Обязательство о соблюдении требований кибербезопасности
Настоящее Обязательство о соблюдении требований кибербезопасности (далее — Обязательство) определяет обязательные к исполнению требования в области информационных технологий и кибербезопасности при предоставлении третьим лицам (далее — Контрагент) доступа к автоматизированным системам, оборудованию, средствам вычислительной техники ООО «ДубльГИС» или его аффилированного лица (далее — 2ГИС).
Безусловным акцептом условий настоящего Обязательства считается проставление соответствующей отметки в форме с использованием Сервисов 2ГИС или по индивидуальной ссылке. Контрагент также может присоединиться к Обязательству путем подписания отдельных согласий / гарантий / обязательств.
Контрагент обязуется выполнять перечисленные ниже требования:
1. Использовать предоставленный ему доступ к автоматизированным системам (АС) 2ГИС, оборудованию, средствам вычислительной техники (СВТ) и помещениям исключительно в целях, обозначенных 2ГИС, в том числе, но не ограничиваясь этим, в целях обучения и ознакомления со внутренними регламентами и стандартами работы 2ГИС.
2. Не разглашать[1] и не использовать в личных целях и целях третьих лиц конфиденциальную информацию 2ГИС, к которой мне предоставлен доступ, соблюдать требования режима коммерческой тайны 2ГИС.
3. Не разглашать и не обсуждать на форумах, в СМИ, в конференциях сети Интернет, в общедоступных интернет-мессенджерах (Viber, WhatsApp, Telegram, Skype и т. д.) любую информацию 2ГИС, в том числе из почтовых рассылок, полученную посредством любых средств коммуникации, если иное прямо не предусмотрено условиями договора.
4. Препятствовать ознакомлению посторонних лиц с конфиденциальными документами 2ГИС, не допускать утрату (кражу, порчу, утерю) материальных носителей (USB-носителей, оптических дисков, внешних жестких дисков и др.), содержащих конфиденциальную информацию 2ГИС.
5. Не хранить конфиденциальную информацию 2ГИС в общедоступных ресурсах, не передавать ее за пределы сетей 2ГИС в открытом (незащищенном от доступа посторонних лиц) виде, не использовать для передачи конфиденциальной информации общедоступные интернет-мессенджеры (Viber, WhatsApp, Telegram, Skype и т. д.).
6. Без лишней необходимости не распечатывать электронные конфиденциальные документы 2ГИС, забирать свои распечатанные документы из принтеров сразу после окончания печати и удалять файлы из папок сканирования.
7. По завершению использования, уничтожать документы и медиа-носители, содержащие конфиденциальную информацию, методом механической переработки с помощью уничтожителей бумаг (шредеров).
8. При работе с СВТ 2ГИС:
8.1. Оставляя рабочее место, блокировать его (комбинацией Win+L для систем под управлением Windows или Command+Control+Q для систем с Mac OS).
8.2. Не прерывать сканирование антивирусным ПО съемных машинных и медиа носителей информации (USB-носителей, оптических дисков, внешних жестких дисков и др.) при их подключении к автоматизированному рабочему месту (АРМ), включенному в сеть 2ГИС.
8.3. Соблюдать парольную политику в части удовлетворения следующим требованиям:
8.6. Не предпринимать попытки преодоления установленных 2ГИС ограничений, отключать и/или удалять установленные на предоставленных СВТ 2ГИС средства защиты информации (в том числе антивирусное программное обеспечение), использовать недокументированные свойства, ошибки в программном обеспечении (ПО) и настройках защиты доступа к информационным ресурсам и АС 2ГИС, доступ к которым не был предоставлен явным образом.
8.7. Не устанавливать на предоставленные СВТ 2ГИС какое-либо программное обеспечение кроме ПО принятого в ФПД 2ГИС, изменять настройки уже имеющегося. По вопросам установки необходимого ПО, а также получения административных прав в операционных системах персональных компьютеров обращаться к ответственному лицу Компании (для дочерних и зависимых обществ 2ГИС).
8.8. Не хранить и не использовать на предоставленном компьютере программное обеспечение, фонограммы и другие результаты интеллектуальной деятельности в нарушение прав их законных правообладателей.
