Требования информационной безопасности

1. Общие требования

1. 1.1. Исполнитель обязуется поддерживать максимальный уровень безопасности рабочей станции («рабочая станция» означает согласованное по договору оборудование), необходимый для безопасного хранения Данных Заказчика. В случае подозрения на компрометацию рабочей станции, Исполнитель должен незамедлительно уведомить об этом Заказчика любым доступным способом, а также сотрудничать с Заказчиком по вопросам любых расследований, связанных с нарушением, или мероприятий по ликвидации последствий.
2. 1.2. «Данные Заказчика» означают всю информацию или данные, собранные, находящиеся на хранении, обработке, полученные и/или сгенерированные Исполнителем в связи с соответствующим оказанием Услуг Заказчику или выполнении Работ для Заказчика.
3. 1.3. Исполнитель заверяет и гарантирует, что он будет придерживаться всех применимых технических мер безопасности и будет реализовывать методы безопасности основанных на требованиях ниже.
4. 1.4. Исполнитель заверяет и гарантирует, что в рамках оказания Услуг он будет действовать в соответствии с применимыми законами и нормативными требованиями для обеспечения сохранности Данных Заказчика, защиты от уничтожения, защиты от потери, изменения, или иных повреждений. По запросу Заказчика, Данные Заказчика должны быть немедленно возвращены Исполнителем Заказчику, в формате по выбору Заказчика.

2. Запрет на несанкционированный код

За исключением функций и характеристик, прямо описанных в документации Исполнителя, рабочая станция Исполнителя должна быть свободна от каких-либо программ, подпрограмм, кодов, инструкций, данных или функций (включая, но не ограничиваясь вирусами, вирусными программами самотиражирования («worms») программами с таймером действия, отключающими устройствами, ключами, кодами авторизации, лазейками (способами получения доступа в компьютерную систему в обход её системы защиты) или паролями, дающие доступ Исполнителю), которые могут привести к следующим результатам: (а) любой непригодности Услуг или Результатов Услуг; или (б) любому повреждению, прерыванию, воспрепятствованию процессу оказания Услуг или получению Результатов Услуг, либо конфигурации оборудования, на котором размещены Услуги или Результаты Услуг, а также любое другое программное обеспечение или данные на такой конфигурации оборудования или любое другое оборудования или система, с которой конфигурация оборудования, Услуги или Результаты Услуг способны взаимодействовать;

3. Антивирусные правила

Исполнитель обязуется использовать согласованное с Заказчиком антивирусное ПО. Исполнитель также должен поддерживать базы антивирусного ПО в актуальном состоянии и проводить регулярное сканирование для выявления потенциальных угроз;

4. Парольные правила

Исполнитель обязуется придерживаться парольных правил, установленных Заказчиком для рабочих станций, которые включает в себя следующие требования:

• длина пароля должна быть не менее 12 символов;
• пароль должен содержать в себе символы как минимум трех категорий из четырех: буквы нижнего регистра (от a до z), буквы верхнего регистра (от A до Z), цифры (от 0 до 9) и спецсимволы (например: $, #, %);
• пароль не должен совпадать с логином и повторять предыдущие 4 пароля для данной учетной записи пользователя;
• пароль не должен включать осмысленные слова, словосочетания, общепринятые аббревиатуры, а также основываться на доступных данных о пользователе (фамилии, дате рождения, именах родственников, номеров телефонов и др.) или легко угадываемом алгоритме смены (Smi1le!, Smi2le!, Smi3le! и т.д.);
• пароль не должен содержать широко известные или легко угадываемые слова и последовательности символов (12345678, password, qwerty, aaabbb и т.д.)
• пароль по умолчанию (созданный при создании учетной записи пользователя) должен быть изменен пользователем при первом входе;
• пароль должен изменяться не реже чем 1 раз в 80 дней с момента последнего изменения;
• в случае разглашения или компрометации пароль должен быть незамедлительно изменен;
• исполнитель также обязуется соблюдать установленные Компанией правила обращения с паролями, включающие в себя:
  • не записывать пароль на предметах и материальных носителях, а также не хранить его в файле в открытом виде;
  • не использовать один и тот же пароль для различных учетных записей;
  • не передавать кому-либо (в т.ч. своим коллегам и руководителям, а также работникам Заказчика) свой пароль, равно как и не использовать чужие пароли для работы с ресурсами Заказчика;
  • не осуществлять попытки подбора паролей (в том числе автоматизированными способами), не пытаться завладеть паролями других лиц.

5. Правила обращения с рабочей станцией

В процессе взаимодействия с рабочей станцией, Исполнитель должен придерживаться следующих правил, призванных обеспечить конфиденциальность, целостность и сохранность данных Заказчика:

