• KMF
  • О нас
  • Политика информационной безопасности

Политика информационной безопасности

Политика информационной безопасности

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ


1.1.  Настоящая «Политика информационной безопасности» (далее – Политика) является основополагающим документом системы менеджмента информационной безопасности (далее – СМИБ) АО «МФО «KMF (КМФ)» (далее – Компания), определяющим приоритеты и принципы обеспечения информационной безопасности в условиях наличия угроз, характерных и существенных для систем и информационных активов Компании, как то: хакерские, вирусные, фишинговые и DDoS-атаки, хищение и разглашение конфиденциальной и персональной информации, неавторизованные действия в информационных системах Компании.

1.2. Настоящая Политика разработана в соответствии с законодательством Республики Казахстан в сфере информационной безопасности, серией международных стандартов по информационной безопасности ISO/IEC 27000, методологией COBIT, ITIL, Постановлениями Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 47 и № 48, современным состоянием, ближайшими перспективами развития информационной инфраструктуры Компании, а также возможностями современных организационно-технических методов защиты информации.

1.3. Руководство Компании осознает важность и необходимость развития и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательных норм, развития реализуемых технологий в мире, ожиданий клиентов Компании и других заинтересованных сторон. Соблюдение требований информационной безопасности позволяет создать конкурентные преимущества для Компании, обеспечить ее финансовую стабильность, рентабельность, соответствие правовым, регулятивным и договорным требованиям, и обеспечить повышение имиджа.

1.4. Требования информационной безопасности, которые предъявляются Компанией, соответствуют Стратегии Компании и предназначены для снижения рисков, связанных с информационной безопасностью до приемлемого уровня. Наличие рисков в сфере информационной безопасности Компании имеют отношение к ее корпоративному управлению (менеджменту), организации и реализации бизнес-процессов, взаимоотношениям с контрагентами и клиентами, внутрихозяйственной деятельности. Риски в сфере информационной безопасности Компании составляют часть операционных рисков Компании, тем самым влияя на основную деятельность Компании.

1.5. Требования настоящей Политики и других внутренних нормативных документов в части обеспечения информационной безопасности обязательны для исполнения всеми работниками Компании.

1.6. Настоящая Политика является документом, доступным любому работнику Компании и пользователю ее ресурсов, и представляет собой официально принятую руководством Компании систему взглядов на задачу обеспечения информационной безопасности, и устанавливает принципы построения системы менеджмента информационной безопасности.


Глава 2. КОНТЕКСТ КОМПАНИИ


1. Понимание Компании и ее контекста

2.1.         АО «МФО «KMF (КМФ)» – крупнейшая микрофинансовая организация в Казахстане и одна из лидеров микрофинансового сектора Центральной Азии с международным участием, с широкой региональной сетью, подразделения которой представлены не только в крупных городах, но и в отдаленных сельских регионах Казахстана. Компания предлагает кредитные продукты, направленные на поддержку предпринимательства, рост благосостояния населения и развитие сельского хозяйства.

2.2.         Компания ориентирована на построение долгосрочных партнерских отношений с клиентами, основанных на взаимном доверии, понимании и уважении.

2.3.         С 1997 года Компанией было открыто 14 филиалов в следующих крупных городах РК: Астана, Алматы, Талдыкорган, Актобе, Шымкент, Кызылорда, Туркестан, Костанай, Павлодар, Петропавловск, Тараз, Уральск, Усть-Каменогорск, Кокшетау.

2.4.       При каждом филиале функционируют сельские отделения и субофисы, более 110 по всему Казахстану.

2. Миссия и задачи Компании

2.5.         Компания содействует росту благосостояния представителей микро-, малого и агробизнеса путем предоставления доступа к качественным микрофинансовым услугам.

2.6.         Приоритетными задачами Компании являются:

1)    Расширение доступа к финансовым услугам и углубление охвата представителей микро-

, малого и агробизнеса по всему Казахстану, включая сельские регионы;

2)    Предоставление профессиональных микрофинансовых услуг и постоянное повышение качества услуг через обратную связь и оценку, развивая культуру микрофинансовых услуг;

3)    Вклад в пользу общества, посредством поддержки предпринимательства и повышения благосостояния клиентов, зарабатывая прибыль.


3. Понимание потребностей и ожиданий заинтересованных сторон


2.7.         В силу необходимости осуществления предоставления услуг Компания прикладывает максимальные усилия для выявления потребностей и ожиданий всех заинтересованных сторон.

2.8.         К заинтересованным сторонам относятся:

1)      Национальный Банк Республики Казахстан;

2)      иные государственные и законодательные органы, осуществляющие регулирование деятельности Компании;

3)      клиенты Компании;

4)      кредиторы и инвесторы;

5)      внутренние потребители – работники структурных подразделений, осуществляющие взаимодействие в процессе осуществления деятельности Компании;

6)      поставщики услуг.

