Стандарт по защите и безопасному использованию Яндекс 360, версия 1.0.0

ВведениеВведение

Документ содержит рекомендации по техническим мерам защиты и помогает выбрать меры обеспечения информационной безопасности (ИБ) при использовании сервисов Яндекс 360.

Рекомендации и меры обеспечения безопасности в стандарте сопровождаются ссылками на API и решения по настройке безопасных конфигураций с помощью штатных средств защиты информации.

Стандарт описывает способы и средства проверки выполнения рекомендаций, в том числе с помощью:

• интерфейса Яндекс 360;
• API Яндекс 360.

Область примененияОбласть применения

Рекомендации предназначены для администраторов, технических специалистов и специалистов по ИБ, которые отвечают за безопасность информационных систем, использующих сервисы Яндекс 360.

Стандарт можно рассматривать как основу для разработки рекомендаций, специфичных для организации. Не все меры обеспечения ИБ и рекомендации из настоящего документа могут быть применимы. Кроме того, могут потребоваться дополнительные меры и рекомендации, не включенные в настоящий стандарт.

Структура стандартаСтруктура стандарта

Стандарт описывает рекомендации для следующих задач обеспечения безопасности:

• управление учетными записями и правами доступа;
• двухфакторная аутентификация и восстановление учетных записей;
• мониторинг и анализ аудитных логов;
• парольная политика и управление паролями;
• ограничение доступа к внешним сервисам и приложениям;
• защита данных и предотвращение утечек.

Требования и подготовкаТребования и подготовка

Для проверок убедитесь, что:

• у вас есть необходимые права доступа к API Яндекс 360;
• вы знакомы с документацией по используемым API;
• у вас есть доступ к аудитным логам и другим необходимым данным.

Вы можете автоматизировать аудит выполнения всех рекомендаций с помощью скриптов, использующих API Яндекс 360.

Ограничение ответственностиОграничение ответственности

В Яндекс 360 используется концепция разделения ответственности (shared responsibility). Граница ответственности за безопасность определяется типом используемой платформы (модель SaaS), встроенными механизмами защиты и политиками, которые предоставляет провайдер.

Яндекс как поставщик услуг отвечает за физическую безопасность дата-центров, поддержку отказоустойчивой и целостной платформы, защиту сетевой инфраструктуры, мониторинг и анализ событий на уровне системы, а также за реализацию механизмов Security‑by‑Default: шифрование данных, анти‑спам и анти‑DDoS средства и другие встроенные уровни защиты.

Клиент — владелец «Организации 360» — несет ответственность за настройку и управление доступом: назначение ролей (Users, Managers, Admins), внедрение политик паролей, включение двухфакторной аутентификации, конфигурацию сетевых правил для сервисов (например, Яндекс Телемост), обработку и классификацию данных, резервное копирование и аудит собственных объектов внутри организации.

Таким образом, поставщик гарантирует защищенность и стабильность инфраструктурного уровня, а клиент обеспечивает надежную конфигурацию, контроль доступа и защиту данных внутри своей SaaS‑организации.

Термины и сокращенияТермины и сокращения

В настоящем документе применяются термины и определения, используемые в документации Яндекс 360, а также общепринятые термины в области информационной безопасности.