1.1. Настоящая Политика безопасности (далее – "Политика") определяет принципы, правила и процедуры, направленные на обеспечение конфиденциальности, целостности и доступности информации и информационных активов Компании "ChurcHehe 3D Print/Paint" (далее – "Компания").
1.2. Цель Политики – минимизировать риски несанкционированного доступа, использования, раскрытия, модификации, утраты или уничтожения информации, включая персональные данные клиентов, коммерческую тайну, проектные файлы (3D-модели), финансовую информацию и ИТ-системы.
1.3. Политика обязательна для исполнения всеми сотрудниками, подрядчиками и иными лицами, имеющими доступ к активам Компании.
2.1. Политика распространяется на:
- Все информационные активы Компании (электронные и физические): компьютеры, серверы (включая хостинг сайта), смартфоны, планшеты, принтеры, носители информации (флешки, HDD/SSD), бумажные документы.
- Всю информацию: персональные данные клиентов (обработка которых регламентируется Политикой конфиденциальности), коммерческие предложения, прайс-листы, договоры, финансовые отчеты, 3D-модели, исходные коды сайта, учетные данные, переписка.
- Все ИТ-системы: сайт (churchehe.ru, hehewiki.ru), электронная почта (churchehe@yandex.ru), мессенджеры (Telegram: https://t.me/hehechurch), облачные сервисы (если используются), платежные системы (ЮKassa).
- Все физические места: офис/мастерская, места хранения оборудования и материалов.
Несет конечную ответственность за безопасность информации. Утверждает Политику, обеспечивает ресурсы, контролирует исполнение.
- Обязаны знать и соблюдать требования настоящей Политики и Политики конфиденциальности.
- Несут ответственность за безопасность информации, с которой работают.
- Немедленно сообщают Руководителю о любых подозрениях на нарушение безопасности (утечка данных, вирусная атака, утрата устройства, подозрительные действия).
Обеспечивает техническую реализацию мер безопасности (настройка ПО, резервное копирование, обновления), контроль доступа, реагирование на инциденты.
4.1. Для адекватной защиты информация классифицируется по степени конфиденциальности:
- Строго конфиденциально (Высокий риск): Персональные данные клиентов (полные наборы), финансовые данные (реквизиты, отчеты), учетные данные (логины/пароли ко ВСЕМ системам), уникальные/патентованные 3D-модели, коммерческая тайна (стратегия, ключевые договоры).
- Конфиденциально (Средний риск): Данные заказов (без полных ПДн), внутренняя переписка, рабочие 3D-модели, прайс-листы, настройки оборудования.
- Для внутреннего использования (Низкий риск): Инструкции, публичные материалы сайта (после публикации), общая информация о компании.
- Публичная: Информация, размещенная в открытом доступе на сайте churchehe.ru, hehewiki.ru или соцсетях.
4.2. Маркировка конфиденциальной информации (особенно на бумажных носителях) приветствуется.
5.1. Принцип минимальных привилегий: доступ к информации и системам предоставляется строго в объеме, необходимом для выполнения должностных обязанностей.
5.2. Учетные записи (логины/пароли):
- Использование уникальных сложных паролей (минимум 12 символов: буквы верхнего/нижнего регистра, цифры, спецсимволы). Запрещены: пароли типа 123456, qwerty, password, имена, даты рождения.
- Запрещено: записывать пароли в открытом виде (особенно на стикерах на мониторе!), передавать свои учетные данные другим лицам, использовать один пароль для разных систем.
- Использование менеджера паролей (например, KeePass, Bitwarden) или безопасного метода хранения (зашифрованный файл) обязательно для хранения паролей.
- Регулярная смена паролей (рекомендуется каждые 3-6 месяцев) или при подозрении на компрометацию.
- Особо критично: Пароли к почте (churchehe@yandex.ru), админ-панели сайта, платежным системам (ЮKassa), хостингу, Wi-Fi сети офиса.
5.3. Физический доступ: Обеспечить безопасное хранение носителей информации (флешки, диски), бумажных документов с конфиденциальной информацией. Запирать помещения при уходе.
6.1. Антивирусная защита: На всех рабочих компьютерах и ноутбуках обязательно установлено и регулярно обновляется лицензионное антивирусное ПО.
6.2. Обновления: Операционные системы, браузеры и все критически важное ПО (офисные пакеты, ПО для 3D-печати/моделирования) должны регулярно обновляться.
6.3. Резервное копирование:
- Критически важно! Регулярное (ежедневное/еженедельное) резервное копирование ВСЕХ важных данных: база данных сайта, файлы сайта, рабочие 3D-модели, проектные файлы, бухгалтерия, база заказов (экспорт), электронная переписка (если локальная).
