Ақпараттық қауіпсіздік саясаты

18.03.2025 нұсқасы

1. Жалпы ережелер

Осы ақпараттық қауіпсіздік саясаты «Интернет-компания PS» ЖШС (бұдан әрі-саясат) ақпараттық қауіпсіздікті ұйымдастыру мен басқарудағы тәсілді сипаттайды.

Компания ISO/IEC 27001:2022 және СТ РК ISO/IEC 27001-2023 «Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау — Ақпараттық қауіпсіздік басқару жүйелері — Талаптар» стандарттарының талаптарына сәйкес, сондай-ақ PCI DSS 4.0 стандартының талаптарына сай ақпараттың құпиялылығы, тұтастығы және қолжетімділігін қамтамасыз ету құралы ретінде ақпараттық қауіпсіздікті басқару жүйесін (бұдан әрі — АҚБЖ) енгізді.

АҚБЖ Қазақстан Республикасының заңдары мен нормативтік құқықтық актілерінің талаптарына сәйкес келеді.

«Интернет-компания PS» ЖШС (бұдан әрі — Компания) ақпараттық қауіпсіздікті қамтамасыз ету «жоспарлау — іске асыру — тексеру — жетілдіру» менеджмент жүйесінің циклдік моделі шеңберінде жүзеге асырылады.

Саясат төмендегілер үшін әдістемелік негіз болып табылады:

1. компаниядағы ақпараттың қауіпсіздігін қамтамасыз ету саласындағы бірыңғай саясатты қалыптастыру және сақтау;
2. басқару шешімдерін қабылдау және саясатты іске асыру бойынша практикалық шараларды әзірлеу.

Саясат төмендегі негізгі мақсаттарға жетуге бағытталған:

1. сертификаттау саласында пайдаланылатын және өңделетін ақпараттың тұтастығын қорғау;
2. маңызды ақпараттық ресурстардың құпиялылығын сақтау;
3. өңделетін ақпараттың қолжетімділігін қамтамасыз ету;
4. сертификаттау саласында жұмыс істейтін негізгі бизнес-процестердің үздіксіздігін қамтамасыз ету;
5. ақпараттық қауіпсіздік оқиғаларына жауап беру уақытын қысқарту;
6. көрсетілетін қызметтердің сапасын арттыру.

Компанияның міндеттері:

• өзінің АҚБЖ-ін үнемі жетілдіріп отыру, қолданылатын заңды және басқа да міндеттемелерді сақтау және мүдделі Тараптардың қолданыстағы үміттерін қанағаттандыру;
• құпия ақпаратты қарау және пайдалану мүмкіндігі тек уәкілетті тұлғаларға қол жеткізуді бақылау немесе шектеу;
• клиенттер туралы ақпаратқа тек осы ақпаратты қарау немесе пайдалану қажеттілігі бар адамдарға қол жеткізуге мүмкіндік беру;
• ақпарат иелерінің жазбаша келісімінсіз үшінші тұлғаларға ақпарат бермеуге;
• клиенттердің ақпараттық қауіпсіздігінің барлық талаптарын орындау және осы мақсатқа жету үшін қажетті ресурстармен қамтамасыз ету;
• осы саясатты үнемі қайта қарау.

Осы Саясаттың талаптары Компанияның барлық құрылымдық бөлімшелеріне қолданылады.

Компания қызметкерлері осы саясаттың міндеттемелері мен мазмұны туралы біледі және АҚБЖ құжаттарының талаптарын сақтауға дербес жауапты болады, сондай-ақ ақпараттық қауіпсіздік саласында анықталған барлық бұзушылықтар туралы хабарлауға міндеттенеді.

Басшылық АҚБЖ-не қатысты мәселелерді шешуге тікелей қатысады.

Бұл Саясат барлық клиенттер мен мүдделі тұлғаларға шектеусіз ұсынылатын жалпыға қолжетімді құжат болып табылады.

Саясат, сондай-ақ компанияның барлық АҚБЖ құжаттамасы кем дегенде екі жылда бір рет жүйелі түрде қайта қаралады және түзетіледі.

АҚБЖ құжаттамасын жоспардан тыс қайта қарау келесі жағдайларда жүргізіледі:

1. компанияның ұйымдық құрылымына елеулі өзгерістер енгізу;
2. Қазақстан Республикасының заңнамасындағы өзгерістер;
3. ақпараттық қауіпсіздік (бұдан әрі — АҚ) инциденттерінің пайда болуы.

Өзгерістер енгізу кезінде мынадай кіріс деректері ескеріледі:

1. АҚ аудитінің нәтижелері, сондай-ақ алдыңғы аудиттердің нәтижелері;
2. АҚ бойынша тәуелсіз сарапшылардың ұсыныстары;
3. ақпараттық жүйелердің қауіптері мен осалдықтары;
4. АҚ саласындағы оқиғалар туралы есептер;
5. мемлекеттік органдардың ұсынымдары;
6. мүдделі тұлғалардың өтініштері;
7. алдын алу және түзету әрекеттерінің мәртебесі;
8. АҚ бойынша басшылық хаттамаларының нәтижелері;
9. АҚ тәуекелдерін бағалау;
10. АҚБЖ ауқымына әсер етуі мүмкін өзгерістер, соның ішінде ұйымдық саладағы өзгерістер, бизнес жағдайлары, ресурстардың қолжетімділігі, келісімшарттық, реттеуші талаптар және техникалық жабдықтау;
11. қауіптер мен осалдықтарға қатысты трендтер;
12. хабарланған АҚ оқиғалар.

АҚБЖ құжаттамасын қайта қарауды оны әзірлеуге және енгізуге жауапты мамандар жүзеге асырады, сондай-ақ өзгерістерге сәйкес АҚБЖ-ні жақсарту мүмкіндігін бағалауды қамтиды.

АҚБЖ-нің қайта қаралған құжаттамасын компания басшылығы бекітеді.