You are here

ru-ru-min-sec-cont-annex

Primary tabs

Clone Agreement Document

Body Content

Приложение о минимальных мерах контроля безопасности данных

Приведенные ниже требования к минимальным мерам защиты безопасности предназначены для использования в качестве руководства по обеспечению уровня защищенности информации, который, согласно требованиям Найк, должна обеспечивать система информационных технологий любого Контрагента, с помощью которой осуществляется Обработка Данных Найк.  Указанные требования к мерам безопасности основаны на общепринятой практике по обеспечению безопасности информации и практике по управлению процессом обеспечения защиты информации.

Настоящие требования к мерам защиты безопасности данных применяются в отношении (1) всех систем и сетей Контрагента, включая системы и сети Субобработчика данных, которые интегрированы с системами и сетями Найк или используются для Обработки Данных Найк; и (2) Данных Найк в любой форме.  Контрагент заявляет и гарантирует, что им была пройдена вся процедура Найк по оценке рисков, связанных с поставщиками Найк, и что Контрагент обязуется на постоянной основе использовать все средства и меры контроля безопасности информации, указанные Контрагентом в процессе оценки, и предпринимать любые дополнительные действия, которые требуются согласно настоящему Приложению о минимальных мерах контроля безопасности данных.

1.       Политика и процедуры

1.1.     Контрагент должен придерживаться установленного порядка и сроков, предусмотренных для создания политики, обеспечения ее соблюдения, проверки, утверждения и передачи соответствующим сторонам. Это включает стандарты разработки приложения и инфраструктуры, политику безопасности, хранение данных, управление инцидентами и управление операциями в сфере информационных технологий.

1.2.     Контрагент должен обеспечивать внедрение и соблюдение политик и процедур в целях определения и соблюдения основных конфигураций системы безопасности, которые документируются, утверждаются, пересматриваются на ежегодной основе и передаются соответствующим Сотрудникам Контрагента.

1.3.     Контрагент будет обеспечивать внедрение и функционирование корпоративной Системы управления информационной безопасностью («СУИБ»), а также реализовывать и обеспечивать соблюдение политики безопасности, в которой определяются: (a) отдельные функции и обязанности по обеспечению информационной безопасности («ИБ»), (b) роль и значение ИБ, (c) цели политики, (d) ответственность сотрудников и третьих лиц в сфере безопасности информации, и (e) регулятивные требования, в том числе в отношении неприкосновенности частной жизни и защиты персональных данных.  Контрагент обеспечит утверждение указанной политики высшим руководством на надлежащем уровне и доведение ее до сведения соответствующих Сотрудников Контрагента.

1.4.     Контрагент будет обеспечивать внедрение и соблюдение процедур генерирования, распределения и хранения ключей шифрования, которые включают в себя: генерирование криптостойких ключей, их распределение с помощью безопасных методов, безопасное хранение ключей,  периодическую ротацию ключей (периоды действия криптографических ключей), принятие мер в случае истечения срока эксплуатации ключей и в случае выведения ключей из эксплуатации или замены ключей при наличии подозрении в раскрытии ключа.

2.       Управление активами.  Контрагент будет обеспечивать внедрение и соблюдение политик и процедур, которые связаны с идентификацией и классификацией активов и управлением активами (от приобретения до отчуждения). и которые документально закреплены, внедрены и доведены до сведения Сотрудников Контрагента.

3.       Повышение устойчивости функционирования предприятия и восстановление после чрезвычайных происшествий

3.1.     Контрагент будет обеспечивать внедрение и соблюдение политик и процедур повышения устойчивости функционирования предприятия и восстановления после аварий, которые документируются, утверждаются и пересматриваются на ежегодной основе и передаются соответствующим Сотрудникам Контрагента.

3.2.     Контрагент будет обеспечивать выявление и документирование критически важных систем, а также наличие процедур, обеспечивающих непрерывность операций в случае возникновения неблагоприятных ситуаций.

3.3.     Контрагент внедрит и будет обеспечивать: (a) наличие резервных копий, которые создаются автоматически в соответствии с заранее определенным и утвержденным графиком; (b) направление оповещений, которые генерируются в случае ошибок при создании резервных копий и которые своевременно устраняются; и (c) процессы резервного копирования, которые периодически реализуются в тестовом режиме с целью подтверждения способности системы к восстановлению в случае сбоя системы или повреждения данных.

