Положение об информационной безопасности

01Цели и принципы информационной безопасности

Настоящее Положение определяет цели, принципы, направления и комплекс мер, реализуемых АО «НПО «Восход» (далее — «Компания») для обеспечения информационной безопасности (далее — «ИБ») информационных систем, в которых обрабатываются персональные данные и иная защищаемая информация.

Главные цели ИБ Компании:

• обеспечение конфиденциальности защищаемой информации;
• обеспечение целостности и достоверности обрабатываемых данных;
• обеспечение доступности данных для уполномоченных пользователей;
• соответствие требованиям законодательства РФ и применимым стандартам.

02Нормативная база

Настоящее Положение разработано в соответствии со следующими нормативными актами:

• Конституция Российской Федерации;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах»;
• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации»;
• Стандарт ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

03Объекты защиты

К объектам защиты, в отношении которых применяются меры обеспечения ИБ, относятся:

• персональные данные посетителей сайта, клиентов, партнёров и сотрудников Компании;
• конфиденциальная информация партнёров, переданная в рамках NDA;
• коммерческая тайна Компании;
• результаты интеллектуальной деятельности, в том числе исходные коды программного обеспечения и обучающие данные для VLA-моделей;
• информационная инфраструктура: серверы, сетевое оборудование, рабочие станции, мобильные устройства;
• средства защиты информации.

04Модель угроз и нарушителя

Компания разрабатывает и поддерживает в актуальном состоянии модель угроз и модель нарушителя в соответствии с методическими документами ФСТЭК России и ФСБ России. В рамках модели учитываются следующие типы угроз:

• несанкционированный доступ к информации, обрабатываемой в информационных системах;
• утечка информации по техническим каналам;
• модификация или уничтожение информации;
• отказ в обслуживании (DoS / DDoS);
• заражение вредоносным программным обеспечением;
• атаки методами социальной инженерии;
• действия внутреннего нарушителя.

Информационным системам Компании присвоен уровень защищённости УЗ-3 в соответствии с постановлением Правительства РФ № 1119, поскольку обрабатываются персональные данные сотрудников и пользователей при отсутствии специальных категорий и биометрических данных.

05Организационные меры

• назначен ответственный за организацию обработки персональных данных приказом Генерального директора;
• утверждены локальные нормативные акты: Положение о защите ПДн, Перечень должностей с доступом к ПДн, Инструкции для пользователей и администраторов;
• заключены соглашения о неразглашении (NDA) со всеми сотрудниками, имеющими доступ к ПДн и иной защищаемой информации;
• проведено разделение ролей и прав доступа по принципу least privilege (минимальных привилегий);
• осуществляется учёт машинных носителей ПДн;
• ведётся журнал событий безопасности и аудит действий пользователей;
• организован контроль соблюдения требований ИБ внутренним аудитом не реже одного раза в год.

06Технические меры

Технические меры защиты включают:

• Сегментирование сети: разделение продуктивной, тестовой и корпоративной сред с фильтрацией трафика на уровне межсетевых экранов;
• Контроль доступа: аутентификация на основе учётных записей с обязательным применением многофакторной аутентификации (MFA) для административных привилегий;
• Антивирусная защита: применение средств защиты от вредоносного ПО на серверах и рабочих станциях, регулярное обновление сигнатур;
• Защита периметра: применение межсетевых экранов следующего поколения (NGFW), систем обнаружения и предотвращения вторжений (IDS/IPS);
• Защита веб-приложений: применение Web Application Firewall (WAF), регулярное сканирование уязвимостей, защита от DDoS-атак;
• Защита от утечек: применение DLP-решений на конечных точках и периметре сети;
• Мониторинг: централизованный сбор и анализ событий безопасности (SIEM);
• Уничтожение данных: применение сертифицированных средств гарантированного уничтожения данных по истечении сроков хранения.

07Криптографическая защита информации

Для обеспечения конфиденциальности и целостности информации Компания применяет сертифицированные ФСБ России средства криптографической защиты информации (СКЗИ), в том числе:

• защищённое соединение между Сайтом и браузерами Пользователей по протоколу TLS 1.2 / 1.3;
• шифрование хранимых баз данных и резервных копий;
• шифрование каналов связи между серверами в продуктивной среде;
• электронная подпись документооборота с контрагентами.

Эксплуатация СКЗИ осуществляется в соответствии с требованиями приказа ФСБ России № 378 и эксплуатационной документации производителя.

08Резервное копирование

• выполняется ежедневное инкрементальное и еженедельное полное резервное копирование критичных баз данных;
• резервные копии хранятся в зашифрованном виде в географически разнесённых дата-центрах в пределах территории Российской Федерации;
• осуществляется регулярная проверка восстановимости резервных копий по плану не реже одного раза в квартал;
• срок хранения резервных копий определяется в соответствии с требованиями к срокам обработки ПДн.

09Реагирование на инциденты ИБ

В Компании организован процесс управления инцидентами информационной безопасности. При выявлении инцидента (несанкционированный доступ, утечка, модификация данных, вирусная активность и др.) выполняются следующие действия:

1. регистрация инцидента в журнале;
2. локализация инцидента и предотвращение распространения;
3. устранение последствий и восстановление систем;
4. анализ причин и принятие мер по недопущению повторения;
5. уведомление субъектов ПДн и Роскомнадзора (в случаях, предусмотренных ч. 3.1 ст. 21 Закона 152-ФЗ — в течение 24 часов с момента выявления инцидента).

10Контроль и аудит

• проводится внутренний аудит системы менеджмента ИБ не реже одного раза в год;
• осуществляется регулярное сканирование уязвимостей программного обеспечения;
• проводится тестирование на проникновение (penetration testing) ключевых информационных систем не реже одного раза в 12 месяцев;
• применяется автоматизированный мониторинг событий безопасности 24/7.

11Обучение и осведомлённость сотрудников

• при приёме на работу проводится первичное обучение основам информационной безопасности;
• не реже одного раза в год проводится повторное обучение и проверка знаний;
• проводятся регулярные тренировочные фишинговые рассылки и разбор результатов;
• сотрудники знакомятся с обновлениями локальных нормативных актов под подпись.

12Контакты по вопросам ИБ

По всем вопросам, связанным с информационной безопасностью и защитой персональных данных, обращайтесь к ответственному за организацию обработки ПДн АО «НПО «Восход»:

Email: office@v1data.ru (с пометкой «ИБ» или «ПДн»)
Телефон: +7 (499) 117-00-87
Почтовый адрес: 115280, г. Москва, ул. Ленинская Слобода, д. 26, помещ. 32/43