1 тарау. Жалпы ережелер
2 тарау. Мақсаттары мен міндеттері
4. Осы саясаттың мақсаты Ақпаратты өңдеу және сақтау нысаны мен орнына, оны өңдеу құралдарына қарамастан қорғауды ұйымдастыруға бағытталған «ҰТК» АҚ-да ақпараттық қауіпсіздікті қамтамасыз етудегі бірыңғай тәсілді айқындау болып табылады.
5. Саясат мақсатын орындаудың негізгі міндеттері:
1) «ҰТК» АҚ қызметіне байланысты үшінші тараптардың және «ҰТК» АҚ ақпараттық активтерінің тұтастығын, қолжетімділігін және құпия ақпаратын қорғауды қамтамасыз ету;
2) АҚ-ның нақты және ықтимал қауіптерін анықтау, алдын алу және бейтараптандыру, сондай-ақ олардың пайда болу себептері мен жағдайларын анықтау;
3) ақпараттық қауіпсіздікке қауіп төнген кезде салдарды азайту және оқшаулау, одан әрі алдын алу үшін оқиғаларды бағалау және жан-жақты талдау;
4) ақпараттық қауіпсіздік саласындағы қызметтің құқықтық аспектілерінің сәйкестігін талдау және ішкі нормативтік құжаттардың талаптарын тұрақты өзектендіру;
5) қызметкерлердің корпоративтік мәдениетін және олардың ақпараттық қауіпсіздікті қамтамасыз ету саласындағы хабардарлығын арттыру;
6) ақпаратты және оны өңдеу құралдарын қорғаудың қолданылатын шараларының тиімділігі мен жеткіліктілігін бақылау.
6. «ҰТК» АҚ-да саясатты іске асыру және ақпараттық қауіпсіздік талаптарын сақтау жөніндегі негізгі бағыттар:
– ұйымдастырушылық және техникалық қорғау шараларын іске асыру;
– ақпараттық қауіпсіздікті қамтамасыз ету саласындағы заңнамалық және реттеуші талаптарды, сондай-ақ мемлекеттік және халықаралық стандарттардың қолданылатын талаптарын орындау;
– ақпараттық қауіпсіздікті қамтамасыз етудің түрлі аспектілерін реттейтін ішкі нормативтік құжаттарды әзірлеу және сақтау, қорғалатын ресурстармен жұмыс істеуге өкілеттіктер беру тәртібін қоса алғанда, бірақ онымен шектелмей, құпия сөздермен жұмыс істеу, ақпаратпен және оны жеткізгіштермен, бағдарламалық қамтамасыз етумен және оның жаңартуларымен жұмыс ішкі және сыртқы желілік ресурстарға қол жеткізу, қорғалуын талдау жүйелерімен жұмыс шабуылдарды, вирусқа қарсы қорғанысты, бастапқы кодты талдау процесін, өрт қауіпсіздігін қамтамасыз ету, өзге де қорғау құралдарын пайдалану және ақпараттық қауіпсіздікті қамтамасыз ету есебінен жүзеге асырылады.
3 тарау. Ақпараттық қауіпсіздікті басқару жүйесінің негізгі ережелері
7. Осы Саясаттың мақсатына қол жеткiзу үшiн «ҰТК» АҚ АҚБЖ-ны жетiлдiредi.
8. АҚБЖ-ның жұмыс істеуі мынадай негізгі қағидаттарға сәйкес жүзеге асырылуы тиіс:
1) заңдылық – ақпараттық қауіпсіздікті қамтамасыз ету үшін қолданылатын кез келген іс-әрекеттер «ҰТК» АҚ-ның қорғау объектілеріне жағымсыз әсерлерді анықтаудың, олардың алдын алудың, оқшаулаудың және жолын кесудің заңнамада рұқсат етілген барлық әдістерін қолдана отырып, қолданыстағы заңнама негізінде жүзеге асырылады;
2) кешенділік – ақпараттық ресурстардың бүкіл өмірлік циклі ішінде, оларды пайдаланудың барлық технологиялық кезеңдерінде және жұмыс істеудің барлық режимдерінде олардың қауіпсіздігін қамтамасыз ету;
3) дербес жауапкершілік – барлық деңгейдегі басшылар мен орындаушылар ақпараттық қауіпсіздікті қамтамасыз етудің барлық талаптары туралы хабардар болуға және осы талаптардың орындалуы мен ақпараттық қауіпсіздіктің белгіленген шараларының сақталуы үшін дербес жауапты болуға тиіс;
4) өзара іс-қимыл және үйлестіру – ақпараттық қауіпсіздік шаралары «ҰТК» АҚ-ның тиісті құрылымдық бөлімшелерінің өзара байланысы, қойылған мақсаттарға қол жеткізу үшін олардың күш-жігерін үйлестіру, сондай-ақ сыртқы ұйымдармен, кәсіптік қауымдастықтармен және қоғамдастықтармен, мемлекеттік органдармен қажетті байланыстар орнату негізінде жүзеге асырылады.
