Перейти к содержанию

Политика безопасности

Этот документ фиксирует минимальные требования безопасности для Platform.

1. Управление доступом

  • Модель RBAC: роли Пользователь, Модератор, Администратор.
  • Принцип наименьших привилегий: выдавайте только необходимые права.
  • Периодический аудит: ежеквартальный пересмотр ролей и групп.

2. Аутентификация и сессии

  • Пароли: ≥12 символов, сложность, ротация каждые 180 дней.
  • 2FA: TOTP обязателен для администраторов; рекомендован остальным.
  • SSO/OIDC: допускается подключение корпоративного IdP (Keycloak/Okta/ADFS).
  • Сессии: таймаут неактивности 30 мин., максимальная длительность 24 ч.

3. Защита транспортного уровня

  • TLS 1.2+: обязательный шифрованный трафик внешних интерфейсов.
  • HSTS и Redirect HTTP→HTTPS на периметре.
  • Регулярное обновление сертификатов (Let’s Encrypt/корпоративный CA).

4. Защита данных

  • Классификация: публичные / внутренние / конфиденциальные.
  • Хранение секретов: Vault/docker secrets, без секретов в репозитории.
  • Шифрование: бэкапы БД и файловые архивы — с паролем/ключом.
  • Минимизация: храните только необходимые персональные данные.

5. Логи и аудит

  • Журналы: авторизация, действия с объектами, админ-операции.
  • Хранение: ≥90 дней, доступ — только администраторам.
  • Трассировка: OTEL при необходимости (корреляция trace_id в ошибках API).

6. Уязвимости и обновления

  • Ежемесячные обновления базовых образов и зависимостей.
  • SLA исправления критических CVE: ≤7 дней.
  • SAST/DAST в CI, ручные пентесты перед мажорными релизами.

7. Резервное копирование и DR

  • Частота: БД — ежедневно, файлы — ежедневно/еженедельно.
  • Хранение: минимум 14 дней, офф-сайт-копия.
  • Цели: RPO ≤ 24 ч., RTO ≤ 4 ч. (типовые целевые значения).
  • Ежеквартальная проверка восстановления на стенде.

8. Инциденты

  • Канал реагирования (дежурные, чат/телефон).
  • Процедура изоляции, сбор артефактов, уведомление заинтересованных сторон.
  • Пост-мортем в течение 5 рабочих дней с планом действий.

9. Соответствие требованиям

  • Соблюдайте корпоративные и юридические нормы (ПДн/GDPR, где применимо).
  • Ведение реестра обработок персональных данных и сроков хранения.

Совет: начните с минимального набора из пп. 1–4 и постепенно расширяйте практики по пп. 5–9.