Перейти к содержимому

Юридическое

Меры безопасности

Обновлено: 2026-05-16. Применимо к identigy.ru и проектам группы Identigy в РФ и СНГ.

Управление доступом — то, что мы продаём; компрометация нашей собственной инфраструктуры обесценила бы поставляемые проекты. Этот документ описывает технические и организационные меры, применяемые к публичному сайту, внутренней инфраструктуре и проектам у заказчиков. Если контроль ниже сформулирован как целевой, а не действующий — мы говорим об этом явно.

1. Скоуп

  • Marketing-инфраструктура — identigy.ru (статический сайт на Yandex Cloud Object Storage + CDN, форма обратной связи через Yandex Cloud Function, Yandex SmartCaptcha, доставка в Telegram-бот).
  • Внутренняя инфраструктура — Identigy Imperium как корпоративный IDM, git, ticketing, внутренние SaaS. Доступ только у инженеров Identigy; для клиентов закрыто.
  • Проекты у заказчиков — IDM/IGA-программы в инфраструктуре клиента. Production-периметр регулируется политикой ИБ заказчика; наши инженерные практики ниже описывают, как мы работаем внутри этой политики.

2. Юридические лица и юрисдикционное разделение

Каждое юрлицо группы Identigy работает строго в своей регуляторной среде; персональные данные не пересекают границу юрисдикций в рамках поставки.

  • ООО «Айдентиджи» (Российская Федерация) — оператор персональных данных по 152-ФЗ; реестровое уведомление Роскомнадзора подано. Обслуживает российских и СНГ-клиентов на платформах 1IDM, Evolveum midPoint, Oracle Identity Manager.

3. Технические меры

Слой Контроль
Транспорт TLS 1.3; HSTS; сертификаты управляются Yandex Cloud CDN с автоматической ротацией.
Anti-abuse Yandex SmartCaptcha на всех публичных формах; honeypot-поле; rate limiting на стороне Cloud Function.
Валидация ввода Строгая server-side схема (Zod) на Cloud Function; type narrowing; ограничения длин полей; клиентский bypass невозможен на этапе записи.
HTTP-заголовки X-Frame-Options · X-Content-Type-Options · Referrer-Policy · Permissions-Policy.
Зависимости Минимальная runtime-поверхность (pnpm workspace); Dependabot и ручной review на каждый major-bump; security-advisories разбираются в течение 1 рабочего дня для high/critical CVE.
Аудит и логи Логи Cloud Function — 30 дней; YC Audit Trail на bucket и CDN с retention 152-ФЗ-совместимым; payload форм не попадает в общие request-логи.

4. Организационные меры

  • Минимум прав — Yandex Cloud IAM, корп. SaaS используют RBAC. MFA обязательно на каждой учётной записи.
  • Разделение обязанностей — инженер проекта имеет доступ только к контуру своего клиента; доступ к другому клиенту требует повторного onboarding.
  • NDA и проверка — каждый инженер с доступом к среде заказчика подписывает NDA с пунктами по ИБ, соответствующими регуляторному периметру заказчика (банк / ТЭК / госсектор / КИИ).
  • SDL — code review на каждый PR; CI прогоняет lint, typecheck, build перед merge; production-деплои идут через staging; прямые коммиты в main запрещены.
  • Доступ к среде заказчика — VPN или jumphost в инфраструктуре клиента; никакого standing access из ноутбуков Identigy; весь доступ логируется средствами IAM клиента.

5. Подрядчики (для этого сайта)

Подрядчик Роль · регион Сертификации
Yandex Cloud Object Storage · CDN · Cloud Function · РФ Соответствие 152-ФЗ · Аттестат ФСТЭК на УЗ-1 (по приказу № 21, в части мер ИАФ/УПД) · ISO 27001 · ISO 27017 · ISO 27018 · SOC 2/3 · PCI DSS
Yandex SmartCaptcha Anti-bot · РФ В составе платформы Yandex Cloud
Yandex 360 Корпоративная почта (info@) · РФ Соответствие 152-ФЗ · в составе Yandex Cloud-периметра
Telegram (BotAPI) Уведомления о заявках · — Канал доставки заявок; не является оператором ПДн; не хранит структурированных данных формы дольше доставки.

Проекты у заказчика подразумевают дополнительных подрядчиков (порталы поддержки вендоров, file-transfer и т.п.). Они перечисляются в DPA на этап проекта.

