Яндекс 360 қабылдайтын қауіпсіздік шаралары
- Ақпараттық қауіпсіздікті ұйымдастыру
- Адами ресурстардың қауіпсіздігі
- Активтерді басқару
- Рұқсатты басқару
- Физикалық қауіпсіздік және орта қауіпсіздігі
- Деректер қауіпсіздігі және ақпараттың өмірлік циклін басқару
- Оқиғаларды басқару
- Ақпараттық жүйелерді әзірлеу және техникалық қолдау көрсету
- Жұмыстың үздіксіздігі және төтенше жағдайдан кейін қалпына келтіру
- Ақпараттық қауіпсіздікке шолу
Бұл бетте Яндекс Бизнеске арналған Яндекс 360 қызметіндегі клиенттердің деректерін қорғау үшін жүзеге асыратын техникалық және ұйымдастырушылық шаралар туралы айтылады.
Ақпараттық қауіпсіздікті ұйымдастыру
Ақпараттық қауіпсіздікті басқару жүйесі
- Яндекс ақпараттық қауіпсіздікті басқару жүйесіне қолдау көрсетеді, осы клиенттер үшін ақпараттық қауіпсіздікті бұзу тәуекелдерін азайту үшін ішкі саясат пен процедураларды қабылдайды және қолданады.
Қауіпсіздік үшін жауапкершілік
- Яндексте қауіпсіздік процедураларын енгізуге және бақылауға жауапты топ бар.
Тәуекелдерді басқару
- Яндексте тәуекелдерді үнемі бағалауды және оларды өңдеу жоспарларын орындауды қамтитын басқару бағдарламасы бар.
Адами ресурстардың қауіпсіздігі
Оқыту
-
-
Яндекс қызметкерлер мен мердігерлерден компанияның ережелері мен процедураларына сәйкес ақпараттық қауіпсіздік шараларын қолдануды талап етеді.
-
Яндекс қызметкерлерді клиенттердің деректерімен дұрыс жұмыс істеуге үйретеді.
-
Жұмысты тоқтату немесе ауыстыру
- Яндекс өз қызметкерлері мен мердігерлерінің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін назарына жеткізеді, сондай-ақ жұмыстан шыққаннан немесе жұмыс орнын ауыстырғаннан кейін күшінде қалатындардың орындалуын қамтамасыз етеді.
Активтерді басқару
Жарамды пайдалану
- Яндекс ақпаратқа және ақпаратты өңдеу құралдарына байланысты ақпаратты және активтерді рұқсат етілген пайдалану ережелерін құжаттайды және сақтайды.
Активтерді қайтару
- Еңбек шарты тоқтатылғаннан кейін Яндекс қызметкерлерің өздерінің иелігіндегі ұйымдық активтерді қайтаруы қарастырылған.
Ақпаратты жіктеу
- Яндекс ақпаратты заңнама талаптары, құндылығы, маңыздылығы және рұқсатсыз ашуға немесе өзгертуге сезімталдығы тұрғысынан жіктейді.
Активтермен жұмыс істеу
- Яндекс қабылданған ақпаратты жіктеу схемасына сәйкес активтермен жұмыс істеу процедураларын әзірлейді және енгізеді.
Рұқсатты басқару
Клиенттердің деректерін пайдалану саясаты
- Егер шартта немесе заңнамада өзгеше көзделмесе, Яндекс 360 регламенттері қызметкерлерге клиенттердің деректерін пайдалануға тыйым салады.
Рұқсатты басқару саясаты
- Яндекстің нысандарды, қорғалған аймақтарды, амалдық және желілік ресурстарды рұқсаты бар тұлғалар ғана пайдалануын қамтамасыз ететін саясат бар.
Желілерді және жүйелерді пайдалану рұқсаты
-
-
Яндекстегі желілерді және жүйелерді пайдалану рұқсаты өкілетті қызметкерлерге беріледі.
-
Яндекс қызметкерлерінің басшылары бағыныштылардың нысандарды, қорғалған аймақтарды, амалдық және желілік ресурстарды пайдалану рұқсатын бекітеді.
-
Яндекс пайдаланушының пайдалану рұқсатын оның жұмысын орындау үшін және қажетті уақытқа қажетті ең аз рұқсаттар жиынтығымен шектейді.
-
Яндекс рұқсаты бар қызметкерлерге пайдалану рұқсаты шектеулі бөлінген желілерде аппараттық құралды басқару интерфейстерін орналастырады.
-
Яндекс қауіпсіздік саясатына сәйкес уәкілетті тұлғаларға бастапқы кодты пайдалануға рұқсат береді.
-
Пайдаланушылардың пайдалану рұқсаттарын тексеру
- Яндекс жыл сайын пайдаланушылардың пайдалану рұқсаттарын қайта қарастырады.
Пайдалану рұқсаттарын қайтару немесе түзету
- Яндекс компанияда жұмысын тоқтататын қызметкерлердің ақпаратты және жүйелерді пайдалану рұқсатын қайтарып алады және олардың жауапкершілік шеңбері өзгерген кезде түзетеді.
Құпия сөздер сапасы
- Яндекс ішкі құпия сөздерді басқару жүйелерінде сапалы құпия сөздерді қамтамасыз етеді. Тексерулер құпия сөздің минималды ұзындығын, таңбалар кластарының санын және максималды жарамдылық мерзімін ескереді.
