Политика информационной безопасности
ООО «КОНСАЛТИНГ МЕНЕДЖМЕНТ ГРУПП» (ООО «КМГ»)
1. Общие положения
1.1. Общество с ограниченной ответственностью «КОНСАЛТИНГ МЕНЕДЖМЕНТ ГРУПП» (далее по тексту – ООО «КМГ», Компания) для целей осуществления своих основных видов деятельности и поддержания своих бизнес-процессов на регулярной основе обрабатывает информацию ограниченного доступа, содержащую сведения, относящиеся к коммерческой тайне, персональным данным и банковской тайне.
1.2. ООО «КМГ» обязуется сохранять конфиденциальность, целостность и доступность обрабатываемой информации.
1.3. Настоящая Политика информационной безопасности (далее по тексту – Политика) является документом, который отражает систему взглядов на цели, задачи, принципы и основные механизмы обеспечения информационной безопасности в ООО «КМГ».
1.4. Политика является общедоступным документом и размещена в открытом доступе на веб-сайте ООО «КМГ»: kmg.energy.
2. Область применения
2.1. Политика применяется при использовании информации, информационных систем, электронно-вычислительных устройств, приложений и сетевых сервисов (далее по тексту – информационные активы), используемых для ведения бизнеса.
2.2. Действие настоящей Политики распространяется на деятельность всех сотрудников ООО «КМГ», а также на партнёров и подрядчиков, получающих доступ к информационным активам Компании.
3. Ответственность
3.1. Подразделение информационной безопасности отвечает за разработку и поддержание Политики в актуальном состоянии.
3.2. Подразделение информационной безопасности несет ответственность за соблюдение настоящей Политики и может привлекать другие структурные подразделения, поставщиков услуг и руководство ООО «КМГ» для поддержания и контроля её соблюдения.
4. Соответствие
4.1. Соответствие Политике обязательно для ООО «КМГ». Нарушение соответствия настоящей Политики повлечёт дисциплинарную, административную и/или уголовную ответственность в соответствии с действующим законодательством Российской Федерации и локальными нормативными документами ООО «КМГ».
5. Цели информационной безопасности
Целями ООО «КМГ» в области обеспечения информационной безопасности являются:
5.1. Поддержание стратегии развития бизнеса Компании посредством защиты персональных данных и коммерческой тайны.
5.2. Соблюдение требований российского законодательства и нормативных документов, регламентирующих порядок обработки и защиты персональных данных и коммерческой тайны.
5.3. Создание процесса управления рисками информационной безопасности.
5.4. Управление выявленными рисками информационной безопасности на приемлемом уровне посредством разработки и внедрения планов минимизации рисков.
5.5. Повышение уровня осведомлённости всего персонала по вопросам обеспечения информационной безопасности.
5.6. Установление ответственности за обеспечение и управление информационной безопасностью в Компании.
6. Обеспечение информационной безопасности
6.1. Организация информационной безопасности
В ООО «КМГ» разработаны, поддерживаются и внедряются политики, процедуры и стандарты обеспечения информационной безопасности для защиты конфиденциальности, целостности и доступности своих информационных активов.
6.2. Управление доступом
Доступ к информационным системам Компании контролируется на протяжении всего жизненного цикла учётной записи: от первоначальной идентификации и аутентификации пользователя до предоставления, изменения и блокировки прав доступа. Права доступа для учётных записей пользователей в информационных системах предоставляются с использованием принципа минимальных привилегий и периодически пересматриваются. Пароли соответствуют требованиям политики Компании к их сложности и периодически меняются.
6.3. Непрерывность бизнеса и аварийное восстановление
ООО «КМГ» защищает критически важные информационные активы от последствий серьёзных сбоев или аварий путем разработки и реализации планов обеспечения непрерывности и восстановления деятельности. ООО «КМГ» обеспечивает резервное копирование критически важных данных и стремится к предотвращению сбоев, обеспечению своевременного восстановления критичных данных после сбоев.
6.4. Управление коммуникациями и сетевой безопасностью
Для обеспечения эффективного управления коммуникациями и сетевой безопасностью внедрены различные системы и сервисы защиты сетевой инфраструктуры, такие как: межсетевые экраны, системы предотвращения и обнаружения вторжения, системы и сервисы защиты от атак типа отказа в обслуживании (DDoS) и средства контроля и защиты доступа к беспроводным сетям и в сеть Интернет, а также реализована сегментация сети для того, чтобы ООО «КМГ» защищал свои информационные активы от их компрометации как со стороны внешних, так и со стороны внутренних нарушителей.