9. «ҰТК» АҚ-да ықтимал шығындарды азайту мақсатында техникалық құралдар мен ақпараттық активтерді қорғаудың ұйымдастырушылық шараларын таңдау ақпараттық қауіпсіздік тәуекелдерін сәйкестендіру және бағалау негізінде құрылады.
10. АҚБЖ-ның әрекет ету саласы «ҰТК» АҚ-ның барлық дербес құрылымдық бөлімшелеріне, сондай-ақ «ҰТК» АҚ-ның ақпараттық ресурстарын жеткізушілер және (немесе) тұтынушылар ретінде «ҰТК» АҚ-мен өзара іс-қимыл жасайтын ұйымдар мен мекемелерге қолданылады.
11. Ақпараттық қауіпсіздікті және ақпаратты өңдеу мен сақтау процестерін қамтамасыз ету жөніндегі іс-шараларды ұйымдастыру мен жүзеге асыруға жауапты «ҰТК» АҚ қызметкерлері ақпараттық қауіпсіздік саласында тиісті оқытудан тұрақты түрде өтеді.
4 тарау. Жауапкершілік және бақылау
12. «ҰТК» АҚ-ның Басқарма Төрағасы осы Саясаттың іске асырылуы үшін өзіне жауапкершілік алады, осы Саясаттың мақсаттары мен негізгі ережелерінің орындалуына, оның ішінде осы Саясаттың мақсаттарына қол жеткізу үшін қажетті жағдайлар мен ресурстардың ұсынылуына бақылауды жүзеге асырады, сондай-ақ өзіне тұрақты түрде жақсарту және қолданылатын талаптарды орындау жөніндегі міндеттемелерді қабылдайды.
13. Күнделікті қызметтегі ақпараттық қауіпсіздікті басқару осы саясатты іске асыруға дербес жауапты болатын қауіпсіздік бөлімшесінің бастығына жүктеледі.
14. Қауіпсіздік басқармасы «ҰТК» АҚ басшылығы қойған мақсаттар мен міндеттерге, сондай-ақ АҚБЖ құжаттарында көрсетілген талаптардың орындалуын бақылауға жауапты. Осы талаптардан барлық ерекшеліктер міндетті түрде жауапты құрылымдық бөлімшемен келісіледі.
15. «ҰТК» АҚ құрылымдық бөлімшелерінің басшылары мен қызметкерлері АҚБЖ құжаттарына сәйкес АҚ талаптарын қамтамасыз ету және орындау жөніндегі қызметті қолдау жөніндегі өз міндеттерін сөзсіз толық орындағаны үшін, ал «ҰТК» АҚ ақпараттық ресурстары мен құпия ақпаратына қол жеткізе алатын үшінші тараптардың өкілдері – шарттық міндеттемелерге сәйкес жауапты болады.
16. «ҰТК» АҚ-ның барлық қызметкерлері «ҰТК» АҚ-ның ішкі құжаттарында белгіленген ақпаратты және оны өңдеу құралдарын қорғау жөніндегі талаптар мен іс- шараларды бұзғаны және/немесе орындамағаны үшін дербес жауапты болады және барлық анықталған бұзушылықтар мен оқиғалар туралы қауіпсіздікті қамтамасыз етуге жауапты бөлімшеге хабарлауға міндетті.
17. «ҰТК» АҚ ішкі құжаттарында, оның ішінде барлық қызметкерлердің лауазымдық нұсқаулықтарында ақпараттық қауіпсіздікті қамтамасыз ету және сақтау жөніндегі талаптар қамтылуға тиіс.
5 тарау. Қорытынды ережелер
18. Саясат жыл сайын, ал «ҰТК» АҚ қызметінде елеулі өзгерістер болған жағдайда, сондай-ақ Қазақстан Республикасы заңнамасының немесе АҚБЖ-ға әсер ететін реттеуші органдардың талаптары дереу қайта қаралуға тиіс.
19. Ақпараттық қауіпсіздік бөлімшесі осы саясатты «ҰТК» АҚ барлық қызметкерлерінің назарына жеткізеді.
20. Саясат жалпыға қолжетімді құжат болып табылады және «ҰТК» АҚ ресми сайтында орналастырылады.