Главная страница
Навигация по странице:

  • НК “ АЗГЛАЗГАЗ” Утверждена решением Директората

  • Политика безопасности информационной системы. Гулиев А.Г. БСБО-10-17 Политика безопасности. Протокол 321 пункт 1 Политика информационной безопасности ао нк АзГлазГаз


    Скачать 75.8 Kb.
    НазваниеПротокол 321 пункт 1 Политика информационной безопасности ао нк АзГлазГаз
    АнкорПолитика безопасности информационной системы
    Дата08.10.2019
    Размер75.8 Kb.
    Формат файлаdocx
    Имя файлаГулиев А.Г. БСБО-10-17 Политика безопасности.docx
    ТипПротокол
    #89046

    Подборка по базе: АНКЕТА ПРОТОКОЛ.docx, Государственная национальная политика2.docx, рег политика.docx, Внутренняя политика Екатерины II.docx, 3 пункт.docx, Гулиев А.Г. БСБО-10-17 Политика безопасности.DOCX, света докладдд политика.docx, Государственная инновационная политика в сфере образования.docx, кадровая политика.docx, соц политика.docx.




    НК “АЗГЛАЗГАЗ”
    Утверждена решением Директората АО НК «АзГлазГаз» от 10 ноября 2049 года Протокол №321 пункт 1
    Политика информационной безопасности

    АО НК «АзГлазГаз»

    Оглавление


    1.Общие положения 4

    2. Список терминов и определений 4

    3. Основные цели и задачи 4

    4. Основные принципы деятельности в сфере обеспечения информационной безопасности 5

    5.Ответственность 5

    6. Угрозы информационной безопасности 5

    9.Заключительные положения 8





    1. Общие положения



    Достижение стратегических целей АО НК «АзГлазГаз» (далее- АГГ) тесно связано с управлением информацией, являющейся важным бизнес-ресурсом. Информационная безопасность является одним из важнейших факторов успешной и стабильной работы АГГ. Обеспечение ИБ АГГ, его сотрудников, а также представителей третьих сторон является одной из первостепенных задач.

    Политика информационной безопасности АО НК «АзГлазГаз» является основополагающим документом, отражающим видение руководства АГГ касательно обеспечения ИБ.

    2. Список терминов и определений



    2.1. Конфиденциальная информация (далее – КИ) – информация, в отношении которой Компанией установлен режим конфиденциальности.

    2.2. Угроза информационной безопасности – операционный риск, влияющий на нарушение одного (или нескольких) свойств информации – целостности, конфиденциальности, доступности объектов защиты.

    2.3. Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

    2.4. Политика информационной безопасности (далее – Политика ИБ) – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

    3. Основные цели и задачи



    3.1. Политика ИБ направлена на достижение следующих основных целей:

    1) защита информации от реальных и потенциальных угроз;

    2) минимизация и локализация последствий при воздействии угроз;

    3) развитие корпоративной осведомленности в области обеспечения ИБ.
    3.2. Основными задачами Политики ИБ являются:

    1) выявление, предупреждение и нейтрализация реальных и потенциальных угроз ИБ, а также установление причин и условий их возникновения;

    2) совершенствование механизмов оперативного реагирования на угрозы ИБ;

    3) эффективное управление рисками ИБ;

    4) информирование, обучение, контроль знаний работников АГГ по вопросам ИБ.

    Для решения указанных задач в АГГ внедрена система менеджмента информационной безопасности (далее- СМИБ), подтверждающая способность выбора адекватных и пропорциональных средств управления защитой информации, обеспечивающих безопасность информационных ресурсов.

    СМИБ действует в определенной области применения и соответствует:

    1. международному стандарту ISO/IEC 27001:2013 «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

    2. требованиям законодательства Республики Арцтоска, нормативным документам и договорным обязательствам АГГ СМИБ, являясь частью общей системы менеджмента АГГ, документирована в настоящей Политике, а также других документах СМИБ (руководства, правила, процедуры, рабочие инструкции и др.), детализирующих, развивающих положения, изложенные в Политике на уровне их практической реализации и являющихся обязательными для всех работников АГГ, а также представителей третьих сторон, имеющих доступ к информационным ресурсам АГГ.






