МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Система менеджмента информационной безопасности (ISMS) была создана для защиты конфиденциальности, целостности и доступности информации в компании «ЭНКА» (ENKA) за счет применения процессов управления активами и рисками и для уверения заинтересованных сторон в том, что управление рисками осуществляется надлежащим образом. Система менеджмента информационной безопасности является частью корпоративных процессов и общей структуры управления компании «ЭНКА». Процессы информационной безопасности были учтены при проектировании и в элементах управления информационными системами и масштабированы в соответствии с потребностями компании «ЭНКА».

Для достижения своих целей в области информационной безопасности компания «ЭНКА» внедрила комплексную систему менеджмента информационной безопасности (СМИБ), основанную на стандарте ISO/IEC 27001.

В ходе всех процессов и при работе с информацией сотрудники, связанные с деятельностью, осуществляемой  штабом-квартирой компании «ЭНКА Иншаат ве Санайи А.Ш.» (ENKA İnşaat ve Sanayi A.Ş.) в рамках следующих сфер деятельности: проектирование и инжиниринг, управление закупками и цепочками поставок, управление охраной труда и окружающей средой, управление качеством, управление машинами и оборудованием, устойчивое развитие, корпоративные коммуникации, управление персоналом и администрирование, информационные технологии, финансы, бухгалтерский учет, экспортные операции, финансовый контроль, отношения с инвесторами и юридические вопросы, используют систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001 «Система менеджмента информационной безопасности».

Компания «ЭНКА» соответствует требованиям и была сертифицирована по стандартам ISO/IEC 27001 в 2020 году.

null
  • Увеличение возможностей повышения безопасности
  • Реализация программы повышения осведомленности в области информационной безопасности
  • Получение сертификата ISO 27001
null
  • Внедрение Системы менеджмента информационной безопасности для обеспечения устойчивой культуры безопасности
  • Определение целей информационной безопасности
  • Информирование сотрудников о текущих угрозах информационной безопасности и проблемах через тренинги по повышению осведомленности о безопасности
null
  • Постановка и поддержание целей в области информационной безопасности
  • Системы аудита информационной безопасности и дополнительные инициативы
  • Внедрение систем раннего и точного обнаружения угроз
  • Расширение фокуса кибербезопасности

Компания «ЭНКА» поддерживает надежную программу информационной безопасности со следующими ключевыми элементами.

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Политика и принципы информационной безопасности были установлены высшим руководством.

Цели информационной безопасности определяются в соответствии с корпоративными стратегиями компании «ЭНКА», цели контролируются, оцениваются и не реже одного раза в год пересматриваются в рамках мероприятий по обзору менеджмента информационной безопасности, проводимых высшим руководством.

Была создана структура управления безопасностью, которая позволяет эффективно управлять потенциальными рисками и включает средства контроля информационной безопасности и конфиденциальности в наши информационные системы и сервисы.

Процедуры и инструкции по обеспечению информационной безопасности были разработаны и доведены до сведения всех сотрудников.

Оценка показателей информационной безопасности и эффективности системы менеджмента информационной безопасности осуществляется в рамках программы мониторинга и измерения.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

info-3

Корпоративная политика информационной безопасности означает требования, определения, правила, практики, обязанности и рабочие процессы, подготовленные согласно соответствующим законам и стандартам на основе бизнес-требований, совместимых с корпоративными деловыми целями компании «ЭНКА», и обеспечивает достижение таких корпоративных деловых целей компании «ЭНКА».

В этой связи руководители высшего звена компании «ЭНКА» во всех операциях компании, осуществляемых в рамках ее стремления стать одной из лучших и инновационных компаний из числа инженерно-строительных компаний, осуществляющих свою деятельность по всему миру, и в соответствии с ее миссией по разработке, строительству и сдаче (вводу в эксплуатацию) безопасных, высококачественных и экономически эффективных объектов строительства, обязалась обеспечивать защиту информации компании «ЭНКА» и ее заинтересованных лиц, защищать информационные ресурсы, соответствовать требованиям и ожиданиям в сфере защиты информации в объеме применимых требований и международных стандартов, повышать эффективность защиты информации путем систематического управления рисками, обеспечивать инфраструктурную и эксплуатационную безопасность, а также гарантировать, что все работники будут действовать в рамках политик и процедур компании в сфере защиты информации.

ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

null
Защита от атак на сеть компании,
null
Обеспечение доступности критической информации в случае прекращения работы аутсорсинговых поставщиков программного обеспечения, прерывания обслуживания / сервисного обслуживания
null
Обеспечение безопасного доступа сотрудников к общей сети компании через VPN,
null
Обеспечение того, чтобы запросы на разработку программного обеспечения содержали достаточную детализацию, и оценка применимости этих запросов,
null
Оценка слабых мест, которые могут возникнуть в результате доступа некорпоративного персонала к корпоративной сети, и принятие мер предосторожности,
null
Анализ влияния улучшений в используемом программном обеспечении на существующие бизнес-процессы до внесения изменений,
null
Предотвращение слабых мест в системе безопасности, возникших из-за программ удаленного доступа,
null
Обеспечение безопасности корпоративной информации, передаваемой третьим лицам,
null
Исследование уязвимых мест, которые могут возникнуть, для обеспечения критической и / или институциональной информационной безопасности серверов,
null
Ограничение доступа в офисы уполномоченным лицам для обеспечения информационной безопасности,
null
Проведение обучения персонала информационной безопасности и информационным программам с целью предотвращения утечки информации,
null
Защита от пожара стратегически важных документов, хранящихся в физических архивах,
null
Предотвращение раскрытия конфиденциальной информации путем сокращения количества копий с целью предотвращения разглашения личной информации,
null
Защита стратегически важных документов, хранящихся в физических архивах, от последствий наводнения, пожара и т.д.
null
Реализация программы обучения персонала для назначения компетентных сотрудников на соответствующие должности,
null
В случае возможного стихийного бедствия, обеспечение нормализации систем, которые могли не работать в течение определенного времени,
null
Обеспечение непрерывной деятельности и предотвращение возможных перебоев в обслуживании.

РОЛИ И ОБЯЗАННОСТИ СОТРУДНИКОВ «ЭНКА» В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  • Изучение и соблюдение требований политики и процедур Системы менеджмента информационной безопасности компании «ЭНКА»
  • Обеспечение защиты информации в соответствии с ее уровнем классификации
  • Информирование об инцидентах, погрешностях и нарушениях информационной безопасности администратора системы менеджмента информационной безопасности или горячей линии по этике компании «ЭНКА» (+90 212 376 1010)
  • Участие в программах повышения осведомленности в области информационной безопасности
  • Внесение предложений по совершенствованию системы менеджмента информационной безопасности
  • Работа в соответствии с корпоративной политикой и процедурами компании «ЭНКА»

КОНФИДЕНЦИАЛЬНОСТЬ И ЗАЩИТА ДАННЫХ

Принимаются меры предосторожности для обеспечения сохранности персональных данных своих сотрудников и клиентов

Среда информационных технологий, меры безопасности, политики и программы повышения осведомленности о кибербезопасности  соответствуют требованиям конфиденциальности и защиты данных

Важное значение имеют существующие организационные меры и технические средства контроля (включая средства контроля доступа и брандмауэры для обеспечения контроля безопасности, спама, вредоносных программ и антивирусного программного обеспечения), например, мониторинг инцидентов.

МОНИТОРИНГ ИЗМЕНЕНИЙ РИСКА

Пригодность, адекватность, эффективность системы менеджмента информационной безопасности и деятельности компании «ЭНКА» в области информационной безопасности периодически пересматриваются, по крайней мере один раз в год, в рамках деятельности по обзору управления

Анализ рисков периодически повторяется. Не реже одного раза в полгода, а также после существенных изменений в бизнес-процессах, рисках или активах, проводится анализ рисков для процессов, затронутых таким изменением

Уровни риска, выявленные в ходе работы по анализу риска, сравниваются с предыдущим анализом риска для отслеживания изменений в риске

Статус плана анализа риска рассматривается в качестве пункта повестки дня на периодических заседаниях комитета СМИБ, и статус анализа риска обновляется.

КИБЕРБЕЗОПАСНОСТЬ

Управление кибер-рисками для конфиденциальных информационных активов и систем является одним из главных приоритетов компании «ЭНКА».

Принимая во внимание тенденцию к увеличению масштабов, степень серьезности и стоимость кибератак, когда большинство атак направлено на повреждение данных и систем или кражу конфиденциальной информации, такой как коммерческая тайна или личные данные, мы уделяем максимальное внимание защите нашей информации и активов.

Кибер-риск является одним из основных и растущих рисков во всем мире. Чтобы решить эту проблему и снизить риски, компания «ЭНКА» владеет надежной программой информационной безопасности со следующими ключевыми элементами для защиты своих информационных активов:

  • Обеспечение идентификации рисков информационной безопасности, связанных с их аффилированным подразделением (подразделениями), оценка результатов анализа рисков
  • Для достижения целей системы менеджмента информационной безопасностью обеспечение проведения необходимых мероприятий по мониторингу и оценке внутри компании и в ее дочерних подразделениях и стимулирование их реализации
  • Каждый сотрудник понимает политику информационной безопасности и осознает свою роль в предотвращении и смягчении киберугроз
  • Программы СМИБ и информирования о кибербезопасности обязательны для всех сотрудников.
cyber_new

ПРИНЦИПЫ НАШЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