Информационная безопасность


Dropbox разработал программу информационной безопасности, где описываются наша цель, стратегия, принципы и основные правила, с помощью которых мы сохраняем доверие пользователей. Мы оцениваем риски и постоянно улучшаем безопасность, конфиденциальность, целостность и эффективность систем аккаунтов Dropbox Business. Мы регулярно проверяем и модернизируем правила безопасности, устраиваем тренинги в сфере безопасности, проводим тестирование систем безопасности приложений, программ и сети (включая испытания на возможность проникновения в систему), следим за соответствием правилам безопасности и оцениваем внутренние и внешние риски.

Правила безопасности

  • Информационная безопасность. Эти правила касаются информации пользователей и Dropbox, основные разделы включают безопасность устройств, требования аутентификации, безопасность данных и систем, правила, ограничивающие доступ наших сотрудников к ресурсам, и инструкции, относящиеся к разрешению определенных проблем.

  • Физическая безопасность. Информация о том, как мы создаем и поддерживаем безопасную среду для людей и оборудования в Dropbox.

  • Реакция на происшествия. Требования, определяющие нашу реакцию на потенциальные угрозы безопасности, включая оценку, коммуникацию и анализ.

  • Логический доступ. Правила, определяющие безопасность систем Dropbox, информации пользователей и Dropbox, включая контроль доступа к производственной и корпоративной среде.

  • Физический доступ к продукту. Те способы, с помощью которых мы ограничиваем доступ к физической сети, включая управленческий анализ действий персонала и деавторизацию покинувших компанию сотрудников.

  • Управление изменениями. Правила для проверки кода и управления важными для безопасности изменениями, сделанными авторизованными разработчиками в исходном коде приложений, конфигурациях системы и версиях продуктов.

  • Поддержка. Правила, касающиеся доступа наших сотрудников из службы поддержки к пользовательским метаданным и определяющие просмотр и поддержку аккаунтов и производимые с ними действия.

Управление доступом

Доступ к системе сотрудников Dropbox обеспечивается централизованно. Для аутентификации используется сочетание надежных паролей, защищенные кодовыми фразами ключи SSH, двухэтапная проверка и токены OTP. В соответствии с нашими внутренними правилами, сотрудники, которые имеют доступ к продукту и системе, должны следовать четким рекомендациям по созданию и хранению конфиденциальных ключей SSH. Удаленный доступ осуществляется с использованием сети VPN и двухэтапной проверки. Любой особый случай доступа проверяется отделом безопасности.

В Dropbox используются средства технического контроля доступа и применяются внутренние правила, воспрещающие сотрудникам без достаточных оснований получать доступ к файлам пользователей и ограничивающие доступ к метаданным и другой информации об аккаунтах пользователей. Dropbox становится элементом внутренней инфраструктуры своих пользователей, и потому мы хотим заверить вас, что весьма ответственно подходим к вопросу хранения данных наших клиентов.

Сетевая безопасность

Dropbox со всей тщательностью обеспечивает безопасность своей сети. Dropbox отслеживает и уменьшает риски с помощью регулярных проверок безопасности программ и приложений, сети и пр. Эти проверки осуществляют как специальные внутренние отделы безопасности, так и сторонние специалисты.

Средства безопасности нашей сети и используемые нами технологии мониторинга обеспечивают несколько уровней защиты данных. Мы используем меры безопасности, соответствующие стандартам в данной области (включая межсетевые экраны, мониторинг безопасности сети, системы, обнаруживающие вторжение), чтобы в нашу инфраструктуру попадали только соответствующие данные. Доступ к рабочей среде ограничен и предоставляется только для авторизованных IP-адресов, которые для обеспечения безопасности проходят ежеквартальную проверку.

Управление изменениями

Проектно-технический отдел Dropbox разработал официальную «Политику управления изменениями», чтобы все изменения в приложениях обязательно авторизовались перед внедрением в продукт. Все изменения хранятся в системе управления версиями и должны пройти автоматический контроль качества, во время которого проверяется, соблюдены ли все требования безопасности. Наш жизненный цикл разработки программного обеспечения предписывает, чтобы все соответствовало надежным правилам кодирования, а также чтобы отслеживались изменения в коде для предотвращения потенциальных угроз безопасности с помощью контроля качества и ручной проверки. Отдел безопасности Dropbox отвечает за обеспечение безопасности инфраструктуры и следит, чтобы конфигурации серверов, межсетевых экранов и пр. соответствовали современным стандартам в данной области.

Подробную информацию о нашей архитектуре безопасности вы найдете в технической документации о безопасности Dropbox Business.