Для целей настоящих Требований Стороны используют следующую терминологию:
Договор – соглашение между Сторонами об установлении гражданских прав и обязанностей, в котором содержится отсылка к настоящим Требованиям.
Хофф Тех – ООО «Хофф Тех», Сторона по Договору.
Контрагент – лицо, являющееся контрагентом ООО «Хофф Тех» и Стороной в Договоре.
Положения настоящих Требований применяются к отношениям Сторон в силу соответствующей отсылки в Договоре, если иные условия прямо не предусмотрены Договором.

1. Идентификация и аутентификация субъектов доступа и объектов доступа.
1.1 Должна быть сформирована и описана матрица ролей и полномочий, определен перечень сотрудников Хофф Тех и третьих лиц, являющихся пользователями и/или администраторами информационной системы (далее также – «ИС»).
1.2 Должна использоваться технология единого входа (Single Sign-On) для доступа в ИС, которые будут использоваться работниками Хофф Тех (с использованием доменных учетных данных) и если система планируется к размещению в рамках корпоративной сети.
1.3 Перед началом эксплуатации пользователи по умолчанию должны быть удалены из ИС или отключены.
1.4 Все пароли УЗ, установленные по умолчанию, должны быть изменены и переданы уполномоченным работникам Хофф Тех.
1.5 Требования к парольной политике ИС (реализуется при отсутствии возможности выполнения требований п. 1.2).
· Максимальный срок действия пароля должен составлять 91 день.
· Минимальный срок действия пароля должен составлять 1 день.
· Пароль должен включать в себя символы, как минимум из трех подмножеств: латинские буквы верхнего регистра, латинские буквы нижнего регистра, цифры, специальные символы (!, /, # и т.п).
· Пароли пользователей ИС должны состоять из не менее чем 10 символов.
· Пароли администраторов ИС должны состоять из не менее чем 12 символов.
· Пароль не должен совпадать с 13-тью последними используемыми пользователем паролями.
· В случае 10 подряд неудачных попыток ввода пароля, в течение 5 минут, учетная запись должна автоматически блокироваться.
· Новый пароль должен вводиться дважды (с подтверждением).
· Пользователь должен извещаться об истечении срока действия его пароля и необходимости его смены за 14 календарных дней до окончания срока действия пароля.
1.6 Хранение и передача парольной информации должны осуществляться в защищенном от несанкционированного доступа виде.

2. Управление доступом субъектов доступа к объектам доступа:
2.1 Учетные записи пользователей и администраторов должны отличаться именами, а также требованиями к парольной политике.
2.2 Каждому из пользователей должно выделяться минимальное количество прав доступа, необходимых для выполнения его функциональных задач.
2.3 Сеансы должны иметь ограниченный срок службы и истекать через определенный период времени (автоматически завершаться через установленные интервалы времени).
2.4 Должна быть реализована функция выхода из ИС (завершение сеанса).
2.5 В ИС должны использоваться уникальные служебные учетные записи для служб, задач и приложений.
2.6 Взаимодействие ИС с компонентами (файловые хранилища, файловые системы, базы данных, сервера, службы, сервисы и т.п.) должно происходить с использованием минимально необходимых привилегий для выполнения задач.
2.7 Служебным учетным записям должны быть назначены минимально необходимые права, достаточные для их корректного функционирования.
2.8 Служебные учетные записи, такие как “администратор”, “root”, “sa” и т.п. должны быть переименованы или заблокированы.
2.9 В случае интеграции ИС Хофф Тех с внешними ИС, не принадлежащими Хофф Тех, должна использоваться дополнительная авторизация соединений, а также обеспечиваться криптографическая защита передаваемых данных.

3. Регистрация событий безопасности
3.1 Должна выполнятся регистрация всех событий, относящихся к информационной безопасности.
3.2 Должна быть предусмотрена возможность выбора сроков хранения журналов безопасности. Срок хранения не может быть менее 3 месяцев.
3.3 Доступ к журналам безопасности должен предоставляться заранее определенным категориям пользователей.

4. Антивирусная защита.
4.1 На всех операционных системах ИС должно быть установлено средство антивирусной защиты информации.

