УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Система менеджмента информационной безопасности (ISMS) была создана для защиты конфиденциальности, целостности и доступности информации в компании «ЭНКА» (ENKA) за счет применения процессов управления активами и рисками и для уверения заинтересованных сторон в том, что управление рисками осуществляется надлежащим образом. Система менеджмента информационной безопасности является частью корпоративных процессов и общей структуры управления компании «ЭНКА». Процессы информационной безопасности были учтены при проектировании и в элементах управления информационными системами и масштабированы в соответствии с потребностями компании «ЭНКА».

Для достижения своих целей в области информационной безопасности компания «ЭНКА» внедрила комплексную систему менеджмента информационной безопасности (СМИБ), основанную на стандарте ISO/IEC 27001.

В ходе всех процессов и при работе с информацией сотрудники, связанные с деятельностью, осуществляемой штабом-квартирой компании «ЭНКА Иншаат ве Санайи А.Ш.» (ENKA İnşaat ve Sanayi A.Ş.) в рамках следующих сфер деятельности: проектирование и инжиниринг, управление закупками и цепочками поставок, управление охраной труда и окружающей средой, управление качеством, управление машинами и оборудованием, устойчивое развитие, корпоративные коммуникации, управление персоналом и администрирование, информационные технологии, финансы, бухгалтерский учет, экспортные операции, финансовый контроль, отношения с инвесторами, юридические вопросы, управление и реализация проектов в области нефти, газа, нефтехимии и электростанций, используют систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001 «Система менеджмента информационной безопасности».

Компания «ЭНКА» соответствует требованиям и была сертифицирована по стандартам ISO/IEC 27001 в 2020 году.

Компания «ЭНКА» поддерживает надежную программу информационной безопасности со следующими ключевыми элементами.

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Политика и принципы информационной безопасности были установлены высшим руководством.

Цели информационной безопасности определяются в соответствии с корпоративными стратегиями компании «ЭНКА», цели контролируются, оцениваются и не реже одного раза в год пересматриваются в рамках мероприятий по обзору менеджмента информационной безопасности, проводимых высшим руководством.

Была создана структура управления безопасностью, которая позволяет эффективно управлять потенциальными рисками и включает средства контроля информационной безопасности и конфиденциальности в наши информационные системы и сервисы.

Процедуры и инструкции по обеспечению информационной безопасности были разработаны и доведены до сведения всех сотрудников.

Оценка показателей информационной безопасности и эффективности системы менеджмента информационной безопасности осуществляется в рамках программы мониторинга и измерения.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Корпоративная политика информационной безопасности означает требования, определения, правила, практики, обязанности и рабочие процессы, подготовленные согласно соответствующим законам и стандартам на основе бизнес-требований, совместимых с корпоративными деловыми целями компании «ЭНКА», и обеспечивает достижение таких корпоративных деловых целей компании «ЭНКА».

В этой связи руководители высшего звена компании «ЭНКА» во всех операциях компании, осуществляемых в рамках ее стремления стать одной из лучших и инновационных компаний из числа инженерно-строительных компаний, осуществляющих свою деятельность по всему миру, и в соответствии с ее миссией по разработке, строительству и сдаче (вводу в эксплуатацию) безопасных, высококачественных и экономически эффективных объектов строительства, обязалась обеспечивать защиту информации компании «ЭНКА» и ее заинтересованных лиц, защищать информационные ресурсы, соответствовать требованиям и ожиданиям в сфере защиты информации в объеме применимых требований и международных стандартов, повышать эффективность защиты информации путем систематического управления рисками, обеспечивать инфраструктурную и эксплуатационную безопасность, а также гарантировать, что все работники будут действовать в рамках политик и процедур компании в сфере защиты информации.

ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Защита от атак на сеть компании,

Обеспечение доступности критической информации в случае прекращения работы аутсорсинговых поставщиков программного обеспечения, прерывания обслуживания / сервисного обслуживания

Обеспечение безопасного доступа сотрудников к общей сети компании через VPN,

Обеспечение того, чтобы запросы на разработку программного обеспечения содержали достаточную детализацию, и оценка применимости этих запросов,

Оценка слабых мест, которые могут возникнуть в результате доступа некорпоративного персонала к корпоративной сети, и принятие мер предосторожности,

Анализ влияния улучшений в используемом программном обеспечении на существующие бизнес-процессы до внесения изменений,

