Політика інформаційної безпеки

  1. Призначення документа

Політика інформаційної безпеки ТОВ «ІННОВЕЙШН ДЕВЕЛОПМЕНТ ХАБ» (далі – Підприємство) – це відкритий документ декларативного характеру, який визначає базові принципи забезпечення інформаційної безпеки та наміри керівництва Підприємства їх дотримуватись.

  1. Область дії

Викладені  в  документі  принципи  забезпечення  інформаційної  безпеки  поширюються  на  всі підрозділи Підприємства з області дії системи управління інформаційною безпекою,  а  також  поширюються  на  інші  організації,  установи  та  фізичні  особи, які  взаємодіють  з Підприємством в якості постачальників або споживачів інформаційних ресурсів Підприємства.

  1. Об’єкти захисту

Для  забезпечення  необхідного  рівня функціонування  Підприємства  повинний бути забезпечений захист:

  • автоматизованої системи Підприємства: комплексу апаратних та програмних засобів, призначених для автоматизації бізнес-процесів Підприємства;
  • приміщень, в яких розміщені елементи автоматизованої системи Підприємства;
  • інформації, яка обробляється і зберігається в автоматизовані системі Підприємства.

Персонал є окремою категорією, на яку необхідно звернути увагу з метою забезпечення інформаційної безпеки Підприємства.

  1. Мета захисту

Метою Політики є реалізація заходів, направлених на захист Підприємства від можливого нанесення йому матеріальної, репутаційної чи іншої шкоди, яка може бути нанесена за допомогою випадкового або  навмисного впливу на об’єкти захисту.

Зазначена мета досягається шляхом забезпечення властивостей об’єктів захисту, таких як доступність, цілісність та конфіденційність.

Необхідний рівень доступності, цілісності і конфіденційності забезпечується впровадженням організаційних та технічних заходів, розроблених на підставі оцінки властивих об’єктам захисту ризиків інформаційної безпеки.

  1. Принципи реалізації Політики

Для досягнення поставленої мети Підприємство має намір керуватися наступними принципами:

  • законність: Підприємство реалізує заходи забезпечення інформаційної безпеки у відповідності до чинного законодавства та договірних зобов’язань;
  • залучення вищого  керівництва  Підприємства  в  процес  забезпечення  інформаційної безпеки: діяльність ініційована і контролюється вищим керівництвом Підприємства;
  • економічна доцільність: Підприємство прагне обирати заходи забезпечення інформаційної безпеки з урахуванням витрат на їх реалізацію, ймовірності виникнення загроз інформаційній безпеці та обсягу можливих втрат від їх реалізації;
  • комплектність та системність: інформаційна безпека реалізується на правовому, адміністративному, процедурному та програмно-технічному рівнях;
  • персональна відповідальність: працівники та керівництво Підприємства, а також представники третьої сторони, які взаємодіють з Підприємством, несуть відповідальність за дотримання вимог інформаційної безпеки;
  • мінімальна достатність: доступ до інформаційних ресурсів Підприємства надається виключно за службовою необхідністю та на рівні мінімально необхідних повноважень;
  • врахування вимог інформаційної безпеки у проектній діяльності: розробка та документування вимог до продуктів з інформаційної безпеки здійснюється на всіх етапах реалізації проектів.
  1. Обов’язки керівництва

Керівництво Підприємства бере на себе повну відповідальність і приймає зобов’язання:

  • забезпечити підтримку та  постійне вдосконалення системи  управління інформаційною безпекою Підприємства, що відповідає вимогам міжнародного стандарту ISO / IEC 27001:  2013 «Information security management systems. Requirements»;
  • за доведення вимог цієї Політики до всіх співробітників Підприємства;
  • поліпшення управління інформаційною безпекою Підприємства за рахунок впровадження процесного менеджменту, постановки цілей і проведення аналізу функціонування системи управління інформаційною безпекою Підприємства з боку керівництва;
  • забезпечення системи управління інформаційною безпекою Підприємства всіма необхідними ресурсами для досягнення поставлених цілей.
  1. Політика перегляду

Ведеться  робота з постійної  підтримки документа  в  актуальному  стані.  Документ  повинен переглядається в міру необхідності, але не рідше одного разу на рік.

Відповідальність за внесення змін до Політику покладається на начальника Відділу захисту інформації.