Практика / Политика безопасности ТехноПромСервис
.pdfПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ТЕХНОПРОМСЕРВИС»
г. Екатеринбург
2025 г.
|
Оглавление |
|
1. |
ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ......................................................... |
3 |
2. |
ОБЩИЕ ПОЛОЖЕНИЯ.................................................................................................... |
3 |
3. |
ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ................................... |
3 |
4. |
КЛЮЧЕВЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ........................... |
4 |
5. |
ОСНОВНЫЕ ИНФОРМАЦИОННЫЕ АКТИВЫ .......................................................... |
6 |
6. |
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............. |
6 |
7. |
ОСНОВНЫЕ НАПРАВЛЕНИЯ ИБ И ТРЕБОВАНИЯ .................................................. |
6 |
8. |
ОТВЕТСТВЕННОСТЬ ...................................................................................................... |
8 |
9. |
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ............................................................................ |
9 |
1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
В настоящей Политике используются термины и определения в соответствии
с законодательством РФ, а также следующие:
ИБ – Информационная безопасность.
ИТ – Информационные технологии.
ИС – Информационная система.
ИА (Информационный актив) – Информация, программное обеспечение, технические средства и системы, имеющие ценность для Компании и ее клиентов.
Клиент – Организация-заказчик услуг ООО «ТехноПромСервис».
Инцидент ИБ – Событие, которое привело или могло привести к нарушению конфиденциальности, целостности или доступности информационных активов Компании или клиентов.
Служба поддержки (Help Desk) – Структурное подразделение, обеспечивающее круглосуточный мониторинг и техническую поддержку.
SLA – Соглашение об уровне услуг с клиентом.
Аутентификация – Процесс проверки подлинности пользователя (логин/пароль, TOTP, ключ доступа).
Авторизация – Предоставление пользователю прав на выполнение определенных действий в ИС.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящая Политика является основным документом, определяющим цели, принципы и подходы к обеспечению информационной безопасности в
ООО «ТехноПромСервис» (далее – Компания).
2.2. Политика обязательна для исполнения всеми сотрудниками Компании, а также контрагентами и иными третьими лицами, имеющими доступ к информационным активам Компании и ее клиентов.
2.3. Особенностью Компании является работа с ИТ-инфраструктурой и данными клиентов, что накладывает повышенные обязательства по обеспечению их конфиденциальности, целостности и доступности в соответствии с условиями договоров и SLA.
3. ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1. Цель: Защита информационных активов Компании и ее клиентов от внутренних и внешних угроз для обеспечения непрерывности бизнеспроцессов и соблюдения требований законодательства РФ, договорных обязательств и репутационных рисков.
3.2. Задачи:
Обеспечение конфиденциальности коммерческой информации Компании и персональных/конфиденциальных данных клиентов.
Поддержание целостности и доступности внутренних ИС (Jira, GitLab, Zabbix) и инфраструктуры клиентов.
Предотвращение инцидентов ИБ, связанных с человеческим фактором, через регулярное обучение сотрудников.
Минимизация ущерба от возможных инцидентов за счет наличия планов восстановления и резервного копирования.
Обеспечение безопасного удаленного доступа сотрудников и управления клиентскими системами.
Регулярная оценка и управление рисками ИБ.
4. КЛЮЧЕВЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. Внешние угрозы:
Целенаправленные кибератаки на инфраструктуру компании с целью получения доступа к системам клиентов.
Массовые автоматизированные атаки: фишинг, вирусы-шифровальщики (ransomware), брутфорс-атаки на VPN и RDP.
DDoS-атаки на сервисы компании или клиентов, ведущие к нарушению SLA.
Компрометация учетных записей сотрудников в публичных облачных сервисах.
4.2.Внутренние угрозы (умышленные):
Кража или умышленная утечка конфиденциальных данных клиентов.
Саботаж или преднамеренное повреждение IT-инфраструктуры.
Использование служебного доступа к системам клиентов в личных целях.
Установка неавторизованного программного обеспечения. 4.3. Внутренние угрозы (ошибки и халатность):
Передача учетных данных или конфиденциальной информации в результате социальной инженерии.
Ошибочная настройка сервисов с публичным доступом из интернета.
Потеря корпоративных устройств или носителей с незашифрованными данными клиентов.
Использование слабых или повторяющихся паролей, отказ от двухфакторной аутентификации.
