Политика защиты информации

Стандарт информационной безопасности компании РосБезопасность: защищенный документооборот с использованием ГОСТ-шифрования

В современных реалиях защита конфиденциальной информации — это не просто требование законодательства, а фундамент доверительных партнерских отношений. Наша компания утверждает политику нулевой толерантности к рискам утечки данных. Мы внедряем усиленные меры защиты при обмене информацией по электронной почте, используя сертифицированные средства криптографической защиты.

Стратегия безопасности и правовое обоснование

Мы осознаем, что передача документов с пометкой «Для служебного пользования», «Конфиденциально» и сведений, составляющих коммерческую тайну, по открытым каналам связи несет в себе критические риски. В ответ на рост киберугроз и ужесточение требований регуляторов, мы приняли решение о переходе на шифрование данных с использованием квалифицированной электронной подписи.

Данный подход закреплен в наших договорах, где регламентирована передача защищаемой информации посредством сети «Интернет» исключительно в зашифрованном виде. Это решение полностью соответствует требованиям действующего законодательства РФ:

• • Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 16, п. 1).
  • Федеральному закону № 63-ФЗ «Об электронной подписи».
  • Федеральному закону № 98-ФЗ «О коммерческой тайне».
  • Федеральному закону № 152-ФЗ «О персональных данных».
  • Указу Президента РФ № 188.
  • Рекомендациям ФСБ России по использованию СКЗИ.

Категории критически важной защищаемой информации

Особое внимание в нашей политике уделяется защите отраслевой проектной и организационно-распорядительной документации (ОРД), компрометация которой недопустима. Мы требуем неукоснительного соблюдения правил информационной безопасности при передаче следующих категорий документов:

• • В сфере транспортной безопасности (ФЗ № 16-ФЗ): результаты оценки уязвимости, планы обеспечения транспортной безопасности, паспорта обеспечения транспортной безопасности, а также относящиеся к ним организационно-распорядительные документы.
  • В сфере антитеррористической защищенности (ФЗ № 35-ФЗ): акты обследования и категорирования объектов, паспорта безопасности, а также соответствующая профильная ОРД.
  • В сфере безопасности объектов топливно-энергетического комплекса (ФЗ № 256-ФЗ): проектная документация, акты категорирования, паспорта безопасности объектов ТЭК и сопутствующие материалы по обеспечению их защищенности.
  • Прочая проектная и техническая документация: иные разрабатываемые материалы, отчеты, схемы и ОРД, связанные с обеспечением комплексной и промышленной безопасности инфраструктурных объектов.

Техническая реализация:

Для обеспечения безопасности мы используем программный комплекс CryptoPro CSP, прошедший сертификацию в ФСБ и ФСТЭК. Мы отказались от использования устаревших методов защиты в пользу актуальных российских криптографических алгоритмов (ГОСТ Р 34.12-2015/2018), что гарантирует высочайшую стойкость к взлому.

Внедрение данного механизма обеспечивает реализацию трех ключевых принципов информационной безопасности:

• • Конфиденциальность: Гарантия того, что содержимое документа доступно исключительно авторизованному получателю. Даже в случае перехвата письма злоумышленниками, прочесть его без закрытого ключа невозможно.
  • Целостность: Любая попытка несанкционированного изменения документа в процессе передачи будет автоматически выявлена.
  • Аутентификация: Использование квалифицированной электронной подписи (КЭП) однозначно подтверждает авторство документа и исключает риск подделки (спуфинга) отправителя.

Порядок взаимодействия и ответственность сторон

Мы стремимся сделать процесс защищенного обмена максимально прозрачным. Согласно договорным условиям и действующим Соглашениям о неразглашении, перед началом обмена конфиденциальной информацией Стороны предоставляют друг другу действующие сертификаты открытых ключей, выданные аккредитованными Удостоверяющими центрами. Это создает доверенный контур, внутри которого информация надежно защищена.

Ответственность за сохранность закрытых ключей лежит на стороне владельца сертификата. В случае возникновения угрозы компрометации закрытого ключа, увольнения сотрудника, имевшего к нему доступ, или отзыва сертификата Удостоверяющим центром, Стороны обязуются незамедлительно уведомить друг друга. С момента получения такого уведомления защищенный документооборот со скомпрометированным ключом приостанавливается до генерации и обмена новыми сертификатами.

Требования к хранению информации

Безопасность данных обеспечивается не только в процессе передачи, но и при их хранении. После расшифровки на стороне получателя, документация по транспортной и промышленной безопасности, документы с грифом ДСП и коммерческая тайна должны храниться в защищенном информационном контуре с ограниченным доступом. Строго запрещается последующая пересылка расшифрованных данных третьим лицам или сотрудникам по открытым каналам связи, включая личные электронные почты и публичные мессенджеры.

Техническая поддержка и интеграция

Мы понимаем, что данные стандарты требуют корпоративной дисциплины. Для обеспечения бесшовной интеграции этого процесса мы предоставляем партнерам подробные пошаговые инструкции по настройке программного обеспечения. Наши работники готовы оказать полное содействие на этапе первичного обмена сертификатами и настройки контура доверия.

Значение для наших партнеров

Использование средств криптографической защиты — это инвестиция в стабильность нашего сотрудничества. Применяя данные меры, мы:

• • Минимизируем финансовые, правовые и репутационные риски, связанные с утечкой критически важной информации.
  • Гарантируем юридическую значимость и неизменность передаваемых данных.
  • Обеспечиваем полное соответствие федеральным стандартам РФ в сфере защиты информации и безопасности объектов.