Меры безопасности

Настоящий документ представляет собой положение о технических и организационных мерах, реализуемых ООО «Ю-Би-Ай Технологии» (далее — «Ю-Би-Ай») для защиты данных клиентов на «UB-Insurance» (далее — «Платформа»).

Организация информационной безопасности

Система управления информационной безопасностью

Ю-Би-Ай поддерживает систему управления информационной безопасностью, которая включает в себя принятие и применение внутренних политик и процедур, направленных на минимизацию рисков информационной безопасности для клиентских данных.


Безопасность человеческих ресурсов

Скрининг

Ю-Би-Ай проверяет и верифицирует информацию обо всех кандидатах на трудоустройство.

Обучение

Ю-Би-Ай требует от всех сотрудников и подрядчиков применять меры информационной безопасности в соответствии с установленными правилами и процедурами в компании.

Ю-Би-Ай проводит обучение сотрудников по вопросам надлежащего обращения с данными клиентов.

Прекращение или смена работы

Ю-Би-Ай определяет, доводит до сведения своих сотрудников и подрядчиков и добивается выполнения тех обязанностей по обеспечению информационной безопасности, которые остаются в силе после увольнения или смены места работы.


Управление активами

Возвращение активов

Сотрудники Ю-Би-Ай возвращают все организационные активы, находящиеся в их распоряжении, после прекращения трудового договора.


Управление доступом

Политика управления доступом

У Ю-Би-Ай есть политика, которая гарантирует, что только авторизованные лица имеют доступ к объектам, защищенным зонам, а также вычислительным и сетевым ресурсам.

Доступ к сетям и системам

Доступ к сетям и системам Ю-Би-Ай предоставляется только уполномоченным сотрудникам.

Руководство Ю-Би-Ай обязано утверждать доступ каждого сотрудника ко всем объектам, защищенным зонам и вычислительным и сетевым ресурсам.

Ю-Би-Ай ограничивает права доступа каждого пользователя минимальным набором прав, необходимым для выполнения его работы, и только на необходимое время.

Ю-Би-Ай предоставляет доступ к исходному коду только уполномоченным лицам в соответствии с политикой безопасности

Проверка прав доступа пользователей

Ю-Би-Ай ежегодно пересматривает все права доступа пользователей.

Отзыв или корректировка прав доступа

Ю-Би-Ай отзывает права доступа к информации и системам для всех сотрудников, прекращающих работу в компании, и корректирует — при изменениях круга их ответственности.

Качество паролей

Ю-Би-Ай обеспечивает качественные пароли в своих системах управления паролями. Проверки включают минимальную длину пароля, количество классов символов и максимальный срок действия.


Физическая безопасность и безопасность среды

Физический периметр безопасности

Ю-Би-Ай определяет периметры безопасности и использует их для защиты мест, содержащих конфиденциальную или критическую информацию, а также средства обработки информации.


Контроль физического доступа

У Ю-Би-Ай есть надлежащие средства контроля физического доступа, которые позволяют гарантировать, что доступ разрешен только авторизованному персоналу.


Безопасность данных и управление жизненным циклом информации

Безопасность передачи данных

Ю-Би-Ай защищает всю информацию клиентов, которая передается по общедоступным сетям, с использованием протокола TLS.


Разработка и обслуживание информационных систем

Жизненный цикл разработки систем

В Ю-Би-Ай есть документированный жизненный цикл разработки систем, который регулирует разработку и развертывание систем и приложений.

Требования информационной безопасности

Ю-Би-Ай включает требования, связанные с информационной безопасностью, в требования к новым информационным системам и усовершенствованиям существующих информационных систем.

Процедуры контроля изменения системы

Ю-Би-Ай контролирует изменения в системах в рамках жизненного цикла разработки с помощью формальных процедур контроля изменений, которые включают в себя обзор архитектуры безопасности.


Тестирование информационной безопасности

Ю-Би-Ай проводит регулярное фаззинг-тестирование, тестирование на проникновение и сканирование уязвимостей, чтобы обнаруживать, смягчать и решать проблемы безопасности в облачной платформе.

Безопасная среда разработки

Ю-Би-Ай создает и надлежащим образом защищает среды для разработки и интеграции систем, во всем жизненном цикле разработки систем.

Ю-Би-Ай разделяет среды разработки, тестирования и продакшн-среду.

Управление уязвимостями

Ю-Би-Ай выполняет регулярные сканирования уязвимостей предпроизводственных, открытых в интернет систем и сетевых устройств перед перемещением этих систем / устройств в производство.

Ю-Би-Ай устраняет все обнаруженные уязвимости до перехода этих систем в производство.


Непрерывность работы и аварийное восстановление

Избыточность

Ю-Би-Ай использует механизмы резервирования для всех критических сервисов.

Ю-Би-Ай работает в нескольких территориально распределенных дата-центрах, предназначенных для работы 24x7 и защищенных от различных угроз окружающей среды.

Ю-Би-Ай использует избыточность хранилищ данных, которая позволяет восстановить данные клиентов в случае выхода из строя оборудования.

Тесты

Ю-Би-Ай регулярно тестирует свои планы обеспечения непрерывности работы и аварийного восстановления.


Обзор информационной безопасности

Самостоятельная оценка

Ю-Би-Ай регулярно проверяет свои информационные системы на соответствие политике и стандартам информационной безопасности компании.

Ю-Би-Ай оценивает и пересматривает свой подход к управлению и реализации информационной безопасности с запланированной регулярностью или при возникновении существенных изменений.
ООО "Ю-Би-Ай Технологии"
Адрес размещения в сети «Интернет»: https://ubitec.ru/legal/security-terms
Дата размещения версии документа: 29 октября 2019 г.
Дата вступления в силу версии документа: 30 октября 2019 г.