Данные требования по безопасности применяются ко всем проектам компании.
- Все пароли должны содержать минимум 8 символов, минимум 1 цифрой и 1 символом.
- Пароли должны быть уникальными и использоваться только 1 раз и только в 1 месте.
- Нельзя записывать пароли и любую чувствительную информацию на физические носители (листки, блокноты и др.).
- Проводить ротацию паролей для критичных сервисов не реже чем раз в год. Актуализировать список критичных сервисов раз в год. Отдельные проекты могут расширять список критичных сервисов.
- Использовать двухфакторную авторизацию во всех сервисах, где она доступна (инструкция в Phabricator).
- Избегать использования рабочих аккаунтов с чужих устройств. В случае если вход в аккаунт был осуществлен с чужого устройства, обязательно осуществить выход из аккаунта и сменить пароль.
- Все рабочие устройства должны требовать авторизацию для доступа.
- При использовании в работе компьютера сотрудники обязаны использовать либо пользователя без административных прав, либо пользователя с административными правами, но с обязательным подтверждением любого действия, требующего административных привилегий.
- Компьютеры и носимые устройства, использующиеся в рабочих целях, должны шифровать хранимую информацию.
- Автоматическая блокировка при неактивности более 5 минут.
- Ручная блокировка при покидании рабочего места более чем на 1 минут.
- Все уведомления на носимых устройствах должны быть скрыты в заблокированном состоянии.
- Устанавливать обновления безопасности не позднее одной недели с момента их выхода.
- Не передавать информацию, содержащую код, конфигурацию, доступы или личные данные в открытом виде.
- Использовать для передачи доступов https://vault.4xxi.com/.
- Использовать для передачи скриншотов, хранилище, доступ к которому контролируется компанией.
- Следовать рекомендациям OWASP.
- На собственные устройства, используемые для доступа к рабочим данным/аккаунтам распространяются те же правила, что и на корпоративные (раздел Компьютеры и носимые устройства).
- Уведомить Chief Security Officer об использовании собственных устройств для доступа к рабочим данным/аккаунтам.
- Уведомить Chief Security Officer о потере/краже собственных устройств, использованных для доступа к рабочим данным/аккаунтам.
- Уведомить Chief Security Officer при потере/краже устройств.
- Незамедлительно уведомить Chief Security Officer в случае нарушения представителем компании или любым другим лицом, аффилированным с компанией, настоящих требований по безопасности или о подозрение на нарушение требований безопасности.
- В случае недоступности Chief Security Officer, сообщить о нарушениях Chief Executive Officer.