Бизнес, в котором мы работаем, связан с интенсивным использованием персональных данных, поэтому мы признаем, что защита данных имеет первостепенное значение для обеспечения непрерывности бизнеса, и применяем для ее обеспечения самые высокие стандарты. Мы стремимся к безопасному управлению данными на протяжении всего жизненного цикла персональных данных.

Большая часть информации, которую мы создаем и используем в своей работе, либо предназначена исключительно для внутреннего использования, либо будет раскрыта публично только в определенное время и для определенной цели. Конфиденциальная информация может принимать различные формы, включая коммерческую тайну, исследования и финансовые прогнозы, а также данные о потребителях.

Доверие клиентов и партнеров имеет решающее значение для нашего бизнеса. Обращение с персональными данными с должным вниманием и уважением необходимо для укрепления доверия, защиты репутации нашей компании и достижения наших стратегических целей.

Информационная безопасность

Информационная безопасность

Наша система менеджмента информационной безопасности представляет собой структуру, основанную на трех столпах: людях, процессах и технологиях, соответствующих стандарту ISO 27001.

Люди

Внимание высшего менеджмента компании и постоянное обучение персонала позволяет организации не только соблюдать сложные и меняющиеся законы о защите персональных данных, но и способствовать повышению осведомленности внутренних и внешних заинтересованных сторон.

Все сотрудники нашей компании должны:

  • Хранить в тайне коммерческую и производственную тайну, а также прочую информацию, ставшую доступной в результате трудовых отношений, в том числе в отношении членов семьи или друзей. Это относится к информации о коммерческих партнерах и клиентах, которая не является общедоступной. Обязательство о сохранении коммерческой тайны остается в силе после прекращения трудовых отношений.
  • Защищать конфиденциальную информацию компании от непреднамеренного раскрытия, никогда не создавая, не получая доступа и не используя нашу конфиденциальную информацию в общедоступных условиях, где ее могут подслушать или просмотреть.
  • Защищать конфиденциальную информацию от кражи, используя только предоставленные компанией инструменты и программное обеспечение, а также создавая и сохраняя пароли в соответствии с нашими политиками и стандартами.
  • Соблюдать наши политики и стандарты в отношении ИТ-инфраструктуры и информационной безопасности, а также наши политики в отношении раскрытия информации в социальных сетях или по другим каналам.

Кампании по обучению и повышению осведомленности для всех сотрудников обеспечивают сохранение высокого уровня защиты персональных данных во всех бизнес процессах.

Тщательная проверка биографических данных потенциальных сотрудников, является неотъемлемой частью процесса найма нашей компании.

Процессы

Любое раскрытие конфиденциальной информации за пределами компании — а для некоторых видов информации — даже внутри компании — строго контролируется, чтобы наилучшим образом защитить интересы нашей компании, партнеров, потребителей и коллег. Крайне важно, соблюдать передовые методы информационной безопасности, чтобы обеспечить адекватную защиту этих интересов. Также важно, сохранять бдительность в отношении непреднамеренного раскрытия конфиденциальной информации компании, которое может нанести компании такой же ущерб, как и преднамеренное раскрытие.

Обработка персональных данных в нашей компании автоматизирована, учитывая значительные объемы персональных данных, которые мы обрабатываем, и потребность в безопасности, скорости и надежности их обслуживания. Чтобы снизить риск, личные данные клиентов удаляются после завершения процесса обработки документов.

Мы проводим регулярный IT-аудит, чтобы обеспечить конфиденциальность, доступность и целостность информации, а также соответствие системы менеджмента информационной безопасности законам, стандартам о защите данных и политике в отношении обработки персональных данных и выявлению слабых мест в информационных системах.

Технологии

Вся информация, которую мы генерируем, хранится в цифровом виде в нашей DMS-системе. Информационная безопасность — это практика защиты информации путем ограничения любого несанкционированного или иным ненадлежащим образом полученного доступа, раскрытия, уничтожения, изменения или копирования такой информации.

