Yandex 360 tomonidan ko‘riladigan xavfsizlik choralari

Ushbu sahifada Yandex 360 mijozlarining biznes uchun ma’lumotlarini himoya qilish uchun Yandex tomonidan amalga oshirilayotgan texnik va tashkiliy chora-tadbirlar haqida so‘z boradi.

Axborot xavfsizligini tashkil etish

Axborot xavfsizligini boshqarish tizimi

Yandex axborot xavfsizligini boshqarish tizimini dastaklaydi, mijozlarning ma’lumotlari uchun axborot xavfsizligini buzish xavfini minimallashtirish uchun ichki siyosat va protseduralarni qabul qiladi va qo‘llaydi.

Xavfsizlik mas’uliyati

Yandexda xavfsizlik protseduralarini joriy etish va monitoring qilish uchun mas’ul bo‘lgan jamoa mavjud.

Xavflarni boshqarish

Yandexda risklarni muntazam baholash va ularni qayta ishlash rejalarini amalga oshirishni o‘z ichiga olgan risklarni boshqarish dasturi mavjud.

Inson resurslari xavfsizligi

Ta’lim

  • Yandex xodimlar va pudratchilardan kompaniya qoidalari va tartib-qoidalariga muvofiq axborot xavfsizligi choralarini qo‘llashni talab qiladi.

  • Yandex xodimlarga mijozlar ma’lumotlari bilan to‘g‘ri munosabatda bo‘lishni o‘rgatadi.

Ishni to‘xtatish yoki almashtirish

Yandex o‘z xodimlari va pudratchilariga ularning axborot xavfsizligini ta’minlash bo‘yicha majburiyatlarini belgilaydi va yetkazadi, shuningdek, ishdan bo‘shatilgandan yoki ish joyi o‘zgartirilgandan keyin o‘z kuchida qoladiganlarining bajarilishiga erishadi.

Aktivlarni boshqarish

Ruxsat etilgan foydalanish

Yandex axborot va axborotga ishlov berish vositalari bilan bog‘liq axborot va aktivlardan ruxsat etilgan foydalanish qoidalarini hujjatlashtiradi va ularga rioya qiladi.

Aktivlarni qaytarish

Mehnat shartnomasi bekor qilingandan so‘ng Yandex xodimlari o‘z ixtiyorida bo‘lgan tashkiliy aktivlarni qaytarib olishlari kerakligi ko‘zda tutilgan.

Ma’lumotlar tasnifi

Yandex axborotni qonunchilik talablari, qiymati, tanqidiyligi va ruxsatsiz oshkor qilish yoki o‘zgartirishga sezgirligi nuqtai nazaridan tasniflaydi.

Aktivlar bilan ishlash

Yandex qabul qilingan axborotni tasniflash sxemasiga muvofiq aktivlar bilan ishlash tartibini ishlab chiqadi va amalga oshiradi.

Ishoralarni boshqarish

Mijozlar ma’lumotlariga kirish siyosati

Yandex 360 qoidalari, agar shartnomada yoki qonun hujjatlarida boshqacha tartib nazarda tutilmagan bo‘lsa, xodimlarga mijozlarning ma’lumotlariga kirishni taqiqlaydi.

Ruxsatni boshqarish siyosati

Yandex obyektlar, himoyalangan hududlar, hisoblash va tarmoq resurslariga faqat vakolatli shaxslar kirishini nazarda tutuvchi siyosatga ega.

Tarmoq va tizimlarga kirish

  • Yandex tarmoqlari va tizimlariga kirish huquqi vakolatli xodimlarga beriladi.

  • Yandex xodimlarining rahbarlari qo‘l ostidagilarning obyektlarga, himoyalangan hududlarga, hisoblash va tarmoq resurslariga kirishini tasdiqlaydi.

  • Yandex foydalanuvchining kirish huquqlarini uning ishini bajarish uchun zarur bo‘lgan minimal huquqlar to‘plami va kerakli vaqt bilan cheklaydi.

  • Yandex apparat ta’minotini boshqarish interfeyslarini avtorizatsiyalangan xodimlar kirishi cheklangan segregatsiyalangan tarmoqlarda joylashtiradi.

  • Yandex xavfsizlik siyosatiga muvofiq vakolatli shaxslarga manba kodidan foydalanish imkoniyatini taqdim etadi.

Foydalanuvchi huquqlarini tekshirish

Yandex har yili xodimlarning barcha kirish huquqlarini qayta ko‘rib chiqadi.

Foydalanish huquqini bekor qilish yoki tuzatish

Yandex kompaniyada ishlashni to‘xtatgan xodimlar uchun axborot va tizimlarga kirish huquqlarini bekor qiladi va ularning javobgarlik doirasi o‘zgarganda tuzatishlar kiritadi.

Parollar sifati

Yandex ichki parollarni boshqarish tizimlarida sifatli parollarni taqdim etadi. Tekshiruvlar parolning minimal uzunligi, belgilar sinflari soni va maksimal amal qilish muddatini hisobga oladi.

Jismoniy xavfsizlik va atrof-muhit xavfsizligi

Jismoniy kirish nazorati

Yandex ofislar va ma’lumotlar markazlariga faqat vakolatli xodimlarning kirishini ta’minlashga qaratilgan tegishli jismoniy kirishni nazorat qilish vositalariga ega.

