Политика информационной безопасности
1. Общие положения
1.1. Настоящая Политика разработана в соответствии с действующим законодательством, нормативными актами и соотносимыми с ними положениями внутренних документов ООО «Навигатор» (далее «Компания»). Она регламентирует порядок организации с целью обеспечения сохранности информации и ее безопасности в компании как в осуществлении текущей деятельности, так и в обозримом будущем.
1.2. Предметом настоящего документа является:
  • порядок доступа к конфиденциальной информации;
  • работа с криптографическими системами;
  • физическая безопасность (доступ в помещения);
  • разграничение прав доступа;
  • работа в глобальной сети Интернет;
  • дублирование, резервирование и раздельное хранение конфиденциальной информации;
  • управление инцидентами информационной безопасности;
  • порядок уничтожения конфиденциальной информации.


2. Порядок доступа к конфиденциальной информации

2.1. В целях обеспечения защиты информации в компании, устанавливается следующий порядок допуска к работе с конфиденциальными источниками:
  • Решение о доступе работника к определенному разделу информации принимается ответственным сотрудником.
  • Технический отдел обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому.
  • Доступ к компьютерной сети организации осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается.
  • Категорически запрещается снимать несанкционированные копии с носителей информации, знакомить с содержанием электронной информации лиц, не допущенных к этому.



3. Физическая безопасность

3.1. Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, основной маршрутизатор, файервол) находятся в отдельном помещении (датацентре), доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства компании.
3.2. Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух).
3.3. Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы охраны.
3.4. Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии работников, имеющих право находится в помещении в связи с выполнением своих должностных обязанностей.
3.5. Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения руководителя компании.




4. Сетевая безопасность

4.1 Доступ во внутреннюю сеть Компании из внешних сетей и сети Интернет должен быть ограничен.
4.2 Для ограничения доступа должны использоваться аппаратные или программные межсетевые экраны.
4.3 Правила доступа на МЭ должны проверяться не реже одного раза в год. Доступ предоставляется по письменному заявлению ответственного сотрудника.
4.4 Беспроводные сети должны использовать протоколы шифрования. Работа с конфиденциальной информацией через беспроводные сети не допускается.



5. Разграничение прав доступа к программному обеспечению и системам хранения данных

5.1. Для входа в компьютерную сеть компании сотрудник должен ввести имя и пароль. Не допускается режимы беспарольного (гостевого) доступа к какой-либо внутренней информации.
5.2. В целях защиты конфиденциальной информации компании организационно и технически разделяются подразделения, имеющие доступ и работающие с различной информацией. Права назначаются в соответствии с производственной необходимостью, определяемой руководителем подразделения.
5.3. Параметры входа в сеть, имя и пароль, пользователем не разглашаются. В случае компрометации пароля пользователь должен незамедлительно обратиться в Технический отдел с заявкой о замене.
5.4. Пароль должен быть не менее восьми символов, содержащих прописные и строчные буквы, цифры и специальные символы. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с внутренней информацией протоколируются. Журнал операций хранится не менее шести месяцев.



6. Работа в глобальной сети Интернет

6.1. К работе с ресурсами сети Интернет допускаются сотрудники, получившие соответствующее разрешение от руководства компании.
6.2. Работа сотрудников компании с электронной почтой сети Интернет допускается на основании отдельного разрешения от руководства.
6.3. При работе с сетью Интернет сотрудникам запрещено:
  • Скачивать и устанавливать на компьютер программное обеспечение.
  • Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям.
  • Осуществлять подписку на рассылку информации непроизводственного характера.
  • Сообщать адрес электронной почты в непроизводственных целях.
  • Пользоваться различными Интернет-мессенджерами.
  • Использовать Интернет для получения материальной выгоды или в непроизводственных целях, в том числе осуществляя торговлю через Интернет.



7. Дублирование, резервирование и хранение конфиденциальной информации


7.1. В целях защиты информации компании от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить:
  • ежедневное обязательное резервное копирование всей значимой информации;
  • дублирование информации с использованием различных физических и аппаратных носителей.
7.2. Ответственность за хранение и резервирование информации в электронном виде возложить на Технический отдел.



8. Управление инцидентами информационной безопасности


8.1 Для обеспечения эффективного разрешения инцидентов информационной безопасности в Компании, минимизации потерь и уменьшения риска возникновения повторных инцидентов должно осуществляться эффективное управление инцидентами информационной безопасности.
8.2 Для управления инцидентами информационной безопасности должна быть создана система учета произошедших инцидентов, которая представляет собой комплекс средств и мероприятий для сбора и консолидации информации об инцидентах.
8.3 В отношении каждого произошедшего инцидента должен выполняться его анализ и разработка эффективных мер реагирования на данный инцидент.



9. Порядок уничтожения конфиденциальной информации

9.1 При выводе из эксплуатации оборудования, задействованного в обработке конфиденциальной информации, вся имеющаяся на носителе информация должна быть уничтожена без возможности восстановления при помощи специализированного ПО.
9.2 Уничтожение конфиденциальной информации на вышедшем из строя носителе осуществляется путем нанесения неустранимого физического повреждения, исключающего возможность дальнейшего использования носителя, а также восстановление данных с него. На уничтоженные носители составляется акт с указанием серийного номера носителя, даты уничтожения и подписью ответственного сотрудника.