Политика информационной безопасности

Безопасность данных клиентов и субъектов ПДн — приоритет Оператора. Настоящая Политика описывает технические и организационные меры, применяемые в SaaS-платформе «Комендант MDM» в соответствии с 152-ФЗ (ред. 24.06.2025), ПП РФ № 1119, Приказом ФСТЭК № 21, Приказом ФСБ № 378 и практиками индустрии.

1. Классификация ИСПДн и состав мер

В соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012 информационная система Сервиса классифицирована как ИСПДн 3-го уровня защищённости (УЗ-3): актуальны угрозы 3-го типа, обрабатываются ПДн иных категорий (не специальные, не биометрические), субъекты — сотрудники клиентов-юрлиц (не самого Оператора), объём — до 100 000 субъектов.

Состав организационных и технических мер соответствует Приказу ФСТЭК № 21 (ред. от 14.05.2020) для УЗ-3:

2. Защита данных «at-rest»

• СУБД PostgreSQL развёрнута с включённым Row-Level Security (FORCE RLS) — межтенантная изоляция на уровне строк; администратор приложения не может прочитать данные чужого tenant'а.
• Секреты (API-ключи интеграций, токены, пароли внешних систем) шифруются AES-GCM-256 с ключом, хранящимся в переменных окружения сервера, и ежеквартальной ротацией.
• Резервные копии шифруются GPG (RSA-4096) перед выгрузкой во внешнее хранилище РФ.
• Уникальные идентификаторы устройств (IMEI, IMSI) хранятся как HMAC-SHA256 с pepper-ключом — восстановить исходный идентификатор без доступа к серверу невозможно.
• Пароли администраторов — bcrypt (cost factor 12), сервис-PIN для DPC — отдельный bcrypt-хеш.
• Вся инфраструктура — на территории РФ (Москва), согласно ч. 5 ст. 18 152-ФЗ.

3. Защита данных «in-transit»

• TLS 1.2+ обязателен для всех внешних соединений (web-admin, REST API, MQTT). TLS 1.0/1.1 и SSLv3 отключены.
• HSTS (Strict-Transport-Security, max-age=31536000; includeSubDomains; preload).
• SPKI-pinning в мобильных клиентах DPC для MQTT-соединения с брокером EMQX — защита от MITM с установленным корпоративным прокси.
• mTLS между внутренними сервисами (сервер ↔ EMQX ↔ MinIO) в production.
• Заголовки безопасности: X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Content-Security-Policy, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy.

4. Управление доступом

• Многофакторная аутентификация (MFA) обязательна для всех администраторов — TOTP (RFC 6238), FIDO2/WebAuthn на Enterprise.
• PIN-gate для сервисного режима DPC — без PIN сервисные настройки недоступны, даже при физическом доступе.
• Role-Based Access Control (RBAC) с 5 ролями: owner, admin, tech, auditor, read-only; детализированные permissions на уровне ресурсов.
• Принудительная ротация паролей каждые 90 дней для привилегированных аккаунтов.
• Session-токены (JWT) с TTL 7 дней, отзываемые по явному logout или подозрительной активности.
• Lockout после 5 неуспешных попыток входа + rate limits на уровне WAF.

5. Журналирование и аудит

• Все действия администраторов и API-запросы записываются в таблицу audit_log: кто (user_id), когда (timestamp), что (action + entity + entity_id), откуда (IP + user-agent), результат (success/failure).
• Срок хранения audit-логов — 1 год (Приказ ФСТЭК № 21, п. РСБ).
• Целостность журналов: write-once через отдельную роль БД с INSERT-only правами; ежедневный hash-chain (SHA-256) для обнаружения постфактум-правок.
• Отдельные логи: device_tracks (90 дней), debug_logs (30 дней), consent_log (3 года).

6. Периметр и WAF

• Периметр — nginx с ModSecurity + OWASP CRS и CrowdSec community blocklists.
• Rate limits: 60 RPS на IP для публичных endpoints, 300 RPS для аутентифицированных API.
• Geo-блокировка по запросу клиента (Enterprise) — отказ в доступе за пределами РФ.
• DDoS-защита на уровне хостинг-провайдера РФ.

