Политика информционной безопасности арт центра им. Марка Ротко

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Даугавпилс, 24 апреля 2018 года

Содержание
1. Определение терминов
2. Назначение и область применения
3. Классификация информации
4. Системы, задействованные в обработке данных / информации
5. Обязанности персонала
6. Управление доступом и защита
7. Меры безопасности
8. Запрещенные действия
9. Сообщение о нарушениях безопасности

1. Определение терминов
Компания Муниципальное учреждение Даугавпилсской городской думы «Даугавпилсский арт-центр им. Марка Ротко», регистрационный № 90009938567, юридический адрес ул. Михаила 3, Даугавпилс, LV-5401, который является работодателем каждого Сотрудника, работающего по трудовому договору
Прямой руководитель Представитель Компании, который указан в соответствующем трудовом договоре Сотрудника или назначен приказом Компании прямым руководителем Сотрудника
Сотрудник Физическое лицо, нанятое Компанией
Руководство Управляющий и/или любое другое лицо в Компании, которое наделено управленческими функциями и полномочиями
Политика Данная политика информационной безопасности
Третье лицо Физическое лицо, юридическое лицо или любое другое лицо, не связанное с Компанией
2. Назначение и область применения
2.1. Целью политики информационной безопасности является защита сотрудников, партнеров и клиентов Компании от незаконных или вредных прямых или косвенных, осознанных или неосознанных действий других лиц при обработке информации и данных, которые становятся доступными для этих лиц, а также при использовании специального оборудования для выполнения ими их должностных обязанностей.
2.2. Данная политика регулирует обработку информации по любым системам или носителям данных, участвующим в обработке данных/информации в Компании, независимо от того, связана ли обработка данных/информации с внутренними коммерческими операциями внутри Компании или с ее внешними отношениями с любыми третьими лицами.
2.3. Данная политика также регулирует, как сотрудники Компании используют доступное им оборудование и инструменты при выполнении своих должностных обязанностей
2.4. Данная политика может применяться вместе с любой другой политикой, правилами, процедурами и/или руководящими принципами, принимаемыми и внедряемыми Компанией.
2.5. Любые вопросы по информационной системе безопасности и информации/данных, не предусмотренные данной Политикой, должны быть направлены ______________________________________________ (Назначенное ответственным лицо или отдел Компании).
3. Классификация информации
3.1. Любая информация/данные, которые становятся доступными Сотруднику при выполнении должностных обязанностей и связаны с Компанией и ее деятельностью, клиентами или партнерами по сотрудничеству, считаются конфиденциальной собственностью Компании и, следовательно, подпадают под действие нормативных актов о конфиденциальной информации, торговле/коммерческих секретах и защите персональных данных.
3.2. Для обеспечения надлежащей защиты информации и данных Компания проводит внутреннюю классификацию информации. Информация/данные защищены независимо от того, стала ли эта информация доступной Сотруднику в виде печатных материалов, любых носителей данных, аудио/видеоматериалов или любого другого формата.
3.3. Компания использует следующую общую классификацию информации:
Категория Описание Сфера применения (включая, среди прочего)
Общедоступная информация Информация, которая может обрабатываться и распространяться внутри Компании или вне ее без каких-либо негативных последствий для Компании, любых ее партнеров, клиентов и/или вовлеченных сторон. (a) Общедоступные финансовые отчеты, представленные правительственным учреждениям;
(b) Информация, доступная в публичных ресурсах, или иным образом общеизвестна, если она не стала общеизвестной из-за действий, предпринятых Сотрудником при нарушении требований безопасности информации/данных
Внутренняя информация Любая информация, любое использование которой при нарушении соответствующих положений нормативных актов, данной Политики или любых других правил Компании, может нанести ущерб интересам Компании и/или любого ее Сотрудника, партнера или клиентов. (a) Любые документы, созданные и/или подготовленные Компанией, ее Сотрудником или структурным подразделением;
(b) Любые каталоги (рассылки, информационные каталоги и т.д.), созданные и/или используемые Компанией в коммерческих целях;
(c) Любые внутренние служебные докладные, уведомления, справки или заключения, созданные для коммерческих целей Компании.
