EGEROBOT
Система управления информационной безопасностью

Информационная безопасность Политика

Система управления информационной безопасностью в соответствии с ISO 27001:2022, GDPR и защитой данных

Последнее обновление: 2026-02-04

Цель

EGEROBOT рассматривает корпоративную информацию как чрезвычайно ценный актив. Информация имеет критическое значение для устойчивости нашей деловой деятельности и должна быть надлежащим образом защищена.

EGEROBOT стремится минимизировать риски, которые могут возникнуть с точки зрения Конфиденциальности, Целостности и Доступности корпоративной информации, а также последствия этих рисков путём внедрения стандарта ISO 27001:2022 в рамках Системы управления информационной безопасностью (СУИБ).

Наша основная цель — обеспечить доверие организаций и учреждений, которые мы обслуживаем, и гарантировать безопасность используемых нами информационных активов. В этом контексте наши отношения с клиентами, заинтересованными сторонами, официальными учреждениями и поставщиками, с которыми мы сотрудничаем, чрезвычайно ценны.

Область применения

Система управления информационной безопасностью EGEROBOT охватывает всю организацию, деловых партнёров, поставщиков и отношения с клиентами. Настоящая политика применяется ко всей деятельности по обработке информации, включая физическую среду, цифровые системы, облачные инфраструктуры и среды удалённой работы.

Обязательства

Как EGEROBOT и наши сотрудники, для устранения и управления всеми видами рисков для непрерывности нашего бизнеса, информационных активов и персональных данных;

  1. 1Документировать, сертифицировать и постоянно улучшать нашу систему управления информационной безопасностью для соответствия требованиям стандарта ISO 27001:2022
  2. 2Обеспечивать конфиденциальность, целостность и доступность информации, принадлежащей клиентам, деловым партнёрам, заинтересованным сторонам, поставщикам или другим третьим лицам
  3. 3Обеспечивать соблюдение всех законодательных норм и договоров, связанных с информационной безопасностью
  4. 4Проводить обучение для развития технических и поведенческих компетенций с целью повышения осведомлённости об информационной безопасности
  5. 5Защищать конфиденциальность критических данных, таких как стратегические цели, источники поставок, информация о клиентах, заинтересованных сторонах, деловых партнёрах и сотрудниках, а также персональные данные, связанные с нашими услугами
  6. 6Создавать соответствующие физические и электронные среды для безопасности информационных активов, обеспечивать непрерывность и контроль конфиденциальности, целостности и доступности информационных активов
  7. 7Обеспечивать необходимые планы и техническую инфраструктуру для гарантии непрерывности наших услуг информационных технологий
  8. 8Своевременно обнаруживать ситуации, противоречащие информационной безопасности, и немедленно реагировать
  9. 9Принимать меры, указанные в Законе о защите персональных данных № 6698, и работать в полном соответствии с Политикой защиты персональных данных
  10. 10Защищать все персональные данные и информационные активы, принадлежащие EGEROBOT, обеспечивать условия информационной безопасности в рамках национальных и международных стандартов, законов и нормативных актов, непрерывно улучшать, развивать и пересматривать информационную безопасность путём управления существующими и потенциальными рисками

мы обязуемся.

Правовая база и стандарты

Настоящая политика подготовлена в соответствии со следующими национальными и международными нормативными актами:

Международные стандарты

ISO/IEC 27001:2022Система управления информационной безопасностью
ISO/IEC 27002:2022Меры контроля информационной безопасности
ISO/IEC 27701:2019Управление информацией о конфиденциальности
ISO 22301:2019Система управления непрерывностью бизнеса

Регламенты Европейского союза

GDPRОбщий регламент о защите данных – ЕС 2016/679
Директива NIS2Безопасность сетевых и информационных систем

Законодательство Турции

Закон № 6698 KVKKЗакон о защите персональных данных
Закон № 5651Регулирование интернет-публикаций
Закон № 5237 УКТКиберпреступления (Статьи 243-246)
Закон № 6102 ТКТКоммерческие книги и обязательства по хранению документов

Основные принципы

Политика информационной безопасности EGEROBOT основана на следующих принципах:

Конфиденциальность

  • Информация защищена от несанкционированного доступа
  • Не может быть раскрыта неуполномоченным лицам умышленно или по неосторожности
  • Применяется классификация данных и контроль доступа

Целостность

  • Обеспечивается точность и согласованность информации
  • Применяются механизмы защиты от несанкционированных изменений
  • Ведутся журналы регистрации и аудиторские следы

Доступность

  • Обеспечивается своевременный доступ уполномоченных пользователей к информации
  • Принимаются меры против сбоев системы
  • Реализуются планы непрерывности бизнеса

Безопасность по умолчанию

  • Системы разрабатываются с акцентом на безопасность с этапа проектирования
  • Принят принцип конфиденциальности по умолчанию

Категории современных угроз и меры

Программы-вымогатели

  • Регулярные и изолированные стратегии резервного копирования
  • Шифрование данных против атак двойного вымогательства
  • Системы обнаружения и реагирования на конечных точках (EDR)

Социальная инженерия и фишинг

  • Обучение сотрудников повышению осведомлённости
  • Протоколы верификации против угроз дипфейков с поддержкой ИИ
  • Фильтры безопасности электронной почты и настройка SPF/DKIM/DMARC

Продвинутые постоянные угрозы (APT)

  • Обнаружение угроз на основе поведения
  • Сегментация сети
  • Архитектура нулевого доверия

Атаки на цепочку поставок

  • Оценка рисков третьих сторон
  • Анализ компонентов программного обеспечения (SBOM)
  • Аудиты безопасности поставщиков

Безопасность IoT и OT

  • Изоляция промышленных систем управления
  • Инвентаризация устройств IoT и обновления безопасности
  • Мониторинг сетевого трафика

Политика облачной безопасности

Общие принципы

  • Проверяются сертификаты безопасности поставщиков облачных услуг
  • Применяется архитектура нулевого доверия
  • Данные шифруются при передаче и хранении

Контроль доступа

  • Многофакторная аутентификация (MFA) обязательна
  • Применяется принцип наименьших привилегий
  • Используется управление доступом на основе ролей (RBAC)

Безопасность конфигурации

  • Используются инструменты управления состоянием облачной безопасности (CSPM)
  • Проводятся регулярные аудиты конфигурации
  • Обеспечивается безопасность API

Политика безопасности удалённой работы

Сетевая безопасность

  • Использование VPN обязательно
  • Рекомендуется безопасная настройка домашней сети
  • Конфиденциальные данные не обрабатываются в публичных сетях Wi-Fi

Безопасность устройств

  • Устройства, получающие доступ к данным компании, зашифрованы
  • Обновлённый антивирус и патчи безопасности обязательны
  • Применяется управление мобильными устройствами (MDM)

Защита данных

  • Конфиденциальные данные не хранятся на локальных устройствах
  • Используется облачный обмен файлами
  • Применяются правила совместного использования экрана и просмотра

Безопасность третьих сторон и поставщиков

Оценка

  • Проводятся оценки безопасности поставщиков
  • Требуется сертификация ISO 27001 или эквивалентная
  • Проводятся регулярные аудиты безопасности

Договорные требования

  • Подписываются соглашения о неразглашении (NDA)
  • Заключаются соглашения об обработке данных (DPA)
  • Определяются обязательства по уведомлению о нарушениях безопасности

Реагирование на инциденты и управление нарушениями

План реагирования на инциденты

  • Процедуры обнаружения, классификации и эскалации инцидентов
  • Мониторинг безопасности 24/7
  • Определена группа реагирования на инциденты (CSIRT)

Уведомление о нарушении данных

  • KVKK: Уведомление Органа по защите персональных данных «как можно скорее»
  • GDPR: Уведомление соответствующего надзорного органа в течение 72 часов
  • Пострадавшие лица информируются

После инцидента

  • Проводится анализ первопричин
  • Внедряются меры по улучшению
  • Документируются извлечённые уроки

Непрерывность бизнеса и аварийное восстановление

План непрерывности бизнеса (BCP)