2.9.         Потребности и ожидания всех заинтересованных сторон постоянно отслеживаются с помощью опросов и инструментов сбора обратной связи, проводится их анализ для исполнения текущей деятельности. При планировании развития Компании требования, ожидания и потребности всех заинтересованных сторон являются основой для реализации изменений и развития текущих и новых направлений Компании, ввода новых услуг.


4. Возможности Компании


2.10.      Компания обладает следующими возможностями, которые позволяют гарантировать достижение ожидаемых результатов СМИБ:

1)      компетентный и осведомленный персонал, проходящий профессиональную подготовку и периодическое повышение квалификации;

2)      необходимая инфраструктура и центры обработки данных определены, обеспечиваются и поддерживаются в рабочем состоянии;

3)      высокая прозрачность деятельности и социальная ответственность Компании;

4)      сильная система менеджмента, соответствующая современным стандартам и лучшим мировым практикам.


Глава 3. ПОНЯТИЕ, ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


2.11.      Под информационной безопасностью понимается защищенность информации и средств её обработки от случайных или преднамеренных воздействий естественного или искусственного характера.

2.12.      Информационная безопасность не является самоцелью, ее обеспечение необходимо для адекватной защищенности информационных активов (информация и программно-аппаратный комплекс, используемый для ее хранения и (или) обработки) Компании, снижения рисков и экономических потерь, связанных с угрозами информационным активам и ресурсам Компании


(основные информационные системы и базы данных Компании, данные по выданным займам, методологии Компании, компьютерное, телекоммуникационное и серверное оборудование).

2.13.      В рамках обеспечения информационной безопасности поддерживаются главные атрибуты информации (Рисунок 1):

1)    Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями.

2)    Целостность – это гарантия того, что информация остается неизменной, корректной и аутентичной. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации.

3)    Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности.

index-img.png

Рисунок 1. Основные атрибуты информационной безопасности (CIA Triad)

2.14.      Основные цели информационной безопасности:

1)    обеспечение надлежащей защиты информации в зависимости от ее значения для Компании;

2)    обеспечение конфиденциальности, целостности и доступности информации, защиты персональных данных;

3)    предотвращение несанкционированного физического и логического доступа, повреждения и вмешательства в информацию и в средства обработки информации Компании;

4)    обеспечение информационной безопасности как неотъемлемой части информационных систем в течение всего их жизненного цикла;

5)    обеспечение непрерывного и результативного подхода к управлению инцидентами информационной безопасности, включая сообщения о событиях безопасности и слабые стороны.

2.15.      Для достижения целей обеспечения информационной безопасности Компания обеспечивает эффективное решение следующих задач:

1)    инвентаризация и классификация информационных активов Компании (владельцами информационных активов во всех бизнес-подразделениях, входящих в область действия СМИБ);

2)    определение и оценка рисков информационной безопасности и потенциальных возможностей данных рисков (основываясь на модель угроз информационной безопасности);

3)    разработка мер по управлению рисками информационной безопасности (включая как методологические, ручные, так и автоматизированные средства контроля);


4)    формирование и совершенствование системы менеджмента информационной безопасности, в том числе процессов оценки и анализа информационной безопасности (как внутренне, так и внешние оценки и аудиты СМИБ);

5)    определение и документирование основных требований и процедур обеспечения информационной безопасности;

6)    внедрение и настройка средств защиты информации;

7)    обучение персонала Компании в области информационной безопасности;

8)    своевременное выявление и устранение уязвимостей активов Компании и тем самым предупреждение возможности нанесения ущерба и нарушения нормального функционирования бизнес-процессов Компании в результате реализации угроз информационной безопасности;

9)    уменьшение до приемлемого уровня возможного ущерба Компании при реализации угроз информационной безопасности, в том числе сокращение времени восстановления бизнес- процессов после возможных прерываний;

10) мониторинг и обработка событий и инцидентов информационной безопасности;

11) планирование и оптимизация затрат на обеспечение информационной безопасности Компании.


Глава 4. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


4.1. Основными принципами обеспечения информационной безопасности в Компании являются:

1)    Законность – любые действия, предпринимаемые для обеспечения информационной безопасности, осуществляются на основе действующего законодательства с применением всех дозволенных законодательством методов обнаружения, предупреждения, локализации и пресечения негативных воздействий на объекты защиты информации Компании;

2)    Системность – учитываются все взаимосвязанные, взаимодействующие и изменяющиеся во времени элементы, условия и факторы, значимые для обеспечения информационной безопасности Компании.

3)    Комплексность – согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз информационной безопасности и не содержащей слабых мест на стыках отдельных ее компонентов.

4)    Непрерывность – постоянная поддержка физических, технических и программных средств защиты, а также непрерывный контроль выполнения требований информационной безопасности без прерывания или остановки текущих бизнес-процессов Компании.

