1. Общие положения 1.1. Цель и область действия Целью политики информационной безопасности магазина является обеспечение конфиденциальности, целостности и доступности информации, связанной с деятельностью магазина. Область действия этой политики включает в себя все информационные активы, в том числе данные клиентов, финансовую информацию, информацию о персонале и дополнительные информационные ресурсы. 1.2. Политика и законодательные требования Магазин обязуется соблюдать все применимые законы и нормативные акты, включая, но не ограничиваясь GDPR, Федеральным законом о персональных данных, и любыми другими законодательными актами, касающимися информационной безопасности и защиты данных. 1.3. Обязательства персонала Все сотрудники магазина обязаны соблюдать и выполнять правила и процедуры, установленные в рамках данной политики. Это включает в себя активное участие в обеспечении безопасности информации, а также соблюдение всех инструкций и требований по информационной безопасности. 2. Термины 2.1. Определения -Информация: Любая запись или данные, независимо от формы исчисления, включая, но не ограничиваясь, электронные файлы, бумажные документы и мультимедийные материалы. -Персональные данные: Любая информация, которая позволяет идентифицировать физическое лицо. -Серверная: Информационная система, предназначенная для хранения, обработки и обеспечения доступности данных. -Камеры видеонаблюдения: Технические устройства, предназначенные для записи видеоматериала для обеспечения безопасности и контроля. - База данных сотрудников: Централизованное хранилище информации о сотрудниках магазина. - Методы и приложения для защиты информационной безопасности: Технические и организационные методы, используемые для обеспечения безопасности информации. 3. Нормативные ссылки 3.1. Законодательство - Приводится перечень законодательных актов, которые регулируют информационную безопасность и защиту данных, включая ссылки на полные тексты этих законов. 4. Организация защиты информации 4.1. Ответственные лица - **Информационный безопасности офицер**: Описываются его обязанности и контактные данные. - **Руководитель магазина**: Описываются его обязанности и контактные данные. 4.2. Обучение и обучение - Устанавливается регулярное обучение сотрудников по правилам информационной безопасности и уровень знаний, необходимый для соблюдения политики. 5. Защита персональных данных 5.1. Сбор и обработка персональных данных 5.1.1. Правила сбора персональных данных Сбор персональных данных клиентов осуществляется при соблюдении следующих правил: Персональные данные собираются только при явном и добровольном согласии клиента. При сборе персональных данных клиентам предоставляется информация о целях сбора, категориях собираемых данных и их последующем использовании. Собираются только те персональные данные, которые необходимы для конкретной цели сбора. Для сбора и обработки персональных данных могут использоваться следующие программы: CRM-система: для хранения информации о клиентах и их заказах. Электронная почта: для взаимодействия с клиентами и отправки уведомлений. Электронные формы: для сбора данных от клиентов на веб-сайте магазина. Бухгалтерская система: для учета финансовых операций и налоговой отчетности. 5.1.2. Цель сбора и использования персональных данных Собранные персональные данные клиентов могут использоваться исключительно для следующих целей: Оформление заказов и доставка товаров. Обеспечение клиентов информацией о новых товарах и акциях магазина. Обратная связь с клиентами и удовлетворение их запросов и вопросов. Соблюдение законодательных требований, включая учет и налоговую отчетность. Защита интересов клиентов и магазина, включая предотвращение мошенничества и обеспечение безопасности. Любое изменение цели использования персональных данных должно быть согласовано с субъектами данных. 5.1.3. Обработка персональных данных Обработка персональных данных должна осуществляться с соблюдением всех применимых законов и правил. Доступ к персональным данным имеют только сотрудники, имеющие соответствующие права доступа, и доступ строго ограничен в соответствии с принципом минимизации. Программы для обработки персональных данных должны быть защищены паролями и шифрованием. 6. Персонал 6.1. Управление доступом 6.1.1. Выделение уровней доступа Для обеспечения безопасности информации и управления доступом сотрудников к информационным ресурсам магазина, определены следующие уровни доступа: Администратор: Полный доступ к всей информации и системам. Менеджер: Доступ к информации о клиентах и заказах, а также возможность управления данными в рамках своей компетенции. Продавец: Ограниченный доступ к информации о товарах и заказах. Бухгалтер: Доступ к финансовой информации и бухгалтерским системам. Выделение уровней доступа осуществляется на основе ролей и обязанностей сотрудников и минимизирует доступ к необходимому минимуму. 