УТВЕРЖДЕНО

Приказом Генерального директора

ООО ≪Джи Ди≫

Плешанова М.В.

от ≪14≫ мая 2024 г.

№ ПДН24−5−1

Версия1.1.

ПОЛИТИКА КИБЕРБЕЗОПАСНОСТИ

(версия 1.1 от 14.05.2024)

1. НАЗНАЧЕНИЕ

1.1. Настоящий документ (далее — Политика) определяет политику кибербезопасности в ООО «Джи Ди» (далее — «Компания»), как систему документированных управленческих решений, направленных на защищаемые процессы и активы Компании, клиентов и партнеров.

1.2. Настоящая Политика является документом, доступным каждому работнику Компании и
представляет собой официально принятую руководством ООО «Джи Ди» систему подходов и
принципов для обеспечения кибербезопасности информационных ресурсов Компании, устанавливает правила построения системы управления информационной безопасностью (ISMS) на основе систематизированного изложения целей, процессов и процедур кибербезопасности Компании.

1.3. Настоящая Политика Компании может быть предоставлена официальным представителям любых органов и ведомств Российской̆ Федерации, представителям органов сертификационного аудита, клиентам и партнерам Компании, подрядным организациям и частным лицам, выполняющим работы для Компании, а также другим заинтересованным организациям и лицам как на территории Российской̆ Федерации, так и за ее пределами. Политика разработана на русском языке, в соответствии с законодательством Российской̆ Федерации, положениями международных стандартов ISO/IEC 27 001:2013, ISO/IEC 27 002:2013, ISO/IEC 27 003:2017, ISO/IEC 27 004:2016, ISO/IEC 27 005:2018, ISO/IEC 27 035:2016, ISO/IEC 15 408, NIST SP 800−50, NIST SP 800−40, NIST SP 800−53 A, NIST SP 800−37 / NIST SP 800−39 / NIST SP 800−30, NIST SP 800−61 / NIST SP 800−86, SANS. CIS 20, O-ISM3, фреймворки OSSTMM, Penetration Testing Framework, ISSAF, ГОСТ Р ИСО/МЭК 27 001, ГОСТ Р 50 922−2006, Государственные стандарты Российской Федерации, ГОСТ Р 51 275−2006, ГОСТ Р 59 711−2022, методологии COBIT 2019, руководство ITIL, OWASP top 10, CIS Controls, CIS Benchmarks, документами по управлению рисками, а также с учетом накопленного опыта в сфере обеспечения безопасности
информационных технологий в Компании.

1.4. Политика разработана с целью установления единого подхода в Компании к управлению
безопасностью информации.

1.5. В целях настоящей Политики термин «Кибербезопасность» включает в себя в том числе понятие информационной̆ безопасности и безопасности информационных технологий Компании.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1. Политика обязательна для применения во всех подразделениях и всеми работниками Компании, при обеспечении и управлении Кибербезопасность Компании.

2.2. Положения Политики распространяются на все аспекты деятельности Компании, тем или иным образом влияющие на Кибербезопасность активов клиентов, партнеров и самой̆ Компании.

2.3. Действие Политики распространяется на деятельность всех подразделений Компании.

2.4. Требования настоящего документа распространяются на процессы предоставления сервисов в области информационных технологий, включая облачные сервисы, сервисы эксплуатации, технической поддержки, мониторинга и обслуживания IT инфраструктуры, вычислительных систем, комплексов и программного обеспечения, предоставляемых внешним и внутренним клиентам, партнерам.

3. ДЕКЛАРАЦИЯ ПРИВЕРЖЕННОСТИ РУКОВОДСТВА КОМПАНИИ

3.1. Руководство Компании осознает важность и необходимость развития и совершенствования мер и средств обеспечения кибербезопасности в контексте развития законодательства и норм
регулирования деятельности по защите информации, а также использования защищенных облачных технологий и ожиданий партнеров и других заинтересованных сторон. Соблюдение требований кибербезопасности, а также обеспечение конфиденциальности персональных данных позволит создать конкурентные преимущества Компании, обеспечить её стабильность, соответствие правовым, регулятивным и договорным требованиям и повышение имиджа.

3.2. Руководство Компании стремится обеспечивать необходимыми ресурсами поддержку и
модернизацию системы управления ИБ в соответствие с требованиями международных стандартов, см. п.1.3.

3.3. На Руководство Компании возлагается ответственность за организацию деятельности по
обеспечению кибербезопасности, процесса анализа и оценки пригодности системы защиты
информации, ее адекватности, результативности и возможностям улучшения.