6. Регуляторный контур и стандарты

  • 152-ФЗ «О персональных данных» — ООО «Айдентиджи» зарегистрировано как оператор ПДн в реестре Роскомнадзора; сбор и хранение ПДн граждан РФ — в базах данных на территории РФ, ч. 5 ст. 18 (в редакции ФЗ № 23-ФЗ от 28.02.2025, действующей с 01.07.2025); согласие субъекта оформляется отдельным документом по ст. 9 152-ФЗ в редакции, действующей с 01.09.2025.
  • ФСТЭК — применяем требования приказов 117 (с 01.03.2026, заменил приказ № 17 для ГИС), 21 (ИСПДн), 31 (АСУ ТП на критически важных объектах) в отношении средств защиты у заказчика; собственная инфраструктура соответствует уровню защищённости арендованной площадки Yandex Cloud. Приказ № 117 структурирован пунктами 34–63 (вместо классов защищённости и таблицы мер № 17) — это меняет парадигму аудита: компания должна продемонстрировать наличие конкретных групп мер, а не получить «класс». Identigy сопровождает заказчиков при трансляции внутреннего контроля под новую структуру.
  • КИИ (187-ФЗ) — работа с объектами критической информационной инфраструктуры ведётся согласно категорированию и плану перехода клиента; учитываем актуальную редакцию приказа ФСТЭК № 239 (последние правки — приказ № 159 от 28.08.2024, добавлены требования по противодействию DDoS); роли подрядчика по ИБ определяются договором.
  • ГОСТ Р 71753-2024 — национальный стандарт «Защита информации. Системы автоматизированного управления учётными записями и правами доступа. Общие требования» (в силе с 20.12.2024). Идеологическая база наших IDM/IGA-проектов и собственного контура. Применяем стандарт на стороне заказчика (СУУЗиПД, ролевая модель, управление заявками/согласованиями) и в собственной инфраструктуре через Identigy Imperium.
  • ГОСТ Р 70262.1-2022 / 70262.2-2025 — уровни доверия идентификации (УДИ-1…УДИ-4) и уровни доверия аутентификации (УДА), российский эквивалент NIST IAL/AAL. Применяем при проектировании MFA-стека, удалённой идентификации и KYC-flows у заказчиков, в т.ч. в финансовом секторе.
  • Реестр отечественного ПО — 1IDM включён в Реестр Минцифры (Identigy — партнёр уровня «Эксперт»). С 03.2026 действует реформа реестра (ФЗ № 325-ФЗ от 31.07.2025, 3 специализированных перечня).

Применимая регуляторика по сегментам наших клиентов

Сегмент Обязательная регуляторика
Банки ЦБ РФ № 851-П (с 29.03.2025, заменил 683-П; геолокация identity-сессий с 01.10.2025), № 716-П (операционные риски), № 802-П (защита платёжной системы ЦБ), ГОСТ Р 57580.1
НФО (некредитные финансовые организации) ЦБ РФ № 757-П (Указание № 7219-У от 28.10.2025 — в силу с 01.01.2027), ГОСТ Р 57580.1
КИИ-объекты 187-ФЗ, ФСТЭК № 239 (ред. № 159 от 28.08.2024 — DDoS), № 31 (АСУ ТП), № 235 (системы безопасности значимых ОКИИ; модель угроз — Методика ФСТЭК от 05.02.2021), 152-ФЗ (если ПДн)
ГИС / госсектор ФСТЭК № 117 (с 01.03.2026), № 21 (ИСПДн), ПП РФ № 1119 (уровни защищённости), ФЗ-149, ФЗ-63 (ЭП)
Госзакупки ПО Реестр Минцифры (ПП РФ № 1236), реформа реестра по ФЗ № 325-ФЗ от 31.07.2025 (с 03.2026 — специализированные перечни)

7. Реагирование на инциденты

Предполагаемая утечка ПДн обрабатывается ответственным за ИБ Identigy в течение 24 часов с момента обнаружения. Первичное уведомление Роскомнадзора об инциденте, повлекшем неправомерную или случайную передачу/доступ к ПДн, направляется в течение 24 часов, дополнительная информация по результатам внутреннего расследования — в течение 72 часов с момента обнаружения (ч. 3.1 ст. 21 152-ФЗ + приказ Роскомнадзора № 187 от 14.11.2022; оценка вреда — приказ № 178 от 27.10.2022); субъекты ПДн информируются без неоправданной задержки.

Инциденты в проекте заказчика эскалируются в первую очередь команде ИБ заказчика (она — оператор обрабатываемых ПДн); Identigy поддерживает forensic-анализ и устранение как processor в рамках DPA на этап.

8. Ответственное раскрытие уязвимостей

Если вы нашли уязвимость на identigy.ru или в инфраструктуре Identigy — сообщите. Security-репорты обрабатываем в том же приоритете, что и инциденты у заказчика.

  • Email → security@identigy.ru
  • Подтверждение получения — в течение 2 рабочих дней.
  • Первичная оценка — в течение 5 рабочих дней с указанием сроков fix или mitigation.
  • Публичной bug-bounty-программы у нас пока нет. Исследователи, действующие добросовестно в рамках этой политики, не преследуются юридически.

9. Контакты

Общие запросы по защите персональных данных: info@identigy.ru. Security-репорты: security@identigy.ru.

Это «живой» документ. Существенные изменения фиксируются в поле Обновлено выше. Клиенты с действующим DPA получают письменное уведомление о любом изменении, затрагивающем их этап проекта.