Политика информационной безопасности

ЗАО «Prince Holding»

1. Общие положения

Настоящая Политика определяет принципы, цели и механизмы защиты информации в компании Prince Holding, включая цифровые, бумажные и устные данные. Политика направлена на обеспечение конфиденциальности, целостности и доступности информации, снижение рисков утечки, кибератак и неправомерного использования информации.

Политика обязательна для всех сотрудников, подрядчиков и лиц, действующих от имени Компании.

2. Цели политики
  1. Защита информации компании от утечек, повреждений и потери;
  2. Обеспечение непрерывности бизнес-процессов;
  3. Снижение операционных, финансовых и репутационных рисков;
  4. Контроль доступа к информации и ресурсам;
  5. Соблюдение требований законодательства РФ и внутренних нормативных актов;
  6. Формирование культуры информационной безопасности среди сотрудников.

3. Основные принципы
  1. Конфиденциальность — доступ к информации имеют только уполномоченные лица;
  2. Целостность — информация сохраняется без искажений, изменений и потерь;
  3. Доступность — своевременный доступ к необходимой информации для выполнения задач;
  4. Непрерывность — постоянный мониторинг состояния информационной безопасности;
  5. Соразмерность — меры защиты соответствуют критичности информации и рискам;
  6. Ответственность — все сотрудники несут персональную ответственность за соблюдение правил.

4. Сфера действия

Политика распространяется на:
  • корпоративные информационные системы (ERP, CRM, электронная почта);
  • мобильные и стационарные устройства сотрудников;
  • документы в бумажном и электронном виде;
  • базы данных, чертежи, технологические инструкции;
  • конфиденциальные сведения о клиентах, партнёрах и сотрудниках;
  • сторонние сервисы, с которыми компания взаимодействует.

5. Управление доступом
  1. Принцип «необходимости знать» — доступ предоставляется только для выполнения служебных обязанностей;
  2. Персональные логины и пароли обязательны;
  3. Регулярное изменение паролей;
  4. Регистрация всех входов и действий в критических системах;
  5. Контроль доступа к физическим помещениям и архивам.

6. Меры защиты информации
  1. Шифрование данных и резервное копирование;
  2. Антивирусная защита и системы обнаружения вторжений;
  3. Контроль внешних носителей и переносных устройств;
  4. Физическая защита серверов, архивов и рабочих мест;
  5. Регулярные аудиты и тестирование систем безопасности;
  6. Инструктаж и обучение сотрудников по безопасной работе с информацией.

7. Работа с конфиденциальной информацией
  • Обработка персональных данных, коммерческих тайн и финансовых данных только в рамках законодательства;
  • Подписание соглашений о неразглашении (NDA) для сотрудников и подрядчиков;
  • Ограничение передачи информации третьим лицам без разрешения руководства.

8. Управление инцидентами
  • Все нарушения или попытки несанкционированного доступа фиксируются;
  • Незамедлительное информирование IT-отдела и руководства;
  • Проведение расследования, устранение последствий и внесение корректирующих мер;
  • Документирование инцидентов в журнале информационной безопасности.

9. Контроль и аудит
  • Регулярные внутренние и внешние аудиты ИБ;
  • Проверка соблюдения процедур сотрудниками и подразделениями;
  • Мониторинг выполнения рекомендаций по повышению защиты.

10. Обучение и повышение осведомленности
  • Вводный инструктаж для новых сотрудников;
  • Периодические тренинги, вебинары и тестирование;
  • Разъяснение персоналу обязанностей и ответственности за соблюдение правил.

11. Ответственность
  • Сотрудники несут дисциплинарную ответственность за нарушения;
  • Руководители подразделений — за организацию соблюдения мер;
  • Генеральный директор — за формирование и поддержание системы информационной безопасности.

12. Заключительные положения

Политика обязательна к исполнению всеми сотрудниками и подразделениями.
Пересмотр политики проводится не реже одного раза в 2 года или при существенных изменениях бизнес-процессов, технологий или законодательства.