Jihozni xavfsiz utilizatsiya qilish yoki qayta ishlatish

Axborot tashuvchilardagi maxfiy ma’lumotlar tashuvchilardan qayta foydalanishdan oldin o‘chiriladi yoki ishonchli tarzda qayta yozib olinadi. Agar tashuvchilar yaroqsiz bo‘lib qolsa, Yandex ularni rasmiy protseduralarga muvofiq yo‘q qiladi.

Ma’lumotlar xavfsizligi va axborotning hayotiylik davrini boshqarish

Ma’lumotlar uzatish xavfsizligi

Yandex umumiy foydalanishdagi tarmoqlar va ichki tarmoq orqali uzatiladigan mijozlar ma’lumotlarini TLS protokoli yordamida himoya qiladi.

Hodisalarni boshqarish

Hodisalarga munosabat bildirish. Hisobot berish

  • Yandex xavfsizlikka tahdidlarni aniqlash, ro‘yxatga olish va ma’lum yoki taxmin qilinayotgan hodisalarga tegishli ravishda javob berish uchun rasmiy monitoring, hisobot berish va javob berish jarayoniga ega.

  • Yandexda mijozlar ma’lumotlarining sizib chiqishi haqida asossiz kechikishlarsiz mijozlarni xabardor qilish tartiblari mavjud.

Axborot tizimlarini ishlab chiqish va ularga xizmat ko‘rsatish

Tizimlarni ishlab chiqishning hayotiy sikli

Yandex tizimlar va ilovalarni ishlab chiqish va joylashtirishni tartibga soluvchi tizimlarni ishlab chiqishning hayotiy sikliga ega.

Axborot xavfsizligi talablari

Yandex axborot xavfsizligi bilan bog‘liq talablarni yangi axborot tizimlariga va mavjudlarini takomillashtirishga qo‘llaydi.

Xavfsiz ishlab chiqish

  • Yandexda xavfsiz ishlab chiqish jarayonining asosiy tarkibiy qismlari doimiy ravishda rivojlantirilmoqda: Security Development Lifecycle, SDLC.

  • Yandex o‘zgarishlarni nazorat qilishning rasmiy protseduralari yordamida ishlab chiqishning hayotiy sikli doirasida tizimlardagi o‘zgarishlarni nazorat qiladi. Ular xavfsizlik arxitekturasi sharhi va mahsulot xavfsizligi auditini o‘z ichiga oladi.

  • Yandex tizimlarni ishlab chiqishning butun hayotiy siklida tizimlarni ishlab chiqish va integratsiyalash uchun muhitlarni yaratadi va tegishli tarzda himoya qiladi.

  • Yandex ishlab chiqish, sinov va ishlab chiqarish muhitlarini ajratadi.

  • Yandex ishlab chiqarish ma’lumotlari hech qachon ishlab chiqish yoki sinov muhitlarida takrorlanmasligini nazarda tutuvchi protseduralarga ega.

Zaifliklarni boshqarish

  • Yandex muntazam ravishda bulutli platformaga kirishni sinovdan o‘tkazadi va xavfsizlik muammolarini aniqlash, yumshatish va hal qilish uchun zaifliklarni tekshiradi.

  • Yandex tizimlar ishlab chiqarishga o‘tishidan oldin aniqlangan zaifliklarni bartaraf etadi.

  • Yandex tuzatishlarni boshqarish siyosatiga ega. U muhim xavfsizlik tuzatmasini yetkazib berish vaqti va uni qo‘llash vaqti orasidagi maksimal vaqtni hujjatlashtiradi.

  • Yandex axloqli xakerlarni mahsulotlardagi zaifliklarni topishga va mukofot evaziga bu haqda kompaniyaga xabar berishga undaydigan “Xatolar ovi” dasturini o‘tkazadi.

Kriptografik standartlar

Yandexda minimal kriptografik standartlarni o‘rnatadigan siyosat tasdiqlangan. Ularga barcha ilovalar, shuningdek, tarmoq va hisoblash resurslari mos kelishi kerak.

Ishning uzluksizligi va avariya holatida tiklash

Ortiqcha

  • Yandex barcha muhim xizmatlar uchun zaxiralash mexanizmlaridan foydalanadi.

  • Yandex dam olish kunlarisiz 24 soat ishlashga mo‘ljallangan va atrof-muhit tahdidlaridan himoyalangan bir nechta hududiy taqsimlangan ma’lumotlar markazlarida ishlaydi.

  • Yandex ortiqcha ma’lumotlar omboridan foydalanadi, bu uskuna ishdan chiqqan taqdirda mijozlar ma’lumotlarini saqlashga qaratilgan.

Testlar

Yandex uzluksizlikni ta’minlash va favqulodda tiklash rejalarini muntazam ravishda sinovdan o‘tkazadi.

Axborot xavfsizligi sharhi

Mustaqil baholash

  • Yandex o‘z axborot tizimlarini kompaniyaning axborot xavfsizligi siyosati va standartlariga muvofiqligini muntazam ravishda tekshirib boradi.

  • Yandex rejalashtirilgan muntazamlik yoki jiddiy o‘zgarishlar bilan axborot xavfsizligini boshqarish va amalga oshirishga yondashuvini baholaydi va qayta ko‘rib chiqadi.

Avvalgisi
Qanday oʻchiriladi
Keyingisi
Yordam xizmati qanday ishlaydi