8.9. Не открывать вложения и не переходить по ссылкам, указанным в почтовых сообщениях, имеющих признаки фишинга, включая:
8.11. Не вскрывать корпус предоставленного СВТ 2ГИС (в том числе для самостоятельного устранения неисправностей), самовольно подключать к нему какое-либо оборудование (GPRS модемы, Wi-Fi точки доступа и пр.).
9. Не использовать ПО следующих категорий при подключении к корпоративной сети 2ГИС:
11. Не использовать АРМ 2ГИС (в том числе с использованием расширений к web-браузеру) и личные СВТ, подключенные к сетям 2ГИС, для посещения интернет-ресурсов:
13. По требованию уполномоченных представителей 2ГИС предоставлять выданные СВТ и носители информации (USB-Flash, CD/DVD и др.) для проверки выполнения требований информационной безопасности.
14. Информировать[3] ответственное лицо 2ГИС по вопросам кибербезопасности обо всех Инцидентах КБ[4] и событий, создающих угрозу причинения ущерба 2ГИС, а также об обращениях третьих лиц с целью незаконного получения конфиденциальной информации 2ГИС.
Контрагент предупрежден о том, что 2ГИС вправе контролировать его действия при работе с АС 2ГИС, оборудованием и СВТ, включая анализ отправленных им информационных сообщений, в т. ч. с использованием корпоративных почтовых систем 2ГИС и с использованием сети Интернет.
Контрагент предупрежден о том, что 2ГИС вправе использовать полученную в результате такого анализа информацию для проведения расследований, в том числе, с привлечением правоохранительных органов, а также использовать в качестве доказательств в суде, и подтверждает, что в этих случаях он не вправе рассчитывать на соблюдение в отношении этих сообщений конфиденциальности со стороны 2ГИС.
Контрагент понимает и соглашается, что в случае выявления нарушений требований, перечисленных в настоящем Обязательстве, повлекших причинение ущерба 2ГИС, 2ГИС вправе приостановить Контрагенту доступ к своим АС, оборудованию, СВТ и в помещения 2ГИС, а в случае подтверждения факта ущерба, требовать его возмещения, в т. ч. в судебном порядке.
Контрагент понимает и соглашается, что в случае нарушения требований настоящего Обязательства, к нему могут быть применены вышеперечисленные меры.
Безусловным акцептом условий настоящего Обязательства считается проставление соответствующей отметки в форме с использованием Сервисов 2ГИС или по индивидуальной ссылке. Контрагент также может присоединиться к Обязательству путем подписания отдельных согласий / гарантий / обязательств.
Контрагент обязуется выполнять перечисленные ниже требования:
1. Использовать предоставленный ему доступ к автоматизированным системам (АС) 2ГИС, оборудованию, средствам вычислительной техники (СВТ) и помещениям исключительно в целях, обозначенных 2ГИС, в том числе, но не ограничиваясь этим, в целях обучения и ознакомления со внутренними регламентами и стандартами работы 2ГИС.
2. Не разглашать[1] и не использовать в личных целях и целях третьих лиц конфиденциальную информацию 2ГИС, к которой мне предоставлен доступ, соблюдать требования режима коммерческой тайны 2ГИС.
3. Не разглашать и не обсуждать на форумах, в СМИ, в конференциях сети Интернет, в общедоступных интернет-мессенджерах (Viber, WhatsApp, Telegram, Skype и т. д.) любую информацию 2ГИС, в том числе из почтовых рассылок, полученную посредством любых средств коммуникации, если иное прямо не предусмотрено условиями договора.
4. Препятствовать ознакомлению посторонних лиц с конфиденциальными документами 2ГИС, не допускать утрату (кражу, порчу, утерю) материальных носителей (USB-носителей, оптических дисков, внешних жестких дисков и др.), содержащих конфиденциальную информацию 2ГИС.
5. Не хранить конфиденциальную информацию 2ГИС в общедоступных ресурсах, не передавать ее за пределы сетей 2ГИС в открытом (незащищенном от доступа посторонних лиц) виде, не использовать для передачи конфиденциальной информации общедоступные интернет-мессенджеры (Viber, WhatsApp, Telegram, Skype и т. д.).