4.       Управление изменениями

4.1.     Контрагент будет обеспечивать внедрение и соблюдение комплексной политики управления изменениями, которая документируется, утверждается, пересматривается на ежегодной основе и передается Сотрудникам Контрагента. Для каждого уровня системы (приложение, база данных, операционная система, виртуализационные технологии и микросервисы) в политике будут определены типы изменений, требования к процедуре утверждения и требования к процедуре тестирования.

4.2.     Контрагент будет применять изменения системы/приложения, произведенные в соответствии с установленным процессом контроля изменений, с целью проверки, утверждения и тестирования перед тем, как такие изменения будут внесены в эксплуатационную систему.

4.3.     Контрагент будет применять экстренные изменения. Запрос, утверждение и реализация таких изменений, а также подтверждение их внесения осуществляются в соответствии с политикой управления изменениями.

5.       Кадровая безопасность

5.1.     Контрагент обязан осуществлять надлежащую проверку Сотрудников Контрагента, в том числе на предмет отсутствия фактов уголовного преследования (если это допустимо в соответствии с применимым правом), перед тем, как разрешить Сотрудникам Контрагента осуществлять Обработку Данных Найк или предоставить таким сотрудникам доступ к компьютерным сетям, информационным системам, базам данных или защищенным приложениям Найк или закрытым территориям на объектах Найк.   Контрагент должен обеспечить, чтобы те лица из числа Сотрудников Контрагента, которые обвинялись в совершении преступлений или неоднократном совершении определенных правонарушений с элементами насилия или преднамеренного причинения беспокойства, не оказывали услуги на закрытых территориях объектов Найк.

5.2.     Контрагент обеспечит успешное прохождение Сотрудниками Контрагента надлежащего обучения в сфере конфиденциальности и безопасности данных в необходимом объеме до того, как указанные сотрудники начнут осуществлять Обработку Данных Найк. Субобработчики данных должны регулярно проводить для своих сотрудников надлежащие обучающие мероприятия в сфере обеспечения конфиденциальности и безопасности данных в необходимом объеме.

5.3.     Все Сотрудники Контрагента обязаны соблюдать режим конфиденциальности в отношении Данных Найк и придерживаться политик и процедур Контрагента в сфере информационной безопасности. Контрагент должен обеспечивать (a) надзор со стороны руководства за соблюдением политик и процедур Контрагента в сфере информационной безопасности, и (b) привлечение к дисциплинарной ответственности (в том числе в форме увольнения) за нарушение политик и процедур Контрагента в сфере информационной безопасности.

6.       Информационная безопасность

6.1.     Контрагент будет обеспечивать безопасность своих сетей, приложений (включая базы данных), инфраструктуры и платформы.

6.2.     Контрагент будет обеспечивать, чтобы на уровне приложений конфликтующие задачи были изолированы друг от друга и периодически пересматривались, в том числе:

6.2.1.        Контрагент будет осуществлять разработку в среде разработки отдельно от эксплуатационной среды,

6.2.2.        Администрирование приложения осуществляется отдельно от администрирования прав доступа;

6.3.2.        Администрирование баз данных (и все прочие формы специальных прав на прямое обновление данных) реализуется отдельно от администрирования приложения, администрирования систем обеспечения безопасности и от предоставления Сотрудниками Контрагента услуг по разработке, и

6.2.4.        Сотрудники Контрагента, которые утверждают права доступа, действуют независимо от лица, предоставляющего права доступа в системе Контрагента.

6.3.     Контрагент будет ежегодно осуществлять комплексную оценку рисков, связанных с системами и сетями критической важности, которые включают в себя приложения, базы данных, системы управления базами данных, операционные системы, вспомогательные системы и связанные системы. Контрагент будет корректировать процессы или конфигурации в соответствии с результатами и будет периодически пересматривать такие результаты.

6.4.     Контрагент будет обеспечивать внедрение и соблюдение политик и процедур с целью обеспечения безопасности данных в соответствии с их уровнем конфиденциальности.

