Меры безопасности, принимаемые Яндекс 360
- Организация информационной безопасности
- Безопасность человеческих ресурсов
- Управление активами
- Управление доступом
- Физическая безопасность и безопасность среды
- Безопасность данных и управление жизненным циклом информации
- Управление инцидентами
- Разработка и обслуживание информационных систем
- Непрерывность работы и аварийное восстановление
- Обзор информационной безопасности
На этой странице рассказывается о технических и организационных мерах, которые Яндекс реализует для защиты данных клиентов Яндекс 360 для бизнеса.
Организация информационной безопасности
Система управления информационной безопасностью
- Яндекс поддерживает систему управления информационной безопасностью, принимает и применяет внутренние политики и процедуры, чтобы минимизировать риски нарушения информационной безопасности для данных клиентов.
Ответственность за безопасность
- В Яндексе есть команда, ответственная за внедрение и мониторинг процедур безопасности.
Управление рисками
- У Яндекса есть программа управления рисками, которая включает в себя регулярную оценку рисков и выполнение планов их обработки.
Безопасность человеческих ресурсов
Обучение
-
-
Яндекс требует от сотрудников и подрядчиков применять меры информационной безопасности в соответствии с правилами и процедурами компании.
-
Яндекс обучает сотрудников надлежащему обращению с данными клиентов.
-
Прекращение или смена работы
- Яндекс определяет и доводит до сведения своих сотрудников и подрядчиков их обязанности по обеспечению информационной безопасности, а также добивается выполнения тех из них, которые остаются в силе после увольнения или смены места работы.
Управление активами
Допустимое использование
- Яндекс документирует и соблюдает правила допустимого использования информации и активов, связанных с информацией и средствами обработки информации.
Возвращение активов
- Предусмотрено, что после прекращения трудового договора сотрудники Яндекса должны вернуть организационные активы, которые были в их распоряжении.
Классификация информации
- Яндекс классифицирует информацию с точки зрения требований законодательства, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению.
Обращение с активами
- Яндекс разрабатывает и внедряет процедуры обращения с активами в соответствии с принятой схемой классификации информации.
Управление доступом
Политика доступа к данным клиентов
- Регламенты Яндекс 360 запрещают доступ сотрудников к данным клиентов, если иное не предусмотрено договором или законодательством.
Политика управления доступом
- У Яндекса есть политика, которая предусматривает, что только авторизованные лица имеют доступ к объектам, защищенным зонам, вычислительным и сетевым ресурсам.
Доступ к сетям и системам
-
-
Доступ к сетям и системам Яндекса предоставляется уполномоченным сотрудникам.
-
Руководители сотрудников Яндекса утверждают доступ подчиненных к объектам, защищенным зонам, вычислительным и сетевым ресурсам.
-
Яндекс ограничивает права доступа пользователя минимальным набором прав, необходимым для выполнения его работы и на необходимое время.
-
Яндекс размещает интерфейсы управления аппаратным обеспечением в сегрегированных сетях с ограниченным доступом авторизованного персонала.
-
Яндекс предоставляет доступ к исходному коду уполномоченным лицам в соответствии с политикой безопасности.
-
Проверка прав доступа пользователей
- Яндекс ежегодно пересматривает все права доступа сотрудников.
Отзыв или корректировка прав доступа
- Яндекс отзывает права доступа к информации и системам для сотрудников, которые прекращают работу в компании, и корректирует при изменениях круга их ответственности.
Качество паролей
- Яндекс обеспечивает качественные пароли во внутренних системах управления паролями. Проверки учитывают минимальную длину пароля, количество классов символов и максимальный срок действия.
Физическая безопасность и безопасность среды
Контроль физического доступа
- У Яндекса есть надлежащие средства контроля физического доступа, которые нацелены на обеспечение доступа в офисы и дата-центры только авторизованному персоналу.
Безопасная утилизация или повторное использование оборудования
- Конфиденциальные данные на носителях информации удаляются или надежно перезаписываются перед повторным использованием носителей. Если носители становятся непригодны, Яндекс утилизирует их, следуя формальным процедурам.