5)    Своевременность – своевременное обнаружение угроз информационной безопасности, прогнозирование возможных путей их развития, оценка степени влияния на бизнес- процессы и применение мер информационной безопасности в тех местах и в такое время, где и когда они необходимы.

6)    Адекватность – принимаемые меры информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

7)    Преемственность и совершенствование – постоянное совершенствование мер и средств защиты на основе преемственности организационных и технических решений и кадрового состава.

8)    Гибкость – СМИБ Компании способна реагировать на изменения внешней среды и условий осуществления Компанией своей деятельности.

9)    Удобство для пользователей – учитываются и по возможности сводятся к минимуму возможные затруднения пользователей в работе со средствами защиты и при выполнении основных процедур обеспечения информационной безопасности.

10) Документированность – все требования и меры информационной безопасности, а также результаты деятельности по обеспечению информационной безопасности документально зафиксированы.

11) Осведомленность о культуре и требованиях информационной безопасности – в Компании поддерживается культура информационной безопасности, и все работники Компании знают требования информационной безопасности в объеме, соответствующем их текущим должностным обязанностям и доступу к информационным ресурсам Компании, и руководствуются ими в своей работе.

12) Знание своих клиентов и работников – Компания обладает информацией о своих клиентах, тщательно подбирает работников и обслуживающий персонал, вырабатывает и поддерживает корпоративную этику, создавая благоприятную доверительную среду для деятельности Компании по управлению информационными активами.


Глава 5. ОРГАНИЗАЦИЯ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СМИБ)


1. Определение СМИБ

5.1.           СМИБ представляет собой часть общей системы управления Компании, основанной на оценке рисков информационной безопасности и предназначенной для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности в Компании.

5.2.         СМИБ включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы.


2. Область действия СМИБ


5.3.         Областью действия СМИБ являются ключевые бизнес-процессы Компании в части обслуживания клиентов и предоставления финансовых услуг (включая, помимо процессов обслуживания клиентов в офисах, субофисах и отделениях, бэк-офисные процессы, связанные с управлением рисками, учетом операций, материально-техническим и информационным обеспечением, маркетингом и развитием бизнеса), все материальные и информационные активы Компании, работники Компании и лица, оказывающие/получающие услуги Компании.

5.4.         Объектами, подлежащими защите, являются:

1)              все информационные активы, необходимые для работы Компании, независимо от формы и вида их представления;

2)              все элементы ИТ-инфраструктуры, включая информационные технологии, технические и программные средства формирования, обработки, передачи, хранения (в том числе архивирования) и использования информации, в том числе библиотеки, архивы, базы данных, каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены защищаемые элементы ИТ- инфраструктуры Компании;

3)              все структурные подразделения Компании;

4)              все процессы, регламенты и процедуры обработки информации в Компании;

5)              персональные данные клиентов, работников и поставщиков Компании.


3. Реализация СМИБ


5.5.                           Реализация и функционирование СМИБ Компании основываются на «процессном подходе». Построение СМИБ является циклическим процессом, к которому применяется модель непрерывного улучшения (Рисунок 2).


index-img.png

Рисунок 2. Цикл Шухарта-Деминга (PDCA)

Для реализации и поддержания информационной безопасности в Компании реализуются четыре группы процессов:

6)                 планирование («Plan») - определение настоящей Политики, целей, задач, границ, процессов, процедур, программно-аппаратных средств, относящихся к управлению рисками информационной безопасности и совершенствованию информационной безопасности, разработка плана для получения результатов в соответствии с общей стратегией и целями Компании;

7)                 реализация («Do») - внедрение и эксплуатация настоящей Политики, механизмов контроля, процессов, процедур, программно-аппаратных средств, обучение и повышение осведомлённости работников Компании;

8)                 проверка («Check») - оценка эффективности СМИБ и там, где это применимо, измерение характеристик исполнения процессов в соответствии с настоящей Политикой, целями и практическим опытом, анализ изменения внешних и внутренних факторов, влияющих на защищенность информационных ресурсов, предоставление отчетов руководству для анализа;

9)                 корректировка («Act») - принятие корректирующих и превентивных мер, основанных на результатах внутренних и внешних проверок состояния информационной безопасности, требований со стороны руководства, иных факторов, в целях обеспечения непрерывного совершенствования системы информационной безопасности.

5.6.         Руководство Компании, осознавая важность вопросов обеспечения информационной безопасности, инициирует, поддерживает, анализирует и контролирует выполнение процессов СМИБ, способствующих формированию условий для дальнейшего развития бизнеса с допустимыми рисками.


