Политика СМИБ

Версия 1.1 от 23 марта 2022 года

Политика в области СМИБ

Для поддержания деловой репутации и обеспечения конкурентоспособности ООО «Майндбокс» (далее — Компания) считает важнейшей своей задачей обеспечение защиты информационных активов Компании, ее клиентов и партнеров. К информационным активам, помимо прочего, относится информация ограниченного доступа и персональные данные, доступ к которым Компания получила в ходе своей деятельности.

Для эффективной реализации процессов обеспечения информационной безопасности (ИБ) в Компании внедрена система менеджмента информационной безопасности (СМИБ), соответствующая требованиям международного стандарта ISO/IEC 27001:2013. «Information technology. Security techniques. Information security management systems. Requirements».

  1. Цели СМИБ

    1. создание и постоянное поддержание в Компании условий, при которых риски, связанные с обеспечением безопасности активов Компании, постоянно контролируются и являются управляемыми;

    2. защита конфиденциальной информации в соответствии с требованиями российского законодательства, применимого иностранного законодательства, отраслевыми требованиями и лучшими практиками менеджмента ИБ;

    3. обеспечение непрерывности бизнес-просцессов, а также дальнейшего развития Компании;

    4. обеспечение прозрачности процессов информационной безопасности и сохранности данных для клиентов.

  2. Подходы, используемые для достижения целей СМИБ

    1. инвентаризация активов Компании;

    2. регулярное проведение оценки рисков ИБ;

    3. применение экономически эффективных организационных и технических мер по обеспечению ИБ;

    4. выявление применимых требований действующего законодательства и регуляторов в области ИБ, достижение соответствия этим требованиям;

    5. установление ответственности сотрудников по вопросам обеспечения ИБ, обучение и повышение их осведомленности в части ИБ;

    6. регулярная оценка соответствия СМИБ применимым внутренним и внешним требованиям посредством проведения внутренних аудитов СМИБ, мониторинга результативности процессов СМИБ, анализа СМИБ менеджментом Компании;

    7. внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СМИБ внутренним и внешним требованиям;

    8. подтверждение соответствия СМИБ Компании требованиям международного стандарта ISO/IEC 27001:2013;

    9. информирование заинтересованных сторон о подходах, которые мы используем для обеспечения ИБ, управления инцидентами, результатах независимых аудитов ИБ.

  3. Центральным и руководящим документом, устанавливающим общие требования к системообразующим процессам СМИБ является «Руководство по СМИБ»

  4. Принципы СМИБ

    1. Законность. При обеспечении ИБ Компания стремится выполнять требования применимого законодательства, а также действующие нормативные требования государственных регулирующих органов, в том числе, иностранных, если к деятельности Компании применимо иностранное законодательство.

    2. Адекватность противодействия существующим угрозам и экономическая обоснованность. Применяемые организационные и технические меры защиты выбираются исходя из потребностей процессов Компании на основе результатов анализа и оценки рисков ИБ, в частности, анализа актуальных угроз и затрат на внедрение и сопровождение мер управления рисками. Проводится периодическая оценка эффективности используемых мер и механизмов защиты.

    3. Минимизация ограничивающего влияния на процессы Компании. Применяемые организационные и технические меры СМИБ минимально влияют на функционирование и характеристики процессов Компании.

    4. Перспективность и ориентация на существующие российские и международные открытые стандарты. Организационные и технические меры СМИБ реализуются с учетом мировых тенденций в области ИБ. Ориентация на открытые стандарты позволяет использовать накопленный мировой опыт в области защиты информации, а также обеспечивает прозрачность процессов ИБ и простоту взаимодействия в рамках задач по обеспечению ИБ.

    5. Непрерывность функционирования. Обеспечиваются отказоустойчивость, надежность, доступность и корректность функционирования организационных и технических мер СМИБ.

    6. Непрерывность совершенствования. Для успешного противодействия угрозам ИБ в условиях постоянно меняющегося внешнего и внутреннего окружения реализуется непрерывный цикл развития и совершенствования СМИБ.

    7. Персональная ответственность. Каждый сотрудник Компании несет персональную ответственность за выполнение функций и требований, возложенных на него в рамках функционирования СМИБ.

    8. Контроль. Осуществляется постоянный контроль выполнения сотрудниками организации требований в области ИБ.

Менеджмент Компании личным примером демонстрирует свое лидерство и приверженность в отношении СМИБ Компании и способствует вовлечению и активному участию персонала Компании в реализации Политики. Деятельность по обеспечению ИБ в Компании ежегодно планируется на уровне менеджмента СМИБ.

Менеджмент Компании берет на себя ответственность за соответствие Политики и целей в области СМИБ намерениям и среде Компании, доведение и разъяснение их сотрудникам Компании, заинтересованным сторонам, назначение ответственных за решение соответствующих задач для достижения этих целей на всех уровнях самоуправления Компании и в кругах Компании, а также за их реализацию, периодический анализ и пересмотр.

Менеджмент Компании обязуется обеспечивать соответствие СМИБ Компании применимым требованиям ISO/IEC 27001:2013, нормативных документов СМИБ Компании, обеспечивать необходимыми ресурсами на поддержку и модернизацию СМИБ, постоянно повышать результативность СМИБ Компании, применяя процессный подход и риск-ориентированное мышление.