Безопасность данных и управление жизненным циклом информации
Безопасность передачи данных
- Яндекс защищает с использованием протокола TLS информацию клиентов, которая передается по общедоступным сетям и во внутренней сети.
Управление инцидентами
Реагирование на инциденты. Отчетность
-
-
В Яндексе есть формальный процесс мониторинга, отчетности и реагирования в случае угроз безопасности, чтобы их идентифицировать, регистрировать и соответственно реагировать на известные или предполагаемые инциденты.
-
В Яндексе есть процедуры уведомления клиентов без неоправданных задержек об утечках данных клиентов.
-
Разработка и обслуживание информационных систем
Жизненный цикл разработки систем
- В Яндексе есть жизненный цикл разработки систем, который регулирует разработку и развертывание систем и приложений.
Требования информационной безопасности
- Связанные с информационной безопасностью требования Яндекс применяет к новым информационным системам и усовершенствованию уже существующих.
Безопасная разработка
-
-
В Яндексе постоянно развиваются ключевые компоненты процесса безопасной разработки: Security Development Lifecycle, SDLC.
-
Яндекс контролирует изменения в системах в рамках жизненного цикла разработки с помощью формальных процедур контроля изменений. Они включают в себя обзор архитектуры безопасности и аудит безопасности продуктов.
-
Яндекс создает и надлежащим образом защищает среды для разработки и интеграции систем во всем жизненном цикле разработки систем.
-
Яндекс разделяет среды разработки, тестирования и продакшн-среду.
-
У Яндекса есть процедуры, предусматривающие, что производственные данные никогда не реплицируются в средах разработки или тестирования.
-
Управление уязвимостями
-
-
Яндекс регулярно тестирует облачную платформу на проникновение и сканирует на уязвимости, чтобы обнаруживать, смягчать и решать проблемы безопасности.
-
Яндекс устраняет обнаруженные уязвимости до перехода систем в производство.
-
У Яндекса есть политика управления исправлениями. Она документирует максимальное время между моментом поставки критического патча безопасности и моментом его применения.
-
Яндекс проводит программу «Охота за ошибками», которая поощряет этичных хакеров находить уязвимости в продуктах и сообщать об этом компании за награду.
-
Криптографические стандарты
- В Яндексе утверждена политика, которая устанавливает минимальные криптографические стандарты. Им должны соответствовать все приложения, а также сетевые и вычислительные ресурсы.
Непрерывность работы и аварийное восстановление
Многоуровневая архитектура доступности
- Яндекс строит сервис на основе многоуровневой архитектуры, которая обеспечивает высокую доступность и сохранность данных. Это достигается за счет сочетания подходов для защиты от логических ошибок и сбоев компонентов инфраструктуры — дисков, серверов, стоек или сетевых соединений. В зависимости от типа данных применяются разные технологии, которые дополняют друг друга.
Распределенная репликация баз данных
- Яндекс обеспечивает сохранность данных за счет их автоматического сохранения в независимых репликах в трех разных дата-центрах. Система фиксирует записи по принципу кворума, что гарантирует работу сервиса и согласованность данных при отказе части узлов.
Контроль целостности и автоматическое восстановление
- Яндекс использует механизмы контроля целостности данных и избыточное кодирование. Система автоматически обнаруживает и восстанавливает поврежденные фрагменты данных.
Резервное копирование
- Яндекс применяет резервное копирование данных с размещением копий на разных площадках. Это позволяет восстановить данные до требуемого состояния и защищает от логических сбоев сервиса.
Регулярное тестирование
- Яндекс регулярно проводит мероприятия для проверки механизмов обеспечения непрерывности работы.
Хранение и доступ
- Яндекс не предоставляет клиентам прямого доступа к базам данных или резервным копиям — все перечисленные механизмы реализованы как часть сервиса и обеспечиваются в соответствии с мерами безопасности, описанными в этой статье. Для независимого хранения данных клиентам следует использовать отдельные системы резервного копирования.
Обзор информационной безопасности
Самостоятельная оценка
-
-
Яндекс регулярно проверяет свои информационные системы на соответствие политике и стандартам информационной безопасности компании.
-
Яндекс оценивает и пересматривает свой подход к управлению и реализации информационной безопасности с запланированной регулярностью или при существенных изменениях.
-