Предотвращение слабых мест в системе безопасности, возникших из-за программ удаленного доступа,

Обеспечение безопасности корпоративной информации, передаваемой третьим лицам,

Исследование уязвимых мест, которые могут возникнуть, для обеспечения критической и / или институциональной информационной безопасности серверов,

Ограничение доступа в офисы уполномоченным лицам для обеспечения информационной безопасности,

Проведение обучения персонала информационной безопасности и информационным программам с целью предотвращения утечки информации,

Защита от пожара стратегически важных документов, хранящихся в физических архивах,

Предотвращение раскрытия конфиденциальной информации путем сокращения количества копий с целью предотвращения разглашения личной информации,

Защита стратегически важных документов, хранящихся в физических архивах, от последствий наводнения, пожара и т.д.

Реализация программы обучения персонала для назначения компетентных сотрудников на соответствующие должности,

В случае возможного стихийного бедствия, обеспечение нормализации систем, которые могли не работать в течение определенного времени,

Обеспечение непрерывной деятельности и предотвращение возможных перебоев в обслуживании.

РОЛИ И ОБЯЗАННОСТИ СОТРУДНИКОВ «ЭНКА» В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Изучение и соблюдение требований политики и процедур Системы менеджмента информационной безопасности компании «ЭНКА»
Обеспечение защиты информации в соответствии с ее уровнем классификации
Информирование об инцидентах, погрешностях и нарушениях информационной безопасности администратора системы менеджмента информационной безопасности или горячей линии по этике компании «ЭНКА» (+90 212 376 1010)
Участие в программах повышения осведомленности в области информационной безопасности
Внесение предложений по совершенствованию системы менеджмента информационной безопасности
Работа в соответствии с корпоративной политикой и процедурами компании «ЭНКА»

КОНФИДЕНЦИАЛЬНОСТЬ И ЗАЩИТА ДАННЫХ

Принимаются меры предосторожности для обеспечения сохранности персональных данных своих сотрудников и клиентов

Среда информационных технологий, меры безопасности, политики и программы повышения осведомленности о кибербезопасности соответствуют требованиям конфиденциальности и защиты данных

Важное значение имеют существующие организационные меры и технические средства контроля (включая средства контроля доступа и брандмауэры для обеспечения контроля безопасности, спама, вредоносных программ и антивирусного программного обеспечения), например, мониторинг инцидентов.

МОНИТОРИНГ ИЗМЕНЕНИЙ РИСКА

Пригодность, адекватность, эффективность системы менеджмента информационной безопасности и деятельности компании «ЭНКА» в области информационной безопасности периодически пересматриваются, по крайней мере один раз в год, в рамках деятельности по обзору управления

Анализ рисков периодически повторяется. Не реже одного раза в полгода, а также после существенных изменений в бизнес-процессах, рисках или активах, проводится анализ рисков для процессов, затронутых таким изменением

Уровни риска, выявленные в ходе работы по анализу риска, сравниваются с предыдущим анализом риска для отслеживания изменений в риске

Статус плана анализа риска рассматривается в качестве пункта повестки дня на периодических заседаниях комитета СМИБ, и статус анализа риска обновляется.

КИБЕРБЕЗОПАСНОСТЬ

Управление кибер-рисками для конфиденциальных информационных активов и систем является одним из главных приоритетов компании «ЭНКА».

Принимая во внимание тенденцию к увеличению масштабов, степень серьезности и стоимость кибератак, когда большинство атак направлено на повреждение данных и систем или кражу конфиденциальной информации, такой как коммерческая тайна или личные данные, мы уделяем максимальное внимание защите нашей информации и активов.

Кибер-риск является одним из основных и растущих рисков во всем мире. Чтобы решить эту проблему и снизить риски, компания «ЭНКА» владеет надежной программой информационной безопасности со следующими ключевыми элементами для защиты своих информационных активов:

Обеспечение идентификации рисков информационной безопасности, связанных с их аффилированным подразделением (подразделениями), оценка результатов анализа рисков
Для достижения целей системы менеджмента информационной безопасностью обеспечение проведения необходимых мероприятий по мониторингу и оценке внутри компании и в ее дочерних подразделениях и стимулирование их реализации
Каждый сотрудник понимает политику информационной безопасности и осознает свою роль в предотвращении и смягчении киберугроз
Программы СМИБ и информирования о кибербезопасности обязательны для всех сотрудников.