1.1. Политика информационной безопасности ООО «ШЭРИКС» среднего и нижнего уровня (далее — Политика ИБ) разработана в соответствии с требованиями законодательства Российской Федерации в области информационной безопасности, с учетом применимых международных стандартов, передового опыта и лучших практик.

1.2. Настоящая Политика устанавливает принципы построения системы управления информационной безопасностью ООО «ШЭРИКС» на основе систематизированного изложения целей, процессов и процедур информационной безопасности ООО «ШЭРИКС».

1.3. Настоящая Политика распространяется на все структурные подразделения ООО «ШЭРИКС» и обязательна для применения всеми сотрудниками и руководством ООО «ШЭРИКС» (далее – организация), а также пользователями его информационных ресурсов (сотрудники компании, клиенты, практиканты, контрагенты, а также пользователи, зашедшие на сайт организации).

1.4. Требования настоящей Политики могут развиваться другими внутренними нормативными документами ООО «ШЭРИКС», которые дополняют и уточняют ее. В случае противоречия локального акта данной политики применяются положения настоящего Документа.

1.5. В случае изменения действующего законодательства и иных нормативных актов настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам. В этом случае служба внутренней безопасности инициирует внесение соответствующих изменений.

1.6. Настоящая Политика является локальным нормативным документом постоянного действия.

1.7. Настоящая Политика утверждается, изменяется и признается утратившей силу в ООО «ШЭРИКС» решением Генерального директора ООО «ШЭРИКС» и вводится в действие в ООО «ШЭРИКС» приказом Генерального директора ООО «ШЭРИКС».

АРМ — автоматизированное рабочее место.

Информационная безопасность (ИБ) — состояние защищенности личности, сотрудников, ООО “ШЭРИКС” в целом, а также контрагентов Организации от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан.

Информационная система — совокупность программно-аппаратных комплексов ООО «ШЭРИКС», применяемых для обеспечения бизнес-процессов в ООО «ШЭРИКС».

Угроза информационной безопасности — событие или комбинация событий, указывающая на свершившееся, предпринимаемое или вероятное нарушение целостности информационной безопасности, результатом которой являются:

• нарушение или возможное нарушение работы средств защиты информации в составе системы обеспечения информационной безопасности ООО «ШЭРИКС»;
• нарушение или возможное нарушение требований законодательства РФ, внутренних документов ООО «ШЭРИКС» в области обеспечения информационной безопасности;
• нарушение или возможное нарушение в выполнении процессов системы обеспечения информационной безопасности ООО «ШЭРИКС»;
• нарушение или возможное нарушение в выполнении банковских технологических процессов ООО «ШЭРИКС».

Конфиденциальная информация — информация, в отношении которой компанией установлен режим конфиденциальности.

Легальный пользователь – объект, который, являясь зарегистрированным, может использовать ресурсы системы.

Модель угроз — описание актуальных для ООО «ШЭРИКС» источников угроз информационной безопасности; методов реализации угроз информационной безопасности; объектов, пригодных для реализации угроз информационной безопасности; уязвимостей, используемых источниками угроз информационной безопасности; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.

Модель нарушителя — примерное описание и классификация нарушителей информационной безопасности, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз информационной безопасности со стороны указанных нарушителей.

Морально-этические меры защиты информации — традиционно сложившиеся и широко применяемые в общественных отношениях нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение повлечет падению авторитета, престижа человека, группы лиц или ООО «ШЭРИКС». Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т. п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Несанкционированный доступ — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Объект — пассивный компонент системы, единица ресурса информационной системы, доступ к которому регламентируется правилами разграничения доступа.

Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Организационные меры защиты — это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации.

Пользователь — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации.

Служба внутренней безопасности — лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты.

Субъект — активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Субъекты информационных отношений — государство, государственные органы, государственные, коммерческие и некоммерческие объединения и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации.

Угроза информационной безопасности — угроза нарушения свойств информационной безопасности: доступности, целостности или конфиденциальности информационных активов ООО «ШЭРИКС».

Цель защиты информации — предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты информационной системы, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.

Настоящая Политика выражает позицию Компании в области информационной безопасности. Принятием настоящей Политики Компания провозглашает и обязуется осуществлять все возможные меры для защиты работников, имущества, информации, деловой репутации и бизнес-процессов Компании от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.