Физикалық қауіпсіздік және орта қауіпсіздігі
Физикалық рұқсатты бақылау
- Яндекстің тек рұқсаты бар қызметкерлерге кеңселерді және деректер орталықтарын пайдалану рұқсатын қамтамасыз етуге бағытталған физикалық пайдалануды бақылаудың тиісті құралдары бар.
Жабдықты қауіпсіз түрде кәдеге жарату және қайта пайдалану
- Ақпарат құралдарындағы құпия деректер жойылады немесе тасымалдағыштарды қайта пайдаланбас бұрын сенімді түрде қайта жазылады. Егер тасымалдаушылар жарамсыз болып қалса, Яндекс оларды ресми процедураларға сәйкес кәдеге жаратады.
Деректер қауіпсіздігі және ақпараттың өмірлік циклін басқару
Деректерді жіберу қауіпсіздігі
- Яндекс TLS протоколын қолдана отырып, жалпыға қолжетімді желілер мен ішкі желілер арқылы берілетін клиенттердің ақпаратын қорғайды.
Оқиғаларды басқару
Оқиғаларға жауап беру. Есеп беру
-
-
Яндексте қауіпсіздікке қауіп төнген жағдайда оларды анықтау, тіркеу және сәйкесінше белгілі немесе болжамды оқиғаларға жауап беру үшін бақылау, есеп беру және әрекет етудің ресми процедурасы бар.
-
Яндексте клиенттердің деректері тарап кеткені туралы клиенттерге негізсіз кідіріссіз хабарлау процедуралары бар.
-
Ақпараттық жүйелерді әзірлеу және техникалық қолдау көрсету
Хат жасаудың мерзімі
- Яндексте жүйелер мен қолданбаларды әзірлеуді және орналастыруды реттейтін жүйелерді дамытудың өмірлік циклі бар.
Ақпараттық қауіпсіздік талаптары
- Яндекс ақпараттық қауіпсіздікке байланысты талаптарды жаңа ақпараттық жүйелерге және бұрыннан барларды жетілдіру үшін пайдаланады.
Қауіпсіз әзірлеу
-
-
Яндексте қауіпсіз әзірлеу процесінің негізгі құрамдастары үнемі дамып отырады: Security Development Lifecycle, SDLC.
-
Яндекс өзгерістерді бақылаудың ресми процедураларын қолдана отырып, әзірлеудің өмірлік циклі шеңберіндегі жүйелердегі өзгерістерді бақылайды. Оларға қауіпсіздік архитектурасына шолу және өнім қауіпсіздігінің аудиті кіреді.
-
Яндекс жүйелерді әзірлеудің бүкіл өмірлік циклінде жүйелерді әзірлеу және біріктіру үшін ортаны жасайды және оны тиісті түрде қорғайды.
-
Яндекс әзірлеу, тестілеу және өндіріс орталарын бөледі.
-
Яндексте өндіріс деректерінің ешқашан әзірлеу немесе тестілеу орталарында қайталанбауын көздейтін процедуралар бар.
-
Осалдықтарды басқару
-
-
Яндекс бұлттық платформаға осалдықтардын енуін үнемі тексеріп отырады және қауіпсіздік мәселелерін анықтау, азайту және шешу үшін осалдықтарды сканерлейді.
-
Яндекс анықталған осалдықтарды жүйелер өндіріске көшпес бұрын жояды.
-
Яндексте түзетулерді басқару саясаты бар. Ол маңызды қауіпсіздік патчын жеткізу уақыты мен оны қолдану уақыты арасындағы максималды уақытты құжаттайды.
-
Яндекс этикалық хакерлерді өнімдегі осалдықтарды табуға және марапат үшін компанияға хабарлауға шақыратын «Қателерді ұстау» бағдарламасын жүргізеді.
-
Криптографиялық стандарттар
- Яндексте минималды криптографиялық стандарттарды белгілейтін саясат бекітілген. Оларға барлық қолданбалар, сондай-ақ желілік және амалдық ресурстар сәйкес келуі керек.
Жұмыстың үздіксіздігі және төтенше жағдайдан кейін қалпына келтіру
Артықшылық
-
-
Яндекс барлық маңызды сервистер үшін резервтік механизмдерді пайдаланады.
-
Яндекс тәулік бойы демалыссыз жұмыс істеуге арналған және қоршаған ортаға қауіп төндірмейтін бірнеше аумаққа бөлінген деректер орталықтарында жұмыс істейді.
-
Яндекс жабдықтар істен шыққан жағдайда клиенттердің деректерін сақтауға бағытталған деректер қоймаларының артықшылығын пайдаланады.
-
Тестілер
- Яндекс жұмыстың үздіксіздігі мен төтенше жағдайдан кейін қалпына келтіруді қамтамасыз ету жоспарларын үнемі тексеріп отырады.
Ақпараттық қауіпсіздікке шолу
Өзіне-өзі баға беру
-
-
Яндекс өзінің ақпараттық жүйелерінің компанияның ақпараттық қауіпсіздік саясаты мен стандарттарына сәйкестігін үнемі тексеріп отырады.
-
Яндекс жоспарланған жүйелілікпен немесе елеулі өзгерістер кезінде ақпараттық қауіпсіздікті басқару мен іске асыруға өзінің көзқарасын бағалайды және қайта қарайды.
-