- Хранить копии минимум в 2-х местах (например: 1. Основной компьютер/сервер; 2. Внешний жесткий диск; 3. Облачное хранилище (Яндекс.Диск, Google Drive) с включенной двухфакторной аутентификацией!).
- Периодически (раз в квартал) проверять возможность восстановления из резервных копий.
6.4. Безопасность Wi-Fi: Домашняя/офисная Wi-Fi сеть должна быть защищена надежным паролем (WPA2/WPA3), стандартный пароль роутера изменен.
6.5. Защита от вредоносного ПО: Запрещено устанавливать непроверенное ПО, скачивать файлы с сомнительных сайтов, открывать вложения и переходить по ссылкам в подозрительных письмах/сообщениях.
7.1. Обработка ПДн клиентов осуществляется строго в соответствии с Политикой конфиденциальности Компании и требованиями 152-ФЗ.
7.2. Дополнительные меры безопасности для ПДн:
- Хранение баз данных с ПДн на защищенных серверах (хостинг должен соответствовать требованиям 152-ФЗ).
- Минимизация хранения ПДн на локальных рабочих станциях. Если необходимо – только на зашифрованных дисках/разделах.
- Особое внимание защите файлов/таблиц с экспортами заказов, содержащих ПДн. Не оставлять их открытыми на экране, не хранить незашифрованными на флешках/почте.
- Передача ПДн внутри компании и партнерам (курьеры) только безопасными способами (защищенная почта, шифрование, безопасные каналы связи).
8.1. Электронная почта (churchehe@yandex.ru):
- Использовать для пересылки конфиденциальной информации только при необходимости.
- Избегать пересылки паролей, полных ПДн клиентов, критичных финансовых данных открытым текстом по email. При необходимости – использовать архивы с паролем (пароль передавать иным каналом, например, Telegram) или функции безопасной пересылки (если поддерживается).
- Осторожность с вложениями и ссылками.
8.2. Мессенджеры (Telegram - https://t.me/hehechurch):
- Telegram считается достаточно безопасным каналом для внутренних коммуникаций и общения с клиентами.
- Запрещено пересылать через мессенджеры файлы с незашифрованными критичными данными (базы данных, полные списки ПДн, финансовые отчеты) без дополнительной защиты (архив с паролем).
8.3. Облачные сервисы: Использовать только проверенные сервисы (Яндекс.Диск, Google Drive) с включенной двухфакторной аутентификацией (2FA) для доступа к аккаунту. Настройки общего доступа к файлам и папкам должны быть ограничены.
9.1. Обеспечить безопасное хранение оборудования (компьютеры, принтеры, серверы), носителей информации и бумажных документов.
9.2. Запирать помещения при уходе.
9.3. Обеспечить защиту от кражи оборудования (базовые средства, вроде замков).
10.1. Любой сотрудник, обнаруживший или подозревающий инцидент безопасности (вирусная атака, утечка данных, кража устройства, потеря носителя, компрометация пароля), обязан немедленно сообщить Руководителю.
10.2. Руководитель координирует действия по:
- Оценке масштаба инцидента.
- Остановке распространения (например, отключение зараженного ПК от сети).
- Устранению последствий (лечение от вирусов, смена паролей).
- Восстановлению данных из резервных копий (при необходимости).
- Анализу причин и предотвращению повторения.
- Обязательно: В случае инцидента, затрагивающего персональные данные клиентов, действовать в соответствии с требованиями 152-ФЗ (уведомление Роскомнадзора и субъектов ПДн при определенных условиях).
11.1. Руководитель обеспечивает ознакомление всех сотрудников и подрядчиков с настоящей Политикой безопасности и Политикой конфиденциальности при приеме на работу.
11.2. Регулярно (не реже раза в год) напоминать сотрудникам об основных правилах безопасности.
12.1. Настоящая Политика пересматривается не реже одного раза в год, а также при существенных изменениях в бизнес-процессах, законодательстве или технологиях.
12.2. Контроль за соблюдением Политики осуществляется Руководителем.
По всем вопросам, связанным с безопасностью информации, обращаться:
Телефон: +7 (993) 425-75-92
Электронная почта: churchehe@yandex.ru
Telegram: https://t.me/hehechurch
ИП Панкратов Егор Антонович
📄
ОГРНИП: 325450000007439
📅
Дата присвоения ОГРНИП: 06.03.2025
Утверждено:
11 августа 2025 года
Панкратов Егор Антонович
Основатель компании "ChurcHehe 3D Print/Paint"