Руководство Компании осознает важность и необходимость продвижения и совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства РФ и регулирования норм информационной безопасности, а также развития используемых информационных технологий при автоматизации и цифровизации бизнес-процессов и технологических процессов на производствах.

Настоящая Политика разработана с целью установления принципов, определяющих общие организационные и управленческие подходы, необходимые для обеспечения и управления информационной безопасностью Компании и защиты интересов Компании от рисков и угроз информационной безопасности.

Руководство Компании придерживается взглядов, что соблюдение принципов, правил и требований информационной безопасности является, в том числе, элементом корпоративной культуры. Следование требованиям информационной безопасности является важным условием при осуществлении повседневной деятельности, включая совместную работу с Деловыми партнерами. Каждый работник Компании и её Деловых партнеров несёт ответственность за безопасную работу с вверенными ему корпоративными ИТ-активами, компьютерным оборудованием, мобильными техническими средствами, носителями информации, предоставленной и обрабатываемой информацией Компании.

Руководители и специалисты по информационной безопасности Компании должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на состояние защищенности информации, ИТ-активов, бизнес и технологических процессов Компании.

Работники Компании должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.

Основными объектами защиты системы информационной безопасности в ООО «ШЭРИКС» являются:

• информационные ресурсы ограниченного распространения, в том числе содержащие конфиденциальные сведения;
• программные информационные ресурсы, а именно: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;
• носители информации всех видов (электронные, бумажные);
• все расходные материалы, которые прямо или косвенно взаимодействуют с компьютерным аппаратным и программным обеспечением;
• сотрудники ООО «ШЭРИКС», являющиеся разработчиками и пользователями информационных систем ООО «ШЭРИКС»;
• информационная инфраструктура, включающая системы хранения, обработки и анализа информации, программные и программно-аппаратные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Указанные выше основные объекты защиты являются наиболее ценными ресурсами компании, по отношению к которым должны применяться самые эффективные правила и методы защиты.

Доступность, целостность и конфиденциальность в обязательном порядке должны учитываться при разработке организационно-распорядительной документации по обеспечению информационной безопасности для системы в целом и для каждого ее ресурса в отдельности.

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений ООО «ШЭРИКС» от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня операционного и других рисков (риск нанесения урона деловой репутации ООО «ШЭРИКС», правовой риск и т.д.).

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации:

• доступности информации для легальных пользователей (устойчивого функционирования информационной системы ООО «ШЭРИКС», при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);
• целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационной системе ООО «ШЭРИКС» и передаваемой по каналам связи;
• конфиденциальности — сохранения в тайне части информации, определяемой политикой, хранимой, обрабатываемой и передаваемой по каналам связи.
• Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности ООО «ШЭРИКС» должна обеспечивать эффективное решение следующих задач:
• своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы ООО «ШЭРИКС»;
• участие в расследованиях угроз информационной безопасности;
• создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
• защита от вмешательства в процесс функционирования информационной системы ООО «ШЭРИКС» посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
• дифференцированное предоставление доступа пользователей к информационным, аппаратным, программным и иным ресурсам ООО «ШЭРИКС» (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
• обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• защита от несанкционированной модификации используемых в корпоративной информационной системе ООО «ШЭРИКС» программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защита информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Модель нарушителя содержит типы, виды и потенциал нарушителей, на примере которых, можно прогнозировать способы реализации угроз информационной безопасности.

Модель угроз содержит систематизированный перечень категорий защищаемой информации, источников актуальных угроз информационной безопасности (далее – ИБ), уровней реализации угроз и объектов среды информационного актива, а также свойств ИБ, на которые направлена угроза. По отношению к ООО «ШЭРИКС» нарушители могут быть разделены на внешних и внутренних нарушителей.

6.1. Внутренние нарушители

В качестве потенциальных внутренних нарушителей Компанией рассматриваются:

• зарегистрированные пользователи информационных систем ООО «ШЭРИКС»;
• сотрудники ООО «ШЭРИКС», не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационных систем ООО «ШЭРИКС», но имеющие доступ в здания и помещения;
• персонал, обслуживающий технические средства корпоративной информационной системы ООО «ШЭРИКС»;
• сотрудники самостоятельных структурных подразделений ООО «ШЭРИКС», задействованные в разработке и сопровождении программного обеспечения;
• сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность ООО «ШЭРИКС»;
• руководители различных уровней;
• практиканты;
• представители организаций, взаимодействующих по вопросам технического обеспечения ООО «ШЭРИКС»;
• клиенты ООО «ШЭРИКС» (относительно организации).

