Информационная безопасность является одним из основополагающих принципов деятельности компании MERA. Приоритетом нашей компании является выстраивание крепких отношений с заказчиками. Фундаментом этих отношений является системный подход MERA к вопросам безопасности – компания создала тщательно проработанную систему корпоративной безопасности. MERA обеспечивает безопасность собственных критических систем и конфиденциальность информации, а также сохранение интеллектуальной собственности и поддержание имиджа заказчиков.
Наша компания стремится предоставлять услуги информационной безопасности высочайшего уровня, которые бы соответствовали требованиям клиента. MERA следует тщательно документированной политике корпоративной безопасности, согласованной с требованиями стандарта менеджмента информационной безопасности ISO/IEC 27001:2013. Основные направления нашей информационной безопасности выстраиваются с учетом целей бизнеса клиента, а именно:
- Защита интеллектуальной собственности и информационная безопасность
- Соблюдение мер безопасности персоналом, защита на физическом уровне и контроль доступа
- Непрерывность критических бизнес-процессов
- Корпоративный процесс безопасности создаваемого программного продукта
Чтобы повысить уровень доверия среди наших заказчиков, один из центров разработки MERA прошел проверку на соответствие системы управления информационной безопасностью требованиям международного стандарта ISO/IEC 27001:2013.
Защита интеллектуальной собственности
Все сотрудники и партнеры компании MERA, обладающие доступом к конфиденциальной информации, являющейся интеллектуальной собственностью заказчика и доверенной компании MERA в рамках делового сотрудничества (данные, документация, программное обеспечение и т.д.), обязуются строго соблюдать ее конфиденциальность.
Соответствующие юридические положения отражены в должностных инструкциях сотрудников и соглашениях о неразглашении, которые подписываются каждым сотрудником при трудоустройстве в MERA. В соответствии с этими документами сотрудники компании обязуются соблюдать требования нераспространения всей информации, данных, ПО и документов и возвратить все материалы, содержащие конфиденциальную информацию, при увольнении.
Информационная безопасность
Политика информационной безопасности MERA подразумевает строгое соблюдение правил пользования всеми данными и оборудованием, принадлежащими компании MERA и ее партнерам. Система управления информационной безопасностью (СУИБ) компании соответствует требованиям стандарта ISO/IEC 27001:2013. Основными элементами СУИБ MERA являются:
- Эффективный контроль доступа к данным, ресурсам и оборудованию
- Обучение персонала в области безопасности
- Эффективный контроль физического доступа к служебным помещениям MERA
- Постоянное взаимодействие с заказчиком по вопросам требований безопасности и различных проблемных ситуаций
- Эффективное планирование непрерывности бизнеса, обеспечивающее неизменно высокую производительность критических бизнес-процессов
Обучение персонала в области безопасности
Учет человеческого фактора является ключевым для обеспечения должного уровня безопасности. Именно поэтому под руководством команды информационной безопасности сотрудники компании MERA проходят обязательное обучение политике безопасности с целью, чтобы все члены коллектива досконально понимали угрозы информационной безопасности и строго следовали политике информационной безопасности MERA. Сотрудники компании MERA, использующие и управляющие информационными и технологическими ресурсами компании и ее партнеров, проходят специальные тренинги, чтобы:
- Понимать политику информационной безопасности компании и связанную с ней деятельность
- Быть в курсе требований информационной безопасности внутри компании
- Понимать свои функции и обязанности, связанные с информационной безопасностью
- Иметь достаточные знания в области управленческого, операционного и технического контроля над усилением защиты интеллектуальной собственности внутри их зон ответственности
Физическая защита и контроль доступа
- Проектные помещения, лаборатории и серверные комнаты организованы раздельно для проектов каждого заказчика для обеспечения качественного процесса разработки, доступ в которые ограничен и находится под строгим контролем
- Зоны с ограниченным доступом имеют всю необходимую защиту от несанкционированного доступа для критических систем проекта и интеллектуальной собственности как компании MERA, так и ее бизнес-партнеров
Корпоративный процесс безопасности создаваемого программного продукта
MERA постоянно обеспечивает безопасность разрабатываемых программных продуктов. Соответствующий процесс был разработан и внедрен на корпоративном уровне.
Этот процесс заключается в управлении безопасностью программных продуктов на протяжении всего их жизненного цикла и включает в себя:
- определение требований безопасности к продукту
- определение уязвимостей кода и выпущенного продукта на каждом этапе разработки
- применение мер снижения рисков и тестирование безопасности продуктов
Унифицированный подход, реализованный в MERA, основанный на управлении рисками, включает:
- методы идентификации, анализа и оценки рисков безопасности для продуктов на протяжении всего их жизненного цикла
- подход сосредоточен на рисках, связанных с возможной уязвимостью в эксплуатации продукта через сетевой или пользовательский интерфейс
- управление каждым риском через технические и административные политики, процедуры и методы
Как результат, для каждого продукта создается уникальный план по управлению рисками и устранению уязвимостей.
Развитие корпоративного процесса безопасности продуктов предполагает глубокую систематическую работу каждого подразделения компании, заключающуюся в анализе уязвимостей продуктов и программного кода, изучении отраслевых стандартов и передового опыта, приобретении глубоких знаний в этой сфере, корпоративное обучение.