1. Общие положения

1.1. Настоящая Политика безопасности (далее – «Политика») регламентирует основные меры и принципы обеспечения информационной безопасности Сайта, а также указывает на обязанности и ответственность Администрации Сайта и Пользователей в отношении защиты данных и ресурсов.

1.2. Цель Политики – обеспечить сохранность, целостность и конфиденциальность информации, обрабатываемой на Сайте, а также минимизировать риски несанкционированного доступа и иных угроз информационной безопасности.

1.3. Под «Администрацией Сайта» понимается организация (или уполномоченные ею лица), которая осуществляет владение, управление, поддержку и развитие Сайта. Под «Пользователем» понимается любое лицо, получающее доступ к Сайту.

1.4. Действие Политики распространяется на всех лиц, имеющих доступ к информационным ресурсам Сайта, включая сотрудников Администрации Сайта, контрагентов и непосредственно Пользователей.

2. Нормативно-правовая база

2.1. При разработке и реализации настоящей Политики учитываются следующие нормативно-правовые акты и стандарты (в случае их применения):

  • Законодательство Российской Федерации в сфере информационной безопасности и защиты персональных данных (Федеральный закон «О персональных данных» № 152-ФЗ и др.);
  • Международные стандарты (например, серии ISO/IEC 27000 при необходимости);
  • Иные применимые нормативно-правовые акты и внутренние регламенты организации.

2.2. Администрация Сайта, при необходимости, актуализирует положения Политики в соответствии с изменениями российского и международного законодательства и стандартов, а также по результатам аудитов и проверок информационной безопасности.

3. Принципы обеспечения безопасности

При обработке любой информации (включая персональные данные) на Сайте применяются следующие принципы:

3.1. Конфиденциальность
Все данные, обрабатываемые на Сайте, защищены от несанкционированного доступа; доступ к ним предоставляется только уполномоченным лицам.

3.2. Целостность
Информация должна храниться и передаваться в неизменном виде, исключающем её несанкционированное изменение или уничтожение.

3.3. Доступность
Уполномоченные Пользователи и системы должны иметь доступ к информации и сервисам Сайта в соответствии со своими полномочиями и в нужный момент времени.

3.4. Разграничение прав доступа
Уровень доступа к системам и данным определяется исходя из принципа наименьших прав (Least Privilege) и разграничивается в соответствии с должностными обязанностями и потребностями.

3.5. Непрерывное совершенствование
Администрация Сайта регулярно анализирует угрозы и совершенствует меры защиты информационных систем с учётом изменений внешней и внутренней среды, технологических нововведений и рекомендаций экспертов.

4. Меры и средства защиты

4.1. Организационные меры

  • Назначение ответственных лиц за информационную безопасность и контроль соблюдения Политики.
  • Проведение обучения и информирования сотрудников о мерах безопасности и ответственности за их нарушение.
  • Установление внутренних регламентов и правил, регламентирующих порядок работы с данными и доступ к системам.

4.2. Технические меры

  • Использование актуального программного обеспечения и своевременная установка обновлений и патчей безопасности.
  • Применение современных средств защиты: систем обнаружения вторжений, антивирусных решений, межсетевых экранов (Firewall), шифрования данных и пр.
  • Ведение системных журналов (логов), мониторинг активности на Сайте, анализ логов для выявления возможных инцидентов.

4.3. Контроль доступа

  • Использование аутентификации и авторизации для доступа к административным разделам Сайта и внутренним системам.
  • Разграничение прав доступа на уровне пользователей и групп пользователей, минимизация прав доступа.
  • Регулярная ревизия и актуализация прав доступа.

4.4. Шифрование

  • Использование безопасных протоколов (например, HTTPS/TLS) для передачи данных Пользователей.
  • Хранение критически важных данных в зашифрованном виде (при необходимости).

4.5. Резервное копирование

  • Регулярное создание резервных копий данных с использованием безопасных и проверенных средств.
  • Хранение резервных копий в условиях, исключающих несанкционированный доступ к ним.

4.6. Защита от вредоносного ПО

  • Постоянное обновление антивирусного ПО и систем защиты.
  • Проверка файлов, загружаемых или загружаемых Пользователями, на наличие вирусов и вредоносного кода.

4.7. Обнаружение вторжений и реагирование на инциденты

  • Мониторинг сетевого трафика и системные журналы для выявления подозрительной активности.
  • Разработка и реализация плана реагирования на инциденты, включающего в себя процедуры уведомления ответственных лиц, сбора доказательств, анализа причин и восстановления систем.

5. Обязанности Администрации Сайта и Пользователей

5.1. Администрация Сайта обязуется:

  • Следовать принципам и мерам, указанным в настоящей Политике;
  • Уведомлять Пользователей о возможных рисках в случае серьёзных сбоев или утечек данных;
  • Принимать все разумные меры по предотвращению несанкционированного доступа к данным.

5.2. Пользователи обязуются:

  • Использовать Сайт только в соответствии с действующим законодательством и условиями Пользовательского соглашения;
  • Не предпринимать попыток получить доступ к данным или функционалу, на которые у них нет соответствующих прав;
  • Сообщать Администрации Сайта о любых подозрительных действиях, проблемах с безопасностью или нарушениях, которые они обнаружили во время использования Сайта.

6. Управление инцидентами и ответственность

6.1. Реагирование на инциденты
При возникновении инцидентов (утечка данных, несанкционированный доступ, сбой в работе систем и т. д.) Администрация Сайта:

  • Незамедлительно предпринимает меры по блокировке несанкционированного доступа, восстановлению системы и минимизации возможного ущерба;
  • Проводит расследование причин инцидента;
  • Информирует затронутых лиц и компетентные органы (при необходимости) в соответствии с требованиями законодательства.

6.2. Ответственность

  • Администрация Сайта несёт ответственность за организацию системы защиты и своевременную реакцию на инциденты в соответствии с требованиями законодательства;
  • Пользователи, нарушившие настоящую Политику и/или совершившие действия, причинившие ущерб Сайту, могут быть привлечены к ответственности в соответствии с гражданским, административным и/или уголовным законодательством РФ.

7. Взаимодействие с третьими лицами

7.1. Поставщики и подрядчики

  • При передаче данных третьим сторонам (хостинг-провайдерам, подрядчикам, обслуживающим системам резервного копирования и т. п.) Администрация Сайта заключает договоры, обязывающие данные стороны соблюдать стандарты безопасности и конфиденциальности.

7.2. Государственные органы

  • Администрация Сайта взаимодействует с государственными органами в рамках требований законодательства (по запросу правоохранительных органов, суда и т. д.), передавая только ту информацию, которую обязана предоставить в соответствии с законом.

8. Изменения и актуализация

8.1. Настоящая Политика может быть пересмотрена или дополнена в любое время. Актуальная редакция Политики размещается на Сайте и содержит дату последнего обновления.

8.2. Продолжение использования Сайта после внесения изменений в Политику означает согласие Пользователя с обновлёнными условиями.

9. Контактная информация

9.1. По всем вопросам, связанным с безопасностью Сайта, обнаружением уязвимостей или инцидентов, можно связаться с Администрацией Сайта по следующим контактам:

Сайт: https://pilomaterial.kz

Телефоны:

  • +7 (701) 993-41-73
  • +7 (701) 228-48-84

Электронная почта: ogorodnikova_i@mail.ru

Дата последнего обновления: 04.03.2025 г