6.2. Внешние нарушители

В качестве потенциальных внешних нарушителей Компанией рассматриваются:

• бывшие сотрудники ООО «ШЭРИКС»;
• посетители зданий и помещений ООО «ШЭРИКС»;
• конкуренты ООО «ШЭРИКС»;
• недобросовестные партнеры;
• члены преступных организаций;
• лица, незаконно проникшие в корпоративную информационную систему ООО «ШЭРИКС» из внешних телекоммуникационных сетей (хакеры).

6.3. В отношении внутренних и внешних нарушителей принимаются предположения о характере их возможных действий:

• нарушитель скрывает свои несанкционированные действия от сотрудников ООО «ШЭРИКС», от клиентов и любых других посторонних лиц;
• несанкционированные действия нарушителя могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
• в своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, финансовые средства для подкупа персонала, шантаж, методы социальной инженерии и другие средства и методы для достижения стоящих перед ним целей;
• внешний нарушитель может действовать в сговоре с внутренним нарушителем.

В целях обеспечения защиты информации в ООО «ШЭРИКС», устанавливается следующий порядок допуска к работе с конфиденциальными источниками:

• решение о доступе работника к определенному разделу конфиденциальной информации принимается Генеральным директором ООО «ШЭРИКС», далее работник вносится в Утвержденный список лиц с доступом к информации, имеющей стратегическое значение;
• сотрудники IT-отдела, у которых подписано соглашение о неразглашении конфиденциальной информации, содержится в должностных обязанностях, или которым поставлена такая задача, обеспечивают защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому;
• сотрудники IT-отдела обязаны предоставлять и убирать права доступа в соответствии с разработанной документацией по доступу в соответствии с действующими регламентами;
• не допускается предоставление сотрудниками иным лицам баз, банков данных, архивов, списков клиентов и работников ООО «ШЭРИКС», содержащих конфиденциальную информацию, за исключением случаев, предусмотренных федеральным законом.

При обработке конфиденциальной информации сотрудники обязаны:

• размещать экран монитора таким образом, чтобы исключить просмотр обрабатываемой информации посторонними лицами;
• блокировать ПК при покидании рабочего места;
• не отправлять на печать конфиденциальные документы, если отсутствует возможность контроля вывода на печать и изъятия отпечатанных документов из принтера сразу по окончании печати;
• не печатать конфиденциальные документы в сторонних организациях;
• использовать корпоративную электронную почту и обязательно проверять адреса получателей электронной почты на предмет правильности их выбора;
• не запускать исполняемые файлы на съемных накопителях и жестком диске, полученные не из доверенного источника;
• не передавать конфиденциальную информацию по открытым каналам связи, кроме сетей корпоративной информационной системы;
• не оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители информации (CD/DVD-диски, Flash-устройства и пр.), а также распечатки из принтера или бумажные копии документов, содержащие конфиденциальную информацию.

Гриф ограничения доступа к документу:

• гриф ограничения доступа к документу проставляется в правом верхнем углу первого листа документа (проекта документа, сопроводительного письма к документу) на границе верхнего поля при наличии в документе информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;
• в состав грифа ограничения доступа к документу входит ограничительная надпись («Для служебного пользования», «Конфиденциально», «Коммерческая тайна» или др.), которая может дополняться номером экземпляра документа, подписью и другими сведениями в соответствии с законодательством Российской Федерации;
• виды используемых в организации грифов ограничения доступа должны соответствовать законодательным и иным нормативным правовым актам Российской Федерации и быть закреплены в локальных нормативных актах организации.

При работе с бумажными документами, содержащими сведения ограниченного доступа, требуется соблюдать следующие правила:

• перед тем, как выбросить документы, измельчать их с помощью шредера;
• убирать документы в места с ограниченным доступом;
• не забывать документы в переговорных или в принтере после отправки на печать;
• не выбрасывать цельные документы в мусорную корзину.

8.1. Контролируемая зона

В случае, если помещение остается без нахождения в нем сотрудников, оно должно быть закрыто на замок. Работники Организации и иные лица не должны пытаться проникнуть в помещения, доступ к которым ограничен, не имея на это соответствующих прав, согласованных с Генеральным директором или иным ответственным лицом, назначенным с согласия Генерального директора для решения данного вопроса. Запрещается прием посетителей в тех помещениях, где осуществляется обработка информации ограниченного доступа.