Мы используем передовые подходы в области безопасности для усиления нашей защиты от киберугроз. Каждый наш офис имеет зашифрованное VPN-подключение и защищен межсетевыми экранами. Персонал имеет доступ только к тем приложениям, за которые он отвечает, а также имеет ограниченный доступ внутри приложения. Каждый сервер расположен в сертифицированном в соответствии с ISO 27001 центре обработки данных и имеет собственный сетевой экран, а также антивирус. Весь трафик, входящий и исходящий из нашей сети, шифруется и постоянно отслеживается, и при обнаружении необычного поведения принимаются незамедлительные меры.

Для обеспечения информационной безопасности мы внедрили и используем стратегию эшелонированной обороны Defense in Depth (DiD), включающую набор многослойных и дублирующих процедур и средств физического и административного контроля, а также технический защиты от различных угроз, такие как:

  • Брандмауэр. Мы используем брандмауэры, которые фокусируются на обнаружении и блокировке вредоносной активности, нацеленной на конкретное приложение или всю сеть.
  • Сегментация сети. Мы разделили наши сети на на логические подсети на основе наших бизнес-процессов. Эти сети не в состоянии взаимодействовать напрямую друг с другом, что обеспечивает защиту информации даже в том случае, если часть сети подверглась атаке.
  • Управление обновлениями. Мы следим за состоянием и проводим регулярное обновление программного обеспечения, операционных систем и сетевого оборудования, для устранения известных уязвимостей, которые могут привести к нежелательному доступу к компьютерным системам или сетям.
  • Система (IDS/IPS). Мы внедрили и применяем систему обнаружения и предотвращения вторжений, которая предупреждает при обнаружении потенциально вредоносного сетевого трафика и блокирует вредоносную активность в сети или на рабочем столе пользователя.
  • Система DLP. Наша компания внедряет систему предотвращение утечек информации, чтобы предотвратить передачу конечными пользователями конфиденциальной ии чувствительной информации неавторизованным получателям за пределами компании.
  • Антивирусное программное обеспечение установлено на всех пользовательских компьютерах в сети компании, в том числе на ноутбуках и мобильных устройствах пользователей, и обеспечивает антивирусную защиту.
  • Управление привилегированным доступом (PAM). Пароли хранятся и распространяются в безопасном хранилище, регулярно проверяются. Мы используем многофакторную авторизацию везде, где это возможно. В соответствии с принципом наименьших привилегий (POLP) пользователям, системам и процессам предоставляется доступ только к тем ресурсам, которые абсолютно необходимы для выполнения назначенной им цели.
Защита персональных данных

Защита персональных данных

Наши принципы управления конфиденциальностью соответствуют требованиям "золото" стандарта в мире - бщего регламента ЕС по защите данных (GDPR). Мы последовательно применяем эти принципы во всем мире как минимальный стандарт, управления информацией, которую нам доверили наши клиенты, даже если в конкретных странах этого не требуется.

Персональные данные — это любая информация, которая прямо или косвенно идентифицирует и описывает человека. Эта личная информация может относиться к потребителям, нашим коллегам по работе, нашим деловым партнерам или другим третьим лицам. Защита персональных данных — это право людей знать и влиять на то, как и почему их личная информация собирается и обрабатывается. Кроме того, практически везде, где мы ведем бизнес, действуют законы о защите персональных данных. Любое несоблюдение этих законов может привести к штрафам, судебным искам или уголовному преследованию как против компании, так и против отдельных наших сотрудников.

Поэтому все сотрудники должны:

  • Обрабатывать, раскрывать или иным образом использовать охраняемые персональные данные только в разрешенных целях и только в рамках своих должностных обязанностей. Обязательство по сохранению конфиденциальности персональных данных сохраняется даже после ухода из компании.
  • Обеспечить, чтобы личная информация не разглашалась неавторизованным внутренним или внешним сторонам.
  • Если вы сомневаетесь, спросить у руководителя, как обращаться с личной информацией.
  • Немедленно сообщать о любом известном или предполагаемом несанкционированном использовании или раскрытии персональных данных.

Все наши сотрудники несут ответственность за соблюдение в своей деятельности принципов и соответствие законам о защите персональных данных.