3.4. Ответственность за реализацию процессов обеспечению кибербезопасности в Компании
возлагается на Руководство Компании, Центр киберзащиты (далее — ЦКЗ) и каждого работника
Компании.

3.5. Руководство Компании должно обеспечить мотивацию персонала по обеспечению
кибербезопасности Компании.

4. ЦЕЛИ КОМПАНИИ

4.1. Целями Компании являются:
— развитие и использование защищенных информационных и облачных технологий для партнеров и клиентов Компании;
— расширение количества и улучшение качества оказываемых услуг и сервисов клиентам за счет
применения новых технологий в ИБ, в том числе защищенных облачных сервисов, облачных
вычислений и облачного хранения данных;
— поддержание репутации надежного поставщика веб-технологий и систем веб-платформы IN. TOP в России;
— создание и развитие новых продуктов платформы IN. TOP;
— расширение географии деятельности Компании;
— развитие отношений с партнерами;
— повышение качества управления Компанией посредством использования российских и
международных стандартов.

5. СТРАТЕГИЯ КИБЕРБЕЗОПАСНОСТИ

5.1. Стратегия кибербезопасности Компании включает в себя следующие аспекты:
— выстраивание системы защиты информации сервисов компании с учетом текущих и прогнозируемых технологий, программных продуктов, используемых площадок для размещения;
— постоянная работа над поиском новых решений для усиления защиты сервисов, оптимизации
используемых ресурсов и защиты данных наших клиентов;
— постоянный поиск на рынке и выбор решений по защите информации для предоставления клиентам компании с целью повышения их защищенности.

5.2. Для реализации стратегии кибербезопасности Компания ставит перед собой следующие цели:
— устойчивое функционирование и развитие Компании, обеспечение непрерывности предоставления
услуг клиентам и партнерам;
— поддержание статуса Компании, как надежного поставщика услуг в глазах потенциальных клиентов, увеличение инвестиционной привлекательности;
— гарантия защищенности процессов и информационных IT — систем и программного кода платформы IN. TOP, принадлежащих Компании, её клиентам и партнерам;
— обеспечение постоянного, открытого, прозрачного управления и контроля процессов обеспечения кибербезопасности и защиты персональных данных.

5.3. Защищенность информационных IT — систем и программного кода платформы IN. TOP Компании, клиентов и партнеров оценивается и обеспечивается по каждому из следующих аспектов:
— доступность;
— целостность;
— конфиденциальность.
При этом критерием оценки является вероятность, размер и последствия нанесения Компании любого вида ущерба (невыполнение имеющихся перед государством, клиентами и партнерами обязательств, финансовые потери, потеря репутации и пр.).

5.4. Целями внедрения системы управления информационной безопасности в Компании являются:
— получение Руководством прозрачного процесса планирования бюджета ЦКЗ в части обеспечения
кибербезопасности на основе риск-ориентированного подхода;
— снижение актуальных рисков кибербезопасности и одновременное выполнение требований
законодательства и нормативно-правовых актов РФ;
— удешевление внутренних процессов Компании за счет проработки вопросов обеспечения
кибербезопасности на ранней̆ стадии, проектирования новых услуг, автоматизированных систем, а также на старте новых проектов по разработке новых продуктов Компании;
— обеспечение процесса расследования инцидентов, связанных с безопасностью информации, сбора и хранения доказательной̆ базы для отстаивания интересов Компании;
— определение ответственности между подразделениями Компании за обеспечение
кибербезопасности.

5.5. Задачами системы управления И Б Компании являются:
— определение активов, подлежащих защите;
— защита конфиденциальной информации в соответствии с законодательством РФ, в том числе, но не ограничиваясь: персональных данных, сведений, составляющих коммерческую тайну, информации, полученной при осуществлении деятельности Компании от клиентов, партнеров и других источников, а также информации, определяемой Компанией, как ограниченной для распространения;
— обеспечение выполнения требований нормативных правовых актов РФ в сфере информационной безопасности;
— организация управления рисками, связанными с нарушением безопасности информационных IT-систем и программного кода платформы IN. TOP, при котором риски постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска, либо имеется план со сроками по их снижению/исключению;
— обеспечение непрерывности бизнеса на основе комплекса организационно- методических и
технических мероприятий, направленных на минимизацию последствий утраты информационных
активов, а также направленных на бесперебойное оказание услуг клиентам;
— управление инцидентами, связанными с безопасностью информации, при этом любой̆ факт
(инцидент) нарушения требований по информационной̆ безопасности рассматривается, как
существенное событие и требует разбирательства;
— подключение к специальным сервисам для противодействия новейшим комплексным угрозам
кибербезопасности, таким как постоянные угрозы повышенной̆ сложности APT (Advanced Persistent Threat), угрозы нулевого дня (0-day) и т. д.;
— минимизация потерь и скорейшее восстановление инфраструктуры, программных и технических средств, а также информации, вследствие кризисных (нештатных) ситуаций. Расследование причин возникновения таких ситуаций и принятие мер по их предотвращению в будущем;
— регулярная оценка соответствия система управления ИБ применимым внутренним и внешним
требованиям посредством проведения внутренних аудитов, мониторинга эффективности процессов системы управления ИБ, анализа со стороны руководства Компании;
— внедрение корректирующих действий̆ в случае выявления отклонений или несоответствий в работе системы управления ИБ внутренним и внешним требованиям;
— наращивание компетенции ЦКЗ в области кибербезопасности, в целях повышения качества услуг, оказываемых клиентам Компании.