6.4.1. Системы предотвращения и обнаружения вторжения
Системы предотвращения и обнаружения вторжения развёрнуты в Компании на уровне сетевой инфраструктуры и на уровне конечных пользовательских устройств. Безопасность сетевой инфраструктуры находится под круглосуточным мониторингом.
6.4.2. Защита инфраструктуры беспроводных сетей
Инфраструктура беспроводных сетей в офисах ООО «КМГ» защищена с помощью механизмов контроля доступа, аутентификации, шифрования и контроля появления несанкционированных точек доступа.
6.4.3. Защита от атак типа отказа в обслуживании
Защита от DDoS-атак строится в ООО «КМГ» по принципу эшелонированной защиты:
Сотрудникам ООО «КМГ» предоставляется доступ в Интернет только для исполнения своих должностных обязанностей. Фильтрация доступа осуществляется в соответствии с установленными правилами. Дополнительные доступы предоставляются только по согласованию с руководством и подразделением информационной безопасности.
6.5. Безопасность рабочих станций и ноутбуков
Безопасность корпоративных рабочих станций и ноутбуков сотрудников обеспечивается, но не ограничивается, за счёт применения следующих средств защиты:
ООО «КМГ» соблюдает российские законодательные и регуляторные требования по информационной безопасности.
6.7. Криптографическое управление
В ООО «КМГ» применяются криптографические средства защиты информации для поддержания конфиденциальности информации, обеспечения проверки целостности и электронных подписей. Требования к алгоритмам шифрования и длине ключей при хранении, передаче по каналам связи и использовании информации определены в порядке криптографической защиты информации.
6.8. Управление инцидентами информационной безопасности
В рамках управления инцидентами информационной безопасности ООО «КМГ» проводит следующие работы:
ООО «КМГ» управляет рисками информационной безопасности по всем процессам обеспечения защиты информации. Оценка рисков проводится на регулярной основе и для различных активов: процессы, технологии, информационные системы, люди, информация. Регулярный процесс оценки рисков информационной безопасности проводится для решения следующих задач:
В ООО «КМГ» внедрены требования к регистрации событий, процессу мониторинга и анализу активностей сотрудников в инфраструктуре и информационных системах. ООО «КМГ» соблюдает все соответствующие юридические, нормативные и договорные требования, применимые к регистрации и мониторингу событий.
6.11. Управление изменениями
Все изменения в информационной инфраструктуре производятся в соответствии с внедрёнными процессами управления изменениями, управления конфигурациями, а также процессами управления техническими ресурсами.
6.12. Физическая безопасность и безопасность окружающей среды
ООО «КМГ» применяет защитные меры для предотвращения несанкционированного доступа в свои офисы, а также обеспечивает физическую защиту информационных активов от возможных природных и техногенных угроз.
Меры, применяемые ООО «КМГ», включают, но не ограничиваются:
ООО «КМГ» принимает меры обеспечения защиты информации на всех этапах жизненного цикла информационных систем (ввод в эксплуатацию, эксплуатация, вывод из эксплуатации, модернизация), в том числе определение состава мер, должный контроль, контроль отсутствия уязвимостей защиты информации, чтобы гарантировать выявление и своевременное устранение и/или минимизацию рисков информационной безопасности.
6.14. Управление уязвимостями и обновлениями
На регулярной основе ООО «КМГ» проводит анализ уязвимостей своей информационной инфраструктуры и обеспечивает установку обновлений безопасности программного обеспечения. Управление и контроль исправления уязвимостей в инфраструктуре осуществляется за счёт регулярного мониторинга и взаимодействия подразделений.
6.15. Защита от утечек информации
Предотвращение утечек информации осуществляется за счёт регулярного мониторинга каналов утечки информации, применения технических средств контроля, организационных мер защиты и обучения работников ООО «КМГ».
Каналы контроля включают в себя, но не ограничиваются:
6.16. Анализ защищённости
Внутренний и внешний анализ защищённости инфраструктуры ООО «КМГ» проводится на регулярной основе. Кроме того, может быть заказан внешний анализ защищённости инфраструктуры специалистами вендора для обеспечения дополнительной уверенности в эффективности применяемых методов и средств защиты информации.