6.1.2. Аутентификация сотрудников Для обеспечения аутентификации сотрудников и предотвращения несанкционированного доступа используются следующие методы: Логины и пароли: Каждый сотрудник имеет уникальный логин и пароль для доступа к информационным системам. Пароли регулярно обновляются, и действительны только в определенном сроке. Двухфакторная аутентификация: Для повышения уровня безопасности некоторые системы могут использовать двухфакторную аутентификацию, например, с использованием мобильных приложений или аппаратных устройств. Все сотрудники обязаны соблюдать правила безопасности и не передавать свои учетные данные другим лицам. Нарушение правил безопасности может повлечь за собой дисциплинарные меры. 6.1.4. Прослеживание доступа Все события доступа к информационным системам и данным регистрируются и могут быть прослежены и проконтролированы. Мониторинг и аудит систем обеспечивают надзор за действиями сотрудников и могут быть использованы для выявления несанкционированного доступа или нарушений безопасности. 6.1.6. Блокировка доступа При увольнении сотрудника, изменении его должности или при обнаружении несанкционированного доступа, доступ сотрудника к информационным системам блокируется немедленно. Процедуры блокировки доступа осуществляются с учетом всех безопасностных аспектов и обязательных нормативов. 6.2. Обязанности персонала 6.2.1. Соблюдение правил и процедур Все сотрудники магазина обязаны строго соблюдать следующие правила и процедуры, связанные с информационной безопасностью: 6.2.1.1. Учетные данные Сотрудники не должны делиться своими учетными данными (логинами и паролями) с другими лицами, включая коллег, друзей или семью. Пароли должны быть сложными и регулярно меняться в соответствии с политикой паролей магазина. Нельзя использовать легко угадываемые пароли, такие как "123456" или "пароль". 6.2.1.2. Подозрительная активность Если сотрудник замечает подозрительную активность или несанкционированный доступ к информационным системам, он обязан немедленно уведомить ответственное лицо по информационной безопасности. 6.2.1.3. Обработка персональных данных Сотрудники, работающие с персональными данными клиентов, обязаны соблюдать законодательство о персональных данных и политику магазина в отношении сбора, обработки и защиты этих данных. Никакие персональные данные не могут быть переданы третьим лицам без соответствующего согласия клиента и соблюдения всех правил и процедур. 7. Серверная 7.1. Физическая безопасность - Описываются меры физической безопасности для серверов, включая ограничение физического доступа и безопасное размещение оборудования. ### 7.2. Антивирусная защита - Устанавливается политика по установке и обновлению антивирусного программного обеспечения на серверах. ## 8. Камеры видеонаблюдения и их работа ### 8.1. У становка и настройка - Описываются правила установки, настройки и управления камерами видеонаблюдения, включая местоположение камер и правила записи. ### 8.2. Доступ и хранение записей - Подробно описываются правила доступа к видеозаписям, их хранения, сроки хранения, и процедуры удаления записей. ## 9. База данных сотрудников ### 9.1. Доступ и обработка - Описываются процедуры доступа к базе данных сотрудников и правила обработки данных. ### 9.2. Хранение и резервное копирование - Подробно описываются политика хранения данных и процедуры резервного копирования для базы данных сотрудников. ## 10. Методы и приложения для защиты информационной безопасности ### 10.1. Шифрование - Описываются методы шифрования данных в системах хранения и передачи информации. ### 10.2. Аутентификация - Детализируется, какие методы аутентификации используются для подтверждения личности сотрудников и клиентов. ## 11. Автоматические двери при входе в магазин ### 11.1. Управление доступом - Описывается управление доступом через автоматические двери, включая настройку правил доступа и аутентификации. ### 11.2. Мониторинг и аудит - Подробно описываются меры мониторинга и аудита событий, связанных с автоматическими дверьми, включая запись и анализ событий. ## 12. Аутентификация администратора ### 12.1. Уровни доступа - Детализируется, какие уровни доступа имеют администраторы и как происходит аутентификация администраторов. ## 13. Определение и реагирование на инциденты ### 13.1. Политика реагирования на инциденты - Описываются процедуры для обнаружения, документирования и реагирования на инциденты в области информационной безопасности, включая немедленное уведомление ответственных лиц. ## 14. Аудит и контроль ### 14.1. Аудит информационной безопасности - Описывается процесс регулярного аудита информационной безопасности и контроль соблюдения политики, включая периодичность аудитов. ## 15. Заключение ### 15.1. Подписи ответственных лиц - Документируются подписи ответственных лиц, подтверждающие их обязательства по соблюдению политики информационной безопасности. ### 15.2. Дата - Указывается дата вступления в силу данной политики информационной безопасности магазина.