5.6. В результате реализации стратегии кибербезопасности и, в частности, целей и задач системы управления ИБ в Компании разработан и внедрен комплекс организационно — методических и технических мероприятий. Данные мероприятия являются базовой составляющей обеспечения и управления кибербезопасностью в Компании.

6. ПРИНЦИПЫ УПРАВЛЕНИЯ КИБЕРБЕЗОПАСНОСТЬЮ

6.1. Основные принципы управления кибербезопасностью. Компания в области кибербезопасности руководствуется следующими основными принципами:
— законность защиты: защита информационных IT-систем, программного кода и данных платформы IN. TOP Компании, ее клиентов и партнеров, соответствует положениям и требованиям, действующих законов и иных нормативных правовых актов РФ;
— системность защиты: применение системного подхода к взаимосвязанным, взаимодействующим и изменяющимся во времени элементов, условий и факторов, существенно значимых для понимания и решения задач обеспечения кибербезопасности Компании;
— комплексность защиты: Кибербезопасность обеспечивается эффективным сочетанием
организационных, методических мер и программно-технических средств. Применение различных
средств, технологий защиты программных процессов и информационных IT-систем и программного кода платформы IN. TOP снижает вероятность реализации наиболее значимых угроз кибербезопасности;
— непрерывность защиты: функционирование процессов кибербезопасности на всех этапах работы с данными Компании и ее партнеров, клиентов. В Компании осуществляется постоянный̆ мониторинг и аудит процессов кибербезопасности;
— своевременность: означает упреждающий характер принимаемых мер по обеспечению
кибербезопасности.
— гибкость: предполагает, что в процессе эксплуатации информационных IT — систем и программного кода платформы IN. TOP Компании изменения характеристик, объёма и категорий, обрабатываемой информации влекут за собой̆ своевременные и адекватные изменения в структуре управления кибербезопасности;
— непрерывность совершенствования: означает, что меры и средства защиты информационных IT- систем и программного кода платформы IN. TOP постоянно совершенствуются в соответствии с результатами анализа функционирования структуры кибербезопасности, учитывается появление новых способов и средств реализации угроз кибербезопасности, а также принимается во внимание лучшие практики и опыт в сфере кибербезопасности. В процессе непрерывного совершенствования осведомленности работников в части кибербезопасности проводится периодическое обучение.
— документирование: документирование обеспечивает фиксацию и удерживание достигнутого текущего состояния кибербезопасности. Любые изменения этого состояния оформляются документально с контролем изменений;
— разумная достаточность и адекватность: принимаемые меры обеспечения кибербезопасности
эффективны и соразмерны имеющим место рискам кибербезопасности, связанных с обработкой и характером защищаемых информационных IT — систем и программного кода платформы IN. TOP, на основании результатов оценки рисков кибербезопасности;
программно-технические средства и организационные меры, направленные на защиту
информационных IT — систем и программного кода платформы IN. TOP, проектируются и внедряются таким образом, чтобы не повлечь за собой существенное ухудшение основных функциональных характеристик, а также производительности информационных систем и пользователей платформы IN. TOP;
— осведомленность о риске кибербезопасности: процессы обеспечения кибербезопасности
затрагивают каждого работника Компании, использующего ее информационные активы, и
накладывают на него соответствующие обязанности и ограничения.
— персональная ответственность: означает, что ответственность за обеспечение безопасности информационных IT — систем и программного кода платформы IN. TOP возлагается на каждого работника в пределах его трудовых обязанностей̆. Помимо этого, назначены ответственные лица за поддержание процессов обеспечения и управления кибербезопасности;
— минимизация полномочий: каждому работнику Компании доступ к информационных IT — системам платформы IN. TOP предоставляется только в том объеме, который̆ необходим ему для выполнения трудовых обязанностей̆. Все операции по предоставлению доступа или назначению полномочий ограничены, контролируются и осуществляются строго в соответствии с установленными процедурами;
— взаимодействие и сотрудничество: означает, что в коллективе Компании создана благоприятная атмосфера, способствующая осознанной̆ необходимости соблюдения установленных правил и обеспечению кибербезопасности, оказания содействия в деятельности подразделений, обеспечивающих кибербезопасность;
— разделение полномочий по управлению информационными технологиями: в Компании реализована структура управления информационными технологиями, направленная на исключение конфликта интересов и строгое разграничение ответственности при обеспечении функционирования и безопасности информационных активов: разделены обязанности подразделений и работников Компании, осуществляющих администрирование IT-инфраструктуры, сервисов средств защиты, и осуществляющих функции мониторинга состояния кибербезопасности и контроля (аудита) выполнения требований кибербезопасности;
— специализация и профессионализм: означает, что к разработке средств и реализации мер защиты активов привлекаются специализированные организации, наиболее подготовленные к конкретному виду деятельности по обеспечению кибербезопасности и имеющие практический опыт работы. Реализация административных мер и эксплуатация средств защиты информации (активов) осуществляется профессионально подготовленными специалистами;
— знание своих партнеров и работников: Компания обладает информацией о своих партнерах, что позволяет минимизировать вероятность реализации угроз, связанных с человеческим фактором; кадровая политика (подбор персонала, мотивация работников), используемая в Компании, минимизирует деятельность сотрудников Компании, клиентов и партнеров по нарушению системы безопасности информационных IT-систем и программного кода платформы IN. TOP;
— обязательность контроля: неотъемлемой частью работ по обеспечению кибербезопасности является оценка эффективности системы защиты. С целью своевременного выявления и пресечения попыток нарушения, установленных правил обеспечения безопасности информационных IT — систем и программного кода платформы IN. TOP, в Компании определены процедуры постоянного контроля использования систем обработки и защиты активов, а результаты контроля подвергаются регулярному анализу;
— контроль со стороны руководства: руководство Компании на регулярной основе (не реже одного раза в квартал) рассматривает отчеты о состоянии кибербезопасности в Компании и фактах нарушений установленных требований, а также общие и частные вопросы кибербезопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы.Политика кибербезопасности и предложения по ее актуализации, roadmap рассматриваются Руководством Компании;
— целевое финансирование мероприятий по обеспечению кибербезопасности: ежегодный̆ бюджет Компании предусматривает специальные статьи расходов на обеспечение кибербезопасности.

