Для поддержания деловой репутации и обеспечения конкурентоспособности руководство ООО «БРИДЖ ГРУПП» определяет важнейшей своей задачей обеспечение конфиденциальности, целостности и доступности информационных активов компании, её клиентов и партнеров, в том числе защиты коммерческой, служебной и других видов тайн, а также персональных данных работников компании, работников клиентов, партнеров и других и юридических лиц. находящихся в правоотношениях с компанией.

Для эффективной реализации процессов обеспечения информационной безопасности (далее -ИБ) в компании внедряется и поддерживается система управления информационной безопасности (далее СУИБ), соответствующая требованиям международного стандарта ISO/IEC 27001:2013 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Основными стратегическими целями СУИБ Компании являются:

  • Создание и постоянное поддержание в компании условий, при которых риски, связанные с обеспечением безопасности активов Компании, постоянно идентифицируются, актуализируются, контролируются и находятся на приемлемом уровне;
  • Защита конфиденциальной информации в соответствии с требованиями российского законодательства, международного законодательства, клиентов и лучшими практиками управления ИБ;
  • Обеспечение непрерывности осуществления производственной и хозяйственной деятельности, бизнес-процессов компании, а также дальнейшего развития Компании.

Данные цели достигаются решением следующих задач:

  • Инвентаризация и мониторинг активов Компании, регулярное проведение анализа рисков ИБ;
  • Применение обоснованных, экономически эффективных организационных и технических мер по обеспечению ИБ;
  • Выявление применимых требований действующего законодательства и регуляторов в области ИБ, достижение соответствия этим требованиям;
  • Установление ответственности работников по вопросам обеспечения ИБ, обучение и повышение их осведомленности в части ИБ;
  • По всем фактическим или предполагаемым нарушениям информационной безопасности проводится расследование с целью определения причин наступления инцидента. В случае необходимости, к расследованию могут подключаться сторонние компании
  • В компании проводится регулярное обучение персонала в области информационной безопасности.
  • Доступ к информации и информационным ресурсам компании предоставляется только лицам/сотрудникам, которым этот доступ необходим для выполнения должностных или договорных обязательств. При этом уровень доступа - минимально возможный.
  • Регулярная оценка соответствия СУИБ применимым внутренним и внешним требованиям путем проведения внутренних аудитов СУИБ, мониторинга эффективности процессов СУИБ, анализа результативности СУИБ руководством Компании;
  • Внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СУИБ внутренним и внешним требованиям;
  • Подтверждение соответствия СУИБ Компании требованиям международного стандарта ISO/IEC 27001:2013.

В области ИБ Компания руководствуется следующими принципами:

  • Законность. При обеспечении ИБ выполняются требования применимого законодательства, а также действующих нормативных требований государственных регулирующих органов, в том числе, международных;
  • Адекватность существующим угрозам и экономическая обоснованность. Применяемые организационные и технические меры защиты выбираются исходя из потребностей бизнеса на основе результатов анализа и оценки рисков ИБ, в частности анализа актуальных угроз и затрат на внедрение и сопровождение мер управления рисками;
  • Минимизация ограничивающего влияния на бизнес-процессы. Применяемые организационные и технические меры СУИБ минимально влияют на функционирование и характеристики бизнес-процессов Компании;
  • Непрерывность функционирования. Обеспечивается отказоустойчивость, надежность, доступность и корректность функционирования организационных и технических мер СУ ИБ;
  • Непрерывность совершенствования. Для успешного противодействия угрозам ИБ в условиях постоянно меняющегося внешнего и внутреннего окружения реализуется непрерывный цикл развития и совершенствования СУИБ;
  • Персональная ответственность. Каждый работник Компании несет персональную ответственность за выполнение функций и требований, возложенных на него в рамках функционирования СУИБ:
  • Контроль. Осуществляется постоянный контроль выполнения работниками Компании требований в области ИБ.

Руководство компании обязуется участвовать в ежегодном планировании мероприятий по обеспечению ИБ в Компании и выделять ресурсы на поддержку и развит СУИБ.