Конфиденциальная информация Любая информация, настолько важная для Компании, любого ее клиента и/или партнера или вовлеченных сторон, что ее несанкционированное раскрытие может отрицательно отразиться на коммерческой деятельности, операциях, репутации и общем статусе Компании, ее участников/акционеров, клиентов и/или партнеров по сотрудничеству и причинить серьезный вред любому из этих лиц. (a) Политика, процедуры, внутренние правила, управленческие решения;
(b) Информация, указанная Сотруднику как коммерческая тайна Компании;
(c) Другая информация, связанная с финансами, человеческими ресурсами, юридическими или маркетинговыми делами, торговыми процедурами, планами и операциями;
(d) Бизнес-планы, производственные планы;
(e) Персональные идентификационные данные;
(f) Информация, защищенная соглашением о неразглашении, которое подписывается каждым сотрудником;
(g) Информация, защищенная соглашениями о неразглашении или договорами о сотрудничестве, заключенными Компанией в ходе ее коммерческой деятельности.
4. Системы, задействованные в обработке данных / информации
4.1. Любые информационные системы, включая, среди прочего, компьютерные технологии, любые виды программного обеспечения, операционных систем, любые среды хранения, сетевые аккаунты, аккаунты электронной почты, браузеры и любое другое техническое оснащение и инструментарий, используемый Компанией в ее деятельности, считается собственностью Компании.
4.2. Каждому Сотруднику надлежит использовать подобное техническое оборудование и инструментарий с должной осторожностью и вниманием и исключительно в коммерческих целях Компании. Единственным исключением являются случаи, когда Компания оснастила Сотрудника техническим оборудованием (таким, как мобильный телефон) и выразила явное согласие на его использование для частных нужд.
5. Обязанности персонала
5.1. Любая информация/данные, которые становятся доступными Сотруднику при выполнении должностных обязанностей, считаются конфиденциальными и используются как конфиденциальные в строгом соответствии с данной Политикой, и не раскрываются третьим лицам до получения Сотрудником уведомления от Руководства о том, что данная информация стала общедоступной или была любым другим образом переклассифицирована как информация, которая больше не защищается данной Политикой.
5.2. Все персональные данные и другая информация, которая может быть использована для идентификации физического лица, накапливается и обрабатывается исключительно в случаях и по мере необходимости для выполнения Сотрудником его должностных обязанностей и при условии, что Сотрудник уполномочен выполнять такие действия и что они выполняются в строгом соответствии с требованиями защиты данных, предусмотренными законодательством (в частности, Регламентом 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки личных данных и свободном перемещение таких данных, а также об отмене Директивы 95/46 / EC (Общие правила защиты данных)).
5.3. Любые запросы данных и/или запросы, касающиеся обработки данных, которые получаются Сотрудником при исполнении должностных обязанностей от владельцев данных, которые являются физическими лицами, должны быть немедленно отправлены Руководству для дальнейшего рассмотрения.
5.4. Любой Сотрудник обязан выполнять эту Политику, а также соблюдать все местные, региональные и международные нормативные акты об обработке информации/данных и их защите. Несоблюдение Политики считается грубым нарушением норм и положений о занятости и дает Компании право применять дисциплинарные санкции или увольнять Сотрудника. Сотрудник также может быть подвергнут административному или уголовному преследованию.
6. Управление доступом и защита
6.1. Сотрудники могут иметь допуск к любому доступному им оборудованию при условии, что это необходимо для выполнения должностных обязанностей, происходит в пределах ответственности Сотрудника и на основе необходимости. Наличие прав доступа к любой системе не означает, что Сотруднику разрешено просматривать или использовать всю информацию, хранящуюся в этой системе.