6. Без лишней необходимости не распечатывать электронные конфиденциальные документы 2ГИС, забирать свои распечатанные документы из принтеров сразу после окончания печати и удалять файлы из папок сканирования.
7. По завершению использования, уничтожать документы и медиа-носители, содержащие конфиденциальную информацию, методом механической переработки с помощью уничтожителей бумаг (шредеров).
8. При работе с СВТ 2ГИС:
8.1. Оставляя рабочее место, блокировать его (комбинацией Win+L для систем под управлением Windows или Command+Control+Q для систем с Mac OS).
8.2. Не прерывать сканирование антивирусным ПО съемных машинных и медиа носителей информации (USB-носителей, оптических дисков, внешних жестких дисков и др.) при их подключении к автоматизированному рабочему месту (АРМ), включенному в сеть 2ГИС.
8.3. Соблюдать парольную политику в части удовлетворения следующим требованиям:
- длина пароля должна быть не менее 12 символов;
- пароль должен содержать в себе символы как минимум трех категорий из четырех: буквы нижнего регистра (от a до z), буквы верхнего регистра (от A до Z), цифры (от 0 до 9) и спецсимволы (например: $, #, %);
- пароль не должен совпадать с логином и повторять предыдущие 4 пароля для данной учетной записи пользователя;
- пароль не должен включать осмысленные слова, словосочетания, общепринятые аббревиатуры, а также основываться на доступных данных о пользователе (фамилии, дате рождения, именах родственников, номеров телефонов и др.) или легко угадываемом алгоритме смены (Smi1le!, Smi2le!, Smi3le! и т. д.);
- пароль не должен содержать широко известные или легко угадываемые слова и последовательности символов (12 345 678, password, qwerty, aaabbb и т. д.)
- пароль по умолчанию (созданный при создании учетной записи пользователя) должен быть изменен пользователем при первом входе;
- пароль должен изменяться не реже чем 1 раз в 50 дней с момента последнего изменения;
- в случае разглашения или компрометации пароль должен быть незамедлительно изменен.
- не записывать пароль на предметах и материальных носителях, а также не хранить его в файле в открытом виде;
- не использовать один и тот же пароль для различных учетных записей;
- не передавать кому-либо (в т.ч. своим коллегам и руководителям, а также работникам 2ГИС) свой пароль, равно как и использовать чужие пароли для работы с СВТ и АС 2ГИС;
- не осуществлять попытки подбора паролей (в том числе автоматизированными способами), не пытаться завладеть паролями других лиц.
8.6. Не предпринимать попытки преодоления установленных 2ГИС ограничений, отключать и/или удалять установленные на предоставленных СВТ 2ГИС средства защиты информации (в том числе антивирусное программное обеспечение), использовать недокументированные свойства, ошибки в программном обеспечении (ПО) и настройках защиты доступа к информационным ресурсам и АС 2ГИС, доступ к которым не был предоставлен явным образом.
8.7. Не устанавливать на предоставленные СВТ 2ГИС какое-либо программное обеспечение кроме ПО принятого в ФПД 2ГИС, изменять настройки уже имеющегося. По вопросам установки необходимого ПО, а также получения административных прав в операционных системах персональных компьютеров обращаться к ответственному лицу Компании (для дочерних и зависимых обществ 2ГИС).
8.8. Не хранить и не использовать на предоставленном компьютере программное обеспечение, фонограммы и другие результаты интеллектуальной деятельности в нарушение прав их законных правообладателей.
8.9. Не открывать вложения и не переходить по ссылкам, указанным в почтовых сообщениях, имеющих признаки фишинга, включая:
- сообщение замаскировано под официальное письмо организации и требует каких-либо быстрых действий или ответа;
- сообщение содержит ссылки на интернет-ресурсы, визуально похожие на оригинальные ресурсы организации, однако в отношении которых возникают сомнения;
- к сообщению прикреплен файл-вложение, который настойчиво предлагается открыть;
- в тексте сообщения содержатся опечатки, ошибки, избыточные знаки препинания.
8.11. Не вскрывать корпус предоставленного СВТ 2ГИС (в том числе для самостоятельного устранения неисправностей), самовольно подключать к нему какое-либо оборудование (GPRS модемы, Wi-Fi точки доступа и пр.).
