ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫ

1. ОПРЕДЕЛЕНИЕ

Информационная безопасность обеспечивает непрерывность бизнес-процессов в Компании, минимизацию возможных сбоев в работе и защиту информации от широкого спектра угроз.

Информационная безопасность принципиально нацелена на обеспечение следующих трех элементов:

a. Конфиденциальность
Определяется как недоступность информации для лиц, не имеющих на это полномочий. Иными словами, конфиденциальность — это предотвращение разглашения информации посторонним лицам.

b. Целостность
Целостность — это состояние сохранности информации и ее защищенности от умышленного или халатного изменения, удаления или любого иного уничтожения неуполномоченными лицами при условии сохранения ее содержания в неискаженном виде.

c. Доступность
Означает, что информация готова к использованию по мере необходимости. Требованием принципа доступности является обеспечение доступа к информации даже в случае возникновения каких-либо проблем. Этот доступ должен осуществляться строго в рамках прав пользователя. Согласно принципу доступности, каждый пользователь должен иметь беспрепятственный доступ к информационному ресурсу, к которому он авторизован, в течение установленного для него периода времени.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящая политика распространяется на все подразделения, использующие информационно-технологическую инфраструктуру Компании.

3. ЦЕЛЬ

Руководство Компании стремится обеспечить информационную безопасность всех физических и цифровых информационных активов, используемых при предоставлении ИТ-услуг, с целью обеспечения непрерывности бизнес-деятельности компании с минимальными перерывами.

a. Правила использования электронной почты

I. Корпоративная электронная почта Компании строго не может использоваться для личных аккаунтов пользователя в социальных сетях (Facebook, Twitter, Instagram и т. д.).
II. Не следует отвечать на вредоносные, спам-, фишинговые и т. п. опасные электронные письма; письма, содержащие любые вложенные исполняемые файлы, должны немедленно удаляться при получении и строго не должны пересылаться другим лицам.
III. Корпоративные адреса электронной почты не могут использоваться для подписки на списки рассылки и аналогичные платформы через интернет-приложения для личного использования.
IV. Учитывая, что электронные письма, запрашивающие ввод кода пользователя/пароля, могут быть мошенническими, они должны немедленно удаляться без совершения каких-либо действий.
V. Сотрудникам запрещено отправлять по электронной почте неприемлемый контент (порнография, расизм, политическая пропаганда, материалы, содержащие объекты интеллектуальной собственности, и т. д.).
VI. Сотрудники должны предотвращать чтение своих сообщений неуполномоченными лицами. Аппаратные и программные системы, используемые для доступа к электронной почте, должны быть защищены от несанкционированного доступа.
VII. Сотрудники Компании несут ответственность за предотвращение просмотра и чтения корпоративных писем третьими лицами и лицами, не имеющими на это полномочий.
VIII. Файлы, вложенные в электронные письма из неизвестных источников, строго запрещено открывать, они должны быть немедленно удалены.
IX. Пользователи несут личную ответственность за безопасность пароля от своего адреса электронной почты. Они обязаны связаться с ИТ-отделом и сообщить о ситуации, как только обнаружат, что их пароли были скомпрометированы.
X. Увольняющийся из Компании персонал не может продолжать использование корпоративной системы электронной почты. В случае прекращения работы пользователя, имеющего адрес электронной почты, по любой причине (перевод в другое подразделение, увольнение и т. д.), ответственные лица должны в кратчайшие сроки уведомить ИТ-отдел для внесения необходимых изменений в систему электронной почты

b. Политика использования Интернета

I. Ни один пользователь не может использовать каналы обмена данными, отличные от метода обмена данными, рекомендованного Компанией.
II. Сбор персональных данных через межкомпьютерные сети с использованием программ для обмена сообщениями и чатов запрещен, за исключением проведения официальных деловых переговоров.
III. Ни один пользователь не должен осуществлять потоковое вещание мультимедиа (видео, музыка, связь и т. д.) через Интернет в личных целях.
IV. Запрещается отправлять (загружать в сеть), скачивать и хранить на компьютерах файлы большого объема, не связанные с работой (музыкальные, видеофайлы).
V. Запрещается скачивать из Интернета программное обеспечение, не утвержденное ИТ-отделом, а также устанавливать и использовать данное ПО на системах компании.
VI. С сетевых ресурсов и компьютеров Компании запрещено посещать интернет-сайты, противоречащие общепринятым нормам морали, а также скачивать с них файлы.
VII. ИТ-отдел в целях предотвращения потерь рабочего времени может осуществлять мониторинг и вести статистику использования Интернета сотрудниками. В случае необходимости ИТ-отдел может вводить ограничения на использование Интернета.
VIII. Запрещается распространение любого политического контента или ведение пропаганды.

