Политика Yva.ai в области СУИБ

Миссия:

Поддержание деловой репутации и обеспечение конкурентоспособности путем обеспечения защиты информационных активов  группы компании Yva.ai Inc (включающих ООО «Файндо») (далее – Компания)  клиентов и партнеров, в том числе коммерческой, служебной и других видов тайн, а также персональных данных работников Компании.

Цели:

Создание и поддержание условий, при которых риски информационной безопасности (далее – ИБ) постоянно контролируются и находятся на приемлемом уровне, обеспечивается защита конфиденциальной информации и непрерывность функционирования бизнес-процессов Компании. 

Руководство и все сотрудники считают обеспечение высокого уровня информационной безопасности активов компании одной из своих важнейших целей.

Область охвата системы управления ИБ:

Область охвата системы управления ИБ устанавливается приказом CEO Yva.ai Inc. Центральным и руководящим документом, устанавливающим общие требования к системообразующим процессам СУИБ, является «Руководство СУИБ».

Пути достижения цели:

Для эффективной реализации процессов обеспечения ИБ в компании внедряется система управления информационной безопасности (далее – СУИБ), соответствующая требованиям международного стандарта ISO/IEC 27001:2013 «Information technology -- Security techniques -- Information security management systems – Requirements» (далее - ISO/IEC 27001:2013). Достижение указанных целей осуществляется за счет выполнения следующих мероприятий:

  • инвентаризация активов и регулярное проведение оценки рисков ИБ;
  • применение обоснованных, экономически эффективных организационных и технических мер по обеспечению ИБ;
  • выявление применимых требований действующего законодательства и регуляторов в области ИБ, достижение соответствия этим требованиям;
  • установление ответственности работников по вопросам обеспечения ИБ, обучение и повышение их осведомленности в части ИБ;
  • регулярная оценка соответствия СУИБ применимым внутренним и внешним требованиям посредством проведения внутренних аудитов СУИБ, мониторинга эффективности процессов СУИБ, анализа СУИБ руководством Компании;
  • внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СУИБ внутренним и внешним требованиям;
  • подтверждение соответствия СУИБ Компании требованиям международного стандарта ISO/IEC 27001:2013.

Основные принципы:

В области ИБ Компания руководствуется следующими принципами:

  • Законность. При обеспечении ИБ выполняются требования применимого законодательства, а также действующие нормативные требования государственных регулирующих органов, в том числе, международных.
  • Адекватность существующим угрозам и экономическая обоснованность. Применяемые организационные и технические меры защиты выбираются исходя из потребностей бизнеса на основе результатов анализа и оценки рисков ИБ, в частности, анализа актуальных угроз и затрат на внедрение и сопровождение мер управления рисками. Проводится периодическая оценка эффективности используемых мер и механизмов защиты.
  • Минимизация ограничивающего влияния на бизнес-процессы. Применяемые организационные и технические меры СУИБ минимально влияют на функционирование и характеристики бизнес-процессов компании.
  • Перспективность и ориентация на существующие российские и международные открытые стандарты. Организационные и технические меры СУИБ реализуются с учетом мировых тенденций в области ИБ. Ориентация на открытые стандарты позволяет использовать накопленный мировой опыт в области защиты информации, а также обеспечивает прозрачность процессов ИБ и простоту взаимодействия в рамках задач по обеспечению ИБ.
  • Непрерывность функционирования. Обеспечиваются отказоустойчивость, надежность, доступность и корректность функционирования организационных и технических мер СУИБ.
  • Непрерывность совершенствования. Для успешного противодействия угрозам ИБ в условиях постоянно меняющегося внешнего и внутреннего окружения реализуется непрерывный цикл развития и совершенствования СУИБ.
  • Персональная ответственность. Каждый работник Компании несет персональную ответственность за выполнение функций и требований, возложенных на него в рамках функционирования СУИБ.
  • Контроль. Осуществляется постоянный контроль выполнения работниками Компании требований в области ИБ.

Руководство Компании постоянно проводит оценку своей деятельности в соответствии с требованиями ISO/IEC 27001:2013.

CEO компании Yva.ai Inc возлагает на себя обязательство по выполнению периодических проверок эффективности системы управления информационной безопасности и персональную ответственность за её результативность, эффективность функционирования и совершенствование.



Руководство гарантирует обеспечение условий и ресурсов для реализации настоящей Политики и призывает всех работников объединить усилия для достижения поставленных целей.