6.2. Идентификаторы пользователей уникальны и идентифицируют конкретного Сотрудника. Каждый Сотрудник несет ответственность за любые действия, связанные с его личным идентификационным аккаунтом. Следовательно, его главная обязанность гарантировать недоступность идентификатора Сотрудника третьим лицам и даже другим Сотрудникам, если Компанией не предусмотрено иначе.
6.3. Пароли безопасности системы генерируются соответствующей тщательностью во избежание легкого угадывания. Они не должны содержать персональные данные и должны регулярно меняться (по крайней мере один раз в 3 (три) месяца). Каждый Сотрудник несет персональную ответственность за соответствие безопасности своих паролей данной Политике и любым другим правилам Компании.
6.4. Сотрудник получает доступ к секретной информации/данным только при соответствующем уполномочии в его трудовом договоре и/или после получения иного разрешения от Компании.
7. Меры безопасности
7.1. Любые данные и информация, собранная и обработанная любым способом (печатным, электронным и т.д.), подпадает под действие данной Политики и любых других нормативных положений о сборе, обработке, защите и хранении данных; подобные данные хранятся в безопасном, указанном Компанией месте на срок, назначенный Компанией или предусмотренный применяемым законодательством.
7.2. Сотрудникам запрещается хранить на своих устройствах любую конфиденциальную информацию, за исключением информации, которая временно необходима для выполнения определенных связанных с работой действий. Вся необходимая конфиденциальная и личная информация должна храниться только в облаке, утвержденном ИТ-персоналом Компании и во внутренней сети Компании. Следует избегать загрузки таких данных на локальные устройства и делать это только в случае, если это оправданно необходимо для обработки информации по связанным с работой причинам.
7.3. Должным образом уполномоченный ИТ-персонал Компании имеет право фильтровать и контролировать доступ Сотрудников в интернет и их действия в интернете в соответствии с применяемыми нормативными актами.
7.4. Любые мобильные или портативные устройства (включая ноутбуки, планшеты, смартфоны и другие карманные персональные компьютеры), а также любые облачные хранилища должны быть утверждены ИТ-персоналом Компании и надлежащим образом защищены во избежание несанкционированного доступа.
7.5. Только лицензированные и санкционированные Компанией системы и программное обеспечение могут быть установлены на любом используемым в Компании оборудовании или инструментах. Перед загрузкой или установкой любого программного обеспечения на устройствах, принадлежащих или используемых Сотрудником для целей, описанных в данной Политике, требуется разрешения ИТ-персонала.
7.6. В случаях, когда Сотрудники используют личные (домашние) устройства для доступа к корпоративным ресурсам Компании (таким, как программа управления взаимоотношениями с клиентами (CRM), электронная почта, сетевые/облачные базы данных), Сотрудники обязаны соблюдать положения данной Политики в той же мере, как если бы они использовали оборудование Компании. Поэтому запрещено хранить на устройстве любые данные и информацию о Компании; любая обработка данных разрешается только через облачные и сетевые хранилища, используемые Компанией.
7.7. В любом случае использование общедоступных устройств доступа (например, интернет-кафе, библиотек и т.д.) строжайше запрещено за исключением случаев, когда это критически и срочно необходимо по связанным с работой причинам и при наличии у Сотрудника письменного разрешения на подобные действия от Прямого руководителя.
7.8. В случаях, когда Сотруднику было предоставлено право доступа к системе хранения данных клиента или партнера, Сотрудник должен использовать средство доступа клиента или партнера и следовать рекомендациям, касающимся требований к безопасной обработке информации/данных (включая системы шифрования, использование пароля, ограничения на использование данных, использование специально назначенных мест и т. д.).