8.2. Области общего доступа

Места доступа, через которые неавторизованные лица могут попасть в помещения ООО «ШЭРИКС», должны контролироваться и быть изолированы от средств обработки информации с целью предотвращения несанкционированного доступа.

8.3. Вспомогательные службы

Все вспомогательные службы, такие как электропитание, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха должны обеспечивать гарантированную и устойчивую работоспособность компонентов информационной системы ООО «ШЭРИКС».

8.4. Утилизация и повторное использование оборудования

Со всех носителей информации, которыми укомплектовано утилизируемое оборудование, должны гарантированно удаляться все конфиденциальные данные и лицензионное ПО. Отсутствие защищаемой информации на носителях должно быть проверено службой внутренней безопасности и иным лицом наделенного такими правами, утвержденными внутри организации ООО «ШЭРИКС», о чём должна быть сделана отметка в Акте списания оборудования.

8.5. Перемещение имущества

Оборудование, информация или ПО должны перемещаться за пределы ООО «ШЭРИКС» только при наличии письменного разрешения директора или иного лица, наделенного такими правами, утвержденными внутри организации. Сотрудники, имеющие право перемещать оборудование и носители информации за пределы ООО «ШЭРИКС» должны быть чётко определены. Время перемещения оборудования за пределы ООО «ШЭРИКС» и время его возврата должны регистрироваться в Журнале учета приема/выдачи оборудования и съемных носителей.

9.1. Размещение экранов АРМ, обрабатывающих информацию ограниченного доступа, должно исключать возможность их просмотра лицами, не допущенными к данной информации.

9.2. При использовании систем видеонаблюдения, такие системы должны быть установлены в местах, исключающих просмотр содержимого экранов АРМ, обрабатывающих информацию ограниченного доступа, а также исключающих просмотр вводимых паролей, кодов и т. п.

9.3. Системные блоки АРМ, периферийное оборудование должно быть опечатано или оборудовано иным способом ограничения для установления факта их вскрытия.

9.4. Работникам Организации запрещено подключать или устанавливать собственные компьютеры, периферийные устройства, в том числе съемные носители информации, комплектующие к АРМ и корпоративной сети Организации без согласования с Генеральным директором или иным лицом, наделенного такими правами, утвержденными внутри организации.

9.5. Работник Организации обязан блокировать ПК при покидании рабочего места вне зависимости от продолжительности.

9.6. Перед передачей (в том числе для ремонта) сторонним организациям, списанием или прекращением использования оборудования, участвующего в обработке информации ограниченного доступа, должно быть проведено гарантированное уничтожение информации, с целью исключения попадания такой информации третьим лицам.

9.7. Все съёмные носители персональных данных учитываются и выдаются работнику под подпись.

9.8. Работникам, получившим съёмные носители персональных данных под подпись, запрещается передавать их третьим лицам.

9.9. Ответственный за обеспечение безопасности персональных данных, либо уполномоченный им работник, которые указаны в Приказе о назначении ответственных лиц по обеспечению безопасности обработки персональных данных, изымает съёмные носители персональных данных при увольнении работника.

9.10. Право на перемещение съёмных носителей информации за пределы территории, на которой осуществляется обработка, имеют только те лица, которым это необходимо для выполнения своих должностных обязанностей.

9.11. Работники, в случаях утраты или кражи съёмных носителей персональных данных, незамедлительно, при факте обнаружения, сообщают об этом ответственному за обеспечение безопасности персональных данных.

9.12. На каждом съемном носителе информации или персональных данных размещается этикетка с уникальным учётным номером.

9.13. Ответственный за обеспечение безопасности персональных данных, либо уполномоченный им работник, при выдаче, приеме, уничтожении съёмных носителей персональных данных вносит в Журнал учета съемных носителей персональных данных:

• учетный номер, размещенный на этикетке на съемном носителе персональных данных;
• тип съемного носителя (USB-накопитель, внешний жесткий диск);
• серийный или инвентарный номер съемного носителя;
• место хранения (номер запираемого шкафа или сейфа, номер помещения);
• дату и номер Акта уничтожения персональных данных в случае уничтожения съемного носителя;
• подпись.

9.14. Работники при получении либо сдаче съёмных носителей персональных данных заносят в Журнал учета съемных носителей персональных данных свои фамилию, имя, отчество, ставят дату и подпись.

