NeuronUP

NeuronUP. Веб-платформа когнитивной реабилитации

NeuronUP background

Политика информационной безопасности

1. Введение

NeuronUP зависит от систем ИКТ (информационных и коммуникационных технологий) для достижения своих целей. Эти системы должны управляться с должной тщательностью, принимая надлежащие меры для их защиты от случайного или преднамеренного ущерба, который может повлиять на доступность, целостность или конфиденциальность обрабатываемой информации либо на предоставляемые услуги.

Сотрудники NeuronUP должны убедиться, что безопасность является неотъемлемой частью каждого этапа жизненного цикла системы — от её замысла до вывода из эксплуатации, включая решения о разработке или приобретении, а также эксплуатационную деятельность.

Подразделения NeuronUP, в соответствии с возложенными на них функциями, должны быть готовы предотвращать, обнаруживать, реагировать и восстанавливаться после инцидентов, в соответствии с действующими нормами.

Чтобы обеспечить соблюдение данной политики, Комитет по безопасности информации регулярно разрабатывает и оценивает системы, а также следит за тем, чтобы весь персонал NeuronUP знал и выполнял свои обязанности в отношении информационной безопасности.

2. Область применения

Настоящая политика распространяется на все системы ИКТ NeuronUP, а также на всех членов организации без исключений.

3. Цель данной политики

Цель данной политики — установить рамки действий, обеспечивающих безопасность информации и непрерывное предоставление услуг.

Настоящая Политика реализуется посредством документации и нормативных актов по безопасности, доступных всем членам организации, которым необходимо их знать, в частности тем, кто использует, эксплуатирует или администрирует системы информации и связи, а также через процедуры, процессы, технические инструкции и т. д.

Правила безопасности доступны всем сотрудникам организации в их общем пространстве документации в Google Workspace.

4. Нормативная база

NeuronUP обязуется соблюдать все применимые законы, правила и нормативные акты, относящиеся к сфере информационной безопасности.

5. Организация безопасности

Руководство компании берет на себя ответственность за развитие и поддержку внедрения технических, организационных и контрольных мер, обеспечивающих необходимые уровни качества и безопасности в операциях компании, и обязуется к постоянному улучшению Системы управления информационной безопасностью (СУИБ).

Ответственность за данную задачу делегируется Комитету по управлению безопасностью информации (CGSI) или Комитету по безопасности.

Руководство NeuronUP формирует Комитет по безопасности как коллегиальный межфункциональный орган, в который входят:

  • Ответственный за безопасность информации в компании и председатель Комитета
  • Системный администратор, выступающий секретарём Комитета по безопасности.
  • Chief Technology Officer.

Назначения пересматриваются каждые 2 года или в случае освобождения должности по предложению самого Комитета по безопасности.

Полномочия для этих ролей включены в должностные инструкции их ответственных лиц, а порядок назначения и/или продления полномочий утверждается руководством.

5.1. Функции Комитета по безопасности

Основная функция Комитета по безопасности информации — определять Политику информационной безопасности и цели Системы управления информационной безопасностью.

Комитет по безопасности будет устанавливать приемлемые уровни риска, определяя соответствующие действия для снижения рисков, превышающих эти пороговые значения.

Также в задачи Комитета по безопасности входит ежегодный пересмотр данной Политики информационной безопасности и вынесение предложений о её корректировке или сохранении в неизменном виде. Дополнительно эта Политика будет детализироваться с помощью нормативов и рекомендаций по безопасности (политики, протоколы, процедуры, технические инструкции и т. д.).

Аспекты безопасности, которые необходимо пересматривать по крайней мере ежегодно:

  • Состояние выполнения действий, запланированных с момента предыдущей проверки
  • Существенные изменения, влияющие на СУИБ
  • Управление рисками, уязвимости и угрозы
  • Технологии, продукты и услуги для непрерывного совершенствования

6. Управление рисками

Чтобы согласовать анализ рисков, Комитет по безопасности установит эталонную оценку для различных типов обрабатываемой информации и оказываемых услуг.

Комитет по безопасности изучит доступность ресурсов для удовлетворения потребностей в области безопасности различных систем.

Все системы, на которые распространяется настоящая Политика, должны проходить анализ рисков, оценивая угрозы и риски, которым они подвержены. Этот анализ повторяется:

  • регулярно, как минимум раз в год
  • при серьёзном инциденте, связанном с безопасностью
  • при обнаружении серьёзных уязвимостей

Чтобы обеспечить доступность критически важных сервисов в случае возможных инцидентов, в компании предусмотрен План восстановления при сбоях, координирующий все действия по восстановлению бизнес-процессов, которые могут быть затронуты.

7. Обязанности персонала

Все члены NeuronUP обязаны знать и соблюдать настоящую Политику информационной безопасности и действующие нормативы по безопасности. Комитет по безопасности должен обеспечить необходимые средства для доведения этой информации до всех заинтересованных лиц.

