NeuronUP

NeuronUP. Веб-платформа когнитивной реабилитации

NeuronUP background

Политика информационной безопасности

1. Введение

NeuronUP опирается на ИКТ-системы (информационно-коммуникационные технологии) для достижения своих целей. Этими системами необходимо управлять с должной тщательностью, принимая соответствующие меры для защиты от случайных или преднамеренных повреждений, которые могут повлиять на доступность, целостность или конфиденциальность обрабатываемой информации либо предоставляемых услуг.

Сотрудники NeuronUP должны убедиться, что безопасность является неотъемлемой частью каждого этапа жизненного цикла системы: от её концепции до вывода из эксплуатации, включая решения о разработке или приобретении, а также эксплуатационные процессы.

Подразделения NeuronUP в соответствии с возложенными на них функциями должны быть готовы предотвращать, выявлять, реагировать и восстанавливаться после инцидентов в соответствии с действующим законодательством.

Для обеспечения соблюдения настоящей политики Комитет по безопасности регулярно разрабатывает и оценивает системы и отвечает за то, чтобы все сотрудники NeuronUP знали и выполняли свои обязанности в соответствии с требованиями информационной безопасности.

2. Область применения

Настоящая политика применяется ко всем лицам, процессам, системам и активам, задействованным в обработке информации внутри NeuronUP. 

Это включает внутренний персонал, внешних партнёров, поставщиков и третьих лиц, имеющих доступ к информации или системам, а также все информационные активы.

Соблюдение настоящей политики является обязательным и служит основой, на которой строятся стандарты, процедуры и меры контроля Системы управления информационной безопасностью (СУИБ) организации.

3. Цель настоящей политики

Цель настоящей политики — установить рамки действий для обеспечения информационной безопасности и непрерывного предоставления услуг.

Настоящая политика реализуется посредством документации и нормативных документов по безопасности, доступных всем членам организации, которым необходимо с ними ознакомиться, в особенности тем, кто использует, эксплуатирует или администрирует информационные и коммуникационные системы, — через процедуры, процессы, технические инструкции и т. д.

Нормативные документы по безопасности доступны всем сотрудникам организации в её системе управления документацией.

4. Нормативная база

NeuronUP обязуется соблюдать все применимые законы, регламенты и нормативные требования в области информационной безопасности.

5. Организация безопасности

Руководство компании несёт ответственность за продвижение и поддержку внедрения технических, организационных и контрольных мер, обеспечивающих необходимые уровни качества и безопасности для деятельности компании, и обязуется к непрерывному совершенствованию Системы управления информационной безопасностью.

Ответственность за эту задачу делегируется Комитету по безопасности, созданному NeuronUP как межфункциональному коллегиальному органу, в состав которого входят:

  • Ответственный за информационную безопасность, который одновременно исполняет функции Председателя Комитета по безопасности.
  • Администратор систем, который одновременно выполняет роль Секретаря Комитета по безопасности.
  • Директор по технологиям.

Конкретные полномочия этих ролей отражены в должностных профилях соответствующих ответственных лиц. Процедура их назначения и/или продления утверждается Руководством.

Назначения пересматриваются каждые 2 года или когда должность становится вакантной, по предложению самого Комитета по безопасности.

5.1. Функции Комитета по безопасности

Основная функция Комитета по безопасности заключается в установлении Политики информационной безопасности и целей СУИБ.

Комитет по безопасности определит уровни риска, считающиеся приемлемыми, и установит соответствующие действия по снижению рисков, превышающих эти пороговые значения.

В задачи Комитета по безопасности входит ежегодный пересмотр настоящей политики и предложение о её пересмотре или сохранении. Кроме того, настоящая политика дополняется нормативными документами и рекомендациями по безопасности (другие политики, протоколы, процедуры, технические инструкции и т. д.).

В частности, будут пересматриваться следующие аспекты безопасности:

  • Статус мероприятий, подлежащих реализации с момента последнего контроля.
  • Существенные изменения, влияющие на СУИБ.
  • Управление рисками, уязвимостями и угрозами.
  • Технологии, продукты и услуги для непрерывного совершенствования.

6. Управление рисками

Для гармонизации анализа рисков Комитет по безопасности установит эталонную оценку для различных типов обрабатываемой информации и предоставляемых услуг.

Комитет по безопасности изучит доступность ресурсов для удовлетворения потребностей безопасности различных систем.

Все системы, подпадающие под действие настоящей политики, должны проводить анализ рисков с оценкой угроз и рисков, которым они подвержены. Этот анализ повторяется:

  • регулярно, не реже одного раза в год;
  • при возникновении серьёзного инцидента информационной безопасности;
  • при выявлении серьёзных уязвимостей.

Для обеспечения доступности критически важных сервисов в случае возможных инцидентов у компании имеется План восстановления после катастроф, который координирует все мероприятия по восстановлению бизнес-процессов, которые могут быть затронуты.