10.1. Организация несет ответственность за информацию, которая размещается организацией в сеть Интернет.

10.2. При работе с сетью Интернет сотрудникам запрещено:

• скачивать и устанавливать на компьютер нелицензионное программное обеспечение, а также лицензионное программное обеспечение (далее – ПО), которое не содержится в репозиториях производителя операционной системы (далее – ОС) и не согласовано или не рекомендовано компанией;
• посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям;
• осуществлять подписку на рассылку информации непроизводственного характера;
• размещать в сети Интернет информацию, которая может навредить интересам компании;
• любое тестирование и/или попытки обхода установленных механизмов защиты информационных ресурсов Организации рядовым сотрудником, если это не является частью реализации рабочего процесса;
• участвовать в обмене пиратским ПО, серийными номерами ПО и ином обмене, нарушающем и/или ущемляющем права правообладателей обмениваемой информацией;
• использовать сторонние публичные сети Wi-Fi со всех устройств, с которых может производиться подключение к корпоративным ресурсам;
• использовать подключение к сетям сторонних организаций для передачи информации, которая связана с рабочим процессом.

Рекомендуется на всех платформах в сети Интернет, где у сотрудника есть аккаунты и где позволяет соответствующий сервис, включить двухфакторную аутентификацию. Эта мера может помочь, если пароль для входа в аккаунт стал известен третьим лицам.

11.1. Электронная почта должна быть использована работниками Организации только для выполнения должностных обязанностей, выполнения договорных обязательств Организации и выполнения требований нормативно-правовых актов РФ (далее – НПА РФ).

11.2. Запрещено использовать корпоративную электронную почту для отправления писем следующего содержания:

• писем, содержащих конфиденциальную информацию, в том числе персональные данные, обрабатываемые и охраняемые в Организации;
• писем, содержание которых может считаться незаконным или оскорбительным, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, или иные подобные сообщения;
• любых подрывных, оскорбительных, неэтичных, незаконных или недопустимых материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возрасте, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений или о национальном происхождении, гиперссылок или других ссылок на неприличные или очевидно оскорбительные веб-сайты и подобные материалы, шутки, массовые рассылки, предупреждений о вирусах и розыгрышей, обращений о помощи или вредоносного кода;
• писем, написанных таким образом, который может быть интерпретирован как официальная позиция или высказывание Организации, если это не разрешено руководителем Организации в соответствии с нормативно-методическими документами Организации;
• писем, содержащих массовую рассылку электронной корреспонденции.

11.3. Работники Организации, получившие электронную почту от другого пользователя Организации, с сообщениями, содержащими запрещенное содержание обязаны уведомить о таком факте службу внутренней безопасности.

11.4. Отправка электронной почты, содержащей информацию ограниченного доступа, должна осуществляться в соответствии с требованиями, предъявляемыми к такой информации.

11.5. Пользователям запрещено открывать вложения в электронные сообщения, в случае если отправитель данного сообщения не известен пользователю. Открывать вложения от неизвестных отправителей допускается только администраторам.

11.6. Пользователям запрещено отвечать на запросы любой персональной идентификационной информации, включая пароли, коды доступа, номера кредитных карт и т. п. В случае получения сообщений с такими запросами пользователь обязан сообщить о них службе внутренней безопасности.

11.7. Конфиденциальная информация должна передаваться в корпоративных мессенджерах Slack, Jabber методом ссылок на файл на NextCloud, а сопроводительная информация и обсуждения могут вестись в каналах «-nda» без возможности восстановить из обсуждения саму информацию.

11.8. При работе в иных мессенджерах, которые используют для обмена информацией сторонние сервера, а приложения для обмена – закрытый исходный код, категорически запрещается обмен информацией, содержащей конфиденциальную информацию.

12.1. Электронные цифровые подписи (далее – ЭЦП) обеспечивают защиту аутентификации и целостности электронных документов.

12.2. Необходимо с особой тщательностью обеспечивать конфиденциальность личного ключа, который следует хранить в секрете, так как любой, имеющий к нему доступ, может подписывать документы (платежи, контракты), тем самым фальсифицируя подпись владельца ключа. Защита целостности открытого ключа должна обеспечиваться при использовании сертификата открытого ключа.

12.3. При использовании ЭЦП, необходимо учитывать требования действующего законодательства Российской Федерации, определяющего условия, при которых цифровая подпись имеет юридическую силу.