6.5.     Контрагент будет хранить системные файлы и исходные коды в защищенных местах с ограниченным доступом.

6.6.     Контрагент будет обеспечивать проверку и утверждение надлежащим руководством Контрагента запросов информационной системы о предоставлении доступа на уровне приложения, базы данных и операционной системы.

6.7.     Контрагент будет обеспечивать оповещение руководства Контрагента со стороны системы о том, что необходимо предпринять надлежащие меры при изменении статуса (уволен, переведен) конкретных лиц из числа Сотрудников Контрагента или Субобработчика данных.

6.8.     Контрагент будет обеспечивать своевременное прекращение доступа к системе (на уровне приложения, базы данных или операционной системы) соответствующих лиц, если для исполнения каких-либо обязанностей Сотрудников Контрагента или Субобработчика данных по обработке данных такой доступ больше не требуется.

6.9.     Контрагент будет регулярно осуществлять проверку полномочий как для пользовательских, так и для системных учетных записей, используя для этого весь набор учетных записей.

6.10.  Контрагент будет обеспечивать внедрение и реализацию мер по защите периметра сети и, если применимо, интегрированных мер по обеспечению защиты, которые соответствуют отраслевым стандартам безопасного конфигурирования, в соответствии с архитектурой системы, предоставленной и (или) используемой (включая облачное хранилище данных или инфраструктуру) Контрагентом.

6.11.  Контрагент будет обеспечивать внедрение и реализацию передовых практик обеспечения безопасности облачных ресурсов, модели использования ПО «программное обеспечение как сервис» (Software as a Service), а также использовать Интернет-приложения в соответствии с отраслевыми стандартами и рекомендациями поставщика облачных услуг.  Без ограничения общего характера обязательств Контрагента по обеспечению безопасности информации, если Найк предоставит минимальный объем требований к управлению конфигурацией в отношении таких ресурсов, то Контрагент должен придерживаться таких требований.

6.12.  Контрагент самостоятельно или посредством аутсорсинга проводит регулярную оценку мер по защите периметра сети (например, посредством методов социальной инженерии и этичного хакинга) в соответствии с архитектурой системы, предоставленной и (или) используемой Контрагентом, в том числе ежегодно проводит тесты на возможность проникновения в систему и раз в квартал осуществляет проверку на наличие уязвимостей.

6.13.  Контрагент регулярно проводит оценку и осуществляетпроверку конфигураций системы, включая операционные системы, базы данных, сетевые устройства и системы защиты периметра сети (например, брандмауэр).

6.14.  Контрагент будет обеспечивать установку и функционирование  последних версий антивирусов и (или) ПО, защищающего от вредоносных программ.

6.15.  Подразделение Контрагента, отвечающее за безопасность информационных технологий, контролирует и регистрирует мероприятия по обеспечению безопасности на уровнях операционной системы, приложений и базы данных. Выявленные нарушения безопасности доводятся до сведения высшего руководства Контрагента.

6.16.  Контрагент (или лицо, являющееся по отношению к нему Субобработчиком данных) будет обеспечивать внедрение и реализацию мер контроля за физической безопасностью и безопасностью среды в зданиях и центрах Обработки Данных Найк, включая надлежащие электронные системы контроля доступа, системы контроля безопасности и средства обнаружения пожара/дыма.

6.17.  Контрагент будет обеспечивать физическую безопасность своих объектов, в которых находятся бумажные картотеки, серверы, вычислительное оборудование и резервные системы.

6.18.  Контрагент будет обеспечивать защиту от утраты или хищения персональных компьютеров, ноутбуков, настольных компьютеров или любых иных устройств хранения данных, в том числе мобильных устройств.

6.19.  Контрагент будет сохранять в безопасности и Обрабатывать Данные Найк в соответствии с Применимыми Правилами.

6.20.  Контрагент будет (в тех случаях, когда это технически целесообразно и коммерчески необходимо) реализовывать и обеспечивать ролевое управление доступом с предоставлением специальных прав Сотрудникам Контрагента в соответствии с должностью и функционалом и с ограничением доступа соответствующих лиц к информации, не предназначенной для них.