6.17. Информационная безопасность вендоров и партнёров
В ООО «КМГ» выстроен процесс для проведения первоначальной и постоянной комплексной проверки партнёров, которые заключают официальные деловые соглашения. Каждый партнёр, которому планируется предоставить доступ к защищаемой информации, подписывает соглашение о неразглашении и/или соглашение о конфиденциальности.
7. Заключительные положения
7.1. Настоящая Политика вступает в силу с момента её утверждения Генеральным директором ООО «КМГ» и действует бессрочно до замены её новой версией.
7.2. ООО «КМГ» оставляет за собой право вносить изменения в настоящую Политику. Актуальная версия всегда доступна на сайте kmg.energy.
7.3. По всем вопросам, связанным с настоящей Политикой, работники и контрагенты ООО «КМГ» могут обращаться в подразделение информационной безопасности по электронной почте: info@kmg.energy
Дата последнего обновления: апрель 2026 г.
Реквизиты ООО «КМГ» (справочно)
ПараметрЗначение
Полное наименование
Общество с ограниченной ответственностью «КОНСАЛТИНГ МЕНЕДЖМЕНТ ГРУПП»
Сокращённое наименование
ООО «КМГ»
Юридический адрес
119180, г. Москва, вн.тер.г. муниципальный округ Якиманка, ул. Малая Якиманка, д. 22, стр. 2, помещ. 1/П
ОГРН
1237700851200
ИНН
7751280428
КПП
770601001
Сайт
kmg.energy
Электронная почта
info@kmg.energy
1.1. Общество с ограниченной ответственностью «КОНСАЛТИНГ МЕНЕДЖМЕНТ ГРУПП» (далее по тексту – ООО «КМГ», Компания) для целей осуществления своих основных видов деятельности и поддержания своих бизнес-процессов на регулярной основе обрабатывает информацию ограниченного доступа, содержащую сведения, относящиеся к коммерческой тайне, персональным данным и банковской тайне.
1.2. ООО «КМГ» обязуется сохранять конфиденциальность, целостность и доступность обрабатываемой информации.
1.3. Настоящая Политика информационной безопасности (далее по тексту – Политика) является документом, который отражает систему взглядов на цели, задачи, принципы и основные механизмы обеспечения информационной безопасности в ООО «КМГ».
1.4. Политика является общедоступным документом и размещена в открытом доступе на веб-сайте ООО «КМГ»: kmg.energy.
2. Область применения
2.1. Политика применяется при использовании информации, информационных систем, электронно-вычислительных устройств, приложений и сетевых сервисов (далее по тексту – информационные активы), используемых для ведения бизнеса.
2.2. Действие настоящей Политики распространяется на деятельность всех сотрудников ООО «КМГ», а также на партнёров и подрядчиков, получающих доступ к информационным активам Компании.
3. Ответственность
3.1. Подразделение информационной безопасности отвечает за разработку и поддержание Политики в актуальном состоянии.
3.2. Подразделение информационной безопасности несет ответственность за соблюдение настоящей Политики и может привлекать другие структурные подразделения, поставщиков услуг и руководство ООО «КМГ» для поддержания и контроля её соблюдения.
4. Соответствие
4.1. Соответствие Политике обязательно для ООО «КМГ». Нарушение соответствия настоящей Политики повлечёт дисциплинарную, административную и/или уголовную ответственность в соответствии с действующим законодательством Российской Федерации и локальными нормативными документами ООО «КМГ».
5. Цели информационной безопасности
Целями ООО «КМГ» в области обеспечения информационной безопасности являются:
5.1. Поддержание стратегии развития бизнеса Компании посредством защиты персональных данных и коммерческой тайны.
5.2. Соблюдение требований российского законодательства и нормативных документов, регламентирующих порядок обработки и защиты персональных данных и коммерческой тайны.
5.3. Создание процесса управления рисками информационной безопасности.
5.4. Управление выявленными рисками информационной безопасности на приемлемом уровне посредством разработки и внедрения планов минимизации рисков.
5.5. Повышение уровня осведомлённости всего персонала по вопросам обеспечения информационной безопасности.
5.6. Установление ответственности за обеспечение и управление информационной безопасностью в Компании.
6. Обеспечение информационной безопасности
6.1. Организация информационной безопасности
В ООО «КМГ» разработаны, поддерживаются и внедряются политики, процедуры и стандарты обеспечения информационной безопасности для защиты конфиденциальности, целостности и доступности своих информационных активов.
