Меры безопасности, принимаемые Яндекс 360

Яндекс поддерживает систему управления информационной безопасностью, принимает и применяет внутренние политики и процедуры, чтобы минимизировать риски нарушения информационной безопасности для данных клиентов.

В Яндексе есть команда, ответственная за внедрение и мониторинг процедур безопасности.

У Яндекса есть программа управления рисками, которая включает в себя регулярную оценку рисков и выполнение планов их обработки.

• Яндекс требует от сотрудников и подрядчиков применять меры информационной безопасности в соответствии с правилами и процедурами компании.
• Яндекс обучает сотрудников надлежащему обращению с данными клиентов.

Яндекс определяет и доводит до сведения своих сотрудников и подрядчиков, а также добивается выполнения тех обязанностей по обеспечению информационной безопасности, которые остаются в силе после увольнения или смены места работы.

Яндекс документирует и соблюдает правила допустимого использования информации и активов, связанных с информацией и средствами обработки информации.

Предусмотрено, что после прекращения трудового договора сотрудники Яндекса должны вернуть организационные активы, которые были в их распоряжении.

Яндекс классифицирует информацию с точки зрения требований законодательства, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению.

Яндекс разрабатывает и внедряет процедуры обращения с активами в соответствии с принятой схемой классификации информации.

Регламенты Яндекс 360 запрещают доступ сотрудников к данным клиентов, если иное не предусмотрено договором или законодательством.

У Яндекса есть политика, которая предусматривает, что только авторизованные лица имеют доступ к объектам, защищенным зонам, вычислительным и сетевым ресурсам.

• Доступ к сетям и системам Яндекса предоставляют уполномоченным сотрудникам.
• Руководители сотрудников Яндекса утверждают доступ подчиненных к объектам, защищенным зонам, вычислительным и сетевым ресурсам.
• Яндекс ограничивает права доступа пользователя минимальным набором прав, необходимым для выполнения его работы, и на необходимое время.
• Яндекс размещает интерфейсы управления аппаратным обеспечением в сегрегированных сетях с ограниченным доступом авторизованного персонала.
• Яндекс предоставляет доступ к исходному коду уполномоченным лицам в соответствии с политикой безопасности.

Яндекс ежегодно пересматривает все права доступа сотрудников.

Яндекс отзывает права доступа к информации и системам для сотрудников, которые прекращают работу в компании, и корректирует при изменениях круга их ответственности.

Яндекс обеспечивает качественные пароли во внутренних системах управления паролями. Проверки включают минимальную длину пароля, количество классов символов и максимальный срок действия.

У Яндекса есть надлежащие средства контроля физического доступа, которые нацелены на обеспечение доступа в офисы и дата-центры только авторизованному персоналу.

Конфиденциальные данные на носителях информации удаляются или надежно перезаписываются перед повторным использованием носителей. Если носители становятся непригодны, Яндекс утилизирует их, следуя формальным процедурам.

Яндекс защищает с использованием протокола TLS информацию клиентов, которая передается по общедоступным сетям и во внутренней сети.

• В Яндексе есть формальный процесс мониторинга, отчетности и реагирования в случае угроз безопасности, чтобы идентифицировать, регистрировать и соответственно реагировать на известные или предполагаемые инциденты.
• В Яндексе есть процедуры уведомления клиентов без неоправданных задержек об утечках данных клиентов.

В Яндексе есть жизненный цикл разработки систем, который регулирует разработку и развертывание систем и приложений.

Связанные с информационной безопасностью требования Яндекс применяет к новым информационным системам и усовершенствованию уже существующих.

• В Яндексе постоянно развиваются ключевые компоненты процесса безопасной разработки: Security Development Lifecycle, SDLC.
• Яндекс контролирует изменения в системах в рамках жизненного цикла разработки с помощью формальных процедур контроля изменений. Они включают в себя обзор архитектуры безопасности и аудит безопасности продуктов.
• Яндекс создает и надлежащим образом защищает среды для разработки и интеграции систем во всем жизненном цикле разработки систем.
• Яндекс разделяет среды разработки, тестирования и продакшн-среду.
• У Яндекса есть процедуры, предусматривающие, что производственные данные никогда не реплицируются в средах разработки или тестирования.

• Яндекс регулярно тестирует облачную платформу на проникновение и сканирует на уязвимости, чтобы обнаруживать, смягчать и решать проблемы безопасности.
• Яндекс устраняет обнаруженные уязвимости до перехода систем в производство.
• У Яндекса есть политика управления исправлениями. Она документирует максимальное время между моментом поставки критического патча безопасности и моментом его применения.
• Яндекс проводит программу «Охота за ошибками», которая поощряет этичных хакеров находить уязвимости в продуктах и сообщать об этом компании за награду.

В Яндексе утверждена политика, которая устанавливает минимальные криптографические стандарты. Им должны соответствовать все приложения, а также сетевые и вычислительные ресурсы.

• Яндекс использует механизмы резервирования для всех критических сервисов.
• Яндекс работает в нескольких территориально распределенных дата-центрах, предназначенных для круглосуточной работы без выходных и защищенных от угроз окружающей среды.
• Яндекс использует избыточность хранилищ данных, которая нацелена сохранить данные клиентов на случай выхода оборудования из строя.

Яндекс регулярно тестирует свои планы обеспечения непрерывности работы и аварийного восстановления.

• Яндекс регулярно проверяет свои информационные системы на соответствие политике и стандартам информационной безопасности компании.
• Яндекс оценивает и пересматривает свой подход к управлению и реализации информационной безопасности с запланированной регулярностью или при существенных изменениях.