    4. Основные принципы деятельности в сфере обеспечения информационной безопасности



    В рамках СМИБ обеспечение ИБ в АГГ осуществляется в соответствии со следующими основными принципами:

    1. законности;

    2. Процессного подхода;

    3. комплексного использования способов, методов и средств защиты;

    4. следования лучшим практикам;

    5. разумной достаточности;

    6. персональной ответственности.



    5.Ответственность





      1. Руководство АГГ принимает на себя ответственность за реализацию настоящей Политики.

      2. В случае непредвиденных обстоятельств ответственность за реализацию настоящей Политики ИБ возлагается на Куратора.

      3. Руководители функциональных блоков, структурных подразделений, работники АГГ несут ответственность за безусловное полное выполнение своих обязанностей по поддержанию деятельности по обеспечению и выполнению требований ИБ в соответствии с документами СМИБ, а представители третьих сторон, имеющие доступ к информационным ресурсам АГГ - в соответствии с договорными обязательствами.

      4. Ответственное структурное подразделение АГГ несет ответственность за поставленные руководством АГГ цели и задачи, а также контроль выполнения требований, отраженных в документах СМИБ. Все исключения из этих требований в обязательном порядке согласовываются с ответственным структурным подразделением.



    6. Угрозы информационной безопасности



    Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные (природные).
    5.1. Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей. К антропогенным угрозам относятся угрозы, связанные с нестабильностью и противоречивостью требований регуляторов деятельности Компании и контрольных органов, с действиями в руководстве и управлении (менеджменте), неадекватными целям и сложившимся условиям, с потребляемыми услугами, с человеческим фактором.

    5.2. Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком.

    5.3. Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека.
    К естественным (природным) угрозам относятся угрозы метеорологические, атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия. Источники угроз по отношению к инфраструктуре Компании могут быть как внешними, так и внутренними.





    7. Модель нарушителя информационной безопасности
    По отношению к Компании нарушители могут быть разделены на внешних и внутренних нарушителей.

    7.1. Внутренние нарушители.

    В качестве потенциальных внутренних нарушителей рассматриваются:

    • зарегистрированные пользователи информационных систем Компании;

    • сотрудники Компании, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационных систем Компании, но имеющие доступ в здания и помещения;

    • персонал, обслуживающий технические средства корпоративной информационной системы Компании;

    • сотрудники самостоятельных структурных подразделений Компании, задействованные в разработке и сопровождении программного обеспечения;

    • сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Компании;

    • руководители различных уровней.

    7.2. Внешние нарушители.

    В качестве потенциальных внешних нарушителей Компанией рассматриваются:

    • бывшие сотрудники Компании;

    • представители организаций, взаимодействующих по вопросам технического обеспечения Компании;

    • клиенты Компании;

    • посетители зданий и помещений Компании;

    • конкурирующие с Компанией нефтяные организации;

    • члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;

    • лица, случайно или умышленно проникшие в корпоративную информационную систему Компании из внешних телекоммуникационных сетей (хакеры).

    7.3. В отношении внутренних и внешних нарушителей принимаются следующие ограничения и предположения о характере их возможных действий:

    • нарушитель скрывает свои несанкционированные действия от других сотрудников Компании;

    • несанкционированные действия нарушителя могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;

    • в своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж, методы социальной инженерии и другие средства и методы для достижения стоящих перед ним целей;

    • внешний нарушитель может действовать в сговоре с внутренним нарушителем

    8. Организационная основа деятельности по обеспечению информационной безопасности
    8.1. В целях выполнения задач по обеспечению информационной безопасности Компании, в соответствии с рекомендациями международных и российских стандартов по безопасности в Компании должны быть определены следующие роли:

    • Куратор;

    • Ответственное подразделение;

    • Сотрудник компании. При необходимости могут быть определены и другие роли по информационной безопасности.