  • Определяются критические бизнес-процессы
  • Определяются целевое время восстановления (RTO) и целевая точка восстановления (RPO)
  • Планируются альтернативные рабочие площадки

Аварийное восстановление (DR)

  • Регулярные процедуры резервного копирования и тестирования
  • Географически распределённое резервное копирование
  • Ежегодные учения по аварийному восстановлению

Защищаемые активы

Идентификационная информация и персональные данные
Информация о клиентах и деловых партнёрах
Программные пакеты и исходные коды
Серверы и сетевая инфраструктура
Облачные ресурсы и базы данных
Права интеллектуальной собственности
Коммерческие тайны и деловая информация

Поддерживающие политики

Политика чистого стола и чистого экрана
Политика использования электронной почты
Политика контроля доступа
Политика криптографического контроля
Политика управления паролями
Политика использования мобильных устройств (BYOD)
Политика использования социальных сетей
Политика классификации данных
Политика резервного копирования и восстановления
Политика управления изменениями

Цели

  1. 1Определить ценность информационных активов путём соответствующей оценки рисков
  2. 2Понять уязвимости и потенциальные угрозы
  3. 3Снизить риски до приемлемого уровня
  4. 4Соблюдать национальное законодательство (KVKK, 5651, УКТ)
  5. 5Обеспечить соответствие международным нормам (GDPR, ISO 27001:2022)
  6. 6Соблюдать условия договоров с клиентами
  7. 7Соблюдать процедуры и инструкции контроля
  8. 8Постоянно повышать уровень зрелости кибербезопасности

Обучение и осведомлённость

  • Всем сотрудникам ежегодно предоставляется обучение по информационной безопасности
  • Вводное обучение обязательно для новых сотрудников
  • Проводятся симуляции фишинга и тесты осведомлённости
  • Организуется специализированное обучение безопасности на основе ролей
  • Записи об обучении документируются

Обязанности

Высшее руководство

  • Утверждает и поддерживает настоящую политику
  • Предоставляет необходимые ресурсы
  • Участвует в ежегодных обзорных совещаниях

Директор по информационной безопасности (CISO)

  • Координирует реализацию политики
  • Управляет инцидентами безопасности
  • Проводит оценку рисков
  • Отчитывается перед руководством

Руководители подразделений

  • Обеспечивает реализацию политики в своих подразделениях
  • Сообщает об уязвимостях безопасности
  • Поддерживает осведомлённость сотрудников

Все сотрудники

  • Соблюдают политику информационной безопасности
  • Сообщают об инцидентах безопасности
  • Участвуют в обучении
  • Сообщают о подозрительных ситуациях

Санкции

Любое умышленное или неосторожное действие, ставящее под угрозу безопасность информации, принадлежащей EGEROBOT, её клиентам или поставщикам:

  • Дисциплинарные взыскания
  • Прекращение трудовых отношений
  • Судебное преследование (Закон № 5237 УКТ - Киберпреступления)
  • Требования о возмещении ущерба

подлежит.

Непрерывное улучшение (Цикл PDCA)

EGEROBOT применяет цикл Plan-Do-Check-Act (PDCA) для непрерывного улучшения системы управления информационной безопасностью:

Plan (Планировать)

  • Оценка рисков и определение целей безопасности
  • Создание политик и процедур
  • Планирование ресурсов

Do (Выполнять)

  • Внедрение средств контроля
  • Проведение обучения
  • Документирование

Check (Проверять)

  • Внутренние аудиты
  • Измерение производительности
  • Анализ инцидентов и оценка тенденций

Act (Действовать)

  • Корректирующие действия
  • Превентивные меры
  • Рекомендации по непрерывному улучшению

Пересмотр

Настоящая политика:

  • Пересматривается не реже одного раза в год
  • Пересматривается при существенных изменениях, инцидентах безопасности или обновлениях нормативных актов
  • Оценивается на совещаниях по анализу со стороны руководства (МР)

Контакты

Свяжитесь с нами по вопросам информационной безопасности или для сообщения об инцидентах.

Страница контактов
Настоящий документ является частью Системы управления информационной безопасностью EGEROBOT.