4.4.Недопустимые события:
4.4.1. Массовая компрометация данных ключевых клиентов с последующим публичным разглашением (дамп в открытый доступ, публикация в СМИ):
Полная потеря доверия рынка. Компания перестаёт восприниматься как безопасный провайдер;
Коллективные судебные иски, сумма которых может превышать страховое покрытие и собственный капитал;
Принудительная смена бизнес-модели или банкротство.
4.4.2.Координированная кибератака через инфраструктуру Компании, приводящая к одновременному критическому сбою у нескольких крупнейших клиентов (например, в финансовом или госсекторе):
Потеря репутации компании в национальной или отраслевой инфраструктуре;
Включение в чёрные списки регуляторов и отраслевых ассоциаций;
Отзыв лицензий или запрет на работу с определёнными секторами экономики;
Уголовное преследование руководства по статьям о халатности;
Доказанный ущерб от инсайдера делает невозможным получение киберстрахования или ведёт к его аннулированию;
Потеря контроля над корпоративными секретами и данными клиентов, которые могут быть использованы для шантажа;
Глубокая проверка всех сотрудников и процессов со стороны ФСБ и ФСТЭК России с высоким риском приостановки деятельности;
Необходимость полной смены команд ключевых подразделений и затратная перестройка всех систем безопасности.
4.4.3.Полное и необратимое разрушение собственной производственной ИТинфраструктуры (серверы, системы управления, резервные копии) в результате саботажа, пожара или атаки шифровальщика.
Остановка всех бизнес-процессов на срок от 2 недель и более;
Невозможность исполнения любых договоров с клиентами, тотальное нарушение всех SLA;
Срыв контрактов по критической автоматизации с последующими исками о возмещении упущенной выгоды клиентов;
Физическая потеря уникальных инструментов, скриптов и ноу-хау, составляющих основное конкурентное преимущество.
4.4.4.Внедрение на этапе разработки или обновления бэкдора/закладки в ПО, поставляемое клиентам, с последующим его использованием для масштабных атак.
Компания становится соучастником киберпреступления в глазах правоохранительных органов;
Полный запрет на деятельность по решению суда;
Публичный скандал с разрушением бренда и личными репутационными потерями для владельцев и топ-менеджмента;
Конфискация активов в рамках уголовного дела;
5. ОСНОВНЫЕ ИНФОРМАЦИОННЫЕ АКТИВЫ
5.1. К ключевым информационным активам Компании относятся:
Информация: Коммерческая тайна, персональные данные сотрудников, финансовая отчетность, договоры с клиентами и поставщиками, документация по проектам, базы знаний, учетные данные доступа к клиентским системам.
Программное обеспечение и ИС: Система управления проектами (Jira), GitLab, Jenkins, Zabbix, Active Directory, прокси-сервер, VPN (WireGuard),
средства удаленного доступа (RDP, SSH, TeamViewer), CRM-система, 1С:Бухгалтерия.
Техническая инфраструктура: Серверы (Windows Server 2019, Ubuntu 20.04), рабочие станции сотрудников, сетевое оборудование (маршрутизаторы, коммутаторы, точки доступа Wi-Fi), система видеонаблюдения, СКУД серверной.
Физические активы: Серверная комната (бизнес-центр «Стандарт», ул. Ленина 45), рабочие места сотрудников, носители информации.
6. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.1.Комплексность: Применение согласованных организационных, технических и правовых мер защиты.
6.2.Непрерывность: Процесс защиты информации охватывает все этапы жизненного цикла ИА.
6.3.Своевременность: Внедрение мер ИБ на этапе проектирования и внедрения новых систем и процессов.
6.4.Минимизация привилегий: Предоставление сотрудникам минимально необходимых для работы прав доступа.
6.5.Разделение обязанностей: Исключение конфликта интересов и концентрации критичных полномочий у одного лица (напр., разработка и развертывание кода).
6.6.Персонификация и подотчетность: Все действия в ИС выполняются от имени уникальной учетной записи, закрепленной за сотрудником.
6.7.Эшелонированность защиты: Использование нескольких рубежей защиты (периметр, сеть, узел, приложение).
6.8.Осведомленность: Регулярное обучение сотрудников основам ИБ.
7. ОСНОВНЫЕ НАПРАВЛЕНИЯ ИБ И ТРЕБОВАНИЯ
7.1. Управление доступом:
Использование уникальных учетных записей в Active Directory для сотрудников.
Обязательная двухфакторная аутентификация (TOTP) для доступа к Jira, GitLab, Zabbix, критичным серверам.
Парольная политика: мин. длина 10 символов, сложность, смена каждые 90 дней.
Разделение сетей: корпоративная LAN и изолированная гостевая Wi-Fi сеть.