6.2. Управление доступом
Доступ к информационным системам Компании контролируется на протяжении всего жизненного цикла учётной записи: от первоначальной идентификации и аутентификации пользователя до предоставления, изменения и блокировки прав доступа. Права доступа для учётных записей пользователей в информационных системах предоставляются с использованием принципа минимальных привилегий и периодически пересматриваются. Пароли соответствуют требованиям политики Компании к их сложности и периодически меняются.
6.3. Непрерывность бизнеса и аварийное восстановление
ООО «КМГ» защищает критически важные информационные активы от последствий серьёзных сбоев или аварий путем разработки и реализации планов обеспечения непрерывности и восстановления деятельности. ООО «КМГ» обеспечивает резервное копирование критически важных данных и стремится к предотвращению сбоев, обеспечению своевременного восстановления критичных данных после сбоев.
6.4. Управление коммуникациями и сетевой безопасностью
Для обеспечения эффективного управления коммуникациями и сетевой безопасностью внедрены различные системы и сервисы защиты сетевой инфраструктуры, такие как: межсетевые экраны, системы предотвращения и обнаружения вторжения, системы и сервисы защиты от атак типа отказа в обслуживании (DDoS) и средства контроля и защиты доступа к беспроводным сетям и в сеть Интернет, а также реализована сегментация сети для того, чтобы ООО «КМГ» защищал свои информационные активы от их компрометации как со стороны внешних, так и со стороны внутренних нарушителей.
6.4.1. Системы предотвращения и обнаружения вторжения
Системы предотвращения и обнаружения вторжения развёрнуты в Компании на уровне сетевой инфраструктуры и на уровне конечных пользовательских устройств. Безопасность сетевой инфраструктуры находится под круглосуточным мониторингом.
6.4.2. Защита инфраструктуры беспроводных сетей
Инфраструктура беспроводных сетей в офисах ООО «КМГ» защищена с помощью механизмов контроля доступа, аутентификации, шифрования и контроля появления несанкционированных точек доступа.
6.4.3. Защита от атак типа отказа в обслуживании
Защита от DDoS-атак строится в ООО «КМГ» по принципу эшелонированной защиты:
- защита от атак типа DDoS на пограничных устройствах поставщика услуг Интернет;
- использование внешних провайдеров защиты от DDoS-атак;
- использование внутренних систем предотвращения DDoS-атак в Компании.
Сотрудникам ООО «КМГ» предоставляется доступ в Интернет только для исполнения своих должностных обязанностей. Фильтрация доступа осуществляется в соответствии с установленными правилами. Дополнительные доступы предоставляются только по согласованию с руководством и подразделением информационной безопасности.
6.5. Безопасность рабочих станций и ноутбуков
Безопасность корпоративных рабочих станций и ноутбуков сотрудников обеспечивается, но не ограничивается, за счёт применения следующих средств защиты:
- средства антивирусной защиты, встроенные в рабочие сборки операционных систем по умолчанию и настроенные на регулярное сканирование и получение актуальных обновлений антивирусных баз;
- средства шифрования дисков на корпоративных ноутбуках сотрудников;
- средства блокировки записи данных на съёмные носители информации;
- средства удалённого подключения сотрудников к корпоративной сети с многофакторной аутентификацией.
ООО «КМГ» соблюдает российские законодательные и регуляторные требования по информационной безопасности.
6.7. Криптографическое управление
В ООО «КМГ» применяются криптографические средства защиты информации для поддержания конфиденциальности информации, обеспечения проверки целостности и электронных подписей. Требования к алгоритмам шифрования и длине ключей при хранении, передаче по каналам связи и использовании информации определены в порядке криптографической защиты информации.
6.8. Управление инцидентами информационной безопасности
В рамках управления инцидентами информационной безопасности ООО «КМГ» проводит следующие работы:
- осуществляет координирование инцидентов информационной безопасности;
- осуществляет своевременное расследование инцидентов информационной безопасности;
- оценивает риск, связанный с инцидентом информационной безопасности;
- внедряет корректирующие защитные меры в целях минимизации риска от инцидента информационной безопасности.
ООО «КМГ» управляет рисками информационной безопасности по всем процессам обеспечения защиты информации. Оценка рисков проводится на регулярной основе и для различных активов: процессы, технологии, информационные системы, люди, информация. Регулярный процесс оценки рисков информационной безопасности проводится для решения следующих задач:
- идентификация всех информационных, программных и физических активов;
- выявление угроз и уязвимостей информационной безопасности;
- количественная оценка риска информационной безопасности;
- обработка риска информационной безопасности для выделения средств на минимизацию факторов, представляющих наибольший риск;
- внедрение средств и технологий защиты информации в областях, обеспечивающих максимальное снижение рисков для персональных данных и коммерческой тайны клиентов.