6.21.  С помощью управляемых Контрагентом пользовательских и привилегированных учетных записей, а также учетных записей службы доступ к Данным Найк и к системным компонентам Контрагента, Обрабатывающим Данные Найк, обеспечивается только для Сотрудников Контрагента. Защита указанных учетных записей обеспечивается с помощью передовых методов парольной защиты, которые включают в себя: (i) установление минимальной длины пароля, (ii) блокировку после неудачных попыток входа в систему и сеанса простоя, (iii) установление минимального времени блокировки, (iv) требования к новому паролю, и (v) требования к сложности пароля.

6.22.  Контрагент не будет использовать общие, универсальные или сгенерированные системой имена пользователей для предоставления привилегированного доступа или администрирования любых компонентов системы.

6.23.  Контрагент не будет раскрывать пароли какому-либо лицу, не зарегистрированному под именем пользователя или учетной записью.

6.24.  Контрагент будет требовать от своей службы технической поддержки использования надлежащих мер защиты от проникновения в учетные записи Сотрудников Контрагента с помощью методов социальной инженерии, включая процедуру проверки идентификационных данных для восстановления пароля или выявления и устранения неисправностей при осуществлении доступа.

6.25.  Контрагент будет обеспечивать защиту удаленных подключений следующими методами: документирование разрешенных методов осуществления удаленного доступа к Данным Найк; установление ограничений по использованию; осуществление контроля за несанкционированным удаленным доступом; использование криптографических преобразований для обеспечения конфиденциальности и целостности сеансов удаленного доступа; прекращение сеансов удаленного доступа после периода бездействия.

6.26.  Прибегая к шифрованию, Контрагент будет использовать криптографию с высокой криптографической стойкостью и протоколы безопасности в соответствии со стандартами шифрования, установленными Национальным институтом стандартов и технологий США (NIST). Доступ с помощью криптографических ключей должен предоставляться только минимальному необходимому кругу лиц, отвечающих за сохранность секретности информации. Указанные ключи должны храниться в местах и формах, количество которых соответствует минимально необходимому. Шифрование криптографических ключей будет осуществляться с помощью ключа шифрования других ключей, который хранится отдельно от ключей шифрования данных; ротация ключей будет осуществляться в соответствии с передовыми практиками установления периодов действия криптографических ключей, выработанными NIST.

6.27.  Контрагент должен обеспечивать защиту Данных Найк с помощью методов шифрования, соответствующих отраслевым стандартам или превышающих такие стандарты, во время хранения Данных и в процессе их передачи.  Если иное не требуется в процессе оказания Услуг, Контрагент не будет осуществлять разблокировку, обратное проектирование или иным образом раскрывать хешированные, зашифрованные или обезличенные Данные Найк.

6.28.  Контрагент будет обеспечивать внедрение и реализацию передовых практик регистрации событий системы защиты на соответствующих системах защиты, устройствах и процессах. Такие практики включают в себя, помимо прочего: контроль за подозрительными и несанкционированными действиями, разграничение и защиту журналов регистрации событий и корреляцию событий по времени. Контрагент будет обеспечивать внедрение и реализацию процедуры своевременной проверки и установки исправлений («патчей») для защиты ПО и обновлений систем, устройств и приложений.

6.29.  Контрагент будет обеспечивать внедрение и реализацию процедуры своевременного устранения уязвимостей, выявленных в ходе коммерческой деятельности, а также проводить мероприятия по управлению уязвимостями.

6.30.  Контрагент будет обеспечивать защиту Данных Найк во время их передачи по открытым сетям, в том числе используя сильную криптографию и протоколы безопасности, с целью защиты Данных Найк в процессе их передачи по открытым и общедоступным сетям, а также передовые отраслевые методы реализации сильной криптографии с целью аутентификации Данных Найк и их передачи по беспроводным сетям или сетям особой категории.

6.31.  Контрагент должен обеспечивать внедрение и реализацию политик и мер по обеспечению безопасности в отношении любых устройств, на которых хранятся или Обрабатываются Данные Найк, включая ноутбуки, мобильные телефоны и носители информации. Контрагент не должен хранить Данные Найк на ноутбуках, планшетах, картах флэш-памяти, мобильных телефонах или иных подобных мобильных устройствах, кроме случаев, когда Контрагентом было получено письменное разрешение от Найк в отношении вышесказанного и устройство защищено шифрованием в соответствии с отраслевыми стандартами.