Несоблюдение данной Политики информационной безопасности и правил, её конкретизирующих, может повлечь за собой дисциплинарные меры в соответствии с Законом о труде и соответствующим коллективным договором.

Конкретные инструкции для работников изложены в Политике конфиденциальности и безопасности для сотрудников.

7.1. Осведомлённость и обучение

Все сотрудники NeuronUP должны не реже одного раза в год посещать ознакомительную сессию по вопросам ИКТ-безопасности. Будет создана программа постоянного информирования для всех сотрудников NeuronUP, в особенности для новых.

Лица, ответственные за использование, эксплуатацию или администрирование систем, будут получать обучение по безопасному обращению с системами в той мере, в какой это необходимо для выполнения их работы. Обучение является обязательным до начала несения соответствующих обязанностей, независимо от того, происходит это при первом назначении или при смене должности/функций.

7.2. Основные руководящие принципы СУИБ

Основные руководящие принципы безопасной обработки информации и структура документации по безопасности системы, её управление и доступ к ней описаны в руководствах, политиках, нормативных актах и процедурах СУИБ.

Ниже приведены основные руководящие принципы безопасной обработки информации:

  • Информация классифицируется по следующим категориям: Общедоступная, Внутреннего использования, Конфиденциальная или Секретная.
  • Носители, содержащие конфиденциальную или секретную информацию, должны храниться в безопасном месте.
  • Доступ к системам информации предоставляется на основе принципа необходимости знания.
  • Физические меры контроля доступа в здание ограничивают вход только для уполномоченного персонала.
  • Все сотрудники должны регистрировать приход и уход из зданий компании через систему учёта рабочего времени/пропуск.
  • Внешние для компании лица должны регистрироваться в случаях, определённых NeuronUP.
  • Следует соблюдать Политику управления паролями, установленную NeuronUP.
  • Компьютеры настроены таким образом, чтобы после периода бездействия блокироваться автоматически с помощью заставки, защищённой паролем. Однако пользователь обязан вручную блокировать систему, покидая рабочее место.
  • Когда сотрудник увольняется из компании, его права доступа деактивируются.
  • Пользователям предоставляется корпоративная электронная почта для выполнения ими своих рабочих обязанностей.
  • В договорах с третьими сторонами должны быть предусмотрены соответствующие положения по безопасности.
  • Пользователи не должны отключать антивирусные программы или любые другие инструменты/контроли, установленные с целью повышения безопасности.
  • Пользователи не должны рассчитывать на полную конфиденциальность при доступе к информационным системам компании, поскольку компания (в рамках закона и в целях администрирования систем и соблюдения мер безопасности) может проверять любую информацию, хранящуюся в её системах.
  • Любые вопросы, связанные с безопасностью, могут быть направлены на почту [email protected].
  • При выявлении любой ситуации, затрагивающей безопасность информации NeuronUP, любой пользователь (сотрудник или внешний) обязан сообщить об этом руководителю отдела и/или ответственному за безопасность.

8. Персональные данные

NeuronUP обрабатывает персональные данные и поэтому имеет Политику защиты персональных данных, соответствующую требуемым нормам безопасности согласно действующему законодательству.

Документ по безопасности пересматривается и обновляется регулярно, демонстрируя необходимую активную позицию (Proactividad) и обеспечивая безопасность обрабатываемых персональных данных.

9. Третьи стороны

Когда NeuronUP предоставляет услуги другим организациям или обрабатывает их информацию, этим организациям доводится настоящая Политика информационной безопасности, создаются каналы для обмена сведениями и координации соответствующих Комитетов по безопасности, а также формируются процедуры реагирования в случае инцидентов, касающихся безопасности.

Когда NeuronUP пользуется услугами третьих сторон или передаёт им информацию, они также знакомятся с данной Политикой безопасности и соответствующими правилами безопасности, касающимися соответствующих услуг или информации. Эти третьи стороны будут связаны обязательствами, установленными в данной нормативной базе, и могут разрабатывать собственные операционные процедуры для их выполнения. Определяются специальные процедуры уведомления и устранения инцидентов. Гарантируется, что персонал сторонних организаций имеет уровень информированности в области безопасности как минимум не ниже установленного в данной Политике.

Когда какой-либо аспект Политики не может быть соблюдён третьей стороной, как описано выше, требуется отчёт Ответственного за безопасность с указанием рисков, которые при этом возникают, и способов их обработки. Для продолжения сотрудничества необходимо утверждение этого отчёта лицами, ответственными за соответствующие данные и услуги.

Оставьте ваши данные, и мы вам позвоним

Или звоните нам бесплатно

Не-клиенты

+34 684 464 482

Клиенты

+34 941 287 238

Понедельник-четверг с 9:00 до 17:00 и пятница с 9:00 до 15:00 (GMT+1)