В ООО «КМГ» внедрены требования к регистрации событий, процессу мониторинга и анализу активностей сотрудников в инфраструктуре и информационных системах. ООО «КМГ» соблюдает все соответствующие юридические, нормативные и договорные требования, применимые к регистрации и мониторингу событий.
6.11. Управление изменениями
Все изменения в информационной инфраструктуре производятся в соответствии с внедрёнными процессами управления изменениями, управления конфигурациями, а также процессами управления техническими ресурсами.
6.12. Физическая безопасность и безопасность окружающей среды
ООО «КМГ» применяет защитные меры для предотвращения несанкционированного доступа в свои офисы, а также обеспечивает физическую защиту информационных активов от возможных природных и техногенных угроз.
Меры, применяемые ООО «КМГ», включают, но не ограничиваются:
- системы контроля доступа;
- системы видеонаблюдения;
- системы охранной и пожарной сигнализации;
- сейфы и специализированные шкафы.
ООО «КМГ» принимает меры обеспечения защиты информации на всех этапах жизненного цикла информационных систем (ввод в эксплуатацию, эксплуатация, вывод из эксплуатации, модернизация), в том числе определение состава мер, должный контроль, контроль отсутствия уязвимостей защиты информации, чтобы гарантировать выявление и своевременное устранение и/или минимизацию рисков информационной безопасности.
6.14. Управление уязвимостями и обновлениями
На регулярной основе ООО «КМГ» проводит анализ уязвимостей своей информационной инфраструктуры и обеспечивает установку обновлений безопасности программного обеспечения. Управление и контроль исправления уязвимостей в инфраструктуре осуществляется за счёт регулярного мониторинга и взаимодействия подразделений.
6.15. Защита от утечек информации
Предотвращение утечек информации осуществляется за счёт регулярного мониторинга каналов утечки информации, применения технических средств контроля, организационных мер защиты и обучения работников ООО «КМГ».
Каналы контроля включают в себя, но не ограничиваются:
- исходящую электронную почту;
- передачу и загрузку файлов в Интернет;
- корпоративные мессенджеры;
- печать документов.
6.16. Анализ защищённости
Внутренний и внешний анализ защищённости инфраструктуры ООО «КМГ» проводится на регулярной основе. Кроме того, может быть заказан внешний анализ защищённости инфраструктуры специалистами вендора для обеспечения дополнительной уверенности в эффективности применяемых методов и средств защиты информации.
6.17. Информационная безопасность вендоров и партнёров
В ООО «КМГ» выстроен процесс для проведения первоначальной и постоянной комплексной проверки партнёров, которые заключают официальные деловые соглашения. Каждый партнёр, которому планируется предоставить доступ к защищаемой информации, подписывает соглашение о неразглашении и/или соглашение о конфиденциальности.
7. Заключительные положения
7.1. Настоящая Политика вступает в силу с момента её утверждения Генеральным директором ООО «КМГ» и действует бессрочно до замены её новой версией.
7.2. ООО «КМГ» оставляет за собой право вносить изменения в настоящую Политику. Актуальная версия всегда доступна на сайте kmg.energy.
7.3. По всем вопросам, связанным с настоящей Политикой, работники и контрагенты ООО «КМГ» могут обращаться в подразделение информационной безопасности по электронной почте: info@kmg.energy
Дата последнего обновления: апрель 2026 г.
Реквизиты ООО «КМГ» (справочно)
ПараметрЗначение
Полное наименование
Общество с ограниченной ответственностью «КОНСАЛТИНГ МЕНЕДЖМЕНТ ГРУПП»
Сокращённое наименование
ООО «КМГ»
Юридический адрес
119180, г. Москва, вн.тер.г. муниципальный округ Якиманка, ул. Малая Якиманка, д. 22, стр. 2, помещ. 1/П
ОГРН
1237700851200
ИНН
7751280428
КПП
770601001
Сайт
kmg.energy
Электронная почта
info@kmg.energy
Заказать звонок
Обращаясь в Консалтинг Менеджмент Групп, Вы получаете надежного партнера, который поможет Вашему бизнесу достичь новых высот. Мы гарантируем профессиональный подход и конфиденциальность.