• оставляя рабочее место, блокировать рабочую станцию (комбинацией Win+L для систем под управлением Windows или Command+Control+Q для систем с Mac OS);
• не прерывать сканирование антивирусным ПО съемных машинных и медиа носителей информации (USB-носителей, оптических дисков, внешних жестких дисков и др.) при их подключении к рабочей станции;
• Не организовывать на рабочем компьютере ресурсы общего доступа и сетевые сервисы (открывать доступ к общим папкам, дискам, CD-приводам и дисководам, настраивать службы удаленного доступа, прокси- или веб-серверы, беспроводные точки доступа, Bluetooth интерфейсы и т.д.);
• использовать уникальные Учетные записи (и многофакторную аутентификацию, если это возможно), предоставленные Заказчиком или ее клиентом (лицом, для которого Заказчик оказывает услуги/выполняет работы). Такие учетные данные, а также созданные персоналом пароли и PIN-коды не должны передаваться никому;
• в случае регулярных путешествий и работы в общественных местах, настоятельно рекомендуется использовать специальные пленки для защиты экрана, чтобы снизить риск просмотра Конфиденциальной информации другими лицами. Такая пленка уменьшает угол обзора экрана практически до нуля, и если злоумышленник попытается заглянуть сбоку или через плечо, то увидит только черный экран. Также необходимо использовать механическую защиту в виде защитного кабеля (Kensington Cable Lock).
• не предоставлять посторонним лицам, в том числе членам семьи и коллегам, доступ к Устройствам или данным Заказчика (включая, но не ограничиваясь ими, ноутбукам и документам);
• Не предпринимать попытки преодоления установленных Заказчиком ограничений, не использовать недокументированные свойства, ошибки в настройках защиты доступа к информационным ресурсам Заказчика, доступ к которым не был предоставлен явным образом;
• не хранить и не использовать на рабочей станции программное обеспечение, фонограммы и другие результаты интеллектуальной деятельности в нарушение прав их законных правообладателей;
• Не открывать вложения и не переходить по ссылкам, указанным в почтовых сообщениях, имеющих признаки фишинга, такие как:
  • сообщение замаскировано под официальное письмо организации и требует каких-либо быстрых действий или ответа;
  • сообщение содержит ссылки на интернет-ресурсы, визуально похожие на оригинальные ресурсы организации, однако в отношении которых возникают сомнения;
  • к сообщению прикреплен файл-вложение, который настойчиво предлагается открыть;
  • в тексте сообщения содержатся опечатки, ошибки, избыточные знаки препинания.
• Не переходить по коротким ссылкам вида bit.ly или goo.gl;
• Не использовать ПО следующих категорий при взаимодействии с рабочей станцией:
  • сканеры портов и анализаторы трафика;
  • средства для организации удаленного доступа, включая средства для создания зашифрованных каналов связи (VPN-, DNS-, SSH-, HTTPS-туннели и пр.), за исключением средств, предоставляемых Заказчиком;
  • ПО, используемое для анонимного доступа в сеть Интернет (включая веб-сервисы, прокси-серверы);
  • ПО для обхода средств защиты, включая средства подбора и восстановления паролей, поиска уязвимостей;
  • ПО, предназначенное для сокрытия или внедрения дополнительной информации в цифровые объекты (в том числе реализующее методы стеганографии);
  • ПО, осуществляющее сбор информации с клавиатуры, экрана, микрофона (снифферы);
  • специализированные программные средства, оказывающее влияние на сетевые настройки СВТ, серверов и сетевого оборудования.
• Не использовать рабочую станцию для посещения следующих интернет-ресурсов:
  • содержание и направленность которых запрещены российским законодательством и международными договорами, являющимися частью правовой системы РФ;
  • содержащих материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц;
  • содержащих материалы, способствующие разжиганию межнациональной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия и т.д.
• Информировать Заказчика обо всех инцидентах информационной безопасности и событиях, создающих угрозу причинения ущерба Заказчику, связанных с рабочей станцией, а также об обращениях третьих лиц с целью получения несанкционированного доступа к рабочей станции;
• Экран рабочей станции должен блокироваться, а рабочая станция переводиться в режим сна не более чем через 5 минут при простое. По окончании работы желательно выключать рабочую станцию для обеспечения наилучшей сохранности данных на зашифрованных носителях;
• В случае утери или кражи рабочей станции необходимо уведомить Заказчика путем отправки письма на электронную почту asoc@axenix.pro. Также необходимо обратиться с соответствующим заявлением в правоохранительные органы;
• Если на рабочей станции установлено ПО Заказчика, запрещается:
  • отключать и/или удалять установленные на рабочей станции средства защиты информации (в том числе антивирусное ПО), использовать недокументированные свойства и ошибки в ПО Заказчика;
  • самостоятельно вносить изменения в настройки ПО Заказчика, отключать его компоненты или осуществлять попытки отладки с целью выявления недочетов в ПО Заказчика.

6. Правила шифрования

Исполнитель обязуется использовать полнодисковое шифрование для поддержания конфиденциальности, целостности и доступности хранимой на рабочей станции информации Заказчика. Технические методы полнодискового шифрования включают в себя FileVault для MacOS X, BitLocker для Windows, LUKS для Linux.

7. Правила обновления ОС на рабочей станции

Исполнитель должен поддерживать установленную на рабочей станции операционную систему в актуальном состоянии. В случае выхода обновления ОС Исполнитель обязуется в кратчайшие сроки установить все необходимые обновления и исправления безопасности для поддержания ОС в актуальном состоянии. Исполнитель обязуется не использовать более не поддерживаемые устаревшие версии ОС на рабочей станции, предназначенной для выполнения работ Заказчика.

8. Привилегированные учетные записи

Исполнитель обязуется без необходимости не использовать привилегированные учетные записи (например, учетную запись root в UNIX-подобных ОС и администраторские учетные записи Windows) при работе с данными Заказчика. В случае необходимости использования привилегированной учетной записи, после выполнения требуемых административных действий, Исполнитель обязуется понизить уровень доступа во избежание получения злоумышленником полного доступа к системе в случае компрометации. Созданные при установке администраторские учетные записи Windows (Administrator/Администратор) должны быть отключены.