6.32.  Контрагент будет обеспечивать внедрение и реализацию механизмов аутентификации и контроля доступа внутри носителей информации, приложений, операционных систем и оборудования, включая регистрацию всех событий, связанных с осуществлением доступа и утечкой информации, а также сохранение таких журналов управления доступом в течение минимум двенадцати месяцев.

6.33.  Контрагент будет обеспечивать внедрение и работу систем предотвращения и обнаружения проникновений в систему с помощью сетевых механизмов предотвращения и обнаружения проникновений в систему.

6.34.  Контрагент будет обеспечивать четкое физическое или логическое отделение Данных Найк от данных, не связанных с Данными Найк, с целью предотвращения смешения обоих видов данных в одной системе.

7.       Управление Проектами

7.1.     Контрагент будет реализовывать и обеспечивать жизненный цикл разработки системы, который включает безопасную разработку ПО, был одобрен руководством и который был доведен до сведения Сотрудников Контрагента.

7.2.     Контрагент должен использовать безопасные методы разработки в процессе проектирования, разработки, эксплуатации, оптимизации и вывода из эксплуатации (a) собственной продукции и сервисов и (b) любых сторонних сервисов и продуктов, предназначенных для Найк. Такие безопасные методы разработки должны соответствовать таким отраслевым стандартам как Топ-10 OWASP, ISO 27002, а также руководству по безопасному кодированию, разработанному подразделением «CERT Division» Института программной инженерии (Software Engineering Institute) или аналогичными организациями. Без ограничения общего характера вышесказанного, такие безопасные методы разработки включают в себя: (1) разделение функций и обязанностей в области обеспечения безопасности; (2) разделение сред разработки, тестирования и эксплуатации; (3) тестирование безопасности в тестовых средах до размещения объектов в эксплуатационных средах; (4) запрет на использование данных особой категории или Данных Найк в тестовых средах; (5) создание политики разработки безопасного ПО; (6) создание методологии разработки безопасного ПО и руководства по защитному кодированию с использованием определенного языка; (7) реализацию изменений формальной процедуры контроля, которая включает в себя тестирование безопасности и верификацию; (8) обучение разработчиков разработке безопасного ПО; и (9) оценку степени конфиденциальности данных или систем.

7.3.     Контрагент будет реализовывать и обеспечивать надлежащий контроль качества, тестирование на приемлемость для пользователя и проверку безопасности кодов приложений.

8.       Реагирование на инциденты

8.1.     Контрагент будет обеспечивать внедрение и соблюдение установленных политик и процедур реагирования на инциденты, которые предусматривают процедуры выявления и локализации инцидентов, восстановления после инцидентов, а также процедуры уведомления вышестоящих инстанций об инцидентах.

8.2.     Контрагент периодически проводит тестовые мероприятия по реагированию на инциденты, в том числе при участии соответствующих Субобработчиков данных (например, поставщиков облачных услуг).

9.       Контроль за деятельностью Контрагента

9.1.     Перед тем как привлечь Субобработчика данных, Контрагент с разумной осмотрительностью проанализирует методы обеспечения безопасности, применяемые таким субобработчиком. Контрагент будет заключать договоры с Субобработчиками данных, в которых содержатся положения об обязанностях Субобработчика данных обеспечивать защиту и безопасность Данных Найк в соответствии с настоящим Соглашением и Применимыми правилами.

9.2.     Если Контрагент использует стороннего поставщика облачных услуг для предоставления Услуг, то такой сторонний поставщик облачных услуг будет считаться Субобработчиком данных.  Контрагент признает и соглашается с тем, что использование сторонних поставщиков облачных услуг предполагает совместную ответственность Контрагента и стороннего поставщика облачных услуг. Контрагент должен использовать передовые методы обеспечения безопасности, рекомендованные сторонними поставщиками облачных услуг, а также применять дополнительные методы обеспечения безопасности, и соблюдать указанный выше минимальный объем требований в отношении Данных Найк, которые хранятся в облаке.

Locales *

User login