Все сотрудники, работающие с персональными данными, проходят регулярное обучение и тренинги, с целью обеспечения безопасного обращения с данными и повышения осознаности.

Наши принципы защиты персональных данных:

  1. Прозрачность: мы информируем клиентов о том, как мы планируем использовать их данные.
  2. Добросовестное и законное использование: мы используем персональные данные клиентов только в соответствии с действующим законодательством и только в тех случаях, когда у нас есть на это законные основания.
  3. Ограничение цели: мы используем информацию клиентов только для конкретно определенных целей и никаким другим образом.
  4. Минимизация данных: мы не храним никакие данные клиентов дольше, чем это необходимо для предоставления запрошенной услуги или реализации наших законных интересов. Никакие копии данных заявителей не делаются и не сохраняются ни в цифровом, ни в физическом виде.
  5. Конфиденциальность по дизайну: мы заботимся о том, чтобы наши услуги и технологии были разработаны с учетом конфиденциальности наших клиентов.
  6. Точность данных: мы стараемся поддерживать соответствующие стандарты качества данных.
  7. Права людей: мы уважаем право людей на неприкосновенность частной жизни.
  8. Безопасность данных: мы поддерживаем соответствующие стандарты защиты персональных данных и удаляем их, как только потребность в них отпадает, в соответствии с законами о защите персональных данных.
  9. Передача данных: если нам необходимо передать информацию о клиентах третьей стороне, мы заботимся о том, чтобы такая передача была безопасной и соответствовала законодательству. Например, бумажные документы пересылаются только надежными курьерскими службами.
  10. Третьи лица: Когда мы выбираем стороннего поставщика услуг, мы проводим комплексную проверку, мониторинг и меры по обеспечению безопасности, чтобы обеспечить надлежащую защиту информации наших клиентов и соблюдение требований законодательства.

Меры по обеспечению безопасности персональных данных:

  • Форма онлайн-заявки хранится в безопасном, сертифицированном в соответствии с ISO 27001 центре обработки данных, полностью зашифрована и имеет контролируемый доступ.
  • Физические носители данных надежно охраняются, для целей ограничения доступа, а любые электронные данные - шифруются.
  • Данные безопасно передаются только в зашифрованном виде и только по зашифрованным каналам передачи.
  • Все данные удаляются, по окончании срока обработки заказа. По истечении законодательно установленных сроков мы удаляем все данные.

Управление защитой персональных данных

За защитой персональных данных следит высший менеджмент, отвечающих за соблюдение требований, изложенных в законах, правилах о защите персональных данных. Кроме того, руководство компании, следит за тем, чтобы наша политика в отношении обработки персональных данных согласовывалась с нашей бизнес-стратегией, гарантируя устойчивое развитие бизнеса. Мы глубоко привержены обеспечению самых высоких стандартов информационной безопасности и конфиденциальности данных во всех наших бизнес-процессах.

В рамках политики "Говорить громко!" сотрудникам рекомендуется сообщать об инцидентах, связанных с нарушениями конфиденциальности данных, непосредственно высшему руководству.

Непрерывность бизнеса и аварийное восстановление для обеспечения устойчивости бизнеса

Непрерывность бизнеса и аварийное восстановление для обеспечения устойчивости бизнеса

Сбои или нарушение бизнеса из-за кибератаки может иметь разрушительные последствия для компании и может нарушить работу всей цепочки поставок, что приведет к финансовым и репутационным потерям. И в сегодняшнем мире, зависимом от цифровых технологий, на счету каждая секунда. И чем дольше время восстановления, тем больше негативное влияние на бизнес.

Наша политика непрерывности бизнеса преследует три цели:

  1. Продемонстрировать приверженность руководства компании и его лидерскую роль в обеспечении непрерывности бизнеса.
  2. Сформировать общее понимание внутри компании и за ее пределами о важности непрерывности бизнеса для устойчивости.
  3. Стимулировать действия для обеспечение непрерывности бизнеса и аварийного востановления.