c. Общая политика использования

I. В случае длительного отсутствия за компьютером, его необходимо заблокировать во избежание доступа третьих лиц к информации.
II. О случаях кражи, утери и т. д. компьютера или носителя информации, содержащего данные Компании, необходимо в кратчайшие сроки сообщить в ИТ-отдел.
III. Все пользователи несут ответственность за безопасность своих компьютерных систем. Лицо несет персональную ответственность за любые атаки на Компанию или личность, которые могут быть совершены с данных компьютеров (например, электронный банкинг, письма оскорбительного или политического характера, данные пользователей и т. д.).
IV. Запрещается использовать компьютеры Компании для совершения домогательств или участия в противоправных действиях. 
V. Запрещается предпринимать действия, нарушающие сетевую безопасность (например, попытки несанкционированного доступа к серверам) или нарушающие сетевой трафик (packet sniffing, packet spoofing, denial of service и т. д.).
VI. Запрещается осуществлять деятельность, угрожающую сетевой безопасности. Запрещено проведение DoS-атак, сканирование портов и сетей и т. д.
VII. Передача информации Компании третьим лицам запрещена.
VIII. Подключение любых периферийных устройств к персональным компьютерам пользователей без согласия ИТ-отдела запрещено.
IX. Запрещается несанкционированный вынос любых устройств, программного обеспечения и данных за пределы компании. Запрещается устанавливать и использовать программы неизвестного происхождения (CD из журналов, программы, скачанные из Интернета и т. д.), за исключением программного обеспечения, используемого Компанией. 
X. Персонал несет ответственность за безопасность корпоративной информации на выделенных им стационарных компьютерах и ноутбуках, используемых в работе компании.
XI. ИТ-отдел имеет право без предварительного уведомления пользователя осуществлять локальный или удаленный доступ к компьютеру сотрудника для проведения работ по обеспечению безопасности, техническому обслуживанию и ремонту, а также применять необходимые технические или административные меры.
XII. Запрещается запускать/копировать на компьютерах программы, предназначенные для игр и развлечений.
XIII. Запрещается осуществлять обмен файлами на компьютерах, за исключением официальных документов, программ и учебных материалов.
XIV. Без ведома ИТ-отдела в Сетевой системе (веб-хостинг, служба электронной почты и т. д.) запрещается содержать компьютеры и устройства, выполняющие функции сервера. 
XV. Существующие настройки сети, определения пользователей, профили ресурсов и т. д. на компьютерах ни в коем случае не должны изменяться без ведома ИТ-отдела.
XVI. Категорически запрещается устанавливать на компьютеры нелицензионные программы. Персонал, хранящий нелицензионное ПО на своем компьютере, несет за это персональную ответственность.
XVII. Без необходимости компьютерные ресурсы не должны открываться для общего доступа; в случае открытия ресурсов для общего доступа необходимо строго соблюдать правила использования паролей.
XVIII. При возникновении проблем с компьютером неуполномоченным лицам запрещается вмешиваться в его работу, необходимо незамедлительно сообщить об этом в ИТ-отдел.

c. Политика действий в чрезвычайных ситуациях

I. В нашей компании ведется логирование. В чрезвычайных ситуациях системные логи должны сохраняться для последующего анализа.
II. Обеспечение непрерывности деятельности Компании является основополагающим фактором. В чрезвычайных ситуациях технические меры, направленные на соблюдение этого принципа, должны быть спланированы и при необходимости реализованы.
III. Необходимо определить потребности в инструментах и оборудовании для чрезвычайных ситуаций, составить и внедрить план резервного копирования и технического обслуживания. 

d. Антивирусная политика

I. Компьютер без установленного антивирусного программного обеспечения не должен подключаться к сети, о чем необходимо немедленно сообщить в ИТ-отдел.
II. Запрещается создавать и распространять вредоносные программы (например, вирусы, черви, троянские программы, почтовые бомбы и т. д.) внутри Компании.
III. Ни один пользователь не имеет права по какой-либо причине удалять антивирусную программу из системы или устанавливать другое антивирусное ПО.