6.2. Принципы контроля состояния систем обеспечения кибербезопасности:
— для обеспечения контроля в отношении системы управления кибербезопасностью в Компании
проводится комплексный анализ защитных сервисов для минимизации инцидентов
кибербезопасности, а также регулярные аудиты, пентесты информационных IT-систем и программного кода платформы IN. TOP;
— процесс мониторинга состояния кибербезопасности включает в себя контроль качества
функционирования организационных и технических защитных мер, анализ параметров конфигурации и настройки платформы IN. TOP c целью оперативного выявления инцидентов кибербезопасности и действий/событий в информационных системах, которые могут привести к реализации угроз кибербезопасности. В Компании инициированы подключения специальных сервисов для обеспечения мониторинга и анализа данных о зарегистрированных событиях кибербезопасности;
— внутренние и внешние аудиты выполняются по возможности силами независимых аудиторов или сотрудниками ЦКЗ;
— по результатам аудита ответственные сотрудники подразделений Компании в разумные сроки
определяют план действия и сроки, необходимые для устранения обнаруженных несоответствий в процессе аудита и вызвавших их причин.

7. ВНЕСЕНИЕ ИЗМЕНЕНИй

7.1. Внесение изменений в Политику организует Заместитель Директора IT при наступлении одного из следующих условий:
— при необходимости по результатам анализа рисков, аудитов и проверок соответствия требованиям кибербезопасности;
— получения сообщения о необходимости внесения изменений в документ от любого участника
процесса, обнаружившего несоответствие в нем;
— распоряжения руководства Компании;
— проведения организационных мер, затрагивающих процессы управления кибербезопасности;
— в связи с внесением изменений в законодательство;
— в связи с внесением изменений во внутренние документы Компании.

7.2. В целях поддержания актуальности и эффективности действий по обеспечению
кибербезопасности данный̆ документ должен пересматриваться не реже одного раза в два года.

7.3. Ответственный за соблюдение периода пересмотра документа является Заместитель директора по информационным технологиям.