необходимых контрмер;
• все дирекции Компании должны быть вовлечены в процесс управления ИТрисками;
• оценка ИТ-рисков должна включать оценку степени вероятности наступления нежелательных событий;
• все выявленные ИТ-риски подлежат обязательной регистрации.
Все работы по оценке ИТ-рисков и управлению ими должны проводиться в соответствии со «Стандартом управления ИТ-рисками» и «Методологией управления информационными рисками».
6. Роли и ответственность
• Пользователи
Каждый пользователь корпоративной информационной сети, имеющий доступ к информационным активам, должен следовать принятым в Компании политикам ИБ по отдельным направлениям деятельности согласно процедурам, регламентам, стандартам и инструкциям, относящимся к сфере его деятельности.
В случае обнаружения потенциальных нарушений режима ИБ другими лицами или возникновении подозрения о возможных нарушениях информационной безопасности, пользователь должен информировать об этом департамент, отвечающий за вопросы обеспечения ИБ, а также поставить в известность владельцев информации, в отношении информационных активов которых допущено нарушение или потенциально возможно совершение неправомерного действия.
Пользователи несут ответственность за соблюдение требований ИБ в соответствии с действующим законодательством Российской Федерации и внутренними нормативными документами Компании.
• Компания
Компания через Комитет по информатизации решает вопросы стратегии и тактики в обеспечении надлежащего уровня информационной безопасности, рассматривая, если необходимо, в том числе вопросы финансирования мероприятий ИБ.
При обнаружении нарушений установленного режима ИБ со стороны пользователя, Компания оставляет за собой право применить к нему дисциплинарные или иные меры наказания.
Каждый случай нарушения принятых в Компании политик, процедур и стандартов, связанных с вопросами ИБ, подлежит рассмотрению подразделением, отвечающим за контроль соблюдения ИБ в Компании.
Порядок действий Компании при обнаружении нарушения ИБ определяется возможными последствиями нарушения, критичностью информации и требованиями владельцев информации. Порядок действий должен быть изложен и утвержден в соответствующих процедурах.
• Руководитель по ИТ
• Руководитель по ИБ
Руководитель по ИБ отвечает за реализацию корпоративной Политики ИБ в управляющей Компании и ее филиалах.
Руководитель по ИБ обеспечивает достижение необходимого уровня защиты информационных активов и ИТ-инфраструктуры с точки зрения информационной безопасности.
В компетенцию Руководителя по ИБ входит согласование с соответствующими подразделениями и службами Компании разрабатываемых политик, процедур, стандартов, регламентов и инструкций, относящихся к сфере ИБ, их утверждение и внесение в них необходимых изменений.
Ответственность за информирование сотрудников Компании о действующих документах в области ИБ возлагается на Руководителя по ИБ.
Руководитель по ИБ осуществляет на систематической основе аудит ИБ силами внешних аудиторов и/или силами специалистов Компании.
7. Требования к нормативным документам ИБ
Нормативные документы должны способствовать Компании в достижении ее бизнес-целей.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.