ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Настоящая Политика является основополагающим документом, выражающим позицию Общества с ограниченной ответственностью "ВИТСОФТЕХ" (далее – «ВСТ») в области информационной безопасности и его приверженность необходимости развития и совершенствования мер и средств обеспечения информационной безопасности в контексте развития российского и международного законодательства и норм регулирования деятельности по защите информации и персональных данных. Политика определяет систему мер, необходимых для обеспечения защищенности бизнес-процессов и для создания условий безопасного цифрового развития ВСТ в соответствии с требованиями законодательства Российской Федерации в данной области, а также общепринятых международных стандартов. Настоящая Политика распространяется на все бизнес-процессы ВСТ и обязательна для применения всеми сотрудниками и руководством Общества, а также пользователями его информационных ресурсов. ВСТ осуществляет постоянное совершенствование системы информационной безопасности, обеспечивая соответствие применимому законодательству.

Для эффективной реализации процессов обеспечения информационной безопасности в ВСТ внедрена система менеджмента информационной безопасности (СМИБ), разработанная в соответствии с требованиями законодательства РФ, положениями международных стандартов и рекомендаций по информационной безопасности.

1. ЦЕЛИ И ЗАДАЧИ

Целью обеспечения информационной безопасности является поддержание устойчивого функционирования ВСТ, защита процессов и активов, принадлежащих ВСТ и её клиентам.

Цели ВСТ в области информационной безопасности:

устойчивое функционирование и развитие ВСТ, обеспечение непрерывности предоставления услуг клиентам;
поддержание статуса ВСТ как надежного поставщика услуг по разработке игр;
гарантия защищенности процессов и активов, принадлежащих ВСТ и её клиентам;
соблюдение законодательных и иных регуляторных требований законодательства Российской Федерации в области информационной безопасности и защиты персональных данных.

Задачи, решаемые для достижения целей в области информационной безопасности:

обеспечение выполнения требований законодательства Российской Федерации в области защиты информации и персональных данных, а также национальных стандартов и регулирующих документов в области информационной безопасности;
управление рисками информационной безопасности;
применение различных организационных и технических мер по обеспечению информационной безопасности, использование передовых технологий противодействия угрозам информационной безопасности;
вовлечение работников ВСТ в процессы обеспечения информационной безопасности, повышение уровня ответственности, осведомленности, постоянное обучение и получение обратной связи;
обеспечение непрерывности бизнеса на основе комплекса организационно-методических и технических мероприятий, направленных на минимизацию последствий утраты информационных активов, а также направленных на бесперебойное оказание услуг клиентам;
регулярная оценка соответствия СМИБ применимым внутренним и внешним требованиям посредством проведения внутренних аудитов, мониторинга эффективности процессов СМИБ, анализа со стороны руководства ВСТ;
внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СМИБ внутренним и внешним требованиям.

2. ПРИНЦИПЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Компания в области информационной безопасности руководствуется следующими основными принципами.

Законность.
Защита активов ВСТ соответствует положениям и требованиям международных и национальных действующих законов и иных нормативных правовых актов.
Системность.
Системный подход к обеспечению требований информационной безопасности означает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения задачи защиты информации и персональных данных.
Комплексность.
Информационная безопасность обеспечивается эффективным сочетанием организационных, методических мер и программно-технических средств. Применение различных средств и технологий защиты процессов и активов снижает вероятность реализации наиболее значимых угроз информационной безопасности.
Непрерывность совершенствования.
Меры и средства защиты активов постоянно совершенствуются в соответствии с результатами анализа функционирования системы менеджмента информационной безопасности, учитывается появление новых способов и средств реализации угроз информационной безопасности, а также принимается во внимание имеющийся опыт других организаций в сфере информационной безопасности.
Разумная достаточность и адекватность.
Программно-технические средства и организационные меры, направленные на защиту активов, проектируются и внедряются на основе регулярной оценки рисков таким образом, чтобы не повлечь за собой существенное ухудшение основных функциональных характеристик, а также производительности информационных систем Компании.
Персональная ответственность.
Ответственность за обеспечение безопасности активов возлагается на каждого работника в пределах его полномочий.
Контроль.
Оценка эффективности системы защиты информации является неотъемлемой частью работ по обеспечению информационной безопасности. С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения безопасности активов в Компании определены процедуры постоянного контроля использования систем обработки и защиты активов, а результаты контроля подвергаются регулярному анализу.

Руководство ВСТ личным примером демонстрирует свою приверженность в отношении СМИБ и способствует вовлечению и активному участию работников ВСТ в процессах обеспечения информационной безопасности.

Руководство ВСТ берет на себя ответственность за соответствие положений политики информационной безопасности требованиям применимого законодательства, доведение и разъяснение их работникам ВСТ и заинтересованным сторонам, назначение ответственных за решение соответствующих задач для достижения этих целей на всех уровнях, за их реализацию, периодический анализ и пересмотр, а также за непрерывное улучшение процессов СМИБ.