7.9. В тот момент, когда Компания считает, что защищенные данные/информация больше не нужны для деятельности Компании, эти данные/информация удаляются, все копии уничтожаются, а Сотрудники, занимающиеся обработкой этой информации/данных, уведомляются об их обязанности удалить/уничтожить и вернуть Компании любую информацию/данные, которые им больше не нужны для выполнения должностных обязанностей, и, особенно, вернуть Компании, удалить и уничтожить любые копии при прекращении трудовых отношений с Сотрудником.
7.10. Никакая информация/данные, упомянутые в данной Политике, не отправляются, не пересылаются и не передаются третьим лицам, кроме случаев, когда это необходимо для надлежащего исполнения Сотрудником его трудовых обязанностей и только в той мере, в какой это необходимо для надлежащего исполнения подобных обязанностей. В случаях, когда данные пересылаются или передаются Третьим лицам, должна быть гарантирована защита данных и приняты все соответствующие меры безопасности.
7.11. Компания проводит аудит систем, участвующих в обработке информации/данных, для контроля постоянного соответствия данной Политике и применимым нормативным требованиям.
8. Запрещенные действия
8.1. За исключением конкретных случаев, любое оборудование, системы или инструменты, принадлежащие Компании, ее клиентам или партнерам по сотрудничеству ни при каких условиях никогда не могут быть использована в целях, не связанных с должностными обязанностями Сотрудника или с деятельностью Компании.
8.2. Любые нижеперечисленные действия настрого запрещены, без каких-либо исключений:
(а) Нарушение любых прав, защищенных правами интеллектуальной собственности любого лица или компании, включая, среди прочего, установку, копирование, распространение или хранение в любых системах или устройствах любого незаконного программного обеспечения, онлайн-платформ или любого другого электронного контента, на использования которого Компания не имеет лицензии;
(б) Несанкционированное копирование материалов, защищенных авторским правом;
(в) Нарушение прав любого человека, чрезмерно и без необходимости собирая и обрабатывая личные данные субъекта;
(г) Доступ к данным, серверу или аккаунту в целях, не связанных с коммерческими сделками Компании или надлежащим исполнением профессиональных обязанностей Сотрудника;
(д) Экспорт любого программного обеспечения, технической информации, программ шифрования или технологий, которые подразумевают нарушение применимых международных или национальных нормативных актов и/или положений Компании;
(е) Экспорт любых данных или информации, которая имеет имущественную и/или конфиденциальную ценность для Компании, если подобный экспорт не требуется для коммерческих операций Компании или надлежащего исполнения Сотрудником его должностных обязанностей и/или если он нарушает внутренние правила Компании и применимые нормативные акты;
(ж) Раскрытие другим лицам пароля аккаунта Сотрудника и предоставление доступа подобным лицам к такому аккаунту (включая, помимо прочего, родственников Сотрудника);
(з) Создание мошеннических продуктов, товаров или услуг через аккаунт Компании;
(и) Нарушение мер безопасности в сети или вызов сбоев в работе сети. Подобные нарушения безопасности включают, но не ограничиваются, доступом к данным, если Сотрудник не является их предполагаемым получателем, или заходом на сервер или аккаунт, на доступ к которому у Сотрудника нет четко разрешения, за исключением случаев, когда права доступа предоставляются Сотруднику для участия в определенным проекте Компании;
(к) Использование любой программы/скрипта/команды или отправка любого сообщения с целью вмешательства или отключения сеанса пользователя.
9. Сообщение о нарушениях безопасности
9.1. Обо всех инцидентах или возможных инцидентах, связанных с обработкой информации/данных, необходимо немедленно сообщать Руководству, которое, в свою очередь, принимает все необходимые меры для предотвращения любого вреда или контроля над ущербом и восстановления прежнего состояния безопасности.
9.2. Если это применимо, Руководству надлежит гарантировать дальнейшую отчетность о нарушениях безопасности данных/информации соответствующим учреждениям и физическим лицам в соответствии с применимыми нормативными актами и/или законодательством Европейского союза.