9. Не использовать ПО следующих категорий при подключении к корпоративной сети 2ГИС:
- сканеры портов и анализаторы трафика;
- средства для организации удаленного доступа, не утвержденные требованиями 2ГИС, включая средства для создания зашифрованных каналов связи (VPN-, DNS-, SSH-, HTTPS-туннели и пр.);
- ПО, используемое для анонимного доступа в сеть Интернет (включая веб-сервисы, прокси-серверы);
- ПО для обхода средств защиты, включая средства подбора и восстановления паролей, поиска уязвимостей;
- ПО, предназначенное для сокрытия или внедрения дополнительной информации в цифровые объекты (в том числе реализующее методы стеганографии);
- ПО, осуществляющее сбор информации с клавиатуры, экрана, микрофона (снифферы);
- специализированные программные средства, оказывающее влияние на сетевые настройки СВТ, серверов и сетевого оборудования.
11. Не использовать АРМ 2ГИС (в том числе с использованием расширений к web-браузеру) и личные СВТ, подключенные к сетям 2ГИС, для посещения интернет-ресурсов:
- содержание и направленность которых запрещены международным и российским законодательством;
- содержащих материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц;
- содержащих материалы, способствующие разжиганию межнациональной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия и т. д.
13. По требованию уполномоченных представителей 2ГИС предоставлять выданные СВТ и носители информации (USB-Flash, CD/DVD и др.) для проверки выполнения требований информационной безопасности.
14. Информировать[3] ответственное лицо 2ГИС по вопросам кибербезопасности обо всех Инцидентах КБ[4] и событий, создающих угрозу причинения ущерба 2ГИС, а также об обращениях третьих лиц с целью незаконного получения конфиденциальной информации 2ГИС.
Контрагент предупрежден о том, что 2ГИС вправе контролировать его действия при работе с АС 2ГИС, оборудованием и СВТ, включая анализ отправленных им информационных сообщений, в т. ч. с использованием корпоративных почтовых систем 2ГИС и с использованием сети Интернет.
Контрагент предупрежден о том, что 2ГИС вправе использовать полученную в результате такого анализа информацию для проведения расследований, в том числе, с привлечением правоохранительных органов, а также использовать в качестве доказательств в суде, и подтверждает, что в этих случаях он не вправе рассчитывать на соблюдение в отношении этих сообщений конфиденциальности со стороны 2ГИС.
Контрагент понимает и соглашается, что в случае выявления нарушений требований, перечисленных в настоящем Обязательстве, повлекших причинение ущерба 2ГИС, 2ГИС вправе приостановить Контрагенту доступ к своим АС, оборудованию, СВТ и в помещения 2ГИС, а в случае подтверждения факта ущерба, требовать его возмещения, в т. ч. в судебном порядке.
Контрагент понимает и соглашается, что в случае нарушения требований настоящего Обязательства, к нему могут быть применены вышеперечисленные меры.
[1] Разглашение — действие или бездействие, в результате которых конфиденциальная информация становится известной третьим лицам без согласия 2ГИС или вопреки условиям договора. Разглашением может быть признана как устная передача конфиденциальной информации, так и отправка ее на внешнюю почту, публикация в публичных Интернет-ресурсах, обсуждение конфиденциальных вопросов в публичных местах и Интернет, оставление носителей конфиденциальной информации без присмотра и т. д.
[2] ТМ-идентификатор — электронный ключ, используемый при авторизации в автоматизированных системах.
[3] Информирование — отправка сообщения на адрес ksec@2gis.ru или звонок +7(383) 363−0-555 +55 555
[4] Инцидент кибербезопасности — появление одного или нескольких нежелательных, или неожиданных событий КБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы КБ включая, но не ограничиваясь:
[2] ТМ-идентификатор — электронный ключ, используемый при авторизации в автоматизированных системах.
[3] Информирование — отправка сообщения на адрес ksec@2gis.ru или звонок +7(383) 363−0-555 +55 555
[4] Инцидент кибербезопасности — появление одного или нескольких нежелательных, или неожиданных событий КБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы КБ включая, но не ограничиваясь:
- системные сбои;
- ошибки пользователей;
- несоблюдение политик и требований КБ;
- информационные атаки и атаки, направленные на инфраструктуру и сервисы 2ГИС.