7. Реагирование на инциденты с ПДн (24 ч / 72 ч)

В соответствии с ч. 3.1 ст. 21 152-ФЗ (действует с 01.09.2022) при выявлении инцидента, повлёкшего неправомерную или случайную передачу (предоставление, распространение, доступ) ПДн, повлёкшую нарушение прав субъектов:

1. Обнаружение — автоматические алерты: превышение 4xx/5xx, всплески 401/403, подозрительная активность (CrowdSec + кастомные правила Prometheus).
2. Триаж — дежурный инженер reviews alert в течение 15 минут (Business Pro/Enterprise) / 4 часов (Business) / business-hours (Freemium).
3. Первичное уведомление Роскомнадзора — в течение 24 часов с момента выявления инцидента через форму pd.rkn.gov.ru/incidents/form/: факты инцидента, предполагаемые причины, категории затронутых ПДн.
4. Окончательный отчёт в Роскомнадзор — в течение 72 часов: результаты внутреннего расследования, установленные причины, выявленный вред, принятые меры по устранению последствий, меры по предупреждению повторения.
5. Уведомление затронутых субъектов ПДн — в разумный срок по email, если инцидент повлёк реальные риски для их прав и интересов.
6. Взаимодействие с ГосСОПКА (НКЦКИ) — при признаках компьютерной атаки на объекты КИИ клиентов.
7. Post-mortem — отчёт с root cause analysis и мерами предотвращения в течение 7 дней.

8. Жизненный цикл разработки (SDLC)

• Обязательный code review минимум 1 ревьюером перед merge.
• Автоматические security checks в CI: gitleaks (secrets), bandit/semgrep (SAST), trivy (зависимости и образы Docker), npm audit.
• После каждого milestone — четыре независимых проверки: code review, информационная безопасность, UI↔backend контракт, сверка с roadmap.
• Penetration testing — ежегодно внешним исполнителем, начиная с выхода из pre-launch фазы scheduled.
• Dependency scanning — еженедельно с автообновлением minor/patch.

9. Соответствие и сертификация

• 152-ФЗ «О персональных данных» (ред. 24.06.2025) — соответствие подтверждено внутренним аудитом done.
• Уведомление об обработке ПДн (ст. 22 152-ФЗ) — не требуется, отмена по ФЗ №266-ФЗ с 01.03.2023 n/a.
• Локализация на территории РФ (ч. 5 ст. 18 152-ФЗ) — вся инфраструктура в Москве done.
• Уровень защищённости УЗ-3 (ПП РФ № 1119) — модель угроз и меры внедрены done.
• Приказ ФСТЭК № 21 — состав мер для УЗ-3 реализован done.
• Реестр отечественного ПО Минцифры — заявка в процессе подготовки in progress.
• Процедура инцидент-уведомлений 24/72 ч — runbook и контакты настроены done.
• Паспорт угроз и модель нарушителя — сформированы, пересматриваются ежегодно.

10. Резервное копирование и Disaster Recovery

• PostgreSQL: непрерывный WAL-архив + ежедневный full backup, шифрование GPG.
• MinIO: ежедневные snapshots, репликация в 2 зоны РФ.
• Offsite-хранение: Yandex Object Storage / VK Cloud, РФ-регион provider selection.
• RPO: 15 минут. RTO: 2 часа для Business, 30 минут для Enterprise.
• Ежеквартальные DR-learnings — восстановление из бэкапа на отдельной площадке и прогон smoke-тестов.

11. Физическая безопасность

Серверы Сервиса размещаются в коммерческом дата-центре на территории РФ, сертифицированном по стандарту Tier III и соответствующем требованиям ФЗ «О защите информации». Физический доступ — только для сертифицированных сотрудников провайдера по двухфакторной пропускной системе с видеофиксацией.

12. Организационные меры

• Внутренние регламенты: «Положение об обработке ПДн», «Перечень лиц, допущенных к обработке ПДн», «План реагирования на инциденты (24/72 ч)», «Политика BYOD и удалённого доступа».
• Инструктаж сотрудников по ИБ — при приёме на работу + ежегодно.
• NDA со всеми сотрудниками и подрядчиками.
• Принцип least privilege для внутренних систем.

13. Ответственное раскрытие уязвимостей

Если вы нашли уязвимость — сообщите на security@komendant-mdm.ru. Мы ответим в течение 48 часов, зафиксируем CVE при необходимости и выпустим fix. Уважаем responsible disclosure: просим не публиковать детали до выпуска патча.

14. Контакты

Вопросы по ИБ: security@komendant-mdm.ru
Вопросы по ПДн: pdn@komendant-mdm.ru
Поддержка: support@komendant-mdm.ru