Декларация политики информационной безопасности

ЗАО «МИКРОФИНАНСОВАЯ КОМПАНИЯ ОКСУС»

Для поддержания деловой репутации ЗАО «Микрофинансовая Компания ОКСУС» (далее - Компания) считает одной из своих важнейших задач - обеспечение защиты информационных активов Компании, клиентов и партнеров, в том числе коммерческой, банковской, служебной и др. видов тайн, персональных данных работников, клиентов, партнеров и др. физических лиц, связанных с Компанией, а также инсайдерской информации.

Для решения этой задачи в Компании применяется система обеспечения информационной безопасности, основанная на принципах и требованиях документов Национального Банка Кыргызской Республики.

В области информационной безопасности Компания руководствуется следующими принципами:

•   вовлечение высшего руководства Компании в процессы управления информационной безопасностью;

•   легитимность организационных и технических мер по обеспечению информационной безопасности;

•   риск-ориентированный подход к управлению информационной безопасностью;

•   стремление к постоянному совершенствованию системы обеспечения информационной безопасности;

•   повышение осведомленности работников в сфере информационной безопасности;

•   строгое разграничение прав доступа к различным категориям информации.

Компания добивается того, чтобы все реализуемые ей мероприятия по организационной и технической защите информации осуществлялись на законных основаниях, в том числе в соответствии законодательству Кыргызской Республики, нормативными актами Национального Банка Кыргызской Республики, а также лучшими практиками международных стандартов.

В Компании не реже одного раза в два года проводятся мероприятия по оценке уровня информационной безопасности с привлечением международных независимых аудиторов по информационной безопасности, что позволяет поддерживать систему обеспечения информационной безопасности в актуальном состоянии.

Основой эффективной работы системы обеспечения информационной безопасности Компании являются регулярно проводимые мероприятия по анализу и оценке рисков нарушения информационной безопасности (в том числе по инвентаризации и классификации информационных активов, выявлению и устранению уязвимостей, построению моделей нарушений и угроз информационной безопасности).

Руководство Компании осознает исключительную важность обеспечения безопасности информационных активов и поощряет постоянное совершенствование системы защиты информации, обрабатываемой в рамках выполнения основной деятельности Компании. Каждый новый работник должен быть ознакомлен с политикой Компании в области информационной безопасности и вовлечен в процесс достижения целей Компании, в том числе связанных с целями обеспечения информационной безопасности.

Конфиденциальность персональных данных клиентов является важнейшей ценностью Компании. Сохранение конфиденциальности информации полученной от клиентов, партнеров в любой форме (устной и/или письменной) обеспечивается за счет необходимых и технических мер при их обработке Компанией от неправомерного или случайного доступа к ним, а также от их уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. В случае неправомерного доступа к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации наступает уголовная ответственность согласно законодательства Кыргызской Республики.

Работники, получившие доступ к персональным данным обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, клиентов, посетителей и партнеров привлекаются к дисциплинарной и административной ответственности в порядке, установленном законодательством Кыргызской Республики.

Руководство Компании берет на себя обязанность по обеспечению регулярного и систематизированного пересмотра и постоянного улучшения системы управления информационной безопасности.