Авторизация на корпоративном прокси-сервере для выхода в Интернет.
Доступ в серверную комнату — по электронному ключу и пин-коду, предоставляется только управляющему, системному администратору и специалисту по ИБ.
7.2. Защита инфраструктуры и рабочих станций:
Антивирусная защита ESET NOD32 Enterprise на всех рабочих станциях с централизованным управлением и регулярным обновлением баз.
Обязательное шифрование дисков на ноутбуках и компьютерах, обрабатывающих конфиденциальные данные.
Регулярное обновление ОС и ПО за счет системы централизованного управления обновлениями.
Блокировка рабочих станций при отсутствии активности.
Запрет на установку неподписанного и нелицензионного ПО.
7.3. Безопасность сетей и удаленного доступа:
Использование защищенных протоколов (HTTPS, SFTP, SSH) для управления.
Организация VPN-доступа (WireGuard) для удаленных сотрудников и безопасного подключения к клиентским сетям.
Использование корпоративной лицензии TeamViewer с настройкой доверенных устройств и ведением журнала сессий.
Логирование и мониторинг всех сессий удаленного доступа к системам клиентов.
7.4. Защита данных клиентов:
Хранение учетных данных клиентов в зашифрованном виде (менеджер паролей).
Передача конфиденциальной информации клиентам только через защищенные каналы (шифрование, VPN).
Строгое соблюдение условий SLA и NDA (соглашений о неразглашении) в отношении данных клиентов.
Очистка (wipe) всех носителей информации, возвращаемых клиентом или выводимых из эксплуатации.
7.5. Разработка и внедрение:
Следование принципам безопасной разработки (Secure SDLC).
Проверка кода на уязвимости перед интеграцией в основную ветку GitLab.
Использование отдельных сред (development, testing, production) для развертывания.
Все изменения в конфигурации производственных систем клиентов согласовываются и документируются.
7.6. Физическая безопасность:
Контроль доступа в офис с использованием электронных пропусков.
Видеонаблюдение (архив 30 дней) на территории офиса.
Содержание серверной в соответствии с требованиями: контроль доступа, климат-контроль, противопожарная система.
Ежеквартальная проверка офиса на наличие неавторизованных технических средств съема информации.
7.7. Реагирование на инциденты и непрерывность бизнеса:
Обязательность регистрации всех инцидентов, связанных с ИБ, в службе Help
Desk.
Расследование инцидентов специалистом по ИБ с фиксацией причин и принятием корректирующих мер.
Регулярное (ежедневное/еженедельное) резервное копирование критичных данных внутренних ИС.
Наличие и ежегодная актуализация Плана восстановления после сбоев (DRP).
Проведение учебных тренировок по реагированию на инциденты.
7.8. Работа с персоналом:
Вводный инструктаж по ИБ для всех новых сотрудников.
Ежегодное обязательное обучение сотрудников актуальным угрозам (фишинг, социальная инженерия).
Подписание соглашения о конфиденциальности при приеме на работу.
Оперативное аннулирование прав доступа увольняющихся сотрудников.
8.ОТВЕТСТВЕННОСТЬ
Генеральный директор (Управляющий): Утверждение Политики, выделение ресурсов на ИБ, общая ответственность.
Специалист по информационной безопасности: Разработка политик, расследование инцидентов, аудит защищенности, обучение сотрудников, мониторинг угроз.
Руководитель отдела технической поддержки: Обеспечение безопасности процессов удаленного администрирования, соблюдение SLA, реагирование на инциденты клиентов.
Системный администратор: Обеспечение безопасности сетевой инфраструктуры, серверов, систем аутентификации, резервного копирования.
Руководитель отдела внедрения и разработки: Внедрение безопасных практик разработки, контроль целостности кода.
Все сотрудники Компании: Соблюдение требований Политики, оперативное сообщение о любых подозрительных событиях или потенциальных инцидентах ИБ.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика подлежит пересмотру не реже одного раза в год, а также при существенных изменениях в бизнес-процессах, инфраструктуре или законодательстве.
9.2. Контроль за соблюдением требований Политики возлагается на специалиста по информационной безопасности.
9.3. Нарушение требований Политики влечет за собой дисциплинарную ответственность в соответствии с трудовым законодательством РФ, вплоть до увольнения.
9.4. Политика доводится до сведения всех сотрудников под подпись.
Генеральный директор ООО «ТехноПромСервис»
_________________ /И.О. Фамилия/ «___» ___________ 2025 г.