12.4. Простая электронная подпись (далее – Простая ЭП) – это пароли, коды и прочие простые средства идентификации. Пользователь обязан соблюдать конфиденциальность ключей (например, пароля в паре логин-пароль или СМС-кода).

12.5. Простая ЭП применяется при банковских операциях, для получения электронных госуслуг на официальном сайте Мэра Москвы, для аутентификации в информационных системах, например, на сайте Пенсионного фонда России.

12.6. Простая ЭП не должна храниться на листе бумаги, прикрепленном к монитору или клавиатуре, в текстовом документе на рабочем столе, флешке или в памяти телефона. Необходимо пользоваться менеджером паролей, либо записывать простую ЭП в записную книжку, которая будет храниться не на виду у других.

12.7. Неквалифицированная ЭП применяется для документов, которые не требуют заверения печатью. Такую подпись используют во внутренних системах электронного документооборота (далее – ЭДО).

12.8. Закрытый ключ неквалифицированной ЭП необходимо хранить на специальном ключевом носителе с ПИН-кодом или на компьютере в виде файла в зашифрованном формате. С помощью него владелец генерирует электронные подписи, которыми подписывает документы.

12.9. Открытый ключ ЭП доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом ЭП и позволяет всем получателям подписанного документа проверить подлинность ЭП.

12.10. Для использования квалифицированной ЭП при обращении за получением услуг заявителю необходимо получить квалифицированный сертификат ключа проверки электронной подписи в удостоверяющем центре, аккредитованном в порядке, установленном Федеральным законом «Об электронной подписи».

12.11. Хранить ключи квалифицированной ЭП нужно на токенах с USB-разъемом или смарт-картах. Информация должна быть защищена, а цифровые носители защищены паролями и сертифицированы в соответствии с требованиями Федеральной службы по техническому и экспортному контролю России и ФСБ России.

12.12. При использовании ЭЦП рекомендуется:

• не передавать удаленный и физический доступ к компьютеру (устройству), где установлен ключ, в случае, если ЭЦП содержится на токене — извлекать его после использования;
• при потере, краже, копировании, подозрении на несанкционированный доступ к ключевому носителю необходимо незамедлительно обратиться с заявлением на отзыв сертификата в удостоверяющий центр, который его выдал;
• регулярно проверять информацию о выпуске на собственное имя сертификатов электронных подписей.

13.1. Доступ к сетям ООО «ШЭРИКС» осуществляется только с персональным паролем, со ссылкой на Регламент о правилах пользования внутренней информационной сетью, использования интернет-ресурсов. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается.

13.2. Параметры входа в сеть, имя и пароль, пользователем не разглашаются. В случае факта компрометации пароля пользователь должен незамедлительно обратиться в службу внутренней безопасности с заявкой о замене.

13.3. Пароли системных учетных записей (администратора домена, локального администратора, root и т. д.) должны изменяться ежеквартально.

13.4. Инструкция по созданию пароля. ООО «ШЭРИКС» использует пароли для различных целей. Среди них: доступ к учетной записи пользователя, к веб-интерфейсам, к электронной почте, для защиты хранителя экрана, пароли голосовой почты и доступ к маршрутизаторам. Поскольку очень мало систем поддерживают токены с одноразовыми паролями (динамические пароли, которые используются только один раз), следует знать, как выбрать стойкий пароль.

Плохие, слабые пароли обладают следующими признаками:

• содержат менее восьми символов;
• являются словом, которое содержится в словарях (русских или иностранных);
• являются часто употребляемым словом;
• содержат фамилию, кличку животного, имена друзей, сотрудников, вымышленных персонажей и т. д.;
• содержат компьютерные термины и названия, команды, названия сайтов, компаний, оборудования, программного обеспечения;
• содержат название компании и географические наименования, например «Москва», «Саратов» или их производные;
• содержат даты рождения и иную личную информацию, например адреса и номера телефонов;
• слово или число по шаблону типа qwerty, zyxwvuts, 12345 и т. д.;
• предыдущий пример, вводимый в обратной последовательности;
• два предыдущих примера с цифрой в начале или конце пароля (например, Москва1, 1Саратов).