7. Обязанности персонала

Все сотрудники NeuronUP обязаны знать и соблюдать Политику информационной безопасности и нормативные требования по безопасности; при этом ответственность Комитета по безопасности — обеспечить необходимые средства для доведения информации до заинтересованных лиц.

Нарушение настоящей Политики информационной безопасности и норм, развивающих её положения, может повлечь дисциплинарные меры в соответствии с положениями Статута работников и применимого коллективного договора. Конкретные указания для работников изложены в Политике безопасности для работников.

7.1. Осведомлённость и обучение

В соответствии с Политикой обучения и повышения осведомлённости в области информационной безопасности все сотрудники NeuronUP будут проходить обучение по вопросам информационной безопасности как минимум один раз в год. Кроме того, будет внедрена программа постоянного повышения осведомлённости, чтобы все заинтересованные стороны понимали и соблюдали Политику информационной безопасности.

Лица, ответственные за использование, эксплуатацию или администрирование систем, будут проходить обучение по безопасному обращению с системами в той мере, в какой это необходимо для выполнения их работы. Обучение является обязательным до принятия ответственности — как при первом назначении, так и при смене должности или изменении обязанностей в рамках той же должности.

7.2. Базовые директивы СУИБ

Базовые директивы по безопасной обработке информации и структурированию документации по безопасности системы, её управлению и доступу к ней изложены в руководствах, политиках, нормативных документах и процедурах СУИБ.

Эти директивы следующие:

  • Информация должна классифицироваться по следующим категориям: Публичная, Для внутреннего использования, Конфиденциальная или Секретная.
  • Физические носители, содержащие непубличную информацию, должны храниться в безопасном месте.
  • Доступ к информационным системам предоставляется на основе принципа «необходимости знать» (need-to-know), обеспечивая каждому лицу доступ только к информации, необходимой для выполнения его функций.
  • Физический доступ к помещениям компании ограничивается только уполномоченным персоналом.
  • Все сотрудники должны фиксировать вход и выход через систему контроля рабочего времени и отметок.
  • Доступ внешних лиц в компанию должен регистрироваться в случаях, установленных NeuronUP.
  • Следует соблюдать Политику управления паролями, установленную NeuronUP.
  • Компьютеры настроены так, что после периода бездействия они автоматически блокируются с помощью защищённой паролем заставки. Однако обязанность вручную блокировать компьютер каждый раз при уходе с рабочего места остаётся за пользователем.
  • При увольнении сотрудника из компании его права доступа подлежат деактивации.
  • Для выполнения рабочих задач пользователям предоставляется корпоративная электронная почта.
  • В договорах с третьими сторонами будут включаться соответствующие положения по безопасности.
  • Пользователи никогда не должны отключать антивирусные программы или любые другие инструменты либо средства контроля, установленные с целью повышения безопасности.
  • Пользователи не должны ожидать конфиденциальности при доступе к информационным системам компании, поскольку компания (в рамках установленного законодательства и с целью управления системами и обеспечения соблюдения безопасности) может проверять любую информацию, хранящуюся в её системах.
  • Любые вопросы по безопасности можно направлять на [email protected].
  • При выявлении ситуации, влияющей на информационную безопасность NeuronUP, любой пользователь (сотрудник или внешний) должен сообщить об этом руководителю подразделения и/или ответственному за безопасность.

8. Персональные данные

NeuronUP будет собирать и обрабатывать персональные данные только при необходимости и в соответствии с законодательством о защите данных; для этого действует Политика защиты персональных данных, которая соответствует уровням безопасности, требуемым действующими нормами.

Будут приняты необходимые технические и организационные меры для обеспечения защиты персональных данных.

9. Третьи стороны

Когда NeuronUP предоставляет услуги другим организациям или обрабатывает информацию третьих сторон, их будут информировать о настоящей Политике информационной безопасности и о производных нормах и инструкциях. Будут установлены каналы для отчётности и координации между соответствующими Комитетами по безопасности, а также процедуры действий для реагирования на инциденты информационной безопасности.

Когда NeuronUP использует услуги третьих лиц или передаёт информацию третьим лицам, их будут информировать о настоящей Политике и о нормативных требованиях по безопасности, относящихся к таким услугам или информации. Такая третья сторона будет подчиняться обязательствам, установленным нормативами, и может разрабатывать собственные операционные процедуры для их выполнения. Будут установлены конкретные процедуры для отчётности и разрешения инцидентов. Будет обеспечено, чтобы персонал третьих лиц был должным образом осведомлён в вопросах безопасности — как минимум на том же уровне, который установлен в настоящей Политике.

Если какой-либо аспект Политики не может быть выполнен третьей стороной в соответствии с требованиями предыдущих пунктов, потребуется отчёт Ответственного за безопасность с указанием возникающих рисков и способов их обработки. До продолжения работ потребуется одобрение этого отчёта ответственными за информацию и затронутые услуги.

Дата последнего пересмотра: 22 ноября 2025 г.

Запрос информации

logo