1.1. Настоящая «Политика информационной безопасности» (далее – Политика) является основополагающим документом системы менеджмента информационной безопасности (далее – СМИБ) ТОО «МФО «KMF (КМФ)» (далее – Компания), определяющим приоритеты и принципы обеспечения информационной безопасности в условиях наличия угроз, характерных и существенных для систем и информационных активов Компании, как то: хакерские, вирусные, фишинговые и DDoS-атаки, хищение и разглашение конфиденциальной и персональной информации, неавторизованные действия в информационных системах Компании.
1.2. Настоящая Политика разработана в соответствии с законодательством Республики Казахстан в сфере информационной безопасности, серией международных стандартов по информационной безопасности ISO/IEC 27000, методологией COBIT, ITIL, Постановлениями Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 47 и № 48, современным состоянием, ближайшими перспективами развития информационной инфраструктуры Компании, а также возможностями современных организационно-технических методов защиты информации.
1.3. Руководство Компании осознает важность и необходимость развития и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательных норм, развития реализуемых технологий в мире, ожиданий клиентов Компании и других заинтересованных сторон. Соблюдение требований информационной безопасности позволяет создать конкурентные преимущества для Компании, обеспечить ее финансовую стабильность, рентабельность, соответствие правовым, регулятивным и договорным требованиям, и обеспечить повышение имиджа.
1.4. Требования информационной безопасности, которые предъявляются Компанией, соответствуют Стратегии Компании и предназначены для снижения рисков, связанных с информационной безопасностью до приемлемого уровня. Наличие рисков в сфере информационной безопасности Компании имеют отношение к ее корпоративному управлению (менеджменту), организации и реализации бизнес-процессов, взаимоотношениям с контрагентами и клиентами, внутрихозяйственной деятельности. Риски в сфере информационной безопасности Компании составляют часть операционных рисков Компании, тем самым влияя на основную деятельность Компании.
1.5. Требования настоящей Политики и других внутренних нормативных документов в части обеспечения информационной безопасности обязательны для исполнения всеми работниками Компании.
1.6. Настоящая Политика является документом, доступным любому работнику Компании и пользователю ее ресурсов, и представляет собой официально принятую руководством Компании систему взглядов на задачу обеспечения информационной безопасности, и устанавливает принципы построения системы менеджмента информационной безопасности.
2.1. ТОО «МФО «KMF (КМФ)» – крупнейшая микрофинансовая организация в Казахстане и одна из лидеров микрофинансового сектора Центральной Азии с международным участием, с широкой региональной сетью, подразделения которой представлены не только в крупных городах, но и в отдаленных сельских регионах Казахстана. Компания предлагает кредитные продукты, направленные на поддержку предпринимательства, рост благосостояния населения и развитие сельского хозяйства.
2.2. Компания ориентирована на построение долгосрочных партнерских отношений с клиентами, основанных на взаимном доверии, понимании и уважении.
2.3. С 1997 года Компанией было открыто 14 филиалов в следующих крупных городах РК: Астана, Алматы, Талдыкорган, Актобе, Шымкент, Кызылорда, Туркестан, Костанай, Павлодар, Петропавловск, Тараз, Уральск, Усть-Каменогорск, Кокшетау.
2.4. При каждом филиале функционируют сельские отделения и субофисы, более 110 по всему Казахстану.
2.5. Компания содействует росту благосостояния представителей микро-, малого и агробизнеса путем предоставления доступа к качественным микрофинансовым услугам.
2.6. Приоритетными задачами Компании являются:
1) Расширение доступа к финансовым услугам и углубление охвата представителей микро-
, малого и агробизнеса по всему Казахстану, включая сельские регионы;
2) Предоставление профессиональных микрофинансовых услуг и постоянное повышение качества услуг через обратную связь и оценку, развивая культуру микрофинансовых услуг;
3) Вклад в пользу общества, посредством поддержки предпринимательства и повышения благосостояния клиентов, зарабатывая прибыль.
2.7. В силу необходимости осуществления предоставления услуг Компания прикладывает максимальные усилия для выявления потребностей и ожиданий всех заинтересованных сторон.
2.8. К заинтересованным сторонам относятся:
1) Национальный Банк Республики Казахстан;
2) иные государственные и законодательные органы, осуществляющие регулирование деятельности Компании;
3) клиенты Компании;
4) кредиторы и инвесторы;
5) внутренние потребители – работники структурных подразделений, осуществляющие взаимодействие в процессе осуществления деятельности Компании;
6) поставщики услуг.
