ПОЛИТИКА БЕЗОПАСНОСТИ

Aligned with ISO/IEC 27001 & SOC 2

1. Введение

DeskCamera — это программное обеспечение, которое транслирует изображение с экрана компьютера и звук в системы NVR/VMS с использованием протоколов ONVIF/RTSP. Программа полностью работает в локальной сети клиента и не передаёт, не собирает и не хранит никакие пользовательские данные или видеоконтент. Разработка программного обеспечения ведётся в соответствии со строгими стандартами безопасности и нормами соответствия.

2. Цель политики

Определить рамки безопасности и зоны ответственности для обеспечения конфиденциальности, целостности и доступности приложения DeskCamera в соответствии со стандартами ISO/IEC 27001 и критериями доверия SOC 2.

3. Основные принципы безопасности

  • Локальная архитектура: DeskCamera работает исключительно в инфраструктуре клиента и не требует подключения к интернету или внешним серверам. Возможна опциональная связь с облачной инфраструктурой DeskCamera только для проверки лицензии или наличия обновлений. При этом никакие персональные данные не передаются.

  • Отсутствие сбора данных: Приложение не собирает и не передаёт пользовательские данные, видео или телеметрию.

  • Безопасное управление исходным кодом (ISO 27001 A.9, A.12): Исходный код хранится в защищённом DevOps-репозитории с контролем доступа на основе ролей, журналированием действий и регулярными аудитами.

  • Подписанные сборки (SOC 2 – Целостность системы): Все сборки приложения цифрово подписываются с использованием сертификата, который надёжно хранится в зашифрованном виде на аппаратном токене (например, HSM или Yubikey) в соответствии с современными стандартами шифрования и физической безопасности.

  • Безопасный жизненный цикл разработки (SDLC): DeskCamera использует безопасный SDLC, включающий безопасное проектирование, ревизию кода, статический анализ и ежегодное проведение тестирования на проникновение.

  • Целостность обновлений (SOC 2 – Управление изменениями): Все обновления проходят формальный контроль изменений, регрессионное тестирование и проверку целостности перед выпуском. Все изменения отслеживаются через систему контроля версий с аудитным следом.

4. Контроль доступа

  • Только авторизованный персонал имеет доступ к исходному коду и инфраструктуре сборки.

  • Доступ пересматривается ежеквартально (ISO/IEC 27001 A.9.2.5).

  • Все административные действия журналируются и сохраняются для целей аудита.

5. Управление рисками поставщиков и сторонних компонентов (ISO 27001 A.15)

  • Все сторонние библиотеки и зависимости отслеживаются и контролируются.

  • Еженедельно проверяются уведомления о безопасности, обновления устанавливаются своевременно.

  • Компоненты с высоким уровнем риска или без поддержки исключаются или изолируются в sandbox-среде.

6. Готовность к реагированию на инциденты (ISO 27001 A.16, SOC 2)

  • Доступна специальная контактная точка для сообщений о уязвимостях и инцидентах.

  • Инциденты обрабатываются по структурированному процессу: обнаружение, классификация, локализация, устранение, анализ первопричин.

  • Полученные уроки используются для повышения эффективности будущих реакций.

7. Ответственность клиента

  • Устанавливать обновления, предоставляемые через официальный сайт DeskCamera.

  • Поддерживать безопасные конфигурации системы и ограничивать сетевой доступ к конечным точкам DeskCamera.

8. Соответствие и пересмотр политики

Политика пересматривается ежегодно или при внесении значительных изменений в систему или окружение.

9. Контакт для вопросов безопасности

Вопросы, связанные с безопасностью, можно направлять на: [email protected]