    8.2. Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности Компании осуществляются и координируются Ответственным подразделением. Задачами Ответственного подразделения являются:

    • установление потребностей Компании в применении мер обеспечения информационной безопасности, определяемых как внутренними корпоративными требованиями, так и требованиями нормативных актов;

    • соблюдение действующего федерального законодательства, нормативных актов федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и противодействия техническим разведкам и технической защиты информации, нормативных актов компании и стандартов компании по обеспечению информационной безопасности, нормативных актов по обеспечению информационной безопасности, приватности и неразглашению, принятых регуляторами рынков, на которых представлены интересы и бизнес компании;

    • разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности Компании, включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов;

    • осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (политик, планов, методик и т.д.), затрагивающих вопросы информационной безопасности Компании;

    • обучение, контроль и непосредственная работа с персоналом Компании в области обеспечения информационной безопасности;

    • планирование применения, участие в поставке и эксплуатации средств обеспечения информационной безопасности на объекты и системы в Компании;

    • выявление и предотвращение реализации угроз информационной безопасности;

    • выявление и реагирование на инциденты информационной безопасности;

    • информирование в установленном порядке ответственных лиц (Департамент анализа и контроля рисков) об угрозах и рисковых событиях информационной безопасности;

    • прогнозирование и предупреждение инцидентов информационной безопасности;

    • пресечение несанкционированных действий нарушителей информационной безопасности;

    • поддержка базы инцидентов информационной безопасности, анализ, разработка оптимальных процедур реагирования на инциденты и обучение персонала;

    • типизация решений по применению мер и средств обеспечения информационной безопасности и распространение типовых решений на филиалы и представительства Компании;

    • обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности;

    • мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности защитных мер и видов деятельности по обеспечению информационной безопасности Компании;

    • контроль обеспечения информационной безопасности Компании, в том числе, и на основе информации об инцидентах информационной безопасности, результатах мониторинга, оценки и аудита информационной безопасности;

    • информирование руководства Компании и руководителей его самостоятельных структурных подразделений Компании об угрозах информационной безопасности, влияющих на деятельность Компании.

    8.3. Ответственное подразделение может создавать оперативные группы для проведения расследований инцидентов информационной безопасности, возглавляемые сотрудником Ответственного подразделения, и может, при наличии обоснованной необходимости по согласованию с руководителями соответствующих подразделений, привлекать для работы в них сотрудников других самостоятельных структурных подразделений Компании на основе совмещения работы в группе со своими основными должностными обязанностями.

    8.4. Финансирование работ по реализации положений настоящей Политики осуществляется как в рамках целевого бюджета Ответственного подразделения Компании, так и в рамках бюджетов бизнес - подразделений и подразделений ИТ-блока.

    8.5. Основными функциями Куратора в вопросах информационной безопасности являются:

    • назначение ответственных лиц в области ИБ,

    • координация и внедрение информационной безопасности в Компании.

    8.6. Основными задачами работников Компании при выполнении возложенных на них обязанностей и в рамках их участия в оперативной деятельности по обеспечению информационной безопасности Компании являются:

    • соблюдение требований информационной безопасности, устанавливаемых нормативными документами Компании;

    • выявление и предотвращение реализации угроз информационной безопасности в пределах своей компетенции;

    • выявление и реагирование на инциденты информационной безопасности;

    • информирование в установленном порядке ответственных лиц (Департамент анализа и контроля рисков) о выявленных угрозах и рисковых событиях информационной безопасности;

    • прогнозирование и предупреждение инцидентов информационной безопасности в пределах своей компетенции;

    • мониторинг и оценка информационной безопасности в рамках своего участка работы (рабочего места, структурного подразделения) и в пределах своей компетенции;

    • информирование своего руководства и Ответственного подразделения о выявленной угрозе в информационной среде Компании.







    9.Заключительные положения



    9.1. Политика пересматривается в случае существенных изменений в развитии бизнеса, а также требований законодательства Республики Арцтоска или регулирующих органов. Политика, а также все изменения в ней утверждается Правлением АГГ.

    9.2. Политика размещается на официальном веб-сайте АГГ (vk.com/thelastazer).


    написать администратору сайта