Политика обеспечения конфиденциальности (информационной безопасности)

1.Область применения документа

1.1 Политика распространяется на главный офис АО «Предпроцессинговый расчетный центр» (далее Компании) и все филиалы. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов.

1.2 Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании

2.Роли и обязанности

2.1 Разработкой и обновлением настоящей политики занимается Офицер безопасности Компании.

2.2 Генеральный директор Компании утверждает политику информационной безопасности.

2.3 Доведением до сотрудников Компании положений политики и процедур безопасности занимается Офицер безопасности Компании.

3.Описание требований

3.1 Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности.

3.2 Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.

3.3 Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании.

3.4 Информация является важным активом Компании, и ее защита является обязанностью каждого сотрудника.

3.5 Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.

3.6 Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.

3.7 Сотрудники Компании проходят регулярное обучение в области информационной безопасности.

3.8 В Компании ежегодно проводится независимый аудит информационной безопасности на соответствие требованиям стандарта PCI DSS.

3.9 Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности.

3.10 Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.

3.11 Успешное достижение целей настоящей политики возможно только при внедрении и следовании следующим процессам:

  • Процессы системы менеджмента информационной безопасности (СМИБ):

- Процесс планирования, целью которого является выявление, анализ и проектирование способов обработки рисков информационной безопасности

- Процесс внедрения спланированных методов обработки рисков

- Процесс мониторинга функционирующих процессов СОИБ

- Процесс совершенствования процессов СОИБ в соответствии с результатами мониторинга

  • Процессы системы информационной безопасности:

- Распределение обязанностей и ответственности.

- Повышение осведомленности сотрудников в вопросах информационной безопасности.

- Обеспечение непрерывности бизнес-процессов.

- Мониторинг информационной инфраструктуры.

- Безопасное хранение данных.

- Управление доступом к данным.

- Управление информационной инфраструктурой.

- Управление изменениями.

- Управление инцидентами и уязвимостями.

- Защита от вредоносного кода.

- Взаимодействие с третьими сторонами.

- Безопасная разработка программного обеспечения.

- Управление аутентификацией и парольная защита.

- Обеспечение физической безопасности.

- Криптографическая защита и управление ключами.


3.12 Все требования стандарта PCI DSS обязательны для выполнения в Компании, за исключением случаев, когда они неприменимы.

3.13 Политика информационной безопасности пересматривается не реже одного раза в год и обновляется в случае изменения бизнес-целей и среды данных о держателях карт.

4.Нормативные ссылки

4.1 Система управления информационной безопасностью в Компании строится на основе международного стандарта PCI DSS.

5.Ответственность

5.1 Несоблюдение политик информационной безопасности сотрудниками Компании может повлечь дисциплинарные меры взыскания вплоть до увольнения.

Заполните заявку, и мы проконсультируем вас по всем вопросам.
Нажимая кнопку "ОТПРАВИТЬ", я соглашаюсь с политикой конфиденциальности