5. Контроль (анализ) защищенности
5.1 Проектирование и разработка компонентов ИС должна осуществляться с учетом устранения «Топ-10 угроз веб-приложений» - OWASP (owasp.org/www-project-top-ten/).
5.2 ИС и ее системное окружение (операционные системы, общесистемное ПО и т.п.) должно позволять устанавливать обновления безопасности от вендоров.
5.3 Используемая версия приложений и операционных систем должна поддерживаться производителем и быть актуальной.
5.4 Для ИС, которым предполагается предоставлять ограниченный доступ в Интернет (например, для периодической загрузки информации с определенного сайта), должны выполняться следующие требования:
· работа с корпоративным прокси-сервером с использованием доменной учетной записи без дополнительных привилегий;
· ограничение доступа в Интернет для пользователя только необходимыми хостами, протоколами и портами;
5.5 Для ИС, к которым пользователи подключаются из публичных сетей должны выполняться следующие требования:
• размещение в DMZ-сегменте корпоративной сети;
• ограничения доступности ресурсов внутренней сети (если они необходимы для реализации функционала) по принципам минимальной необходимости (прямо неразрешенное для доступа запрещено), непрямой передачи (передача данных осуществляется или через буферный хост или по запросу изнутри защищенного периметра корпоративной сети), защищенного администрирования (функционал управления настройками и конфигурациями ИС, операционной системы, средств виртуализации доступны только из внутренней части корпоративной сети) по защищенным протоколам.
5.6 Средства управления и администрирования ИС должны быть доступны только из выделенного сетевого сегмента (подсети управления). Интерфейсы пользователя и администратора должны быть разделены.
5.7 Для администрирования ИС, должны использоваться только защищенные протоколы, например SSH, HTTPS, SFTP и т.п.
5.8 Неиспользуемые модули или приложения по умолчанию должны быть удалены.
5.9 Данные конфигурации должны быть защищены от несанкционированного доступа к ним или их изменения.
5.10 В операционных системах ИС должны быть отключены все неиспользуемые сетевые службы.
5.11 Должен быть запрещен интерактивный вход в систему для служебных учетных записей.

6. Защита ИС, ее средств, систем связи и передачи данных.
6.1 При организации доступа к ИС Хофф Тех в пределах локальной вычислительной сети Хофф Тех, необходимо использовать протокол HTTPS, если в системе обрабатывается информация конфиденциального характера (персональные данные и т.п.).
6.2 При передаче данных за пределы локальной вычислительной сети Хофф Тех, должны использоваться протоколы обеспечивающие криптографическую защиту передаваемых данных.
6.3 Запрещено выводить отладочную информацию пользователям в системах, обрабатывающих конфиденциальную информацию, а также в системах, взаимодействующих с сетью Интернет.
6.4 Стандартные сообщения об ошибках в системах, обрабатывающих конфиденциальную информацию, а также в системах, взаимодействующих с сетью Интернет, должны быть заменены на собственные общего характера.
6.5 В случае неудачной идентификации или аутентификации, сообщение об ошибке должно быть общим (без указания неверного ввода логина или неверного ввода пароля, или сообщения об отсутствии такого пользователя).
6.6 Все (скрытые и видимые) поля формы, параметры, значения флажков, полей выбора и т.д. и выходные данные в системах, обрабатывающих конфиденциальную информацию, а также в системах, взаимодействующих с сетью Интернет, должны проверяться на наличие допустимого формата и значений с использованием подхода белого списка, прежде чем они будут приняты приложением для дальнейшей обработки.
6.7 Аутентификация и авторизация должны выполняться на стороне серверной части системы.

7. Управление конфигурацией ИС.
7.1 Должен быть определен перечень пользователей, которым разрешены действия по внесению изменений в конфигурацию ИС.
7.2 Изменения конфигурации систем, обрабатывающих конфиденциальную информацию, должны быть согласованы отделом информационной безопасности Заказчика.
7.3 Должна выполняться регистрация всех событий, относящихся к изменениям в конфигурации ИС.
7.4 Должна быть разработана эксплуатационная документация на ИС (описание и технические характеристики ИС, инструкция пользователя, инструкция администратора и т.д.).

8. Резервное копирование и восстановление
8.1 Должен быть разработан и утвержден план резервного копирования данных в ИС и восстановления.
8.2 Время восстановления работоспособности ИС, после технического сбоя в работе, не должно превышать 24 часов.