4. ШИФРОВАНИЕ

Шифрование является важной функцией компьютерной безопасности. Это первый уровень безопасности для учетных записей пользователей. Слабый пароль может полностью поставить под угрозу сетевую безопасность. Стандарты и правила, которых необходимо придерживаться при создании надежного шифрования, защите созданного пароля и частоте его смены, изложены ниже.

5. ОБЩАЯ ИНФОРМАЦИЯ

a. Правила использования паролей

I. Все используемые пароли должны обладать достаточной устойчивостью к взлому.
II. Пароли (электронная почта, Интернет, ПК и т. д.) должны меняться не реже одного раза в шесть месяцев.
III. Пароли не должны записываться или добавляться в сообщения электронной почты или любые электронные формы, ими нельзя делиться с кем-либо, а также записывать их на физических или электронных носителях.
IV. Запрещается передавать пароли кому-либо по телефону.
V. Паролями запрещено делиться с коллегами по работе, даже в периоды отсутствия на рабочем месте.
VI. Пользователь не должен передавать свой пароль третьим лицам, записывать его на бумаге или электронных носителях.
VII. При пятикратном неверном вводе пароля подряд компьютер блокируется.
VIII. Персонал, осуществляющий вход в систему с нескольких устройств, получает соответствующие предупреждения.
IX. В обязательном порядке должна использоваться блокировка экрана, причем интервал автоматической блокировки должен быть коротким. 

b. Общие правила создания паролей

I. Пароли используются для различных целей. Некоторые из них: пароли пользователей, пароли веб-доступа, пароли доступа к электронной почте, пароли экранной заставки, пароли доступа к маршрутизатору и т. д. Все пользователи должны проявлять максимальную осмотрительность при выборе надежного пароля.
II. Пароль должен содержать строчные и прописные символы (a-z, A-Z), цифры и символы (такие как 0-9, !'^+%&/()=?_;*).
III. Длина пароля должна составлять не менее восьми символов.
IV. Операции по взлому и подбору паролей могут проводиться с определенной периодичностью. Если в результате сканирования безопасности пароли будут угаданы или взломаны, от пользователя потребуют изменить пароль.

c. Стандарты защиты паролей

I. Пароли, используемые внутри Компании, ни в коем случае не должны использоваться за ее пределами (например, пароли доступа в Интернет, при банковских операциях или в других местах).
II. Для различных систем должно использоваться различное шифрование. Например, для систем Unix должен использоваться один пароль, а для систем Windows — другой.
Ниже приведен список запрещенных действий: 
• Передача пароля кому-либо по телефону.
• Указание пароля в сообщениях электронной почты.
• Передача паролей вышестоящему руководителю.
• Разговоры о паролях в присутствии посторонних лиц.
• Использование имен членов семьи в качестве пароля.
• Указание пароля в любых формах и анкетах.
• Передача паролей членам семьи.
• Сообщение паролей коллегам по работе в период вашего отсутствия.
Если кто-либо запрашивает пароль, ему следует отказать, сославшись на данный документ, и направить к сотруднику ИТ-отдела. В приложениях и браузерах не следует выбирать функцию «запомнить пароль» (Пример: Chrome, Internet Explorer и т. д.).

d. Стандарты разработки приложений

I. Разработчики приложений должны обеспечивать реализацию в своих программах указанных ниже функций безопасности.
II. Программы должны поддерживать процесс аутентификации отдельных лиц (а не групп).
III. Пароли не должны сохраняться в виде открытого текста или в легко расшифровываемой форме.
IV. Должна поддерживаться система управления правилами (Пример: пользователь должен иметь возможность выполнять свои функции, не зная пароля другого лица).

e. Использование паролей для пользователей с удаленным доступом

I. Удаленный доступ к компьютерной сети Компании должен осуществляться с использованием одностороннего алгоритма шифрования или надежных паролей.

