Skip to content
This repository has been archived by the owner on Jul 17, 2023. It is now read-only.

Latest commit

 

History

History
46 lines (32 loc) · 5.05 KB

security-policy.md

File metadata and controls

46 lines (32 loc) · 5.05 KB
Raw

Security Policy

Данные требования по безопасности применяются ко всем проектам компании.

Пароли

  • Все пароли должны содержать минимум 8 символов, минимум 1 цифрой и 1 символом.
  • Пароли должны быть уникальными и использоваться только 1 раз и только в 1 месте.
  • Нельзя записывать пароли и любую чувствительную информацию на физические носители (листки, блокноты и др.).
  • Проводить ротацию паролей для критичных сервисов не реже чем раз в год. Актуализировать список критичных сервисов раз в год. Отдельные проекты могут расширять список критичных сервисов.

Аккаунты

  • Использовать двухфакторную авторизацию во всех сервисах, где она доступна (инструкция в Phabricator).
  • Избегать использования рабочих аккаунтов с чужих устройств. В случае если вход в аккаунт был осуществлен с чужого устройства, обязательно осуществить выход из аккаунта и сменить пароль.

Компьютеры и носимые устройства

  • Все рабочие устройства должны требовать авторизацию для доступа.
  • При использовании в работе компьютера сотрудники обязаны использовать либо пользователя без административных прав, либо пользователя с административными правами, но с обязательным подтверждением любого действия, требующего административных привилегий.
  • Компьютеры и носимые устройства, использующиеся в рабочих целях, должны шифровать хранимую информацию.
  • Автоматическая блокировка при неактивности более 5 минут.
  • Ручная блокировка при покидании рабочего места более чем на 1 минут.
  • Все уведомления на носимых устройствах должны быть скрыты в заблокированном состоянии.
  • Устанавливать обновления безопасности не позднее одной недели с момента их выхода.

Передача информации

  • Не передавать информацию, содержащую код, конфигурацию, доступы или личные данные в открытом виде.
  • Использовать для передачи доступов https://vault.4xxi.com/.
  • Использовать для передачи скриншотов, хранилище, доступ к которому контролируется компанией.

Разработка

BYOD

  • На собственные устройства, используемые для доступа к рабочим данным/аккаунтам распространяются те же правила, что и на корпоративные (раздел Компьютеры и носимые устройства).
  • Уведомить Chief Security Officer об использовании собственных устройств для доступа к рабочим данным/аккаунтам.
  • Уведомить Chief Security Officer о потере/краже собственных устройств, использованных для доступа к рабочим данным/аккаунтам.

Инциденты

  • Уведомить Chief Security Officer при потере/краже устройств.
  • Незамедлительно уведомить Chief Security Officer в случае нарушения представителем компании или любым другим лицом, аффилированным с компанией, настоящих требований по безопасности или о подозрение на нарушение требований безопасности.
  • В случае недоступности Chief Security Officer, сообщить о нарушениях Chief Executive Officer.