Пароли Пользователя Организации должны удовлетворять следующим условиям:

• длина пароля должна составлять не менее восьми символов;
• в пароле должны присутствовать большие и маленькие буквы латинского алфавита, цифры и спецсимволы;
• время действия пароля должно составлять не более 90 дней;
• пароль полученный пользователем, необходимо сменить при первом входе в систему;
• пароли от разных систем и сервисов не должны повторяться;
• при подозрении на компрометацию своего пароля работник должен незамедлительно сообщить об этом в службу внутренней безопасности.

14.1. Компания пользуется распределенной системой управления версиями, где находится публичный исходный код сервисов, необходимый для построения дочерних сервисов. Данный исходный код доступен всем желающим без необходимости локальной регистрации. К иным видам исходного кода доступ разграничивается через функционал используемой системы.

14.2. Программный продукт, выпущенный компанией, необходимо использовать строго в соответствии с лицензией. Не выпущенное под конкретной лицензией и созданное на рабочем месте считается собственностью компании и использование на стороне, даже если это делает сотрудник, занимающийся созданием, может расцениваться как утечка информации.

14.2. К каждой системе должен быть написан Регламент обновления, остановки, запуска и тестирования прикладного программного обеспечения внутри компании.

14.3. Если компания применяет в своих продуктах программные продукты и библиотеки сторонних разработчиков – необходимо дорабатывать и использовать программные продукты и библиотеки, при этом, внесение изменений в программный продукт сторонних производителей должно производиться таким образом, чтобы по возможности оставалась дальнейшая совместимость с обновлениями из исходного источника, при условии, если данные продукты нельзя использовать отдельным изолированным модулем.

14.4. Распределение и назначение прав доступа к программным продуктам компании происходит в соответствии с Положением о разграничении прав доступа.

14.5. Для обновления собственных прикладных программ, продуктов, необходим внутренний Регламент доступа к ресурсам информационных систем.

15.1. В целях защиты информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить:

• ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер;
• дублирование информации с использованием различных физических и аппаратных носителей.

15.2. Документы, содержащие конфиденциальную информацию хранятся в течение 10 лет, за исключением случаев, предусмотренных законодательством РФ.

15.3. Все резервные копии, должны быть размещены в отдельных каталогах, название которых отражает дату последнего изменения рабочей информации и ее краткое описание.

15.4. В ЦОДе происходит репликация машины в виде полной резервной копии снимка виртуального сервера. Время и глубина резервного копирования указаны в Регламенте резервного копирования данных. В целях безопасности ЦОД реализует резервную копию созданных ранее резервных копий.

15.5. Как минимум одна резервная копия рабочей информации должна храниться на отчуждаемом носителе.

15.6. Процессы резервного копирования и восстановления для каждого отдельного типа информации должны быть документированы и периодически пересматриваться в соответствии с Регламентом резервного копирования данных.

15.7. Срок хранения резервных копий на внешних носителях также определяется в соответствии с Регламентом резервного копирования данных, если иное не определено НПА РФ, или организационно-распорядительными документами Учреждения.

15.8. Резервные копии, хранящиеся более полугода, должны ежеквартально тестироваться, для подтверждения возможности их восстановления и использования.

15.9. Ответственность за хранение и резервирование информации в электронном виде возложить на системного администратора.

16.1. В целях выполнения задач по обеспечению информационной безопасности ООО «ШЭРИКС», в соответствии с рекомендациями международных и российских стандартов по безопасности в ООО «ШЭРИКС» определены следующие роли:

• Генеральный директор;
• Ответственное подразделение – служба внутренней безопасности, юристы, бухгалтерия;
• Сотрудник ООО “ШЭРИКС”.

При необходимости могут быть определены и другие роли по информационной безопасности.

16.2. Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности ООО «ШЭРИКС» осуществляются и координируются службой внутренней безопасности. Задачами являются:

• установление потребностей ООО «ШЭРИКС» в применении мер обеспечения информационной безопасности, определяемых как внутренними корпоративными требованиями, так и требованиями нормативных актов;
• соблюдение действующего федерального законодательства, нормативных актов федеральных органов исполнительной власти, нормативных актов по обеспечению информационной безопасности, приватности и неразглашению, принятых регуляторами рынков, на которых представлены интересы и бизнес ООО «ШЭРИКС»;
• разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности ООО «ШЭРИКС», включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов;
• осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (политик, планов, методик и т. д.), затрагивающих вопросы информационной безопасности ООО «ШЭРИКС»;
• обучение, контроль и непосредственная работа с персоналом ООО «ШЭРИКС» в области обеспечения информационной безопасности;
• прошедшее персоналом обучение должно заноситься в Лист ознакомления работников с «Политикой компании ООО «ШЭРИКС» в области информационной безопасности»;
• планирование применения, участие в поставке и эксплуатации средств обеспечения информационной безопасности на объекты и системы в ООО «ШЭРИКС»;
• выявление и предотвращение реализации угроз информационной безопасности;
• выявление и реагирование на угрозы информационной безопасности;
• информирование в установленном порядке ответственных лиц об угрозах и рисковых событиях информационной безопасности;
• прогнозирование и предупреждение угроз информационной безопасности;
• пресечение несанкционированных действий нарушителей информационной безопасности;
• поддержка базы угроз информационной безопасности, анализ, разработка оптимальных процедур реагирования на угрозы и обучение персонала;
• типизация решений по применению мер и средств обеспечения информационной безопасности и распространение типовых решений на филиалы и представительства ООО «ШЭРИКС»;
• обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности;
• мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности защитных мер и видов деятельности по обеспечению информационной безопасности ООО «ШЭРИКС»;
• контроль обеспечения информационной безопасности ООО «ШЭРИКС», в том числе, и на основе информации об угрозах информационной безопасности, результатах мониторинга, оценки и аудита информационной безопасности;
• информирование руководства ООО «ШЭРИКС» и руководителей его самостоятельных структурных подразделений ООО «ШЭРИКС» об угрозах информационной безопасности, влияющих на деятельность ООО «ШЭРИКС».

16.3. Служба внутренней безопасности может создавать оперативные группы для проведения расследований угроз информационной безопасности, возглавляемые старшим сотрудником Ответственного подразделения.

16.4. Финансирование работ по реализации положений настоящей Политики осуществляется в рамках целевого бюджета Ответственного подразделения ООО «ШЭРИКС».

16.5. Основными функциями Генерального директора в вопросах информационной безопасности являются:

• назначение ответственных лиц в области ИБ;
• координация и внедрение информационной безопасности в ООО «ШЭРИКС».

16.6. Основными задачами сотрудников ООО «ШЭРИКС» при выполнении возложенных на них обязанностей по обеспечению информационной безопасности ООО «ШЭРИКС» являются:

• соблюдение требований информационной безопасности, устанавливаемых нормативными документами ООО «ШЭРИКС»;
• информирование в установленном порядке ответственных лиц о выявленных угрозах и рисковых событиях информационной безопасности;
• информирование своего руководства и Ответственного подразделения о выявленной угрозе в информационной среде ООО «ШЭРИКС».

16.7. Любые изменения, которые были внесены в настоящую Политику, должны быть занесены в Перечень изменений Политики Компании.

17.1. Ответственность за поддержание положений настоящей Политики и основных нормативных документов ООО «ШЭРИКС» в области информационной безопасности, в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы обеспечения информационной безопасности лежит на Отделе информационной безопасности.

17.2. Ответственность сотрудников ООО «ШЭРИКС» за неисполнение настоящей Политики и основных нормативных документов ООО «ШЭРИКС» в области ИБ, определяется соответствующими положениями, включенными в договоры с работниками ООО «ШЭРИКС», а также положениями внутренних нормативных документов ООО «ШЭРИКС».

17.3. Общий контроль состояния информационной безопасности ООО «ШЭРИКС» осуществляет Руководитель подразделения.

17.4. На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Политики ИБ ООО «ШЭРИКС», могут быть подвергнуты дисциплинарным взысканиям.

17.5. Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный ООО «ШЭРИКС» в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса РФ).

17.6. Текущий контроль соблюдения настоящей Политики осуществляет Отдел информационной безопасности. Контроль осуществляется путем проведения мониторинга и менеджмента угроз информационной безопасности ООО «ШЭРИКС», по результатам оценки информационной безопасности ООО «ШЭРИКС», а также в рамках иных контрольных мероприятий.

17.7. Служба внутренней безопасности осуществляет контроль соблюдения настоящей Политики на основе проведения внутренних проверок информационной безопасности.

Документ вступает в силу на следующий день со дня подписания. Регламенты, указанные в данном разделе, являются примерной структурой документа. Следовательно, при изменении данных регламентов, Документ не нуждается в пересогласовании.

Данная Политика имеет 10 (десять) приложений, которые являются неотъемлемой частью настоящего Акта.