2.9. Потребности и ожидания всех заинтересованных сторон постоянно отслеживаются с помощью опросов и инструментов сбора обратной связи, проводится их анализ для исполнения текущей деятельности. При планировании развития Компании требования, ожидания и потребности всех заинтересованных сторон являются основой для реализации изменений и развития текущих и новых направлений Компании, ввода новых услуг.
2.10. Компания обладает следующими возможностями, которые позволяют гарантировать достижение ожидаемых результатов СМИБ:
1) компетентный и осведомленный персонал, проходящий профессиональную подготовку и периодическое повышение квалификации;
2) необходимая инфраструктура и центры обработки данных определены, обеспечиваются и поддерживаются в рабочем состоянии;
3) высокая прозрачность деятельности и социальная ответственность Компании;
4) сильная система менеджмента, соответствующая современным стандартам и лучшим мировым практикам.
2.11. Под информационной безопасностью понимается защищенность информации и средств её обработки от случайных или преднамеренных воздействий естественного или искусственного характера.
2.12. Информационная безопасность не является самоцелью, ее обеспечение необходимо для адекватной защищенности информационных активов (информация и программно-аппаратный комплекс, используемый для ее хранения и (или) обработки) Компании, снижения рисков и экономических потерь, связанных с угрозами информационным активам и ресурсам Компании
(основные информационные системы и базы данных Компании, данные по выданным займам, методологии Компании, компьютерное, телекоммуникационное и серверное оборудование).
2.13. В рамках обеспечения информационной безопасности поддерживаются главные атрибуты информации (Рисунок 1):
1) Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями.
2) Целостность – это гарантия того, что информация остается неизменной, корректной и аутентичной. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации.
3) Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности.
Рисунок 1. Основные атрибуты информационной безопасности (CIA Triad)
2.14. Основные цели информационной безопасности:
1) обеспечение надлежащей защиты информации в зависимости от ее значения для Компании;
2) обеспечение конфиденциальности, целостности и доступности информации, защиты персональных данных;
3) предотвращение несанкционированного физического и логического доступа, повреждения и вмешательства в информацию и в средства обработки информации Компании;
4) обеспечение информационной безопасности как неотъемлемой части информационных систем в течение всего их жизненного цикла;
5) обеспечение непрерывного и результативного подхода к управлению инцидентами информационной безопасности, включая сообщения о событиях безопасности и слабые стороны.
2.15. Для достижения целей обеспечения информационной безопасности Компания обеспечивает эффективное решение следующих задач:
1) инвентаризация и классификация информационных активов Компании (владельцами информационных активов во всех бизнес-подразделениях, входящих в область действия СМИБ);
2) определение и оценка рисков информационной безопасности и потенциальных возможностей данных рисков (основываясь на модель угроз информационной безопасности);
3) разработка мер по управлению рисками информационной безопасности (включая как методологические, ручные, так и автоматизированные средства контроля);
4) формирование и совершенствование системы менеджмента информационной безопасности, в том числе процессов оценки и анализа информационной безопасности (как внутренне, так и внешние оценки и аудиты СМИБ);
5) определение и документирование основных требований и процедур обеспечения информационной безопасности;
6) внедрение и настройка средств защиты информации;
7) обучение персонала Компании в области информационной безопасности;
8) своевременное выявление и устранение уязвимостей активов Компании и тем самым предупреждение возможности нанесения ущерба и нарушения нормального функционирования бизнес-процессов Компании в результате реализации угроз информационной безопасности;
9) уменьшение до приемлемого уровня возможного ущерба Компании при реализации угроз информационной безопасности, в том числе сокращение времени восстановления бизнес- процессов после возможных прерываний;
10) мониторинг и обработка событий и инцидентов информационной безопасности;
11) планирование и оптимизация затрат на обеспечение информационной безопасности Компании.
4.1. Основными принципами обеспечения информационной безопасности в Компании являются:
1) Законность – любые действия, предпринимаемые для обеспечения информационной безопасности, осуществляются на основе действующего законодательства с применением всех дозволенных законодательством методов обнаружения, предупреждения, локализации и пресечения негативных воздействий на объекты защиты информации Компании;
2) Системность – учитываются все взаимосвязанные, взаимодействующие и изменяющиеся во времени элементы, условия и факторы, значимые для обеспечения информационной безопасности Компании.
3) Комплексность – согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз информационной безопасности и не содержащей слабых мест на стыках отдельных ее компонентов.