Глава 6. НАПРАВЛЕНИЯ РАЗВИТИЯ И СОВЕРШЕНСТВОВАНИЯ СМИБ


6.1.         Настоящая Политика определяет следующие основные направления постоянного развития и совершенствования СМИБ:

1)              распределение функций и ответственности работников Компании в сфере обеспечения информационной безопасности между ИТ-, бизнес-функциями, руководством, функцией управления рисками, функцией информационной безопасности;

2)              управление документацией СМИБ – разработка, оформление, согласование, регистрация, хранение, передача и уничтожение документации, относящейся к СМИБ;

3)              управление рисками информационной безопасности - анализ вероятных рисков информационной безопасности и возможных последствий их реализаций, принятие решений о действиях Компании для уменьшения риска до приемлемого уровня;

4)              мониторинг, анализ эффективности и совершенствование процессов СМИБ - анализ СМИБ, при котором учитываются результаты проверок безопасности, статистика и дополнительная информация по произошедшим инцидентам информационной


безопасности, результаты оценки эффективности процессов информационной безопасности, а также предложения и комментарии от всех заинтересованных сторон;

5)              обеспечение информационной безопасности при работе с персоналом – повышение осведомлённости работников Компании в вопросах информационной безопасности при найме, во время действия трудового договора, при увольнении или переводе на другую должность;

6)              повышение уровня знаний и контроль знаний работников Компании в области информационной безопасности – регулярное повышение квалификации работников подразделений, входящих в область действия СМИБ путем проведения тренингов, информационных рассылок, тестирований и т. д.;

7)              организация работы со сторонними организациями – обеспечение информационной безопасности в работе со сторонними организациями при предоставлении доступа к информационным активам Компании;

8)              обеспечение физической безопасности и защита оборудования;

9)              технические и организационные меры обеспечения информационной безопасности – эксплуатация и совершенствование механизмов обеспечения информационной безопасности;

10)           управление ИТ-инфраструктурой Компании – обеспечение информационной безопасности в рамках всего жизненного цикла компонентов ИТ-инфраструктуры;

11)           управление инцидентами информационной безопасности – обеспечение мониторинга событий и инцидентов информационной безопасности и механизмов реагирования;

12)           управление непрерывностью бизнеса - снижение потенциальных убытков, вызываемых в том числе авариями и сбоями в ИС Компании, до приемлемого уровня путем комбинирования предупреждающих и корректирующих мер;

13)           соблюдение требований законодательства;

14)           использование лицензионного программного обеспечения;

15)           внутренние аудиты информационной безопасности – регулярное проведение внутренних аудитов СМИБ с целью проверок процессов и механизмов контроля СМИБ.


Глава 7. КОНТРОЛЬ НАД ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ


7.1.                  Ответственные подразделения Компании в рамках своих полномочий осуществляют контроль за применением и соблюдением всех положений, процедур и стандартов информационной безопасности согласно внутренним нормативным документам Компании и законодательству Республики Казахстан.


Глава 8. ОТВЕТСТВЕННОСТЬ


8.1.         Ответственность за обеспечение информационной безопасности Компании возлагается на все структурные подразделения Компании в рамках их полномочий и в соответствии с положениями, установленными настоящей Политикой и разработанными на ее основе документами.

8.2.         Руководители структурных подразделений несут ответственность:

1)              за своевременное доведение требований внутренних нормативных документов Компании в области информационной безопасности до работников их подразделений в части их касающейся;

2)              за выполнение работниками их подразделений требований внутренних нормативных документов Компании в области информационной безопасности.

8.3.         Все работники Компании несут персональную ответственность за свои действия при работе в информационной инфраструктуре Компании и обращении с защищаемыми информационными активами Компании, а также за выполнение требований информационной безопасности, установленных настоящей Политикой и нормативными документами, разработанными на ее основе.


8.4.         За нарушение требований настоящей Политики и документов, разработанных на ее основе, предусмотрена ответственность в соответствии с внутренними нормативными документами Компании и законодательством РК.


Глава 9. ПОРЯДОК ПЕРЕСМОТРА И ВНЕСЕНИЯ ИЗМЕНЕНИЙ


9.1.         Пересмотр положений настоящей Политики осуществляется на регулярной основе, но не реже одного раза в два года.

9.2.         Внеплановый пересмотр настоящей Политики осуществляется в случае:

1)    изменения нормативно-правовых документов РК, внутренних документов Компании, определяющих требования информационной безопасности;

2)    выявления снижения общего уровня информационной безопасности Компании (по результатам внутреннего или внешнего аудита);

3)    существенных изменений организационной и/или инфраструктуры, ресурсов и бизнес- процессов Компании;

4)    выявления существенных недостатков при выполнении мероприятий, регламентированных настоящей Политикой, а также противоречий ее положений с другими внутренними документами Компании.

9.3.         Пересмотр настоящей Политики, а также внесение в нее изменений выполняется в соответствии с порядком, установленным в Компании.