f. Безопасность серверов

Правила и стандарты, соблюдение которых необходимо для обеспечения безопасности серверов:
I. Владение и ответственность
Администраторы систем несут ответственность за управление всеми внутренними серверами в Компании. Настройка конфигурации серверов будет осуществляться исключительно данной группой.
a. Все серверы и мобильные устройства должны быть зарегистрированы в инвентарной описи устройств соответствующей компании. Инвентарь должен содержать как минимум следующую информацию:
• Местонахождение серверов и ответственное лицо.
• Аппаратное обеспечение и операционная система.
• Основная задача и запущенные на сервере приложения.
• Версии операционных систем.
b. Вся информация Компании должна поддерживаться в актуальном состоянии при условии принятия мер по обеспечению безопасности персональных данных.
c. В Компании запрещается подключать и использовать сторонние мобильные устройства или носители данных, за исключением разрешенных информационных систем.
II. Общие правила конфигурации
a. Конфигурация операционных систем будет выполняться в соответствии с инструкциями ИТ-отдела.
b. Неиспользуемые службы и приложения должны быть закрыты.
c. Необходимо обеспечить постоянное обновление операционных систем, работающих на сервере, программного обеспечения серверов служб, а также защитного ПО (антивирусов и т. д.). По возможности, обновления исправлений (патчей) и антивирусов должны выполняться программным обеспечением автоматически, однако их внедрение должно происходить только после прохождения механизма утверждения и тестирования в рамках правил управления изменениями. 
d. Стандартные принципы безопасности для доступа к приложениям не должны отключаться, лишние службы не должны открываться.
e. Системные администраторы не должны использовать общие учетные записи пользователей, такие как «Administrator» и «root», за исключением случаев крайней необходимости, и должны использовать свои собственные учетные записи, наделенные необходимыми полномочиями. Общие учетные записи администраторов должны быть переименованы. При необходимости они должны сначала войти в систему под своими учетными записями, а затем переключиться на общие учетные записи администраторов.
f. Привилегированные соединения, если это технически возможно, должны осуществляться по защищенному каналу (например, через зашифрованную сеть, такую как SSH или IPSec VPN).
g. Серверы должны физически располагаться в серверных комнатах с контролем доступа. 
III. Мониторинг
a. Все события, связанные с безопасностью в критически важных системах, должны логироваться и храниться следующим образом:
• Все логи безопасности должны храниться минимум 1 неделю с возможностью онлайн-доступа к ним.
• Ежедневные резервные копии на ленточные носители (tape backup) должны храниться не менее 1 месяца.
• Еженедельные резервные копии логов на ленту должны храниться не менее 1 месяца.
• Ежемесячные полные резервные копии должны храниться не менее 6 месяцев.
• Записи логирования должны храниться за пределами здания (outside the building).
b. Логи безопасности будут оцениваться ответственным лицом, которое примет необходимые меры. События безопасности могут включать в себя, помимо прочего, следующее:
• Атаки с целью сканирования портов.
• Попытки несанкционированного доступа к привилегированным учетным записям.
• Аномальные события на сервере, не связанные с текущим приложением.
IV. Соответствие 
a. Аудит будет проводиться раз в полгода назначенным Ответственным лицом внутри компании силами уполномоченных организаций.
b. Аудит будет контролироваться ИТ-отделом.
c. При проведении аудита будут приложены максимальные усилия для того, чтобы не нарушать непрерывность деятельности организации.
V. Эксплуатация
a. Серверы должны эксплуатироваться в помещениях с регулируемой электрической и сетевой инфраструктурой, а также показателями температуры и влажности.
b. Техническое и программное обслуживание серверов должно проводиться раз в год уполномоченными специалистами.
c. Несанкционированный доступ в серверные комнаты должен быть исключен. Вход и выход из серверных помещений должны строго контролироваться системой управления доступом.

6. АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ

Меры, правила и стандарты, подлежащие соблюдению в отношении аутентификации и авторизации в информационных системах:
a. На основе корпоративных идентификаторов будет определено, к каким системам и с помощью какого метода аутентификации будут иметь доступ все пользователи, обращающиеся к системам Компании.
b. Будут определены соответствующие профили и методы аутентификации для внешних пользователей и пользователей экстранета, которым необходим доступ к системам Компании.
c. Должны быть определены роли и полномочия пользователей во всем прикладном ПО, пакетных программах, базах данных, операционных системах, используемых в Компании, а также во всех системах, доступ к которым осуществляется путем авторизации (log-on).
d. Права использования во всех корпоративных системах (включая права, предоставляемые пользователями друг другу в рамках собственных систем) должны периодически пересматриваться и корректироваться в соответствии с потребностями и принципом предоставления минимально необходимых полномочий.
e. Должна быть обеспечена постоянная актуальность уровней доступа и полномочий.
f. Пользователи несут ответственность за безопасность систем, выделенных для их использования от имени компании.
g. Пользователи должны хранить в секрете предоставленные им пароли доступа и ни с кем ими не делиться.
h. Действия пользователей, вошедших в систему, направленные на превышение полномочий, должны отслеживаться, а нарушения прав доступа — контролироваться.
i. Права доступа должны быть доведены до сведения пользователей в письменном виде, а к пользователям, нарушающим права доступа, должны применяться санкции.
j. Для мониторинга действий пользователей для каждого пользователя должна быть создана индивидуальная учетная запись.
k. В обязательном порядке должна проводиться идентификация лиц, подключающихся к корпоративной сети Wi-Fi извне. Использование паролей Wi-Fi, выделенных для переговорных комнат, также должно быть сопоставлено с личностью участников встречи.

БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Определение персональных данных

Согласно Закону № 6698, персональные данные — это любая информация, относящаяся к определенному или определяемому физическому лицу. Например, имя, фамилия, дата рождения, место рождения, отпечаток пальца, запись голоса, сведения о семье, номер телефона и т. д. Основные правила, соблюдение которых необходимо в отношении конфиденциальности персональных данных, изложены ниже. 

2. Общие правила

Для обеспечения безопасности всей персональной и корпоративной информации необходимо обратить внимание на следующие аспекты:
a. В Компании должно быть четко определено, кто, с какими полномочиями и к каким данным будет иметь доступ. Должна применяться ролевая модель авторизации, и доступ неуполномоченных лиц к конфиденциальным (квалифицированным) данным должен быть невозможен.
b. Персональные данные принадлежат самому лицу. Уполномоченные сотрудники могут иметь доступ только к тем персональным данным, которые связаны с их должностными обязанностями. Доступ иных лиц, не входящих в круг уполномоченных, возможен только с письменного согласия соответствующего ответственного лица, назначенного внутри компании.
c. Без согласия клиента ни один сотрудник не имеет права передавать информацию о клиенте третьим лицам и организациям, включая родственников или знакомых клиента, даже в устной форме.
d. Данные клиентов не могут передаваться третьим лицам в коммерческих целях.
e. По требованию клиента ему должна быть предоставлена копия его данных. За исключением случаев, предусмотренных положениями соответствующего законодательства, никакие записи клиентов не могут быть переданы третьим лицам и организациям как в электронном, так и в бумажном виде.
f. Должны быть приняты необходимые меры для исключения случайного просмотра персональных данных клиентов и сотрудников. (Ни одна запись, содержащая персональные данные, не должна оставляться без присмотра, а экран компьютера не должен оставаться в положении, доступном для чтения посторонними лицами).
g. При разговоре по телефону необходимо исключить возможность ознакомления третьих лиц с персональными данными.
h. Все персональные данные должны храниться в физически защищенных помещениях.
i. Доступ к электронным записям Компании из сети Интернет должен быть невозможен.

3. Право лица на контроль над своими данным

Субъект данных имеет право знать, как обрабатываются его данные, запрашивать информацию, обновлять ее при необходимости и, наконец, требовать ее удаления. Компания обязана удовлетворять данные запросы, поступающие от пользователей или клиентов.

4. Принцип законности данных

Все данные, находящиеся в компании, поступающие в компанию или исходящие из нее, а также любые операции с ними должны осуществляться в соответствии с законом и правами личности. Все сотрудники Компании обязаны уважать конфиденциальность данных клиентов компании.

5. Право на получение информации

Клиенты компании имеют право знать, где и как используются их данные. Меры, облегчающие и обеспечивающие реализацию этого права, принимаются компанией.