4) Непрерывность – постоянная поддержка физических, технических и программных средств защиты, а также непрерывный контроль выполнения требований информационной безопасности без прерывания или остановки текущих бизнес-процессов Компании.
5) Своевременность – своевременное обнаружение угроз информационной безопасности, прогнозирование возможных путей их развития, оценка степени влияния на бизнес- процессы и применение мер информационной безопасности в тех местах и в такое время, где и когда они необходимы.
6) Адекватность – принимаемые меры информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
7) Преемственность и совершенствование – постоянное совершенствование мер и средств защиты на основе преемственности организационных и технических решений и кадрового состава.
8) Гибкость – СМИБ Компании способна реагировать на изменения внешней среды и условий осуществления Компанией своей деятельности.
9) Удобство для пользователей – учитываются и по возможности сводятся к минимуму возможные затруднения пользователей в работе со средствами защиты и при выполнении основных процедур обеспечения информационной безопасности.
10) Документированность – все требования и меры информационной безопасности, а также результаты деятельности по обеспечению информационной безопасности документально зафиксированы.
11) Осведомленность о культуре и требованиях информационной безопасности – в Компании поддерживается культура информационной безопасности, и все работники Компании знают требования информационной безопасности в объеме, соответствующем их текущим должностным обязанностям и доступу к информационным ресурсам Компании, и руководствуются ими в своей работе.
12) Знание своих клиентов и работников – Компания обладает информацией о своих клиентах, тщательно подбирает работников и обслуживающий персонал, вырабатывает и поддерживает корпоративную этику, создавая благоприятную доверительную среду для деятельности Компании по управлению информационными активами.
5.1. СМИБ представляет собой часть общей системы управления Компании, основанной на оценке рисков информационной безопасности и предназначенной для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности в Компании.
5.2. СМИБ включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы.
5.3. Областью действия СМИБ являются ключевые бизнес-процессы Компании в части обслуживания клиентов и предоставления финансовых услуг (включая, помимо процессов обслуживания клиентов в офисах, субофисах и отделениях, бэк-офисные процессы, связанные с управлением рисками, учетом операций, материально-техническим и информационным обеспечением, маркетингом и развитием бизнеса), все материальные и информационные активы Компании, работники Компании и лица, оказывающие/получающие услуги Компании.
5.4. Объектами, подлежащими защите, являются:
1) все информационные активы, необходимые для работы Компании, независимо от формы и вида их представления;
2) все элементы ИТ-инфраструктуры, включая информационные технологии, технические и программные средства формирования, обработки, передачи, хранения (в том числе архивирования) и использования информации, в том числе библиотеки, архивы, базы данных, каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены защищаемые элементы ИТ- инфраструктуры Компании;
3) все структурные подразделения Компании;
4) все процессы, регламенты и процедуры обработки информации в Компании;
5) персональные данные клиентов, работников и поставщиков Компании.
5.5. Реализация и функционирование СМИБ Компании основываются на «процессном подходе». Построение СМИБ является циклическим процессом, к которому применяется модель непрерывного улучшения (Рисунок 2).
Рисунок 2. Цикл Шухарта-Деминга (PDCA)
Для реализации и поддержания информационной безопасности в Компании реализуются четыре группы процессов:
6) планирование («Plan») - определение настоящей Политики, целей, задач, границ, процессов, процедур, программно-аппаратных средств, относящихся к управлению рисками информационной безопасности и совершенствованию информационной безопасности, разработка плана для получения результатов в соответствии с общей стратегией и целями Компании;
7) реализация («Do») - внедрение и эксплуатация настоящей Политики, механизмов контроля, процессов, процедур, программно-аппаратных средств, обучение и повышение осведомлённости работников Компании;
8) проверка («Check») - оценка эффективности СМИБ и там, где это применимо, измерение характеристик исполнения процессов в соответствии с настоящей Политикой, целями и практическим опытом, анализ изменения внешних и внутренних факторов, влияющих на защищенность информационных ресурсов, предоставление отчетов руководству для анализа;
9) корректировка («Act») - принятие корректирующих и превентивных мер, основанных на результатах внутренних и внешних проверок состояния информационной безопасности, требований со стороны руководства, иных факторов, в целях обеспечения непрерывного совершенствования системы информационной безопасности.
5.6. Руководство Компании, осознавая важность вопросов обеспечения информационной безопасности, инициирует, поддерживает, анализирует и контролирует выполнение процессов СМИБ, способствующих формированию условий для дальнейшего развития бизнеса с допустимыми рисками.
