МИССИЯ:

Поддержание деловой репутации и обеспечение конкурентоспособности путем обеспечения защиты информационных активов ТОО «Voximplant KZ (Воксимплант КЗ)» («Компания»), ее клиентов и партнеров, в том числе конфиденциальной информации, коммерческой и других видов тайн, а также персональных данных клиентов и работников Компании.

ЦЕЛИ:

Создание и поддержание условий, при которых риски информационной безопасности (далее – ИБ) постоянно контролируются и находятся на приемлемом уровне, обеспечивается защита конфиденциальной информации и непрерывность функционирования бизнес-процессов Компании.

Руководство и все сотрудники считают обеспечение высокого уровня информационной безопасности активов Компании одной из своих важнейших целей.

ОБЛАСТЬ ОХВАТА СИСТЕМЫ УПРАВЛЕНИЯ ИБ:

Область охвата системы управления ИБ устанавливается приказом Технического директора Компании. Центральным и руководящим документом, устанавливающим общие требования к системообразующим процессам СУИБ, является «Руководство системы управления информационной безопасности».

ПУТИ ДОСТИЖЕНИЯ ЦЕЛЕЙ:

Для эффективной реализации процессов обеспечения ИБ в Компании внедряется система управления информационной безопасности (далее – СУИБ), соответствующая требованиям международного стандарта ISO/IEC 27001:2013 «Information technology -- Security techniques -- Information security management systems – Requirements» (далее - ISO/IEC 27001:2013). Достижение указанных целей осуществляется за счет выполнения следующих мероприятий:

  • инвентаризация активов и регулярное проведение оценки рисков ИБ;
  • применение обоснованных, экономически эффективных организационных и технических мер по обеспечению ИБ;
  • выявление применимых требований действующего законодательства и регуляторов в области ИБ, достижение соответствия этим требованиям;
  • установление ответственности работников по вопросам обеспечения ИБ, обучение и повышение их осведомленности в части ИБ;
  • регулярная оценка соответствия СУИБ применимым внутренним и внешним требованиям посредством проведения внутренних аудитов СУИБ, мониторинга эффективности процессов СУИБ, анализа СУИБ руководством Компании;
  • внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СУИБ внутренним и внешним требованиям;
  • подтверждение соответствия СУИБ Компании требованиям международного стандарта ISO/IEC 27001:2013.

ОСНОВНЫЕ ПРИНЦИПЫ:

В области ИБ Компания руководствуется следующими принципами:

  • Законность. При обеспечении ИБ выполняются требования применимого законодательства, а также действующие нормативные требования государственных регулирующих органов, в том числе, международных.
  • Адекватность существующим угрозам и экономическая обоснованность. Применяемые организационные и технические меры защиты выбираются исходя из потребностей бизнеса на основе результатов анализа и оценки рисков ИБ, в частности, анализа актуальных угроз и затрат на внедрение и сопровождение мер управления рисками. Проводится периодическая оценка эффективности используемых мер и механизмов защиты.
  • Минимизация ограничивающего влияния на бизнес-процессы. Применяемые организационные и технические меры СУИБ минимально влияют на функционирование и характеристики бизнес-процессов Компании.
  • Перспективность и ориентация на существующие российские и международные открытые стандарты. Организационные и технические меры СУИБ реализуются с учетом мировых тенденций в области ИБ. Ориентация на открытые стандарты позволяет использовать накопленный мировой опыт в области защиты информации, а также обеспечивает прозрачность процессов ИБ и простоту взаимодействия в рамках задач по обеспечению ИБ.
  • Непрерывность функционирования. Обеспечиваются отказоустойчивость, надежность, доступность и корректность функционирования организационных и технических мер СУИБ.
  • Непрерывность совершенствования. Для успешного противодействия угрозам ИБ в условиях постоянно меняющегося внешнего и внутреннего окружения реализуется непрерывный цикл развития и совершенствования СУИБ.
  • Персональная ответственность. Каждый работник Компании несет персональную ответственность за выполнение функций и требований, возложенных на него в рамках функционирования СУИБ.
  • Контроль. Осуществляется постоянный контроль выполнения работниками Компании требований в области ИБ.

ОТВЕТСТВЕННОСТЬ:

Руководство Компании регулярно проводит оценку своей деятельности в соответствии с требованиями ISO/IEC 27001:2013 и отвечает за контроль выполнения положений данной политики.

Технический директор Компании возлагает на себя обязательство по выполнению периодических проверок эффективности СУИБ и персональную ответственность за её результативность, эффективность функционирования и совершенствование. Руководство гарантирует обеспечение условий и ресурсов для реализации настоящей Политики, отвечает за доведение положений настоящей политики до сведения всех работников области действия СУИБ для объединения усилий по достижению поставленных целей.