Политика информационной безопасности

Цель политики

Настоящая политика уточняет требования политик информационной безопасности компаний, входящих в группу dasha.group применительно к управлению и обеспечению информационной безопасностью (далее — ИБ) при предоставлении консультационных и информационных услуг.

Область действия политики

Применимость: dasha.group

Применимо начиная с: 10.04.2024

Управление и обеспечение ИБ при предоставлении сервисов dasha.group

Разделение ответственности в области ИБ

  • Обязанности и ответственность в области ИБ при использовании облачных услуг разделяются между dasha.group и потребителями облачных услуг (далее — клиент). Описание границ разделения ответственности поддерживается в актуальном состоянии в рамках публичной документации, доступной для потенциальных и действующих клиентов dasha.group.

Сообщения о нарушениях ИБ

  • Эффективное взаимодействие между dasha.group и клиентами при нарушениях ИБ является важным фактором минимизации возможных последствий инцидентов ИБ. В dasha.group внедрен и постоянно совершенствуется процесс управления инцидентами ИБ.

  • dasha.group предоставляет своим клиентам механизмы сообщения о событиях и инцидентах ИБ.

  • dasha.group обязуется уведомлять пользователей об инцидентах, повлиявших на них.

  • При необходимости расследования инцидентов dasha.group гарантирует обеспечение взаимодействия с клиентами, предоставление необходимой информации.

ИБ при разработке и внедрении облачных сервисов

  • Разработка и внедрение облачных сервисов dasha.group выполняется с учетом требования по ИБ.

  • Требования по ИБ для облачных сервисов dasha.group формируются на основе анализа безопасности архитектуры разрабатываемых и внедряемых сервисов и лучших практик в области ИБ.

  • По результатам разработки проводится всестороннее тестирование разработанных сервисов или изменений в них, включая контроль реализации требований ИБ и безопасности кода.

  • Для продуктовых команд и команд разработки проводятся тренинги и повышение осведомленности по безопасной разработке.

Риски от уполномоченных инсайдеров, управление доступом

  • dasha.group учитывает риск несанкционированного доступа уполномоченных инсайдеров к клиентским данным и принимает меры по его минимизации. dasha.group строго контролирует доступ к хранилищам и базам данных.

  • Внедрена политика управления доступом сотрудников dasha.group и контрагентов, события ИБ регистрируются и отслеживаются, методы dasha.group регламентированы. Только авторизованные работники dasha.group или подрядчиков dasha.group получают доступ к ресурсам dasha.group , исходя из принципа наименьших привилегий.

  • Учетные записи и их права пересматриваются для минимизации рисков ИБ, связанных с накоплением избыточных прав, осуществлением несанкционированного доступа и неправомерного использования информационных ресурсов dasha.group .

  • Доступ к данным клиентов строго ограничен и предоставляется только тем работникам, которым этот доступ требуется для осуществляется должностных обязанностей. Со всеми работниками подписывается соглашение о конфиденциальности, проводится регулярное обучение и повышение осведомленности в области ИБ.

Управление жизненным циклом и доступом клиентов

  • Началом жизненного цикла клиента является создание учетной записи на сайте dasha.group . В дальнейшем, управление правами доступа пользователей клиента осуществляется самим клиентом, включая, заведение пользователей, настройку уровня доступа, двухфакторной аутентификации и т.д.

  • dasha.group осуществляет поддержку своих клиентов на всех этапах их жизненного цикла в рамках технической поддержки.

  • Удаление данных клиента осуществляется либо при удалении учетной записи в платформе dasha.group, либо при отключении клиента в случае неуплаты за предоставляемые сервисы.

Изоляция клиентов облачных сервисов

  • Инфраструктурные ресурсы dasha.group запущены на специально выделенных физических серверах, не используемых для работы среды виртуализации. Доступ из клиентских сетей в сервисные сети невозможен.

  • Виртуальная среда клиента dasha.group изолирована от других клиентов. Осуществляется управление информационными потоками на уровне клиентских виртуальных машин.