Политика информационной безопасности ИП Александров О.Н. для опубликования в сети Интернет

Статус документа – для общего пользования

1. Общие положения

ИП Александров О.Н. (далее по тексту «Компания») считает обеспечение информационной безопасности необходимым и обязательным условием своей деятельности. Любые нарушения информационной безопасности могут нанести материальный ущерб самой Компании, ее клиентам и деловым партнерам, а также привести к серьезным негативным последствиям, способным навредить деловой репутации Компании и ее партнеров, снижению конкурентоспособности и утраты позиций на рынке.

   1.1. Цель документа

Целью «Политики информационной безопасности ИП Александров О.Н. для опубликования в сети Интернет» (далее – Политики) является декларация основных положений, принципов и правил, на которых Компания строит и управляет собственной информационной безопасностью.

   1.2. Области применения документа

Данный документ предназначен для опубликования на сайте магазина «Камуфляж ру».

   1.3. Кому адресован этот документ?

Данный документ размещается в общем доступе на сайте магазина «Камуфляж ру» и доступен для изучения всем пользователям сети Интернет. Документ декларирует подходы Компании в обеспечении информационной безопасности.

2. Цели, задачи и принципы обеспечения и управления информационной безопасностью в ИП Александров О.Н.

Понятие обеспечения информационной безопасности предполагает сохранение ее конфиденциальности, целостности и доступности. Компания обеспечивает ограничение и распределение прав доступа к конфиденциальной информации с соблюдением условий конфиденциальности, на которых эта информация была получена Компанией. Доступ к информации могут получать только авторизованные пользователи. Компания обязуется сохранять информацию в том виде и объеме, в котором эта информация была получена. Любые изменения и дополнения в информацию могут вносить только авторизованные пользователи с необходимыми правами. Компания обязуется предоставлять в необходимом объеме доступ к информации авторизованным пользователям в соответствии с их полномочиями и правами.

Цели информационной безопасности Компании:

• управление правами доступа, ограничение доступа к критичной информации, сохранение целостности информации и обеспечение ее доступности для всех авторизованных лиц;
• обеспечение доступности для авторизованных лиц всех электронных сервисов компании, необходимых для непосредственного и удаленного доступа к критичной информации;
• контроль соблюдения Компанией всех требований существующего законодательства в области информационной безопасности, а также исполнения актуальных регламентов и нормативных документов, действующих на территории РФ.
• контроль соответствия процессов, преследующих цель обеспечения информационной безопасности, бизнес-требованиям Компании;
• обеспечение доверия и лояльного отношения клиентов и партнеров Компании;
• установление мер ответственности для сотрудников, обеспечивающих информационную безопасность, а также обеспечение для них необходимого и достаточного уровня осведомленности.

3. Основополагающие принципы и подходы в обеспечении информационной безопасности Компании.

   3.1. Компания признает информацию важным активом, защиту которого обязан обеспечивать каждый ее сотрудник независимо от занимаемой должности и круга исполняемых обязанностей.

   3.2. Доступ к информации, которой владеет Компания, строго регламентируется. Доступ к информации предоставляется только тем лицам, которым он требуется для исполнения рабочих функций, должностных (контрактных) обязанностей. Доступ к информации предоставляется только в необходимом и достаточном объеме.

   3.3. Любая информация (информационный ресурс) имеет своего владельца, который определяет круг лиц, имеющих доступ к этой информации, а также распределяет права доступа для авторизованных пользователей. Владелец информации несет ответственность за функционирование мер защиты информации.

   3.4. Компания обучает своих сотрудников информационной безопасности.

   3.5. Компания выполняет внутренний аудит информационной безопасности.

   3.6. Специалисты Компании, отвечающие за информационную безопасность, осуществляют контроль соблюдения требований и правил информационной безопасности на всех уровнях корпоративной иерархии.

   3.7. Меры защиты информации внедряются по результатам оценки существующих рисков и с соблюдением обязательных к исполнению требований Федерального закона №152 «О защите персональных данных», а также прочих нормативных актов, регламентирующих обработку персональных данных в автоматизированных и неавтоматизированных информационных системах.

   3.8. Оценка рисков информационной безопасности внутри Компании осуществляется в плановом режиме 1 раз в год или всякий раз после модернизации бизнес-процессов и изменений в структуре Компании.

   3.9. Оценка рисков предполагает определение размера вероятного материального ущерба или вреда репутации компании, которые могут возникнуть вследствие влияния реализации угроз информационной безопасности.

   3.10. Стоимость мер информационной безопасности не должна превышать размера предполагаемого ущерба, который возникнет вследствие влияния реализации угроз информационной безопасности.

   3.11. Управление информационной безопасностью в Компании осуществляется с соблюдением требований международных стандартов ISO 27001.

   3.12. Успех реализации целей данной Политики зависит от неукоснительного соблюдения внутренних регламентов информационной безопасности Компании всеми участниками бизнес-процессов на всех уровнях корпоративной иерархии.

4. Порядок пересмотра Политики

   4.1. Политика подвергается пересмотру в случаях наступления любых значимых событий, способных повлиять на состояние информационной безопасности Компании, но не реже одного раза в три года.