6.1. Настоящая Политика определяет следующие основные направления постоянного развития и совершенствования СМИБ:
1) распределение функций и ответственности работников Компании в сфере обеспечения информационной безопасности между ИТ-, бизнес-функциями, руководством, функцией управления рисками, функцией информационной безопасности;
2) управление документацией СМИБ – разработка, оформление, согласование, регистрация, хранение, передача и уничтожение документации, относящейся к СМИБ;
3) управление рисками информационной безопасности - анализ вероятных рисков информационной безопасности и возможных последствий их реализаций, принятие решений о действиях Компании для уменьшения риска до приемлемого уровня;
4) мониторинг, анализ эффективности и совершенствование процессов СМИБ - анализ СМИБ, при котором учитываются результаты проверок безопасности, статистика и дополнительная информация по произошедшим инцидентам информационной
безопасности, результаты оценки эффективности процессов информационной безопасности, а также предложения и комментарии от всех заинтересованных сторон;
5) обеспечение информационной безопасности при работе с персоналом – повышение осведомлённости работников Компании в вопросах информационной безопасности при найме, во время действия трудового договора, при увольнении или переводе на другую должность;
6) повышение уровня знаний и контроль знаний работников Компании в области информационной безопасности – регулярное повышение квалификации работников подразделений, входящих в область действия СМИБ путем проведения тренингов, информационных рассылок, тестирований и т. д.;
7) организация работы со сторонними организациями – обеспечение информационной безопасности в работе со сторонними организациями при предоставлении доступа к информационным активам Компании;
8) обеспечение физической безопасности и защита оборудования;
9) технические и организационные меры обеспечения информационной безопасности – эксплуатация и совершенствование механизмов обеспечения информационной безопасности;
10) управление ИТ-инфраструктурой Компании – обеспечение информационной безопасности в рамках всего жизненного цикла компонентов ИТ-инфраструктуры;
11) управление инцидентами информационной безопасности – обеспечение мониторинга событий и инцидентов информационной безопасности и механизмов реагирования;
12) управление непрерывностью бизнеса - снижение потенциальных убытков, вызываемых в том числе авариями и сбоями в ИС Компании, до приемлемого уровня путем комбинирования предупреждающих и корректирующих мер;
13) соблюдение требований законодательства;
14) использование лицензионного программного обеспечения;
15) внутренние аудиты информационной безопасности – регулярное проведение внутренних аудитов СМИБ с целью проверок процессов и механизмов контроля СМИБ.
7.1. Ответственные подразделения Компании в рамках своих полномочий осуществляют контроль за применением и соблюдением всех положений, процедур и стандартов информационной безопасности согласно внутренним нормативным документам Компании и законодательству Республики Казахстан.
8.1. Ответственность за обеспечение информационной безопасности Компании возлагается на все структурные подразделения Компании в рамках их полномочий и в соответствии с положениями, установленными настоящей Политикой и разработанными на ее основе документами.
8.2. Руководители структурных подразделений несут ответственность:
1) за своевременное доведение требований внутренних нормативных документов Компании в области информационной безопасности до работников их подразделений в части их касающейся;
2) за выполнение работниками их подразделений требований внутренних нормативных документов Компании в области информационной безопасности.
8.3. Все работники Компании несут персональную ответственность за свои действия при работе в информационной инфраструктуре Компании и обращении с защищаемыми информационными активами Компании, а также за выполнение требований информационной безопасности, установленных настоящей Политикой и нормативными документами, разработанными на ее основе.
8.4. За нарушение требований настоящей Политики и документов, разработанных на ее основе, предусмотрена ответственность в соответствии с внутренними нормативными документами Компании и законодательством РК.
9.1. Пересмотр положений настоящей Политики осуществляется на регулярной основе, но не реже одного раза в два года.
9.2. Внеплановый пересмотр настоящей Политики осуществляется в случае:
1) изменения нормативно-правовых документов РК, внутренних документов Компании, определяющих требования информационной безопасности;
2) выявления снижения общего уровня информационной безопасности Компании (по результатам внутреннего или внешнего аудита);
3) существенных изменений организационной и/или инфраструктуры, ресурсов и бизнес- процессов Компании;
4) выявления существенных недостатков при выполнении мероприятий, регламентированных настоящей Политикой, а также противоречий ее положений с другими внутренними документами Компании.
9.3. Пересмотр настоящей Политики, а также внесение в нее изменений выполняется в соответствии с порядком, установленным в Компании.