рейтингах
  • Совет Директоров
  • Топ-менеджмент
  • Инвесторам
  • Партнерская программа Softline Services
  • Перечень инсайдерской информации
  • Правила внутреннего контроля по ПНИИИМР
  • О группе компаний Softline
  • Реализованные проекты
  • Отзывы клиентов
  • Отзывы партнеров
  • Клиенты
  • Партнеры
  • Наши лицензии
  • Партнерство с Фондом «Сколково»
  • Облигации
  • Центр раскрытия информации
  • Социальная ответственность (ESG)
  • AGM
  • Кредитные рейтинги
  • Финансовые отчеты и презентации
  • Новости для инвесторов
  • Интернет-проекты
  • Softline Venture Partners
  • Специализированные каталоги
  • Каталог Softline-direct
  • I Love Sport
  • Новости
  • Блог
  • Корпоративные материалы
  • Вакансии
  • Истории успеха наших сотрудников
  • Заполнить анкету или отправить резюме
  • Сводные ведомости оценки условий труда
  • Офисы в России
  • Приемная Softline

Источник: softline.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
Бизнес для женщин