2.3 Политика информационной безопасности
Цель: минимизировать риски утечки данных, компрометации учетных записей и сбоев, связанных с нарушением базовых требований безопасности.
Область действия: все сотрудники и подрядчики, имеющие доступ к системам компании или данным клиентов.
1) Учетные записи, пароли и MFA
- Уникальные пароли для каждого сервиса. Повторное использование паролей запрещено.
- Длина пароля: не менее 12 символов; предпочтительно — парольные фразы.
- Многофакторная аутентификация (MFA/2FA) обязательна для:
- Почты
- Трекера задач
- Репозиториев
- Административных панелей
- Запрещена передача паролей в чатах/почте.
2) Устройства и рабочая среда
- Пароль или биометрия на вход в систему обязательны.
- Автоблокировка экрана: 5–10 минут простоя.
- Обновления ОС и браузеров устанавливаются регулярно.
- Запрещена установка:
- Нелицензионного ПО
- ПО неизвестного происхождения
- Рекомендуется шифрование диска, если доступно средствами ОС.
3) Работа с данными клиентов
3.1 Общие требования
- Доступ к данным клиента предоставляется только по необходимости и по утверждению PM/Tech lead. При повышенных правах — COO.
- Персональные данные и дампы БД не выгружаются «на всякий случай».
- Передача файлов с данными — только через согласованные защищенные каналы.
3.2 Секреты и ключи
- API-ключи, токены, приватные ключи хранятся в менеджере секретов.
- Запрещено хранить секреты в репозитории, включая .env в открытом виде, если это не предусмотрено процессом управления секретами.
4) Доступ к продакшену
- Продакшен-доступ является повышенным, выдается по заявке и ограничивается по ролям.
- Любые ручные изменения на продакшене должны быть:
- Зафиксированы задачей/инцидентом
- Подтверждены ответственным
5) Инциденты безопасности
5.1 Признаки инцидента
- Подозрительные входы, необычные уведомления MFA.
- Неожиданные изменения прав доступа.
- Утечка токенов/паролей, отправка секретов незащищенным каналом.
5.2 Порядок действий
- Немедленно уведомить PM/Tech lead и COO.
- Сменить пароли, отозвать токены, включить/проверить MFA.
- Зафиксировать:
- Время
- Сервис
- Что произошло
- Какие действия выполнены
- Не удалять логи/переписки до завершения расследования.
6) Ответственность
Нарушение требований безопасности рассматривается как существенное нарушение трудовой/подрядной дисциплины и может повлечь ограничение доступов и дисциплинарные меры.
Схемы (ASCII)
A) Выдача доступа к данным клиента
[Сотрудник/подрядчик]
|
v
[Заявка: что нужно + зачем + срок]
|
v
[Согласование PM/Tech lead]
|
+--> (нужны повышенные права?) -- Да --> [Согласование COO]
| |
| v
| [Разрешено/Отказ]
|
v
[Выдача доступа (минимально необходимый)]
|
v
[Фиксация: где выдано + кто выдал + срок]
|
v
[Периодическая ревизия / отзыв по сроку] B) Секреты и ключи (API, токены, приватные ключи)
[Нужно подключить сервис/интеграцию]
|
v
[Создать/получить секрет]
|
v
[Положить в менеджер секретов]
|
v
[Выдать доступ к секрету по ролям]
|
v
[Использовать через переменные окружения / vault]
|
v
[Ротация по графику / при инциденте]
Запрещено:
- хранить секреты в репозитории - пересылать секреты в чатах/почте - держать .env в открытом виде вне согласованного процесса C) Доступ к продакшену и ручные изменения
[Нужно действие на prod]
|
v
(можно решить без prod-доступа?) -- Да --> [Сделать через CI/CD/PM]
|
Нет
|
v
[Заявка на prod-доступ: цель + срок + права]
|
v
[Согласование ответственного (PM/Tech lead/COO)]
|
v
[Выдача временного доступа]
|
v
[Действие на prod]
|
v
[Фиксация в задаче/инциденте: что/когда/кто]
|
v
[Проверка результата]
|
v
[Отзыв доступа] D) Реагирование на инцидент безопасности (быстрый сценарий)
[Обнаружен признак инцидента]
|
v
[Уведомить: PM/Tech lead + COO]
|
v
[Ограничить ущерб]
- сменить пароли
- отозвать токены
- включить/проверить MFA
|
v
[Зафиксировать факты]
- время
- сервис
- что произошло
- какие действия выполнены
|
v
[Сбор артефактов]
- логи
- переписки
- события доступа
(ничего не удалять)
|
v
[Разбор причин + меры предотвращения] 