← На главную

Информационная безопасность

Редакция от 01.03.2026 | АО «НПО «Восход»

1. Оператор и ответственность

Оператором информационной системы является АО «НПО «Восход»

  • ИНН: 9705223475
  • ОГРН: 1247700314971
  • Адрес: 115280, Москва, ул. Ленинская Слобода, д. 26, пом. 32/43
  • Контакт DPO: security@secretai.ru, +7 (499) 117-00-87

Оператор обеспечивает комплексную защиту информации в соответствии с требованиями российского законодательства и международных стандартов.

2. Сертификация и соответствие стандартам

Система SecretAL соответствует следующим стандартам и требованиям:

  • Требования ФСТЭК России по защите информации
  • ГОСТ Р 34.10-2012 — электронная цифровая подпись
  • ГОСТ Р 34.11-2012 — хэш-функция
  • 152-ФЗ «О персональных данных»
  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • 98-ФЗ «О коммерческой тайне»
  • PCI DSS (для обработки платёжных данных)

3. Шифрование и защита данных

Шифрование в транзите: все данные передаются по протоколу TLS 1.3. Соединения с более ранними версиями протокола не допускаются.

Шифрование в покое: данные хранятся в зашифрованном виде с использованием алгоритма AES-256.

Ключи шифрования: управление ключами осуществляется с использованием HSM (Hardware Security Module). Ротация ключей производится ежеквартально.

4. Хранение данных

В соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ все персональные данные граждан Российской Федерации хранятся исключительно на серверах, расположенных на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.

5. Разграничение доступа

Доступ к данным разграничивается по принципу RBAC (Role-Based Access Control):

  • Администратор компании — полный доступ к данным организации
  • Секретарь — доступ к документам и реестру
  • Акционер — доступ только к собственным данным и материалам собраний
  • Аудитор — доступ только для чтения

Принцип минимальных привилегий применяется на всех уровнях системы.

6. Журнал аудита

Все действия в системе логируются в защищённом журнале аудита. Каждая запись содержит:

  • Идентификатор пользователя
  • Временная метка (timestamp) в формате UTC
  • IP-адрес и User-Agent
  • Тип операции и затронутый объект
  • Результат операции

Журнал аудита хранится 3 года и не может быть изменён или удалён пользователями системы.

7. Резервное копирование

Резервное копирование данных производится ежедневно в автоматическом режиме. Резервные копии:

  • Хранятся в зашифрованном виде в географически распределённых центрах обработки данных
  • Срок хранения резервных копий — 90 дней
  • Восстановление данных из резервной копии — в течение 4 часов
  • Тестирование восстановления проводится ежеквартально

8. Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) является обязательной для всех пользователей системы. Поддерживаемые методы второго фактора:

  • SMS-код на зарегистрированный номер телефона
  • TOTP-приложение (Google Authenticator, Яндекс.Ключ)
  • Вход через Госуслуги (ЕСИА)
  • Биометрическая аутентификация через ЕБС (опционально)

9. Тестирование на проникновение

Penetration testing (тестирование на проникновение) проводится:

  • Ежеквартально — внутренним отделом безопасности
  • Ежегодно — независимой аккредитованной организацией

Результаты тестирования используются для оперативного устранения выявленных уязвимостей.

10. Управление инцидентами

В случае выявления инцидента информационной безопасности:

  1. Немедленная локализация инцидента и предотвращение распространения
  2. Оценка масштаба и последствий
  3. Уведомление затронутых пользователей в течение 72 часов
  4. Уведомление Роскомнадзора в установленные законом сроки
  5. Анализ причин и принятие мер по недопущению повторения

Для сообщения об инцидентах безопасности: security@secretai.ru