С появлением больших данных, облачных технологий, мобильных устройств нашей компании приходится иметь дело с обработкой и хранением значительных объемов данных. Планы аварийного восстановления стали намного более сложными, чтобы вместить гораздо большие объемы данных с различных устройств. Для обеспечения отказоустойчивости применяется план аварийного восстановления, который включает в себя интегрированную стратегию и передовые технологии, включающую оркестрацию резервного копирования и восстановления данных.

Эти решения аварийного восстановления помогают нам быстро восстановить информационные системы во время и после кибератаки.

Планирование обеспечения непрерывности бизнеса охватывает все аспекты бизнеса, включая:

  • Бизнес-процессы
  • Человеческие ресурсы
  • Цепочки поставок

Наш стратегия обеспечения непрерывности бизнеса отвечает на вопросы:

  • Какие точки отказа существуют в организации?
  • Каковы критические зависимости от оборудования, собственного персонала, поставщиков или других третьих сторон?
  • Какие обходные пути существуют для нарушения любого из них?
  • Какие организационные процессы, персонал, навыки и технологии необходимы для обеспечении непрерывности бизнеса и полного восстановления после аварии?

Управление рисками

Наш подход использует передовые технологии и лучшие практики для оценки рисков, определения приоритетов и защиты критически важных для бизнеса приложений и данных.

Для нашей компании управление рисками включает оценку стратегии обеспечения непрерывности бизнеса и планов аварийного восстановления. Перед созданием плана аварийного восстановления мы провели анализ влияния на бизнес (BIA) и анализ рисков (RA) и устанавли цели восстановления. Анализируя, тестируя и совершенствуя эти планы, мы получаем больше возможностей для обеспечения устойчивости бизнеса.

План аварийного восстановления

Основная цель План аварийного восстановления — не только обеспечить восстановление данных, но и свести к минимуму последствия аварии для бизнес-процессов и дать возможность компании быстро вернуться к нормальной жизни после стихийного бедствия.

План аварийного восстановления определяет, какие приложения наиболее важны для работы бизнеса. Целевое время восстановления (RTO) описывает целевое количество времени, в течение которого бизнес-приложение может быть отключено. Целевая точка восстановления (RPO) описывает возраст файлов, которые необходимо восстановить из хранилища резервных копий, прежде чем можно будет возобновить нормальную работу.

План аварийного восстановления разработан в соответствии со стандартом BSI 100-4 включает:

  • Роли и обязанности по реализации плана аварийного восстановления
  • Список потенциальных рисков для критически важных систем и конфиденциальной информации
  • Процедуры сообщения о стихийных бедствиях, эскалации событий, восстановлении критически важных операций и возобновлении нормальной работы
  • Требования по обеспечению информационной безопасности на протяжении всего процесса
  • Инвентаризацию резервных копий и удаленных хранилищ
  • Планы действий в чрезвычайных ситуациях для различных типов аварийных ситуаций
  • Доступность плановой документации

Тестирование плана аварийного восстановления

Мы повышаем устойчивость компании, обновляя планы BC и DR и регулярно тестируя их.

Тестирование плана обеспечения непрерывности бизнеса и аварийного восстановления гарантирует, что установленные процедуры восстановления будут работать должным образом для сохранения бизнес-операций. На этапе тестирования также выявляются области для улучшения, которые включаются в следующую версию плана.

С целью оценки эффективности плана аварийного восстановления мы проводим регулярный внутренний аудит. Аудит направлен на детализацию рисков и проверку средства контроля, чтобы определить, приемлемы ли эти риски для организации.

Обучения сотрудников для обеспечения максимальной устойчивости

Успех программ обеспечения непрерывности бизнеса и аварийного восстановления зависит от надлежащего обучения сотрудников, что обеспечивает готовность сотрудников к реагированию на кризис.

Обучение сотрудников аварийному восстановлению включает как руководство компании, непосредственно ответственных за обеспечение непрерывности так и всех остальных сотрудников, что повышает осведомленность поощряет корпоративную культуру создания и поддержания непрерывности бизнеса и более широкого участия в усилиях по восстановлению.